Dieses Dokument beschreibt die Schritte zum erfolgreichen Importieren eines Zertifikats auf Switches der Serien Sx350 und Sx550X mithilfe der grafischen Benutzeroberfläche (GUI) und der Befehlszeilenschnittstelle (CLI).
Beim Importieren eines Zertifikats auf Sx350- und Sx550X-Switches ist u. a. festzustellen, dass der Schlüssel-Header des Benutzers fehlt und/oder Fehler beim Laden des öffentlichen Schlüssels aufgetreten sind. In diesem Dokument wird erläutert, wie Sie diese Fehler überwinden können, um ein Zertifikat erfolgreich zu importieren. Ein Zertifikat ist ein elektronisches Dokument, das eine Person, einen Server, ein Unternehmen oder eine andere Einheit identifiziert und dieser Einheit einen öffentlichen Schlüssel zuordnet. Zertifikate werden in einem Netzwerk verwendet, um einen sicheren Zugriff bereitzustellen. Zertifikate können selbstsigniert oder von einer externen Zertifizierungsstelle digital signiert werden. Ein selbstsigniertes Zertifikat, wie der Name schon sagt, wird von seinem eigenen Ersteller signiert. CAs verwalten Zertifikatanforderungen und stellen Zertifikate für teilnehmende Einheiten wie Hosts, Netzwerkgeräte oder Benutzer aus. Ein von einer Zertifizierungsstelle signiertes digitales Zertifikat gilt als Industriestandard und ist sicherer.
SG350 Version 2.5.0.83
SG350X Version 2.5.0.83
SG350XG Version 2.5.0.83
SF350 Version 2.5.0.83
SG550X Version 2.5.0.83
SF550X Version 2.5.0.83
SG550XG Version 2.5.0.83
SX550X Version 2.5.0.83
Sie benötigen ein selbstsigniertes Zertifikat oder ein Zertifikat der Zertifizierungsstelle (Certificate Authority, CA). Schritte zum Erhalten eines selbstsignierten Zertifikats sind in diesem Artikel enthalten. Weitere Informationen zu Zertifizierungsstellenzertifikaten finden Sie hier.
Melden Sie sich mit Ihrem Benutzernamen und Ihrem Kennwort an der grafischen Benutzeroberfläche des Switches an. Klicken Sie auf Anmelden.
Wählen Sie im Anzeigemodus oben rechts in der GUI mithilfe der Dropdown-Option Advanced (Erweitert) aus.
Navigieren Sie zu Sicherheit > SSL-Server > SSL-Serverauthentifizierung.
Wählen Sie eines der Zertifikate aus, das automatisch generiert wird. Wählen Sie die Zertifikat-ID 1 oder 2 aus, und klicken Sie auf die Schaltfläche Bearbeiten.
Um ein selbstsigniertes Zertifikat zu generieren, aktivieren Sie im neuen Popup-Fenster die Option RSA-Schlüssel neu generieren, und geben Sie die folgenden Parameter ein:
Schlüssellänge
Allgemeine Bezeichnung
Organisationseinheit
Name der Organisation
Location (Standort)
Status
Land
Dauer
Klicken Sie auf Erstellen.
Sie können auch ein Zertifikat von einer Drittanbieter-Zertifizierungsstelle erstellen.
Nun können Sie das benutzerdefinierte Zertifikat unter der SSL Server Key Table (SSL-Serverschlüsseltabelle) sehen. Wählen Sie das neu erstellte Zertifikat aus, und klicken Sie auf Details.
Im Popup-Fenster werden die Details zu Zertifikat, öffentlichem Schlüssel, und privatem Schlüssel (verschlüsselt) angezeigt. Sie können diese in eine separate Notizblock-Datei kopieren. Klicken Sie auf Vertrauliche Daten als Nur-Text anzeigen.
Ein Popup-Fenster wird geöffnet, um die Anzeige des privaten Schlüssels als Klartext zu bestätigen. Klicken Sie auf OK.
Nun können Sie den privaten Schlüssel in Klartextform sehen. Kopieren Sie diese unverschlüsselte Ausgabe in eine Notizblock-Datei. Klicken Sie auf Close (Schließen).
