Cisco DNAC TLS-Zertifikat erneuern - wie weiter vorgehen

[Enzo1712]

Hallo zusammen,

für unsere DNAC-Appliance ist das TLS-Zertifikat (Server - und Clientauthenifizierung) abgelaufen.

Ich habe wie im Cisco Guide beschrieben ist, per OpenSSL eine CSR erstellt (siehe Guide Punkt Generate a Certificate Request Using OpenSSL),

Diese konnte ich per CMD mit dem Befehl certreq -attrib CertificateTemplate:MeinTemplate -submit beantworten

Das Endergebnis ist ein erfolgreich ausgestelltes Zertifikat in .cer-Format.

Die DNAC-GUI benötigt das Zertifikat laut Guide  in .pem - oder pkcs Format mit der gesamten Certificate-Chain und Private Key. Auch die Web-GUI nimmt nur diese Formate.

Ich habe bereits probiert das .Cer-Zertifikat per OpenSSL in .pem umzuwandeln und als private Key den Key aus der Erstellung der CSR zu nehmen. Wenn ich dann die pem-Datei hochlade erhalte ich dann den Fehler "The common name does not contain a valid IP address or Domain Name" und "the ldap url ldap:///XXX does not contain host name field"

Mir liegt das alte Zertifikat auch in .cer-Format und wenn ich die Felder vergleiche, sind diese nahezu identisch außer dass das alte Zertifikat mehr "Alternative Antragstellernamen" hat.

Kann mir hier jemand weiterhelfen?

Bearbeitet 16. Oktober 2023 von Enzo1712

[SR2021]

Versuch es mal damit:

openssl x509 -inform der -in certificatename.cer -out certificatename.pem

[Gast]

Am 16.10.2023 um 10:04 schrieb Enzo1712:

Mir liegt das alte Zertifikat auch in .cer-Format und wenn ich die Felder vergleiche, sind diese nahezu identisch außer dass das alte Zertifikat mehr "Alternative Antragstellernamen" hat.

Da stimmt der CSR nicht, die "alternativen Antragsteller"  sind sehr relevant.