Secure Web Appliance GUI-certificaat configureren

Downloadopties

  • PDF     (665.9 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:11 maart 2025
Document-id:222497

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document worden de stappen beschreven voor het configureren van certificaten voor de SWA-beheerwebinterface (Secure Web Appliance).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • SWA-beheer.

    Cisco raadt u aan om:

    • Fysieke of virtuele SWA geïnstalleerd.
    • Administratieve toegang tot de grafische gebruikersinterface (GUI) van SWA.
    • Administratieve toegang tot de SWA Command Line Interface (CLI).

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Webgebruikersinterfacecertificaat

    Eerst moeten we het type certificaten kiezen dat we willen gebruiken in SWA Management Web User Interface (Web UI).

    Standaard gebruikt SWA het "Cisco Appliance Demo Certificate:"

    • CN = Cisco Apparaat Demo Certificaat
    • O = Cisco Systems, Inc
    • L = San Jose
    • S = Californië
    • C = US

    U kunt een zelfondertekend certificaat maken in SWA of uw eigen certificaat importeren dat is gegenereerd door uw CA-server (Internal Certificate Authority).

    De SWA biedt geen ondersteuning voor het opnemen van alternatieve namen (SAN's) voor onderwerpen bij het genereren van een CSR (Certificate Signing Request). Bovendien ondersteunen de zelfondertekende SWA-certificaten ook geen SAN-kenmerken. Als u certificaten met SAN-kenmerken wilt gebruiken, moet u het certificaat zelf maken en ondertekenen en ervoor zorgen dat het de nodige SAN-details bevat. Nadat u dit certificaat hebt gegenereerd, kunt u het uploaden naar de SWA die moet worden gebruikt. Met deze aanpak kunt u meerdere hostnamen, IP-adressen of andere identificatoren opgeven, waardoor uw netwerkomgeving flexibeler en veiliger wordt.

    Opmerking: De certificaten moeten de privésleutel bevatten en deze moet in PKCS#12-indeling zijn.

    Stappen voor het wijzigen van webinterfacecertificaat

    Stap 1. Log in op de GUI en selecteer Netwerk in het hoofdmenu.

    Stap 2. Kies Certificaatbeheer.

    Stap 3. Selecteer Certificaat toevoegen in Toestelcertificaten.

    Stap 4. Selecteer Certificaattype (zelfondertekend certificaat of invoercertificaat).

    Image - Choose Certificate TypeAfbeelding - Certificaattype kiezen

    Stap 5. Als u het zelfondertekende certificaat selecteert, gebruikt u deze stappen. Anders gaat u verder met stap 6.

    Stap 5.1. Vul de velden in.

    Image - Self Sign Certificate DetailsAfbeelding - Details zelftekeningcertificaat

    Opmerking: De grootte van de privésleutel moet tussen 2048 en 8192 liggen.

    Stap 5.2. Klik op Next (Volgende).

    Image - Download CSRAfbeelding - CSR downloaden

    Stap 5.3. (Optioneel) U kunt de CSR downloaden en ondertekenen met uw organisatie CA Server, vervolgens het ondertekende certificaat uploaden en indienen.

    caution-icon

    Let op: Als u de CSR wilt ondertekenen met uw CA-server, moet u de pagina indienen en vastleggen voordat u het ondertekende certificaat ondertekent of uploadt. Het profiel dat u tijdens het genereren van CSR hebt gemaakt, bevat uw privésleutel.

    Stap 5.4.Indienen als het huidige zelfondertekende certificaat geschikt is.

    Stap 5.5. Ga naar stap 7.

    Stap 6. Als u kiest voor Certificaat importeren.

    Stap 6.1. Certificaatbestand importeren (PKCS#12-indeling is vereist).

    Stap 6.2. Voer het wachtwoord in voor het certificaatbestand. 

    Image - Import CertificateImage - Importcertificaat

    Stap 6.3. Klik op Next (Volgende).

    Stap 6.4. Wijzigingen indienen.

    Stap 7. Wijzigen doorvoeren.

    Stap 8. Log in bij de CLI.

    Stap 9. Typ certconfig en druk op Enter

    Stap 10. Typ SETUP.

    Stap 11. Typ Y en druk vervolgens op Enter.

    Opmerking: wanneer het certificaat wordt gewijzigd, kunnen beheerdersgebruikers die momenteel zijn aangemeld bij de webgebruikersinterface een verbindingsfout ervaren en niet-ingediende wijzigingen verliezen. Dit gebeurt alleen als het certificaat nog niet is gemarkeerd als vertrouwd door de browser.

    Stap 12. Kies 2 om uit de beschikbare lijst met certificaten te selecteren.

    Stap 13. Selecteer het aantal certificaten dat u voor de GUI wilt gebruiken.

    Stap 14. Als u een tussenliggend certificaat hebt en ze wilt toevoegen Type Y, typt u N anders.

    Opmerking: als u het tussenliggende certificaat moet toevoegen, moet u het tussenliggende cert in PEM-indeling plakken en eindigen met '.' (Alleen punt).

    SWA_CLI> certconfig

Choose the operation you want to perform:
- SETUP - Configure security certificate and key.
- OCSPVALIDATION - Enable OCSP validation of certificates during upload
- RESTRICTCERTSIGNATURE - Enable restricted signature validation of certificates during upload
- OCSPVALIDATION_FOR_SERVER_CERT - Enable OCSP validation for server certificates
- FQDNVALIDATION - FQDN validation for certificate
[]> SETUP

Currently using the demo certificate/key for HTTPS management access.

