Inleiding
In dit document wordt beschreven hoe u SSL-certificaten kunt installeren die door u of een certificeringsinstantie (CA) zijn ondertekend in de CSPC.
Voorwaarden
Vereisten
- .key-bestand (gegenereerd tijdens het maken van het CSR-bestand voor u of een CA om te ondertekenen)
- .crt-bestand (Dit is het certificaat dat overeenkomt met het .key-bestand en wordt ondertekend door u of CA)
- Hoofdtoegang tot CSPC
Tip: Als alternatief voor het .crt-bestand kunt u .cer-bestanden opgeven. Deze kunnen worden geconverteerd naar .crt bestanden die moeten worden geïnstalleerd.
Configureren
Gebruikte componenten
- CSPC (geteste versies omvatten 2.7.x 2.8.x 2.9.x en 2.10.x)
- FTP-client (zoals WinSCP, Filezilla, MobaXterm, enzovoort.)
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configuraties
De bestanden importeren in de CSPC
1. Importeer de .crt- en .key-bestanden met een FTP-client in /home/collectorogin.
1.1 Als u een .cer hebt ontvangen, converteert u het bestand naar .crt. (Vervang <naam> door de naam van het bestand).
openssl x509 -inform DER -in <name>.cer -out localhost.crt
openssl x509 -inform DER -in .cer -out rui.crt
Als de vorige opdracht een fout geeft (zoals het niet kunnen laden van certificaat), wat in sommige gevallen kan gebeuren, gebruik dan deze opdracht. Het kan de fout niet veroorzaken.
openssl x509 -in .cer -out rui.crt
Installeren
2. Maak de keystore aan.
openssl pkcs12 -export -in localhost.crt -inkey localhost.key > localhost.p12
3. Importeren naar CSPC's keystore.
/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -importkeystore -srckeystore localhost.p12 -srcstoretype pkcs12 -destkeystore $CSPCHOME/webui/tomcat/conf/cspcgxt -deststoretype jks
Opmerking: het vraagt om het wachtwoord. Het is altijd respectvol.
4. Controleer of het product is ingevoerd (twee vermeldingen zijn aanwezig).
/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -list -v -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt | grep --color 'Your keystore contains'
5. Verwijder de vorige alias.
/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -delete -alias tomcat -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt
6. Controleer of er slechts één alias aanwezig is
/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -list -v -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt | grep --color 'Your keystore contains'
7. Wijzig de alias in tomcat.
/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -changealias -alias 1 -destalias tomcat -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt
8. Start de CSPC-services opnieuw op.
Voor versies 2.7.x en 2.8.x:
service cspc restart
Voor versies 2.9.x en 2.10.x:
systemctl cspc restart
Let op: Sla de .key en .crt bestanden op als upgrades naar de CSPC kan het SSL certificaat verwijderen en opnieuw installeren is vereist.
Verifiëren
Navigeer naar het CSPC-aanmeldingsscherm en selecteer de vergrendeling aan de linkerkant van de adresbalk en inspecteer het certificaat.
Problemen oplossen
Bij het opnieuw opstarten is gemeld dat versies 2.9.x en 2.10.x problemen hebben met Tomcat. Als de GUI niet verschijnt:
1. Bevestig dat de tomcat-services zijn ingeschakeld na herstart:
service tomcat status
2. Als het bericht Actief: activeren (starten) wordt weergegeven, wacht u vijf tot tien minuten terwijl de service wordt gestart. Begin het anders handmatig:
service tomcat start
Bij het herstarten van versies 2.9.x en 2.10.x is gemeld dat er problemen zijn met Tomcat, als de GUI niet verschijnt:
1. Bevestig dat de tomcat-services zijn ingeschakeld na herstart:
Service Tomcat-status
2. Als het bericht "Actief: activeren (starten)" wordt weergegeven, wacht u 5-10 minuten terwijl de service wordt gestart, anders start u het handmatig:
Service Tomcat Start
Tip: Als u nog steeds problemen ondervindt, neem dan contact op met een lead of deel de opmerkingen.