De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt beschreven hoe u het serveridentiteitscertificaat op de CTB-managernode (Cisco Telemetry Broker) kunt vervangen.
Cisco raadt kennis van de volgende onderwerpen aan:
De apparaten die voor dit document worden gebruikt, werken met versie 2.0.1
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Het x509-certificaat dat wordt gebruikt door de Cisco Telemetry Broker Manager moet aan deze vereisten voldoen:
Meld u aan bij de CTB Manager-opdrachtregelinterface (CLI) als de beheerdersgebruiker.
Opmerking: Het is mogelijk dat de bestanden die in deze sectie worden genoemd, nog niet op het systeem bestaan.
Desudo openssl req -in server.csr -pubkey -noout -outform pem | sha256sum
opdracht voert de SHA-256-controlesom van de openbare sleutel uit het bestand Certificaatondertekeningsverzoek uit.
Desudo openssl pkey -in server_key.pem -pubout -outform pem | sha256sum
opdracht voert de SHA-256 checksum van de publieke sleutel uit het private key bestand.
Desudo openssl x509 -in server_cert.pem -pubkey -noout -outform pem | sha256sum
opdracht voert de SHA-256 checksum van de publieke sleutel uit het uitgegeven certificaatbestand.
Het certificaat en de uitvoer van de privésleutel moeten overeenkomen. Als er geen certificaatondertekeningsverzoek is gebruikt, bestaat het bestand server_cert.pem niet.
admin@ctb-manager:~$ sudo openssl req -in server.csr -pubkey -noout -outform pem | sha256sum
3e8e6b0d397ada1be7e89be21eb555c9527741460074385730d524c60e3ae315 -
admin@ctb-manager:~$
admin@ctb-manager:~$ sudo openssl pkey -in server_key.pem -pubout -outform pem | sha256sum
3e8e6b0d397ada1be7e89be21eb555c9527741460074385730d524c60e3ae315 -
admin@ctb-manager:~$ sudo openssl x509 -in server_cert.pem -pubkey -noout -outform pem | sha256sum
3e8e6b0d397ada1be7e89be21eb555c9527741460074385730d524c60e3ae315 -
Meld u aan bij CTB Manager als de beheerdersgebruiker. Voer hetssh-keygen -yf server_key.pem
commando uit.
Een wachtwoordzin wordt niet gevraagd als de privésleutel er geen vereist.
admin@ctb-manager:~$ ssh-keygen -yf server_key.pem
ssh-rsa {removed for brevity}
admin@ctb-manager:~$
Opmerking: Deze validaties kunnen worden uitgevoerd voordat u de certificaten installeert.
Meld u aan bij CTB Manager als de beheerdersgebruiker.
Bekijk de inhoud van het server_cert.pem-bestand met desudo cat server_cert.pem
opdracht. Pas de opdracht aan uw certificaatbestandsnaam aan.
De eerste en de laatste regel van het bestand moeten respectievelijk -----BEGIN CERTIFICATE-----
en-----END CERTIFICATE-----
zijn.
admin@ctb-manager:~$ sudo cat server_cert.pem
-----BEGIN CERTIFICATE-----
{removed_for_brevity}
-----END CERTIFICATE-----
admin@ctb-manager:~$
Bekijk het bestand server_key.pem met de opdrachtsudo cat server_key.pem
. Pas de opdracht aan de bestandsnaam van uw privésleutel aan.
De eerste en de laatste regel van het bestand moeten respectievelijk -----BEGIN PRIVATE KEY-----
en-----END PRIVATE KEY-----
zijn.
admin@ctb-manager:~$ sudo cat server_key.pem
-----BEGIN PRIVATE KEY-----
{removed_for_brevity}
-----END PRIVATE KEY-----
admin@ctb-manager:~$
sudo openssl req -x509 -newkey rsa:{key_len} -nodes -keyout server_key.pem -out server_cert.pem -sha256 -days 3650 -subj /CN={ctb_manager_ip}
commando.
