Cервисы организации сетевого доступа к приложениям : Коммутаторы контент-сервисов Cisco серии CSS 11500

Добавление сертификата SSL из цепочки в модуль CSS SSL

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Цепочка сертификатов является последовательностью сертификатов, где каждый сертификат в цепочке подписан последующим сертификатом. Цель цепочки сертификатов состоит в том, чтобы установить цепочку доверия от сертификата однорангового узла до доверенного центра сертификации (CA) сертификат. CA ручается за идентичность в сертификате однорангового узла путем подписания его. Если CA является тем, которому вы доверяете (обозначенный присутствием копии сертификата CA в вашем каталоге корневого сертификата), это подразумевает, что можно доверять сертификату однорангового узла со знаком также.

Часто, клиенты не принимают сертификаты, потому что они не были созданы известным CA., клиент, как правило, сообщает, что не может быть проверена законность сертификата. Дело обстоит так, когда сертификат подписан промежуточным звеном CA, которое не известно клиентскому браузеру. В таких случаях необходимо использовать цепочечный сертификат SSL или группу сертификата. Этот документ обсуждает, как должным образом установить цепочечный сертификат Протокола SSL к модулю CSS SSL.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в этом документе, касаются следующих версий программного обеспечения и оборудования:

  • Модуль SSL CSS11506 (строгое шифрование) - 506 k9 SSL CSS

  • Модуль SSL CSS11501 (строгое шифрование) - 501 k9 SSL CSS

  • CSS11506 только модуль коммутатора - CSS, с 506 SM

  • WEBNS 7.10 И 7.20

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. Cisco Technical Tips Conventions.

Пошаговые инструкции

Этот раздел показывает, как установить цепочечный сертификат на модуле CSS SSL с CSS 11500.

Если цепочечный сертификат находится во множественных файлах, используйте процедуру, выделенную ниже.

  1. Преобразуйте все сертификаты в тот же формат. Если сертификаты являются отдельными а не в формате Privacy Enhanced Mail (PEM), необходимо преобразовать их в PEM, форматируют и затем конкатенируют.

  2. Свяжите все сертификаты в один файл; гарантируйте, что они связаны, поскольку они появляются в цепочке. Серверный сертификат должен быть первым в цепочке, придерживавшейся промежуточными звеньями (серверные сертификаты и промежуточные сертификаты CA).

  3. Импортируйте связанный файл сертификата в CSS.

  4. Привяжите сертификат к ssl-server.

  5. Примените CA ssl-server в ssl-proxy-list.

Если все эти сертификаты объединены в цепочку в один файл PKCS#12 (как многие сертификаты PKCS#12), необходимо импортировать цепочечный сертификат как PKCS#12 и связаться/применить его как обычный. PKCS#12 не способны к тому, чтобы быть связанным.

Примечание: Форматы Выдающегося правила кодирования (DER) не поддерживают цепочки, таким образом, это не должно быть проблемой.

Для проверки ключ, который должен использоваться, является ключом, который генерировал файл Запроса подписи сертификата (CSR) для создания серверного сертификата. Существует только один ключ для сертификата, быть объединенным в цепочку или обычным. Удостоверьтесь, что проверили сертификат и ключ после того, как они будут импортированы. Можно выполнить команду, показанную ниже.

(config)# ssl verify myrsacert1 myrsakey1 
Certificate and key match 

Дополнительные сведения


Document ID: 45462