изменение сертификата веб-интерфейса на WSA
-
Да, можно! У вас есть два варианта: 1. Загрузите демонстрационный сертификат, перейдите в групповую политику, которая применяется ко всем вашим рабочим станциям, и добавьте этот демонстрационный сертификат в «Доверенные корневые центры сертификации» в разделе
«Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Политики открытых ключей». 2. Если у вас уже установлен корневой центр сертификации предприятия (который добавил бы корневой центр сертификации к групповой политике при установке), у вас есть 2 варианта: a. Вы можете использовать этот центр сертификации для выдачи нового сертификата подчиненного центра сертификации и установить этот сертификат на WSA. b. Вы можете взять корневой сертификат из CA и поместить его на WSA. На мой взгляд, «наиболее правильным» вариантом является 2a, за которым следует 1... После развертывания IE и Chrome будут работать нормально, Firefox может по-прежнему использовать собственное хранилище доверенных сертификатов, поэтому пользователи должны будут импортировать его вручную... что делает вариант 2a более привлекательным, если вы выдаете сертификаты другим внутренним веб-сайтам... Для ясности: WSA генерирует новый сертификат для каждого посещаемого вами HTTPs-сайта, подписанный сертификатом, который установлен на нем, поэтому, чтобы ваш браузер доверял этому новому сертификату, он должен доверять установленному сертификату как корневому сертификату. -
Где я могу это сделать? Я уже запросил сертификат у нашего внутреннего центра сертификации и выдал его WSA через страницу «Службы безопасности > HTTPS-прокси». Но WSA по-прежнему использует демонстрационный сертификат, когда я пытаюсь войти в устройство для его управления. P.S. Я попробовал загрузить сертификат и вручную установить его на своем компьютере в хранилище «Trusted Root CA», но при попытке войти в устройство по-прежнему получаю эту ошибку.
-
Вот и все, спасибо! Это указано в какой-нибудь документации? Клянусь, я прочитал все руководства по WSA и нигде не видел информации об использовании CLI и этой команды для замены сертификата для входа в веб-интерфейс.
-
Это описано в разделе CLI руководства пользователя, но не очень понятно...
-
СПАСИБО!
-
- Если мы приобретем предложенный сертификат, повлияет ли это на веб-связь с учетом старых браузеров и ОС? 2) Будет ли один и тот же сертификат использоваться для веб-управления и прокси-связи? 3) Будут ли все упомянутые/выделенные уязвимости устранены после внедрения сертификата?
-
Вы имеете в виду сертификат для интерфейса управления? 1. ?? 2. Нет, это никогда не бывает. Это всегда разные сертификаты. 3. Единственное, что здесь рассматривалось, — это интерфейс управления.
-
Я изменил сертификат интерфейса HTTPS и выполнил настройку через CLI -> certconfig. Я перезагрузил устройство, но при входе на веб-страницу по-прежнему вижу старый сертификат. В чем может быть причина?
-
Вы за последние 3 года узнали, как «активировать» новый сертификат веб-интерфейса? В разделе «Сеть» > «Управление сертификатами» у меня есть только новый сертификат устройства. Я также запустил certconfig в CLI, чтобы выбрать его. Я перезагрузил систему и, чтобы убедиться, что мой браузер ничего не кэширует, перешел в режим инкогнито, но там по-прежнему был старый просроченный сертификат.
-
Итак, я только что сделал это на своей бета-версии с версией 14.0.1-053 Управление сетью/сертификатами... В разделе «Сертификаты устройства» добавьте сертификат, добавьте все промежуточные и корневые сертификаты, которые ему нужны. Затем в командной строке запустите certconfig . Введите «setup», подтвердите, что хотите установить его, выберите «select», а затем выберите загруженный сертификат. Зафиксируйте его.
-
У меня такая же проблема. Добавил новый сертификат, запустил certconfig в CLI, выбрал новый, загрузил промежуточный сертификат. CLI показал «успешно обновлен сертификат для доступа к управлению HTTPS». Открыл веб-интерфейс в режиме инкогнито, но сертификат по-прежнему старый. AsyncOS 14.5
-
Действия по изменению/настройке
сертификата веб-интерфейса на WSA
: [1] В веб-интерфейсе в
разделе
«Сеть»
(в верхнем меню) [2] Выберите «Управление сертификатами» [3] В разделе
«Сертификаты устройства» выберите «Добавить сертификат...» [4] Выберите тип сертификата (самоподписанный сертификат или импортированный сертификат) [5] [5-1] Если вы выбрали самоподписанный сертификат: [5-1-1]
заполните поля Примечание
. Размер закрытого ключа должен быть в диапазоне от 2048 до 8192. [5-1-2] Нажмите
«Далее» [5-1-3] Вы можете загрузить CSR (
Загрузить запрос на подпись сертификата...
) и подписать его с помощью сервера CA вашей организации, а затем
загрузить
подписанный сертификат и
отправить ИЛИ [5-1-4] Вы можете
отправить,
если текущий самоподписанный сертификат является подходящим [5-2] Если вы выбрали «Импорт сертификата»: [5-2-1]
Импортируйте файл сертификата (требуется формат PKCS#12). [5-2-2] Введите пароль [5-2-3] Нажмите
«Далее» [6]
Зафиксируйте
изменения [7] Перейдите в
CLI [8] Введите
certconfig [9] Введите
SETUP [10]
Введите
Y Примечание
. При изменении сертификата административные пользователи, которые в данный момент вошли в веб-интерфейс пользователя, могут столкнуться с ошибкой подключения и потерять неотправленные изменения. Это произойдет только в том случае, если сертификат еще не помечен браузером как доверенный. [11] Введите
2,
чтобы выбрать из доступного списка сертификатов [12] Введите номер желаемого сертификата [13] если у вас есть промежуточные сертификаты и вы хотите их добавить, введите
Y
, в противном случае введите
N Примечание
: если вам нужно добавить промежуточный сертификат, вы должны вставить промежуточный сертификат в
формате PEM
и
закончить его символом «
.
» (
точка
). [14]
commit
changes +++++++++++++++++++++++++++++++++++++++++++++++++++ ++++ Если этот ответ оказался вам полезным, пожалуйста, оцените его ++++ +++++++++++++++++++++++++++++++++++++++++++++++++++ С уважением,
Амирхоссейн Моджаррад
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++ Если этот ответ оказался вам полезным, пожалуйста, оцените его ++++
+++++++++++++++++++++++++++++++++++++++++++++++++++ -
Я точно выполнил все эти шаги один за другим. Веб-интерфейс по-прежнему использует старый сертификат, срок действия которого истек давным-давно и который даже не отображается в управлении сертификатами. Единственное отличие заключается в шаге
[5-2-1] Импорт файла сертификата (требуется формат PKCS#12). Наш WSA запрашивает сертификат в формате PEM, а не PKCS#12. ![Capture.PNG]
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти