Como importar certificado em switches das séries Sx350 e Sx550X
Objetivo
Este objetivo deste documento é fornecer as etapas para importar com sucesso um certificado nos switches das séries Sx350 e Sx550X usando a Interface Gráfica de Usuário (GUI - Graphical User Interface) e a Interface de Linha de Comando (CLI - Command Line Interface).
Table Of Contents
Introdução
Um dos problemas encontrados ao importar um certificado em switches Sx350 e Sx550X é que o cabeçalho de chave do faces do usuário está ausente e/ou não conseguiu carregar erros de chave pública. Este documento explicará como superar esses erros para importar um certificado com êxito. Um certificado é um documento eletrônico que identifica um indivíduo, um servidor, uma empresa ou outra entidade e associa essa entidade a uma chave pública. Os certificados são usados em uma rede para fornecer acesso seguro. Os certificados podem ser autoassinados ou assinados digitalmente por uma autoridade de certificação (CA) externa. Um certificado autoassinado, como o nome indica, é assinado por seu próprio criador. As autoridades de certificação gerenciam solicitações de certificado e emitem certificados para entidades participantes, como hosts, dispositivos de rede ou usuários. Um certificado digital assinado pela CA é considerado um padrão do setor e mais seguro.
Dispositivos aplicáveis e versão de software
SG350 versão 2.5.0.83
SG350X versão 2.5.0.83
SG350XG versão 2.5.0.83
SF350 versão 2.5.0.83
SG550X versão 2.5.0.83
SF550X versão 2.5.0.83
SG550XG versão 2.5.0.83
SX550X versão 2.5.0.83
Pré-requisitos
Você deve ter um certificado autoassinado ou de Autoridade de Certificação (CA). As etapas para obter um certificado autoassinado estão incluídas neste artigo. Para saber mais sobre certificados de CA, clique aqui.
Importar usando GUI
Passo 1
Faça login na GUI do switch inserindo seu nome de usuário e senha. Clique em Log In.
Passo 2
No Modo de exibição no lado superior direito da GUI, escolha Avançado usando a opção suspensa.
Etapa 3
Navegue até Segurança > Servidor SSL > Autenticação de servidor SSL.
Passo 4
Selecione um dos certificados que é Gerado Automaticamente. Selecione a ID do certificado 1 ou 2 e clique no botão Editar.
Etapa 5
Para gerar um certificado autoassinado, na nova janela pop-up, habilite Regenerar chave RSA e insira os seguintes parâmetros:
Comprimento da chave
Nome comum
Unidade organizacional
Nome da Organização
Local
Estado
País
Duration
Clique em Gerar.
Você também pode criar um certificado de uma CA de terceiros.
Etapa 6
Agora você poderá ver o certificado Definido pelo Usuário na Tabela de Chaves do Servidor SSL. Selecione o certificado recém-criado e clique em Details.
Etapa 7
Na janela pop-up, você poderá ver os detalhes de certificado, chave pública e chave privada (criptografada). Você pode copiá-los em um arquivo separado do bloco de notas. Clique em Exibir Dados Confidenciais como Texto sem Formatação.
Passo 8
Uma janela pop-up será aberta para confirmar a exibição da chave privada como texto sem formatação. Clique em OK.
Passo 9
Agora você poderá ver a chave privada em texto simples. Copie a saída de texto simples em um arquivo do bloco de notas. Clique em Close.
Passo 10
Selecione o certificado recém-criado Definido pelo Usuário e clique em Importar Certificado.
Passo 11
Na nova janela pop-up, ative a opção Import RSA Key-Pair e cole a chave privada (copiada na etapa 9) em formato de texto simples. Clique em Apply.
Neste exemplo, a palavra-chave, RSA, está incluída no BEGIN e END da chave pública.
Etapa 12
Você verá a notificação de êxito na tela. Você pode fechar esta janela e salvar a configuração no switch.
