簡介
本文檔介紹在Intersight環境(SAAS或裝置)中續訂交換矩陣互聯自簽名證書的過程。
必要條件
需求
在Intersight託管模式下的UCS域。
UCS網域Intersight託管模式
採用元件
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
生成自簽名證書
思科建議使用CA簽名的證書訪問裝置,因為如果使用自簽名的證書,現代瀏覽器可以限制訪問。Intersight Virtual Appliance允許您生成自簽名證書,以便在思科提供的證書過期時延長其有效性。
當生成新的自簽名證書時,將替換現有的SSL證書,從而可能讓您退出當前瀏覽器會話。如果您沒有註銷,請刷新瀏覽器以應用新證書。要確認更新,請按一下瀏覽器位址列中URL旁邊的lock或warning圖示。刷新後,您將直接轉到Settings > Certificates頁面,而無需重新登入。
裝置控制檯使用者介面(UI)使用自簽名證書,其公用名(CN)設定為switch。第一次開啟和配置交換矩陣互聯(FI)時生成此證書。自簽名證書的有效期為365天,這意味著運行超過一年的任何FI都有一個過期的證書。
某些客戶使用自動監控工具通過HTTPS刮取裝置的IP或主機名並驗證證書的到期日期。證書到期時,這些工具會觸發警報,導致可觀察和安全團隊將其標籤為潛在問題。
此外,由於證書是自簽名的,因此Web瀏覽器會顯示不安全的警告。如果證書已過期,也可能出現此警告,從而可能引起進一步的安全問題。
為防止出現這些問題,建議主動續訂或更換證書。
問題/症狀
當您訪問裝置控制檯時,您會發現該站點不安全。
附註:要訪問裝置控制檯,您需要交換矩陣互聯的IP地址。
證書錯誤
按一下certificate information後,可以看到證書到期日期。
證書到期日期
重新生成證書
要在Intersight中續訂預設證書,需要重新啟動裝置控制檯或重新啟動交換矩陣互聯(不推薦)。
使用以下步驟在Intersight中手動重新生成預設證書:
-
使用一個交換矩陣互聯的IP地址開啟SSH會話。
-
執行命令:
UCS# generate-self-signed-certificate
如果成功生成證書,您將看到:
hostname is IMM-FI6454
Successfully generated the self-signed-certificates
Successfully restarted the web-server
若要檢查實際憑證並確認其已變更,請使用以下命令:
UCS# show self-signed-certificate
輸出示例:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
附註:如果在續訂之前檢查證書,請確保證書在續訂流程後更改。
最後,憑證應如下所示:
證書驗證
相關資訊
Intersight虛擬裝置中的證書