Inleiding
Dit document beschrijft het proces om een Fabric Interconnect zelfondertekend certificaat te vernieuwen in Intersight-omgevingen (ASA of applicatie).
Voorwaarden
Vereisten
UCS-domein in intersight beheerde modus.
UCS Domain Intersight beheerde modus
Gebruikte componenten
-
Fabric Interconnect 6454
-
Versie: 4,2 (3 m)
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Zelfondertekend certificaat genereren
Cisco raadt het gebruik van CA-ondertekende certificaten aan om toegang tot het apparaat te krijgen, omdat moderne browsers de toegang kunnen beperken als er zelfondertekende certificaten worden gebruikt. Met de virtuele applicatie Intersight kunt u een zelfondertekend certificaat genereren om de geldigheid ervan te verlengen als het door Cisco verstrekte certificaat verloopt.
Wanneer het genereren van een nieuw zelfondertekend certificaat, wordt het bestaande SSL-certificaat vervangen, waardoor u mogelijk uit de huidige browsersessie wordt afgetapt. Als u niet bent afgemeld, vernieuw uw browser om het nieuwe certificaat toe te passen. Om de update te bevestigen, klik op het slot of waarschuwingspictogram naast de URL in de adresbalk van uw browser. Na het verfrissen, wordt u geleid aan de pagina van Instellingen > Certificaten zonder het moeten opnieuw inloggen.
De gebruikersinterface van de apparaatconsole (UI) gebruikt een zelfondertekend certificaat waarin de algemene naam (CN) is ingesteld op switch. Dit certificaat wordt de eerste keer gegenereerd dat Fabric Interconnect (FI) wordt ingeschakeld en geconfigureerd. Het zelfondertekende certificaat is 365 dagen geldig, wat betekent dat elke FI die meer dan een jaar loopt een verlopen certificaat heeft.
Sommige klanten gebruiken geautomatiseerde monitoringtools om IP of hostname van het apparaat via HTTPS te schrapen en de verloopdatum van het certificaat te valideren. Wanneer het certificaat verloopt, kunnen deze tools alarmen veroorzaken, wat leidt tot observabiliteit en beveiligingsteams om het als een mogelijk probleem te markeren.
Bovendien, omdat het certificaat zelf-ondertekend is, tonen webbrowsers een niet Veilige waarschuwing. Deze waarschuwing kan ook verschijnen als het certificaat is verlopen, wat mogelijk verdere veiligheidsproblemen veroorzaakt.
Om deze problemen te voorkomen, wordt aanbevolen het certificaat proactief te verlengen of te vervangen.
Probleem/symptoom
U ziet dat de site niet veilig is wanneer u de apparaatconsole opent.
Opmerking: Voor toegang tot de apparaatconsole hebt u het IP-adres van de Fabric Interconnect nodig.
Certificaatfout
Wanneer u op de certificaatinformatie klikt, ziet u de verloopdatum van de certificering.
Vervaldatum certificaat
Certificaat regenereren
Om het standaardcertificaat in Intersight te vernieuwen, moet u de apparaatconsole opnieuw opstarten of de Fabric Interconnect opnieuw opstarten (niet aanbevolen).
Gebruik deze stappen om het standaardcertificaat handmatig te regenereren in Intersight:
-
Open een SSH-sessie met behulp van het IP-adres van één fabric interconnect.
-
Start de opdracht:
UCS# generate-self-signed-certificate
Als het certificaat met succes is gegenereerd, ziet u:
hostname is IMM-FI6454
Successfully generated the self-signed-certificates
Successfully restarted the web-server
Gebruik deze opdracht om het huidige certificaat te controleren en te bevestigen dat het is gewijzigd:
UCS# show self-signed-certificate
Voorbeelduitvoer:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Opmerking: Als u het certificaat vóór verlenging controleert, zorg er dan voor dat het na het vernieuwingsproces verandert.
Ten slotte moet het certificaat er zo uitzien:
Certificaatvalidatie
Gerelateerde informatie
Certificaten in Intersight virtuele applicatie