將UCS伺服器證書配置為CIMC

下載選項

  • PDF     (669.8 KB)
    在多種裝置上使用 Adobe Reader 檢視
已更新: 2024 年 9 月 5 日
文件 ID:200666

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文說明如何產生憑證簽署請求(CSR)以取得新憑證。 

    必要條件

    需求

    思科建議您瞭解以下主題:

    • 您必須以具有管理員許可權的使用者身份登入才能配置證書。

    • 確保CIMC時間設定為當前時間。

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • CIMC 1.0或更高版本
    • Openssl

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊

    可將證書上傳到思科整合管理控制器(CIMC)以替換當前伺服器證書。 伺服器憑證可以由公用憑證授權單位(CA) (例如Verisign)簽署,或由您自己的憑證授權單位簽署。產生的憑證金鑰長度為2048位元。

    設定

      

    步驟 1.   從CIMC生成CSR。
    步驟 2.   將CSR檔案提交給CA以簽署證書。如果您的組織生成自己的自簽名證書,則可以使用CSR檔案生成自簽名證書。
    步驟 3.   將新證書上傳到CIMC。

    注意:上傳的證書必須從CIMC生成的CSR中建立。請勿上傳不是由此方法建立的憑證。

    產生CSR

    導航到管理頁籤>安全管理>證書管理>生成證書簽名請求 (CSR),填寫以*標籤的詳細資訊。

    此外,請參閱生成證書簽名請求指南。

    Generate CSR

    注意:請使用主體替代名稱來指定此伺服器的其他主機名稱。未配置dNSName或將其從上傳的證書中排除會導致瀏覽器阻止對Cisco IMC介面的訪問。 

    下一步要做什麼?

    執行下列工作:

    • 如果您不想從公共證書頒發機構獲取證書,並且您的組織不運行自己的證書頒發機構,則可以允許CIMC從CSR內部生成自簽名證書並立即將其上傳到伺服器。選中Self Signed Certificate框以執行此任務。

    • 如果您的組織操作自己的自簽名證書,請複製-----BEGIN ...to END CERTIFICATE REQUEST-----的命令輸出並貼上到名為csr.txt的檔案。將CSR檔案輸入到證書伺服器以生成自簽名證書。

    • 如果您從公共證書頒發機構獲取證書,請將-----BEGIN ... to END CERTIFICATE REQUEST-----的命令輸出複製到名為csr.txt的檔案中。將CSR檔案提交到證書頒發機構以獲取簽名證書。確保證書屬於伺服器型別。

    注意:成功生成證書後,Cisco IMC Web GUI將重新啟動。與管理控制器的通訊可能會暫時中斷,需要重新登入。

    如果您沒有使用第一個選項(其中CIMC在內部生成並上傳自簽名證書),則必須建立新的自簽名證書並將其上傳到CIMC。

    建立自簽名證書

    作為公共CA和簽署伺服器證書的替代方案,請運行您自己的CA並簽署您自己的證書。本節介紹用於建立CA和使用OpenSSL伺服器證書生成伺服器證書的命令。有關OpenSSL的詳細資訊,請參閱OpenSSL

    步驟 1.生成RSA私鑰(如圖所示)。

    [root@redhat ~]# openssl genrsa -out ca.key 1024

    步驟 2.生成新的自簽名證書,如圖所示。

    [root@redhat ~]# openssl req -new -x509 -days 1095 -key ca.key -out ca.crt
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [XX]:US
    State or Province Name (full name) []:California
    Locality Name (eg, city) [Default City]:California
    Organization Name (eg, company) [Default Company Ltd]:Cisco
    Organizational Unit Name (eg, section) []:Cisco
    Common Name (eg, your name or your server's hostname) []:Host01
    Email Address []:
    [root@redhat ~]#

    步驟 3.確保證書型別為server,如圖所示。

    [root@redhat ~]# echo "nsCertType = server" > openssl.conf

    步驟 4.指示CA使用您的CSR檔案生成伺服器證書,如圖所示。

    [root@redhat ~]# openssl x509 -req -days 365 -in csr.txt -CA ca.crt -set_serial 01 -CAkey ca.key -out server.crt -extfile openssl.conf

