评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
替换CloudMCU系统证书
介绍如何替换CloudMCU的系统证书,包括如何创建安全证书及替换操作。
前提条件
- 内容包括根证书、服务器证书、私钥、私钥密码,前三者分别命名为“root.pem”、“servercert.pem”、“serverkey.pem”,私钥密码需要在导入证书时输入。
说明:
如果获取的证书文件中包含“签名证书(二级根证书)”如“root_CA.pem”,请将根证书“root.pem”内容与签名证书“root_CA.pem”内容合并在一个“.pem”文件中,并将其重新命名为“root.pem”。
- 已开启SSH连接,方法请参见2.a。打开SSH有可能带来安全风险,建议修改完以下配置后,通过相同的步骤将SSH连接修改为不启动状态。
- 已经关闭终端的HTTPS证书校验功能。
背景信息
一般情况下,浏览器会预置业界CA机构的根证书,当企业购买业界CA机构颁发的证书后,用户不需要在浏览器中加载根证书。
- CloudMCU中已预置了安全证书,为了提高安全性,建议企业替换安全证书为业界权威CA颁发的服务器证书和私钥文件,并确保服务器证书和私钥文件不被未授权人员获取。
- 为提高安全性,请定期更新系统证书。
创建安全证书
CloudMCU替换数字证书有两种方法,使用自行生成的证书和使用向官方机构申请的证书。
申请证书时,需要先参考如下步骤制作证书库文件,再用生成的证书请求文件向证书颁发机构申请证书。
说明: 以下步骤中涉及上传文件到服务器的操作,请参考使用PuTTY工具上传软件安装包,涉及下载服务器文件到本地计算机的操作,请参考使用PuTTY工具下载文件。
虚拟机操作系统的用户操作日志默认保存在“$HOME/.bash_history”及“/var/log/messages”文件中。如果用户登录虚拟机后使用带参数的命令行输入敏感信息(例如:用户密码),执行命令后需要手工从操作日志中删除。
- 以普通用户cgpexpert登录CloudMCU控制台,缺省密码为mt2013@HW,输入su - root切换至root用户,缺省密码为cnp200@HW。
- 进入根目录。
cd /
- 执行如下命令生成私钥文件“serverkey.pem”。
其中Huawei@123为私钥的加密密码,具体操作以实际情况为准。
openssl genrsa -aes256 -out serverkey.pem 2048
根据提示输入如下相应的信息。
Enter pass phrase for serverkey.pem: #输入私钥的加密密码Huawei@123。 Verifying - Enter pass phrase for serverkey.pem: #再次输入私钥的加密密码Huawei@123。
- 执行如下命令生成证书请求文件“server.csr”。
这里的私钥密码Huawei@123和前面设置的加密密码保持一致。
openssl req -new -key serverkey.pem -out server.csr -sha256
根据提示输入如下相应的信息。
Enter pass phrase for serverkey.pem: #输入私钥的加密密码Huawei@123。 You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:CN #此处以CN举例,可以根据局点名称自行设置,例如UK。 State or Province Name (full name) [Some-State]:zhejiang #此处以zhejiang举例,可以根据局点名称自行设置,例如beijing。 Locality Name (eg, city) []:hz #此处以hz举例,可以根据局点名称自行设置,例如Lundon。 Organization Name (eg, company) [Internet Widgits Pty Ltd]:huawei #此处以huawei举例,可以根据局点名称自行设置,例如bank。 Organizational Unit Name (eg, section) []:huawei #此处以huawei举例,可以根据局点名称自行设置,例如bank。 Common Name (eg, YOUR name) []:Joy #此处以Joy举例,可自定义。 Email Address []:111111.com #Email地址,此处以111111.com举例。 Please enter the following 'extra' attributes to be sent with your certificate request #证书密码和证书颁发公司名称,这里以Huawei@123和huawei为例。 A challenge password []:Huawei@123 An optional company name []:huawei
- 将证书请求文件“server.csr”发送给证书制作公司申请公钥证书,将获取到的根证书命名为“root.pem”,公钥证书命名为“servercert.pem”。
- 将获取到的“root.pem”、“servercert.pem”、“serverkey.pem”直接压缩成一个zip包。
替换证书
- 登录CloudMCU的Web界面。
- 选择。
进入如图7-14所示的页面。
- 输入“证书密码”,单击“选择文件”并上传zip压缩包,单击“导入”。
- 证书导入完毕后,根据提示重启CloudMCU。
结果验证
当完成如上所有操作之后,可以和SMC及SIP服务器,能够建立TLS连接。
