首先生成私钥和证书请求:
openssl req -new -newkey rsa:2048 -nodes -keyout key.pem -out req.pem
将req.pem发给CA,CA将返回证书文件cert.cer。
将私钥和证书合并成PKCS12并转换成pem文件:
openssl pkcs12 -export -in cert.pem -inkey key.pem -out cert.p12 -clcerts
openssl pkcs12 -in cert.p12 -out cert.pem
把这个cert.pem文件放到一个TFTP上,登陆WLC,选择MANAGEMENT – HTTP,勾选Download SSL Certificate,填入TFTP相关信息、证书文件路径和密码,点击Apply。点击Save And Reboot保存设置并重启WLC以便使新的证书生效。
运行C:\PROGRA~1\WCS\bin>keyadmin -newdn -csr genkey c:\wcs.csr填写相关信息生成证书请求文件,将CSR文件发给CA,从CA获取证书文件放在c:\wcs.cer下,运行C:\Program Files\WCS\bin>keyadmin importsignedcert c:\certnew.cer导入证书。或者在其它地方生成私钥和CSR并取得证书后,使用keyadmin importkey [keyFileName] [certFileName]一起导入私钥和证书。重启WCS新证书即可生效。
首先生成私钥和证书请求:
openssl genrsa -des3 -out ssl.key 2048
openssl req -new -key ssl.key -out ssl.csr
将ssl.csr发给CA,CA将返回证书文件ssl.cer。
将私钥和证书合并成PKCS12文件,chain.cer是证书链文件,所有的证书链必须都放在这个文件里:
openssl pkcs12 -export -inkey ssl.key -in ssl.cer -certfile chain.cer -out ssl.p12
进入ASDM – Configuration – Device Management – Certificate Management – Identity Cerificates,点Add,给这套证书取一个名字填入Trustpoint Name,选择Import the identity certificate from a file:,导入刚刚生成的ssl.p12并输入密码。
或者也可以选择Add a new identity certificate:,用ASA生成私钥和证书请求,这样就不需要用上面的openssl了。Key Pair为私钥,ASA默认为1024,建议点击New新生成一个2048位的私钥,填写相关信息用新的私钥生成一个证书请求文件,将这个csr文件发给CA,CA返回证书文件Install进去就好了。
完成以上步骤就已经导入了新的证书,下面还需要将该证书指定给某一个端口。在Device Management – Advanced – SSL Settings – Certificates,将刚刚导入证书的Trustpoint Name指定给需要的Interface即可。好了现在在登录SSL VPN就发现是新的证书了。
SSH到MARS后执行sslcert可重新产生ssl证书,CN必须输入MARS的域名或者IP,其它的都无所谓,这样再访问MARS的时候将证书安装到“受信任的根证书颁发机构”中,则以后访问MARS的时候就不会出现安全警告了。这样的证书是自签名的,如果想用其它CA来签名证书的话,估计只能用其它系统挂载MARS硬盘去修改/opt/janus/jboss/bin/ssl/的文件了。