    步驟 5.驗證生成的證書是否為型別 如圖所示的伺服器。

    [root@redhat ~]# openssl x509 -in server.crt -purpose 
    Certificate purposes:
    SSL client : No
    SSL client CA : No
    SSL server : Yes
    SSL server CA : No
    Netscape SSL server : Yes
    Netscape SSL server CA : No
    S/MIME signing : No
    S/MIME signing CA : No
    S/MIME encryption : No
    S/MIME encryption CA : No
    CRL signing : Yes
    CRL signing CA : No
    Any Purpose : Yes
    Any Purpose CA : Yes
    OCSP helper : Yes
    OCSP helper CA : No
    Time Stamp signing : No
    Time Stamp signing CA : No
    -----BEGIN CERTIFICATE-----
    MIIDFzCCAoCgAwIBAgIBATANBgkqhkiG9w0BAQsFADBoMQswCQYDVQQGEwJVUzET
    MBEGA1UECAwKQ2FsaWZvcm5pYTETMBEGA1UEBwwKQ2FsaWZvcm5pYTEOMAwGA1UE
    CgwFQ2lzY28xDjAMBgNVBAsMBUNpc2NvMQ8wDQYDVQQDDAZIb3N0MDEwHhcNMjMw
    NjI3MjI0NDE1WhcNMjQwNjI2MjI0NDE1WjBgMQswCQYDVQQGEwJVUzETMBEGA1UE
    CAwKQ2FsaWZvcm5pYTELMAkGA1UEBwwCQ0ExDjAMBgNVBAoMBUNpc2NvMQ4wDAYD
    VQQLDAVDaXNjbzEPMA0GA1UEAwwGSG9zdDAxMIIBIjANBgkqhkiG9w0BAQEFAAOC
    AQ8AMIIBCgKCAQEAuhJ5OVOO4MZNV3dgQwOMns9sgzZwjJS8LvOtHt+GA4uzNf1Z
    WKNyZbzD/yLoXiv8ZFgaWJbqEe2yijVzEcguZQTGFRkAWmDecKM9Fieob03B5FNt
    pC8M9Dfb3YMkIx29abrZKFEIrYbabbG4gQyfzgOB6D9CK1WuoezsE7zH0oJX4Bcy
    ISE0RsOd9bsXvxyLk2cauS/zvI9hvrWW9P/Og8nF3Y+PGtm/bnfodEnNWFWPLtvF
    dGuG5/wBmmMbEb/GbrH9uVcy0z+3HReDcQ+kJde7PoFK3d6Z0dkh7Mmtjpvk5ucQ
    NgzaeoCDL0Bn+Zl0800/eciSCsGIJKxYD/FYlQIDAQABo1UwUzARBglghkgBhvhC
    AQEEBAMCBkAwHQYDVR0OBBYEFEJ2OTeuP27jyCJRiAKKfflNc0hbMB8GA1UdIwQY
    MBaAFA4QR965FinE4GrhkiwRV62ziPj/MA0GCSqGSIb3DQEBCwUAA4GBAJuL/Bej
    DxenfCt6pBA7O9GtkltWUS/rEtpQX190hdlahjwbfG/67MYIpIEbidL1BCw55dal
    LI7sgu1dnItnIGsJIlL7h6IeFBu/coCvBtopOYUanaBJ1BgxBWhT2FAnmB9wIvYJ
    5rMx95vWZXt3KGE8QlP+eGkmAHWA8M0yhwHa
    -----END CERTIFICATE-----
    [root@redhat ~]#

    步驟 6.上傳伺服器證書(如圖所示)。

    Upload Certificate to CIMC

    驗證

    使用本節內容,確認您的組態是否正常運作。

    導覽至Admin > Certificate Management,然後驗證Current Certificate,如下圖所示。

    Certificate details verification

    疑難排解

    目前沒有特定資訊可用於對此組態進行疑難排解。

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    4.0
    05-Sep-2024
    已更新機器翻譯、樣式要求和格式設定。
    3.0
    12-Jun-2023
    已更新生成CSR過程和映像。 已增加有關重新啟動通訊的註釋。 驗證章節影像是否已更新。
    2.0
    10-Mar-2023
    增加了Alt文本。 更新了簡介、SEO、Gerunds、機器翻譯、樣式要求和格式。
    1.0
    15-Sep-2016
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Sivakumar Sukumar
      Technical Consulting Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品