Обновление доверенного сертификата Cisco ISE
-
Всем привет,
добрый день и приветствия!
Наш промежуточный CA истекает через 60 дней. Кто-то из организации сказал мне, что я должен вместо этого обновить Root. Но когда я проверяю иерархию в Cisco ISE, она показывает «Сертификат действителен». ![renzanjocaparas_0-1771461705418.png] Этот промежуточный сертификат — именно тот, который мы действительно планируем продлить. ![renzanjocaparas_1-1771461733694.png] У меня два вопроса: 1. Он прав? 2. Где я могу экспортировать этот корневой сертификат, чтобы проверить эту цепочку? С уважением!
-
Привет
[, @renzanjo-caparas] Корневой центр сертификации (Root CA) — это центр сертификации, который выдает промежуточные центры сертификации (Intermediate CA). Если истекает срок действия только промежуточных центров сертификации, то корневой центр сертификации заменять не нужно — достаточно сгенерировать новый промежуточный центр сертификации из существующего корневого центра сертификации. Конечно, если срок действия вашего корневого центра сертификации скоро истекает, то вам придется заменить все (корневой + промежуточные). Возможно, это и имелось в виду. Вы можете экспортировать этот корневой центр сертификации из раздела «Доверенные сертификаты ISE». Я обычно использую openssl или XCA для тестирования цепочек сертификатов. Если у вас есть только ПК с Windows, вы также можете импортировать эти сертификаты (корневой и промежуточный) на ПК, а затем щелкнуть по ним — просмотрщик сертификатов Windows очень удобен для проверки цепочек сертификатов CA. -
Привет
[, @Arne Bier]
, Большое спасибо за ваш отзыв. Вы имели в виду экспорт? Будет ли при этом экспортирован и корневой центр сертификации? При экспорте создается файл PEM. Извините, я не очень хорошо разбираюсь в сертификатах. ![renzanjocaparas_0-1771546134221.png]
-
Да, именно этот. Он экспортирует доверенный сертификат (который является публичным сертификатом — без участия частного ключа и т. д.). Вы можете переименовать этот файл в .crt в Windows, а затем щелкнуть по нему — отобразятся сведения о сертификате. Или вы также можете установить его в своем профиле Windows. Я обычно использую для этого openssl.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти