O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como gerar uma nova solicitação de assinatura de certificado (CSR) com as informações no certificado Expressway existente.
A Cisco recomenda que você conheça estes tópicos:
Este documento não se restringe a versões de software e hardware específicas.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Para obter as informações contidas no certificado atual, navegue para Manutenção > Segurança > Certificado do servidor na Interface Gráfica do Usuário (GUI) do Expressway.
Localize a seção Dados do certificado do servidor e selecione Mostrar (decodificado).
Procure as informações no Common Name (CN) e no Subject Alternative Name (SAN), conforme mostrado na imagem:
Agora que você conhece o CN e a SAN, copie-os para que possam ser adicionados ao novo CSR.
Opcionalmente, você pode copiar as informações adicionais para o certificado que é País (C), Estado (ST), Localidade (L), Organização (O), Unidade Organizacional (OU). Essas informações estão ao lado do CN.
Para criar o CSR, navegue para Manutenção > Segurança > Certificado do servidor.
Localize a seção Solicitação de assinatura de certificado (CSR) e selecione Gerar CSR conforme mostrado na imagem:
Insira os valores coletados do certificado atual.
A CN não pode ser modificada a menos que seja um cluster. No caso de um cluster, você pode selecionar o CN para ser o FQDN (Nome de domínio totalmente qualificado) do Expressway ou o FQDN do cluster. Neste documento, um único servidor é usado e, portanto, o CN corresponde ao que você obteve do certificado atual, como mostrado na imagem:
Para as SANs, é necessário inserir os valores manualmente caso não sejam preenchidos automaticamente, para que você possa inserir os valores nos nomes alternativos adicionais, se houver várias SANs, elas terão que ser separadas por vírgula, por exemplo: example1.domain.com, example2.domain.com, example3.domain.com. Depois de adicionadas, as SANs são listadas no nome alternativo, pois serão exibidas, como mostrado na imagem:
As informações adicionais são obrigatórias, se não forem preenchidas automaticamente ou tiverem de ser alteradas, elas devem ser inseridas manualmente conforme mostrado na imagem:
Quando terminar, selecione Gerar CSR.
Agora que o CSR é gerado, você pode selecionar Mostrar (decodificado) na seção Solicitação de assinatura de certificado (CSR) para verificar se todas as SANs estão presentes, como mostrado na imagem:
Na nova janela, procure o CN e o nome alternativo do assunto, como mostrado na imagem:
O CN é sempre adicionado como uma SAN automaticamente:
Agora que o CSR foi verificado, você pode fechar a nova janela e selecionar Download (decodificado) na seção Solicitação de assinatura de certificado (CSR) como mostrado na imagem:
Depois de fazer o download, você pode enviar o novo CSR para sua autoridade de certificação (CA) a ser assinada.
Quando o novo certificado for devolvido da CA, você poderá verificar se todas as SANs estão presentes no certificado. Para fazer isso, você pode abrir o certificado e procurar os atributos de SANs. Neste documento, um PC Windows é usado para ver os atributos, não é o único método, desde que você possa abrir ou decodificar o certificado para revisar os atributos.
Abra o certificado e navegue até a guia Detalhes e procure Assunto, ele deve conter o CN e as informações adicionais, como mostrado na imagem:
Procure também a seção Subject Alternative Name, ela deve conter as SANs que você inseriu no CSR, como mostrado na imagem:
Se todas as SANs que você inseriu no CSR não estiverem presentes no novo certificado, entre em contato com a CA para ver se há permissão para SANs adicionais para o certificado.
Se a CA for a mesma que assinou o certificado antigo do Expressway, você poderá descartar esta etapa. Se for uma CA diferente, você terá que carregar os novos certificados CA na lista de CAs confiáveis em cada um dos servidores Expressway. Se você tiver zonas de TLS (Transport Layer Security) entre os Expressways, por exemplo, entre um Expressway-C e um Expressway-E, será necessário fazer o upload das novas CAs em ambos os servidores para que eles possam confiar um no outro.
Para fazer isso, você pode carregar seus certificados CA um por um. Navegue até Manutenção > Segurança > Certificados de CA confiáveis no Expressway.
Esse procedimento deve ser feito para cada certificado CA na cadeia de certificados (raiz e intermediários) e deve ser feito em todos os servidores Expressway mesmo que estejam em cluster.
Se todas as informações no novo certificado estiverem corretas, para carregar o novo certificado, navegue para: Manutenção > Segurança > Certificado de Servidor.
Localize a seção Carregar novo certificado conforme mostrado na imagem:
Se o novo certificado for aceito pelo Expressway, o Expressway solicitará uma reinicialização para aplicar as alterações e a mensagem exibirá a nova data de expiração do certificado, como mostrado na imagem:
Para reiniciar o Expressway, selecione reiniciar.
Quando o servidor estiver de volta, o novo certificado deve ter sido instalado, você pode navegar para: Maintenance > Security > Server Certificate para confirmar.
Localize os dados do certificado do servidor e procure a expiração do certificado carregado atualmente na seção, ela exibirá a nova data de expiração do certificado como mostrado na imagem:
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.