Verwendung von Let's Encrypt Certificates with Cisco Business Dashboard

Download-Optionen

PDF (269.4 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (89.4 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (75.2 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:25. August 2020

Dokument-ID:1598361565117135

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Ziel

In diesem Dokument wird erläutert, wie Sie ein Let's Encrypt-Zertifikat erhalten, es im Cisco Business Dashboard installieren und die automatische Verlängerung über die Befehlszeilenschnittstelle (CLI) einrichten. Wenn Sie allgemeine Informationen zum Verwalten von Zertifikaten wünschen, lesen Sie den Artikel Verwalten von Zertifikaten im Cisco Business Dashboard.

Der in diesem Dokument beschriebene Prozess wurde in Cisco Business Dashboard Version 2.2.2 und höher automatisiert. Weitere Informationen finden Sie im Abschnitt System > Verwalten von Zertifikaten im Administrationshandbuch.

Einleitung

Let's Encrypt ist eine Zertifizierungsstelle, die der Öffentlichkeit kostenlose DV-Zertifikate (Secure Sockets Layer) über einen automatisierten Prozess zur Verfügung stellt. Let’s Encrypt bietet einen leicht zugänglichen Mechanismus zum Erhalt signierter Zertifikate für Webserver, sodass der Endbenutzer sicher sein kann, dass er auf den richtigen Dienst zugreift. Weitere Informationen finden Sie auf der Let’s Encrypt-Website.

Die Verwendung von Let’s Encrypt-Zertifikaten mit dem Cisco Business Dashboard ist relativ unkompliziert. Obwohl das Cisco Business Dashboard einige spezielle Anforderungen für die Zertifikatinstallation erfüllt, die über die Bereitstellung des Zertifikats für den Webserver hinausgehen, ist es dennoch möglich, die Ausstellung und Installation des Zertifikats mithilfe der bereitgestellten Befehlszeilentools zu automatisieren. Im weiteren Verlauf dieses Dokuments wird die Ausstellung eines Zertifikats und die Automatisierung der Erneuerung des Zertifikats beschrieben.

In diesem Dokument werden HTTP-Herausforderungen zur Überprüfung des Domäneneigentums verwendet. Hierfür muss der Dashboard-Webserver über die Standardports TCP/80 und TCP/443 vom Internet aus erreichbar sein. Wenn der Webserver vom Internet aus nicht erreichbar ist, sollten Sie stattdessen DNS-Herausforderungen verwenden. Weitere Informationen finden Sie unter Let’s Encrypt for Cisco Business Dashboard with DNS.

Schritt 1

Der erste Schritt besteht darin, Software zu erhalten, die das ACME-Protokollzertifikat verwendet. In diesem Beispiel verwenden wir den certbot-Client, aber es gibt viele andere Optionen.

Schritt 2

Damit die Zertifikatverlängerung automatisiert werden kann, muss der certbot-Client auf dem Dashboard installiert sein. Um den certbot-Client auf dem Dashboard-Server zu installieren, verwenden Sie die folgenden Befehle:

Beachten Sie, dass in diesem Artikel die blauen Abschnitte Eingabeaufforderungen und Ausgaben über die CLI sind. Im weißen Text werden Befehle aufgelistet. Grüne Befehle wie dashboard.example.com, pnpserver.example.com und user@example.com sollten durch DNS-Namen ersetzt werden, die für Ihre Umgebung geeignet sind.

cbd:~$sudo apt update cbd:~$sudo apt install software-properties-common cbd:~$sudo add-apt-repository ppa:certbot/certbot cbd:~$sudo apt update cbd:~$sudo apt install certbot

Schritt 3

Als Nächstes muss der Dashboard-Webserver so eingerichtet werden, dass er die Challenge-Dateien hostet, die erforderlich sind, um den Besitz des Hostnamens zu überprüfen. Zu diesem Zweck erstellen wir ein Verzeichnis für diese Dateien und aktualisieren die Webserver-Konfigurationsdatei. Starten Sie dann die Dashboard-Anwendung neu, damit die Änderungen wirksam werden. Verwenden Sie die folgenden Befehle:

cbd:~$sudo mkdir /usr/lib/ciscobusiness/dashboard/www/letsencrypt cbd:~$sudo chmod 755 /usr/lib/ciscobusiness/dashboard/www/letsencrypt CBD:~$sudo bash -c 'cat > /var/lib/ciscobusiness/dashboard/nginx/nginx-loc-letsencrypt.conf' << EOF # Speicherort für Challenge-Dateien erstellt von certbot location /.well-known/acme-challenge { root/usr/lib/ciscobusiness/dashboard/www/letsencrypt; } EOF CBD:~$ cbd:~$sudo chown cbd:cbd /var/lib/ciscobusiness/dashboard/nginx/nginx-loc-letsencrypt.conf cbd:~$sudo chmod 640 /var/lib/ciscobusiness/dashboard/nginx/nginx-loc-letsencrypt.conf cbd:~$cisco-business-dashboard stop cbd:~$cisco-business-dashboard start

Schritt 4

Anfordern eines Zertifikats mit dem folgenden Befehl:

cbd:~$sudo certbot certonly —webroot -w /usr/lib/ciscobusiness/dashboard/www/letsencrypt/ -d dashboard.example.com -d pnpserver.example.com —deploy-hook "cat /etc/letsencrypt/live/dashboard.example.com/fullchain.pem /etc/ssl/certs/DST_Root_CA_X3.pem > /tmp/cbdchain.pem; /usr/bin/cisco-business-dashboard importcert -t pem -k /etc/letsencrypt/live/dashboard.example.com/privkey.pem -c /tmp/cbdchain.pem

Dieser Befehl weist den Let’s Encrypt-Dienst an, den Besitz der Hostnamen zu überprüfen, indem er eine Verbindung mit dem Webdienst herstellt, der auf jedem der Namen gehostet wird. Das bedeutet, dass der Dashboard-Webservice vom Internet aus zugänglich sein und auf den Ports 80 und 443 gehostet werden muss. Der Zugriff auf die Dashboard-Anwendung kann über die Einstellungen für die Zugriffskontrolle auf der Seite System > Platform Settings > Web Server (System > Plattformeinstellungen > Webserver) in der Benutzeroberfläche für die Dashboard-Verwaltung eingeschränkt werden. Weitere Informationen finden Sie im Administrationshandbuch zum Cisco Business Dashboard.

Die Parameter für den Befehl sind aus folgenden Gründen erforderlich:

certonly	Anfordern eines Zertifikats und Herunterladen der Dateien Versuchen Sie nicht, sie zu installieren. Im Fall des Cisco Business Dashboard wird das Zertifikat nicht nur vom Webserver, sondern auch vom PnP-Service und anderen Funktionen verwendet. Daher kann der certbot-Client das Zertifikat nicht automatisch installieren.
—webroot -w ...	Installieren Sie die Challenge-Dateien in dem oben erstellten Verzeichnis, sodass der Zugriff über den Dashboard-Webserver möglich ist.
-d dashboard.example.com -d pnpserver.example.com	Die FQDNs, die in das Zertifikat aufgenommen werden sollen. Der aufgelistete Vorname wird im Feld "Common Name" des Zertifikats und alle Namen im Feld "Subject-Alt-Name" (Betreff-Alt-Name) aufgeführt. Der pnpserver.<domain>-Name ist ein spezieller Name, der von der Plug-and-Play-Funktion im Netzwerk bei der DNS-Erkennung verwendet wird. Weitere Informationen erhalten Sie im Administrationshandbuch zum Cisco Business Dashboard.
—deploy-hook "..."	Verwenden Sie das Befehlszeilendienstprogramm cisco-business-dashboard, um den privaten Schlüssel und die Zertifikatskette, die Sie vom Service Let’s Encrypt erhalten haben, in die Dashboard-Anwendung zu laden, ganz so, als ob die Dateien über die Dashboard-Benutzeroberfläche hochgeladen würden. Das Stammzertifikat, das die Zertifikatskette verankert, wird hier ebenfalls der Zertifikatsdatei hinzugefügt. Dies ist für bestimmte Plattformen erforderlich, die mithilfe von Network Plug and Play bereitgestellt werden.

