На UCS Managers закончился срок действия самоподписанного сертификата. Решили поставить правильный, подписанный корпоративным ЦС. При создании Trusted Point, при импортировании цепочки корневого и промежуточного сертификата возникла ошибка
Error creating TP. failed to verify certificate chain, error: Failed to split certificate chain

UCS1

У нас 2-х уровнявая система центров сертификации, корневой и промежуточный.
Если импортировать только корневой сертификат, то импорт проходить без проблем и Trusted Point создается.
Помогло решение, найденное на форуме Cisco (ссылка)
Находим сервер с openssl, у меня был freebsd, копируем туда цепочку сертификатов, которую загрузили с веб-сервера корпоративного центра сертификации, пусть будет файл chain.p7b. Далее выполняем команду

openssl pkcs7 -print_certs -in chain.p7b -out chain.crt

На выходи получим файл chain.crt, содержимое которого и надо вставить при создании Trusted Point UCS Manager

Trusted Point создается, далее создаем keyring, потом по документации с сайта Cisco (ссылка)

Для того, чтобы просто обновить самоподписанный сертификат, надо выполнить следующие команды, подключившись по ssh.

UCS-A# scope security
UCS-A /security # scope keyring default
UCS-A /security/keyring # set regenerate yes
UCS-A /security/keyring # commit-buffer

После выполнения последней команды, если вы были подключены через GUI, GUI консоль отвалится. Надо будет подключаться заново.

Литература:

  1. Install Trusted SSL Certificate in Cisco UCS Manager
Tagged with:  

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *