使用让我们加密证书与思科业务控制面板

下载选项

PDF (474.3 KB)
在各种设备上使用 Adobe Reader 查看
ePub (81.9 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (66.8 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2020 年 8 月 25 日

文档 ID:1598361565117135

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

目标

本文档说明如何获取Let's Encrypt证书，将其安装在思科业务控制面板上，以及如何使用命令行界面(CLI)设置自动续订。如果您需要有关管理证书的一般信息，请参阅思科业务控制面板上的管理证书一文。

本文档中介绍的流程已在Cisco Business Dashboard 2.2.2版及更高版本中自动化。有关详细信息，请参阅《管理指南》的系统>管理证书部分。

简介

Let's Encrypt是一个证书颁发机构，它使用自动化流程向公众提供免费的域验证(DV)安全套接字层(SSL)证书。Let's Encrypt提供了一种易于访问的机制，用于获取Web服务器的签名证书，使最终用户确信其正在访问正确的服务。有关详细信息，请访问让我们加密网站。

通过思科业务控制面板使用让我们加密证书非常简单。虽然思科业务控制面板对证书安装有一些特殊要求，除了将证书提供给Web服务器外，使用提供的命令行工具自动颁发和安装证书仍是可行的。本文档的其余部分将介绍颁发证书和自动续订证书的过程。

本文档使用HTTP质询来验证域所有权。这就要求从互联网的标准端口TCP/80和TCP/443可以访问仪表板Web服务器。如果无法从Internet访问Web服务器，请考虑改用DNS质询。有关详细信息，请查看使用Let's Encrypt for Cisco Business Dashboard with DNS。

第 1 步

第一步是获取使用ACME协议证书的软件。在本例中，我们使用certbot client，但还有很多其他选项可用。

步骤 2

要自动续订证书，必须在控制面板上安装certbot客户端。要在仪表板服务器上安装certbot客户端，请使用以下命令：

请注意，本文中蓝色部分是来自CLI的提示和输出，了解这一点很重要。白色文本列出了命令。绿色的命令，包括dashboard.example.com、pnpserver.example.com和user@example.com，应替换为适合您的环境的DNS名称。

cbd：~$sudo apt更新 cbd：~$sudo apt install software-properties-common cbd：~$sudo add-apt-repository ppa：certbot/certbot cbd：~$sudo apt更新 cbd：~$sudo apt install certbot

步骤 3

接下来，需要将控制面板Web服务器设置为托管验证主机名所有权所需的质询文件。为此，我们为这些文件创建一个目录并更新Web服务器配置文件。然后，我们重新启动仪表板应用程序以使更改生效。使用以下命令：

cbd：~$sudo mkdir /usr/lib/ciscobusiness/dashboard/www/letsencrypt cbd：~$sudo chmod 755 /usr/lib/ciscobusiness/dashboard/www/letsencrypt cbd：~$sudo bash -c 'cat > /var/lib/ciscobusiness/dashboard/nginx/nginx-loc-letsencrypt.conf' << EOF #由certbot位置创建的质询文件的位置/.well-known/acme-challenge { root/usr/lib/ciscobusiness/dashboard/www/letsencrypt； } EOF cbd：~$ cbd：~$sudo chown cbd：cbd /var/lib/ciscobusiness/dashboard/nginx/nginx-loc-letsencrypt.conf cbd：~$sudo chmod 640 /var/lib/ciscobusiness/dashboard/nginx/nginx-loc-letsencrypt.conf cbd：~$思科业务控制面板停止 cbd：~$思科业务控制面板启动

步骤 4

使用以下命令请求证书：

cbd：~$sudo certbot certonly —webroot -w /usr/lib/ciscobusiness/dashboard/www/letsencrypt/ -d dashboard.example.com -d pnpserver.example.com —deploy-hook "cat /etc/letsencrypt/live/dashboard.example.com/fullchain.pem /etc/ssl/certs/DST_Root_CA_X3.pem > /tmp/cbdchain.pem； /usr/bin/cisco-business-dashboard importcert -t pem -k /etc/letsencrypt/live/dashboard.example.com/privkey.pem -c /tmp/cbdchain.pem

此命令指示让我们加密服务验证通过连接到每个名称上承载的Web服务来提供的主机名的所有权。这意味着仪表板Web服务必须可以从Internet访问并托管在端口80和443上。使用控制面板管理用户界面(UI)中System > Platform Settings > Web Server页面上的访问控制设置，可以限制对控制面板应用的访问。有关详细信息，请参阅《思科业务控制面板管理指南》。

需要命令上的参数，原因如下：

certonly	请求证书并下载文件。请勿尝试安装它们。对于Cisco Business Dashboard，证书不仅由Web服务器使用，还由PnP服务和其他功能使用。因此，certbot客户端无法自动安装证书。
—webroot -w ...	将质询文件安装在上面创建的目录中，以便可以通过控制面板Web服务器访问这些文件。
-d dashboard.example.com -d pnpserver.example.com	应包含在证书中的FQDN。列出的第一个名称将包含在证书的“公用名”字段中，并且所有名称将列在“主题-备用名”字段中。 pnpserver.<domain>名称是执行DNS发现时网络即插即用功能使用的特殊名称。有关详细信息，请参阅《思科业务控制面板管理指南》。
—deploy-hook“……”	使用cisco-business-dashboard命令行实用程序获取从Let's Encrypt服务接收的私钥和证书链，并以与通过控制面板用户界面(UI)上传文件相同的方式将它们加载到控制面板应用中。用于锚定证书链的根证书也会添加到此处的证书文件中。使用网络即插即用部署的某些平台需要此功能。

