Introdução
Este documento descreve a diferença entre o Certificado da Web e os Certificados do Controlador na solução SD-WAN da Cisco.
Pré-requisitos
Requisitos
A Cisco recomenda ter conhecimento deste tópico:
- Conhecimento básico da Public Key Infrastructure (PKI).
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Cisco vManage Network Management System (NMS) versão 20.4.1
- Google Chrome versão 94.0
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Certificados usados no Cisco SD-WAN
Há dois tipos de certificados usados nas soluções de SD-WAN da Cisco; Certificados do controlador e certificados da Web.
Certificado da Web
Usado para acesso via Web ao vManage. Por padrão, a Cisco instala um certificado autoassinado. Um certificado Autoassinado é um certificado SSL que é assinado por seu próprio criador. No entanto, a Cisco recomenda seu próprio certificado de servidor Web. Isso ocorre especialmente nos casos em que as empresas de rede podem ter firewalls com restrições de acesso à Web. A Cisco não fornece certificados públicos da Web emitidos pela Autoridade de Certificação (CA).
Para obter mais informações sobre como gerar o certificado da Web do vManage, consulte os guias: Gerar certificado do servidor Web e Como gerar certificado da Web autoassinado para o vManage
Certificado do controlador
Usado para criar conexões de controle entre os controladores, por exemplo, vManage, vBonds, vSmarts. Esses certificados são críticos para todo o plano de controle de estrutura SD-WAN e devem ser mantidos válidos o tempo todo.
Para obter mais informações sobre certificados de controladoras, consulte o guia: Assinatura automatizada de certificados pela Cisco Systems
Entender o certificado da Web para o vManage
O protocolo HTTPS (Hypertext Transfer Protocol Secure) é um protocolo de comunicação da Internet que protege a integridade e a confidencialidade dos dados entre o computador do usuário e o site, nesse caso, a GUI do vManage. Os usuários esperam uma conexão segura e privada quando acessam o vManage. Para obter uma conexão segura e privada, você deve obter um certificado de segurança. O certificado é emitido por uma CA (Certificate Authority, autoridade de certificação), que executa etapas para verificar se o seu domínio vManage realmente pertence à sua organização.
Quando um usuário acessa o vManage, o PC do usuário executa uma conexão HTTPS e um túnel seguro é estabelecido entre o servidor vManage e o computador com os certificados SSL instalados para autenticação. A autenticação do certificado SSL é executada no computador do usuário com base no banco de dados de CAs raiz válidas instaladas no dispositivo. Geralmente, o computador já instalou vários CAs, como Google, GoDaddy, Enterprise CA (se este for o caso) e mais entidades públicas. Portanto, se a solicitação de assinatura de certificado (CSR) for assinada por GoDaddy (apenas um exemplo), ela será confiável.
A conexão não é uma mensagem privada no vManage
O certificado autoassinado do vManage não está assinado por uma CA. Ele foi assinado pelo mesmo vManage e nem pela CA pública nem privada, portanto, não é confiável para um cliente PC. Por esse motivo, o navegador exibe uma conexão de erro de não segurança/privacidade para o URL do vManage.
Exemplo do erro do vManage com o certificado autoassinado padrão pelo navegador Google Chrome, como mostrado na imagem.

Note: Clique na opção view site information. O certificado é exibido como inválido.

Informações proativas
Certificado registrado para o nome de site incorreto
Certifique-se de que o certificado da Web tenha sido obtido para todos os nomes de host que o seu site serve. Por exemplo, se o certificado abranger apenas o domínio fictício www.vManage-example-test.com, um visitante que carrega o site com o vManage-example-test.com (sem o www. prefixo) e se obtém um certificado assinado por uma CA pública, é confiável, mas obtém outro erro com um erro de incompatibilidade de nome de certificado.
Observação: um erro de incompatibilidade de nome comum ocorre quando o nome comum do Certificado SSL/TLS não corresponde ao domínio ou à barra de endereços no navegador.
Informações Relacionadas