Wählen Sie das neu erstellte benutzerdefinierte Zertifikat aus, und klicken Sie auf Zertifikat importieren.
Aktivieren Sie im neuen Popup-Fenster die Option RSA-Schlüsselpaar importieren, und fügen Sie den privaten Schlüssel (in Schritt 9 kopiert) im Klartextformat ein. Klicken Sie auf Apply (Anwenden).
In diesem Beispiel ist das Schlüsselwort RSA am BEGIN und END des öffentlichen Schlüssels enthalten.
Auf dem Bildschirm wird die Erfolgsmeldung angezeigt. Sie können dieses Fenster schließen und die Konfiguration auf dem Switch speichern.
Die besprochenen Fehler betreffen den öffentlichen Schlüssel. Normalerweise werden zwei Arten von Formaten für öffentliche Schlüssel verwendet:
1. RSA Public Key-Datei (PKCS#1): Dies gilt speziell für RSA-Schlüssel.
Es beginnt und endet mit den Tags:
-----ÖFFENTLICHER RSA-SCHLÜSSEL STARTEN-----
BASE64-CODIERTE DATEN
-----ÖFFENTLICHER RSA-SCHLÜSSEL BEENDEN-----
2. Public-Key-Datei (PKCS#8): Dabei handelt es sich um ein eher generisches Schlüsselformat, das den Typ des öffentlichen Schlüssels identifiziert und die relevanten Daten enthält.
Es beginnt und endet mit den Tags:
-----ÖFFENTLICHER SCHLÜSSEL STARTEN-----
BASE64-CODIERTE DATEN
-----ÖFFENTLICHER SCHLÜSSEL ENDEN-----
Szenario 1: Sie haben das Zertifikat von einer Drittanbieter-Zertifizierungsstelle generiert. Sie haben den öffentlichen Schlüssel kopiert und eingefügt und auf Übernehmen geklickt.
Sie haben die Nachricht erhalten, Fehler: Der Schlüsselkopf fehlt. Schließen Sie das Fenster. Es können einige Änderungen vorgenommen werden, um dieses Problem zu beheben.
So beheben Sie diesen Fehler:
Fügen Sie das Schlüsselwort RSA am Anfang des öffentlichen Schlüssels hinzu: RSA PUBLIC KEY STARTEN
Fügen Sie das Schlüsselwort RSA am Ende des öffentlichen Schlüssels hinzu: ÖFFENTLICHER SCHLÜSSEL ENDE RSA
Die ersten 32 Zeichen aus dem Schlüsselcode entfernen Der hervorgehobene Teil unten ist ein Beispiel für die ersten 32 Zeichen.
Wenn Sie die Einstellungen übernehmen, erhalten Sie in den meisten Fällen nicht den Fehler Schlüssel fehlt.
Szenario 2: Sie haben ein Zertifikat auf einem Switch generiert und es in einen anderen Switch importiert. Sie haben den öffentlichen Schlüssel kopiert und eingefügt, nachdem Sie die ersten 32 Zeichen entfernt und auf Übernehmen geklickt haben.
Der Fehler beim Laden des öffentlichen Schlüssels wurde auf dem Bildschirm angezeigt.
Um diesen Fehler zu beheben, löschen Sie in diesem Fall NICHT die ersten 32 Zeichen des öffentlichen Schlüssels.
Geben Sie den folgenden Befehl ein, um ein Zertifikat über die CLI zu importieren.
switch(config)#crypto certificate [Zertifikatnummer] importZertifikat 2 wird in diesem Beispiel importiert.
switch(config)#crypto certificate 2 importEinfügen der Eingabe; Fügen Sie nach der Eingabe einen Punkt (.) in einer separaten Zeile hinzu.
-----PRIVATEN RSA-SCHLÜSSEL STARTEN-----Jetzt haben Sie gelernt, wie Sie mithilfe der Benutzeroberfläche und der Kommandozeile ein Zertifikat erfolgreich in die Switches der Serien Sx350 und Sx550X importieren.