Connectrix Brocade serii B: Włączanie dostępu do interfejsu użytkownika narzędzi internetowych HTTPS w przełącznikach Brocade z certyfikatami z podpisem własnym w systemie Fabric OS w wersji 8.0.x lub starszej.
Shrnutí: Włączanie dostępu do interfejsu użytkownika narzędzi internetowych HTTPS w przełącznikach Brocade z certyfikatami z podpisem własnym w systemie Fabric OS w wersji 8.0.x lub starszej.
Příznaky
Dostęp HTTPS w interfejsie użytkownika narzędzi internetowych można aktywować tylko przy użyciu odpowiedniego certyfikatu.
Zamiast uzyskiwać oficjalny certyfikat od urzędu certyfikacji (CA) lub innych firm, możesz utworzyć certyfikat z podpisem własnym do użytku wewnętrznego.
Istnieją dwa problemy z wyższym kodem.
1. Wystąpił opisany w artykule usterka, która uniemożliwia korzystanie z funkcji eksportu i importu w systemie Fabric OS 8.1.x.
2. W kodzie 8.2.x polecenie secertutil jest przestarzały i zastępowany przy użyciu polecenia seccertmgmt. Aby dowiedzieć się, jak ustawić protokół https w przełącznikach z systemem operacyjnym Fabric OS w wersji 8.1.x lub nowszej, zapoznaj się z artykułem:
Connectrix Brocade serii B: Włączanie dostępu do interfejsu użytkownika narzędzi internetowych HTTPS w przełącznikach Brocade z certyfikatami z podpisem własnym w systemie Fabric OS w wersji 8.1.x lub nowszej.
Aby zachować prostotę, użyj secertutil z FOS 8.0.x i starszym oraz secertmgmt w systemie Fabric OS w wersji 8.1.2x lub nowszej.
Dla wyjaśnienia secertmgmt w systemie Fabric OS 8.1.x i nowszych zobacz artykuł:
"Jak włączyć dostęp do interfejsu użytkownika narzędzi internetowych HTTPS w przełącznikach Brocade z certyfikatami z podpisem własnym w systemie Fabric OS 8.1.x i nowszych".
Příčina
Řešení
b. Możemy użyć programu OpenSSL innej firmy zainstalowanego w systemie Windows, na przykład OpenSSL light, wersja 1.0.2 32 bit od Shining Light Productions.
c. Wygeneruj klucz prywatny, logując się do przełącznika jako root i korzystając z wbudowanego pliku binarnego OpenSSL.
W tym przykładzie używamy najłatwiejszego rozwiązania i generujemy klucz na przełączniku, który wymaga dostępu do użytkownika root.
Oba pliki znajdują się w katalogu: /etc/fabos/certs/sw0
Wymaga to dostępu użytkownika ROOT, zalecane jest PRZEMYŚLANIE, a nieprawidłowe korzystanie z dostępu użytkownika root może uniemożliwić korzystanie z przełącznika.
Pełny przykład:
1. Zaloguj się do przełącznika jako użytkownik root i zmień katalog:
switch_55:FID55:root>
Changed directory to /etc/fabos/certs/sw0 :
switch_55:FID55:root>
switch_55:FID55:root> cd /etc/fabos/certs/sw0
2. Sprawdź, czy jesteś w odpowiednim katalogu:
switch_55:FID55:root> pwd
/etc/fabos/certs/sw0
switch_55:FID55:root>
3. Sprawdź, czy coś znajduje się w katalogu:
switch_55:FID55:root> ls
switch_55:FID55:root>
If there are, for example old CSR and pen files, they can be removed, if needed, with the rm <filename> command.
