手動方式によるSD-WANコントローラ証明書の更新の有効化

はじめに

このドキュメントでは、シスコまたは手動でコントローラのSD-WAN証明書を更新する手順について説明します。

使用可能な方式

コントローラの証明書許可には4つの異なるオプションがあります。

• Cisco（推奨）：半自動化プロセス。Cisco Plug and Play(PnP)ポータルを使用してvManageによって生成されたCSRに署名し、自動的にダウンロードしてインストールします。
• Manual:Cisco PnPを介した手動証明書署名。
• Symantec:Symantec/Digicertを介したサードパーティ証明書の手動署名。
• エンタープライズルート証明書：プライベートルート認証局(CA)を介した手動の証明書署名。

このドキュメントでは、Cisco（推奨）および手動方式の手順についてのみ説明します。

---

注意：このドキュメントで取り上げる証明書は、vManageのWeb証明書とは関係ありません。

要件

• PC/ラップトップ。
• 各コントローラ（vManage、vSmart、およびvBond）のvManage GUI用のNetadminアカウント。
• CAサーバへのアクセス。
• Cisco（推奨）またはManualの場合は、PnPポータルの有効なアカウント/パスワード。
• Cisco（推奨）の場合、vManageにインターネットアクセスが必要です。
• すべてのコントローラに有効なNTPサーバが必要であり、すべてのコントローラに正しい日付と時刻が設定されている必要があります。
• vBondとvSmart間のvManageへの通信。

---

注：vManageにインストールされた証明書は、コントロールプレーンやデータプレーンには影響しません。vSmartの証明書の場合、制御接続が影響を受ける可能性があります。コントロールプレーンは、OMPグレースフルタイマーにより引き続き動作します。証明書の変更を実行するには、アクティビティのメンテナンスウィンドウをスケジュールする必要があります。

更新プロセス 

次に、大まかな手順を示します。

1.  vManage GUIで使用しているController Certificate Authorizationオプションを特定します。
2. vManage GUIを使用して新しいCSRを生成します。
3. 新しい証明書を作成します。
4. 証明書をダウンロードします。
5. 証明書をインストールする。

シスコ（推奨）

1. vManage > Administration > Settings > Certificate Authority Serverの順に移動します。

• 正しいオプションが選択されていることを確認します。
• 証明書の期間を選択します。

2. スマートアカウントの認証情報までスクロールして、有効なユーザ/パスワードを入力します。図に示すように、クレデンシャルはSD-WANオーバーレイが設定されているスマートアカウントにアクセスできる必要があります。

3. vManage > Configuration > Certificates > Controllersの順に移動します。

• コントローラ(vBond、vSmart、またはvManage)の省略記号(...)を選択します。
• [CSR の作成（Generate CSR）] を選択します。

4.処理を完了するには、5 ～ 20分が必要です。

GUIのvManage > Configuration > Certificates > Controllersで、インストールが正しく行われたことを確認します。

手動(PnP)

1. vManage > Administration > Settings > Certificate Authority Serverの順に移動します。

• 正しいオプションが選択されていることを確認します。

2. vManage > Configuration > Certificates > Controllersの順に移動します。

• コントローラ（vBond、vSmart、またはvManage）の省略記号(...)を選択します。
• [CSR の作成（Generate CSR）] を選択します。
• すべてのテキストをコピーして一時ファイルに保存します。 

3. PnPポータルにアクセスし、SD-WANオーバーレイを選択し、図に示すように証明書に移動します。

4. [証明書] セクションで、[新しい証明書の生成] をクリックし、すべての情報を入力します。

• Certificate Signing Requestで、ステップ2で生成されたCSRを入力します。

5. SubmitとDoneをクリックします。 

6.数分後、証明書をダウンロードする準備ができました。

• 証明書ファイルのダウンロード
• vManage GUIへのアクセス
• vManage > Certificate > Controllersでinstall certificateを選択します。
• ポップアップウィンドウで証明書を選択します。

注証明書が表示されない場合、または選択できない場合は、フォーマットオプションでAll filesを選択してください。フォーマットボックスが表示されない場合は、別のWebブラウザを使用してください。

 7.証明書がインストールされました。

一般的な問題

時間の不一致

シスコのクラウドホスト型コントローラにはNTPサーバが設定されています。

設定変更が原因でNTPが存在しない場合、コントローラの時刻が異なる可能性があり、証明書のインストールやCSRの生成が妨げられる可能性があります。

コントローラの時刻が同じであることを確認します。 

接続を確立できない

SD-WANコントローラには、VPN0で設定されたインターフェイスを介して到達できる必要があります。

レイヤ3およびレイヤ4通信があることを確認します。 

問題の詳細については、コンソールを使用してコントローラのログを確認できます。