Telemetrie-Broker-Identitätszertifikat ersetzen

Aktualisiert:28. Juni 2023
Dokument-ID:220537

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie das Serveridentitätszertifikat auf dem Cisco Telemetry Broker (CTB) Manager-Knoten ersetzen.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Administration der Cisco Telemetry Broker Appliance
    • X509-Zertifikate

    Verwendete Komponenten

    Auf den für dieses Dokument verwendeten Appliances wird Version 2.0.1 ausgeführt.

    • Cisco Telemetry Broker Manager-Knoten
    • Cisco Telemetry Broker Broker-Knoten

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfigurieren

    Zertifikatanforderungen

    Das vom Cisco Telemetry Broker Manager verwendete x509-Zertifikat muss folgende Anforderungen erfüllen:

    • Das Zertifikat und der private Schlüssel müssen übereinstimmen.
    • Das Zertifikat und der private Schlüssel müssen PEM-codiert sein.
    • Der private Schlüssel darf nicht durch eine Passphrase geschützt sein.

    Übereinstimmendes Paar aus Zertifikat und privatem Schlüssel bestätigen

    Melden Sie sich als Administrator beim CTB-Manager an.

    Die Fehlermeldung sudo openssl req -in server.csr -pubkey -noout -outform pem | sha256sum gibt die SHA-256-Prüfsumme des öffentlichen Schlüssels aus der Zertifikatsanforderungsdatei aus. 

    Die Fehlermeldung sudo openssl pkey -in server.key -pubout -outform pem | sha256sumgibt die SHA-256-Prüfsumme des öffentlichen Schlüssels aus der Datei mit dem privaten Schlüssel aus.

    Die Fehlermeldung sudo openssl x509 -in server.crt -pubkey -noout -outform pem | sha256sumgibt die SHA-256-Prüfsumme des öffentlichen Schlüssels aus der ausgegebenen Zertifikatsdatei aus.

    Die Ausgabe für das Zertifikat und den privaten Schlüssel müssen übereinstimmen. Wenn keine Zertifikatsignierungsanforderung verwendet wurde, ist die Datei server.crt nicht vorhanden.

    admin@ctb-manager:~$ sudo openssl req -in server.csr -pubkey -noout -outform pem | sha256sum 
3e8e6b0d397ada1be7e89be21eb555c9527741460074385730d524c60e3ae315  -
admin@ctb-manager:~$  

admin@ctb-manager:~$ sudo openssl pkey -in server.key -pubout -outform pem | sha256sum
3e8e6b0d397ada1be7e89be21eb555c9527741460074385730d524c60e3ae315  -

admin@ctb-manager:~$ sudo openssl x509 -in server.crt -pubkey -noout -outform pem | sha256sum 
3e8e6b0d397ada1be7e89be21eb555c9527741460074385730d524c60e3ae315  -

    Bestätigen, dass der private Schlüssel nicht durch eine Passphrase geschützt ist

    Melden Sie sich als Administrator beim CTB-Manager an. Führen Sie ssh-keygen -yf server.key aus.

    Eine Passphrase wird nicht angefordert, wenn für den privaten Schlüssel keine erforderlich ist.

    admin@ctb-manager:~$ ssh-keygen -yf server.key 
ssh-rsa {removed for brevity}
admin@ctb-manager:~$

    Zertifikat und privaten Schlüssel bestätigen sind PEM-verschlüsselt

    note-icon

    Hinweis: Diese Validierungen können vor der Installation der Zertifikate durchgeführt werden.

    Melden Sie sich als Administrator beim CTB-Manager an.

    Den Inhalt der Datei server.crt mit dem sudo cat server.crt aus. Passen Sie den Befehl an den Namen der Zertifikatsdatei an.

    admin@ctb-manager:~$ sudo cat server.crt 
-----BEGIN CERTIFICATE-----
{removed_for_brevity}
-----END CERTIFICATE-----
admin@ctb-manager:~$

    Zeigen Sie die Datei server.key mit dem sudo cat server.key aus. Passen Sie den Befehl an den Dateinamen der privaten Schlüssel an.

    admin@ctb-manager:~$ sudo cat server.key 
-----BEGIN PRIVATE KEY-----
{removed_for_brevity}
-----END PRIVATE KEY-----
admin@ctb-manager:~$

    Selbstsigniertes Zertifikat

    Selbstsigniertes Zertifikat generieren

    1. Melden Sie sich über eine SSH (Secure Shell) beim CTB Manager an, wie dies bei der Installation vom Benutzer konfiguriert wurde. Hierbei handelt es sich in der Regel um den Benutzer "admin".

