简介
本文档介绍在Intersight环境(SAAS或设备)中续订交换矩阵互联自签名证书的过程。
先决条件
要求
Intersight管理模式下的UCS域。
UCS域Intersight管理模式
使用的组件
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
生成自签名证书
思科建议使用CA签名的证书访问设备,因为现代浏览器可以在使用自签证书时限制访问。Intersight Virtual Appliance允许您生成自签名证书,以在思科提供的证书过期时延长其有效期。
当生成新的自签名证书时,现有SSL证书将被替换,可能会将您从当前浏览器会话注销。如果未注销,请刷新浏览器以应用新证书。要确认更新,请点击浏览器地址栏中URL旁边的lock或warning图标。刷新后,系统会将您定向到设置>证书页面,而无需再次登录。
设备控制台用户界面(UI)使用自签名证书,常用名(CN)设置为切换。此证书是在交换矩阵互联(FI)首次打开并配置时生成的。自签名证书的有效期为365天,这意味着运行超过一年的任何FI都有过期的证书。
某些客户使用自动监控工具通过HTTPS擦除设备的IP或主机名并验证证书的到期日期。证书到期时,这些工具会触发警报,导致可观察和安全团队将其标记为潜在问题。
此外,由于证书是自签名证书,Web浏览器确实会显示Not Secure警告。如果证书过期,也会出现此警告,这可能会引起进一步的安全问题。
为防止出现这些问题,建议主动更新或替换证书。
问题/症状
当您访问设备控制台时,您会发现该站点不安全。
注意:对于设备控制台访问,您需要交换矩阵互联的IP地址。
证书错误
单击certificate information后,您会看到证书到期日期。
证书到期日期
重新生成证书
要在Intersight中续订默认证书,您需要重新启动设备控制台或重新启动交换矩阵互联(不推荐)。
使用以下步骤在Intersight中手动重新生成默认证书:
-
使用一个交换矩阵互联IP地址打开SSH会话。
-
运行以下命令:
UCS# generate-self-signed-certificate
如果证书生成成功,您将看到:
hostname is IMM-FI6454
Successfully generated the self-signed-certificates
Successfully restarted the web-server
要检查实际证书并确认其已更改,请使用此命令:
UCS# show self-signed-certificate
示例输出:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
注意:如果在续订之前检查证书,请确保证书在续订流程后更改。
最后,证书应如下所示:
证书验证
相关信息
Intersight虚拟设备中的证书