如何生成和添加安装 AMP VPC 3.x 后所需的证书 目录 简介先决条件使用的组件要求在 Windows 服务器上生成证书生成证书签名请求 (CSR) 将 CSR 提交到 CA 并生成证书导出私钥并转换为 PEM 格式在 Linux 服务器上生成证书生成自签名根 CA 为每个服务生成证书 ( 严格 SSL 检查已禁用 ) 生成私钥生成 CSR 生成证书为每个服务生成证书 ( 已启用严格 SSL 检查 ) 生成私钥生成 CSR 创建扩展配置文件并保存 (extensions.cnf) 生成证书将证书添加到 AMP VPC 验证故障排除 简介 本文档介绍生成证书的过程, 这些证书必须随 AMP 虚拟私有云 (VPC) 的每次新安装一起上传 引入 AMP 私有云 3.X 后, 所有以下服务都需要主机名和证书 / 密钥对 : 管理门户 身份验证 ( 私有云 3.X 中的新功能 ) FireAMP 控制台 处置服务器 处置服务器 扩展协议 处置更新服务 Firepower 管理中心在此, 我们将讨论生成和上传所需证书的快速方法 您可以根据贵组织的策略调整每个参数, 包括散列算法 密钥大小等, 并且生成这些证书的机制可能与此处详述的内容不匹配 先决条件
使用的组件 Cisco 建议您了解以下主题 : 从 Windows Server 2008 开始 AMP 私有云安装 公用密钥基础结构 要求 本文档中的信息基于以下软件和硬件版本 : Windows Server 2008 CentOS 7 AMP 虚拟私有云 3.0.2 style=" 背景图像 :url('http://www.cisco.com/en/us/i/templates/warn.gif'); 背景重复 : 不重复 ; 背景位置 :2px 4px; 高度 : 自动 ; 宽度 : 自动 ; 填充 :10px 5px 10px 35px; 边距 :10px; 边距底部 :10px; 边框顶部 :1px 实体 #ccc; 边框底部 :1px 实体 #ccc;overflow-x: 隐藏 ;"> 警告 :{ 下面提到的过程可能因您的 CA 服务器配置而异 您选择的 CA 服务器应已调配, 且配置已完成 以下技术只介绍生成证书的示例,Cisco TAC 将不参与排除与证书生成和 / 或任何类型的 CA 服务器问题相关的故障 } 在 Windows 服务器上生成证书 确保在 Windows Server 上安装并配置了以下角色 Active Directory 证书服务 认证机构 证书颁发机构 Web 注册 在线响应器 证书注册 Web 服务 证书注册策略 Web 服务 Active Directory 域服务 DNS Servers Web 服务器 (IIS) 生成证书签名请求 (CSR) 步骤 1. 导航到 MMC 控制台, 并为您的计算机帐户添加证书管理单元, 如此图所示
步骤 2. 向下钻取证书 ( 本地计算机 )> 个人 > 证书 步骤 3. 右键单击空白区域, 然后选择 所有任务 > 高级操作 > 创建自定义请求 步骤 4. 在 Enrollment( 注册 ) 窗口中单击 Next( 下一步 )
步骤 5. 选择您的证书注册策略并点击 Next 步骤 6. 选择模板作为 Web 服务器, 然后单击 下一步
步骤 7. 如果 Web 服务器 模板已正确配置, 并且可供注册, 您将在此处看到状态为 可用 单击 详细信息 展开, 单击 属性 步骤 8. 至少添加 CN 和 DNS 属性 其余属性可根据您的安全要求进行添加
步骤 9.( 可选 ) 在 常规 选项卡下指定 友好名称 步骤 10. 单击 Private Key 选项卡, 并确保在 Key Options( 密钥选项 ) 部分下启用 Make private key exportable( 使私钥可导出 )
步骤 11. 最后, 单击 确定 这应该会引导您进入证书注册对话框, 您可以从中点击下一步 步骤 12. 浏览到某个位置以保存.req 文件, 该文件将提交到 CA 服务器进行签名 将 CSR 提交到 CA 并生成证书 步骤 1. 导航至您的 MS AD 证书服务网页, 如下所示, 然后点击 申请证书
步骤 2. 单击高级证书请求链接 步骤 3. 单击 Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, 或者使用 base-64-encoded PKCS #7 文件提交续订请求 步骤 4. 通过记事本打开先前保存的.req 文件 (CSR) 的内容 复制内容并粘贴到此处 确保证书模板已选为 Web 服务器
