- Konfigurer PKI
- Oplysninger om PKI
- CA'er og digitale certifikater
- Tillidsmodel, tillidspunkter og identitets-CA'ere
- RSA-nøglepar og identitetscertifikater
- Understøttelse af flere betroede CA-programmer
- PKI-tilmeldingssupport
- Manuel tilmelding ved hjælp af Cut-and-Paste
- Understøttelse af flere RSA-nøglepar og -identitet CA
- Peer-certifikatbekræftelse
- Kontrol af tilbagekaldelse af certifikat
- CRL-support
- Import- og eksportsupport til certifikater og tilknyttede nøglepar
- Licenskrav til PKI
- Retningslinjer og begrænsninger for PKI
- Standardindstillinger for PKI
- Konfigurer CA'er og digitale certifikater
- Konfigurer værtsnavnet og IP-domænenavnet
- Genererer et RSA-nøglepar
- Oprettelse af en Trust Point CA tilknytning
- Godkender CA
- Konfigurer metoder til kontrol af tilbagekaldelse af certifikat
- Genererer certifikatanmodninger
- Installation af identitetscertifikater
- Sikre, at tillidspunktskonfigurationer fortsætter på tværs af genstart
- Eksporterer identitetsoplysninger i PKCS 12-format
- Import af identitetsoplysninger i PKCS 12-format
- Konfigurer en CRL
- Slette certifikater fra CA-konfigurationen
- Sletning af RSA-nøglepar fra en Cisco NX-OS-enhed
- Kontrollerer PKI-konfigurationen
- Konfigurationsekse eksempler på PKI
- Konfigurer certifikater på en Cisco NX-OS-enhed
- Downloader et CA-certifikat
- Anmoder om et identitetscertifikat
- Tilbagekaldelse af et certifikat
- Generere og udgive CRL
- Downloader CRL
- Import af CRL
Konfigurer PKI
Dette kapitel indeholder følgende afsnit:
Oplysninger om PKI
Dette afsnit indeholder oplysninger om PKI.
CA'er og digitale certifikater
Certifikatudstedere (CA'er) administrerer certifikatanmodninger og udsteder certifikater til deltagende enheder, såsom værter, netværksenheder eller brugere. CA'erne leverer central styring af nøgle til de deltagende enheder.
Digitale signaturer, baseret på offentlig nøglekryptering, digital godkendelse af enheder og individuelle brugere. I offentlig nøglekryptering, såsom RSA-krypteringssystemet, har hver enhed eller bruger et nøglepar, der indeholder både en privat nøgle og en offentlig nøgle. Den private nøgle er hemmelig og kendes kun af den ejerenhed eller bruger. Alle har dog kendskab til den offentlige nøgle. Alt krypteret med en af tasterne kan dekrypteres med den anden. En signatur dannes, når data krypteres med en afsenders private nøgle. Modtageren verificerer signaturen ved at dekryptere meddelelsen med afsenderens offentlige nøgle. Denne proces afhænger af, at modtageren har en kopi af afsenderens offentlige nøgle og ved, at han eller hun i høj grad ved, at den virkelig tilhører afsenderen og ikke nogen, der ser det som afsender.
Digitale certifikater linker den digitale signatur til afsenderen. Et digitalt certifikat indeholder oplysninger til at identificere en bruger eller enhed, såsom navn, serienummer, virksomhed, afdeling eller IP-adresse. Den indeholder også en kopi af enhedens offentlige nøgle. CA, som signerer certifikatet er en tredjepart, som modtageren udtrykkeligt stoler på til at validere identiteter og oprette digitale certifikater.
For at validere CA'ens underskrift skal modtageren først kende CA's offentlige nøgle. Denne proces håndteres typisk uden for båndet eller via en handling, der udføres ved installation. For eksempel er de fleste webbrowsere konfigureret med de offentlige nøgler til flere CA'er som standard.