rsa:{key_len}
met een privésleutel naar keuze, zoals 2048, 4096 of 8192{ctb_manager_ip}
van de CTB Manager-nodeadmin@ctb-manager:~$ sudo openssl req -x509 -newkey rsa:4096 -nodes -keyout server_key.pem -out server_cert.pem -sha256 -days 3650 -subj /CN=10.209.35.152
[sudo] password for admin:
Generating a RSA private key
.....................................................................................++++
............................................................................++++
writing new private key to 'server_key.pem'
-----
admin@ctb-manager:~$
cat server_cert.pem
en kopieer de inhoud naar uw buffer zodat deze naar het lokale werkstation kan worden geplakt in een teksteditor naar keuze. Sla het bestand op. U kunt deze bestanden ook uit de /home/admin
directory SCP. admin@ctb-manager:~$ cat server_cert.pem
-----BEGIN CERTIFICATE-----
{removed_for_brevity}
-----END CERTIFICATE-----
admin@ctb-manager:~$
sudo cat server_key.pem
en kopieer de inhoud naar uw buffer, zodat deze naar het lokale werkstation kan worden geplakt in een teksteditor naar keuze. Sla het bestand op. U kunt dit bestand ook uit de /home/admin
directory verwijderen. admin@ctb-manager:~$ sudo cat server_key.pem
-----BEGIN PRIVATE KEY-----
{removed_for_brevity}
-----END PRIVATE KEY-----
admin@ctb-manager:~$
Settings
".Upload TLS Certificate
en selecteer vervolgens de server_cert.pem
optie en de optie server_key.pem
voor respectievelijk het certificaat en de privésleutel in het dialoogvenster "TLS-certificaat uploaden". Selecteer Uploaden zodra de bestanden zijn geselecteerd. Settings > TLS Certificate
naar certificaatgegevens zoals een nieuwe vervaldatum of bekijk de certificaatgegevens met de browser voor meer gedetailleerde informatie zoals serienummers.Zodra de CTB Manager Node een nieuw identiteitscertificaat heeft, moet elke CTB Broker Node handmatig worden bijgewerkt.
sudo ctb-manage
opdracht uit admin@ctb-broker:~$ sudo ctb-manage
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
[sudo] password for admin:
c
wanneer u daarom wordt gevraagd.== Management Configuration
A manager configuration already exists for 10.209.35.152
Options:
(o) Associate this node with a new manager
(c) Re-fetch the manager's certificate but keep everything else
(d) Deactivate this node (should be done after removing this node on the manager UI)
(a) Abort
How would you like to proceed? [o/c/d/a] c
y
om het certificaat te accepteren. De services worden automatisch gestart en zodra de service is gestart, wordt de prompt geretourneerd. De service start kan tot ongeveer 15 minuten duren om te voltooien.== Testing connection to server exists
== Fetching certificate from 10.209.35.152
Subject Hash
3fcbcd3c
subject=CN = 10.209.35.152
issuer=CN = 10.209.35.152
Validity:
notBefore=Mar 28 13:12:43 2023 GMT
notAfter=Mar 27 13:12:43 2024 GMT
X509v3 Subject Alternative Name:
IP Address:10.209.35.152
Do you accept the authenticity of the server? [y/n] y
== Writing /var/lib/titan/titanium_proxy/ssl/titanium.pem
done
== Starting service
openssl req -new -newkey rsa:{key_len} -nodes -addext "subjectAltName = DNS:{ctb_manager_dns_name},IP:{ctb_manager_ip}" -keyout server_key.pem -out server.csr
commando. De 'extra' attributen op de laatste twee regels kunnen desgewenst leeg gelaten worden.{ctb_manager_dns_name}
met de DNS-naam van de CTB Manager-node{ctb_manager_ip}
van de CTB Manager-node{key_len}
sleutel met een privésleutel naar keuze, zoals 2048, 4096 of 8192. admin@ctb-manager:~$ openssl req -new -newkey rsa:4096 -nodes -addext "subjectAltName = DNS:ctb-manager,IP:10.209.35.152" -keyout server_key.pem -out server.csr
Generating a RSA private key
......................++++
....................................++++
writing new private key to 'server_key.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:North Carolina
Locality Name (eg, city) []:RTP
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cisco Systems Inc
Organizational Unit Name (eg, section) []:TAC
Common Name (e.g. server FQDN or YOUR name) []:ctb-manager
Email Address []:noreply@cisco.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
De CA geeft het serveridentiteitscertificaat af in PEM-indeling. Er moet een ketenbestand worden gemaakt met alle ketencertificaten en het serveridentiteitscertificaat voor de CTB Manager-node.
Maak in een teksteditor een bestand door het certificaat dat in de vorige stap is ondertekend te combineren en alle certificaten in de keten helemaal toe te voegen, inclusief de vertrouwde CA in één bestand in PEM-indeling in de weergegeven volgorde.
— BEGIN CERTIFICATE —
{CTB Manager Issued Certificate}
— END CERTIFICATE —
— BEGIN CERTIFICATE —
{Issuing Certificate Authority Certificate}
— END CERTIFICATE —
— BEGIN CERTIFICATE —
{Intermediate Certificate Authority Certificate}
— END CERTIFICATE —
— BEGIN CERTIFICATE —
{Root Certificate Authority Certificate}
— END CERTIFICATE —
Zorg ervoor dat dit nieuwe certificaatbestand met kettingbestand geen spaties aan de voorzijde of achterzijde, lege regels en in de hierboven weergegeven volgorde bevat.
