Connectrix Brocade серии B. Как включить доступ к пользовательскому интерфейсу веб-инструментов через HTTPS на коммутаторах Brocade с самозаверяющими сертификатами в Fabric OS версии 8.0.x и более ранних.
Shrnutí: Как включить доступ к пользовательскому интерфейсу веб-инструментов через HTTPS на коммутаторах Brocade с самозаверяющими сертификатами в Fabric OS версии 8.0.x и более ранних.
Příznaky
Доступ по протоколу HTTPS в пользовательском интерфейсе веб-инструментов можно активировать только с помощью правильного сертификата.
Вместо получения официального сертификата от источника сертификатов (CA) или других компаний можно создать самозаверяющий сертификат для внутреннего использования.
Есть две проблемы с более высоким кодом.
1. Как описано в статье , существует ошибка, которая не позволяет использовать функции экспорта и импорта в Fabric OS 8.1.x.
2. В коде 8.2.x команда secertutil устарела и заменяется с помощью команды seccertmgmt. Инструкции по настройке https в коммутаторах с Fabric OS 8.1.x и выше см. в статье:
Connectrix Brocade серии B. Как включить доступ к пользовательскому интерфейсу веб-инструментов через HTTPS на коммутаторах Brocade с самозаверяющими сертификатами в Fabric OS версии 8.1.x и более поздних версиях.
Чтобы упростить процесс, используйте secertutil с FOS 8.0.x и ниже и secertmgmt в Fabric OS 8.1.2x и более поздних версиях.
Пояснения к secertmgmt в Fabric OS 8.1.x и более поздних версиях см. статью:
«Как включить доступ к пользовательскому интерфейсу веб-инструментов через HTTPS на коммутаторах Brocade с самозаверяющими сертификатами в Fabric OS версии 8.1.x и более поздних версиях».
Příčina
Řešení
b. Мы можем использовать стороннюю программу OpenSSL, установленную на Windows, например OpenSSL light, версия 1.0.2 32 bit от Shining Light Productions.
c. Создайте закрытый ключ, войдя в коммутатор в качестве пользователя root и используя встроенный двоичный файл OpenSSL.
В этом примере мы используем самое простое решение и генерируем ключ на коммутаторе, для которого требуется доступ пользователя root.
Оба файла находятся в каталоге: /etc/fabos/certs/sw0
Для этого требуется доступ пользователя ROOT, рекомендуется ВНИМАНИЕ, так как неправильное использование прав доступа пользователя root может привести к выходу коммутатора из строя.
Полный пример:
1. Войдите в коммутатор как пользователь root и измените каталог:
switch_55:FID55:root>
Changed directory to /etc/fabos/certs/sw0 :
switch_55:FID55:root>
switch_55:FID55:root> cd /etc/fabos/certs/sw0
2. Убедитесь, что вы находитесь в правильном каталоге:
switch_55:FID55:root> pwd
/etc/fabos/certs/sw0
switch_55:FID55:root>
3. Проверьте, есть ли что-нибудь в каталоге:
switch_55:FID55:root> ls
switch_55:FID55:root>
If there are, for example old CSR and pen files, they can be removed, if needed, with the rm <filename> command.
4. Сгенерируйте пару открытый и закрытый ключи в интерактивном режиме:
switch_55:FID55:root>
switch_55:FID55:root> seccertutil genkey
При создании новой пары ключей автоматически выполняется следующее:
1. Удалите все существующие файлы CSR.
2. Удалите все существующие сертификаты.
3. Сбросьте имя файла сертификата на none.
4. Отключите защищенные протоколы.
Continue (yes, y, no, n): [no] y
Select key size [1024 or 2048]: 2048
Generating new rsa public/private key pair
Done.
switch_55:FID55:root>
5. Проверьте, есть ли что-нибудь в каталоге:
switch_55:FID55:root>
switch_55:FID55:root> ls
pvt_key
switch_55:FID55:root>
6. Сгенерируйте файл CSR в интерактивном режиме:
switch_55:FID55:root>
switch_55:FID55:root> seccertutil gencsr
Input hash type (sha1 or sha256): sha1
Country Name (2 letter code, eg, US):US
State or Province Name (full name, eg, California):California
Locality Name (eg, city name):San Jose
Organization Name (eg, company name):Brocade
Organizational Unit Name (eg, department name):IT
Common Name (Fully qualified Domain Name, or IP address):192.yyy.zz.xx1 (IP address of the switch)
Generating CSR, file name is: CSR_filename.csr
Done.
switch_55:FID55:root>
7. Проверьте, создан ли файл и находится ли он в каталоге:
switch_55:FID55:root>
switch_55:FID55:root> ls
CSR_filename.csr pvt_key
switch_55:FID55:root>
8. Open openssl оболочка:
switch_55:FID55:root>
switch_55:FID55:root> openssl
OpenSSL>
9. Создайте самозаверяющий ключ и модуль PEM.
OpenSSL> x509 -req -days 999 -sha1 -in /etc/fabos/certs/sw0/CSR_filename.csr -signkey /etc/fabos/certs/sw0/pvt_key -out /tmp/pem_filename.pem
Signature ok
subject=/C=US/ST=California/L=San Jose/O=Brocade/OU=IT/CN=192.yyy.zz.xx1
Getting Private key
OpenSSL>
## В результате создается файл в каталоге «
/tmp" на коммутаторе.
## Переменная
x509 в разных версиях FOS может иметь разные аргументы, но основной элемент один и тот же.
10. Введите exit, чтобы выйти из оболочки openssl.
OpenSSL>
OpenSSL> exit
switch_55:FID55:root>
11. Чтобы проверить, находится ли файл в папке /tmp каталог;
switch_55:FID55:root>
switch_55:FID55:root> pwd
/etc/fabos/certs/sw0
switch_55:FID55:root>
switch_55:FID55:root> ls /tmp | grep pem
.__condbmm.0 pem_filename.pem
switch_55:FID55:root>
12. Импортируйте файл PEM с помощью протокола SCP (Secure Copy Protocol) из tmp и включите протокол HTTPS.
switch_55:FID55:root>
switch_55:FID55:root> seccertutil import -config swcert -enable https
Select protocol [ftp or scp]: scp
Enter IP address: localhost
Enter remote directory: /tmp
Enter certificate name (must have ".crt" or ".cer" ".pem" or ".psk" suffix):pem_filename.pem
Enter Login Name: root
root@localhost's password:
Success: imported certificate [192.yyy.zz.xx2.pem].
Certificate file in configuration has been updated.
Secure http has been enabled.
switch_55:FID55:root>
Проверьте HTTPS-подключение к коммутатору с помощью Internet Explorer.
Další informace
Connectrix Brocade серии B. Как включить доступ к графическому интерфейсу пользователя WebTools через HTTPS на коммутаторах Brocade
Продолжительность: 00:07:08 (чч:мм:сс)При
наличии языковых настроек скрытых субтитров можно выбрать с помощью значка CC в этом видеопроигрывателе.