Selbstsigniertes Zertifikat auf Brocade Switch erstellen
Moin,
wir haben mittlerweile diverse Brocade ICX64xx / ICX72xx Switche im Einsatz, die nach und nach die alten Dell Powerconnect Switche ablösen. Jetzt bin ich dabei, für alle Switche selbstsignierte Zertifikate zu erstellen und scheitere erstmal krachend, da ich nicht weiß, was ich da genau machen muss (und man mich mit dem Thema Zertifikate auch jagen kann
). Der Brocade Support, wenn auch sonst sehr hilfreich, ist in diesem Falle leider recht unbrauchbar, da kommen immer nur winzige Bröckchen an Infos. Dies machen, das machen. Ja, äh, und wie?
Unsere Umgebung: Windows Domäne mit eigener CA auf Server 2008R2, Switche wie beschrieben. Der SSL-Zugriff ist momentan über selbstsignierte Zertifikate von Brocade "abgesichert".
Alternativ könnte ich diese Zertifikate auch als vertrauenswürdig in die CA importieren?
Was ich bisher herausgefunden / gemacht habe:
- Im IIS-Manager der CA einen Request erstellt.
- Die Anforderung in der CA abgeschlossen und ein Zertifikat erstellt.
- Zertifikat im Switch importiert: (config)#ip ssl certificate-data-file tftp TFTP-SRV ZERTIFIKAT.cer
Auf den letzten Befehl kommt am Switch die Meldung: Download RSA private key file to create the certificate.
Wo kriege ich diesen Key her? Muss der an der CA erstellt werden? Wenn ja, wo sehe ich den dort? Wenn ich an der CA das neu erstellte Zertifikat importiere (Vertrauenswürdige Stammzertifizierungsstellen), kann ich es dort trotzdem nicht sehen.
Gruß
wir haben mittlerweile diverse Brocade ICX64xx / ICX72xx Switche im Einsatz, die nach und nach die alten Dell Powerconnect Switche ablösen. Jetzt bin ich dabei, für alle Switche selbstsignierte Zertifikate zu erstellen und scheitere erstmal krachend, da ich nicht weiß, was ich da genau machen muss (und man mich mit dem Thema Zertifikate auch jagen kann
Unsere Umgebung: Windows Domäne mit eigener CA auf Server 2008R2, Switche wie beschrieben. Der SSL-Zugriff ist momentan über selbstsignierte Zertifikate von Brocade "abgesichert".
Alternativ könnte ich diese Zertifikate auch als vertrauenswürdig in die CA importieren?
Was ich bisher herausgefunden / gemacht habe:
- Im IIS-Manager der CA einen Request erstellt.
- Die Anforderung in der CA abgeschlossen und ein Zertifikat erstellt.
- Zertifikat im Switch importiert: (config)#ip ssl certificate-data-file tftp TFTP-SRV ZERTIFIKAT.cer
Auf den letzten Befehl kommt am Switch die Meldung: Download RSA private key file to create the certificate.
Wo kriege ich diesen Key her? Muss der an der CA erstellt werden? Wenn ja, wo sehe ich den dort? Wenn ich an der CA das neu erstellte Zertifikat importiere (Vertrauenswürdige Stammzertifizierungsstellen), kann ich es dort trotzdem nicht sehen.
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 329745
Url: https://administrator.de/forum/selbstsigniertes-zertifikat-auf-brocade-switch-erstellen-329745.html
Ausgedruckt am: 03.04.2025 um 01:04 Uhr
10 Kommentare
Neuester Kommentar
Mmmhhh, eigentlich ist das nicht schwer.
Key Datei erstellen und auf den Flash Speicher kopieren:
http://www.brocade.com/content/html/en/configuration-guide/fastiron-080 ...
bzw.
http://www.brocade.com/content/html/en/configuration-guide/fastiron-080 ...
AAA Authentication auf local setzen und das wars:
http://www.brocade.com/content/html/en/configuration-guide/fastiron-080 ...
Lesenswert dazu auch:
https://community.brocade.com/dtscp75322/attachments/dtscp75322/ethernet ...
Die selbstgenerierten Keys wirst du vermutlich wieder löschen müssen wenn du den Keyfile auf den Switch geflasht hast.
Key Datei erstellen und auf den Flash Speicher kopieren:
http://www.brocade.com/content/html/en/configuration-guide/fastiron-080 ...
bzw.
http://www.brocade.com/content/html/en/configuration-guide/fastiron-080 ...
AAA Authentication auf local setzen und das wars:
http://www.brocade.com/content/html/en/configuration-guide/fastiron-080 ...
Lesenswert dazu auch:
https://community.brocade.com/dtscp75322/attachments/dtscp75322/ethernet ...
Die selbstgenerierten Keys wirst du vermutlich wieder löschen müssen wenn du den Keyfile auf den Switch geflasht hast.
Ich habe das bis jetzt noch nicht mit einem Windows gemacht sondern immer ssh-keygen oder das PuTTY Tool puttygen.exe benutzt.
Damit ist es eigentlich recht einfach und schnell gemacht.
ssh-keygen oder puttygen erzeugen immer zwei Schlüsseldateien, einem privaten und einem öffentlichen Teil. Der private verbleibt auf dem Rechner, der die Verbindungen aufbaut.