    2. Stellen Sie die sudo openssl req -x509 -newkey rsa:{key_len} -nodes -keyout key.pem -out cert.pem -sha256 -days 3650 -subj /CN={ctb_manager_ip} aus.
      • Ändern Sie rsa:{key_len} mit einem privaten Schlüssel Ihrer Wahl, z. B. 2048, 4096 oder 8192
      • Ändern Sie {ctb_manager_ip}mit der IP des CTB-Manager-Knotens

        admin@ctb-manager:~$ sudo openssl req -x509 -newkey rsa:4096 -nodes -keyout key.pem -out cert.pem -sha256 -days 3650 -subj /CN=10.209.35.152   
[sudo] password for admin: 
Generating a RSA private key
.....................................................................................++++
............................................................................++++
writing new private key to 'key.pem'
-----
admin@ctb-manager:~$  ​
    3. Zeigen Sie die Datei cert.pem mit dem cat cert.pem , und kopieren Sie den Inhalt in Ihren Puffer, sodass er auf der lokalen Workstation in einen Texteditor Ihrer Wahl eingefügt werden kann. Speichern Sie die Datei. Sie können diese Dateien auch mithilfe der SCP aus dem /home/admin  verzeichnis. 

      admin@ctb-manager:~$ cat cert.pem 
-----BEGIN CERTIFICATE-----
{removed_for_brevity}
-----END CERTIFICATE-----
admin@ctb-manager:~$  ​


    4. Zeigen Sie die Datei key.pem mit dem sudo cat key.pem , und kopieren Sie den Inhalt in Ihren Puffer, sodass er auf der lokalen Workstation in einen Texteditor Ihrer Wahl eingefügt werden kann. Speichern Sie die Datei. Sie können diese Datei auch mithilfe der SCP aus dem /home/admin verzeichnis. 

      admin@ctb-manager:~$ sudo cat key.pem 
-----BEGIN PRIVATE KEY-----
{removed_for_brevity}
-----END PRIVATE KEY-----
admin@ctb-manager:~$  ​


    Selbstsigniertes Zertifikat hochladen

    1. Navigieren Sie zur CTB Manager-Webbenutzeroberfläche, melden Sie sich als Administrator an, und klicken Sie auf das Zahnrad-Symbol, um auf "Settings".

      CTB Setting IconSymbol für CTB-Einstellung

    2. Navigieren Sie zur Registerkarte "TLS-Zertifikat".

      CTB Certificates TabRegisterkarte CTB-Zertifikate

    3. Auswählen Upload TLS Certificate und wählen Sie dann cert.pem und key.pem für das Zertifikat bzw. den privaten Schlüssel im Dialogfeld "TLS-Zertifikat hochladen". Wenn die Dateien ausgewählt wurden, wählen Sie Hochladen aus.

      CTB Upload Window

    4. Nachdem die Dateien ausgewählt wurden, bestätigt ein Überprüfungsprozess die Kombination aus Zertifikat und Schlüssel und zeigt den allgemeinen Namen des Ausstellers und des Betreffs wie dargestellt an.

      CTB Cert UploadCTB-Zertifikat-Upload

    5. Klicken Sie auf die Schaltfläche "Hochladen", um das neue Zertifikat hochzuladen. Die Webbenutzeroberfläche startet in wenigen Augenblicken selbstständig neu, und melden Sie sich nach dem Neustart erneut beim Gerät an.

    6. Melden Sie sich bei der CTB Manager Node-Webkonsole an, und navigieren Sie zu Settings > TLS Certificate um Details zum Zertifikat, z. B. ein neues Ablaufdatum, anzuzeigen, oder um die Details zum Zertifikat im Browser anzuzeigen, um detailliertere Informationen, z. B. die Seriennummern, anzuzeigen.

