使用當前證書中的資訊生成新的Expressway證書。

下載選項

  • PDF     (904.4 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (873.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (570.8 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2020 年 4 月 22 日
文件 ID:215405

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文說明如何使用現有Expressway憑證中的資訊產生新的憑證簽署請求(CSR)。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • 證書屬性
    • Expressway或影片通訊伺服器(VCS)

    採用元件

    本文件所述內容不限於特定軟體和硬體版本。

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    設定

    步驟1.查詢當前證書資訊。

    若要獲取當前證書中包含的資訊,請在Expressway圖形使用者介面(GUI)上導航到維護>安全>伺服器證書

    找到Server certificate data部分,然後選擇Show(decoded)

    Common Name(CN)Subject Alternative Name(SAN)中查詢資訊,如下圖所示:

    現在您已知道CN和SAN的複製它們以便可以將其新增到新的CSR。

    或者,您可以複製證書的其他資訊,如國家(C)、州(ST)、地點(L)、組織(O)、組織單位(OU)。 此資訊在CN旁邊。

    步驟2.使用上述資訊建立新的CSR。

    若要建立CSR,請導覽至Maintenance > Security > Server Certificate

    找到憑證簽署請求(CSR)一節,然後選擇產生CSR,如下圖所示:

    輸入從當前證書收集的值。

    除非該CN是群集,否則無法對其進行修改。對於群集,可以選擇CN作為Expressway完全限定域名(FQDN)或群集FQDN。本檔案使用單一伺服器,因此CN與從目前憑證中獲得的內容相符,如下圖所示:

    對於SAN,您必須手動輸入值,以防這些值未自動填充,為此,您可以在其他替代名稱中輸入值,如果您有多個SAN,這些值必須以逗號分隔,例如:example1.domain.com、example2.domain.com、example3.domain.com。新增後,SAN將列在「Alternative name as it will appearl(備用名稱,如圖所示)」部分,如下所示:

    Additional information是必填資訊,如果沒有自動填充或必須對其進行更改,則必須手動輸入,如下圖所示:

    完成後,選擇Generate CSR

    步驟3.驗證並下載新的CSR。

    產生CSR後,您可以在「Certificate signing request(CSR)」一節中選擇Show(decoded),以驗證所有SAN是否存在,如下圖所示:

    在新視窗中查詢CNSubject Alternative Name,如下圖所示:

    CN始終自動新增為SAN:

    現在,CSR已經過驗證,您可以關閉新視窗,然後在「憑證簽署請求(CSR)」區段上選擇Download(decoded),如下圖所示:

    下載後,您可以將新CSR傳送到您的憑證授權單位(CA)以簽署。

    步驟4.驗證新證書中包含的資訊。

    從CA傳回新憑證後,您可以驗證憑證中是否存在所有SAN。為此,您可以開啟證書並查詢SAN屬性。在本文檔中,Windows PC用於檢視屬性,只要您可以開啟或解碼證書來檢視屬性,這不是唯一的方法。

    開啟憑證並導覽至Details索引標籤,然後尋找Subject,它應包含CN和其他資訊,如下圖所示:

    另請檢視使用者替代名稱一節,它必須包含您在CSR中輸入的SAN,如下圖所示:

    如果您在CSR中輸入的所有SAN在新憑證中都不存在,請與CA連線,檢視您的憑證是否允許額外的SAN。

    步驟5.將新CA證書上傳到Servers Trusted Store(如果適用)。

    如果CA與簽署舊Expressway證書的CA相同,則可以放棄此步驟。如果它是不同的CA,則必須將新的CA證書上傳到每個Expressway伺服器中的受信任CA清單。如果在Expressway之間(例如Expressway-C和Expressway-E之間)有傳輸層安全(TLS)區域,則必須將新CA上傳到兩台伺服器上,以便它們可以相互信任。

    為此,您可以逐一上傳CA憑證。在Expressway上導航到Maintenance > Security > Trusted CA certificates

    1. 選擇瀏覽。
    2. 在新頁面上,選擇CA證書。
    3. 選擇附加CA證書。

    此過程必須針對證書鏈中的每個CA證書(根證書和中間證書)完成,而且必須針對所有Expressway伺服器完成,即使這些伺服器已群集。

    步驟6.將新證書上傳到Expressway伺服器。

    如果新憑證中的所有資訊都正確,若要上傳新憑證,請導覽至:Maintenance > Security > Server Certificate。

    找到Upload new certificate一節,如下圖所示:

    1. 在「Select the server certificate file」部分中選擇Browse
    2. 選擇新證書。
    3. 選擇上傳伺服器證書資料。

    如果Expressway接受新證書,則Expressway會提示重新啟動以應用更改,並且消息顯示證書的新到期日期,如下圖所示:

    要重新啟動Expressway,請選擇restat

    驗證

    伺服器恢復後,新證書必須已安裝,您可以導航到:Maintenance > Security > Server Certificate以進行確認。

    找到Server certificate data並查詢Currently loaded certificate expires on部分,其中顯示證書的新到期日期,如下圖所示:

    疑難排解

    目前尚無適用於此組態的具體疑難排解資訊。

    TAC Authored

    由思科工程師貢獻

    • Anibal Miron
      Cisco TAC工程師

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您