步骤 5. 最后, 单击 提交 步骤 6. 此时, 您应该能够下载证书, 如图所示 导出私钥并转换为 PEM 格式 步骤 1. 通过打开.cer 文件并单击 安装证书, 将证书安装到证书存储中 步骤 2. 导航至先前选择的 MMC 管理单元 步骤 3. 导航至安装证书的存储 步骤 4. 右键单击正确的证书, 选择 所有任务 > 导出 步骤 5. 在证书导出向导中, 确认导出私钥, 如图所示
步骤 6. 输入密码, 然后点击 Next 将私钥保存在磁盘上 步骤 7. 这将以.PFX 格式保存私钥, 但是, 需要将其转换为.PEM 格式, 以便与 AMP VPC 一起使用 步骤 8. 从此处安装 OpenSSL 库 :https://wiki.openssl.org/index.php/binaries 步骤 9. 打开命令提示符窗口, 并切换到安装 OpenSSL 的目录 步骤 10. 运行以下命令提取私钥并将其保存到新文件 :( 如果 PFX 文件与存储 OpenSSL 库的路径不同, 则必须指定确切的路径和文件名 ) openssl pkcs12 -in yourpfxfile.pfx -nocerts -out privatekey.pem -nodes 步骤 11. 现在运行以下命令以提取公共证书并将其保存到新文件 : openssl pkcs12 -in yourpfxfile.pfx -nokeys -out publiccert.pem -nodes 在 Linux 服务器上生成证书 确保您尝试生成所需证书的 Linux 服务器已安装 OpenSSL 库 验证此操作和下面列出的步骤是否与您正在运行的 Linux 发行版不同 此部分已记录在案, 如 CentOS 7 服务器上所做 生成自签名根 CA 步骤 1. 生成根 CA 证书的私钥
openssl genrsa -out rootca.key 2048 步骤 2. 生成 CA 证书 openssl req \ -addext basicconstraints=critical,ca:true,pathlen:1 \ -outform pem -out rootca.pem \ -key rootca.key -new -x509 \ -days "1000" 为每个服务生成证书 ( 严格 SSL 检查已禁用 ) 根据 DNS 名称条目, 为身份验证 控制台 处置 部署扩展 更新服务器 Firepower 管理中心 (FMC) 服务创建证书 您需要为每个服务 ( 身份验证 控制台等 ) 重复以下证书生成过程 生成私钥 openssl genrsa -out 2048 将 <example.key> 替换为实际的证书密钥, 例如 Auth-Cert.key 生成 CSR openssl req -new -key 替换 <example.csr> 和实际证书 CSR, 例如 Auth-Cert.csr 生成证书 openssl x509 -req -in -CA rootca.pem -CAkey rootca.key -CAcreateserial -out -days 1000 -sha256 将 <example.csr> <example.crt> 替换为实际证书 CSR 和证书名称为每个服务生成证书 ( 已启
用严格 SSL 检查 ) 据 DNS 名称条目, 为身份验证 控制台 处置 部署扩展 更新服务器 Firepower 管理中心 (FMC) 服务创建证书 您需要为每个服务 ( 身份验证 控制台等 ) 重复以下证书生成过程生成私钥 openssl genrsa -out 2048 生成 CSR openssl req -new -key 将 <example.key> 替换为实际的证书密钥, 例如 Auth-Cert.key 创建扩展配置文件并保存 (extensions.cnf) [v3_ca] basicconstraints = CA:FALSE keyusage = critical, digitalsignature, keyencipherment extendedkeyusage = critical, serverauth, clientauth 生成证书 openssl x509 -req -in -CA rootca.pem -CAkey rootca.key -CAcreateserial -out -extensions v3_ca - extfile extensions.cnf -days 365 -sha256 将证书添加到 AMP VPC 步骤 1. 根据上述任何方法生成证书后, 请上传每项服务的相应证书 如果已正确生成, 则所有复选标记都会启用, 如图所示 根
此配置的验证过程 故障排除目前没有针对此配置的故障排除信息 验证当前没有可用于