Introduction
Ce document décrit le processus de renouvellement d'un certificat autosigné Fabric Interconnect dans des environnements Intersight (SAAS ou Appliance).
Conditions préalables
Exigences
Domaine UCS en mode géré Intersight.
Mode géré UCS Domain Intersight
Composants utilisés
-
Fabric Interconnect 6454
-
Version : 4,2(3 m)
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Générer un certificat auto-signé
Cisco recommande d'utiliser des certificats signés par l'autorité de certification pour accéder à l'appliance, car les navigateurs modernes peuvent restreindre l'accès si des certificats auto-signés sont utilisés. L'appliance virtuelle Intersight vous permet de générer un certificat auto-signé pour prolonger sa validité si le certificat fourni par Cisco expire.
Lors de la génération d'un nouveau certificat auto-signé, le certificat SSL existant est remplacé, ce qui peut vous déconnecter de la session de navigateur en cours. Si vous n'êtes pas déconnecté, actualisez votre navigateur pour appliquer le nouveau certificat. Pour confirmer la mise à jour, cliquez sur l'icône de verrouillage ou d'avertissement en regard de l'URL dans la barre d'adresse de votre navigateur. Après l'actualisation, vous êtes dirigé vers la page Paramètres > Certificats sans avoir besoin de vous reconnecter.
L'interface utilisateur de la console du périphérique utilise un certificat auto-signé avec le nom commun (CN) défini sur le commutateur. Ce certificat est généré la première fois que l'interconnexion de fabric (FI) est mise sous tension et configurée. Le certificat auto-signé est valide pendant 365 jours, ce qui signifie que tout IF en cours d'exécution pendant plus d'un an a un certificat expiré.
Certains clients utilisent des outils de surveillance automatisée pour analyser l'adresse IP ou le nom d'hôte du périphérique via HTTPS et valider la date d'expiration du certificat. Lorsque le certificat expire, ces outils peuvent déclencher des alarmes, ce qui conduit les équipes d'observabilité et de sécurité à le signaler comme problème potentiel.
En outre, comme le certificat est auto-signé, les navigateurs Web affichent un avertissement Non sécurisé. Cet avertissement peut également s'afficher si le certificat a expiré, ce qui peut entraîner d'autres problèmes de sécurité.
Pour éviter ces problèmes, il est recommandé de renouveler ou de remplacer le certificat de manière proactive.
Problème/Symptôme
Vous voyez que le site n'est pas sécurisé lorsque vous accédez à la console du périphérique.
Remarque : Pour accéder à la console du périphérique, vous avez besoin de l'adresse IP de Fabric Interconnect.
Erreur de certificat
Lorsque vous cliquez sur les informations du certificat, vous voyez la date d'expiration de la certification.
Date d'expiration du certificat
Régénérer le certificat
Pour renouveler le certificat par défaut dans Intersight, vous devez redémarrer la console du périphérique ou redémarrer l'interconnexion de fabric (non recommandé).
Suivez ces étapes pour régénérer manuellement le certificat par défaut dans Intersight :
-
Ouvrez une session SSH en utilisant l'adresse IP d'une interconnexion de fabric.
-
Exécutez la commande :
UCS# generate-self-signed-certificate
Si le certificat a été généré avec succès, vous voyez :
hostname is IMM-FI6454
Successfully generated the self-signed-certificates
Successfully restarted the web-server
Pour vérifier le certificat réel et confirmer sa modification, utilisez cette commande :
UCS# show self-signed-certificate
Exemple de rapport :
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Remarque : Si vous vérifiez le certificat avant de le renouveler, assurez-vous qu'il change après le processus de renouvellement.
Enfin, le certificat doit ressembler à ceci :
Validation de certificat
Informations connexes
Certificats dans l'appliance virtuelle Intersight