Installieren eines signierten SSL-Zertifikats auf einem CSPC

Einleitung

In diesem Dokument wird beschrieben, wie Sie SSL-Zertifikate installieren, die von Ihnen oder einer Zertifizierungsstelle (Certificate Authority, CA) im CSPC signiert wurden.

Voraussetzungen

Anforderungen

• .key-Datei (wird beim Erstellen der CSR-Datei für Sie oder eine CA zum Signieren generiert)
• .crt-Datei (Dies ist das Zertifikat, das mit der .key-Datei übereinstimmt und von Ihnen oder der Zertifizierungsstelle signiert wird)
• Root-Zugriff auf CSPC

Tipp: Alternativ zur CRT-Datei können Sie auch CER-Dateien bereitstellen. Diese können in .crt-Dateien konvertiert werden, die installiert werden sollen.

Konfigurieren

Verwendete Komponenten

• CSPC (getestete Versionen sind 2.7.x 2.8.x 2.9.x und 2.10.x)
• FTP-Client (wie WinSCP, Filezilla, MobaXterm usw.)

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Konfigurationen

Importieren der Dateien in das CSPC

1. Importieren Sie mithilfe eines FTP-Clients die .crt- und .key-Dateien in /home/collectorogin.
1.1 Wenn Sie eine CER-Datei erhalten haben, konvertieren Sie die Datei in die CRT-Datei. (Ersetzen Sie <Name> durch den Namen Ihrer Datei).
openssl x509 -notify DER -in <Name>.cer -out localhost.crt

openssl x509 -inform DER -in <name>.cer -out rui.crt

Wenn der vorherige Befehl eine Fehlermeldung ausgibt (z. B. kann das Zertifikat nicht geladen werden), was in einigen Fällen passieren kann, verwenden Sie diesen Befehl. Der Fehler kann nicht angezeigt werden.

openssl x509 -in <name>.cer -out rui.crt

Install 

2. Erstellen Sie den Schlüsselspeicher.

openssl pkcs12 -export -in localhost.crt -inkey localhost.key > localhost.p12

3. Import in CSPC-Schlüsselspeicher.

/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -importkeystore -srckeystore localhost.p12 -srcstoretype pkcs12 -destkeystore $CSPCHOME/webui/tomcat/conf/cspcgxt -deststoretype jks

Hinweis: Sie werden zur Eingabe des Kennworts aufgefordert. Es ist immer cspcgxt.

4. Überprüfen Sie, ob es importiert wurde (zwei Einträge vorhanden).

/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -list -v -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt | grep --color 'Your keystore contains'

5. Löschen Sie den vorherigen Alias.

/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -delete -alias tomcat -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt

6. Stellen Sie sicher, dass nur ein Alias vorhanden ist.

/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -list -v -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt | grep --color 'Your keystore contains'

7. Ändern Sie den Alias in tomcat.

/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -changealias -alias 1 -destalias tomcat -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt

8. Starten Sie die CSPC-Dienste neu.

Für die Versionen 2.7.x und 2.8.x:

service cspc restart

Für die Versionen 2.9.x und 2.10.x:

systemctl cspc restart

Achtung: Speichern Sie die .key- und .crt-Dateien, da ein Upgrade auf den CSPC das SSL-Zertifikat entfernen kann und eine Neuinstallation erforderlich ist.

Überprüfung

Navigieren Sie zum CSPC-Anmeldebildschirm, wählen Sie die Sperre links in der Adressleiste aus, und überprüfen Sie das Zertifikat.

Fehlerbehebung

Nach dem Neustart haben die Versionen 2.9.x und 2.10.x Probleme mit Tomcat. Falls die grafische Benutzeroberfläche nicht angezeigt wird:
1. Vergewissern Sie sich, dass die Tomcat-Dienste nach dem Neustart aktiviert sind:

service tomcat status

2. Wenn die Meldung Aktiv: Aktivieren (Starten) angezeigt wird, warten Sie fünf bis zehn Minuten, während der Dienst gestartet wird. Andernfalls starten Sie es manuell:

service tomcat start

Tipp: Wenn weiterhin Probleme auftreten, kontaktieren Sie einen Lead, oder geben Sie die Kommentare weiter.