EinführungIn diesem Dokument wird beschrieben, wie Sie ein Zertifikat für die Konfiguration und Verwendung auf einer Cisco Security Management Appliance (SMA) generieren und installieren. Show
VoraussetzungenSie benötigen Zugriff, um den Befehl openssl lokal auszuführen. Sie benötigen Administratorkontozugriff auf Ihre E-Mail Security Appliance (ESA) und Administratorzugriff auf die CLI Ihrer SMA. Folgende Elemente müssen im .pem-Format verfügbar sein:
Erstellen und Installieren eines Zertifikats auf einer SMATipp: Es wird empfohlen, ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle zu signieren. Cisco empfiehlt keine spezifische Zertifizierungsstelle. Abhängig von der CA, mit der Sie arbeiten möchten, können Sie das signierte Zertifikat, den privaten Schlüssel und das Zwischenzertifikat (falls zutreffend) in verschiedenen Formaten zurückerhalten. Recherchieren Sie direkt mit der Zertifizierungsstelle das Format der Datei, die Sie erhalten, bevor Sie das Zertifikat installieren. Derzeit unterstützt SMA das lokale Generieren eines Zertifikats nicht. Stattdessen ist es möglich, ein selbstsigniertes Zertifikat auf der ESA zu generieren. Dies kann als Problemumgehung zum Erstellen eines Zertifikats für SMA verwendet werden, um importiert und konfiguriert zu werden. Erstellen und Exportieren von Zertifikaten aus einer ESA
Konvertieren des exportierten ZertifikatsDas von der ESA erstellte und exportierte Zertifikat ist im PFX-Format. SMA unterstützt nur das .pem-Format für den Import, daher muss dieses Zertifikat konvertiert werden. Um ein Zertifikat aus dem PFX-Format in das .pem-Format zu konvertieren, verwenden Sie das folgende openssl-Befehlsbeispiel: openssl pkcs12 -in mycert.pfx -out mycert.pem -nodes Sie werden aufgefordert, die Passphrase einzugeben, die beim Erstellen des Zertifikats von der ESA verwendet wird. Die im OpenSSL-Befehl erstellte .pem-Datei enthält sowohl das Zertifikat als auch den Schlüssel im .pem-Format. Das Zertifikat kann jetzt für SMA konfiguriert werden. Fahren Sie mit dem Abschnitt "Zertifikat installieren" in diesem Artikel fort. Zertifikat mit OpenSSL erstellenWenn Sie über lokalen Zugriff verfügen, um openssl von Ihrem PC/Ihrer Workstation aus auszuführen, können Sie den folgenden Befehl ausgeben, um das Zertifikat zu generieren und die benötigte .pem-Datei und den privaten Schlüssel in zwei separate Dateien zu speichern: openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout sma_key.pem -out sma_cert.pem Das Zertifikat kann jetzt für SMA konfiguriert werden. Fahren Sie mit dem Abschnitt "Zertifikat installieren" in diesem Artikel fort. Zusätzliche Option zum Exportieren eines Zertifikats von einer ESAAnstatt das Zertifikat wie oben erwähnt von .pfx in .pem zu konvertieren, können Sie eine Konfigurationsdatei speichern, ohne die Kennwörter auf der ESA zu maskieren. Öffnen Sie die gespeicherte ESA .xml-Konfigurationsdatei, und suchen Sie nach dem <certificate>-Tag. Das Zertifikat und der private Schlüssel sind bereits im .pem-Format. Kopieren Sie das Zertifikat und den privaten Schlüssel zum Importieren desselben in die SMA, wie im Abschnitt "Installation des Zertifikats" unten beschrieben. Hinweis: Diese Option ist nur für Appliances gültig, auf denen AsyncOS 11.1 und älter ausgeführt wird, auf denen die Konfigurationsdatei mit der Option 'Nur Passphrase' gespeichert werden kann. Neuere Versionen von AsyncOS bieten nur die Möglichkeit, die Passphrase zu maskieren oder die Passphrase zu verschlüsseln. Beide Optionen verschlüsseln den privaten Schlüssel, der für den Zertifikatsimport oder die Einfügen-Option erforderlich ist. Hinweis: Wenn Sie sich für die Nummer 2 oben, "Download Certificate Signing Request" (Zertifikatsanforderung herunterladen) entschieden haben und das Zertifikat von einer Zertifizierungsstelle signiert haben, müssen Sie das signierte Zertifikat zurück an die ESA importieren, aus der das Zertifikat vor dem Speichern der Konfigurationsdatei erstellt wurde, um eine Kopie des Zertifikats und des privaten Schlüssels zu erstellen. Der Import kann erfolgen, indem Sie auf den Zertifikatsnamen in der ESA-GUI klicken und die Option "Signiertes Zertifikat hochladen" verwenden. Installieren des Zertifikats auf der SMAFür alle Services kann ein einziges Zertifikat verwendet werden, oder es kann ein individuelles Zertifikat für jeden der vier Services verwendet werden:
Melden Sie sich auf dem SMA über die CLI an, und führen Sie die folgenden Schritte aus:
Hinweis: Beenden Sie den Befehl certconfig nicht mit Strg+C, da Ihre Änderungen sofort abgebrochen werden. Beispielmysma.local> certconfig Überprüfen des importierten und konfigurierten Zertifikats für die SMA
Zugehörige Informationen
Wie kann ich ein Zertifikat installieren?Ein Zertifikat installieren. Öffnen Sie auf Ihrem Smartphone die Einstellungen.. Tippen Sie auf Sicherheit Erweiterte Einstellungen. ... . Tippen Sie auf Ein Zertifikat installieren. ... . Tippen Sie links oben auf das Dreistrich-Menü .. Wählen Sie den Speicherort aus, unter dem Sie das Zertifikat installiert haben.. Wie installiere ich ein SSL Zertifikat?Wie Sie ein SSL-Zertifikat von einem anderen Anbieter auf Ihrer Website installieren:. Melden Sie sich in Ihrem cPanel-Konto an.. Klicken Sie auf den SSL/TLS Manager im Abschnitt Sicherheit.. Klicken Sie auf SSL-Websites verwalten unter dem Punkt SSL für Ihre Website installieren und verwalten (HTTPS).. Wo werden Zertifikate installiert?Vorgehensweise. Klicken Sie im Windows-Menü "Start" auf Start > Ausführen und geben Sie mmc ein, um die Microsoft Management Console zu öffnen.. Klicken Sie in der Microsoft Management Console auf Datei > Snap-in hinzufügen/entfernen.. Klicken Sie auf Hinzufügen.. Wählen Sie Zertifikate und klicken Sie auf Hinzufügen.. Wie öffne ich ein Zertifikat?So zeigen Sie Zertifikate für den aktuellen Benutzer an. Wählen Sie im Menü Start den Befehl Ausführen aus, und geben Sie certmgr. msc ein. ... . Um Ihre Zertifikate anzuzeigen, erweitern Sie im linken Bereich unter Zertifikate – Aktueller Benutzer das Verzeichnis für den Zertifikattyp, den Sie anzeigen möchten.. |