Configura certificato di terze parti per UCS Central

Introduzione

Questo documento descrive la best practice per configurare un certificato di terze parti nel software Cisco Unified Computing System Central (UCS Central).

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Cisco UCS Central
• CA (Certificate Authority)
• OpenSSL

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• UCS Central 2.0(1q)
• Servizi certificati Microsoft Active Directory
• Windows 11 Pro N
• OpenSSL 3.1.0

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Configurazione

Scaricare la catena di certificati dall'autorità di certificazione.

1. Scaricare la catena di certificati dall'Autorità di certificazione (CA).

Scaricare una catena di certificati dalla CA

2. Impostare la codifica su Base 64 e scaricare la catena di certificati CA.

Impostare la codifica su Base 64 e scaricare la catena di certificati CA

3. La catena di certificati CA è in formato PB7.

Il certificato è in formato PB7

4. Il certificato deve essere convertito in formato PEM con lo strumento OpenSSL. Per verificare se Open SSL è installato in Windows, utilizzare il comando openssl version. 

Controlla se OpenSSL è installato

Nota:l'installazione di OpenSSL non rientra nell'ambito di questo articolo.

5.Se è installato OpenSSL, eseguire il comando openssl pkcs7 -print_certs -in <nome_cert>.p7b -out <nome_cert>.pem per eseguire la conversione. Assicurarsi di utilizzare il percorso in cui è stato salvato il certificato.

Converte il certificato P7B nel formato PEM

Creare il punto attendibile

1. Fare clic su Icona Configurazione di sistema > Profilo di sistema > Trusted Points.  

UCS Central System ProfileUCS Central Trusted Point

2. Fare clic sull'icona + (più) per aggiungere un nuovo Trusted Point. Scrivere un nome e incollarlo nel contenuto del certificato PEM. Fare clic su Salva per applicare le modifiche.

Copia catena di certificati

Creazione dell'anello di chiavi e di CSR

1. Fare clic su Icona Configurazione di sistema > Profilo di sistema > Certificati.

UCS Central System ProfileCertificati UCS Central

2. Fare clic sul pulsante più per aggiungere un nuovo Anello tasti. Scrivere un nome, lasciare il modulo con il valore predefinito (o modificarlo se necessario) e selezionare il punto di accesso sicuro creato in precedenza. Dopo aver impostato questi parametri, passare a Richiesta certificato.

Crea un nuovo anello chiavi

3. Inserire i valori necessari per richiedere un certificato e fare clic su Salva.

Immettere i dettagli per generare un certificato

4. Tornare all'anello di chiavi creato e copiare il certificato generato.

Copia il certificato generato

5. Accedere alla CA e richiedere un certificato.

Richiedi certificato da CA

6. Incollare il certificato generato in UCS Central e nella CA selezionare il modello Server Web e client. Fare clic su Invia per generare il certificato.

Nota: quando si genera una richiesta di certificato in Cisco UCS Central, verificare che il certificato risultante includa gli utilizzi delle chiavi di autenticazione client e server SSL. Se si utilizza una CA dell'organizzazione (Enterprise) di Microsoft Windows, utilizzare il modello Computer o un altro modello appropriato che includa entrambi gli utilizzi principali, se il modello Computer non è disponibile.

Genera un certificato da utilizzare nell'anello chiave creato

7. Convertire il nuovo certificato in PEM utilizzando il comando openssl pkcs7 -print_certs -in <nome_cert>.p7b -out <nome_cert>.pem.

8. Copiare il contenuto del certificato PEM e passare all'anello chiave creato per incollare il contenuto. Selezionare il Trusted Point creato e salvare la configurazione.

Incollare il certificato richiesto nell'anello della chiave

Applicazione dell'anello chiave

1. Passare a Profilo di sistema > Accesso remoto > Gruppo di chiavi, selezionare il gruppo di chiavi creato e fare clic su Salva. UCS Central chiude la sessione corrente.

Selezionare la ghiera di chiave creata

Convalida

1. Attendere che UCS Central sia accessibile e fare clic sul blocco accanto a https://. Il sito è protetto.

UCS Central è sicuro

Risoluzione dei problemi

Verificare se il certificato generato include gli utilizzi delle chiavi di autenticazione client e server SSL.

Quando il certificato richiesto alla CA non include la chiave di autenticazione server e client SSL, viene visualizzato un messaggio di errore che indica "Certificato non valido. Impossibile utilizzare il certificato per l'autenticazione del server TLS. Viene visualizzato il messaggio "verificare le estensioni di utilizzo della chiave".

Errore relativo alle chiavi di autorizzazione del server TLS

Per verificare se il certificato in formato PEM creato dal modello selezionato nella CA dispone degli utilizzi corretti della chiave di autenticazione server, è possibile utilizzare il comando openssl x509 -in <certificato_utente>.pem -text -noout. È necessario visualizzare Autenticazione server Web e Autenticazione client Web nella sezione Utilizzo chiave esteso.

Chiave di autorizzazione server Web e client Web nel certificato richiesto

UCS Central è ancora contrassegnato come sito non sicuro.

Talvolta, dopo la configurazione del certificato di terze parti, la connessione è ancora contrassegnata dal browser.

UCS Central è ancora un sito non protetto

Per verificare se il certificato viene applicato correttamente, verificare che il dispositivo consideri attendibile l'Autorità di certificazione.

Informazioni correlate

• Cisco UCS Central Administration Guide, versione 2.0

• Supporto tecnico Cisco e download