Gebruik van Let’s Encrypt Certificates met Cisco Business Dashboard

Downloadopties

PDF (266.5 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (88.4 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (73.9 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:25 augustus 2020

Document-id:1598361565117135

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Doel

Dit document legt uit hoe u een Let's Encrypt-certificaat kunt verkrijgen, het op Cisco Business Dashboard kunt installeren en automatische verlenging kunt instellen met behulp van de Command Line Interface (CLI). Als u algemene informatie wilt over het beheer van certificaten, bekijk dan het artikel Certificaten beheren op het Cisco Business Dashboard.

Het proces dat in dit document wordt beschreven, is geautomatiseerd in Cisco Business Dashboard versie 2.2.2 en hoger. Raadpleeg het gedeelte Systeem > Certificaten beheren van de Beheerdersgids voor meer informatie.

Inleiding

Let’s Encrypt is een Certificaatautoriteit die via een geautomatiseerd proces gratis SSL-certificaten (Domain Validation (DV) voor beveiligde sockets Layer (SSL) aan het publiek verstrekt. Let’s Encrypt biedt een gemakkelijk toegankelijk mechanisme voor het verkrijgen van ondertekende certificaten voor webservers, waardoor de eindgebruiker erop kan vertrouwen dat zij toegang hebben tot de juiste service. Ga voor meer informatie naar de website Let’s Encrypt.

Het gebruik van Let’s Encrypt-certificaten met Cisco Business Dashboard is redelijk eenvoudig. Hoewel Cisco Business Dashboard enkele speciale vereisten voor certificaatinstallatie heeft, naast het beschikbaar stellen van het certificaat aan de webserver, is het nog steeds mogelijk om de afgifte en installatie van het certificaat te automatiseren met behulp van de geboden opdrachtregeltools. De rest van dit document loopt door het proces van het uitgeven van een certificaat en het automatiseren van de vernieuwing van het certificaat.

Dit document gebruikt HTTP-uitdagingen om domeineigendom te valideren. Dit vereist dat de Dashboard webserver bereikbaar is vanaf het internet op de standaard poorten TCP/80 en TCP/443. Als de webserver niet bereikbaar is via internet, overweeg dan om DNS-uitdagingen te gebruiken. Controleer of u gebruik maakt van Let’s Encrypt voor Cisco Business Dashboard met DNS voor meer informatie.

Stap 1

De eerste stap is het verkrijgen van software die gebruik maakt van het ACME-protocolcertificaat. In dit voorbeeld gebruiken we de certbot client, maar er zijn veel andere opties beschikbaar.

Stap 2

Om de certificaatvernieuwing automatisch te kunnen uitvoeren, moet de bepaalde client op het Dashboard zijn geïnstalleerd. Gebruik de volgende opdrachten om de bepaalde client op de Dashboard-server te installeren:

Het is belangrijk om op te merken dat in dit artikel, blauwe secties aanwijzingen en output van CLI zijn. Met de opdracht Wittekst wordt een lijst gemaakt. Groen gekleurde opdrachten, waaronder dashboard.voorbeeld.com, pserver.example.com, en user@example.com moeten worden vervangen door DNS-namen die geschikt zijn voor uw omgeving.

cbd:~$sudo apt update cbd:~$sudo apt installeert software-eigenschappen-algemeen cbd:~$sudo add-apt-repository ppa:certbot/certbot cbd:~$sudo apt update cbd:~$sudo apt installeert certbot

Stap 3

Vervolgens moet de Dashboard webserver worden ingesteld om de uitdaging bestanden te hosten die nodig zijn om het eigendom van de hostnaam te verifiëren. Om dit te doen, maken we een directory voor deze bestanden en werken we het configuratiebestand van de webserver bij. Vervolgens starten we de Dashboard applicatie voor de wijzigingen om van kracht te worden. Gebruik de volgende opdrachten:

cbd:~$sudo mkdir /usr/lib/ciscobusiness/dashboard/www/letsencrypt cbd:~$sudo chmod 755 /usr/lib/ciscobusiness/dashboard/www/letsencrypt cbd:~$sudo bash -c 'cat > /var/lib/ciscobusiness/dashboard/nginx/nginx-loc-letsencrypt.conf' < EOF # Plaats voor challenge bestanden gemaakt door bepaalde locatie /.bekende/acme-challenge { root/usr/lib/ciscobusiness/dashboard/www/letsencrypt; } EOF cbd:~$ cbd:~$sudo chown cbd:cbd /var/lib/ciscobusiness/dashboard/nginx/nginx-loc-letsencrypt.conf cbd:~$sudo chmod 640 /var/lib/ciscobusiness/dashboard/nginx/nginx-loc-letsencrypt.conf cbd:~$cisco-business-dashboard stop cbd:~$cisco-business-dashboard start

