Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Remplacer le certificat SSL sur le serveur Apstra par un certificat signé

Lorsque vous démarrez le serveur Apstra pour la première fois, un certificat auto-signé unique est automatiquement généré et stocké sur le serveur Apstra à l’adresse /etc/aos/nginx.conf.d (nginx.crt est la clé publique du serveur Web et nginx.key est la clé privée). Le certificat est utilisé pour chiffrer le serveur Apstra et l’API REST. Ce n’est pas pour une connectivité interne appareil-serveur. Étant donné que le certificat HTTPS n’est pas conservé lorsque vous sauvegardez le système, vous devez sauvegarder manuellement le etc/aos dossier. Nous vous recommandons de remplacer le certificat SSL par défaut. La gestion des certificats du serveur Web relève de la responsabilité de l’utilisateur final. L’assistance Juniper n’est que du meilleur effort.

  1. Sauvegardez les clés OpenSSL existantes.
  2. Créez une nouvelle clé privée OpenSSL avec la commande openssl intégrée.
    ATTENTION:

    Ne modifiez nginx.crt pas les noms de nginx.key fichiers. Ils sont mentionnés dans nginx.conf. Dans le cadre des mises à niveau de service ultérieures, ces fichiers peuvent être remplacés, de sorte que les noms de fichiers doivent être prévisibles.

    De plus, ne modifiez pas la configuration dans , car ce fichier peut être remplacé lors de la nginx.confmise à niveau du serveur Apstra et toutes les modifications que vous apportez seront ignorées.

  3. Créez une demande de signature de certificat. Si vous souhaitez créer un certificat SSL signé avec un autre nom subjectif (SAN) pour votre service HTTPS de serveur Apstra, vous devez créer manuellement un modèle OpenSSL. Pour plus de détails, consultez l’article KB37299 de la base de connaissances sur l’assistance Juniper.
    ATTENTION:

    Si vous avez créé des fichiers de configuration OpenSSL personnalisés pour les demandes de certificats avancés, ne les laissez pas dans le dossier de configuration Nginx. Au démarrage, Nginx tentera de les charger (* .conf), provoquant une défaillance du service.

  4. Soumettez votre demande de signature de certificat (nginx.csr) à votre autorité de certification. Les étapes requises n’entrent pas dans le cadre du présent document ; Les instructions de l’autorité de certification diffèrent d’une implémentation à l’autre. Tout certificat SSL valide fonctionnera. L’exemple ci-dessous permet de signer automatiquement le certificat.
  5. Vérifiez que les certificats SSL correspondent à : clé privée, clé publique et CSR.
  6. Pour charger le nouveau certificat, redémarrez le conteneur nginx.
  7. Vérifiez que le nouveau certificat se trouve dans votre navigateur Web et que le nouveau nom commun du certificat correspond à « aos-server.apstra.com ».