ALERT: Some images may not load properly within the Knowledge Base Article. If you see a broken image, please right-click and select 'Open image in a new tab'. We apologize for this inconvenience.

How to update ManagementCenter's default certificate.

book

Article ID: 239730

calendar_today

Updated On:

Products

SG-VA Management Center - VA Management Center ProxySG Software - SGOS

Issue/Introduction

ProxySG(SG)のCA Certificateにインポートされている証明書を確認していたところ、
ManagementCenter(MC)のdefault証明書が有効期限切れとなっておりました。
証明書の更新の方法を教えてください。

Environment

Release : ManagementCenter 3.3.1.1

Component : Job

Resolution

作業工程としては、MC側の証明書を更新後、更新した証明書を配布するといった作業となります。

【MC側 証明書更新方法】

1.SSH to MC

2.Enter 'enable' mode

3.Enter 'configure' mode

4.Enter 'ssl' mode

5.既存の証明書のバックアップ BEGIN END CERTIFICATE の情報を保存します。

=========================================================
localhost(config-ssl)# view certificate default
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
=========================================================

6.証明書の再作成

=========================================================
localhost(config-ssl)# regenerate certificate default
Value for 'subject' (<Certificate subject>): ----記述方法は、下記サンプルを御参照ください-----
A certificate already exists for keyring default. Would you like to replace it?
(yes/no) [no]: yes
  ok
============

(<Certificate subject>):の後ろは、以下の例のように記述します。
Value for 'subject' ():C=US,ST=CA,L=Mountain View,O=Blue Coat Management Center,OU=264441XXXX,CN=192.168.1.1

※OU=にはMCのシリアル番号を記述します。
※CN=にはMCのIPアドレスを記載します。
※記載に関して、スペースがある箇所が御座いますが、「"」などを使って囲む必要はありません。
※上記の順番でSubjectを記載すると、現在の証明書と同じ順番で情報がならびます。

 

【SGへの配布方法】

1.GUI access for MC

2.Jobs>Add>Device Management>Trust MC Certificate

3.Targetsより配布したいSGを選択します。

4.Scheduleより「Immediate(直ちに実行)」や日時を設定して、Saveをクリックします。

5.Job Progress画面が表示され、Jobの結果がCompleteとなれば作業完了です。

Additional Information

証明書の再作成には、「regenerate」と「delete/create」の2つの方法が御座います。
コマンドによって、作成される証明書の有効期限が下記のように異なります。

localhost(config-ssl)#regenerate certificate default :有効期限2年

localhost(config-ssl)#delete certificate default
localhost(config-ssl)#create certificate default :有効期限1年

【注意点】
「regenerate certificate default」コマンドは、Default certificateが存在している時に実行可能なコマンドとなっており、
delete certificate defaultを実行した状態で実行すると、「% certificate does not exist」というエラーが発生します。

一度削除してしまった場合は、下記の手順を実施することによって、「regenerate certificate default」を使用可能です。

1.localhost(config-ssl)#create certificate default :有効期限1年の物をまず作成
2.localhost(config-ssl)#regenerate certificate default :有効期限2年の物に書き換え

Attachments