Installare un certificato SSL firmato in un CSPC

Introduzione

In questo documento viene descritto come installare i certificati SSL firmati dall'utente o da un'Autorità di certificazione (CA) nel CSPC.

Prerequisiti

Requisiti

• file .key (generato durante la creazione del file csr per l'utente o la CA da firmare)
• file crt (certificato corrispondente al file key e firmato dall'utente o dalla CA)
• Accesso root a CSPC

Suggerimento: in alternativa al file .crt, è possibile fornire i file .cer. Questi file possono essere convertiti in file .crt da installare.

Configurazione

Componenti usati

• CSPC (versioni testate: 2.7.x 2.8.x 2.9.x e 2.10.x)
• Client FTP (ad esempio WinSCP, Filezilla, MobaXterm e così via).

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Configurazioni

Importare i file nel CSPC

1. Utilizzando un client FTP, importare i file .crt e .key in /home/collectorogin.
1.1 Se si dispone di un file con estensione cer, convertirlo in crt. Sostituire <nome> con il nome del file.
openssl x509 -inform DER -in <nome>.cer -out localhost.crt

openssl x509 -inform DER -in <name>.cer -out rui.crt

Se il comando precedente restituisce un errore, ad esempio se non è possibile caricare il certificato, che in alcuni casi può verificarsi, utilizzare questo comando. Non è in grado di visualizzare la richiesta di errore.

openssl x509 -in <name>.cer -out rui.crt

Install 

2. Creare il keystore.

openssl pkcs12 -export -in localhost.crt -inkey localhost.key > localhost.p12

3. Importa nel keystore di CSPC.

/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -importkeystore -srckeystore localhost.p12 -srcstoretype pkcs12 -destkeystore $CSPCHOME/webui/tomcat/conf/cspcgxt -deststoretype jks

Nota: richiede la password. È sempre cspcgxt.

4. Verificare che sia stata importata (sono presenti due voci).

/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -list -v -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt | grep --color 'Your keystore contains'

5. Eliminare l'alias precedente.

/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -delete -alias tomcat -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt

6. Verificare che sia presente un solo alias

/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -list -v -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt | grep --color 'Your keystore contains'

7. Modificare l'alias in tomcat.

/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -changealias -alias 1 -destalias tomcat -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt

8. Riavviare i servizi CSPC.

Per le versioni 2.7.x e 2.8.x:

service cspc restart

Per le versioni 2.9.x e 2.10.x:

systemctl cspc restart

Attenzione: salvare i file .key e .crt in quanto gli aggiornamenti a CSPC possono rimuovere il certificato SSL ed è necessaria la reinstallazione.

Verifica

Passare alla schermata di accesso CSPC e selezionare il blocco a sinistra della barra degli indirizzi ed esaminare il certificato.

Risoluzione dei problemi

Al riavvio, le versioni 2.9.x e 2.10.x sono state segnalate per avere problemi con Tomcat. Se l'interfaccia utente non viene visualizzata:
1. Confermare che i servizi Tomcat siano attivi dopo il riavvio:

service tomcat status

2. Se nel messaggio viene visualizzato Attivo: attivazione (avvio), attendere da cinque a dieci minuti prima che il servizio sia attivo. In caso contrario, avviarlo manualmente:

service tomcat start

Suggerimento: se il problema persiste, contatta un lead o condividi i commenti.