CS - Cómo instalar los Certificados de tercera persona SSL para el acceso a GUI
Contenido
Introducción
El Cisco Security Manager (CS) proporciona una opción para utilizar los Certificados de la Seguridad publicados por las autoridades de certificación de tercera persona (CA). Estos Certificados pueden ser utilizados cuando la política organizativa previene de usar los certificados autofirmados CS o requiere los sistemas utilizar un certificado obtenido de CA determinado.
TLS/SSL utiliza estos Certificados para la comunicación entre el servidor CS y el buscador del cliente. Este documento describe los pasos para generar un pedido de firma de certificado (CSR) en el CS y cómo instalar la identidad y raíz CA los Certificados en lo mismo.
Prerequisites
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
- El conocimiento del SSL certifica la arquitectura.
- Conocimiento básico del Cisco Security Manager.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Versión 4.11 y posterior del Cisco Security Manager.
Creación CSR de la interfaz de usuario
Esta sección describe cómo generar un CSR.
Paso 1. Ejecute el Home Page del Cisco Security Manager y seleccione la Administración de la administración de servidores > de la Seguridad > del servidor único del server> > la configuración del certificado.
Paso 2. Ingrese los valores requeridos para los campos descritos en esta tabla:
| Campo |
Notas de uso |
| Nombre del país |
Código del país de dos caracteres. |
| Estado o provincia |
Código del estado o de la provincia de dos caracteres o el nombre completo del estado o de la provincia. |
| Lugar |
Código de ciudad o del pueblo de dos caracteres o el nombre completo de la ciudad o del pueblo. |
| Nombre de la organización |
Nombre completo de su organización o de una abreviatura. |
| Nombre de la unidad de la organización |
Nombre completo de su departamento o de una abreviatura. |
| Nombre del servidor |
Nombre DNS, dirección IP o nombre de host del ordenador. Ingrese Nombre del servidor con un Domain Name apropiado y resolvable. Esto se visualiza en su certificado (si uno mismo-está firmado o otro vendedor publicado). El host local o 127.0.0.1 no debe ser dado. |
| Dirección de correo electrónico |
Dirección de correo electrónico a la cual el correo tiene que ser enviado. |
Paso 3. El tecleo se aplica para crear el CSR.
El proceso genera los archivos siguientes:
- server.key — La clave privada del servidor.
- server.crt — El certificado autofirmado del servidor.
- server.pk8 — La clave privada del servidor en el formato PKCS#8.
- server.csr — Archivo del pedido de firma de certificado (CSR).
Carga del certificado de identidad en el servidor CS
Esta sección describe cómo cargar el certificado de identidad proporcionado por CA al servidor CS
Paso 1 Encuentre el script utilitario SSL disponible en esta ubicación
NMSROOT\MDC\Apache
Esta utilidad tiene estas opciones.
| Número |
Opción |
Qué lo hace… |
|
| 1 |
Información del certificado de servidor de la visualización |
Para el otro vendedor publicado los Certificados, esta opción visualizan los detalles del certificado de servidor, los Certificados intermedios, eventualmente, y certificado raíz CA.
|
|
| 2 |
Visualice la información del certificado de la entrada |
Esta opción valida un certificado como entrada y:
|
|
| 3 |
Certificados de la visualización raíz CA confiados en por el servidor |
Genera una lista de todos raíz CA los Certificados. |
|
| 4 |
Verifique el certificado o la Cadena de certificados de la entrada |
Verifica si el certificado de servidor publicado por el otro vendedor CA, pueda ser cargado. Cuando usted elige esta opción, la utilidad:
Después de que la verificación se complete con éxito, a le indican que cargue los Certificados al servidor CS. La utilidad visualiza un error:
Usted debe entrar en contacto CA que publicó los Certificados para corregir estos problemas antes de que usted cargue los Certificados al CS. |
|
| 5 |
Certificado de servidor único de la carga al servidor |
Usted debe verificar los Certificados usando la opción 4 antes de que usted seleccione esta opción. Seleccione esta opción, sólo si no hay Certificados del intermedio y hay solamente el certificado de servidor firmado por un prominente certificado raíz CA. Si raíz CA no es uno confiado en por el CS, no seleccione esta opción. En estos casos, usted debe obtener certificado raíz CA usado para firmar el certificado de CA y cargar ambos los Certificados usando la opción 6. Cuando usted selecciona esta opción, y proporciona la ubicación del certificado, la utilidad:
Después de que la verificación se complete con éxito, la utilidad carga el certificado a Servidor CiscoWorks. La utilidad visualiza un error:
Usted debe entrar en contacto CA que publicó los Certificados para corregir estos problemas antes de que usted cargue los Certificados en el CS otra vez. |
|
| 6 |
Cargue una Cadena de certificados al servidor |
Usted debe verificar los Certificados usando la opción 4 antes de que usted seleccione esta opción. Seleccione esta opción, si usted está cargando una Cadena de certificados. Si usted es también el cargar certificado raíz CA también, usted debe incluirlo como uno de los Certificados en el encadenamiento. Cuando usted selecciona esta opción y proporciona la ubicación de los Certificados, la utilidad:
Después de que la verificación se complete con éxito, el certificado de servidor está cargado a Servidor CiscoWorks. Todos los Certificados del intermedio y certificado raíz CA están cargados y copiados al CS TrustStore. La utilidad visualiza un error:
Usted debe entrar en contacto CA que publicó los Certificados para corregir estos problemas antes de que usted cargue los Certificados en los CiscoWorks otra vez. |
|
| 7 |
Modifique el certificado común de los servicios |
Esta opción permite que usted modifique la entrada de nombre del host en el certificado común de los servicios. Usted puede ingresar un nombre de host alterno si usted desea cambiar la entrada de nombre del host existente. |
Paso 2 Utilice la opción 1 para conseguir una copia del certificado actual y para salvarla para la referencia futura.
Paso 3 Pare al administrador de Daemon CS que usa este comando en el comando prompt de Windows antes de comenzar el proceso de la carga del certificado.
net stop crmdmgtd
Paso 4 Abra la utilidad SSL una vez más. Esta utilidad se puede abrir usando el comando prompt navegando a la trayectoria previamente mencionada y usando este comando.
perl SSLUtil.pl
Paso 5 La opción selecta 4. verifica la Cadena de certificados del certificado de la entrada.
Paso 6 Ingrese la ubicación de los Certificados (certificado de servidor y certificado del intermedio).
Paso 7 Seleccione las después dos opciones unas de los.
Seleccione la opción 5 si hay solamente un certificado a cargar, eso es si el certificado de servidor es firmado por a certificado raíz CA.
O
Seleccione la opción 6 si hay una Cadena de certificados a cargar, eso es si hay un certificado de servidor y un certificado del intermedio.
Paso 8 Ingrese estos detalles requeridos.
- Ubicación del certificado
- Ubicación de los Certificados intermedios, si los hay.
La utilidad SSL carga los Certificados si todos los detalles están correctos y los Certificados cumplen los requisitos CS para los Certificados de la Seguridad.
Paso 9 Recomience al administrador de Daemon CS para que el nuevo cambio tome el efecto y habilite los servicios CS.
net start crmdmgtd
Paso 10 Confirme el CS está utilizando el certificado de identidad instalado.
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)