请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 752|回复: 7

【原创】Expressway新功能ACME

[复制链接]
发表于 2019-6-17 09:32:17 | 显示全部楼层 |阅读模式
Expressway从12版本开始,更新了一个非常有用的功能ACME Automatic Certificate Signing,再也不用担心证书问题了,而且证书是免费的。
在说ACME之前,我们先了解下证书和Let's Encrypt

证书的作用是什么?
证书是为了实现TLS加密而使用,特别是公网环境,只有数据加密才能确认数据的安全性。
为什么要使用公有证书?
加密是基于双方的对证书信任进行,使用公有证书是为了不需要双方互导私有证书,如果使用私有证书,为了加密,你必须还要联系对方信任你的私有证书,直接增加了操作成本。

Let's Encrypt是一个于2015年三季度推出的数字证书认证机构,旨在以自动化流程消除手动创建和安装证书的复杂流程,并推广使万维网服务器的加密连接无所不在,为安全网站提供免费的SSL/TLS证书。主要赞助商包括电子前哨基金会、Mozilla基金会、Akamai以及思科。

在12版本之前,也是可以使用Let's Encrypt的证书的,但是由于没有自动化,需要人工3个月一次的证书重签,直接投奔了那些收费证书的怀抱中。


首先看一下我们的环境,2台Expressway做了集群,注意一定要做集群,不然收到的ACME的信息不会转发给另一台。
然后网络要求,需要开放80端口,开放80端口需要向运营商进行备案才可以,这一步已经挡下了不少人。
另外Expressway自身的80端口是否打开对ACME没有影响
接下来我们需要了解自己需要那些SAN(Subject Alternative Name),针对这些SAN配置公网A记录。
其中@基本上客户是不会给你使用的,可以改成使用collab-edge一样能实现MRA功能。
以上准备做好以后,我们可以开始配置ACME了
移到Server certificate上
然后生成CSR
CSR里面主要DNS的SAN记录要和公网A记录保持一样
创建完CSR之后,我们就可以让Let's Encrypt下发证书了
大概10几秒后刷新页面,显示成功
成功后点击Deploy,顺便把Scheduler也打开,这样就可以自动续期证书
自此,一台EXPE的ACME功能部署完成,另一台EXPE也是同样的操作就可以了


以上为全部分享内容,谢谢!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-6-17 09:48:50 | 显示全部楼层
图片打不开,提示:微信公众号不可引用
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-6-17 13:13:27 | 显示全部楼层
zhang00xing00 发表于 2019-6-17 09:48
图片打不开,提示:微信公众号不可引用

我直接把图片上传,现在可以了
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-6-17 14:08:48 | 显示全部楼层
感谢楼主分享,图片OK了,谢谢~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-6-18 11:29:06 | 显示全部楼层
“然后网络要求,需要开放80端口,开放80端口需要向运营商进行备案才可以,这一步已经挡下了不少人。
另外Expressway自身的80端口是否打开对ACME没有影响”
这句话是不是互相矛盾? 开发EXPE的80端口,使得能通过互联网访问80端口才需要备案吧。你说的向运营商备案是指的备案什么地址的80端口?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-6-18 11:31:10 | 显示全部楼层
另外一个问题:
两套Expressway 必须要做集群?每一套单独使用ACME特性不行?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-6-19 09:11:15 | 显示全部楼层
ghostlee 发表于 2019-6-18 11:31
另外一个问题:
两套Expressway 必须要做集群?每一套单独使用ACME特性不行?

可以的
我上面也提到了,域名复用才必须做集群,A收到ACME不然不会转发给B,B的ACME就做不成功
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-6-19 09:17:28 | 显示全部楼层
ghostlee 发表于 2019-6-18 11:29
“然后网络要求,需要开放80端口,开放80端口需要向运营商进行备案才可以,这一步已经挡下了不少人。
另外 ...

开放80端口是指防火墙开放;并不矛盾,官方有解析

指NAT后的地址备案

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-9-19 15:19 , Processed in 0.103402 second(s), 53 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表