Cервисы организации сетевого доступа к приложениям : Коммутаторы контент-сервисов Cisco серии CSS 11500

Запрос и установка глобального сертификата на CSS11500

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Если у вас нет существующих ранее ключей и сертификатов для Коммутатора контент-сервисов (CSS), можно генерировать их на CSS. CSS включает серию сертификата и программ для управления с закрытым ключом для упрощения процесса генерации секретных ключей, Запросов подписи сертификата (CSR) и самоподписанных временных сертификатов. Этот документ описывает процесс для получения нового сертификата от центра сертификации (CA) и установки его к CSS.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Дополнительные сведения о командах, использованных в данном документе, см. в разделе Средство поиска команд (только для зарегистрированных клиентов).

Конфигурации

Эти конфигурации используются в данном документе:

  • Генерируйте Rivest, Shamir и Adelman (RSA) пара ключей

  • Привяжите файл открытых и секретных ключей криптосистемы RSA

  • Генерируйте CSR

  • Получите промежуточный сертификат Verisign

  • Импортируйте цепочечный файл сертификата

  • Привяжите файл сертификата

  • Настройте список SSL прокси

  • Настройте сервис протокола SSL и правила содержимого

Генерируйте Rivest, Shamir и Adelman (RSA) пара ключей

Выполните команду ssl genrsa для генерации частного RSA / пара открытых ключей для асимметричного шифрования. CSS хранит генерируемые Открытые и секретные ключи криптосистемы RSA как файл на CSS. Например, для генерации Открытых и секретных ключей криптосистемы RSA myrsakey.pem введите придерживающееся:

CSS11500(config) # ssl genrsa myrsakey.pem 1024 “passwd123”

Please be patient this could take a few minutes

Соединение файла открытых и секретных ключей криптосистемы RSA

Выполните команду ssl associate rsakey для соединения названия Открытых и секретных ключей криптосистемы RSA к генерируемым Открытым и секретным ключам криптосистемы RSA. Например, для соединения названия myrsakey1 ключа RSA к генерируемому файлу Открытых и секретных ключей криптосистемы RSA myrsakey.pem введите придерживающееся:

CSS11500(config) # ssl associate rsakey myrsakey1 myrsakey.pem

Генерируйте CSR

Выполните команду ssl gencsr rsakey для генерации файла CSR для cвязанного файла Открытых и секретных ключей криптосистемы RSA. Этот CSR будет передаваться CA для подписания. Например, для генерации CSR на основе Открытых и секретных ключей криптосистемы RSA myrsakey1 введите придерживающееся:

CSS11503(config)# ssl gencsr myrsakey1

You are about to be asked to enter information
that will be incorporated into your certificate
request. What you are about to enter is what is
called a Distinguished Name or a DN.
For some fields there will be a default value,
If you enter '.', the field will be left blank.
Country Name (2 letter code) [US] US
State or Province (full name) [SomeState] CA
Locality Name (city) [SomeCity] San Jose
Organization Name (company name) [Acme Inc]Cisco Systems, Inc.
Organizational Unit Name (section) [Web Administration] Web Admin
Common Name (your domain name) [www.acme.com] www.cisco.com
Email address [webadmin@acme.com] webadmin@cisco.com

Команда ssl gencsr генерирует CSR и выводит его на экран. Большинство главных CAs имеет Приложения на основе технологии WWW, которые требуют, чтобы вы вырезали и вставить запрос сертификата на экран.

-----BEGIN CERTIFICATE REQUEST-----
MIIBWDCCAQICAQAwgZwxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJNQTETMBEGA1UE
BxMKQm94Ym9yb3VnaDEcMBoGA1UEChMTQ2lzY28gU3lzdGVtcywgSW5jLjESMBAG
A1UECxMJV2ViIEFkbWluMRYwFAYDVQQDEw13d3cuY2lzY28uY29tMSEwHwYJKoZI
hvcNAQkBFhJra3JvZWJlckBjaXNjby5jb20wXDANBgkqhkiG9w0BAQEFAANLADBI
AkEAqHXjtQUVXvmo6tAWPiMpe6oYhZbJUDgTxbW4VMCygzGZn2wUJTgLrifDB6N3
v+1tKFndE686BhKqfyOidml3wQIDAQABoAAwDQYJKoZIhvcNAQEEBQADQQA94yC3
4SUJJ4UQEnO2OqRGLOZpAElc4+IV9aTWK6NmiZsM9Gt0vPhIkLx5jjhVRLlb27Ak
H6D5omXa0SPJan5x
-----END CERTIFICATE REQUEST-----

CA подписывает CSR и возвращает его к вам, как правило, с помощью адреса электронной почты, введенного в CSR.