Possíveis erros
Os erros discutidos pertencem à chave pública. Normalmente, são usados dois tipos de formatos de chave pública:
1. Arquivo de chave pública RSA (PKCS#1): Isso é específico para chaves RSA.
Ele começa e termina com as marcas:
-----INICIAR CHAVE PÚBLICA RSA-----
DADOS CODIFICADOS NA BASE64
-----FINALIZAR CHAVE PÚBLICA RSA-----
2. Arquivo de chave pública (PKCS#8): Este é um formato de chave mais genérico que identifica o tipo de chave pública e contém os dados relevantes.
Ele começa e termina com as marcas:
-----INICIAR CHAVE PÚBLICA-----
DADOS CODIFICADOS NA BASE64
-----FINALIZAR CHAVE PÚBLICA-----
Erro ausente no cabeçalho da chave
Cenário 1: Você gerou o certificado de uma CA de terceiros. Você copiou e colou a chave pública e clicou em Aplicar.
Você recebeu a mensagem, Error: Cabeçalho de chave ausente. Feche a janela. Algumas modificações podem ser feitas para fazer esse problema desaparecer.
Para corrigir este erro:
Adicione a palavra-chave, RSA, ao início da chave pública: INICIAR A CHAVE PÚBLICA RSA
Adicione a palavra-chave, RSA, ao final da chave pública: CHAVE PÚBLICA RSA FINAL
Remova os primeiros 32 caracteres do código-chave. A parte realçada abaixo é um exemplo dos primeiros 32 caracteres.
Ao aplicar as configurações, você não obterá o erro Key header is missing na maioria dos casos.
Falha ao carregar erro de chave pública
Cenário 2: Você gerou um certificado em um switch e o importou para outro switch. Você copiou e colou a chave pública depois de remover os primeiros 32 caracteres e clicou em Aplicar.
Você recebeu o erro Falha ao carregar chave pública na tela.
Para corrigir esse erro, NÃO exclua os primeiros 32 caracteres da chave pública nesse caso.
Importar usando CLI
Passo 1
Para importar o certificado usando CLI, digite o seguinte comando.
switch(config)#crypto certificate [certificate number] importO certificado 2 é importado neste exemplo.
switch(config)#crypto certificate 2 importPasso 2
Colar a entrada; adicione um ponto (.) em uma linha separada após a entrada.
-----INICIAR CHAVE PRIVADA RSA-----MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQC/rZQ6f0rj8neA
..24 linhas truncadas....
h27Zh+aWX7dxakaoF5QokBTqWDHcMAvNluwGiZ/O3BQYgSiI+SYrZXAbUiSvfIR4
NC1WqkWzML6jW+52lD/GokmU
-----FINALIZAR CHAVE PRIVADA RSA-----
-----INICIAR CHAVE PÚBLICA RSA-----
MIIBCgKCAQEAv62UOn9K4/J3gCAk7i9nYL5zYm4kQVQhCcAo7uGblEprxdWkfT0l
..3 linhas truncadas....
64jc5fzIfNnE2QpgBX/9M40E41BX5Z0B/QIDAQAB
-----FINALIZAR CHAVE PÚBLICA RSA-----
-----INICIAR CERTIFICADO-----
MIIFvTCCBKWgAwIBAgIRAOOBWg4bkStdWPvCNYjHpbYwDQYJKoZIhvcNAQELBQAw
—Truncado 28 linhas...
8S+39m9wPAOZipI0JA1/0IeG7ChLWOXKncMeZWVTIUZaEwVFf0cUzqXwOJcsTrMV
JDPtnbKXG56w0Trecu6UQ9HsUBoDQnlsN5ZBHt1VyjAP
-----END CERTIFICATE-----
.
Certificado importado com sucesso
Emitido por: C=xx, ST=Gxxxxx, L=xx, O=xx CA Limited, CN=xx CA de servidor seguro de validação da empresa RSA
Válido de: Jun 14 00:00:00 2017 GMT
Válido até: Set 11 23:59:59 2020 GMT
Assunto: C=DE/postalCode=xxx, ST=xx, L=xx/street=xxx 2, O=xxx , OU=IT, CN=*.kowi.eu
Impressão digital SHA: xxxxxx
Conclusão
Agora você aprendeu as etapas para importar com êxito um certificado nos switches das séries Sx350 e Sx550X usando a GUI e a CLI.
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)