通过手动方法启用SDWAN控制器证书续订
简介
本文档介绍通过思科或手动续订控制器上的SD-WAN证书的步骤。
可用方法
控制器证书授权有四个不同的选项。
- 思科(推荐) — 使用思科即插即用(PnP)门户对vManage生成的CSR进行签名的半自动化流程,可自动下载和安装这些CSR。
- 手动 — 通过Cisco PnP手动签署证书。
- Symantec — 通过Symantec/Digicert手动签署第三方证书。
- 企业根证书 — 通过专用根证书颁发机构(CA)手动签署证书。
本文档仅介绍Cisco(推荐)和手动方法的步骤。
警告:本文档中包含的证书与vManage的Web证书无关。
要求
- 一台PC/笔记本电脑。
- vManage GUI和每个控制器(vManage、vSmart和vBond)的Netadmin帐户。
- 访问CA服务器。
- 对于Cisco(推荐)或Manual,为PnP门户提供有效的帐户/密码。
- 对于Cisco(推荐),vManage必须能够访问互联网。
- 所有控制器都需要有效的NTP服务器,并且/或者所有控制器都需要具有正确的日期和时间。
- vBond和vSmart与vManage之间的通信。
注意:在vManage中安装的证书不会影响您的控制平面或数据平面。对于vSmart中的证书,控制连接可能会受到影响。由于OMP平滑计时器,控制平面继续工作。要执行证书更改,必须为活动安排维护窗口。
续约流程
这是一个高级过程:
- 识别vManage GUI上正在使用的控制器证书授权选项。
- 通过vManage GUI生成新的CSR。
- 创建新的证书。
- 下载证书。
- 安装证书。
思科(推荐)
- 导航到vManage > Administration > Settings > Certificate Authority Server。
- 验证是否选择了正确的选项。
- 选择证书的持续时间。
2.向下滚动到智能帐户凭证并引入有效的用户/密码。凭证必须能够访问配置SD-WAN重叠的智能帐户,如图所示。
3.导航到vManage > Configuration > Certificates > Controllers。
- 选择控制器上的省略号(...)(vBond、vSmart或vManage)。
- 选择生成 CSR。
4.此过程需要5-20分钟才能完成。
在GUI vManage > Configuration > Certificates > Controllers中验证安装是否正确。
手动(PnP)
1.导航到vManage > Administration > Settings > Certificate Authority Server。
- 验证是否选择了正确的选项。
2.导航到vManage > Configuration > Certificates > Controllers。
- 选择控制器(vBond、vSmart或vManage)上的省略号(..)。
- 选择生成 CSR。
- 在临时文件中复制并保存所有文本。
3.访问PnP门户,选择您的SD-WAN重叠,然后导航到证书,如图所示。
4.在证书部分,单击生成新证书并输入所有信息。
- 在证书签名请求中,输入第2步中生成的CSR。
5.单击提交和完成。
6.几分钟后,即可下载证书。
- 下载证书文件。
- 访问vManage GUI。
- 选择vManage > Certificate > Controllers下的安装证书。
- 在弹出窗口中选择证书。
7.证书现在已安装。
常见问题
时间不匹配
思科云托管控制器配置了NTP服务器。如果配置更改导致NTP不存在,则控制器可以有不同的时间,这可能会干扰证书安装或CSR生成。确保控制器具有相同的时间。
无法建立连接
SD-WAN控制器必须通过在VPN0下配置的接口来访问。验证存在第3层和第4层通信。您可以通过控制台检查控制器的日志以了解有关该问题的更多详细信息。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
2.0 |
24-Jun-2026
|
已更新简介部分、语法、拼写、间距、替换文本、句子结构和CCW提示。 |
1.0 |
27-Apr-2023
|
初始版本 |
反馈