Der öffentliche kommt auf den Switch oder z.B. bei einem Linux Host in die .authorized_keys Datei auf dem Rechner.
Bei Linux recht es die /etc/ssh/ sshd_config zu editieren und das Anmelden per Passwort ganz abzuschalten: PasswordAuthentication no und Challenge- ResponseAuthentication no setzen in der Datei.
Ein Linux SSH-Server lässt dann nur noch Benutzer rein, die einen SSH- Schlüssel vorweisen können, der in einer .authorized_keys-Datei hinterlegt ist wie oben beschrieben.
Das ist im Switch alles schon per Default aktiviert. Sowie der Schlüssel auf dem internen Flash kopiert ist prüft er dagegen.
Das hat bis jetzt bei Cisco, Brocade, Extreme und sogar Billigheime HP funktioniert
Damit ist es eigentlich recht einfach und schnell gemacht.
ssh-keygen oder puttygen erzeugen immer zwei Schlüsseldateien, einem privaten und einem öffentlichen Teil. Der private verbleibt auf dem Rechner, der die Verbindungen aufbaut.
Der öffentliche kommt auf den Switch oder z.B. bei einem Linux Host in die .authorized_keys Datei auf dem Rechner.
Bei Linux recht es die /etc/ssh/ sshd_config zu editieren und das Anmelden per Passwort ganz abzuschalten: PasswordAuthentication no und Challenge- ResponseAuthentication no setzen in der Datei.
Ein Linux SSH-Server lässt dann nur noch Benutzer rein, die einen SSH- Schlüssel vorweisen können, der in einer .authorized_keys-Datei hinterlegt ist wie oben beschrieben.
Das ist im Switch alles schon per Default aktiviert. Sowie der Schlüssel auf dem internen Flash kopiert ist prüft er dagegen.
Das hat bis jetzt bei Cisco, Brocade, Extreme und sogar Billigheime HP funktioniert
Ansonsten würde ich direkt auf dem Switch ein Zertifikat erstellen und das dann in die CA exportieren,
Nein, das wäre ja komplett der falsche Weg !Du hast es ja richtig gemacht. Mit dem CA die Keys erzeugt. Der private bleibt auf dem Rechner oder wird via Windows AD an die Clients verteilt und der öffentliche gehört via TFTP kopiert aufs lokale Flash aller deiner Switches.
Fertig....
Nichts anderes ist ja oben gemacht nur das das keypaar eben mit einer anderen SW erstellt wurde.
Den Switch schaltest du dann im AAA auf login local und das wars.
Hat hier immer funktioniert.
Aber setz dich in Verbindung mit deinem lokalen Brocade SE in der Region, der kann dir in jedem Falle auch mit internen Tutorials helfen !
Funktionieren tut das ganz sicher.
Mmmhhh...das sieht soweit alles sehr schlüssig aus und wäre auch der richtige Weg.
Es sieht aber final so aus als ob der Switch das exportierte Key Format nicht versteht. Wie gesagt ich hatte das immer mit PuTTYgen probiert und da klappte es.
Vielleicht wäre das parallel nochmal einen Test wert nur um zu sehen ob er das Format lesen kann beim Einbinden.
Was ich aber generell nicht verstehe ist warum du den privaten Schlüssel auf dem Switch installierst. Das dürfte eigentlich niemals so sein !
Das Vorgehen ist ja exakt so wie beim SSH Zugriff mit Key bei Linux. Auf dem Device selber (Linux Host, Switch, Router etc.) auf das zugegriffen wird ist immer nur der öffentliche Schlüssel, niemals aber der Private. Ich habe von PuTTYgen immer nur den öffentlichen importiert.
Der Private bleibt einzig auf dem Rechner mit dem man zugreift.
Das ist bei dir etwas verwirrend und ggf. liegt da der Fehler ?
Wenn es das nicht ist solltest du in jedem Falle auch parallel mal einen Support Case in deren TAC eröffnen. Support ist ja beim Switch mit dabei
Es sieht aber final so aus als ob der Switch das exportierte Key Format nicht versteht. Wie gesagt ich hatte das immer mit PuTTYgen probiert und da klappte es.
Vielleicht wäre das parallel nochmal einen Test wert nur um zu sehen ob er das Format lesen kann beim Einbinden.
Was ich aber generell nicht verstehe ist warum du den privaten Schlüssel auf dem Switch installierst. Das dürfte eigentlich niemals so sein !
Das Vorgehen ist ja exakt so wie beim SSH Zugriff mit Key bei Linux. Auf dem Device selber (Linux Host, Switch, Router etc.) auf das zugegriffen wird ist immer nur der öffentliche Schlüssel, niemals aber der Private. Ich habe von PuTTYgen immer nur den öffentlichen importiert.
Der Private bleibt einzig auf dem Rechner mit dem man zugreift.
Das ist bei dir etwas verwirrend und ggf. liegt da der Fehler ?
Wenn es das nicht ist solltest du in jedem Falle auch parallel mal einen Support Case in deren TAC eröffnen. Support ist ja beim Switch mit dabei