Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Como gerar e instalar um certificado em um S A

Opções de download

  • PDF     (126.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (84.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (72.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:10 de Fevereiro de 2020
ID do documento:118460
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este original descreve como gerar e instalar um certificado para a configuração e o uso em um dispositivo do Gerenciamento do Cisco Security (S A).

    Pré-requisitos

    Você precisará de ter o acesso para executar localmente o OpenSSL do comando.

    Você precisará o acesso da conta admin a sua ferramenta de segurança do email (ESA), e o acesso admin ao CLI de seu S A.

    Você deve ter estes artigos disponíveis no formato .pem:

    • Certificado X.509
    • Chave privada que combina seu certificado
    • Alguns Certificados intermediários fornecidos por seu Certificate Authority (CA)

    Como gerar e instalar um certificado em um S A

    Dica: Recomenda-se ter um certificado assinado por um CA confiado Cisco não recomenda um CA específico segundo o CA que você escolhe trabalhar com, você pode receber para trás o certificado assinado, a chave privada, e o certificado intermediário (onde aplicável) em vários formatos.  Por favor pesquise ou discuta diretamente com o CA o formato do arquivo que lhe fornecem antes de instalar o certificado.

    Atualmente, o S A não apoia a geração de um certificado localmente.  Em lugar de, é possível gerar um certificado auto-assinado no ESA. Isto pode ser usado como uma ação alternativa para criar um certificado para o S à fim ser importado e configurado.

    Crie e certificado de exportação de um ESA

    1. Do ESA GUI, crie um certificado auto-assinado certificado do > Add da rede > dos Certificados.
      • Ao criar o certificado auto-assinado, é importante para o “Common Name (CN)” usar o hostname do S A e não do ESA, de modo que o certificado possa corretamente ser usado. 
    2. Submeta e comprometa mudanças. 
    3. Exporte o certificado criado da rede > dos Certificados > dos Certificados de exportação.  Você tem duas opções, (1) exportação e salvaguarda/uso como o certificado auto-assinado, ou (2) solicitação de assinatura de certificado da transferência (se você está precisando de ter o certificado assinado externamente):
      1. Salvar/uso como um certificado auto-assinado:
        1. Escolha Certificados de exportação
        2. Dê-lhe um nome de arquivo (por exemplo mycert.pfx) e a frase de passagem que sejam usados ao converter o certificado.
        3. Isto alertá-lo-á automaticamente salvar localmente o arquivo.
        4. Continue “converter o certificado exportado”.
      2. Transfira a solicitação de assinatura de certificado
        1. Rede > Certificados
        2. Clique sobre o nome que do certificado você criou.
        3. Na “assinatura emitida” pela seção, clique a solicitação de assinatura de certificado da transferência…
        4. Salvar o arquivo .pem localmente e submeta-o ao CA. 

    Converta o certificado exportado

    O certificado criado e exportado do ESA estará no formato do .pfx. O S A apoia somente o formato .pem para importar, assim que este certificado deverá ser convertido.  A fim converter um certificado do formato do .pfx ao formato .pem, use por favor o seguinte comando example do OpenSSL:

    openssl pkcs12 -in mycert.pfx -out mycert.pem -nodes

    Você será alertado para a frase de passagem usada ao criar o certificado do ESA.  O arquivo .pem criado no comando do OpenSSL conterá o certificado e a chave no formato .pem.  O certificado está agora pronto para ser configurado no S A.  Continua por favor “instala a seção do certificado” deste artigo.

    Crie o certificado com o OpenSSL

    Alternativamente, se você tem o acesso local para executar o OpenSSL de seu PC/workstation, você pode emitir o comando seguinte gerar o certificado e salvar o arquivo necessário e a chave privada .pem em dois arquivos separados:

    openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout sma_key.pem -out sma_cert.pem

    O certificado está agora pronto para ser configurado no S A.  Continua por favor “instala a seção do certificado” deste artigo.

    Opção adicional, exportando um certificado de um ESA

    Em vez de converter o certificado do .pfx em .pem, como mencionado acima, você pode salvar um arquivo de configuração sem mascarar as senhas no ESA. Abra o arquivo de configuração e a busca salvar do .xml ESA para a etiqueta do <certificate>. O certificado e a chave privada estarão já no formato .pem. Copie o certificado e a chave privada para importar o mesmos no S A como descreveu “instala seção do certificado” abaixo.

      

    Nota: Esta opção é somente válida para os dispositivos que executam AsyncOS 11.1 e mais velho, onde o arquivo de configuração pode ser salvar usando “a opção da frase de passagem lisa”.  Umas versões mais novas de AsyncOS fornecem somente a opção para mascarar a frase de passagem ou cifrar a frase de passagem.  Ambas as opções cifram a chave privada, que é precisada para a opção da importação ou de pasta do certificado.

      

    Nota: Se você optou para #2 acima, “transfira a solicitação de assinatura de certificado”, e tenha o certificado assinado por um CA, você precisará de importar o certificado assinado de volta ao ESA que o certificado foi criado antes de salvar o arquivo de configuração para fazer uma cópia do certificado e da chave privada. A importação pode ser feita clicando no nome do certificado em ESA GUI e usar a opção da “certificado assinado transferência de arquivo pela rede”.

