Configurer le certificat du serveur UCS sur CIMC
Introduction
Ce document décrit comment générer une demande de signature de certificat (CSR) pour obtenir un nouveau certificat.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
-
Vous devez vous connecter en tant qu'utilisateur avec des privilèges d'administrateur pour configurer les certificats.
- Assurez-vous que l’heure CIMC est définie sur l’heure actuelle.
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- CIMC 1.0 ou version ultérieure
- Openssl
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
Le certificat peut être téléchargé sur le contrôleur de gestion intégré Cisco (CIMC) afin de remplacer le certificat de serveur actuel. Le certificat du serveur peut être signé par une autorité de certification publique, telle que Verisign, ou par votre propre autorité de certification. La longueur de clé de certificat générée est de 2 048 bits.
Configurer
| Étape 1. | Générez le CSR à partir du CIMC. |
| Étape 2. | Envoyez le fichier CSR à une autorité de certification pour signer le certificat. Si votre entreprise génère ses propres certificats auto-signés, vous pouvez utiliser le fichier CSR pour générer un certificat auto-signé. |
| Étape 3. | Téléchargez le nouveau certificat sur le CIMC. |
Générer CSR
Accédez à l'onglet Admin > Security Management > Certificate Management > Generate Certificate Signing Request (CSR) et remplissez les détails marqués d'un *.
Reportez-vous également au guide Generating a Certificate Signing Request.
Que faire ensuite ?
Effectuez les tâches suivantes :
-
Si vous ne souhaitez pas obtenir un certificat auprès d'une autorité de certification publique et si votre organisation n'exploite pas sa propre autorité de certification, vous pouvez autoriser CIMC à générer en interne un certificat auto-signé à partir du CSR et à le télécharger immédiatement sur le serveur. Cochez la case Certificat auto-signé pour effectuer cette tâche.
-
Si votre entreprise utilise ses propres certificats auto-signés, copiez le résultat de la commande de -----BEGIN ...à END CERTIFICATE REQUEST----- et collez-le dans un fichier nommé csr.txt. Entrez le fichier CSR sur votre serveur de certificats pour générer un certificat auto-signé.
-
Si vous obtenez un certificat d'une autorité de certification publique, copiez le résultat de la commande de -----BEGIN ... à END CERTIFICATE REQUEST----- et collez-le dans un fichier nommé csr.txt. Envoyez le fichier CSR à l'autorité de certification pour obtenir un certificat signé. Assurez-vous que le certificat est de type Server.
Si vous n'avez pas utilisé la première option, dans laquelle CIMC génère et télécharge en interne un certificat auto-signé, vous devez créer un nouveau certificat auto-signé et le télécharger vers CIMC.
Créer un certificat auto-signé
Comme alternative à une autorité de certification publique et à la signature d’un certificat de serveur, utilisez votre propre autorité de certification et signez vos propres certificats. Cette section présente les commandes permettant de créer une autorité de certification et de générer un certificat de serveur avec le certificat de serveur OpenSSL. Pour plus d'informations sur OpenSSL, consultez OpenSSL.
Étape 1. Générez une clé privée RSA comme illustré dans l'image.
[root@redhat ~]# openssl genrsa -out ca.key 1024
Étape 2. Générez un nouveau certificat auto-signé comme illustré dans l'image.
[root@redhat ~]# openssl req -new -x509 -days 1095 -key ca.key -out ca.crt
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:California
Locality Name (eg, city) [Default City]:California
Organization Name (eg, company) [Default Company Ltd]:Cisco
Organizational Unit Name (eg, section) []:Cisco
Common Name (eg, your name or your server's hostname) []:Host01
Email Address []:
[root@redhat ~]#
Étape 3. Assurez-vous que le type de certificat est server comme indiqué dans l'image.
[root@redhat ~]# echo "nsCertType = server" > openssl.conf
Étape 4. Demande à l'autorité de certification d'utiliser votre fichier CSR pour générer un certificat de serveur, comme indiqué dans l'image.
[root@redhat ~]# openssl x509 -req -days 365 -in csr.txt -CA ca.crt -set_serial 01 -CAkey ca.key -out server.crt -extfile openssl.conf
Étape 5. Vérifiez si le certificat généré est de type Serveur, comme illustré dans l'image.
[root@redhat ~]# openssl x509 -in server.crt -purpose
Certificate purposes:
SSL client : No
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : Yes
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
[root@redhat ~]#
Étape 6. Téléchargez le certificat du serveur comme illustré dans l'image.
Vérifier
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
Accédez à Admin > Certificate Management et vérifiez le certificat actuel comme indiqué dans l'image.
Dépannage
Il n’y a actuellement aucune information spécifique disponible pour dépanner cette configuration.
Informations connexes
- ID de bogue Cisco CSCup26248 - Impossible de télécharger le certificat SSL de l'autorité de certification tierce vers CIMC 2.0.(1a)
- Assistance et documentation techniques - Cisco Systems
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
4.0 |
05-Sep-2024 |
Mise à jour de la traduction automatique, des exigences de style et du formatage. |
3.0 |
12-Jun-2023 |
Mise à jour Générer une procédure CSR et des images.
Ajout d'une remarque concernant le redémarrage de la communication.
Vérifier l'image de section mise à jour |
2.0 |
10-Mar-2023 |
Texte de remplacement ajouté.
Mise à jour Introduction, SEO, Gerunds, traduction automatique, exigences de style et de formatage. |
1.0 |
15-Sep-2016 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)