簡介
本檔案介紹在思科網路願景中心續訂已到期的自簽憑證(SSC)的相關步驟。
問題
該中心用來與感測器進行網路介面通訊的證書(如果沒有外部證書)是在中心第一次啟動時生成的,有效期為2年(另加2個月的寬限期)。一旦達到該時間,感測器將無法再連線到中心,在日誌中顯示以下型別的錯誤:
2023-08-04T09:47:53+00:00 c4819831-bf01-4b3c-b127-fb498e50778d sensorsyncd[1]: 04/08/2023 09:47:53 sensorsyncd WARN failed to connect to center: rabbitmq error: x509: certificate has expired or is not yet valid: current time 2023-08-04T09:47:53Z is after 2023-08-02T10:35:35Z [caller=push.go:42]
此外,如果沒有使用外部證書,則連線到Web UI將顯示錯誤或者被阻止,具體取決於Web瀏覽器。
解決方案
適用於4.2.x版。對於4.2.1及更高版本,也可以通過Web GUI完成。
重新生成中心證書的步驟
- 驗證當前證書
root@center:~# openssl x509 -subject -startdate -enddate -noout -in /data/etc/ca/center-cert.pem
subject=CN = CenterDemo
notBefore=Aug 8 11:42:30 2022 GMT
notAfter=Oct 6 11:42:30 2024 GMT
2.生成新證書
您必須使用從上一步獲取的公共名稱(在「subject=CN」欄位中)來生成新證書
root@center:~# sbs-pki --newcenter=CenterDemo
6C89E224EBC77EF6635966B2F47E140C
3.重新啟動中心。
對於同時使用本地中心和全域性中心的部署,必須註銷本地中心並重新註冊它們。
重新生成感測器證書的步驟
如果中心證書已過期,則某些感測器證書可能即將過期,因為從在中心建立感測器開始,這些證書也將在兩年內有效。
- 對於安裝了副檔名的感測器,重新部署將使用新證書。
- 對於手動部署的感測器:
- 使用感測器序列號在中心生成新證書:
root@center:~# sbs-pki --newsensor=FCWTEST
326E50A526B23774CBE2507D77E28379
記下命令返回的id
2.獲取此感測器的感測器id
root@center:~# sbs-sensor list
c6e38190-f952-445a-99c0-838f7b4bbee6
FCWTEST (serial number=FCWTEST)
version:
status: ENROLLED
mac:
ip:
capture mode: optimal
model: IOX
hardware:
first seen on 2022-08-09 07:23:15.01585+00
uptime 0
last update on: 0001-01-01 00:00:00+00
3. 使用證書id更新感測器的資料庫
root@center:~# sbs-db exec "UPDATE sensor SET certificate_serial='326E50A526B23774CBE2507D77E28379' WHERE id='c6e38190-f952-445a-99c0-838f7b4bbee6'"
UPDATE 1
Certificate serial必須是從第一個步驟中獲得的值,並且必須是感測器的感測器id
4.從Web GUI下載此感測器的預配包
5.使用此預配包重做部署
意見