    Instale o certificado no S A

    Um único certificado pode ser usado para todos os serviços, ou um certificado individual pode ser usado para cada um dos quatro serviços:

    • TLS de entrada
    • TLS de partida
    • HTTPS
    • LDAP

    No S A, o log através do CLI e termina as seguintes etapas:

    1. Execute o certconfig.
    2. Escolha a opção da instalação.
    3. Você precisará de escolher se usar o mesmo certificado para todos os serviços ou usar Certificados separados para cada serviço individual:
      • Quando apresentado “faça você querem usar uns certificado/chave para a recepção, a entrega, o acesso de gerenciamento HTTPS, e os LDAP? ”, “Y de resposta” exigi-lo-á somente entrar no certificado e fechá-lo uma vez, e atribui-lo-á então esse certificado a todos os serviços.
      • Se você escolhe incorporar “N”, você precisará de entrar no certificado, na chave, e no certificado intermediário (onde aplicável) para cada serviço quando alertado: De entrada, de partida, HTTPS, e Gerenciamento
    4. Quando alertado, cole o certificado ou feche-o.
    5. Termine com “.” em sua própria linha para cada entrada a fim indicar que você está feito que cola o artigo atual.  (Veja a seção do “exemplo”.)
    6. Se você tem um certificado intermediário, seja certo entrar n quando alertado para fazer assim.
    7. Uma vez que terminado, pressione entram para retornar ao alerta principal CLI do S A.
    8. Seja executado comprometem a salvar a configuração.

    Nota: Não retire o comando do certconfig com Ctrl+C desde que isto cancela imediatamente suas mudanças.

    Exemplo

    mysma.local> certconfig

    Currently using the demo certificate/key for receiving, delivery, HTTPS management access, and LDAPS.


    Choose the operation you want to perform:
    - SETUP - Configure security certificates and keys.
    []> setup

    Do you want to use one certificate/key for receiving, delivery, HTTPS management access, and LDAPS? [Y]> y

