使用当前证书中的信息生成新的Expressway证书。

下载选项

  • PDF     (887.9 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (873.2 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (570.5 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2020 年 4 月 22 日
文档 ID:215405

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何使用现有Expressway证书中的信息生成新的证书签名请求(CSR)。

    先决条件

    要求

    思科建议您了解以下主题:

    • 证书属性
    • Expressway或视频通信服务器(VCS)

    使用的组件

    本文档不限于特定的软件和硬件版本。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    配置

    步骤1.找到当前证书信息。

    要获取当前证书中包含的信息,请导航至Expressway图形用户界面(GUI)上的维护>安全>服务器证书(Maintenance > Security > Server Certificate)。

    找到“服务器证书数据”部分并选择“显示(解码)”

    在公用名(CN)和主题备用名(SAN)中查找信息,如图所示:

    现在,您知道CN和SAN的副本,以便它们可以添加到新的CSR中。

    (可选)您可以复制证书的附加信息,这些信息包括国家(C)、州(ST)、地点(L)、组织(O)、组织单位(OU)。 此信息位于CN旁。

    步骤2.使用上述信息创建新的CSR。

    要创建CSR,请导航至“维护”>“安全”>“服务器证书”。

    找到“证书签名请求(CSR)”一节,并选择“生成CSR”,如图所示:

    输入从当前证书收集的值。

    除非CN是集群,否则无法修改它。对于集群,可以选择CN作为Expressway完全限定域名(FQDN)或集群FQDN。在本文档中,使用一台服务器,因此CN对应于您从当前证书获得的内容,如图所示:

    对于SAN,如果它们未自动填充,则必须手动输入这些值,为此,您可以在“其他备用名称”上输入这些值,如果有多个SAN,则它们必须用逗号分隔,例如:example1.domain.com、example2.domain.com、example3.domain.com。添加后,SAN将在“备用名称”部分列出,如图所示:

    如果未自动填充或必须更改,则需要输入其他信息,如图所示:

    完成后,选择“生成CSR”

    步骤3.检验并下载新CSR。

    生成CSR后,您可以在证书签名请求(CSR)部分选择Show(decoded),以验证所有SAN是否都存在,如图所示:

    在新窗口中查找CN和主题备用名称,如图所示:

    CN始终自动添加为SAN:

    现在CSR已验证,您可以关闭新窗口,并在“证书签名请求(CSR)”部分选择“下载(解码)” ,如图所示:

    下载后,您可以将新CSR发送到要签名的证书颁发机构(CA)。

    步骤4.检验新证书中包含的信息。

    从CA返回新证书后,您可以验证证书中是否存在所有SAN。为此,您可以打开证书并查找SAN属性。在本文档中,Windows PC用于查看属性,但只要您能打开或解码证书以查看属性,这并非唯一的方法。

    打开证书并导航至Details选项卡并查找Subject,它应包含CN和Additional Information,如图所示:

    另请查找主题备用名部分,它必须包含您在CSR中输入的SAN,如图所示:

    如果您在CSR中输入的所有SAN都不在新证书中,请联系您的CA,查看是否为您的证书允许额外的SAN。

    步骤5.将新CA证书上传到服务器受信任存储(如果适用)。

    如果CA与已签署旧Expressway证书的CA相同,您可以放弃此步骤。如果它是不同的CA,则您必须将新CA证书上传到每个Expressway服务器中的受信任CA列表。如果您在Expressway之间(例如Expressway-C和Expressway-E之间)有传输层安全(TLS)区域,则必须在两台服务器上上传新CA,以便它们能够相互信任。

    为此,您可以逐个上传CA证书。导航至Expressway上的维护>安全>受信任CA证书。

    1. 选择“浏览”。
    2. 在新页面上选择CA证书。
    3. 选择添加 CA 证书。

    必须对证书链(根和中间)中的每个CA证书执行此过程,并且必须在所有Expressway服务器中执行,即使这些服务器是集群服务器。

    步骤6.将新证书上传到Expressway服务器。

    如果新证书中的所有信息都正确,请导航至:维护>安全>服务器证书。

    找到“上传新证书”部分,如图所示:

    1. 在“选择服务器证书文件”部分选择“浏览”。
    2. 选择新证书。
    3. 选择上传服务器证书数据。

    如果Expressway接受新证书,Expressway会提示重新启动以应用更改,并且消息显示证书的新过期日期,如图所示:

    要重新启动Expressway,请选择restat

    验证

    服务器恢复后,必须安装新证书,您可以导航至:Maintenance > Security > Server Certificate以便确认。

    找到服务器证书数据并查找当前加载的证书过期日期部分,它显示证书的新过期日期,如图所示:

    故障排除

    目前没有针对此配置的故障排除信息。

    TAC Authored

    由思科工程师提供

    • Anibal Miron
      Cisco TAC Engineer

    此文档是否有帮助?

    Feedback反馈

    联系我们