Schritt 5

Führen Sie den Vorgang zum Erstellen des Zertifikats durch, indem Sie die vom certbot-Client generierten Anweisungen befolgen:

cbd:~$sudo certbot certonly —webroot -w /usr/lib/ciscobusiness/dashboard/www/letsencrypt/ -d dashboard.example.com -d pnpserver.example.com —deploy-hook "cat /etc/letsencrypt/live/dashboard.example.com/fullchain.pem /etc/ssl/certs/DST_Root_CA_X3.pem > /tmp/cbdchain.pem; /usr/bin/cisco-business-dashboard importcert -t pem -k /etc/letsencrypt/live/dashboard.example.com/privkey.pem -c /tmp/cbdchain.pem" Debug-Protokoll in /var/log/letsencrypt/letsencrypt.log speichern Ausgewählte Plugins: Authenticator Webroot, Installer None

Schritt 6

Geben Sie die E-Mail-Adresse oder C zum Abbrechen ein.

Geben Sie die E-Mail-Adresse ein (wird für dringende Verlängerungs- und Sicherheitshinweise verwendet) (Geben Sie "c" ein, um cancel): user@example.com

Schritt 7

Geben Sie A für die Zustimmung oder C für die Stornierung ein.

- - - - - - - - - - - - - - - Lesen Sie die Nutzungsbedingungen unter https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf Sie müssen zur Registrierung beim ACME-Server unter https://acme-v02.api.letsencrypt.org/directory - - - - - - - - - - - - - - - (A)gree/(C)ancel: A

Schritt 8

Geben Sie Y für Ja oder N für Nein ein.

- - - - - - - - - - - - - - - Wären Sie bereit, Ihre E-Mail-Adresse an Electronic Frontier weiterzugeben? Foundation, Gründungspartner des Let's Encrypt-Projekts und der gemeinnützigen Organisation die Certbot entwickelt? Wir möchten Ihnen eine E-Mail über unsere Arbeit schicken Verschlüsseln des Internets, EFF-Nachrichten, Kampagnen und Möglichkeiten zur Unterstützung der digitalen Freiheit. - - - - - - - - - - - - - - - (Y)es/(N)o: Y

Schritt 9

Das Zertifikat wurde ausgestellt und befindet sich im Unterverzeichnis /etc/letsencrypt/live im Dateisystem:

Neues Zertifikat anfordern Die folgenden Herausforderungen werden bewältigt: http-01-Challenge für dashboard.example.com http-01-Challenge für pnpserver.example.com Verwenden Sie den Webroot-Pfad /usr/lib/ciscobusiness/dashboard/www/letsencrypt für alle nicht übereinstimmenden Domänen. Warten auf Überprüfung... Probleme beheben Ausführen des Befehls deploy hook: cat /etc/letsencrypt/live/dashboard.example.com/fullchain.pem /etc/ssl/certs/DST_Root_CA_X3.pem > /tmp/cbdchain.pem; /usr/bin/cisco-business-dashboard importcert -t pem -k /etc/letsencrypt/live/dashboard.example.com/privkey.pem -c /tmp/cbdchain.pem WICHTIGE HINWEISE: Herzlichen Glückwunsch! Ihr Zertifikat und Ihre Kette wurden gespeichert unter: /etc/letsencrypt/live/dashboard.example.com/fullchain.pem Ihre Schlüsseldatei wurde gespeichert unter: /etc/letsencrypt/live/dashboard.example.com/privkey.pem Ihr Zertifikat läuft am 29.10.2020 ab. So erhalten Sie eine neue oder angepasste Version dieses Zertifikats in der Zukunft einfach certbot ausführen erneut. Um *alle* Zertifikate nicht interaktiv zu erneuern, führen Sie "certbot renew" - Ihre Anmeldeinformationen wurden in Ihrem Certbot gespeichert Konfigurationsverzeichnis unter /etc/letsencrypt. Sie sollten eine sichere Sicherung dieses Ordners jetzt durchführen. Dieses Konfigurationsverzeichnis enthält auch Zertifikate und private Schlüssel enthalten, die von Certbot abgerufen wurden, sodass regelmäßige Backups dieses Ordners ist ideal. - Wenn Sie Certbot gefällt, dann überlegen Sie bitte, ob Sie unsere Arbeit unterstützen, indem Sie: Spenden an ISRG / Let's Encrypt: https://letsencrypt.org/donate Spenden an den EFF: https://eff.org/donate-le cbd:~$ sudo ls /etc/letsencrypt/live/dashboard.example.com / cert.pem chain.pem fullchain.pem privkey.pem README CBD:~$

