Installer un certificat SSL signé sur un CSPC

Introduction

Ce document décrit comment installer des certificats SSL signés par vous ou par une autorité de certification (CA) dans le CSPC.

Conditions préalables

Exigences

• Fichier .key (généré lors de la création du fichier csr pour vous ou une autorité de certification à signer)
• Fichier .crt (il s'agit du certificat qui correspond au fichier .key et qui est signé par vous ou par l'autorité de certification)
• Accès racine à CSPC

Conseil : vous pouvez également fournir des fichiers .cer au fichier .crt. Ils peuvent être convertis en fichiers .crt à installer.

Configurer

Composants utilisés

• CSPC (versions testées : 2.7.x 2.8.x 2.9.x et 2.10.x)
• Client FTP (comme WinSCP, Filezilla, MobaXterm, etc.)

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Configurations

Importer les fichiers dans le CSPC

1. À l’aide d’un client FTP, importez les fichiers .crt et .key dans /home/collectorogin.
1.1 Si vous avez reçu un .cer, convertissez le fichier en .crt. (Remplacez <nom> par le nom de votre fichier).
openssl x509 -inform DER -in <nom>.cer -out localhost.crt

openssl x509 -inform DER -in <name>.cer -out rui.crt

Si la commande précédente donne une erreur (comme l'impossibilité de charger le certificat), ce qui peut se produire dans certains cas, alors utilisez cette commande. Il ne peut pas provoquer l'erreur.

openssl x509 -in <name>.cer -out rui.crt

Install 

2. Créez la banque de clés.

openssl pkcs12 -export -in localhost.crt -inkey localhost.key > localhost.p12

3. Importez dans le keystore de CSPC.

/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -importkeystore -srckeystore localhost.p12 -srcstoretype pkcs12 -destkeystore $CSPCHOME/webui/tomcat/conf/cspcgxt -deststoretype jks

Remarque : il vous demande le mot de passe. Il s'agit toujours de cspcgxt.

4. Vérifiez qu'il a été importé (deux entrées sont présentes).

/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -list -v -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt | grep --color 'Your keystore contains'

5. Supprimez l'alias précédent.

/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -delete -alias tomcat -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt

6. Vérifiez qu'un seul alias est présent

/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -list -v -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt | grep --color 'Your keystore contains'

7. Remplacez l'alias par tomcat.

/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -changealias -alias 1 -destalias tomcat -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt

8. Redémarrez les services CSPC.

Pour les versions 2.7.x et 2.8.x :

service cspc restart

Pour les versions 2.9.x et 2.10.x :

systemctl cspc restart

Attention : enregistrez les fichiers .key et .crt car les mises à niveau vers CSPC peuvent supprimer le certificat SSL et une réinstallation est requise.

Vérifier

Accédez à l'écran de connexion de CSPC et sélectionnez le verrou à gauche de la barre d'adresse et inspectez le certificat.

Dépannage

Lors du redémarrage, les versions 2.9.x et 2.10.x ont rencontré des problèmes avec Tomcat. Si l'interface utilisateur graphique ne s'affiche pas :
1. Confirmez que les services tomcat sont actifs après le redémarrage :

service tomcat status

2. Si le message indique Active: activating (start), attendez cinq à dix minutes pendant que le service arrive. Sinon, démarrez-le manuellement :

service tomcat start

Conseil : si vous rencontrez toujours des problèmes, veuillez contacter un prospect ou faire part de vos commentaires.