Tillidsmodel, tillidspunkter og identitets-CA'ere
PKI-tillidsmodel er hierarkisk med flere konfigurerbare CA'er, der kan oprettes. Du kan konfigurere hver deltagende enhed med en liste over betroede CA'er, så en peer-certifikat, der opnås under udvekslinger af sikkerhedsprotokoler, kan bekræftes, hvis den blev udstedt af en af de lokalt betroede CA'er. Cisco NX-OS-software gemmer lokalt de selv underskrevne rodcertifikat af den betroede CA (eller certifikatkæde for en underordnet CA). Processen til på sikker måde at opnå en CA's rodcertifikat (eller hele kæden i tilfælde af underordnet CA) og gemme den lokalt kaldes CA-godkendelse.
Oplysningerne om en pålidelig CA, som du har konfigureret, kaldes tillidspunktet, og CA'en kaldes i sig selv for et tillidspunkt CA. Disse oplysninger består af et CA-certifikat (eller certifikatkæde i tilfælde af en underordnet CA) og oplysninger om kontrol af tilbagekaldelse af certifikat.
Cisco NX-OS-enheden kan også tilmelde sig et tillidspunkt for at få et identitetscertifikat, der kan tilknyttes et nøglepar. Dette tillidspunkt kaldes for en identitet CA.
RSA-nøglepar og identitetscertifikater
Du kan få et identitetscertifikat ved at generere et eller flere RSA-nøglepar og knytte hvert RSA-nøglepar med et tillidspunkt CA, hvor Cisco NX-OS-enheden har til hensigt at tilmelde sig. Cisco NX-OS-enheden behøver kun én identitet pr. CA, som består af ét nøglepar og ét identitetscertifikat pr. CA.
Cisco NX-OS-softwaren tillader dig at generere RSA-nøglepar med en konfigurerbar nøglestørrelse (eller modulus). Standardnøglestørrelsen er 512. Du kan også konfigurere en RSA-nøgleparmærkat. Standardnøglemærkaten er enheden, helt kvalificeret domænenavn (FQDN).
Følgende liste opsummerer forholdet mellem tillidspunkter, RSA-nøglepar og identitetscertifikater:
Et tillidspunkt svarer til et specifikt CA, som Cisco NX-OS-enheden stoler på til peer-certifikat-bekræftelse for enhver applikation (såsom SSH).
En Cisco NX-OS-enhed kan have mange tillidspunkter, og alle programmer på enheden kan have tillid til et peer-certifikat udstedt af en af tillidspunkts CA'erne.
Et tillidspunkt er ikke begrænset til et specifikt program.
En Cisco NX-OS-enhed tilmelder sig CA, der svarer til tillidspunktet for at få et identitetscertifikat. Du kan tilmelde din enhed med flere tillidspunkter, hvilket betyder, at du kan få et separat identitetscertifikat fra hvert tillidspunkt. Identitetscertifikaterne bruges af applikationer, afhængigt af de formål, der er angivet i certifikatet af den modtagende CA. Formålet med et certifikat er gemt i certifikatet som en certifikatforlængelse.
Når du tilmelder dig med et tillidspunkt, skal du angive et RSA-nøglepar, der skal certificeres. Dette nøglepar skal genereres og tilknyttes tillidspunktet, før tilmeldingsanmodningen oprettes. Tilknytningen mellem tillidspunkt, nøglepar og identitetscertifikat er gyldig, indtil det udtrykkeligt fjernes ved at slette certifikatet, nøgleparret eller tillidspunktet.
Emnenavnet i identitetscertifikatet er navnet helt kvalificeret domænenavn navn på Cisco NX-OS-enheden.
Du kan generere et eller flere RSA-nøglepar på en enhed, og hver kan tilknyttes et eller flere tillidspunkter. Men ikke mere end ét nøglepar kan tilknyttes et tillidspunkt, hvilket betyder, at kun ét identitetscertifikat er tilladt fra et CA.
Hvis Cisco NX-OS-enheden modtager flere identitetscertifikater (hver fra et forskellig CA), er det certifikat, som en applikation vælger at bruge i en sikkerhedsprotokoludveksling med en peer, applikationsspecifik.
Du behøver ikke at udpege et eller flere tillidspunkter for en applikation. Enhver applikation kan bruge ethvert certifikat udstedt af ethvert tillidspunkt, så længe certifikatformålet opfylder applikationskravene.
