はじめに
このドキュメントでは、Intersight環境(SAASまたはアプライアンス)でファブリックインターコネクト(FI)自己署名証明書を更新するプロセスについて説明します。
前提条件
要件
IntersightマネージドモードのUCSドメイン。
UCSドメインインターサイト管理モード
使用するコンポーネント
-
ファブリックインターコネクト6454
-
バージョン:4.2(3m)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
自己署名証明書の生成
現在のブラウザでは自己署名証明書が使用されている場合にアクセスが制限されるため、アプライアンスへのアクセスにはCA署名証明書を使用することをお勧めします。Intersight仮想アプライアンスを使用すると、自己署名証明書を生成して、シスコが提供する証明書の有効期限が切れた場合に有効な証明書を延長できます。
新しい自己署名証明書を生成すると、既存のSSL証明書が置き換えられ、現在のブラウザセッションからログアウトされる可能性があります。ログアウトしていない場合は、ブラウザを更新して、新しい証明書を適用します。更新を確認するには、ブラウザのアドレスバーのURLの横にあるロックまたは警告アイコンをクリックします。更新すると、再度ログインしなくても、Settings > Certificatesの順にページが表示されます。
デバイスコンソールユーザインターフェイス(UI)は、共通名(CN)がswitchに設定された自己署名証明書を使用します。この証明書は、ファブリックインターコネクト(FI)の電源を初めてオンにして設定したときに生成されます。自己署名証明書は365日間有効です。これは、1年以上にわたって実行されているFIの証明書が期限切れであることを意味します。
一部のお客様は、自動化された監視ツールを使用して、HTTPS経由でデバイスのIPまたはホスト名を取得し、証明書の有効期限を検証します。証明書の有効期限が切れると、これらのツールによってアラームがトリガーされ、可観測性チームとセキュリティチームによって潜在的な問題としてフラグが付けられます。
また、証明書は自己署名されているため、WebブラウザにはNot Secure警告が表示されます。この警告は、証明書の有効期限が切れている場合にも表示され、セキュリティ上の問題がさらに発生する可能性があります。
これらの問題を防ぐために、証明書を予防的に更新または置き換えることをお勧めします。
問題/症状
デバイスコンソールにアクセスすると、このサイトは安全ではないことがわかります。
注:デバイスコンソールにアクセスするには、Fabric InterconnectのIPアドレスが必要です。
証明書エラー
証明書情報をクリックすると、証明書の有効期限が表示されます。
証明書の有効期限
証明書の再生成
Intersightでデフォルトの証明書を更新するには、デバイスコンソールを再起動するか、ファブリックインターコネクト(推奨されません)を再起動する必要があります。
Intersightでデフォルトの証明書を手動で再生成するには、次の手順を実行します。
-
1つのFabric InterconnectのIPアドレスを使用してSSHセッションを開きます。
-
次のコマンドを実行します:
UCS# generate-self-signed-certificate
証明書が正常に生成されると、次のように表示されます。
hostname is IMM-FI6454
Successfully generated the self-signed-certificates
Successfully restarted the web-server
実際の証明書を確認し、変更されたことを確認するには、次のコマンドを使用します。
UCS# show self-signed-certificate
出力例:
-----BEGIN CERTIFICATE-----
MIIC+DCCAeCgAwIBAgICBnowDQYJKoZIhvcNAQELBQAwIjEgMB4GA1UEAxMXSU1N
LVNBQVMtTVhTVkxBQi02NDU0LUEwHhcNMjUwMzEyMjI1MTM4WhcNMjYwMzEyMjI1
MTM4WjAiMSAwHgYDVQQDExdJTU0tU0FBUy1NWFNWTEFCLTY0NTQtQTCCASIwDQYJ
KoZIhvcNAQEBBQADggEPADCCAQoCggEBAK+Q9oAU2rHxtV5stg9vfCeKQ+9+n5Ke
oz6IKOeEDufeRcBYepaJlEhffvdLp/uOh/NnyphT4mVLiJxh6dTTIhW58G8LaGNV
hIRtNAX984eLCs1nSG3o3tzJ3+e5t04G6klAcj43HiKY+oRCEs+oiUsQlYpBjHoy
FGxMT8wpnNMIg59mKVTuUeC4r6ACnyy1CRNp8qD8Rf4lIBU/jTI/jPdzE2//9rAo
G85qhZ46vI0dLu1jv/ySszQkATFA15KHFETnyTkptdlJH8mc033edJ1Xq9plebMp
dtn18zj+2qxQq8ErZ6doFdkOuyuq3N6Q0dbfdefKKuiFvkCGv4GwRG8CAwEAAaM4
MDYwDgYDVR0PAQH/BAQDAgKkMBMGA1UdJQQMMAoGCCsGAQUFBwMBMA8GA1UdEQQI
MAaHBH8AAAEwDQYJKoZIhvcNAQELBQADggEBAFn+v4ehwLFi/mcHWA4ld03JBkvI
RIlbFPHjOykzmAN8E1XoJlLciCxA3gHUzPP6lT+2VpeAXAoWzIlgUlm2GwPzZbCQ
nz2v7NpGHchaXAEi756IMmCm2IJ2jOuS9p9v3AAX3gLUp43SeCQN+C2nNOcZgmZr
/K1CoNkIUXdVI8nxEDCMFPezL1SXdNa2c4AB699teolCNc65tnnNDjsxkLkL7bTx
P5euETVi5CizQQpjcZzXEMHv3XdvXtkzyAATjRmvUS8lxyXxiisMjMl7f8zXkLnG
n7ZKR746BXgXufmS0zITtbpvgI9+6PnauoWOh3EH7rGmJyZnn5L62/oaoy4=
-----END CERTIFICATE-----
注:更新前に証明書を確認する場合は、更新プロセス後に証明書が変更されていることを確認してください。
最後に、証明書は次のようになります。
証明書の検証
関連情報
Intersight仮想アプライアンスの証明書