Connectrix Brocade серії B: Як увімкнути доступ до інтерфейсу веб-інструментів HTTPS на комутаторах Brocade із самопідписаними сертифікатами в Fabric OS 8.0.x і нижче.
Shrnutí: Як увімкнути доступ до інтерфейсу веб-інструментів HTTPS на комутаторах Brocade із самопідписаними сертифікатами в Fabric OS 8.0.x і нижче.
Příznaky
Доступ HTTPS до інтерфейсу веб-інструментів можна активувати лише за наявності правильного сертифіката.
Замість того, щоб отримувати офіційний сертифікат від Центру сертифікації (CA) або інших компаній, ви можете створити самопідписаний сертифікат для внутрішнього використання.
Є дві проблеми з вищим кодом.
1. Існує дефект, як описано в статті , який перешкоджає використанню функції експорту та імпорту в Fabric OS 8.1.x.
2. У коді 8.2.x команда secertutil вважається застарілим і замінюється за допомогою команди seccertmgmt. Про те, як встановити https в перемикачах з тканиною OS 8.1.x і вище дивіться статтю:
Connectrix Brocade B-Series: Як увімкнути доступ інтерфейсу веб-інструментів HTTPS на комутаторах Brocade із самопідписаними сертифікатами в Fabric OS 8.1.x і вище.
Щоб було просто, використовуйте secertutil з FOS 8.0.x і нижче та secertmgmt в Fabric OS 8.1.2x і вище.
Для пояснення secertmgmt в Fabric OS 8.1.x і вище дивіться статтю:
"Як включити доступ до інтерфейсу веб-інструментів HTTPS на комутаторах Brocade з самопідписаними сертифікатами в Fabric OS 8.1.x і вище."
Příčina
Řešení
b. Ми можемо використовувати сторонню програму OpenSSL, встановлену на Windows, наприклад OpenSSL light, версія 1.0.2 32 біт від Shining Light Productions.
c. Згенеруйте приватний ключ, увійшовши в комутатор як root і використовуючи вбудований двійковий файл OpenSSL.
У цьому прикладі ми використовуємо найпростіше рішення і генеруємо ключ на перемикачі, який потребує root-доступу користувача.
Обидва файли знаходяться в каталозі: /etc/fabos/certs/sw0
Для цього потрібен доступ користувача ROOT, рекомендується ОБЕРЕЖНО, а неправильне використання root-доступу користувача може зробити перемикач непридатним для використання.
Повний приклад:
1. Увійдіть у перемикач як користувач root і змініть директорію:
switch_55:FID55:root>
Changed directory to /etc/fabos/certs/sw0 :
switch_55:FID55:root>
switch_55:FID55:root> cd /etc/fabos/certs/sw0
2. Перевірте, чи ви перебуваєте в правильному каталозі:
switch_55:FID55:root> pwd
/etc/fabos/certs/sw0
switch_55:FID55:root>
3. Перевірте, чи є щось у каталозі:
switch_55:FID55:root> ls
switch_55:FID55:root>
If there are, for example old CSR and pen files, they can be removed, if needed, with the rm <filename> command.
4. Згенеруйте пару відкритий-закритий ключ в інтерактивному режимі:
switch_55:FID55:root>
switch_55:FID55:root> seccertutil genkey
Генерація нової пари ключів автоматично виконує такі дії:
1. Видаліть усі наявні CSR-файли.
2. Видаліть усі наявні сертифікати.
3. Скиньте ім'я файлу сертифіката до значення «Немає».
4. Вимкніть безпечні протоколи.
Continue (yes, y, no, n): [no] y
Select key size [1024 or 2048]: 2048
Generating new rsa public/private key pair
Done.
switch_55:FID55:root>
5. Перевірте, чи є щось у каталозі:
switch_55:FID55:root>
switch_55:FID55:root> ls
pvt_key
switch_55:FID55:root>
6. Згенеруйте CSR-файл в інтерактивному режимі:
switch_55:FID55:root>
switch_55:FID55:root> seccertutil gencsr
Input hash type (sha1 or sha256): sha1
Country Name (2 letter code, eg, US):US
State or Province Name (full name, eg, California):California
Locality Name (eg, city name):San Jose
Organization Name (eg, company name):Brocade
Organizational Unit Name (eg, department name):IT
Common Name (Fully qualified Domain Name, or IP address):192.yyy.zz.xx1 (IP address of the switch)
Generating CSR, file name is: CSR_filename.csr
Done.
switch_55:FID55:root>
7. Перевірте, чи файл створений і знаходиться в каталозі:
switch_55:FID55:root>
switch_55:FID55:root> ls
CSR_filename.csr pvt_key
switch_55:FID55:root>
8. Відкривати openssl оболонка:
switch_55:FID55:root>
switch_55:FID55:root> openssl
OpenSSL>
9. Згенеруйте самопідписаний ключ і PEM:
OpenSSL> x509 -req -days 999 -sha1 -in /etc/fabos/certs/sw0/CSR_filename.csr -signkey /etc/fabos/certs/sw0/pvt_key -out /tmp/pem_filename.pem
Signature ok
subject=/C=US/ST=California/L=San Jose/O=Brocade/OU=IT/CN=192.yyy.zz.xx1
Getting Private key
OpenSSL>
## Це створює файл у файлі «
/tmp" на перемикачі.
## Об'єкт
x509 команда може мати різні аргументи у різних версіях FOS, але принцип є однаковим.
10. Введіть exit, щоб вийти з відкритої оболонки ssl.
OpenSSL>
OpenSSL> exit
switch_55:FID55:root>
11. Щоб перевірити, чи є файл у файлі /tmp Каталог;
switch_55:FID55:root>
switch_55:FID55:root> pwd
/etc/fabos/certs/sw0
switch_55:FID55:root>
switch_55:FID55:root> ls /tmp | grep pem
.__condbmm.0 pem_filename.pem
switch_55:FID55:root>
12. Імпортуйте PEM-файл за допомогою протоколу безпечного копіювання (SCP) з tmp і увімкніть HTTPS.
switch_55:FID55:root>
switch_55:FID55:root> seccertutil import -config swcert -enable https
Select protocol [ftp or scp]: scp
Enter IP address: localhost
Enter remote directory: /tmp
Enter certificate name (must have ".crt" or ".cer" ".pem" or ".psk" suffix):pem_filename.pem
Enter Login Name: root
root@localhost's password:
Success: imported certificate [192.yyy.zz.xx2.pem].
Certificate file in configuration has been updated.
Secure http has been enabled.
switch_55:FID55:root>
Перевірте підключення HTTPS до комутатора за допомогою Internet Explorer.
Další informace
Connectrix Brocade серії B: Як увімкнути доступ до графічного інтерфейсу HTTPS Webtools на комутаторах Brocade
Тривалість: 00:07:08 (гг:хх:сс)
Якщо доступно, налаштування мови прихованих субтитрів (субтитрів) можна вибрати за допомогою піктограми CC на цьому відеоплеєрі.