通过手动方法启用SD-WAN控制器证书续订

简介

本文档介绍通过思科或手动方法在控制器上更新SD-WAN证书的步骤。

可用方法

控制器证书授权有四个不同的选项。

• 思科(推荐) — 使用思科即插即用(PnP)门户对由vManage生成的CSR进行签名并自动下载和安装的半自动化流程。
• 手动 — 通过Cisco PnP手动签署证书。
• Symantec — 通过Symantec/Digicert手动签署第三方证书。
• 企业根证书 — 通过专用根证书颁发机构(CA)手动签署证书。

本文档仅介绍Cisco（推荐）和手动方法的步骤。

---

注意：本文档包含的证书与vManage的Web证书不相关。

要求

• 一台PC/笔记本电脑。
• vManage GUI和每个控制器（vManage、vSmart和vBond）的Netadmin帐户。
• 访问CA服务器。
• 对于Cisco（推荐）或Manual，为PnP门户提供有效的帐户/密码。
• 对于Cisco（推荐）,vManage必须能够访问互联网。
• 所有控制器都需要有效的NTP服务器，并且/或者所有控制器都需要具有正确的日期和时间。
• vBond和vSmart与vManage之间的通信。

---

注意：vManage中安装的证书不会影响您的控制平面或数据平面。对于vSmart中的证书，控制连接可能会受到影响。由于OMP平滑计时器，控制平面继续工作。为了执行证书更改，必须为活动安排维护窗口。

续约流程 

这是一个高级过程：

1.  识别vManage GUI中使用的Controller Certificate Authorization选项。
2. 通过vManage GUI生成新的CSR。
3. 创建新的证书。
4. 下载证书。
5. 安装证书。

思科（推荐）

1. 导航到vManage > Administration > Settings > Certificate Authority Server。

• 验证是否选择了正确的选项。
• 选择证书的持续时间。

2.向下滚动到智能帐户凭证并引入有效的用户/密码。凭证必须能够访问配置SD-WAN重叠的智能帐户，如图所示。

3.导航到vManage > Configuration > Certificates > Controllers。

• 选择控制器(vBond、vSmart或vManage)上的省略号(...)。
• 选择生成 CSR。

4.完成该过程需要5至20分钟。

在GUI vManage > Configuration > Certificates > Controllers中验证安装是否正确。

手动(PnP)

1.导航到vManage > Administration > Settings > Certificate Authority Server

• 验证是否选择了正确的选项。

2.导航到vManage > Configuration > Certificates > Controllers。

• 选择控制器(vBond、vSmart或vManage)上的省略号(..)。
• 选择生成 CSR。
• 复制所有文本并将其保存在临时文件中。 

3.访问PnP门户，选择您的SD-WAN重叠，然后导航到证书，如图所示。

4.在证书部分，单击生成新证书，然后输入所有信息。

• 在证书签名请求中，输入第2步中生成的CSR。

5.单击提交和完成。 

6.几分钟后，证书即可下载。

• 下载证书文件
• 访问vManage GUI
• 选择vManage > Certificate > Controllers下的安装证书。
• 在弹出窗口中选择证书。

注意：如果您无法查看或选择证书，请确保选择All files under format选项。如果格式框不可见，请使用不同的Web浏览器。

 7.证书现在已安装。

常见问题

时间不匹配

思科云托管控制器配置了NTP服务器。

如果配置更改导致NTP不存在，则控制器可以有不同的时间，这可能会干扰证书安装或CSR生成。

确保控制器具有相同的时间。 

无法建立连接

SD-WAN控制器必须可通过VPN0下配置的接口访问。

检验是否存在第3层和第4层通信。 

我们可以通过控制台检查控制器的日志，以了解有关该问题的更多详细信息。