Генерация CSR с руководством по альтернативному имени в Prime Collaboration Provisioning (PCP)

1. Вступление Этот документ описывает, как генерировать Запрос подписи сертификата (CSR) в первичной...
2. Используемые компоненты
3. Исходная информация
4. Процедура и шаги
5. Дальнейшие заметки

Вступление

Этот документ описывает, как генерировать Запрос подписи сертификата (CSR) в первичной инициализации, чтобы учесть альтернативные имена.

Предпосылки

Требования

- Центру сертификации (ЦС) нужно будет подписать сертификат, который вы генерируете на PCP, вы можете использовать сервер Windows или сделать так, чтобы ЦС подписал его онлайн.

Если вы не знаете, как подписать свой сертификат онлайн-ресурсом CA, воспользуйтесь ссылкой ниже.

https://www.digicert.com/

- Необходим корневой доступ к интерфейсу командной строки (CLI) основной подготовки. Root-доступ генерируется при установке.

Примечание : для версии (версий) PCP 12.X и выше, пожалуйста, обратитесь к нижней части этого документа в разделе «Дополнительные примечания».

Используемые компоненты

Prime Collaboration Provisioning

Сведения в этом документе были созданы с устройств в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.

Исходная информация

Это позволит вам получить доступ к Prime Collaboration Provisioning (PCP) для деловых целей с несколькими записями Сервера доменных имен (DNS), использующими один и тот же сертификат, и не столкнетесь с ошибкой сертификата при доступе к веб-странице.

Процедура и шаги

На момент написания этого документа из графического интерфейса пользователя (GUI) можно было генерировать только CSR без альтернативного имени. Это инструкции для выполнения этой задачи.

Шаг 1. Войдите в систему PCP как пользователь root.

Шаг 2. Перейдите в / opt / cupm / httpd / с помощью ввода cd / opt / cupm / httpd /

Шаг 3. Введите: vi san.cnf

Примечание : это создаст новый файл с именем san.cnf, который будет пустым в данный момент

Шаг 4. Нажмите I для вставки (это позволит редактировать файл) и скопируйте / вставьте ниже в серое поле

Также обратите внимание, что запись в нижней части DNS.1 = pcptest23.cisco.ab.edu является основной записью DNS, которая будет использоваться для CSR, а DNS.2 будет вторичной; Таким образом, вы можете получить доступ к PCP и использовать любую из записей DNS.

После копирования / вставки в этом примере удалите примеры pcptest с теми, которые нужны для вашего приложения.

[req] default_bits = 2048 Отличительное_имя = req_distinguished_name req_extensions = req_ext [req_distinguished_name] countryName = Название страны (двухбуквенный код) stateOrProvinceName = Название штата или провинции (полное имя) localityName = Название населенного пункта (например, название города) название организации, например, название организации (например, company) commonName = общее имя (например, полное доменное имя сервера или ваше имя) [req_ext] subjectAltName = @alt_names [alt_names] DNS.1 = pcptest23.cisco.ab.edu DNS.2 = pcptest.gov.cisco.ca

Шаг 5. Введите: esc, а затем введите : wq! (это сохранит файл и внесенные изменения).

Шаг 6. Перезапустите службы, чтобы файл конфигурации вступил в силу. Введите: /opt/cupm/bin/cpcmcontrol.sh stop

введите /opt/cupm/bin/cpcmcontrol.sh status, чтобы убедиться, что все службы остановлены

Шаг 7. Введите эту команду, чтобы разрешить сервисам вернуться: /opt/cupm/bin/cpcmcontrol.sh start

Шаг 8. Вы по-прежнему должны находиться в каталоге / opt / cupm / httpd / , вы можете набрать pwd, чтобы найти текущий каталог, чтобы убедиться в этом.

Шаг 9. Запустите эту команду, чтобы сгенерировать закрытый ключ и CSR.

openssl requ -out PCPSAN.csr -newkey rsa: 2048 -nodes -keyout PCPSAN.key -config san.cnf

[root @ ryPCP11-5 httpd] # openssl req -out PCPSAN.csr -newkey rsa: 2048 -nodes -keyout private.key -config san.cnf Создание 2048-битного закрытого ключа RSA ......... + ++ ......... +++ запись нового закрытого ключа в 'private.key' ----- Вам будет предложено ввести информацию, которая будет включена в ваш запрос сертификата. То, что вы собираетесь ввести, это то, что называется отличительным именем или DN. Есть довольно много полей, но вы можете оставить некоторые пустыми. Для некоторых полей будет использоваться значение по умолчанию. Если вы введете «.», Поле останется пустым. ----- Название страны (двухбуквенный код) []: Название штата или провинции США (полное имя) []: Название населенного пункта (например, город) []: Название организации RCDN (например, компания) []: CISCO Общее имя (например, полное доменное имя сервера или ВАШЕ имя) []: doctest.cisco.com [root @ ryPCP11-5 httpd] #

CSR генерируется и для проверки, содержит ли CSR правильные альтернативные имена, введите эту команду
openssl req -noout -text -in PCPSAN.csr | grep DNS

[root @ ryPCP11-5 httpd] # openssl req -noout -text -in PCPSAN.csr | DNS DNS: pcptest23.cisco.ab.edu, DNS: pcptest.gov.cisco.ca [root @ ryPCP11-5 httpd] #

Примечание . Если записи DNS такие же, как показано ниже, шаг 4, вы должны увидеть то же, что и в шаге 4. После проверки перейдите к следующему шагу.