When the certificate is changed, administrative users who are currently logged in to the web user interface may experience a connection error and could lose unsubmitted changes. This 
occurs only if the certificate is not already marked as trusted by the browser.

Do you want to continue? [Y]> Y

Management (HTTPS):
Choose the operation you want to perform:
1. PASTE - Copy paste cert and key manually
2. SELECT - select from available list of certificates
[1]> 2

Select the certificate you want to upload
1. SelfSignCertificate
2. SWA_GUI.cisco.com
[1]> 1

Do you want add an intermediate certificate? [N]> N

Successfully updated the certificate/key for HTTPS management access.

    Stap 15. Typ commit om de wijzigingen op te slaan. 

    Test het certificaat vanaf de opdrachtregel

    U kunt het certificaat controleren met de opdracht openssl:

     openssl s_client -connect :

    In dit voorbeeld is de hostnaam SWA.cisco.com en is de beheerinterface standaard ingesteld (TCP-poort 8443).

    Op de tweede regel in de uitvoer ziet u de certificaatdetails:

    openssl s_client -connect SWA.cisco.com:8443
CONNECTED(00000003)
depth=0 C = US, CN = SelfSignCertificate, L = City, O = CiscoLAB, ST = State, OU = SWA

    Veelvoorkomende fouten 

    Hier zijn enkele veelvoorkomende fouten die u kunt tegenkomen tijdens het maken of wijzigen van uw GUI-certificaat.

    Fout: ongeldige PKCS#12-indeling

    Image - Invalid PKCS#12 formatAfbeelding - Ongeldige PKCS#12-indeling

    Er kunnen twee oorzaken zijn voor deze fout:

    1. Het certificaatbestand is beschadigd en is niet geldig.

    Probeer het certificaat te openen, als u een fout krijgt tijdens het openen, kunt u het certificaat opnieuw genereren of opnieuw downloaden.

    2. De eerder gegenereerde CSR is niet langer geldig.

    Wanneer u een CSR genereert, moet u ervoor zorgen dat u uw wijzigingen indient en vastlegt. De reden hiervoor is dat uw CSR niet is opgeslagen toen u uitlogde of pagina's wijzigde. Het profiel dat u hebt gemaakt toen u de CSR hebt gegenereerd, bevat de privésleutel die vereist is voor het uploaden van uw certificaat. Zodra dit profiel is verdwenen, is de privésleutel verdwenen. Daarom moet een andere CSR worden gegenereerd en vervolgens opnieuw naar uw CA worden gebracht.

    Dagen moeten een geheel getal zijn 

    Image - Days Must Be an Integer ErrorAfbeelding - Dagen moeten een integer-fout zijn

    Deze fout is te wijten aan het feit dat het geüploade certificaat is verlopen of 0 dagen geldig is. 

    Om het probleem op te lossen, controleert u de vervaldatum van het certificaat en controleert u of de SWA-datum en -tijd correct zijn.

    Fout bij certificaatvalidatie

    Deze fout betekent dat de basiscertificeringsinstantie of de tussenliggende certificeringsinstantie niet is toegevoegd aan de lijst met vertrouwde basiscertificaten in SWA. Om het probleem op te lossen, als u zowel Root CA als Intermediate CA gebruikt:

    1. Upload de basiscertificeringsinstantie naar SWA en verbind vervolgens.

    2. Upload de tussenliggende CA en leg de wijzigingen opnieuw vast.

    3. Upload uw GUI-certificaat.

    note-icon

    Opmerking: om de hoofdmap of tussenliggende CA te uploaden vanuit de GUI: Network. Kies in het gedeelte Certificaatbeheer de optie Vertrouwde basiscertificaten beheren. Klik in Aangepaste vertrouwde basiscertificaten op Importeren om uw CA-certificaten te uploaden.

    Ongeldig wachtwoord

    Image - Invalid PasswordAfbeelding - Ongeldig wachtwoord

    Deze fout geeft aan dat het PKCS#12-certificaatwachtwoord onjuist is. Om de fout op te lossen, typt u het juiste wachtwoord of genereert u het certificaat opnieuw. 

    Het certificaat is nog niet geldig

    Image - The Certificate is Not Yet ValidAfbeelding - Het certificaat is nog niet geldig

    1. Controleer of de datum en tijd van de SWA juist zijn. 

    2. Controleer de datum van het certificaat en controleer of de datum en het tijdstip "Niet eerder" juist zijn. 

    tip-icon

    Tip: Als je het certificaat net hebt gegenereerd, wacht dan een minuut en upload het certificaat.

    GUI-service opnieuw starten vanaf CLI 

    Als u de WebUI-service opnieuw wilt starten, kunt u de volgende stappen uit de CLI gebruiken:

    Stap 1. Log in bij CLI

    Stap 2. Type diagnostische (Dit is een verborgen opdracht en wordt niet automatisch getypt met TAB).

    Stap 3. Kies SERVICES.

    Stap 4. Selecteer WEBUI.

    Stap 5. Kies OPNIEUW STARTEN.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    11-Mar-2025
    Initiële release, vaste spellingsfout.
    1.0
    23-Oct-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Amirhossein Mojarrad
      technisch adviseur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten