已有帐户?
需要帐户?
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文描述如何生成和安装一证书为配置和使用在Cisco安全管理设备(SMA)。
您将需要访问运行的命令openssl本地。
您将需要对您的电子邮件安全工具(ESA)的管理帐户访问和对您的SMA CLI的admin访问。
您必须有这些项目可用在.pem格式:
提示:推荐安排证书签字由委托CA.思科不根据您选择工作与的CA推荐特定CA.,您可能接收上一步签名证书、专用密钥和中间证书(哪里可适用)以多种格式。 直接地与CA请研究或讨论他们提供给您在安装证书之前文件的格式。
目前, SMA不支持生成证书本地。 反而,生成在ESA的一自签名证书是可能的。这可以用于作为应急方案创建SMA的一证书为了导入和配置。
从ESA创建和导出的证书在.pfx格式。导入的仅SMA支持.pem格式,因此此证书将需要转换。 为了转换证书从.pfx格式到.pem格式,请使用以下openssl example命令:
openssl pkcs12 -in mycert.pfx -out mycert.pem -nodes
将提示对于使用的密码短语,当创建从ESA时的证书。 在openssl命令创建的.pem文件将包含证书和密钥在.pem格式。 证书当前准备配置在SMA。 请继续“安装此条款的证书”部分。
或者,如果访问本地访问运行openssl从您的PC/workstation,您能发出以下命令生成证书和保存需要的.pem文件和专用密钥到两分离文件:
openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout sma_key.pem -out sma_cert.pem
证书当前准备配置在SMA。 请继续“安装此条款的证书”部分。
而不是转换从.pfx的证书到.pem里,如上所述,您能保存配置文件,无需屏蔽在ESA的密码。打开已保存ESA .xml配置文件和搜索<certificate>标记的。证书和专用密钥已经在.pem格式。复制证书和专用密钥导入的同样到SMA象描述“安装下面证书”部分。
Note:如果选择了以上的#2, “请下载证书签名请求”,并且安排证书签字由CA,您将需要导入签名证书回到证书从在保存配置文件之前创建为进行证书和专用密钥的复制的ESA。导入可以由单击完成在ESA GUI和使用选项“加载签名证书”的验证名称。
单个证书可以用于所有服务,或者一单个证书可以用于四服务中的每一:
在SMA,请通过CLI登录并且完成以下步骤:
Note: 因为这立即取消您的更改,请勿退出与Ctrl+C的certconfig命令。
mysma.local> certconfigCurrently using the demo certificate/key for receiving, delivery, HTTPS management access, and LDAPS.Choose the operation you want to perform:- SETUP - Configure security certificates and keys.[]> setupDo you want to use one certificate/key for receiving, delivery, HTTPS management access, and LDAPS? [Y]> ypaste cert in PEM format (end with '.'):-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----.paste key in PEM format (end with '.'):-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----.Do you want to add an intermediate certificate? [N]> nCurrently using one certificate/key for receiving, delivery, HTTPS management access, and LDAPS.Choose the operation you want to perform:- SETUP - Configure security certificates and keys.- PRINT - Display configured certificates/keys.- CLEAR - Clear configured certificates/keys.[]>mysma.local> commitPlease enter some comments describing your changes:[]> Certificate installationChanges committed: Fri Nov 10 11:46:07 2017 EST