Stap 4

Vraag een certificaat aan met de volgende opdracht:

cbd:~$sudo certonly —webroot -w /usr/lib/ciscobusiness/dashboard/www/letsencrypt/ -d dashboard.example.com -d pnpserver.example.com —opstellen-hook "cat /etc/letsencrypt/live/dashboard.voorbeeld.com/fullchain.pem /etc/ssl/certs/DST_Root_CA_X3.pem > /tmp/cbdchain.pem; /usr/bin/cisco-business-dashboard importcert -t pem -k /etc/letsencrypt/live/dashboard..com /privkey.pem -c /tmp/cbdchain.pem

Deze opdracht draagt de Let’s Encrypt service op om het eigendom van de hostnamen te valideren door verbinding te maken met de webservice die op elk van de namen wordt gehost. Dit betekent dat de dashboard webservice toegankelijk moet zijn van het internet en moet worden gehost op poorten 80 en 443. De toegang tot de dashboardtoepassing kan worden beperkt met behulp van de instellingen voor toegangscontrole op de pagina Systeem > Platform-instellingen > Web Server in de gebruikersinterface van het dashboardbeheer (UI). Raadpleeg de Cisco Business Dashboard Administration Guide voor meer informatie.

De parameters in de opdracht zijn om de volgende redenen vereist:

zeker	Vraag een certificaat aan en download de bestanden. Probeer niet om ze te installeren. In het geval van Cisco Business Dashboard wordt het certificaat niet alleen gebruikt door de webserver, maar ook door de PnP-service en andere functies. Dientengevolge, kan de bepaalde cliënt niet het certificaat automatisch installeren.
—webroot -w ...	Installeer de challenge bestanden in de map die hierboven gemaakt is, zodat ze toegankelijk zijn via de dashboard web server.
-d dashboard.example.com -d pnpserver.example.com	De FQDN’s die in het certificaat moeten worden opgenomen. De vermelde voornaam wordt opgenomen in het veld Gemeenschappelijke naam van het certificaat en alle namen worden vermeld in het veld Onderwerp-Alt-Naam. De pnpserver.<domain> naam is een speciale naam die wordt gebruikt door de functie Network Plug and Play bij het uitvoeren van DNS-detectie. Raadpleeg de Cisco Business Dashboard Administration Guide voor meer informatie.
—opstellen-haak "..."	Gebruik het cisco-business-dashboard opdrachtregel hulpprogramma om de privésleutel en de certificaatketen die ontvangen is van de Let’s Encrypt service te nemen en deze op dezelfde wijze in de dashboard applicatie te laden als wanneer de bestanden geüpload zijn via de Dashboard User Interface (UI). Het basiscertificaat dat de certificaatketen verankert, wordt hier ook aan het certificaatbestand toegevoegd. Dit is vereist voor bepaalde platforms die worden geïmplementeerd met Network Plug and Play.

Stap 5

Volg het proces voor het maken van het certificaat door de instructies te volgen die door de certbot-client worden gegenereerd:

cbd:~$sudo certonly —webroot -w /usr/lib/ciscobusiness/dashboard/www/letsencrypt/ -d dashboard.example.com -d pnpserver.example.com —opstellen-hook "cat /etc/letsencrypt/live/dashboard.voorbeeld.com/fullchain.pem /etc/ssl/certs/DST_Root_CA_X3.pem > /tmp/cbdchain.pem; /usr/bin/cisco-business-dashboard importcert -t pem -k /etc/letsencrypt/live/dashboard..com /privkey.pem -c /tmp/cbdchain.pem" Het debug-logbestand opslaan op /var/log/letsencrypt/letsencrypt.log Plugins geselecteerd: Authenticator webroot, Installateur Geen

Stap 6

Voer het e-mailadres of C in om te annuleren.

Voer uw e-mailadres in (gebruikt voor dringende verlenging en veiligheidsmededelingen) (Voer 'c' in om annuleren): user@example.com

Stap 7

Voer A in om akkoord te gaan of C om te annuleren.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - Lees de Servicevoorwaarden op https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. U moet Schrijf je in als je je wilt registreren bij de ACME-server op https://acme-v02.api.letsencrypt.org/directory - - - - - - - - - - - - - - - - - - - - - - - - - - - - A)groen/(C)andel: A

Stap 8

Voer Y in voor Ja of N voor Nee.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - Bent u bereid uw e-mailadres te delen met de Electronic Frontier? Stichting, een stichtende partner van het Let's Encrypt-project en de non-profit organisatie die Certbot ontwikkelt? We willen je graag e-mail sturen over ons werk het versleutelen van het web, EVF-nieuws, campagnes en manieren om digitale vrijheid te ondersteunen. - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y)es/(N)o: Y

Stap 9

Het certificaat is afgegeven en kan worden gevonden in de /etc/letsencrypt/live subdirectory in het bestandssysteem:

Verkrijgen van een nieuw certificaat De volgende uitdagingen uitvoeren: http-01 challenge voor dashboard.example.com http-01 challenge voor pnpserver.example.com Gebruik van het webroot pad /usr/lib/ciscobusiness/dashboard/www/letsencrypt voor alle ongeëvenaarde domeinen. Wachten op verificatie... Uitdagingen opruimen Het uitvoeren van de opdracht van de opstellen-haak: kat /etc/letsencrypt/live/dashboard.example.com/fullchain.pem /etc/ssl/certs/DST_Root_CA_X3.pem > /tmp/cbdchain.pem; /usr/bin/cisco-business-dashboard importcert -t pem -k /etc/letsencrypt/live/dashboard.example.com/privkey.pem -c /tmp/cbdchain.pem Belangrijke opmerkingen: - Gefeliciteerd! Uw certificaat en ketting zijn opgeslagen op: /etc/letsencrypt/live/dashboard.example.com/fullchain.pem Uw toetsbestand is opgeslagen op: /etc/letsencrypt/live/dashboard.example.com/privkey.pem Uw cert verloopt op 2020-10-29. Om een nieuwe of getweekte versie van dit certificaat in de toekomst, gewoon uitvoeren certbot opnieuw. Om *all* van uw certificaten niet interactief te vernieuwen, voert u "certbot renew" - Uw accountgegevens zijn opgeslagen in uw Certbot configuratie directory op /etc/letsencrypt. Je moet een beveiligde back-up van deze map nu. Deze configuratiemap wordt bevat ook certificaten en privésleutels die door Certbot so zijn verkregen het maken van regelmatige back-ups van deze map is ideaal. - Als u Certbot leuk vindt, kunt u overwegen ons werk te ondersteunen door: Doneren aan ISRG / Let's Encrypt: https://letsencrypt.org/donate Donatie aan het EVF: https://eff.org/donate-le cbd:~$ sudo ls /etc/letsencrypt/live/dashboard.example.com / cert.pem chain.pem fullchain.pem private.pem README cbd:~$

De map met de certificaten heeft beperkte rechten, zodat alleen de hoofdgebruiker de bestanden kan bekijken. Met name het bestand privkey.pem is gevoelig en toegang tot dit bestand moet worden beperkt tot bevoegd personeel.

Stap 10

Het Dashboard zou nu met het nieuwe certificaat moeten lopen. Als u de gebruikersinterface van het Dashboard (UI) in een webbrowser opent door een van de namen in te voeren die bij het maken van het certificaat in de adresbalk zijn opgegeven, moet de webbrowser aangeven dat de verbinding betrouwbaar en veilig is.

Merk op dat certificaten uitgegeven door Let’s Encrypt relatief korte levensduur hebben - momenteel 90 dagen. Het certbotpakket voor Ubuntu Linux is geconfigureerd om de geldigheid van het certificaat tweemaal per dag te controleren en het certificaat te vernieuwen als het bijna verlopen is, dus er moet geen actie worden vereist om het certificaat actueel te houden. Om te verifiëren dat de periodieke controles correct gebeuren, wacht dan minstens twaalf uur na het aanvankelijk creëren van het certificaat, en controleer dan het bepaalde logbestand voor berichten gelijkend op het volgende: cbd:~$ sudostaart /var/log/letsencrypt/letsencrypt.log 2020-07-31 16:50:52,783:DEBUG:certbot.main:certbot versie: 0.31.0 2020-07-31 16:50:52,784:DEBUG:certbot.main:Argumenten: ['-q'] 2020-07-31 16:50:52,785:DEBUG:certbot.main:Ontdekte plugins: (PluginEntryPoint#manual, PluginEntryPoint#null, PluginEntryPoint#standalone, PluginEntryPoint#webroot) 2020-07-31 16:50:52,793:DEBUG:certbot.log:Root logboekniveau ingesteld op 30 2020-07-31 16:50:52,793:INFO:certbot.log:Opslaan debug log naar /var/log/letsencrypt/letsencrypt.log 2020-07-31 16:50:52,802:DEBUG:certbot.plugins.selection: Gevraagd authenticator <certbot.cli. _Default object op 0x7f1152969240> en installateur <certbot.cli. _Default object op 0x7f1152969240> 2020-07-31 16:50:52,811:INFO:certbot.renewt:Cert nog niet verschuldigd voor vernieuwing 2020-07-31 16:50:52,812:DEBUG:certbot.plugins.selection:Gevraagde authenticator webroot en installateur Geen 2020-07-31 16:50:52,812:DEBUG:certbot.renewals:geen vernieuwingsfouten

Na voldoende tijd is verstreken voor de vervaldatum van het certificaat binnen dertig dagen, zal de certbot-client het certificaat verlengen en het bijgewerkte certificaat automatisch toepassen op de dashboardtoepassing.

Voor meer informatie over het gebruik van de certbotclient raadpleegt u de documentatiepagina van certbot.

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
1.0	27-Aug-2020	Eerste vrijgave

Was dit document nuttig?

Feedback

Contact Cisco

Een ondersteuningscase openen
(Vereist een Cisco-servicecontract)

Dit document is van toepassing op deze producten

Cisco Business Dashboard