Dit document legt uit hoe u een Let's Encrypt-certificaat kunt verkrijgen, het op Cisco Business Dashboard installeert en automatisch vernieuwing installeert met behulp van de Opdracht Line Interface (CLI). Als u algemene informatie wilt over het beheer van certificaten, controleer dan het artikel Certificaten beheren op het Cisco Business Dashboard.
Let’s Encrypt is een certificaatinstantie die het publiek met behulp van een geautomatiseerd proces gratis, Domeinvalidatie (DV) Secure Socket Layer (SSL)-certificaten verstrekt. Versleutelen biedt een gemakkelijk toegankelijk mechanisme voor het verkrijgen van ondertekende certificaten voor webservers, waardoor de eindgebruiker erop kan vertrouwen dat hij toegang heeft tot de juiste dienst. Ga voor meer informatie naar de website Let’s Encrypt.
Het gebruik van Let's Encrypt certificaten met Cisco Business Dashboard is redelijk eenvoudig. Hoewel Cisco Business Dashboard enige speciale vereisten heeft voor de installatie van certificaten naast het beschikbaar maken van het certificaat aan de webserver, is het nog steeds mogelijk de afgifte en installatie van het certificaat te automatiseren met behulp van de meegeleverde gereedschappen voor opdrachtregel. De rest van dit document loopt door het proces van afgifte van een certificaat en automatisering van de vernieuwing van het certificaat.
Dit document gebruikt HTTP-uitdagingen om domeineigendom te valideren. Dit vereist dat de Dashboard webserver bereikbaar is vanaf het internet op standaardpoorten TCP/80 en TCP/443. Als de webserver niet bereikbaar is vanaf het internet, dan kunt u overwegen DNS-uitdagingen in plaats daarvan te gebruiken. Controleer of Let op het gebruik van Let's Encrypt voor Cisco Business Dashboard met DNS voor meer informatie.
De eerste stap is het verkrijgen van software die het ACME protocol certificaat gebruikt. In dit voorbeeld gebruiken we de tartbot client, maar er zijn veel andere opties beschikbaar.
Om de vernieuwing van het certificaat te kunnen automatiseren, moet de tartbotclient op het Dashboard zijn geïnstalleerd. U kunt de volgende opdrachten gebruiken om de tartbotclient op de Dashboard-server te installeren:
Het is belangrijk op te merken dat in dit artikel blauwe delen worden gevraagd en geproduceerd vanuit CLI. De opdrachten voor de witte tekst staan in de lijst. Groene gekleurde opdrachten, waaronder dashboard.voorbeeldv.com, pnpserver.voorbeeldcom en user@example.com moeten worden vervangen door DNS-namen die geschikt zijn voor uw omgeving.
Daarna moet de Dashboard webserver worden ingesteld om de challenge files te ontvangen die vereist zijn om de eigendom van de hostname te controleren. Om dit te doen, maken we een folder voor deze bestanden en werken we het configuratiebestand van de webserver bij. Vervolgens herstarten we de Dashboard-toepassing zodat de wijzigingen van kracht worden. Gebruik de volgende opdrachten:
cbd:~$sudo mkdir /usr/lib/ciscobusiness/dashboard/www/letsencrypt cbd:~$sudo chmod 755/usr/lib/ciscobusiness/dashboard/www/letsencrypt cbd:~$sudo bash-c 'cat > /var/lib/ciscobusiness/dashboard/nginx/nginx-loc-letsencrypt.conf' < EOFAanvragen van een certificaat met de volgende opdracht:
cbd:~$sudo certbot certonly —webroot -w /usr/lib/ciscobusiness/dashboard/www/letsencrypt/ -d dashboard.voorbeeld.com-d pnpserver.voorbeeld.com —ingericht-haak "cat/etc/letsencrypt/live/dashboard.voorbeeld.com /fullchain.pem /etc/ssl/certs/DST_Root_CA_X3.pem > /tmp/cbdchain.pem; /usr/bin/cisco-business-dashboard invoer -t pem-k/etc/letsencrypt/live/dashboard.voorbeelds.com/privkey.pem-c /tmp/cbdchain.pemDeze opdracht geeft de Let’s Encrypt service opdracht om de eigendom van de hostnamen te valideren door verbinding te maken met de webservice die op elk van de namen wordt gehost. Dit betekent dat de dashboard webservice via het internet toegankelijk moet zijn en op poorten 80 en 443 moet worden gehost. De toegang tot de dashboard-toepassing kan worden beperkt met behulp van de Access Control-instellingen op het systeem > Platform-instellingen > Webpagina in het dashboard-beheergebruikersinterface (UI). Raadpleeg de Cisco Business Dashboard Management Guide voor meer informatie.
