為具有證書頒發機構(CA)簽名證書的UCCE診斷框架Portico工具配置HTTPS訪問
必要條件
需求
- Active Directory
- 網域名稱係統(DNS)伺服器
- 為所有伺服器和客戶端部署並工作的CA基礎架構
- 診斷框架門廊
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco UCCE 11.0.1
- Microsoft Windows Server 2012 R2
- Microsoft Windows Server 2012 R2證書頒發機構
- Microsoft Windows 7 SP1作業系統
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
設定
生成證書簽名請求
開啟Internet Information Services(IIS)管理器,選擇站點、示例中的外圍裝置網關A(PGA)和伺服器證書。
在動作面板中選擇Create Certificate Request。
輸入Common name(CN)、Organization(O)、Organization unit(OU)、Locality(L)、State(ST)和Country(C)欄位。公用名必須與完全限定域名(FQDN)主機名+域名相同。
保留加密服務提供程式的預設設定並指定位長度:2048.
選擇要儲存的路徑。例如,在具有pga.csr名稱的案頭上。
在記事本中開啟新建立的請求。
使用CTRL+C將憑證複製到緩衝區中。
在證書頒發機構上簽署證書
登入到CA伺服器證書註冊頁面。
https://<CA-server-address>/certsrv
選擇Request Certificate、Advanced Certificate Request,然後將憑證簽署請求(CSR)內容貼上到緩衝區。然後選擇Certificate Template as Web Server。
下載Base 64編碼證書。
開啟證書並複製指紋欄位的內容供以後使用。從指紋中刪除空格。
安裝證書
複製憑證
將新生成的證書檔案複製到Portico工具所在的UCCE VM中。
將證書匯入本地電腦儲存
在同一UCCE伺服器上,通過選擇「開始」選單啟動Microsoft管理控制檯(MMC)控制檯,鍵入run和mmc。
按一下 Add/Remove管理單元,然後在對話方塊中按一下 Add。然後選擇Certificates選單並新增。
在「證書」管理單元對話方塊中,按一下電腦帳戶>本地電腦>完成。
導航到個人證書資料夾。
在操作窗格中,選擇更多操作> 所有任務>匯入。
按一下Next、Browse並選擇之前生成的證書,在下一個選單中確保將證書儲存設定為personal。在最後一個螢幕上,驗證已選中Certificate Store和Certificate File,然後按一下Finish。
繫結IIS證書
導航到Diagnostic Portico主資料夾。
cd c:\icm\serviceability\diagnostics\bin
刪除Portico工具的當前證書繫結。
DiagFwCertMgr /task:UnbindCert
繫結CA簽名的證書。
使用之前儲存的雜湊並刪除空格。
DiagFwCertMgr /task:BindCertFromStore /certhash:bc6bbe23b8b3a26d8446c252400f9264c5c30a29
使用此命令確保證書繫結成功。
DiagFwCertMgr /task:ValidateCertBinding
重新啟動診斷框架服務。
sc stop "diagfwsvc" sc start "diagfwsvc"
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
28-Oct-2016 |
初始版本 |
意見