    Broker-Knoten aktualisieren

    Sobald der CTB Manager Node über ein neues Identitätszertifikat verfügt, muss jeder CTB Broker Node manuell aktualisiert werden.

    1. Melden Sie sich über SSH bei jedem Broker-Knoten an, und führen Sie das sudo ctb-manage command 

      admin@ctb-broker:~$ sudo ctb-manage

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for admin:  ​


    2. Option auswählen cauf Aufforderung hin.

      == Management Configuration

A manager configuration already exists for 10.209.35.152
Options:

(o) Associate this node with a new manager
(c) Re-fetch the manager's certificate but keep everything else
(d) Deactivate this node (should be done after removing this node on the manager UI)
(a) Abort

How would you like to proceed? [o/c/d/a] c​


    3. Überprüfen Sie die Zertifikatdetails, wenn sie mit den Werten für das signierte Zertifikat übereinstimmen, und wählen Sie y um das Zertifikat zu akzeptieren. Die Dienste werden automatisch gestartet, und sobald der Dienst gestartet wird, wird die Eingabeaufforderung zurückgegeben. Der Servicestart kann bis zu 15 Minuten in Anspruch nehmen.

      == Testing connection to server exists

== Fetching certificate from 10.209.35.152
Subject Hash
3fcbcd3c
subject=CN = 10.209.35.152
issuer=CN = 10.209.35.152
Validity:
notBefore=Mar 28 13:12:43 2023 GMT
notAfter=Mar 27 13:12:43 2024 GMT
X509v3 Subject Alternative Name: 
IP Address:10.209.35.152

Do you accept the authenticity of the server? [y/n] y

== Writing /var/lib/titan/titanium_proxy/ssl/titanium.pem
done

== Starting service​

    Von der Zertifizierungsstelle (Certificate Authority, CA) ausgestellte Zertifikate

    Erstellen einer Zertifikatssignaturanforderung (Certificate Signing Request, CSR) für die Ausstellung durch eine Zertifizierungsstelle

    1. Melden Sie sich über eine SSH (Secure Shell) beim CTB Manager an, wie dies bei der Installation vom Benutzer konfiguriert wurde. Hierbei handelt es sich in der Regel um den Benutzer "admin".

    2. Stellen Sie die openssl req -new -newkey rsa:{key_len} -nodes -addext "subjectAltName = DNS:{ctb_manager_dns_name},IP:{ctb_manager_ip}" -keyout server.key -out server.csr aus. Die zusätzlichen Attribute für die letzten beiden Zeilen können bei Bedarf leer gelassen werden.
      • Ändern Sie {ctb_manager_dns_name} mit dem DNS-Namen des CTB-Manager-Knotens
      • Ändern Sie {ctb_manager_ip}mit der IP des CTB-Manager-Knotens
      • Ändern Sie {key_len} mit einem privaten Schlüssel Ihrer Wahl, z. B. 2048, 4096 oder 8192.  

        admin@ctb-manager:~$ openssl req -new -newkey rsa:4096 -nodes -addext "subjectAltName = DNS:ctb-manager,IP:10.209.35.152" -keyout server.key -out server.csr
Generating a RSA private key
......................++++
....................................++++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:North Carolina
Locality Name (eg, city) []:RTP
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cisco Systems Inc
Organizational Unit Name (eg, section) []:TAC
Common Name (e.g. server FQDN or YOUR name) []:ctb-manager
Email Address []:noreply@cisco.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []: ​


    3. SCP stellt die CSR- und Schlüsseldateien für einen lokalen Computer bereit und stellt die CSR-Datei für die Zertifizierungsstelle bereit. Die Ausgabe der CSR-Anfrage durch die Zertifizierungsstelle im PEM-Format wird in diesem Dokument nicht behandelt.

    Zertifikat mit Kette erstellen

    Die Zertifizierungsstelle stellt das Serveridentitätszertifikat im PEM-Format aus. Es muss eine Kettendatei erstellt werden, die alle Kettenzertifikate und das Serveridentitätszertifikat für den CTB Manager-Knoten enthält.