Du behøver ikke mere end ét identitetscertifikat fra et tillidspunkt eller mere end ét nøglepar for at blive tilknyttet et tillidspunkt. En CA bekræfter kun en given identitet (eller navn) én gang og udsteder ikke flere certifikater med samme navn. Hvis du har brug for mere end ét identitetscertifikat for en CA, og hvis CA tillader flere certifikater med de samme navne, skal du definere et andet tillidspunkt for det samme CA, knytte et andet nøglepar til det og få det bekræftet.
Understøttelse af flere betroede CA-programmer
Cisco NX-OS-enheden kan have tillid til flere CA'er ved at konfigurere flere tillidspunkter og knytte hver til et forskellig CA. Med flere betroede CA'ere behøver du ikke tilmelde en enhed med det specifikke CA, der udstedte certifikatet til en peer. I stedet kan du konfigurere enheden med flere betroede CA'er, som peer har tillid til. Cisco NX-OS-enheden kan derefter bruge en konfigureret ca, der er tillid til, til at bekræfte certifikater, som er modtaget fra en peer, som ikke blev udstedt af det samme CA, som er defineret i peer-enhedens identitet.
PKI-tilmeldingssupport
Tilmelding er processen med at opnå et identitetscertifikat til enheden, der bruges til applikationer såsom SSH. Det sker mellem enheden, der anmoder om certifikatet og certifikatmyndigheden.
Cisco NX-OS-enheden udfører følgende trin, når du udfører PKI-tilmeldingsprocessen:
Genererer et RSA privat og offentligt nøglepar på enheden.
Genererer en certifikatanmodning i standardformat og videresender den til CA.
CA-administratoren kan blive bedt om manuelt at godkende tilmeldingsanmodningen på CA-serveren, når anmodningen modtages af CA. |
Modtager det udstedte certifikat tilbage fra CA, signeret med CA's private nøgle.
Skriver certifikatet i et ikke-maskinel hukommelsesområde på enheden (bootflash).
Manuel tilmelding ved hjælp af Cut-and-Paste
Cisco NX-OS software understøtter certifikathentning og tilmelding ved hjælp af manuel cut-and-paste. Cut-and-paste tilmelding betyder, at du skal klippe og indsætte certifikatanmodninger og efterfølgende certifikater mellem enheden og CA.
Du skal udføre følgende trin, når du bruger udklip og sæt ind i den manuelle tilmeldingsproces:
Opret en tilmeldingscertifikatanmodning, som Cisco NX-OS-enheden viser i base64-kodet tekstformular.
Klippe og indsætte den kodede certifikatanmodningstekst i en e-mail eller i en webformular og sende den til CA.
Modtag det udstedte certifikat (i base64-kodet tekstformular) fra CA i en e-mail eller i en download af webbrowser.
Klippe og indsætte det udstedte certifikat til enheden ved hjælp af certifikatimportcentret.
Understøttelse af flere RSA-nøglepar og -identitet CA
Flere identitets-CA'er gør enheden i stand til at tilmelde sig med mere end ét tillidspunkt, hvilket resulterer i flere identitetscertifikater, hver fra et forskellig CA. Med denne funktion kan Cisco NX-OS-enheden deltage i SSH og andre programmer med mange peers ved hjælp af certifikater udstedt af CA'er, som er acceptable for disse peers.
Funktionen flere RSA-nøglepar tillader enheden at opretholde et forskelligt nøglepar for hver CA, som den er tilmeldt. Den kan passe med politikkravene for hver CA uden at være i modstrid med kravene angivet af de andre CA'er, såsom nøglelængden. Enheden kan generere flere RSA-nøglepar og knytte hvert nøglepar til et forskellig tillidspunkt. Derefter, når du tilmelder dig et tillidspunkt, bruges det tilknyttede nøglepar til at oprette certifikatanmodningen.
Peer-certifikatbekræftelse
PKI-support på en Cisco NX-OS-enhed kan verificere peer-certifikater. Cisco NX-OS-softwaren verificerer certifikater modtaget fra peers under sikkerheds udvekslinger for applikationer, såsom SSH. Applikationerne verificerer gyldigheden af peer-certifikaterne. Cisco NX-OS-softwaren udfører følgende trin, når peer-certifikater verificeres:
Kontrollerer, at certifikatet peer-certifikat er udstedt af en af de lokalt betroede CA'er.
