简介
本文档介绍在Cisco Cyber Vision Center上续订过期自签名证书(SSC)所涉及的步骤。
问题
中心用于与Web界面的传感器通信的证书(如果没有外部证书)在该中心第一次启动时生成,有效期为2年(另加2个月的宽限期)。到达该时间后,传感器将无法再连接到中心,在日志中显示以下类型的错误:
2023-08-04T09:47:53+00:00 c4819831-bf01-4b3c-b127-fb498e50778d sensorsyncd[1]: 04/08/2023 09:47:53 sensorsyncd WARN failed to connect to center: rabbitmq error: x509: certificate has expired or is not yet valid: current time 2023-08-04T09:47:53Z is after 2023-08-02T10:35:35Z [caller=push.go:42]
此外,如果没有使用外部证书,则连接到Web UI将显示错误或受到阻止,具体取决于Web浏览器。
解决方案
适用于4.2.x版本。对于版本4.2.1及更高版本,也可以通过Web GUI完成。
重新生成中心证书的步骤
- 验证当前证书
root@center:~# openssl x509 -subject -startdate -enddate -noout -in /data/etc/ca/center-cert.pem
subject=CN = CenterDemo
notBefore=Aug 8 11:42:30 2022 GMT
notAfter=Oct 6 11:42:30 2024 GMT
2.生成新证书
必须使用从上一步得到的“Common Name”(来自“subject=CN”字段)生成新证书
root@center:~# sbs-pki --newcenter=CenterDemo
6C89E224EBC77EF6635966B2F47E140C
3.重新启动中心。
在同时使用本地中心和全局中心的部署中,必须注销本地中心并重新注册它们。
重新生成传感器证书的步骤
如果中心证书已过期,则某些传感器证书可能即将过期,因为这些证书在中心创建传感器后2年内仍然有效。
- 对于安装了扩展名的传感器,重新部署将使用新证书。
- 对于手动部署的传感器:
- 使用传感器序列号在中心生成新证书:
root@center:~# sbs-pki --newsensor=FCWTEST
326E50A526B23774CBE2507D77E28379
注意命令返回的id
2.获取此传感器的传感器id
root@center:~# sbs-sensor list
c6e38190-f952-445a-99c0-838f7b4bbee6
FCWTEST (serial number=FCWTEST)
version:
status: ENROLLED
mac:
ip:
capture mode: optimal
model: IOX
hardware:
first seen on 2022-08-09 07:23:15.01585+00
uptime 0
last update on: 0001-01-01 00:00:00+00
3.使用证书ID更新传感器的数据库
root@center:~# sbs-db exec "UPDATE sensor SET certificate_serial='326E50A526B23774CBE2507D77E28379' WHERE id='c6e38190-f952-445a-99c0-838f7b4bbee6'"
UPDATE 1
Certificate serial必须是第一步中获得的值,并且必须是传感器的传感器id
4.从Web GUI下载此传感器的调配软件包
5.使用此预配包重做部署
反馈