De parameters in de opdracht zijn om de volgende redenen vereist:
certalleen | Offerte aanvragen en de bestanden downloaden. Probeer ze niet te installeren. In het geval van Cisco Business Dashboard wordt het certificaat niet alleen gebruikt door de webserver, maar ook door de VPN-service en andere functies. Als gevolg daarvan kan de tartbotclient het certificaat niet automatisch installeren. |
—webroot -w ... | Installeer de uitdagingsbestanden in de bovengenoemde map zodat ze toegankelijk zijn via de dashboard webserver. |
-d dashboard.voorbeeld.com -d pnpserver.voorbeeld.com |
De FQDN's die in het certificaat moeten worden opgenomen. De voornaam wordt in het veld Naam van het certificaat opgenomen en alle namen worden in het veld Naam van het onderwerp vermeld. De VPN-server.<domeinnaam> is een speciale naam die door de functie Netwerk plug and Play wordt gebruikt bij het uitvoeren van DNS-ontdekking. Raadpleeg de Cisco Business Dashboard Management Guide voor meer informatie. |
—pudhaak "..." | Gebruik het commando line hulpprogramma van cisco-business-dashboard om de privésleutel en de certificeringsketen te nemen die van de dienst Let's Encrypt worden ontvangen en ze op dezelfde manier in de dashboard toepassing te laden als als wanneer de bestanden via de Dashboard User Interface (UI) zijn geüpload. Het basiscertificaat dat de certificeringsketen verankert wordt hier ook aan het certificaatbestand toegevoegd. Dit wordt vereist door bepaalde platforms die worden ingezet met Network Plug en Play. |
Volg de procedure voor het maken van het certificaat door de instructies te volgen die door de tartbotclient zijn gegenereerd:
cbd:~$sudo certbot certonly —webroot -w /usr/lib/ciscobusiness/dashboard/www/letsencrypt/ -d dashboard.voorbeeld.com-d pnpserver.voorbeeld.com —ingericht-haak "cat/etc/letsencrypt/live/dashboard.voorbeeld.com /fullchain.pem /etc/ssl/certs/DST_Root_CA_X3.pem > /tmp/cbdchain.pem; /usr/bin/cisco-business-dashboard invoer -t pem-k/etc/letsencrypt/live/dashboard.voorbeeldd.com/privkey.pem-c /tmp/cbdchain.pem"Voer het e-mailadres in of C om te annuleren.
Voer een e-mailadres in (gebruikt voor spoedeisende vernieuwing en veiligheidsmededelingen) (Voer 'c' in omTyp A om het goed te keuren of C om te annuleren.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -Voer Y in voor Ja of N voor Nee.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -Het certificaat is afgegeven en kan worden gevonden in de submap etc/letsencrypt/live in het bestandssysteem:
Een nieuw certificaat verkrijgenDe map met de certificaten heeft beperkte rechten zodat alleen de root gebruiker de bestanden kan bekijken. Het bestand particuliere.pem is met name gevoelig en de toegang tot dit bestand dient beperkt te blijven tot geautoriseerd personeel.
Het Dashboard moet nu worden gebruikt met het nieuwe certificaat. Als u de Dashboard User Interface (UI) in een webbrowser opent door een van de namen in te voeren die zijn opgegeven bij het maken van het certificaat in de adresbalk, dan geeft de webbrowser aan dat de verbinding betrouwbaar en veilig is.
Merk op dat door Let’s Encrypt afgegeven certificaten relatief korte levensduur hebben - momenteel 90 dagen. Het tartbot-pakket voor Ubuntu Linux is ingesteld om de geldigheid van het certificaat twee keer per dag te controleren en het certificaat te verlengen indien het nadert, zodat er geen actie vereist is om het certificaat up-to-date te houden. Om na te gaan of de periodieke controles correct verlopen, moet u ten minste twaalf uur wachten na de eerste invoering van het certificaat en vervolgens het logbestand van de tartbot controleren op berichten die vergelijkbaar zijn met de volgende: cbd :~$ sudo - staart /var/log/letsencrypt/letsencrypt.log
2020-07-31 16:50:52.783:DEBUG:certbot.main:tartbot versie: 0.31.0
2020-07-31 16:50:52.784:DEBUG:certbot.main:Argumenten: ['-q']
2020-07-31 16:50:52.785:DEBUG:certbot.main:ontdekte stekkers:
(PluginEntryPoint#handmatig,
PluginEntryPoint#ongeldige, PluginEntryPoint#standalone, PluginEntryPoint#webroot)
2020-07-31 16:50:52.793:DEBUG:certbot.log:Root logging level ingesteld op 30
2020-07-31 16:50:52.793:INFO:tartbot.log:opslaan van debug
/var/log/letsencrypt/letsencrypt.log
2020-07-31 16:50:52:802:DEBUG:certbot.plug-ins.selectie:
Vereiste authenticator <certbot.cli.
_Standaardobject bij 0x7f152969240> en installateur <certbot.cli.
_Standaardobject op 0x7f152969240>
2020-07-31 16:50:52,811:INFO:tartbot.vernieuwing:Kert nog niet te verlengen
2020-07-31 16:50:52.812:DEBUG:certbot.plug-ins.Selectie:Verzocht authentiek
product en installateur Geen
2020-07-31 16:50:52.812:DEBUG:certbot.vernieuwing:geen vernieuwingsfouten
Na voldoende tijd om de vervaldatum van het certificaat binnen dertig dagen te laten vallen, zal de opdrachtgever het certificaat verlengen en het bijgewerkte certificaat automatisch op de dashboard-toepassing toepassen.
Zie de documentpagina van de tartbotclient voor meer informatie over het gebruik van de tartbot client.