步骤 5

按照certbot客户端生成的说明完成创建证书的过程：

cbd：~$sudo certbot certonly —webroot -w /usr/lib/ciscobusiness/dashboard/www/letsencrypt/ -d dashboard.example.com -d pnpserver.example.com —deploy-hook "cat /etc/letsencrypt/live/dashboard.example.com/fullchain.pem /etc/ssl/certs/DST_Root_CA_X3.pem > /tmp/cbdchain.pem； /usr/bin/cisco-business-dashboard importcert -t pem -k /etc/letsencrypt/live/dashboard.example.com/privkey.pem -c /tmp/cbdchain.pem" 正在将调试日志保存到/var/log/letsencrypt/letsencrypt.log 选定的插件：身份验证器Webroot，安装程序无

步骤 6

输入电子邮件地址或C以取消。

输入电子邮件地址（用于紧急续订和安全通知）(输入“c”以取消)：user@example.com

步骤 7

输入A同意，或者输入C取消。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 请通过以下地址阅读服务条款： https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf。您必须同意注册到ACME服务器 https://acme-v02.api.letsencrypt.org/directory - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (A)绿色/(C)无色：A

步骤 8

为“Yes”输入Y或N。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 您愿意将您的电子邮件地址与Electronic Frontier Foundation，Let's Encrypt项目的创始合作伙伴，非营利组织开发Certbot的组织？我们想向您发送有关我们工作的电子邮件加密网络、EFF新闻、宣传活动和支持数字自由的方法。 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y)es/(N)o：Y

步骤 9

已颁发证书，可以在文件系统的/etc/letsencrypt/live子目录中找到：

获取新证书执行以下挑战： dashboard.example.com的http-01质询 pnpserver.example.com的http-01质询对所有不匹配的域使用webroot路径/usr/lib/ciscobusiness/dashboard/www/letsencrypt。正在等待验证…… 清除挑战运行deploy-hook命令：cat /etc/letsencrypt/live/dashboard.example.com/fullchain.pem /etc/ssl/certs/DST_Root_CA_X3.pem > /tmp/cbdchain.pem； /usr/bin/cisco-business-dashboard importcert -t pem -k /etc/letsencrypt/live/dashboard.example.com/privkey.pem -c /tmp/cbdchain.pem 重要说明： - Congratulations!您的证书和证书链已保存在： /etc/letsencrypt/live/dashboard.example.com/fullchain.pem 您的密钥文件已保存在： /etc/letsencrypt/live/dashboard.example.com/privkey.pem 您的证书将于2020-10-29到期。获取新的或经过修改的版本，只需运行certbot 再一次。要以非交互方式续订*所有*您的证书，请运行 “certbot renew” - 您的帐户凭据已保存在您的Certbot中配置目录，位于/etc/letsencrypt。您应该做一个立即安全备份此文件夹。此配置目录将还包含Certbot获得的证书和私钥，因此最好是定期备份此文件夹。 - 如果您喜欢Certbot，请考虑通过以下方式支持我们的工作：捐赠给ISRG/让我们加密：https://letsencrypt.org/donate 捐赠给EFF：https://eff.org/donate-le cbd：~$ sudo ls /etc/letsencrypt/live/dashboard.example.com / cert.pem chain.pem fullchain.pem privkey.pem自述文件 cbd：~$

包含证书的目录具有受限权限，因此只有root用户可以查看这些文件。尤其是privkey.pem文件是敏感的，应限制只有获得授权的人员才能访问此文件。

步骤 10

控制面板现在应使用新证书运行。如果您通过在Web浏览器中输入在地址栏中创建证书时指定的任何名称来打开控制面板用户界面(UI)，Web浏览器应指示连接是可信且安全的。

请注意，由Let's Encrypt颁发的证书的有效期相对较短，目前为90天。Ubuntu Linux的certbot软件包配置为每天检查证书有效性两次，并在证书即将到期时续订证书，因此无需执行任何操作以保持证书最新。要验证定期检查是否正确进行，请在最初创建证书后等待至少12小时，然后检查certbot日志文件以了解类似于以下内容的消息： cbd：~$ sudo tail /var/log/letsencrypt/letsencrypt.log 2020-07-31 16:50:52,783：DEBUG：certbot.main：certbot版本：0.31.0 2020-07-31 16:50:52,784：DEBUG：certbot.main：Arguments： ['-q'] 2020-07-31 16:50:52,785：DEBUG：certbot.main：发现的插件： (PluginEntryPoint#manual、 PluginEntryPoint#null，PluginEntryPoint#standalone，PluginEntryPoint#webroot) 2020-07-31 16:50:52,793：DEBUG：certbot.log：根日志记录级别设置为30 2020-07-31 16:50:52,793：INFO：certbot.log：正在将调试日志保存到 /var/log/letsencrypt/letsencrypt.log 2020-07-31 16:50:52,802：DEBUG：certbot.plugins.selection：请求的身份验证器<certbot.cli。 _Default object at 0x7f1152969240>和安装程序<certbot.cli。 _默认对象为0x7f1152969240> 2020-07-31 16:50:52,811：INFO：certbot.renewal：证书尚未到期续订 2020-07-31 16:50:52,812：DEBUG：certbot.plugins.selection：请求的身份验证器 webroot和安装程序无 2020-07-31 16:50:52,812：DEBUG：certbot.renewal：no renewal failures

经过足够的时间后，证书到期日期将在三十天内，Certbot客户端将自动更新证书并将更新的证书应用到仪表板应用程序。

有关使用certbot客户端的详细信息，请参阅certbot文档页。

修订历史记录

版本	发布日期	备注
1.0	27-Aug-2020	初始版本

此文档是否有帮助?

反馈

联系我们

提交支持案例
(需要思科服务合同)

本文档适用于以下产品

Cisco Business Dashboard