    paste cert in PEM format (end with '.'):
    -----BEGIN CERTIFICATE-----
    MIIDXTCCAkWgAwIBAwIJAIXvIlkArow9MA0GCSqGSIb3DQEBBQUAMG4xCzAJBgNV
    BAYTAlVTMRowGAYDVQQDDBF3dS5jYWxvLmNpc2NvLmNvbTEMMAoGA1UEBwwDUlRQ
    MQ4wDAYDVQQKDAVDaXNjbzEXMBUGA1UECAwOTm9ydGggQ2Fyb2xpbmExDDAKBgNV
    BAsMA1RBQzAeFw0xNzExMTAxNjA3MTRaFw0yNzExMDgxNjA3MTRaMG4xCzAJBgNV
    BAYTAlVTMRowGAYDVQQDDBF3dS5jYWxvLmNpc2NvLmNvbTEMMAoGA1UEBwwDUlRQ
    MQ4wDAYDVQQKDAVDaXNjbzEXMBUGA1UECAwOTm9ydGggQ2Fyb2xpbmExDDAKBgNV
    BAsMA1RBQzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKPz0perw3QA
    ZH8xctOrvvjsnOPkItmSc+DUqtVKM6OOOkNHA2WY9XJ3+vESwkIdwexibj6VUQ85
    K7NE6zOgRfpYdQsxmpIWhzYf9qCBOXuKsRw/9jonKk98DfHFM02J3BSmmgZ0MPp7
    6EwA/sZAN+aqYB7IE1fgnqpEXek8xFlfcVnS2YTc7NXz78lNK0jvXOtCVBrWFu0z
    lEmZVpAj0AKkz1nujvzfOqEzed+tjauZr7nDIaiTrzhLKte4pJUm3T61q/PhegvN
    Iy/WHN1xojP+FzjRAUlmtmjMzHyM2///dmq8JivUlaLXX9vUfdK3VViIOIz4zngG
    Rz85QXO7ivcCAwEAATANBgkqhkiG9w0BAQUFAAOCAQEAM10zCcOOtqV1LDBmoDqd
    4G2IhVbBESsbvZ/QmB6kpikT4pe5clQucskHq4D/xg1EZyfuXu+4auMie4B9Dym8
    8pjbMDDi9hJPZ7j85nWMd6SfWhQUOPankdazpCycN6gNVzRBgPdR8tLOvt90vtV4
    KCPmDYbwi6kfOl8tvjWHMh/wYicfvFRy0vPMpemtbCVGyC3cpquv8nFDutB6exym
    skotn5wixCqErKlnHdUa3Z+zhutIAm/Q0sVWQQlbZZ+MIxBegyJ0ucTmBqqQHhhJ
    pSO7PbevxwanYVXvNR8o2feAWs5LYkrwqdGRxLJmHjFnMV3PbkwRPgFWQ6AD1g12
    34==
    -----END CERTIFICATE-----
    .
    paste key in PEM format (end with '.'):
    -----BEGIN PRIVATE KEY-----
    MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQCj89KXq8N0AGR/
    MXLTq7747Jzj5CLZknPg1KrVSjOjjjpDRwNlmPVyd/rxEsJCHcHsYm4+lVEPOSuz
    ROszoEX6WHULMZqSFoc2H/aggTl7irEcP/Y6JypPfA3xxTNNidwUppoGdDD6e+hM
    AP7GQDfmqmAeyBNX4J6qRF3pPMRZX3FZ0tmE3OzV8+/JTStI71zrQlQa1hbtM5RJ
    mVaQI9ACpM9Z7o783zqhM3nfrY2rma+5wyGok684SyrXuKSVJt0+tavz4XoLzSMv
    1hzdcaIz/hc40QFJZrZozMx8jNv//3ZqvCYr1JWi11/b1H3St1VYiDiM+M54Bkc/
    OUFzu4r3AgMBAAECggEAB9EFjsaZHGwyXmAIpe/PvIVnW3QSd0YEsUjiViXh/V+4
    BmIZ1tuqhAkVVS38RfOuPatZrzEmOrASlcro3b6751oVRnHYeTOKwblXZEKU739m
    vz6Lai1Y1o5HCepJbl5uuCtTN5CNjzueERWRD/ma0Kv5xi3qwitK1TpKMeb8Q3h2
    YABmpk0TyJQ5ixLw3ch9ru1nqiO5zQ91GvIuDckudUu/bBnao+jV7D362lIPyLG8
    03GqNviNZ6c3wjD0yQWg619g+ZmjM8DTtDR16zmzBvQ4TgZi22sUWrSSILRa69jW
    q8XszQVRydl+gt666iUeN/ozmEMt5J8pu3i9vf3G2QKBgQDHyfv55rjZbWyf0eAT
    Ch5T1YsjjMgMOtC9ivi5mMQCunWyRiyZ6qqSBME9Tper/YdAA07PoNtTpVPYyuVX
    DDmyuWGHE04baf5QEmSgvQjXOSUPN5TI9hc5/mtvD8QjDO6rebUWxV3NJoR7YNrz
    OmfARMXxaF+/mEj+6blSjZuGaQKBgQDSFKvYownPL6qTFhIH7B3kOLwZHk6cJUau
    Zoaj7vTw7LrVJv1B0iLPmttEXeJgxzlFYR8tzfn0kTxGQlnhQxXkQ1kdDeqaiLvm
    0TtmHMDupjDNKCNH8yBPqB+BIA4cB+/vo23W1HMHpGgqYWRRX/qremL72XFZSRnM
    B8nRwK4aXwKBgB+hkwtVxB5ofLIxAFEDYRnUzVqrh2CoTzQzNH3t+dqUut2mzpjv
    1mGX7yBNuSW51hgEbg3hYdg0bLn+JaFKhjgNsas5Gzyr41+6CcSJKUUp/vwRyLSo
    gbTk2w2SaXNDMOZlNo6MYPWCC6edBg1MSfDe8pft9nrXGXeCeZzgXqdBAoGAQ6Iq
    DQ24O76h0Ma7OVe36+CkFgYe0sBheAZD9IUa0HG2WKc7w7QORv4Y93KuTe/1rTNu
    YUW94hHb8Natrwr1Ak74YpU3YVcB/3Z/BAnfxzUz4ui4KxLH5T1AH0cdo8KeaW0Z
    EJ/HBL/WVUaTkGsw/YHiWiiQCGmzZ29edyvsIUsCgYEAvJtx0ZBAJ443WeHajZWm
    J2SLKy0KHeDxZOZ4CwF5sRGsmMofILbK0OuHjMirQ5U9HFLpcINt11VWwhOiZZ5l
    k6o79mYhfrTMa4LlHOTyScvuxELqow82vdj6gqX0HVj4fUyrrZ28MiYOMcPw6Y12
    34VjKaAsxgZIgN3LvoP7aXo=
    -----END PRIVATE KEY-----
    .
    Do you want to add an intermediate certificate? [N]> n

    Currently using one certificate/key for receiving, delivery, HTTPS management access, and LDAPS.


    Choose the operation you want to perform:
    - SETUP - Configure security certificates and keys.
    - PRINT - Display configured certificates/keys.
    - CLEAR - Clear configured certificates/keys.
    []>

    mysma.local> commit

    Please enter some comments describing your changes:
    []> Certificate installation

    Changes committed: Fri Nov 10 11:46:07 2017 EST

    Verifique o certificado importado e configurado no S A

    1. Conecte ao S A através do GUI usando HTTPS (IP de https:// <SMA ou hostname>) e incorpore suas credenciais do início de uma sessão.
    2. Ao lado da URL na barra de endereços em seu navegador, clique o ícone do fechamento ou o ícone da informação para verificar a validez do certificado, da expiração, etc.
      • Segundo que navegador você está usando, seus ações e resultados podem variar.
    3. Clique sobre o caminho de certificação para verificar a corrente dos Certificados.

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Discussões relacionadas com comunidade da Cisco

    Este documento se refere a estes produtos

    Sobre a Cisco
    Fale Conosco
    Trabalhe Conosco