取消
显示结果 
搜索替代 
您的意思是: 
cancel
3717
查看次数
0
有帮助
7
评论
完全感觉
Spotlight
Spotlight
Expressway从12版本开始,更新了一个非常有用的功能ACME Automatic Certificate Signing,再也不用担心证书问题了,而且证书是免费的。
在说ACME之前,我们先了解下证书和Let's Encrypt

证书的作用是什么?
证书是为了实现TLS加密而使用,特别是公网环境,只有数据加密才能确认数据的安全性。
为什么要使用公有证书?
加密是基于双方的对证书信任进行,使用公有证书是为了不需要双方互导私有证书,如果使用私有证书,为了加密,你必须还要联系对方信任你的私有证书,直接增加了操作成本。

Let's Encrypt是一个于2015年三季度推出的数字证书认证机构,旨在以自动化流程消除手动创建和安装证书的复杂流程,并推广使万维网服务器的加密连接无所不在,为安全网站提供免费的SSL/TLS证书。主要赞助商包括电子前哨基金会、Mozilla基金会、Akamai以及思科。

在12版本之前,也是可以使用Let's Encrypt的证书的,但是由于没有自动化,需要人工3个月一次的证书重签,直接投奔了那些收费证书的怀抱中。


首先看一下我们的环境,2台Expressway做了集群,注意一定要做集群,不然收到的ACME的信息不会转发给另一台。
131015jl2tl8pgqmtpc6tv.png
然后网络要求,需要开放80端口,开放80端口需要向运营商进行备案才可以,这一步已经挡下了不少人。
另外Expressway自身的80端口是否打开对ACME没有影响
131015twai66awirx416wg.png
接下来我们需要了解自己需要那些SAN(Subject Alternative Name),针对这些SAN配置公网A记录。
131016mxh9iiiwbveswsli.png
其中@基本上客户是不会给你使用的,可以改成使用collab-edge一样能实现MRA功能。
以上准备做好以后,我们可以开始配置ACME了
移到Server certificate上
131016xv0392l220hwm3ve.png
131016s8t1qxf1wfxqxv23.png
然后生成CSR
131016wtgl32mblvxbtzeh.png
CSR里面主要DNS的SAN记录要和公网A记录保持一样
131017z6f75qzi7mf57w97.jpg
创建完CSR之后,我们就可以让Let's Encrypt下发证书了
131017qgzxbzyfl4b28p4b.png
大概10几秒后刷新页面,显示成功
131017z0ykej0neq0hexh3.png
成功后点击Deploy,顺便把Scheduler也打开,这样就可以自动续期证书
131224ynng6c34vcggtt32.jpg
自此,一台EXPE的ACME功能部署完成,另一台EXPE也是同样的操作就可以了


以上为全部分享内容,谢谢!

评论
Xingxing Zhang
Spotlight
Spotlight
图片打不开,提示:微信公众号不可引用
完全感觉
Spotlight
Spotlight
zhang00xing00 发表于 2019-6-17 09:48
图片打不开,提示:微信公众号不可引用

我直接把图片上传,现在可以了
one-time
Level 13
Level 13
感谢楼主分享,图片OK了,谢谢~
ghostlee1
Level 1
Level 1
“然后网络要求,需要开放80端口,开放80端口需要向运营商进行备案才可以,这一步已经挡下了不少人。
另外Expressway自身的80端口是否打开对ACME没有影响”
这句话是不是互相矛盾? 开发EXPE的80端口,使得能通过互联网访问80端口才需要备案吧。你说的向运营商备案是指的备案什么地址的80端口?
ghostlee1
Level 1
Level 1
另外一个问题:
两套Expressway 必须要做集群?每一套单独使用ACME特性不行?
完全感觉
Spotlight
Spotlight
ghostlee 发表于 2019-6-18 11:31
另外一个问题:
两套Expressway 必须要做集群?每一套单独使用ACME特性不行?

可以的
我上面也提到了,域名复用才必须做集群,A收到ACME不然不会转发给B,B的ACME就做不成功
完全感觉
Spotlight
Spotlight
ghostlee 发表于 2019-6-18 11:29
“然后网络要求,需要开放80端口,开放80端口需要向运营商进行备案才可以,这一步已经挡下了不少人。
另外 ...

开放80端口是指防火墙开放;并不矛盾,官方有解析
091712kr7vt7csiis1kd7q.png
指NAT后的地址备案
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接