Introdução
Este documento descreve como instalar certificados SSL assinados por você ou por uma Autoridade de Certificação (CA) no CSPC.
Pré-requisitos
Requisitos
- Arquivo .key (gerado ao criar o arquivo csr para você ou para uma autoridade de certificação assinar)
- Arquivo .crt (Este é o certificado que corresponde ao arquivo .key e é assinado por você ou pela CA)
- Acesso raiz ao CSPC
Dica: como alternativa ao arquivo .crt, você pode fornecer arquivos .cer. Eles podem ser convertidos em arquivos .crt a serem instalados.
Configurar
Componentes Utilizados
- CSPC (as versões testadas incluem 2.7.x 2.8.x 2.9.x e 2.10.x)
- Cliente FTP (como WinSCP, Filezilla, MobaXterm etc.)
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurações
Importar os arquivos para o CSPC
1. Usando um cliente FTP, importe os arquivos .crt e .key para /home/collectorogin.
1.1 Se você recebeu um .cer, converta o arquivo em .crt. (Substitua <nome> pelo nome do seu arquivo).
openssl x509 -inform DER -in <nome>.cer -out localhost.crt
openssl x509 -inform DER -in <name>.cer -out rui.crt
Se o comando anterior fornecer um erro (como incapaz de carregar certificado), o que pode acontecer em alguns casos, use este comando. Ele não pode solicitar o erro.
openssl x509 -in <name>.cer -out rui.crt
Instalação
2. Crie o armazenamento de chaves.
openssl pkcs12 -export -in localhost.crt -inkey localhost.key > localhost.p12
3. Importe para o armazenamento de chaves do CSPC.
/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -importkeystore -srckeystore localhost.p12 -srcstoretype pkcs12 -destkeystore $CSPCHOME/webui/tomcat/conf/cspcgxt -deststoretype jks
Observação: ele solicita a senha. É sempre cspcgxt.
4. Verifique se ele foi importado (duas entradas estão presentes).
/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -list -v -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt | grep --color 'Your keystore contains'
5. Exclua o apelido anterior.
/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -delete -alias tomcat -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt
6. Verifique se há apenas um alias presente
/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -list -v -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt | grep --color 'Your keystore contains'
7. Altere o alias para tomcat.
/opt/cisco/ss/adminshell/applications/CSPC/jreinstall/bin/keytool -changealias -alias 1 -destalias tomcat -keystore $CSPCHOME/webui/tomcat/conf/cspcgxt
8. Reinicie os serviços do CSPC.
Para as versões 2.7.x e 2.8.x:
service cspc restart
Para as versões 2.9.x e 2.10.x:
systemctl cspc restart
Cuidado: salve os arquivos .key e .crt, pois as atualizações no CSPC podem remover o certificado SSL e a reinstalação é necessária.
Verificar
Navegue até a tela de login do CSPC, selecione o bloqueio à esquerda da barra de endereços e inspecione o certificado.
Troubleshooting
Ao reiniciar, as versões 2.9.x e 2.10.x foram relatadas como tendo problemas com o Tomcat. Se a GUI não aparecer:
1. Confirme se os serviços tomcat estão ativos após a reinicialização:
service tomcat status
2. Se a mensagem mostrar Ativação: (início), aguarde de cinco a dez minutos enquanto o serviço estiver sendo ativado. Caso contrário, inicie-o manualmente:
service tomcat start
Ao reiniciar as versões 2.9.x e 2.10.x foram relatadas como tendo problemas com o Tomcat, se a GUI não aparecer:
1. Confirme se os serviços tomcat estão ativos após a reinicialização:
status tomcat de serviço
2. Se a mensagem mostrar "Ativo: ativando (iniciar)", aguarde de 5 a 10 minutos enquanto o serviço estiver sendo iniciado, caso contrário, inicie-o manualmente:
service tomcat start
Dica: se você ainda está enfrentando problemas, entre em contato com um lead ou compartilhe os comentários.
Feedback