为UCS中心配置第三方证书

下载选项

  • PDF     (1.1 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (626.0 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (870.8 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 4 月 20 日
文档 ID:221913

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍在思科统一计算系统中心软件(UCS中心)中配置第三方证书的最佳实践。

    先决条件

    要求

    建议掌握下列主题的相关知识:

    • 思科UCS中心
    • 证书颁发机构 (CA)
    • OpenSSL

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • UCS Central 2.0(1q)
    • Microsoft Active Directory证书服务
    • Windows 11专业版N
    • OpenSSL 3.1.0

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    配置

    从证书颁发机构下载证书链

    1. 从证书颁发机构(CA)下载证书链。

    从CA下载证书链从CA下载证书链

    2. 将编码设置为Base 64并下载CA证书链。

    将编码设置为Base 64并下载CA证书链将编码设置为Base 64并下载CA证书链

    3. 请注意,CA证书链为PB7格式。

    证书采用PB7格式证书采用PB7格式

    4. 必须使用OpenSSL工具将证书转换为PEM格式。要检查Windows中是否安装了Open SSL,请使用命令openssl version。 

    检查是否已安装OpenSSL检查是否已安装OpenSSL

    注意:OpenSSL安装不在本文讨论范围之内。

    5. 如果安装了OpenSSL,请运行openssl pkcs7 -print_certs -in <cert_name>.p7b -out <cert_name>.pem 命令以执行转换。确保使用保存证书时的路径。

    将P7B证书转换为PEM格式将P7B证书转换为PEM格式

    创建信任点

    1. 单击System Configuration icon > System Profile > Trusted Points。  

    UCS中心系统配置文件UCS中心系统UCS中心受信任点置文件UCS中心受信任点

    2. 单击+(加号)图标添加新的信任点。写下名称并粘贴到PEM证书的内容中。单击Save以应用更改。

    复制证书链复制证书链

    创建密钥环和CSR

    1. 单击System Configuration icon > System Profile > Certificates

    UCS中心系统配置文件UCS中心系统UCS中心证书置文件UCS中心证书

    2. 单击加号图标添加新密钥环。写下名称,将系数保留为默认值(或根据需要修改),并选择之前创建的信任点。设置这些参数后,移至证书请求

    创建新密钥环创建新密钥环

    3. 输入申请证书所需的值,然后单击保存

    输入 生成证书的详细信息输入详细信息以生成证书

    4. 返回到创建的密钥环,然后复制生成的证书。

    复制生成的证书复制生成的证书

    5. 转到CA并请求证书。

    从CA请求证书从CA请求证书

    6. 将生成的证书粘贴到UCS中心并在CA中选择Web Server and Client模板。单击Submit以生成证书。

    注意:在思科UCS中心生成证书请求时,请确保生成的证书包含SSL客户端和服务器身份验证密钥用法。如果使用Microsoft Windows Enterprise CA,请利用“计算机”模板,或者在“计算机”模板不可用时利用同时包括密钥用法的另一个相应模板。

    生成要在创建的密钥环中使用的证书生成要在创建的密钥环中使用的证书

    7. 使用命令openssl pkcs7 -print_certs -in <cert_name>.p7b -out <cert_name>.pem将新证书转换为PEM。

    8. 复制PEM证书的内容并转到创建的密钥环以粘贴内容。选择已创建的受信任点并保存配置。

    将请求的证书粘贴到密钥环中粘贴密钥环中请求的证书

    应用密钥环

    1. 导航到系统配置文件>远程访问>密钥环,选择创建的密钥环,然后单击保存 UCS中心关闭当前会话。

    选择创建的密钥环选择创建的密钥环

    验证

    1. 等待可访问UCS中心并单击https://旁边的锁定。网站是安全的。

    UCS中心是安全的UCS中心是安全的

    故障排除

    检查生成的证书是否包括SSL客户端和服务器身份验证密钥用法

    当向CA请求的证书不包含SSL客户端和服务器身份验证密钥用法时,错误提示“证书无效”(Invalid certificate)。此证书无法用于TLS服务器身份验证,显示check key usage extensions"。

    TLS服务器授权密钥错误TLS服务器授权密钥错误

    要验证从CA中选择的模板创建的PEM格式的证书是否具有正确的服务器身份验证密钥用法,您可以使用命令openssl x509 -in <my_cert>.pem -text -noout。您必须在Extended Key Usage 部分下看到Web Server AuthenticationWeb Client Authentication

    请求的证书中的Web服务器和Web客户端授权密钥请求的证书中的Web服务器和Web客户端授权密钥

    UCS中心仍标记为不安全站点

    有时,在配置第三方证书后,浏览器仍会标记连接。

    UCS中心仍是一个不安全的站点UCS中心仍是一个不安全的站点

    要验证证书是否正确应用,请确保设备信任证书颁发机构。

    相关信息

    修订历史记录

    版本 发布日期 备注
    1.0
    20-Apr-2024
    初始版本
    TAC Authored

    由思科工程师提供

    • 莱昂纳多·贾伊尔·罗萨莱斯·冈萨雷斯
      思科技术咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品