خطوات لتجديد شهادة موقعة ذاتيا منتهية الصلاحية في مركز رؤية Cyber

المقدمة

يصف هذا المستند الخطوات المعنية لتجديد شهادة موقعة ذاتيا (SSC) منتهية الصلاحية على مركز رؤية Cisco Cyber. 

المشكلة

ويتم إنشاء الشهادات التي يستخدمها المركز للاتصال بأجهزة الاستشعار لواجهة الويب (في حالة عدم وجود شهادة خارجية) عند بدء تشغيل المركز لأول مرة وتكون صالحة لمدة سنتين (مع فترة سماح إضافية مدتها شهران). بمجرد الوصول إلى الوقت، لن تتمكن أجهزة الاستشعار من الاتصال بالمركز بعد الآن، مع إظهار النوع التالي من الأخطاء في السجلات:

2023-08-04T09:47:53+00:00 c4819831-bf01-4b3c-b127-fb498e50778d sensorsyncd[1]: 04/08/2023 09:47:53 sensorsyncd WARN failed to connect to center: rabbitmq error: x509: certificate has expired or is not yet valid: current time 2023-08-04T09:47:53Z is after 2023-08-02T10:35:35Z [caller=push.go:42]

بالإضافة إلى ذلك، سيؤدي الاتصال بواجهة مستخدم ويب إلى عرض خطأ أو سيتم حظره بناء على مستعرض الويب في حالة عدم وجود شهادة خارجية قيد الاستخدام.

الحل

وهو ينطبق على الإصدار 4.2.x. بالنسبة للإصدارات 4.2.1 والإصدارات الأحدث، يمكن تنفيذ ذلك أيضا من واجهة المستخدم الرسومية (GUI) عبر الويب. 

خطوات إعادة إنشاء شهادة المركز

1. التحقق من صحة الشهادة الحالية

root@center:~# openssl x509 -subject -startdate -enddate -noout -in /data/etc/ca/center-cert.pem
subject=CN = CenterDemo
notBefore=Aug 8 11:42:30 2022 GMT
notAfter=Oct 6 11:42:30 2024 GMT

2. إنشاء شهادة جديدة
يجب إستخدام الاسم الشائع (من حقل "subject=cn") الذي تم الحصول عليه من الخطوة السابقة لإنشاء الشهادة الجديدة

root@center:~# sbs-pki --newcenter=CenterDemo
6C89E224EBC77EF6635966B2F47E140C

3. قم بإعادة تشغيل المركز.

فيما يتعلق بعمليات النشر مع كل من المركز المحلي والمركز العالمي، من الضروري إلغاء تسجيل المراكز المحلية وإعادة تسجيلها.

خطوات إعادة إنشاء شهادة المستشعر

إذا انتهت صلاحية شهادة المركز، فمن المحتمل أن تكون بعض شهادات المستشعر على وشك الانتهاء لأنها صالحة أيضا لمدة عامين من اللحظة التي يتم فيها إنشاء المستشعر في المركز.

• بالنسبة لأجهزة الاستشعار المثبتة مع الملحق، سوف تستخدم إعادة النشر شهادة جديدة.
• بالنسبة لأجهزة الاستشعار التي تم نشرها يدويا:

1. إنشاء شهادة جديدة في المركز برقم تسلسلي للمستشعر:

root@center:~# sbs-pki --newsensor=FCWTEST
326E50A526B23774CBE2507D77E28379

لاحظ المعرف الذي تم إرجاعه بواسطة الأمر

2. الحصول على معرف المستشعر لهذا المستشعر

root@center:~# sbs-sensor list
c6e38190-f952-445a-99c0-838f7b4bbee6
    FCWTEST (serial number=FCWTEST)
    version:
    status: ENROLLED
    mac:
    ip:
    capture mode: optimal
    model: IOX
    hardware:
    first seen on 2022-08-09 07:23:15.01585+00
    uptime 0
    last update on: 0001-01-01 00:00:00+00​

3. تحديث قاعدة البيانات للمستشعر بمعرف الشهادة

root@center:~# sbs-db exec "UPDATE sensor SET certificate_serial='326E50A526B23774CBE2507D77E28379' WHERE id='c6e38190-f952-445a-99c0-838f7b4bbee6'"
UPDATE 1

يجب أن يكون تسلسل الشهادة هو القيمة التي تم الحصول عليها من الخطوة الأولى ومعرف المستشعر الخاص بالمستشعر

4. قم بتنزيل حزمة الإمداد الخاصة بهذا المستشعر من واجهة المستخدم الرسومية (GUI) عبر الويب

5. إعادة النشر باستخدام حزمة الإمداد هذه