Dit document legt uit hoe u een Let's Encrypt-certificaat kunt verkrijgen, het op Cisco Business Dashboard kunt installeren en automatische verlenging kunt instellen met behulp van de Command Line Interface (CLI). Als u algemene informatie wilt over het beheer van certificaten, bekijk dan het artikel Certificaten beheren op het Cisco Business Dashboard.
Let’s Encrypt is een Certificaatautoriteit die via een geautomatiseerd proces gratis SSL-certificaten (Domain Validation (DV) voor beveiligde sockets Layer (SSL) aan het publiek verstrekt. Let’s Encrypt biedt een gemakkelijk toegankelijk mechanisme voor het verkrijgen van ondertekende certificaten voor webservers, waardoor de eindgebruiker erop kan vertrouwen dat zij toegang hebben tot de juiste service. Ga voor meer informatie naar de website Let’s Encrypt.
Het gebruik van Let’s Encrypt-certificaten met Cisco Business Dashboard is redelijk eenvoudig. Hoewel Cisco Business Dashboard enkele speciale vereisten voor certificaatinstallatie heeft, naast het beschikbaar stellen van het certificaat aan de webserver, is het nog steeds mogelijk om de afgifte en installatie van het certificaat te automatiseren met behulp van de geboden opdrachtregeltools. De rest van dit document loopt door het proces van het uitgeven van een certificaat en het automatiseren van de vernieuwing van het certificaat.
Dit document gebruikt HTTP-uitdagingen om domeineigendom te valideren. Dit vereist dat de Dashboard webserver bereikbaar is vanaf het internet op de standaard poorten TCP/80 en TCP/443. Als de webserver niet bereikbaar is via internet, overweeg dan om DNS-uitdagingen te gebruiken. Controleer of u gebruik maakt van Let’s Encrypt voor Cisco Business Dashboard met DNS voor meer informatie.
De eerste stap is het verkrijgen van software die gebruik maakt van het ACME-protocolcertificaat. In dit voorbeeld gebruiken we de certbot client, maar er zijn veel andere opties beschikbaar.
Om de certificaatvernieuwing automatisch te kunnen uitvoeren, moet de bepaalde client op het Dashboard zijn geïnstalleerd. Gebruik de volgende opdrachten om de bepaalde client op de Dashboard-server te installeren:
Het is belangrijk om op te merken dat in dit artikel, blauwe secties aanwijzingen en output van CLI zijn. Met de opdracht Wittekst wordt een lijst gemaakt. Groen gekleurde opdrachten, waaronder dashboard.voorbeeld.com, pserver.example.com, en user@example.com moeten worden vervangen door DNS-namen die geschikt zijn voor uw omgeving.
Vervolgens moet de Dashboard webserver worden ingesteld om de uitdaging bestanden te hosten die nodig zijn om het eigendom van de hostnaam te verifiëren. Om dit te doen, maken we een directory voor deze bestanden en werken we het configuratiebestand van de webserver bij. Vervolgens starten we de Dashboard applicatie voor de wijzigingen om van kracht te worden. Gebruik de volgende opdrachten:
cbd:~$sudo mkdir /usr/lib/ciscobusiness/dashboard/www/letsencrypt cbd:~$sudo chmod 755 /usr/lib/ciscobusiness/dashboard/www/letsencrypt cbd:~$sudo bash -c 'cat > /var/lib/ciscobusiness/dashboard/nginx/nginx-loc-letsencrypt.conf' < EOFVraag een certificaat aan met de volgende opdracht:
cbd:~$sudo certonly —webroot -w /usr/lib/ciscobusiness/dashboard/www/letsencrypt/ -d dashboard.example.com -d pnpserver.example.com —opstellen-hook "cat /etc/letsencrypt/live/dashboard.voorbeeld.com/fullchain.pem /etc/ssl/certs/DST_Root_CA_X3.pem > /tmp/cbdchain.pem; /usr/bin/cisco-business-dashboard importcert -t pem -k /etc/letsencrypt/live/dashboard..com /privkey.pem -c /tmp/cbdchain.pemDeze opdracht draagt de Let’s Encrypt service op om het eigendom van de hostnamen te valideren door verbinding te maken met de webservice die op elk van de namen wordt gehost. Dit betekent dat de dashboard webservice toegankelijk moet zijn van het internet en moet worden gehost op poorten 80 en 443. De toegang tot de dashboardtoepassing kan worden beperkt met behulp van de instellingen voor toegangscontrole op de pagina Systeem > Platform-instellingen > Web Server in de gebruikersinterface van het dashboardbeheer (UI). Raadpleeg de Cisco Business Dashboard Administration Guide voor meer informatie.
