簡介
本檔案介紹通過Cisco或Manual方法在控制器上續訂SD-WAN證書的步驟。
可用方法
控制器憑證授權有四個不同的選項。
- 思科(建議) — 使用思科即插即用(PnP)門戶對由vManage生成的CSR進行簽名並自動下載和安裝的半自動化流程。
- 手動 — 通過Cisco PnP手動簽署證書。
- Symantec — 通過Symantec/Digicert手動簽署第三方證書。
- 企業根證書 — 通過專用根證書頒發機構(CA)手動簽署證書。
本檔案僅說明Cisco(建議)和手動方法的步驟。
註意:本文檔包含的證書與vManage的Web證書無關。
需求
- 一台PC/筆記型電腦。
- vManage GUI和每個控制器(vManage、vSmart和vBond)的Netadmin帳戶。
- 對CA伺服器的訪問。
- 對於Cisco(推薦)或手動,為PnP門戶提供有效的帳戶/密碼。
- 對於Cisco(推薦),vManage必須能夠訪問Internet。
- 所有控制器都需要有效的NTP伺服器,並且/或者所有控制器都需要具有正確的日期和時間。
- vBond和vSmart與vManage之間的通訊。
注意:vManage中的證書安裝不會影響您的控制平面或資料平面。對於vSmart中的證書,控制連線可能受到影響。由於OMP正常計時器,控制平面繼續工作。為了執行證書更改,必須為活動計劃一個維護視窗。
續訂流程
這是一個高級過程:
- 識別vManage GUI中使用的Controller Certificate Authorization選項。
- 通過vManage GUI生成新CSR。
- 建立新的憑證。
- 下載Certificate。
- 安裝Certificate。
思科(推薦)
- 導航到vManage > Administration > Settings > Certificate Authority Server。
2.向下滾動至智慧帳戶憑證,並引入有效的使用者/密碼。憑證必須能夠存取設定SD-WAN重疊的智慧帳戶,如下圖所示。
3.導覽至vManage > Configuration > Certificates > Controllers。
- 選擇控制器(vBond、vSmart或vManage)上的省略號(...)。
- 選擇Generate CSR。
4.完成這一進程需要5至20分鐘。
在GUI vManage > Configuration > Certificates > Controllers中驗證安裝是否正確。
手動(PnP)
1.導航到vManage > Administration > Settings > Certificate Authority Server
2.導覽至vManage > Configuration > Certificates > Controllers。
- 在控制器(vBond、vSmart或vManage)上選擇省略號(...)。
- 選擇Generate CSR。
- 複製所有文本並將其儲存在臨時檔案中。
3.訪問PnP門戶,選擇您的SD-WAN重疊,然後導航到證書,如下圖所示。
4.在Certificates部分,按一下Generate a new certificate,然後輸入所有資訊。
5.按一下Submit和Done。
6.幾分鐘後,證書即可下載。
- 下載憑證檔案
- 訪問vManage GUI
- 在vManage > Certificate > Controllers下選擇install certificate。
- 在彈出視窗中選擇證書。
注意如果您無法檢視或選擇證書,請確保在「格式」選項下選擇「所有檔案」。如果格式框不可見,請使用其他Web瀏覽器。
7.證書現在已安裝。
常見問題
時間不匹配
思科雲託管控制器配置了NTP伺服器。
如果由於組態變更而導致NTP不存在,控制器可以有不同的時間,這可能會干擾憑證安裝或CSR的產生。
確保控制器具有相同的時間。
無法建立連線
SD-WAN控制器必須通過在VPN0下配置的介面訪問。
檢驗是否存在第3層和第4層通訊。
我們可以通過控制檯檢查控制器的日誌,瞭解有關該問題的詳細資訊。