Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ApstraサーバーのSSL証明書を署名付き証明書に置き換える

Apstraサーバーを初めて起動すると、一意の自己署名証明書が自動的に生成され、 /etc/aos/nginx.conf.d でApstraサーバーに保存されます(nginx.crt はWebサーバーの公開鍵、 nginx.key は秘密鍵です)。証明書は、ApstraサーバーとREST APIの暗号化に使用されます。これは、内部のデバイスとサーバーの接続用ではありません。システムのバックアップ時にHTTPS証明書は保持されないため、 etc/aos フォルダを手動でバックアップする必要があります。デフォルトの SSL 証明を置き換えることをお勧めします。Web サーバー証明書の管理は、エンド ユーザーの責任です。ジュニパーのサポートはベストエフォートのみとなります。

  1. 既存の OpenSSL キーをバックアップします。
  2. 組み込みの openssl コマンドを使用して、新しい OpenSSL 秘密キーを作成します。
    注意:

    nginx.crtファイル名やnginx.keyファイル名は変更しないでください。これらはnginx.confで言及されています。その後のサービス アップグレードの一環として、これらのファイルは置き換えられる可能性があるため、ファイル名は予測可能である必要があります。

    また、このファイルはApstraサーバーのアップグレード中に置き換えられる可能性があり、行った変更は破棄されるため、 nginx.confで設定を変更しないでください。
  3. 証明書署名要求を作成します。ApstraサーバーのHTTPSサービス用に主観的な代替名(SAN)を使用して署名付きSSL 証明を作成する場合は、OpenSSLテンプレートを手動で作成する必要があります。詳細については、ジュニパーサポートナレッジベース記事KB37299をご覧ください。
    注意:

    高度な証明書要求用のカスタム OpenSSL 構成ファイルを作成した場合は、それらを Nginx 構成フォルダーに残さないでください。起動時に、Nginxはそれら(* .conf)をロードしようとし、サービス障害を引き起こします。
  4. 証明書署名要求 (nginx.csr) を認証局に送信します。必要な手順は、このドキュメントの範囲外です。CA 命令は実装ごとに異なります。有効なSSL 証明であれば何でも構いません。以下の例は、証明書に自己署名するためのものです。
  5. SSL証明書が一致していることを確認します:秘密鍵、公開鍵、CSR。
  6. 新しい証明書を読み込むには、nginx コンテナーを再起動します。
  7. 新しい証明書が Web ブラウザーにあること、および新しい証明書の共通名が 'aos-server.apstra.com' と一致することを確認します。