Kontrollerer, at peer-certifikat er gyldig (ikke udløbet) med hensyn til det aktuelle tidspunkt.
Kontrollerer, at peer-certifikat ikke er tilbagekaldt af den nøglecenter, der handler.
For kontrol af tilbagekaldelse understøtter Cisco NX-OS-softwaren tilbagekaldelseslisten for certifikater (CRL). En tillidspunkt-CA kan bruge denne metode til at bekræfte, at peer-certifikat ikke er blevet tilbagekaldt.
Kontrol af tilbagekaldelse af certifikat
Cisco NX-OS-softwaren kan kontrollere tilbagekaldelsesstatus for CA-certifikater. Applikationerne kan bruge tilbagekaldelseskontrol mekanismerne i den rækkefølge, du angiver. Valgmulighederne er CRL, ingen eller en kombination af disse metoder.
CRL-support
CA'erne opretholder lister over tilbagekaldelse af certifikater (CRLs) for at give oplysninger om certifikater, der er tilbagekaldt før deres udløbsdatoer. CA'erne offentliggør CRLs i et lager og leverer den offentlige URL-adresse for download i alle udstedte certifikater. En klient, der verificerer et peer-certifikat, kan opnå den seneste CRL fra den nøglecenter, der benytter certifikatet, og bruge den til at afgøre, om certifikatet er blevet inddraget. En klient kan cachelagre CRLs for nogle eller alle de CA'er, der er tillid til, lokalt og bruge dem senere, hvis det er nødvendigt, indtil CRLs udløber.
Cisco NX-OS-softwaren muliggør manuel konfiguration af forudindlæste CRLs for tillidspunkterne og cacher dem derefter i enhedens bootflash (cert-store). Under verificeringen af et peer-certifikat kontrollerer Cisco NX-OS-softwaren CRL fra den kontrol, der er foretaget af CA, men kun, hvis CRL'en allerede er blevet cachelagret lokalt, og tilbagekaldelseskontrol er konfigureret til at bruge CRL. Ellers udfører Cisco NX-OS-softwaren ikke CRL-kontrol og tillader, at certifikatet ikke tilbagekaldes, medmindre du har konfigureret andre metoder til kontrol af tilbagekaldelse.
Import- og eksportsupport til certifikater og tilknyttede nøglepar
Som en del af CA-godkendelses- og tilmeldingsprocessen kan det underordnede CA-certifikat (eller certifikatkæde) og identitetscertifikater importeres i standard PEM-format (base64).
De komplette identitetsoplysninger i et tillidspunkt kan eksporteres til en fil i standardformatet til den adgangskodebeskyttede PKCS#12. Det kan importeres senere til den samme enhed (f.eks. efter et systemnedbrud) eller til en erstatningsenhed. Oplysningerne i en PKCS#12-fil består af RSA-nøgleparret, identitetscertifikatet og CA-certifikatet (eller kæden).
Licenskrav til PKI
Følgende tabel viser licenskravene for denne funktion:
Produkt |
Licenskrav |
---|---|
Cisco NX-OS |
PKI-funktionen kræver ingen licens. Enhver funktion, der ikke er inkluderet i en licenspakke, følger med Cisco NX-OS-systembillederne og leveres uden ekstra omkostninger for dig. For en forklaring af Cisco NX-OS-licensaftalen se Cisco NX-OS-licensvejledningen. |
Retningslinjer og begrænsninger for PKI
PKI har følgende retningslinjer og begrænsninger for konfiguration:
Det maksimale antal nøglepar, du kan konfigurere på en Cisco NX-OS-enhed, er 16.
Det maksimale antal tillidspunkter, du kan meddele på en Cisco NX-OS-enhed, er 16.
Det maksimale antal identifikationscertifikater, du kan konfigurere på en Cisco NX-OS-enhed, er 16.
Det maksimale antal certifikater i en CA-certifikatkæde er 10.
Det maksimale antal tillidspunkter, du kan godkende til en bestemt CA, er 10.
Konfigurationsrulninger understøtter ikke PKI-konfigurationen.
Cisco NX-OS software understøtter ikke OSCP.
Hvis du er bekendt med Cisco IOS CLI, skal du være opmærksom på, at Cisco NX-OS kommandoer til denne funktion kan variere fra de Cisco IOS-kommandoer, du bruger.
|
Standardindstillinger for PKI
Denne tabel viser standardindstillingerne for PKI-parametre.
Parametre |
Standard |
---|---|
Tillidspunkt |
Ingen |
RSA nøglepar |
Ingen |
RSA nøgle-parmærkat |
Enheds FQDN |
RSA nøgle-parmodul |
512 |
RSA-nøglepar kan eksporteres |
Enabled |
Metode til kontrol af tilbagekaldelse |
Crl |
Konfigurer CA'er og digitale certifikater
Dette afsnit beskriver de opgaver, du skal udføre for at tillade CA'er og digitale certifikater på din Cisco NX-OS-enhed at interoperaere.
Konfigurer værtsnavnet og IP-domænenavnet
Du skal konfigurere enhedens værtsnavn og IP-domænenavn, hvis du endnu ikke har konfigureret dem, fordi Cisco NX-OS-softwaren bruger enhedens helt kvalificeret domænenavn (FQDN) som emne i identitetscertifikatet. Desuden bruger Cisco NX-OS-softwaren enheden FQDN som en standardnøglemærkat, når du ikke angiver en etiket under oprettelse af nøglepar. For eksempel er et certifikat DeviceA.example.com baseret på enhedens værtsnavn på DeviceA og en enheds IP-domænenavn, som er example.com.
Ændring af værtsnavnet eller IP-domænenavnet efter oprettelse af certifikatet kan ugyldigere certifikatet. |
Kommando eller handling | Formål | |
---|---|---|
1 | konfigurer terminal Eksempel:
|
Går ind i global konfigurationstilstand. |
2 | værtsnavnværtsnavn Eksempel:
|
Konfigurerer værtsnavnet på enheden. |
3 | ip-domænenavn[use-vrfvrf-name] Eksempel:
|
Konfigurerer IP-domænenavnet på enheden. Hvis du ikke angiver et VRF-navn, bruger kommandoen standard-VRF. |
4 | Afslutte Eksempel:
|
Afslutter konfigurationstilstand. |
5 | (Valgfri) vis værter Eksempel:
|
(Valgfri) Viser IP-domænenavnet. |
6 | (Valgfri) kopier running-config opstart-konfigura Eksempel:
|
(Valgfri) Kopierer den kørende konfiguration til opstartskonfigurationen. |
Genererer et RSA-nøglepar
Du kan generere et RSA-nøglepar til at underskrive og/eller kryptere og dekryptere sikkerhedsdataene under udvekslinger af sikkerhedsprotokoler for applikationer. Du skal oprette RSA-nøgleparret, før du kan få et certifikat til din enhed.
Kommando eller handling | Formål | |||||
---|---|---|---|---|---|---|
1 | konfigurer terminal Eksempel:
|
Går ind i global konfigurationstilstand. |
||||
2 | key generatesa [label-string] [eksportable ] [modulus size] Eksempel:
|
Genererer et RSA-nøglepar. Det maksimale antal nøglepar på en enhed er 16. Mærkatstrengen er alfanumerisk, følsom for store og små bogstaver og har en maksimal længde på 64 tegn. Standardmærkatstrengen er værtsnavnet, og FQDN adskilt af et punktumtegn (.). Gyldige modulusværdier er 512, 768, 1024, 1536 og 2048. Standardmodulstørrelsen er 512.
Nøgleparret kan som standard ikke eksporteres. Kun de nøglepar, der kan eksporteres, kan eksporteres i PKCS#12-format.
|
||||
3 | Afslutte Eksempel:
|
Afslutter konfigurationstilstand. |
||||
4 | (Valgfri) vis elementnøglen mypubkey rsa Eksempel:
|
(Valgfri) Viser den genererede nøgle. |
||||
5 | (Valgfri) kopier running-config opstart-konfigura Eksempel:
|
(Valgfri) Kopierer den kørende konfiguration til opstartskonfigurationen. |
Oprettelse af en Trust Point CA tilknytning
Du skal knytte Cisco NX-OS-enheden til en CA, der er tillid til.
Før du begynder
Generer RSA-nøglepar.
Kommando eller handling | Formål | |||
---|---|---|---|---|
1 | konfigurer terminal Eksempel:
|
Går ind i global konfigurationstilstand. |
||
2 | navn på trustpoint fortrustpoint Eksempel:
|
Erklærer et tillidspunkt CA, at enheden skal have tillid til og går i tillidspunktskonfigurationstilstand.
|
||
3 | tilmeldingsterminal Eksempel:
|
Aktiverer manuel udklip og sæt certifikatregistrering ind. Standardindstillingen er aktiveret.
|
||
4 | rsakeypair-etiket Eksempel:
|
Angiver etiketten for RSA-nøgleparret, der skal knyttes til dette tillidspunkt for tilmelding.
|
||
5 | Afslutte Eksempel:
|
Afslutter konfigurationstilstand for tillidspunkt. |
||
6 | (Valgfri) vis trustpoints Eksempel:
|
(Valgfri) Viser oplysninger om tillidspunkt. |
||
7 | (Valgfri) kopier running-config opstart-konfigura Eksempel:
|
(Valgfri) Kopierer den kørende konfiguration til opstartskonfigurationen. |
Godkender CA
Konfigurationsprocessen for at stole på en CA er kun færdig, når CA er godkendt til Cisco NX-OS-enheden. Du skal godkende din Cisco NX-OS-enhed til CA ved at få det selv underskrevne certifikat fra CA i PEM-format, som indeholder CA'ens offentlige nøgle. Da CA'ens certifikat er underskrevet af dig selv (CA signerer sit eget certifikat) skal CA'ens offentlige nøgle godkendes manuelt ved at kontakte CA-administratoren for at sammenligne fingeraftrykket af CA-certifikatet.
Den CA, du godkender, er ikke en selv underskrevet CA, når den er en underordnet CA til en anden CA, som i sig selv kan være underordnet til endnu en CA, og så videre, til sidst slutter i en selv underskrevet CA. Denne type CA-certifikat kaldes CA-certifikatkæden for den CA, der godkendes. I dette tilfælde skal du indtaste den komplette liste over CA-certifikater for alle CA'er i certificeringskæden under CA-bekræftelsen. Det maksimale antal certifikater i en CA-certifikatkæde er 10. |
Før du begynder
Opret en tilknytning til CA.
Opnå CA-certifikatet eller CA-certifikatkæden.
Kommando eller handling | Formål | |||
---|---|---|---|---|
1 | konfigurer terminal Eksempel:
|
Går ind i global konfigurationstilstand. |
||
2 | godkendelsesnavn for kate Eksempel:
|
Beder dig om at klippe og indsætte CA'ens certifikat. Brug det samme navn, som du brugte, da du brugte , da du brugte CA'en. Det maksimale antal tillidspunkter, som du kan godkende til en specifik CA, er 10.
|
||
3 | Afslutte Eksempel:
|
Afslutter konfigurationstilstand. |
||
4 | (Valgfri) vis trustpoints Eksempel:
|
(Valgfri) Viser ca.-oplysninger om tillidspunkt. |
||
5 | (Valgfri) kopier running-config opstart-konfigura Eksempel:
|
(Valgfri) Kopierer den kørende konfiguration til opstartskonfigurationen. |
Konfigurer metoder til kontrol af tilbagekaldelse af certifikat
Under sikkerhedsudvekslinger med en klient (for eksempel en SSH-bruger) udfører Cisco NX-OS-enheden certifikatbekræftelsen for peer-certifikat, der sendes af klienten. Bekræftelsesprocessen kan medføre kontrol af tilbagekaldelsesstatus for certifikat.