    Erstellen Sie in einem Texteditor eine Datei, indem Sie das im vorherigen Schritt signierte Zertifikat kombinieren und alle Zertifikate in der Kette, einschließlich der vertrauenswürdigen Zertifizierungsstelle, in der angegebenen Reihenfolge in einer einzigen Datei im PEM-Format anhängen.

    — BEGIN CERTIFICATE — 
{CTB Manager Issued Certificate}
— END CERTIFICATE —
— BEGIN CERTIFICATE —
{Issuing Certificate Authority Certificate}
— END CERTIFICATE —
— BEGIN CERTIFICATE —
{Intermediate Certificate Authority Certificate}
— END CERTIFICATE —
— BEGIN CERTIFICATE —
{Root Certificate Authority Certificate}
— END CERTIFICATE —



    Stellen Sie sicher, dass diese neue Zertifikatsdatei mit der Kettendatei keine Leerzeichen am Anfang oder am Ende hat und keine Leerzeilen enthält und in der oben angegebenen Reihenfolge angeordnet ist.

    Von der Zertifizierungsstelle ausgestelltes Zertifikat hochladen

    1. Navigieren Sie zur CTB Manager-Webbenutzeroberfläche, melden Sie sich als Administrator an, und klicken Sie auf das Zahnrad-Symbol, um auf "Settings".

      CTB Setting IconSymbol für CTB-Einstellung

    2. Navigieren Sie zur Registerkarte "TLS-Zertifikat".

      CTB Certificates TabRegisterkarte CTB-Zertifikate

    3. Auswählen Upload TLS Certificate Wählen Sie dann das Zertifikat mit der Kettendatei aus, die im letzten Abschnitt erstellt wurde, und generieren Sie den CTB-Manager key.pem für das Zertifikat bzw. den privaten Schlüssel im Dialogfeld "TLS-Zertifikat hochladen". Wenn die Dateien ausgewählt wurden, wählen Sie Hochladen aus.

      CTB Upload Window

    4. Nachdem die Dateien ausgewählt wurden, bestätigt ein Verifizierungsprozess die Kombination aus Zertifikat und Schlüssel und zeigt den allgemeinen Namen des Ausstellers und des Betreffs an, wie unten gezeigt.

      CTB CA Issued Cert ValidationZertifizierungsprüfung für CTB-CA

    5. Klicken Sie auf die Schaltfläche "Hochladen", um das neue Zertifikat hochzuladen. Die Webbenutzeroberfläche startet selbstständig in etwa 60 Sekunden neu und meldet sich nach dem Neustart bei der Webbenutzeroberfläche an.

    6. Melden Sie sich bei der CTB Manager Node-Webkonsole an, und navigieren Sie zu Settings > TLS Certificate um Details zum Zertifikat, z. B. ein neues Ablaufdatum, anzuzeigen, oder um die Details zum Zertifikat im Browser anzuzeigen, um detailliertere Informationen, z. B. die Seriennummern, anzuzeigen.

    Broker-Knoten aktualisieren

    Sobald der CTB Manager Node über ein neues Identitätszertifikat verfügt, muss jeder CTB Broker Node manuell aktualisiert werden.

    1. Melden Sie sich über SSH bei jedem Broker-Knoten an, und führen Sie das sudo ctb-manage command 

      admin@ctb-broker:~$ sudo ctb-manage

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for admin:  ​


    2. Option auswählen cauf Aufforderung hin.

      == Management Configuration

A manager configuration already exists for 10.209.35.152
Options:

(o) Associate this node with a new manager
(c) Re-fetch the manager's certificate but keep everything else
(d) Deactivate this node (should be done after removing this node on the manager UI)
(a) Abort

How would you like to proceed? [o/c/d/a] c​


    3. Überprüfen Sie die Zertifikatdetails, wenn sie mit den Werten für das signierte Zertifikat übereinstimmen, und wählen Sie y um das Zertifikat zu akzeptieren. Die Dienste werden automatisch gestartet, und nach dem Start des Dienstes wird die Eingabeaufforderung zurückgegeben. Der Servicestart kann bis zu 15 Minuten in Anspruch nehmen. 