Получите промежуточный сертификат Verisign

Получите сертификат из CA

После отправки CSR к CA это берет между одним и семью рабочими днями для получения подписанного сертификата; времена варьируются из-за Приблизительно, Как только CA подписал и отправил сертификат, он может быть добавлен к CSS.

При просьбе Повышения/SGC или объединенного в цепочку сертификата необходимо получить промежуточный сертификат, используемый для подписания сертификата. Можно получить Промежуточный Сертификат VeriSign из следующей ссылки:

Сохраните промежуточный сертификат в файл. Например, intermediate.pem.

Свяжите сервер и промежуточные сертификаты

Для использования цепочечных сертификатов на CSS серверный сертификат и промежуточное звено должны быть связаны вместе. Это позволяет CSS возвращать всю цепочку сертификатов к клиенту на начальное подтверждение связи SSL. При создании цепочечного файла сертификата для CSS быть уверенными сертификаты находятся в надлежащем заказе. Серверный сертификат должен быть первым, тогда промежуточный сертификат, используемый для подписания серверного сертификата, должен быть следующим. Должна быть одиночная новая строка между сервером и промежуточными сертификатами. Например, свяжите серверный сертификат servercert.pem и intermediate.pem в цепочечный сертификат, названный mychainedrsacert.pem. Придерживающиеся показы все содержание файла mychainedrsacert.pem.

-----BEGIN CERTIFICATE-----
MIICwTCCAioCAQUwDQYJKoZIhvcNAQEEBQAwgagxCzAJBgNVBAYTAlVTMRMwEQYD
 VQQIEwpDYWxpZm9ybmlhMREwDwYDVQQHEwhTYW4gSm9zZTEeMBwGA1UEChMVRXhh
 bXBsZSBTeXN0ZW1zLCBJbmMuMRIwEAYDVQQLEwlXZWIgQWRtaW4xGDAWBgNVBAMT
 D3d3dy5leGFtcGxlLmNvbTEjMCEGCSqGSIb3DQEJARYUd2ViYWRtaW5AZXhhbXBs
 ZS5jb20wHhcNMDQwMTA5MDgzMjI3WhcNMDQwMjA4MDgzMjI3WjCBqDELMAkGA1UE
 BhMCVVMxEzARBgNVBAgTCkNhbGlmb3JuaWExETAPBgNVBAcTCFNhbiBKb3NlMR4w
 HAYDVQQKExVFeGFtcGxlIFN5c3RlbXMsIEluYy4xEjAQBgNVBAsTCVdlYiBBZG1p
 bjEYMBYGA1UEAxMPd3d3LmV4YW1wbGUuY29tMSMwIQYJKoZIhvcNAQkBFhR3ZWJh
 ZG1pbkBleGFtcGxlLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA2huF
 xhVeODHmoXJ4HulDqVQtCvX7eERyRarNI71p0ZV+q+qGYRtJdrlzUav/TbRn5dc0
 8IXjqrASAtTo2S4eWlTOJUnR2g0LH/lcPUaF8f+m+eODWoT8dCtNA5sgEnINAR2y
 HlS5j6dZNcyMY0nFOh68oRsZJJ58u0ZPJjl6eAsCAwEAATANBgkqhkiG9w0BAQQF
 AAOBgQADO/UTIIHnIq2Q0ICiqAQju9nz1vTiIYHBpBnUd8NkPhIHIOqNn9iZ5Q+a
 2zFjh+N2uEt5NxNOEZRbrTZH+HmZMsqJJfvfd62iq+636aPIcoo7X541DYotM05C
 OQjnehsjgwziKlp6UJtuiAwwaxtMIbP7lQXHGO6E9RnzQSvQGQ==
 -----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
 MIIDgzCCAuygAwIBAgIQJUuKhThCzONY+MXdriJupDANBgkqhkiG9w0BAQUFADBf
 MQswCQYDVQQGEwJVUzEXMBUGA1UEChMOVmVyaVNpZ24sIEluYy4xNzA1BgNVBAsT
 LkNsYXNzIDMgUHVibGljIFByaW1hcnkgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkw
 HhcNOTcwNDE3MDAwMDAwWhcNMTExMDI0MjM1OTU5WjCBujEfMB0GA1UEChMWVmVy
 aVNpZ24gVHJ1c3QgTmV0d29yazEXMBUGA1UECxMOVmVyaVNpZ24sIEluYy4xMzAx
 BgNVBAsTKlZlcmlTaWduIEludGVybmF0aW9uYWwgU2VydmVyIENBIC0gQ2xhc3Mg
 MzFJMEcGA1UECxNAd3d3LnZlcmlzaWduLmNvbS9DUFMgSW5jb3JwLmJ5IFJlZi4g
 TElBQklMSVRZIExURC4oYyk5NyBWZXJpU2lnbjCBnzANBgkqhkiG9w0BAQEFAAOB
 jQAwgYkCgYEA2IKA6NYZAn0fhRg5JaJlK+G/1AXTvOY2O6rwTGxbtueqPHNFVbLx
 veqXQu2aNAoV1Klc9UAl3dkHwTKydWzEyruj/lYncUOqY/UwPpMo5frxCTvzt01O
 OfdcSVq4wR3Tsor+cDCVQsv+K1GLWjw6+SJPkLICp1OcTzTnqwSye28CAwEAAaOB
 4zCB4DAPBgNVHRMECDAGAQH/AgEAMEQGA1UdIAQ9MDswOQYLYIZIAYb4RQEHAQEw
 KjAoBggrBgEFBQcCARYcaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL0NQUzA0BgNV
 HSUELTArBggrBgEFBQcDAQYIKwYBBQUHAwIGCWCGSAGG+EIEAQYKYIZIAYb4RQEI
 ATALBgNVHQ8EBAMCAQYwEQYJYIZIAYb4QgEBBAQDAgEGMDEGA1UdHwQqMCgwJqAk
 oCKGIGh0dHA6Ly9jcmwudmVyaXNpZ24uY29tL3BjYTMuY3JsMA0GCSqGSIb3DQEB
 BQUAA4GBAAgB7ORolANC8XPxI6I63unx2sZUxCM+hurPajozq+qcBBQHNgYL+Yhv
 1RPuKSvD5HKNRO3RrCAJLeH24RkFOLA9D59/+J4C3IYChmFOJl9en5IeDCSk9dBw
 E88mw0M9SR2egi5SX7w+xmYpAY5Okiy8RnUDgqxz6dl+C2fvVFIa
 -----END CERTIFICATE-----

