Cisco Cisco AMP Threat Grid 5500 Appliance Administrator's Guide
思科
AMP Threat Grid 设备管理员指南
如何将
ESA/WSA 设备连接到 THREAT GRID 设备
21
方法
2:手动替换 SSL 证书
如果您的组织内已有商业或公司
SSL 证书就位,您可以使用该证书为 TGA 生成新的 SSL 证书,在 ESA/WSA
设备上使用
CA 证书。
仅在您的现场尚无
SSL 证书基础设施,并且您希望手动生成新的 SSL 证书时,以下信息才适用。
1.
生成您自己的
SSL 证书 - 使用开放 SSL 的示例。
以下示例说明了为“
Acme Company”生成新的自签 SSL 证书的命令。该示例使用 OpenSSL,这是一个用
于创建和管理
OpenSSL 证书、密钥和其他文件的标准开源 SSL 工具:
注意:
OpenSSL 不是思科产品,思科不对其提供技术支持。请在网络上搜索有关使用 OpenSSL 的更多信息。
思科提供
思科
SSL 这个 SSL 库用于生成 SSL 证书。
openssl req -x509 -days 3650 -newkey rsa:4096 -keyout
tgapp.key -nodes -out tgapp.cert -subj "/C=US/ST=New
York/L=Brooklyn/O=Acme Co/CN=tgapp.acmeco.com"
■
openssl:OpenSSL。
■
req:指定我们希望使用 X.509 证书签名请求 (CSR) 管理。“X.509”是公钥基础设施标准,SSL 和 TLS
使用该标准进行密钥和证书管理。我们希望创建新的
使用该标准进行密钥和证书管理。我们希望创建新的
X.509 证书,因此,我们使用此子命令。
■
-x509:通过告知实用程序我们希望制作自签证书而不是像通常那样生成证签名请求,从而修改先前的子
命令。
命令。
■
-days 3650:此选项设置证书将被视为有效的时间长度。此处我们将其设置为 10 年。
■
-newkey rsa:4096:指定我们希望同时生成新证书和新密钥。我们在前面的步骤中未创建签署证书所需
的密钥,因此,我们需要与证书一起创建它。
的密钥,因此,我们需要与证书一起创建它。
rsa:4096 部分告知制作一个长度为 4096 位的 RSA 密钥。
■
-keyout:此行告知 OpenSSL 将我们创建的已生成的密钥文件放到哪里。
■
-nodes:这将告知 OpenSSL 跳过该选择,以便利用口令来保护证书安全。当服务器启动时,设备需要
能够在无用户干扰的情况下读取文件。口令可以阻止此类情况的发生,因为我们需要在每次重新启动后输
入口令。
能够在无用户干扰的情况下读取文件。口令可以阻止此类情况的发生,因为我们需要在每次重新启动后输
入口令。
■
-out:告知 OpenSSL 将我们创建的证书放到哪里。
■
-subj:示例
C=US:国家/地区。
ST=New York:州。
L=Brooklyn:位置。
O=Acme Co:所有者名称。
CN=tgapp.acmeco.com:请输入 Threat Grid 设备 FQDN(“完全限定域名”)。这包括 Threat Grid
设备(我们的示例中为"
设备(我们的示例中为"
tgapp")的主机名以及附加到末尾的关联域名 (“acmeco.com”)。
重要:您需要至少更改公用名称,以匹配
Threat Grid
设备
CLEAN
接口的
FQDN
。