De parameters in de opdracht zijn om de volgende redenen vereist:
zeker | Vraag een certificaat aan en download de bestanden. Probeer niet om ze te installeren. In het geval van Cisco Business Dashboard wordt het certificaat niet alleen gebruikt door de webserver, maar ook door de PnP-service en andere functies. Dientengevolge, kan de bepaalde cliënt niet het certificaat automatisch installeren. |
—webroot -w ... | Installeer de challenge bestanden in de map die hierboven gemaakt is, zodat ze toegankelijk zijn via de dashboard web server. |
-d dashboard.example.com -d pnpserver.example.com |
De FQDN’s die in het certificaat moeten worden opgenomen. De vermelde voornaam wordt opgenomen in het veld Gemeenschappelijke naam van het certificaat en alle namen worden vermeld in het veld Onderwerp-Alt-Naam. De pnpserver.<domain> naam is een speciale naam die wordt gebruikt door de functie Network Plug and Play bij het uitvoeren van DNS-detectie. Raadpleeg de Cisco Business Dashboard Administration Guide voor meer informatie. |
—opstellen-haak "..." | Gebruik het cisco-business-dashboard opdrachtregel hulpprogramma om de privésleutel en de certificaatketen die ontvangen is van de Let’s Encrypt service te nemen en deze op dezelfde wijze in de dashboard applicatie te laden als wanneer de bestanden geüpload zijn via de Dashboard User Interface (UI). Het basiscertificaat dat de certificaatketen verankert, wordt hier ook aan het certificaatbestand toegevoegd. Dit is vereist voor bepaalde platforms die worden geïmplementeerd met Network Plug and Play. |
Volg het proces voor het maken van het certificaat door de instructies te volgen die door de certbot-client worden gegenereerd:
cbd:~$sudo certonly —webroot -w /usr/lib/ciscobusiness/dashboard/www/letsencrypt/ -d dashboard.example.com -d pnpserver.example.com —opstellen-hook "cat /etc/letsencrypt/live/dashboard.voorbeeld.com/fullchain.pem /etc/ssl/certs/DST_Root_CA_X3.pem > /tmp/cbdchain.pem; /usr/bin/cisco-business-dashboard importcert -t pem -k /etc/letsencrypt/live/dashboard..com /privkey.pem -c /tmp/cbdchain.pem"Voer het e-mailadres of C in om te annuleren.
Voer uw e-mailadres in (gebruikt voor dringende verlenging en veiligheidsmededelingen) (Voer 'c' in omVoer A in om akkoord te gaan of C om te annuleren.
- - - - - - - - - - - - - - - - - - - - - - - - - - - -Voer Y in voor Ja of N voor Nee.
- - - - - - - - - - - - - - - - - - - - - - - - - - - -Het certificaat is afgegeven en kan worden gevonden in de /etc/letsencrypt/live subdirectory in het bestandssysteem:
Verkrijgen van een nieuw certificaatDe map met de certificaten heeft beperkte rechten, zodat alleen de hoofdgebruiker de bestanden kan bekijken. Met name het bestand privkey.pem is gevoelig en toegang tot dit bestand moet worden beperkt tot bevoegd personeel.
Het Dashboard zou nu met het nieuwe certificaat moeten lopen. Als u de gebruikersinterface van het Dashboard (UI) in een webbrowser opent door een van de namen in te voeren die bij het maken van het certificaat in de adresbalk zijn opgegeven, moet de webbrowser aangeven dat de verbinding betrouwbaar en veilig is.
Merk op dat certificaten uitgegeven door Let’s Encrypt relatief korte levensduur hebben - momenteel 90 dagen. Het certbotpakket voor Ubuntu Linux is geconfigureerd om de geldigheid van het certificaat tweemaal per dag te controleren en het certificaat te vernieuwen als het bijna verlopen is, dus er moet geen actie worden vereist om het certificaat actueel te houden. Om te verifiëren dat de periodieke controles correct gebeuren, wacht dan minstens twaalf uur na het aanvankelijk creëren van het certificaat, en controleer dan het bepaalde logbestand voor berichten gelijkend op het volgende: cbd:~$ sudostaart /var/log/letsencrypt/letsencrypt.log
2020-07-31 16:50:52,783:DEBUG:certbot.main:certbot versie: 0.31.0
2020-07-31 16:50:52,784:DEBUG:certbot.main:Argumenten: ['-q']
2020-07-31 16:50:52,785:DEBUG:certbot.main:Ontdekte plugins:
(PluginEntryPoint#manual,
PluginEntryPoint#null, PluginEntryPoint#standalone, PluginEntryPoint#webroot)
2020-07-31 16:50:52,793:DEBUG:certbot.log:Root logboekniveau ingesteld op 30
2020-07-31 16:50:52,793:INFO:certbot.log:Opslaan debug log naar
/var/log/letsencrypt/letsencrypt.log
2020-07-31 16:50:52,802:DEBUG:certbot.plugins.selection:
Gevraagd authenticator <certbot.cli.
_Default object op 0x7f1152969240> en installateur <certbot.cli.
_Default object op 0x7f1152969240>
2020-07-31 16:50:52,811:INFO:certbot.renewt:Cert nog niet verschuldigd voor vernieuwing
2020-07-31 16:50:52,812:DEBUG:certbot.plugins.selection:Gevraagde authenticator
webroot en installateur Geen
2020-07-31 16:50:52,812:DEBUG:certbot.renewals:geen vernieuwingsfouten
Na voldoende tijd is verstreken voor de vervaldatum van het certificaat binnen dertig dagen, zal de certbot-client het certificaat verlengen en het bijgewerkte certificaat automatisch toepassen op de dashboardtoepassing.
Voor meer informatie over het gebruik van de certbotclient raadpleegt u de documentatiepagina van certbot.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
27-Aug-2020 |
Eerste vrijgave |