Импортируйте цепочечный файл сертификата

Как только CSR был подписан CA, это теперь называют Сертификатом. Файл сертификата должен быть импортирован в CSS. Выполните команду copy ssl для упрощения импорта или экспорта сертификатов и секретных ключей от или до CSS. CSS хранит все импортированные файлы в безопасном местоположении на CSS. Эта команда доступна только в Режиме суперпользователя. Например, для импортирования сертификата mychainedrsacert.pem от удаленного сервера до CSS введите придерживающееся:

CSS11500# copy ssl sftp ssl_record import mychainedrsacert.pem PEM “passwd123”

Connecting 
Completed successfully 

Привяжите файл сертификата

Выполните команду ssl associate cert для соединения названия сертификата к импортированному сертификату. Например, для соединения названия mychainedrsacert1 сертификата к импортированному mychainedrsacert.pem файла сертификата введите придерживающееся:

CSS11500(config)# ssl associate cert mychainedrsacert1 mychainedrsacert.pem 

Настройте список SSL прокси

Выполните команду ssl-proxy-list для создания Списка SSL прокси. Список SSL прокси является группой действительных связанных или SSL - серверы бэкэнда, которые привязаны к сервису SSL. Список SSL прокси содержит все сведения о конфигурации для каждого виртуального сервера SSL. Это включает Создание сервера SSL, сертификаты и соответствующую пару ключей SSL, Виртуальную IP (VIP) адрес и порт, шифры SSL, поддерживаемые, и другие параметры SSL. Например, для создания ssl-proxy-list ssl_list1 введите придерживающееся:

CSS11500(config)# ssl-proxy-list ssl_list1
Create ssl-list <ssl_list1>, [y/n]: y 

Как только вы создаете Список SSL прокси, CLI вводит вас в режим конфигурации ssl-proxy-list. Настройте SSL - сервер как показано ниже.

CSS11500(ssl-proxy-list[ssl_list1])# ssl-server 20
CSS11500(ssl-proxy-list[ssl_list1])# ssl-server 20 vip address 192.168.3.6
CSS11500(ssl-proxy-list[ssl_list1])# ssl-server 20 rsacert mychainedrsacert1
CSS11500(ssl-proxy-list[ssl_list1])# ssl-server 20 rsakey myrsakey1
CSS11500(ssl-proxy-list[ssl_list1])# ssl-server 20 cipher rsa-export-with-rc4-40-md5 192.168.11.2 80 5
CSS11500(ssl-proxy-list[ssl_list1])# active 

Настройте сервис протокола SSL и правила содержимого

Как только Список SSL прокси активирован, сервис и правило содержимого должны быть настроены, чтобы позволить CSS передавать трафик SSL к модулю SSL. Эта таблица предоставляет обзор шагов, требуемых создать сервис SSL для виртуального сервера SSL, включая добавление Списка SSL прокси к сервису и созданию правила содержимого SSL.