Settings
".Upload TLS Certificate
en selecteer vervolgens het certificaat met het kettingbestand dat in de laatste sectie is gemaakt en de CTB-manager die is gegenereerd server_key.pem
voor respectievelijk het certificaat en de privésleutel in het dialoogvenster "TLS-certificaat uploaden". Selecteer Uploaden zodra de bestanden zijn geselecteerd.Settings > TLS Certificate
naar certificaatgegevens zoals een nieuwe vervaldatum of bekijk de certificaatgegevens met de browser voor meer gedetailleerde informatie zoals serienummers.Zodra de CTB Manager Node een nieuw identiteitscertificaat heeft, moet elke CTB Broker Node handmatig worden bijgewerkt.
sudo ctb-manage
opdracht uit admin@ctb-broker:~$ sudo ctb-manage
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
[sudo] password for admin:
c
wanneer u daarom wordt gevraagd.== Management Configuration
A manager configuration already exists for 10.209.35.152
Options:
(o) Associate this node with a new manager
(c) Re-fetch the manager's certificate but keep everything else
(d) Deactivate this node (should be done after removing this node on the manager UI)
(a) Abort
How would you like to proceed? [o/c/d/a] c
y
om het certificaat te accepteren. De services worden automatisch gestart en zodra de service is gestart, wordt de prompt geretourneerd. De service start kan tot ongeveer 15 minuten duren om te voltooien. == Testing connection to server exists
== Fetching certificate from 10.209.35.152
Subject Hash
fa7fd0fb
subject=C = US, ST = North Carolina, L = RTP, O = "Cisco Systems Inc", OU = TAC, CN = ctb-manager, emailAddress = noreply@cisco.com
issuer=DC = CiscoTAC, CN = Issuing CA
Validity:
notBefore=Jun 13 16:09:29 2023 GMT
notAfter=Sep 11 16:19:29 2023 GMT
X509v3 Subject Alternative Name:
DNS:ctb-manager, IP Address:10.209.35.152
Do you accept the authenticity of the server? [y/n] y
== Writing /var/lib/titan/titanium_proxy/ssl/titanium.pem
done
== Starting service
Meld u aan bij de CTB Manager Node Web Console en navigeerSettings > TLS Certificate
naar certificaatgegevens zoals een nieuwe vervaldatum of bekijk de certificaatgegevens met de browser voor meer gedetailleerde informatie zoals serienummers.
CTB-certificaatgegevens
Controleer of de CTB Broker Node geen alarmen toont in de CTB Manager Node Web UI.
Als het certificaat onvolledig is, zoals het ontbreken van de ketencertificaten, kan de CTB Broker Node niet communiceren met de Manager Node en presenteert "Niet gezien sinds" in de kolom Status in de lijst van Broker Nodes.
De Broker Node zal doorgaan met het repliceren en distribueren van verkeer in deze staat.
Meld u aan bij de CTB Manager Node CLI en geef desudo grep -ic begin /var/lib/titan/titanium_frontend/ssl/cert.pem
opdracht uit om te zien hoeveel certificaten er in het bestand cert.pem zitten.
admin@ctb-manager:~$ sudo grep -ic begin /var/lib/titan/titanium_frontend/ssl/cert.pem
[sudo] password for admin:
3 <-- Output
admin@ctb-manager:~$
De geretourneerde outputwaarde moet gelijk zijn aan het aantal CA-apparaten in de keten plus de CTB Manager.
De output van 1 wordt verwacht bij gebruik van een zelf ondertekend certificaat.
De output van 2 wordt verwacht als de PKI-infrastructuur bestaat uit één basiscertificeringsinstantie die ook de uitgevende certificeringsinstantie is.
De output van 3 wordt verwacht als de PKI-infrastructuur bestaat uit een root-CA en de uitgevende CA.
De output van 4 wordt verwacht als de PKI-infrastructuur bestaat uit een basiscertificeringsinstantie, een ondergeschikte certificeringsinstantie en de uitgevende certificeringsinstantie.
Vergelijk de uitvoer met de PKI die wordt vermeld bij het bekijken van het certificaat in een andere toepassing, zoals Microsoft Windows Crypto Shell Extensions
PKI.
PKI-infrastructuur
In deze afbeelding bevat de PKI-infrastructuur een basiscertificeringsinstantie en de uitgevende certificeringsinstantie.
De uitvoerwaarde van de opdracht is naar verwachting 3 in dit scenario.
Als de uitvoer niet aan de verwachtingen voldoet, bekijkt u de stappen in het gedeelte Certificaat met keten maken om te bepalen of een certificaat is gemist.
Bij het bekijken van een certificaat in Microsoft Windows Crypto Shell Extensions
is het mogelijk dat niet alle certificaten worden gepresenteerd als de lokale machine niet voldoende informatie heeft om het certificaat te verifiëren.
Geef de opdrachtsudo ctb-mayday
van de CLI om een mayday-bundel te genereren zodat TAC deze kan beoordelen.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
05-Jul-2023 |
Eerste vrijgave |