      == Testing connection to server exists

== Fetching certificate from 10.209.35.152
Subject Hash
fa7fd0fb
subject=C = US, ST = North Carolina, L = RTP, O = "Cisco Systems Inc", OU = TAC, CN = ctb-manager, emailAddress = noreply@cisco.com
issuer=DC = CiscoTAC, CN = Issuing CA
Validity:
notBefore=Jun 13 16:09:29 2023 GMT
notAfter=Sep 11 16:19:29 2023 GMT
X509v3 Subject Alternative Name: 
DNS:ctb-manager, IP Address:10.209.35.152

Do you accept the authenticity of the server? [y/n] y

== Writing /var/lib/titan/titanium_proxy/ssl/titanium.pem
done

== Starting service​

    Überprüfung

    Melden Sie sich bei der CTB Manager Node-Webkonsole an, und navigieren Sie zu Settings > TLS Certificate um Details zum Zertifikat, z. B. ein neues Ablaufdatum, anzuzeigen, oder um die Details zum Zertifikat im Browser anzuzeigen, um detailliertere Informationen, z. B. die Seriennummern, anzuzeigen.

    CTB Certificate DetailsDetails zum CTB-Zertifikat

    Überprüfen Sie, ob der CTB-Broker-Knoten in der CTB-Manager-Knoten-Webbenutzeroberfläche keine Alarme anzeigt.

    Fehlerbehebung

    Wenn das Zertifikat unvollständig ist, z. B. wenn es an den Kettenzertifikaten fehlt, kann der CTB-Broker-Knoten nicht mit dem Manager-Knoten kommunizieren und zeigt in der Statusspalte in der Liste der Broker-Knoten "Not Seen Since" an.
    Der Broker-Knoten wird weiterhin Datenverkehr in diesem Zustand replizieren und verteilen.

    Melden Sie sich bei der CLI des CTB Manager-Knotens an, und geben Sie den sudo grep -ic begin /var/lib/titan/titanium_frontend/ssl/cert.pem , um zu sehen, wie viele Zertifikate sich in der Datei cert.pem befinden.

    admin@ctb-manager:~$ sudo grep -ic begin /var/lib/titan/titanium_frontend/ssl/cert.pem
[sudo] password for admin: 
3 <-- Output 
admin@ctb-manager:~$

    Der zurückgegebene Ausgabewert muss der Anzahl der CA-Geräte in der Kette plus dem CTB-Manager entsprechen.

    Die Ausgabe von 1 wird erwartet, wenn ein selbstsigniertes Zertifikat verwendet wird.

    Die Ausgabe von 2 wird erwartet, wenn die PKI-Infrastruktur aus einer einzelnen Stammzertifizierungsstelle besteht, die auch die ausstellende Zertifizierungsstelle ist.

    Die Ausgabe von 3 wird erwartet, wenn die PKI-Infrastruktur aus einer Stammzertifizierungsstelle und der ausstellenden Zertifizierungsstelle besteht.

    Die Ausgabe von 4 wird erwartet, wenn die PKI-Infrastruktur aus einer Stammzertifizierungsstelle, einer untergeordneten Zertifizierungsstelle und der ausstellenden Zertifizierungsstelle besteht.

    Vergleichen Sie die Ausgabe mit der aufgelisteten PKI, wenn Sie das Zertifikat in einer anderen Anwendung anzeigen, z. B. Microsoft Windows Crypto Shell Extensions.

    PKI InfrastructurePKI-Infrastruktur

    In diesem Image enthält die PKI-Infrastruktur eine Stammzertifizierungsstelle und die ausstellende Zertifizierungsstelle.

    Der Ausgabewert des Befehls sollte in diesem Szenario 3 sein.

    Wenn die Ausgabe nicht den Erwartungen entspricht, überprüfen Sie die Schritte im Abschnitt Zertifikat mit Kette erstellen, um festzustellen, ob ein Zertifikat nicht vorhanden war.

    Beim Anzeigen eines Zertifikats in Microsoft Windows Crypto Shell Extensions Es ist möglich, dass nicht alle Zertifikate vorgelegt werden, wenn der lokale Computer nicht über genügend Informationen verfügt, um das Zertifikat zu überprüfen.

    Stellen Sie die sudo ctb-mayday aus der CLI heraus, um ein tägliches Paket zur Überprüfung durch das TAC zu generieren.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    05-Jul-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Joshua Martin
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.