Создайте сервис SSL

CSS11500(config)# service ssl_serv1Create service <ssl_serv1>, 
   [y/n]: y
CSS11500(config-service[ssl_serv1])# type ssl-accel
CSS11500(config-service[ssl_serv1])# slot 2
CSS11500(config-service[ssl_serv1])# keepalive type none
CSS11500(config-service[ssl_serv1])# add ssl-proxy-list ssl_list1
CSS11500(config-service[ssl_serv1])# active 

Создайте правило содержимого SSL

CSS11500(config)# owner ssl_owner
Create owner <ssl_owner>, [y/n]: y
CSS11500(config-owner[ssl_owner])# content ssl_rule1
Create content <ssl_rule1>, [y/n]: y
CSS11500(config-owner-content[ssl-rule1]# vip address 192.168.3.6
CSS11500(config-owner-content[ssl-rule1]# port 443 
CSS11500(config-owner-content[ssl_rule1])# add service ssl_serv1 
CSS11500(config-owner-content[ssl_rule1])# active 

Создайте правило содержимого открытого текста

CSS11500(config-owner[ssl_owner])# content decrypted_www 
Create content <decrypted_www>, [y/n]: y
CSS11500(config-owner-content[decrypted_www]# vip address 192.168.11.2
CSS11500(config-owner-content[decrypted_www]# port 80
CSS11500(config-owner-content[decrypted_www])# add service linux_http
CSS11500(config-owner-content[decrypted_www])# add service win2k_http
CSS11500(config-owner-content[decrypted_www])# active 

На этом этапе клиентский Трафик HTTPS может быть передан CSS в 192.168.3.6:443. CSS дешифрует Трафик HTTPS, преобразовывая его в HTTP. CSS тогда выбирает сервис и передает трафик HTTP к Web-серверу HTTP. Ниже приводится рабочая конфигурация CSS с помощью приведенных выше примеров:

CSS11501# show run
configure

!*************************** GLOBAL ***************************
ssl associate rsakey myrsakey1 myrsakey.pem
ssl associate cert mychainedrsacert1 mychainedrsacert.pem

ip route 0.0.0.0 0.0.0.0 192.168.3.1 1

ftp-record conf 192.168.11.101 admin des-password 4f2bxansrcehjgka /tftpboot

!************************* INTERFACE *************************
interface 1/1
bridge vlan 10
description "Client Side"

interface 1/2
bridge vlan 20
description "Server Side"

!************************** CIRCUIT **************************
circuit VLAN10
description "Client Segment"

ip address 192.168.3.254 255.255.255.0

circuit VLAN20
description "Server Segment"

ip address 192.168.11.1 255.255.255.0

!*********************** SSL PROXY LIST ***********************
ssl-proxy-list ssl_list1
ssl-server 20
ssl-server 20 vip address 192.168.3.6
ssl-server 20 rsakey myrsakey1
ssl-server 20 rsacert mycertcert1
ssl-server 20 cipher rsa-with-rc4-128-md5 192.168.11.2 80
active

!************************** SERVICE **************************
service linux-http
ip address 192.168.11.101
port 80
active

service win2k-http
ip address 192.168.11.102
port 80
active

service ssl_serv1
type ssl-accel
slot 2
keepalive type none
add ssl-proxy-list ssl_list1
active

!*************************** OWNER ***************************
owner ssl_owner

content ssl_rule1
vip address 192.168.3.6
protocol tcp
port 443
add service ssl_serv1
active

content decrypted_www
vip address 192.168.11.2
add service linux-http
add service win2k-http
protocol tcp
port 80
active

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Используйте show ssl file и команды show ssl associate для подтверждения конфигурации.

Проверьте, что все файлы имеют размер, больше, чем 0.

Можно удалить любой сертификат или ключ при помощи команды clear ssl file.

Устранение неполадок

Используйте этот раздел для устранения неполадок своей конфигурации.

Если согласование SSL отказывает, используйте команду show ssl statistics для просмотра полезных сведений об отказавшем согласовании SSL.

Например, проверьте эти поля:

0 Unknown issuer certificates
0 Failed signatures decryptions
0 Invalid issuer keys
0 Not yet valid certificates
0 Expired Client certificates
0 Revoked certificates
0 CRLs not obtained from host
0 CRLs with bad HTTP return codes
0 CRLs not loaded because of low memory
0 CRLs obtained but failed to load
0 CRLs with invalid signatures
0 CRLs successfully loaded
0 Successful server authentications
0 Server authentications failed
0 Expired Server certificates

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 47782