El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo generar una nueva solicitud de firma de certificado (CSR) con la información del certificado de Expressway existente.
Cisco recomienda que conozca estos temas:
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Para obtener la información contenida en el certificado actual, navegue hasta Mantenimiento > Seguridad > Certificado de servidor en la interfaz gráfica de usuario (GUI) de Expressway.
Localice la sección Datos del certificado del servidor y seleccione Mostrar (descodificado).
Busque la información en el Nombre común (CN) y Nombre alternativo del sujeto (SAN) como se muestra en la imagen:
Ahora que conoce el CN y la SAN, cópielos para que se puedan agregar al nuevo CSR.
Opcionalmente, puede copiar la información adicional para el certificado que es País (C), Estado (ST), Localidad (L), Organización (O), Unidad organizativa (OU). Esta información está junto a la CN.
Para crear la CSR, navegue hasta Mantenimiento > Seguridad > Certificado de servidor.
Busque la sección Solicitud de firma de certificado (CSR) y seleccione Generar CSR como se muestra en la imagen:
Introduzca los valores recopilados del certificado actual.
El CN no puede modificarse a menos que sea un clúster. En el caso de un clúster, puede seleccionar el CN para que sea el nombre de dominio completo (FQDN) de Expressway o el FQDN del clúster. En este documento se utiliza un único servidor y, por lo tanto, el CN corresponde a lo que obtuvo del certificado actual, como se muestra en la imagen:
Para las SANs, debe ingresar los valores manualmente en caso de que no se rellenen automáticamente, para hacerlo puede ingresar los valores en los nombres alternativos adicionales, si tiene varias SANs deben estar separadas por comas, por ejemplo: ejemplo1.dominio.com, ejemplo2.dominio.com, ejemplo3.dominio.com. Una vez agregadas, las SAN se enumeran en la sección Nombre alternativo, ya que aparecerá, como se muestra en la imagen:
La información adicional es obligatoria, si no se rellena automáticamente o hay que cambiarla, debe introducirse manualmente como se muestra en la imagen:
Una vez finalizado, seleccione Generar CSR.
Ahora que se genera la CSR, puede seleccionar Mostrar (decodificado) en la sección Solicitud de firma de certificado (CSR) para verificar que todas las SAN estén presentes, como se muestra en la imagen:
En la nueva ventana, busque el CN y el nombre alternativo del sujeto como se muestra en la imagen:
La CN siempre se agrega como una SAN automáticamente:
Ahora que se ha verificado el CSR, puede cerrar la nueva ventana y seleccionar Descargar (descodificado) en la sección Solicitud de firma de certificado (CSR) como se muestra en la imagen:
Después de descargarlo, puede enviar la nueva CSR a su Autoridad de Certificación (CA) para que la firme.
Una vez que el nuevo certificado se devuelve de la CA, puede verificar si todas las SAN están presentes en el certificado. Para ello, puede abrir el certificado y buscar los atributos de SAN. En este documento se utiliza un equipo de Windows para ver los atributos, este no es el único método siempre y cuando pueda abrir o descodificar el certificado para revisar los atributos.
Abra el certificado y navegue hasta la pestaña Detalles y busque Asunto, debe contener la CN y la Información Adicional como se muestra en la imagen:
También busque la sección Nombre alternativo del asunto, debe contener las SAN que ingresó en la CSR como se muestra en la imagen:
Si todas las SAN que ha introducido en la CSR no están presentes en el nuevo certificado, póngase en contacto con su CA para ver si se permiten SAN adicionales para su certificado.
Si la CA es la misma que firmó el certificado antiguo de Expressway, puede descartar este paso. Si se trata de una CA diferente, debe cargar los nuevos certificados de CA en la lista de CA de confianza en cada uno de los servidores de Expressway. Si tiene zonas de seguridad de la capa de transporte (TLS) entre Expressway, por ejemplo entre Expressway-C y Expressway-E, debe cargar las nuevas CA en ambos servidores para que puedan confiar entre sí.
Para hacerlo, puede cargar sus certificados de CA uno por uno. Vaya a Mantenimiento > Seguridad > Certificados CA de confianza en Expressway.
Este procedimiento debe realizarse para cada certificado de CA en la cadena de certificados (raíz e intermedio) y debe hacerse en todos los servidores de Expressway incluso si están agrupados.
Si toda la información en el nuevo certificado es correcta, para cargar el nuevo certificado navegue a: Mantenimiento > Seguridad > Certificado de servidor.
Localice la sección Cargar certificado nuevo como se muestra en la imagen:
Si Expressway acepta el nuevo certificado, Expressway solicita un reinicio para aplicar los cambios y el mensaje muestra la nueva fecha de vencimiento del certificado, como se muestra en la imagen:
Para reiniciar Expressway seleccione reinicio.
Una vez que el servidor haya recuperado el nuevo certificado debe haber sido instalado, puede navegar a: Mantenimiento > Seguridad > Certificado de servidor para confirmar.
Localice los datos del certificado del servidor y busque la sección El certificado cargado actualmente caduca en, muestra la nueva fecha de vencimiento del certificado como se muestra en la imagen:
Actualmente, no hay información específica de troubleshooting disponible para esta configuración.