Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ersetzen eines SSL-Zertifikats auf Apstra Server durch Signed One

Wenn Sie den Apstra-Server zum ersten Mal starten, wird automatisch ein eindeutiges selbstsigniertes Zertifikat generiert und auf dem Apstra-Server gespeichert unter /etc/aos/nginx.conf.d (nginx.crt ist der öffentliche Schlüssel für den Webserver und nginx.key ist der private Schlüssel.) Das Zertifikat wird für die Verschlüsselung des Apstra-Servers und der REST-API verwendet. Es ist nicht für interne Geräte-Server-Konnektivität geeignet. Da das HTTPS-Zertifikat beim Sichern des Systems nicht aufbewahrt wird, müssen Sie den etc/aos Ordner manuell sichern. Wir empfehlen, das Standard-SSL-Zertifikat zu ersetzen. Die Verwaltung von Webserverzertifikaten liegt in der Verantwortung des Endbenutzers. Der Support von Juniper ist nur die beste Anstrengung.

  1. Sichern Sie die vorhandenen OpenSSL-Schlüssel.
  2. Erstellen Sie einen neuen privaten OpenSSL-Schlüssel mit dem integrierten befehl openssl.
    VORSICHT:

    Ändern Sie keine nginx.crt Dateinamen. nginx.key Sie werden in nginx.conf. Im Rahmen späterer Service-Upgrades konnten diese Dateien ersetzt werden, sodass die Dateinamen vorhersehbar sein müssen.

    Ändern Sie auch nicht die Konfiguration in nginx.conf, da diese Datei während eines Upgrades des Apstra-Servers ersetzt werden kann und alle von Ihnen vorgenommenen Änderungen verworfen werden.
  3. Erstellen Sie eine Zertifikatssignaturanforderung. Wenn Sie ein signiertes SSL-Zertifikat mit einem subjektiven alternativen Namen (SAN) für Ihren HTTPS-Dienst des Apstra-Servers erstellen möchten, müssen Sie manuell eine OpenSSL-Vorlage erstellen. Weitere Informationen finden Sie in der Juniper Support Knowledge Base im Artikel KB37299.
    VORSICHT:

    Wenn Sie benutzerdefinierte OpenSSL-Konfigurationsdateien für erweiterte Zertifikatsanforderungen erstellt haben, belassen Sie diese nicht im Nginx-Konfigurationsordner. Beim Start versucht Nginx, sie (*.conf) zu laden, was zu einem Serviceausfall führt.
  4. Senden Sie Ihre Certificate Signing Request (nginx.csr) an Ihre Zertifizierungsstelle. Die erforderlichen Schritte sind außerhalb des Anwendungsbereichs dieses Dokuments; Ca-Anweisungen unterscheiden sich von Implementierung zu Implementierung. Jedes gültige SSL-Zertifikat funktioniert. Das folgende Beispiel dient der Selbstsignierung des Zertifikats.
  5. Stellen Sie sicher, dass die SSL-Zertifikate übereinstimmen: privater Schlüssel, öffentlicher Schlüssel und CSR.
  6. Um das neue Zertifikat zu laden, starten Sie den nginx-Container neu.
  7. Bestätigen Sie, dass sich das neue Zertifikat in Ihrem Webbrowser befindet und der neue gemeinsame Zertifikatname mit "aos-server.apstra.com" übereinstimmt.