Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Apstra ZTPサーバーGUIのSSL証明書を置き換える

セキュリティ上の理由から、Apstra ZTPのデフォルトの自己署名SSL証明書を、独自の認証局からの証明書に置き換えることをお勧めします。Web サーバー証明書の管理は、エンド ユーザーの責任です。ジュニパーのサポートはベストエフォート型です。

Apstra ZTPサーバーを初めて起動すると、一意の自己署名証明書とキーが自動的に生成され、Apstra ZTP NGINXコンテナに保存されます。この認定書は、Apstra ZTPサーバーの暗号化に使用されます。既定の SSL 証明書を置き換えることをお勧めします。

  1. 組み込みの openssl コマンドを使用して、新しい OpenSSL 秘密キーを作成します。
  2. 証明書署名要求を作成します。Apstra ZTPサーバーのHTTPSサービス用に、主観的な代替名(SAN)を使用して署名付きSSL証明書を作成する場合は、OpenSSLテンプレートを手動で作成する必要があります。詳細については、ジュニパーのサポートナレッジベース記事KB37299を参照してください
  3. 証明書署名要求 (nginx.csr) を認証局 (CA) に送信します。必要な手順は、このドキュメントの範囲外です。CA の命令は実装ごとに異なります。有効なSSL証明書はすべて機能します。次の例は、証明書の自己署名用です。
  4. SSL 証明書 (秘密キー、公開キー、および CSR) が一致していることを確認します。
  5. NGINX SSL構成ファイル/containers_data/nginx/conf.d/ssl.confを編集し、新しいキーファイルと証明書ファイルを指すssl_certificateようにしますssl_certificate_key。内のファイルは/containers_data/nginx、NGINXコンテナ内のディレクトリ内の/dataファイルからマップされていることに注意してください。
  6. 新しい証明書をロードするには、nginx コンテナを再起動します。
  7. 新しい証明書が Web ブラウザーにあり、新しい証明書の共通名 (たとえば、'aos-server.apstra.com') が一致することを確認します。
次のステップ:Apstra ZTPサーバーGUI用の認証情報を設定します。