如何在Sx350和Sx550X系列交換器上匯入憑證
目標
本文的目的是提供使用圖形使用者介面(GUI)和命令列介面(CLI)在Sx350和Sx550X系列交換機上成功匯入證書的步驟。
簡介
在Sx350和Sx550X交換機上匯入證書時遇到的一個問題是,使用者面臨金鑰標頭丟失和/或無法載入公鑰錯誤。本文說明如何克服這些錯誤以成功匯入證書。證書是一種電子文檔,用於標識個人、伺服器、公司或其他實體,並將該實體與公鑰相關聯。證書用於網路中,以提供安全訪問。證書可以由外部證書頒發機構(CA)自簽名或數位簽章。如名稱所示,自簽名證書由自己的建立者簽名。CA管理證書請求並向參與實體(如主機、網路裝置或使用者)頒發證書。CA簽名的數位證書被視為行業標準和更安全。
適用裝置和軟體版本
SG350版本2.5.0.83
SG350X版本2.5.0.83
SG350XG版本2.5.0.83
SF350版本2.5.0.83
SG550X版本2.5.0.83
SF550X版本2.5.0.83
SG550XG版本2.5.0.83
SX550X版本2.5.0.83
必要條件
您必須具有自簽名或證書頒發機構(CA)證書。本文包含獲取自簽名證書的步驟。要瞭解有關CA證書的詳細資訊,請按一下此處。
使用GUI匯入
步驟1
輸入Username和Password以登入交換器的GUI。按一下「Log In」。
步驟2
在GUI右上角的Display Mode中,使用下拉選項選擇Advanced。
步驟3
導覽至Security > SSL Server > SSL Server Authentication。
步驟4
選擇其中一個證書為Auto Generated。選擇Certificate ID 1或2,然後按一下Edit按鈕。 
步驟5
要生成自簽名證書,請在新的彈出視窗中啟用Regenerate RSA Key並輸入以下引數:
金鑰長度
公用名
組織單位
組織名稱
位置
狀態
國家/地區
持續時間
按一下「Generate」。
您也可以從第三方CA建立憑證。
步驟6
現在您可以在SSL Server Key Table下看到User Defined證書。選擇新建立的證書,然後按一下Details。
第7步
在彈出視窗中,您可以看到Certificate、Public Key and Private Key(Encrypted)詳細資訊。您可以在單獨的記事本檔案中複製它們。按一下Display Sensitive Data as Plaintext。
步驟8
將會開啟一個彈出視窗,確認私鑰顯示為明文,然後按一下OK。
步驟9
現在,您將能夠以明文形式檢視私鑰。將明文輸出複製到記事本檔案。按一下「Close」。
步驟10
選擇新建立的User Defined證書,然後按一下Import Certificate。
步驟11
在新彈出視窗中,啟用Import RSA Key-Pair選項,然後以明文格式貼上私鑰(在步驟9中複製)。按一下「Apply」。
在本示例中,公鑰的BEGIN和END處包含關鍵字RSA。
步驟12
螢幕上將顯示成功通知。您可以關閉此視窗並將組態儲存到交換器上。
可能的錯誤
所討論的錯誤與公鑰有關。通常使用兩種型別的公鑰格式:
1. RSA公鑰檔案(PKCS#1):這是針對RSA金鑰的。
它以標籤開始和結束:
-----開始RSA公鑰-----
BASE64編碼資料
-----結束RSA公鑰-----
2.公鑰檔案(PKCS#8):這是一種更為通用的金鑰格式,用於標識公鑰的型別並包含相關資料。
它以標籤開始和結束:
-----BEGIN PUBLIC KEY-----
BASE64編碼資料
-----END PUBLIC KEY-----
缺少金鑰標頭錯誤
案例 1:您從第三方CA生成了證書。複製並貼上公鑰並按一下Apply。
您收到消息Error:缺少金鑰標頭。關閉視窗。可以做一些修改以使此問題消失。
修復此錯誤:
將關鍵字RSA新增到公鑰的開頭:開始RSA公鑰
將關鍵字RSA新增到公鑰的末尾:結束RSA公鑰
從金鑰代碼中刪除前32個字元。下面顯示的突出顯示部分是前32個字元的示例。
在應用設定時,在大多數情況下不會獲取Key header is missing error。
無法載入公鑰錯誤
案例 2:您在一台交換機上生成了證書,並將其匯入到另一台交換機上。刪除前32個字元並按一下Apply後,複製並貼上了公鑰。
螢幕上出現Failed to load public key錯誤。
要解決此錯誤,請不要在此情況下刪除公鑰的前32個字元。
使用CLI匯入
步驟1
要使用CLI匯入證書,請輸入以下命令。
switch(config)#crypto certificate [certificate number] import在此範例中匯入憑證2。
switch(config)#crypto certificate 2 import步驟2
貼上輸入;在輸入後單獨的行上新增句點(.)。
-----開始RSA私鑰-----MIIEvgIBADANBgkqhkiG9w0BAQEFAAASCBKGWGskAgEAAoIBAQC/rZQ6f0rj8neA
...截斷了24行…….
h27Zh+aWX7dxakaoF5QokBTqWDHcMAvNluwGiZ/O3BQYgSiI+SYrZXAbUiSvfIR4
NC1WqkWzML6jW+52lD/GokmU
-----END RSA PRIVATE KEY-----
-----開始RSA公鑰-----
MIIBCgKCAQEAv62UOn9K4/J3gCAk7i9nYL5zYm4kQVQhCcAo7uGblEprxdWkfT0l
...截斷的3行…….
64jc5fzIfNnE2QpgBX/9M40E41BX5Z0B/QIDAQAB
-----結束RSA公鑰-----
-----BEGIN CERTIFICATE-----
MIIFvTCCBKWgAwIBAgIRAOOBWg4bkStdWPvCNYjHpbYwDQYJKoZIhvcNAQELBQAw
— 截斷了28行……
8S+39m9wPAOZipI0JA1/0IeG7ChLWOXKncMeZWVTIUZaEwVFf0cUzqXwOJcsTrMV
JDPtnbKXG56w0Trecu6UQ9HsUBoDQnlsN5ZBHt1VyjAP
-----END CERTIFICATE-----
.
已成功匯入證書
頒發者:C=xx、ST=Gxxxxx、L=xx、O=xx CA Limited、CN=xx RSA組織驗證安全伺服器CA
有效期自:6月14日00:00:00 2017 GMT
有效日期:9月11日23:59:59 2020 GMT
主題:C=DE/postalCode=xxx、ST=xx、L=xx/street=xxx 2、O=xxx、OU=IT、CN=*.kowi.eu
SHA指紋:xxxxxx
結論
現在,您已學習使用GUI和CLI在Sx350和Sx550X系列交換機上成功匯入證書的步驟。
意見