4. Wygeneruj parę kluczy publiczny-prywatny w trybie interaktywnym:
switch_55:FID55:root>
switch_55:FID55:root> seccertutil genkey
Wygenerowanie nowej pary kluczy automatycznie wykonuje następujące czynności:
1. Usuń wszystkie istniejące pliki CSR.
2. Usuń wszystkie istniejące certyfikaty.
3. Zresetuj nazwę pliku certyfikatu na none.
4. Wyłącz bezpieczne protokoły.
Continue (yes, y, no, n): [no] y
Select key size [1024 or 2048]: 2048
Generating new rsa public/private key pair
Done.
switch_55:FID55:root>
5. Sprawdź, czy coś znajduje się w katalogu:
switch_55:FID55:root>
switch_55:FID55:root> ls
pvt_key
switch_55:FID55:root>
6. Wygeneruj plik CSR w trybie interaktywnym:
switch_55:FID55:root>
switch_55:FID55:root> seccertutil gencsr
Input hash type (sha1 or sha256): sha1
Country Name (2 letter code, eg, US):US
State or Province Name (full name, eg, California):California
Locality Name (eg, city name):San Jose
Organization Name (eg, company name):Brocade
Organizational Unit Name (eg, department name):IT
Common Name (Fully qualified Domain Name, or IP address):192.yyy.zz.xx1 (IP address of the switch)
Generating CSR, file name is: CSR_filename.csr
Done.
switch_55:FID55:root>
7. Sprawdź, czy plik został utworzony i znajduje się w katalogu:
switch_55:FID55:root>
switch_55:FID55:root> ls
CSR_filename.csr pvt_key
switch_55:FID55:root>
8. Otwórz openssl skorupa:
switch_55:FID55:root>
switch_55:FID55:root> openssl
OpenSSL>
9. Wygeneruj klucz z podpisem własnym i PEM:
OpenSSL> x509 -req -days 999 -sha1 -in /etc/fabos/certs/sw0/CSR_filename.csr -signkey /etc/fabos/certs/sw0/pvt_key -out /tmp/pem_filename.pem
Signature ok
subject=/C=US/ST=California/L=San Jose/O=Brocade/OU=IT/CN=192.yyy.zz.xx1
Getting Private key
OpenSSL>
## Spowoduje to utworzenie pliku w "
/tmp" na przełączniku.
## Polecenie
x509 polecenie może mieć różne argumenty w różnych wersjach FOS, ale podmiot zabezpieczeń jest taki sam.
10. Wpisz exit, aby wyjść z powłoki openssl.
OpenSSL>
OpenSSL> exit
switch_55:FID55:root>
11. Aby sprawdzić, czy plik znajduje się w folderze /tmp katalog;
switch_55:FID55:root>
switch_55:FID55:root> pwd
/etc/fabos/certs/sw0
switch_55:FID55:root>
switch_55:FID55:root> ls /tmp | grep pem
.__condbmm.0 pem_filename.pem
switch_55:FID55:root>
12. Zaimportuj plik PEM za pomocą protokołu bezpiecznego kopiowania (SCP) z folderu tmp i włącz protokół HTTPS.
switch_55:FID55:root>
switch_55:FID55:root> seccertutil import -config swcert -enable https
Select protocol [ftp or scp]: scp
Enter IP address: localhost
Enter remote directory: /tmp
Enter certificate name (must have ".crt" or ".cer" ".pem" or ".psk" suffix):pem_filename.pem
Enter Login Name: root
root@localhost's password:
Success: imported certificate [192.yyy.zz.xx2.pem].
Certificate file in configuration has been updated.
Secure http has been enabled.
switch_55:FID55:root>
Przetestuj połączenie HTTPS z przełącznikiem za pomocą programu Internet Explorer.
Další informace
Connectrix Brocade serii B: Włączanie dostępu do interfejsu graficznego narzędzi internetowych HTTPS w przełącznikach Brocade
Czas trwania: 00:07:08 (gg:mm:ss)
Jeśli to możliwe, ustawienia języka napisów kodowanych można wybrać za pomocą ikony CC w tym odtwarzaczu wideo.