Das Verzeichnis, das die Zertifikate enthält, verfügt über eingeschränkte Berechtigungen, sodass nur der Root-Benutzer die Dateien anzeigen kann. Insbesondere die Datei privkey.pem ist vertraulich, und der Zugriff auf diese Datei sollte ausschließlich autorisierten Personen vorbehalten sein.

Schritt 10

Das Dashboard sollte nun mit dem neuen Zertifikat ausgeführt werden. Wenn Sie die Dashboard-Benutzeroberfläche (UI) in einem Webbrowser öffnen, indem Sie einen der Namen eingeben, die bei der Erstellung des Zertifikats in der Adressleiste angegeben wurden, sollte der Webbrowser angeben, dass die Verbindung vertrauenswürdig und sicher ist.

Beachten Sie, dass von Let’s Encrypt ausgestellte Zertifikate eine relativ kurze Lebensdauer haben - derzeit 90 Tage. Das certbot-Paket für Ubuntu Linux ist so konfiguriert, dass es die Gültigkeit des Zertifikats zweimal täglich überprüft und das Zertifikat erneuert, wenn es bald abläuft. Daher sollten keine Maßnahmen erforderlich sein, um das Zertifikat auf dem neuesten Stand zu halten. Um sicherzustellen, dass die regelmäßigen Überprüfungen ordnungsgemäß durchgeführt werden, warten Sie nach der erstmaligen Erstellung des Zertifikats mindestens zwölf Stunden, und überprüfen Sie dann die certbot-Protokolldatei auf Meldungen wie die folgenden: cbd:~$ sudo tail /var/log/letsencrypt/letsencrypt.log 2020-07-31 16:50:52,783:DEBUG:certbot.main:certbot version: 0.31.0 2020-07-31 16:50:52,784:DEBUG:certbot.main:Arguments: ['-q'] 2020-07-31 16:50:52,785:DEBUG:certbot.main:Entdeckte Plugins: (PluginEntryPoint#manual, PluginEntryPoint#null,PluginEntryPoint#standalone,PluginEntryPoint#webroot) 2020-07-31 16:50:52,793:DEBUG:certbot.log:Root logging level set at 30 2020-07-31 16:50:52,793:INFO:certbot.log:Debug-Protokoll speichern unter /var/log/letsencrypt/letsencrypt.log 2020-07-31 16:50:52,802:DEBUG:certbot.plugins.selection: Angeforderter Authentifizierer <certbot.cli. _Default object at 0x7f1152969240> und installer <certbot.cli. _Standardobjekt bei 0x7f1152969240> 2020-07-31 16:50:52,811:INFO:certbot.renees:Cert noch nicht fällig für Verlängerung 2020-07-31 16:50:52,812:DEBUG:certbot.plugins.selection:Requested Authenticator Webroot und Installationsprogramm Keine 2020-07-31 16:50:52,812:DEBUG:certbot.renees:no renees failure

Nachdem genügend Zeit verstrichen ist, bis das Ablaufdatum des Zertifikats innerhalb von dreißig Tagen liegt, erneuert der certbot-Client das Zertifikat und wendet das aktualisierte Zertifikat automatisch auf die Dashboard-Anwendung an.

Weitere Informationen zur Verwendung des certbot-Clients finden Sie auf der Dokumentationsseite zu certbot.

Revisionsverlauf

Überarbeitung	Veröffentlichungsdatum	Kommentare
1.0	27-Aug-2020	Erstveröffentlichung

War dieses Dokument hilfreich?

Feedback

Cisco kontaktieren

Eine Supportanfrage öffnen
(Erfordert einen Cisco Servicevertrag)

Dieses Dokument gilt für folgende Produkte.

Cisco Business Dashboard