はじめに
このドキュメントでは、ユーザまたは認証局(CA)によって署名されたSSL証明書をCSPCにインストールする方法について説明します。
前提条件
要件
- .keyファイル(署名するcsrファイルの作成中に生成されます)
- .crtファイル(.keyファイルと一致し、ユーザまたはCAによって署名された証明書)
- CSPCへのルートアクセス
ヒント: .crtファイルの代わりに.cerファイルを指定することもできます。これらのファイルは、インストールする.crtファイルに変換できます。
設定
使用するコンポーネント
- CSPC(テスト済みバージョンは2.7.x 2.8.x 2.9.xおよび2.10.x)
- FTPクライアント(WinSCP、Filezilla、MobaXtermなど)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
コンフィギュレーション
ファイルをCSPCにインポートします。
1. FTPクライアントを使用して、.crtファイルと.keyファイルを/home/collectoroginにインポートします。
1.1 .cerが提供されている場合は、ファイルを.crtに変換します。(<name>はファイル名で置き換えます)。
openssl x509 -inform DER -in <名前>.cer -out localhost.crt
openssl x509 -inform DER -in .cer -out rui.crt
前のコマンドでエラー(証明書を読み込めないなど)が発生した場合は、このコマンドを使用します。エラーをプロンプトできません。
openssl x509 -in .cer -out rui.crt
インストール
2. キーストアを作成します。
openssl pkcs12 -export -in localhost.crt -inkey localhost.key > localhost.p12
3. CSPCのキーストアにインポートします。
/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -importkeystore -srckeystore localhost.p12 -srcstoretype pkcs12 -destkeystore $CSPCHOME/webui/tomcat/conf/cspcgxt -deststoretype jks
注:パスワードの入力を求められます。これは常にcspcgxtです。
4. インポートされたことを確認します(2つのエントリが存在します)。
/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -list -v -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt | grep --color 'Your keystore contains'
5. 前の別名を削除します。
/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -delete -alias tomcat -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt
6. エイリアスが1つしか存在しないことを確認します
/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -list -v -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt | grep --color 'Your keystore contains'
7. 別名をtomcatに変更します。
/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -changealias -alias 1 -destalias tomcat -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt
8. CSPCサービスを再起動します。
バージョン2.7.xおよび2.8.xの場合:
service cspc restart
バージョン2.9.xおよび2.10.xの場合:
systemctl cspc restart
注意:CSPCのアップグレード時にSSL証明書が削除される可能性があるため、.keyファイルと.crtファイルを保存して、再インストールが必要になります。
確認
CSPCログイン画面に移動し、アドレスバーの左側にあるロックを選択して、証明書を検査します。
トラブルシュート
再起動時に、バージョン2.9.xと2.10.xでTomcatに関する問題が報告されています。GUIが起動しない場合:
1. 再起動後にtomcatサービスが起動していることを確認します。
service tomcat status
2. メッセージに「Active: activating (start)」と表示された場合は、サービスが起動するまで5 ~ 10分待ってください。それ以外の場合は、手動で開始します。
service tomcat start
バージョン2.9.xおよび2.10.xを再起動すると、GUIが起動しない場合、Tomcatに問題があることが報告されています。
1. 再起動後にtomcatサービスが起動していることを確認します。
サービスtomcatステータス
2. 「Active: activating (start)」というメッセージが表示された場合は、サービスが起動するまで5~10分待ってください。それ以外の場合は、手動で起動してください。
サービスtomcat開始
ヒント:引き続き問題が発生する場合は、リードに連絡するか、コメントを共有してください。