如何在Sx350和Sx550X系列交换机上导入证书
目标
本文档的目的是提供使用图形用户界面(GUI)和命令行界面(CLI)在Sx350和Sx550X系列交换机上成功导入证书的步骤。
简介
在Sx350和Sx550X交换机上导入证书时遇到的问题之一是,用户面临key header is missing and/or failed to load public key错误。本文档将介绍如何克服这些错误以成功导入证书。证书是一种电子文档,用于标识个人、服务器、公司或其他实体,并将该实体与公钥相关联。证书用于网络中,以提供安全访问。证书可由外部证书颁发机构(CA)自签名或数字签名。自签名证书(如名称所示)由其自己的创建者签名。CA管理证书请求并向参与实体(如主机、网络设备或用户)颁发证书。CA签名的数字证书被视为行业标准,并且更安全。
适用的设备和软件版本
SG350版本2.5.0.83
SG350X版本2.5.0.83
SG350XG版本2.5.0.83
SF350版本2.5.0.83
SG550X版本2.5.0.83
SF550X版本2.5.0.83
SG550XG版本2.5.0.83
SX550X版本2.5.0.83
先决条件
您必须具有自签名证书或证书颁发机构(CA)证书。获取自签名证书的步骤包含在本文中。要了解有关CA证书的详细信息,请单击此处。
使用GUI导入
第 1 步
输入您的用户名和密码,登录到交换机的GUI。单击登录。
第 2 步
在GUI右上角的Display Mode中,使用下拉选项选择Advanced。
第 3 步
导航到安全> SSL服务器> SSL服务器身份验证。
第 4 步
选择Auto Generated其中一个证书。选择Certificate ID 1或2,然后单击Edit按钮。
步骤 5
要生成自签名证书,请在新的弹出窗口中启用Regenerate RSA Key并输入以下参数:
密钥长度
公用名
组织单位
单位名称
位置
状态
国家/地区
持续时间
单击生成。
您也可以从第三方CA创建证书。
第 6 步
现在,您可以在SSL Server Key Table下看到User Defined证书。选择新创建的证书,然后单击Details。
第 7 步
在弹出窗口中,您可以查看证书、公钥和私钥(加密)详细信息。您可以在单独的记事本文件中复制这些内容。单击Display Sensitive Data as Plaintext。
步骤 8
将会打开一个弹出窗口,确认私钥显示为明文,然后单击OK。
步骤 9
现在,您将能够以明文形式查看私钥。将该明文输出复制到记事本文件。单击 Close。
步骤 10
选择新创建的User Defined证书,然后单击Import Certificate。
步骤 11
在新弹出窗口中,启用Import RSA Key-Pair选项,并以明文格式粘贴私钥(在步骤9中复制)。单击 Apply。
在本示例中,关键字RSA包含在Public Key的BEGIN和END处。
步骤 12
您将在屏幕上看到成功通知。您可以关闭此窗口并保存交换机上的配置。
可能的错误
所讨论的错误与公钥有关。通常使用两种类型的公钥格式:
1. RSA公钥文件(PKCS#1):这特定于RSA密钥。
它以标记开始和结束:
-----开始RSA公钥-----
BASE64编码数据
-----结束RSA公钥-----
2.公钥文件(PKCS#8):这是一种更通用的密钥格式,用于标识公钥的类型并包含相关数据。
它以标记开始和结束:
-----开始公钥-----
BASE64编码数据
-----结束公钥-----
缺少密钥标头错误
情形 1:您从第三方CA生成了证书。您复制并粘贴了公钥并单击Apply。
您收到消息Error:缺少密钥标头。关闭窗口。可以做一些修改,使此问题消失。
要修复此错误,请执行以下操作:
将关键字RSA添加到公钥的开头:开始RSA公钥
将关键字RSA添加到公钥的末尾:结束RSA公钥
删除密钥代码中的前32个字符。下面突出显示的部分是前32个字符的示例。
应用设置时,在大多数情况下,您不会收到Key header is missing错误。
无法加载公钥错误
方案 2:您在一台交换机上生成了证书,并将其导入到另一台交换机上。删除前32个字符并点击Apply后,您复制并粘贴了公钥。
屏幕上出现Failed to load public key错误。
要解决此错误,请勿在此情况下删除公钥的前32个字符。
使用CLI导入
第 1 步
要使用CLI导入证书,请输入以下命令。
switch(config)#crypto certificate [certificate number] import本示例中导入了证书2。
switch(config)#crypto certificate 2 import第 2 步
粘贴输入;在输入后单独的行上添加句点(.)。
-----开始RSA私钥-----MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKGWGgSkAgEAAoIBAQC/rZQ6f0rj8neA
..截断了24行…….
h27Zh+aWX7dxakaoF5QokBTqWDHcMAvNluwGiZ/O3BQYgSiI+SYrZXAbUiSvfIR4
NC1WqkWzML6jW+52lD/GokmU
-----结束RSA私钥-----
-----开始RSA公钥-----
MIIBCgKCAQEAv62UOn9K4/J3gCAk7i9nYL5zYm4kQVQhCcAo7uGblEprxdWkfT0l
..截断的3行…….
64jc5fzIfNnE2QpgBX/9M40E41BX5Z0B/QIDAQAB
-----结束RSA公钥-----
-----开始证书-----
MIIFvTCCBKWgAwIBAgIRAOOBWg4bkStdWPvCNYjHpbYwDQYJKoZIhvcNAQELBQAw
— 截断了28行……
8S+39m9wPAOZipI0JA1/0IeG7ChLWOXKncMeZWVTIUZaEwVFf0cUzqXwOJcsTrMV
JDPtnbKXG56w0Trecu6UQ9HsUBoDQnlsN5ZBHt1VyjAP
-----END CERTIFICATE-----
.
已成功导入证书
颁发者:C=xx、ST=Gxxxxx、L=xx、O=xx CA Limited、CN=xx RSA组织验证安全服务器CA
有效起始日期:6月14日00:00:00 2017 GMT
有效日期:9月11日23:59:59 2020格林尼治标准时
主题:C=DE/postalCode=xxx、ST=xx、L=xx/street=xxx 2、O=xxx、OU=IT、CN=*.kowi.eu
SHA指纹:xxxxxx
结论
现在您已学习使用GUI和CLI在Sx350和Sx550X系列交换机上成功导入证书的步骤。
反馈