Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Apstraサーバー上のSSL証明書を署名済みの証明書に置き換える

Apstraサーバーを初めて起動すると、一意の自己署名証明書が自動的に生成され、Apstraサーバーの次の場所 /etc/aos/nginx.conf.d に保存されます(nginx.crt はWebサーバーの公開鍵で、 nginx.key は秘密鍵です)。この認定書は、ApstraサーバーとREST APIの暗号化に使用されます。内部デバイスとサーバー間の接続用ではありません。システムのバックアップ時に HTTPS 証明書は保持されないため、フォルダーを手動で etc/aos バックアップする必要があります。既定の SSL 証明書を置き換えることをお勧めします。Web サーバー証明書の管理は、エンド ユーザーの責任です。ジュニパーのサポートはベストエフォート型です。

  1. 既存の OpenSSL キーをバックアップします。
  2. 組み込みの openssl コマンドを使用して、新しい OpenSSL 秘密キーを作成します。
    注意:

    ファイル名はnginx.key変更nginx.crtしないでください。これらは でnginx.conf参照されます。その後のサービスアップグレードの一環として、これらのファイルは置き換えられる可能性があるため、ファイル名は予測可能である必要があります。

    また、 の構成 nginx.confは変更しないでください。このファイルはApstraサーバーのアップグレード時に置き換えられる可能性があり、加えた変更は破棄されるからです。

  3. 証明書署名要求を作成します。ApstraサーバーのHTTPSサービス用に、主観的な代替名(SAN)を使用して署名付きSSL証明書を作成する場合は、OpenSSLテンプレートを手動で作成する必要があります。詳細については、ジュニパーサポートナレッジベース記事KB37299を参照してください
    注意:

    高度な証明書要求用にカスタム OpenSSL 構成ファイルを作成した場合は、Nginx 構成フォルダーに残さないでください。起動時に、Nginxはそれら(*.conf)をロードしようとし、サービス障害を引き起こします。

  4. 証明書署名要求 (nginx.csr) を証明機関に送信します。必要な手順は、このドキュメントの範囲外です。CA の命令は実装ごとに異なります。有効なSSL証明書はすべて機能します。次の例は、証明書の自己署名用です。
  5. SSL 証明書 (秘密キー、公開キー、および CSR) が一致していることを確認します。
  6. 新しい証明書をロードするには、nginx コンテナを再起動します。
  7. 新しい証明書が Web ブラウザーにあり、新しい証明書の共通名が 'aos-server.apstra.com' と一致することを確認します。