Шаг 10. Используйте программу winscp или filezilla для подключения к PCP в качестве пользователя root, перейдите в каталог / opt / cupm / httpd / и переместите файл .csr с сервера PCP на рабочий стол.

Шаг 11. Подпишите CSR с вашим CA и используйте сервер Windows или онлайн через стороннего поставщика, такого как DigiCert.

Шаг 12. Установите сертификат PCP в графическом интерфейсе, перейдите: Администрирование> Обновления> Сертификаты SSL.

Шаг 13. Установите сертификат через браузер, ссылки для каждого браузера указаны ниже.

Гугл Хром:

https://www.tbs-certificates.co.uk/FAQ/en/installer_certificat_client_google_chrome.html

Internet Explorer:

http://howtonetworking.com/Internet/iis8.htm

https://support.securly.com/hc/en-us/articles/206082128-Securly-SSL-certificate-manual-install-in-Internet-Explorer

Mozilla Firefox:

https://wiki.wmtransfer.com/projects/webmoney/wiki/Installing_root_certificate_in_Mozilla_Firefox

Шаг 14. После установки сертификата на сервере и в браузере очистите кеш и закройте браузер.

Шаг 15. Повторно откройте URL, и вы не должны столкнуться с ошибкой безопасности.

Дальнейшие заметки

Примечание: PCP версии 12.x и выше вам нужен TAC, чтобы предоставить вам доступ к CLI, так как это ограничено.

Процесс запроса доступа к CLI

Шаг 1. Войдите в PCP GUI

Шаг 2. Перейдите в Администрирование> Ведение журнала и Showtech> Нажмите на учетную запись для устранения неполадок> создайте ID пользователя и выберите подходящее время, когда вам потребуется доступ с правами root для этого.

Шаг 3. Предоставьте TAC строку запроса, и они предоставят вам пароль (этот пароль будет очень длинным, не волнуйтесь, он будет работать).

Пример: AQAAAAEAAAC8srFZB2prb2dsaW4NSm9zZXBoIEtvZ2xpbgAAAbgBAAIBAQIABAAA FFFFEBE0 AawDAJEEAEBDTj1DaXNjb1N5c3RlbXM7T1U9UHJpbWVDb2xsYWJvcmF0aW9uUHJv FFFFEB81 dmlzaW9uaW5nO089Q2lzY29TeXN0ZW1zBQAIAAAAAFmxsrwGAEBDTj1DaXNjb1N5 FFFFEB8A c3RlbXM7T1U9UHJpbWVDb2xsYWJvcmF0aW9uUHJvdmlzaW9uaW5nO089Q2lzY29T FFFFEAD0 eXN0ZW1zBwABAAgAAQEJAAEACgABAQsBAJUhvhhxkM6YNYVFRPT3jcqAsrl / 1ppr FFFFEB2B yr1AYzJa9FtO1A4l8VBlp8IVqbqHrrCAIYUmVXWnzXTuxtWcY2wPSsIzW2GSdFZM FFFFE9F3 LplEKeEX + q7ZADshWeSMYJQkY7I9oJTfD5P4QE2eHZ2opiiCScgf3Fii6ORuvhiM FFFFEAD9 kbbO6JUguABWZU2HV0OhXHfjMZNqpUvhCWCCIHNKfddwB6crb0yV4xoXnNe5 / 2 + X FFFFEACE 7Nzf2xWFaIwJOs4kGp5S29u8wNMAIb1t9jn7 + iPg8Rezizeu + HeUgs2T8a / LTmou FFFFEA8F Vu9Ux3PBOM4xIkFpKa7provli1PmIeRJodmObfS1Y9jgqb3AYGgJxMAMAAFB6w == FFFFEAA7 DONE.

Шаг 4. Выйдите из системы вашего текущего пользователя и войдите, используя идентификатор пользователя, который вы создали, и пароль, предоставленный TAC.

Шаг 5. Перейдите к разделу « Устранение неполадок», «Учетная запись» >> «Запуск» >>. Нажмите «Учетная запись консоли» и создайте свой идентификатор пользователя и пароль.

Шаг 6. Теперь войдите в PCP как пользователь, которого вы создали, и выполните начальные шаги, описанные в этом документе.

Примечание. PCP версии 12.x и выше необходимо ввести в команду sudo перед выполнением всех инструкций, чтобы она работала. Поэтому на шаге 9 команда будет sudo openssl req -out PCPSAN.csr -newkey rsa: 2048 -nodes -keyout PCPSAN.key -config san.cnf. Для проверки DNS вы должны использовать команду sudo openssl req -noout -text -in PCPSAN.csr | grep DNS