Du kan konfigurere enheden til at kontrollere den CRL, der downloades fra CA. Download af CRL og kontrol lokalt genererer ikke trafik på dit netværk. Certifikater kan dog tilbagekaldes mellem downloads, og din enhed ville ikke være opmærksom på tilbagekaldelsen.
Før du begynder
Godkend CA.
Kontroller, at du har konfigureret CRL, hvis du vil bruge CRL-kontrol.
Kommando eller handling | Formål | |
---|---|---|
1 | konfigurer terminal Eksempel:
|
Går ind i global konfigurationstilstand. |
2 | navn på trustpoint fortrustpoint Eksempel:
|
Angiver en CA, der er tillid til, og går ind i tillidspunktskonfigurationstilstand. |
3 | tilbagekaldelsestjek {crl [ none ] none | } Eksempel:
|
Konfigurerer kontrolsmetoder for tilbagekaldelse af certifikat. Standardmetoden er crl. Cisco NX-OS-softwaren bruger tilbagekaldelsesmetoderne for certifikater i den rækkefølge, du angiver. |
4 | Afslutte Eksempel:
|
Afslutter konfigurationstilstand for tillidspunkt. |
5 | (Valgfri) vis trustpoints Eksempel:
|
(Valgfri) Viser ca.-oplysninger om tillidspunkt. |
6 | (Valgfri) kopier running-config opstart-konfigura Eksempel:
|
(Valgfri) Kopierer den kørende konfiguration til opstartskonfigurationen. |
Genererer certifikatanmodninger
Du skal oprette en anmodning om at få identitetscertifikater fra den tilknyttede tillidspunkts CA for hver af din enheds RSA-nøglepar. Du skal derefter klippe og indsætte den viste anmodning i en e-mail eller i en webstedsformular for CA.
Før du begynder
Opret en tilknytning til CA.
Opnå CA-certifikatet eller CA-certifikatkæden.
Kommando eller handling | Formål | |||
---|---|---|---|---|
1 | konfigurer terminal Eksempel:
|
Går ind i global konfigurationstilstand. |
||
2 | tilmeldingsnavn for tilmelding Eksempel:
|
Genererer en certifikatanmodning for en godkendt CA.
|
||
3 | Afslutte Eksempel:
|
Afslutter konfigurationstilstand for tillidspunkt. |
||
4 | (Valgfri) vis certificeringscertifikater Eksempel:
|
(Valgfri) Viser CA-certifikaterne. |
||
5 | (Valgfri) kopier running-config opstart-konfigura Eksempel:
|
(Valgfri) Kopierer den kørende konfiguration til opstartskonfigurationen. |
Installation af identitetscertifikater
Du kan modtage identitetscertifikatet fra CA'en via e-mail eller via en webbrowser i en base64 kodet tekstformular. Du skal installere identitetscertifikatet fra CA'en ved at klippe og indsætte den kodede tekst.
Før du begynder
Opret en tilknytning til CA.
Opnå CA-certifikatet eller CA-certifikatkæden.
Kommando eller handling | Formål | |
---|---|---|
1 | konfigurer terminal Eksempel:
|
Går ind i global konfigurationstilstand. |
2 | virus ca importernavnecertifikat Eksempel:
|
Beder dig om at klippe og indsætte identitetscertifikatet for CA-navngivne admin-ca. Det maksimale antal identificer certifikater, som du kan konfigurere på en enhed, er 16. |
3 | Afslutte Eksempel:
|
Afslutter konfigurationstilstand. |
4 | (Valgfri) vis certificeringscertifikater Eksempel:
|
(Valgfri) Viser CA-certifikaterne. |
5 | (Valgfri) kopier running-config opstart-konfigura Eksempel:
|
(Valgfri) Kopierer den kørende konfiguration til opstartskonfigurationen. |
Sikre, at tillidspunktskonfigurationer fortsætter på tværs af genstart
Du kan sikre, at trustpoint-konfigurationen fortsætter på tværs af Cisco NX-OS-enheden genstarter.
Tillidspunktkonfigurationen er en normal Cisco NX-OS-enhedskonfiguration, der fortsætter på tværs af systemgenstart, men kun hvis du kopierer den eksplicit til opstartskonfigurationen. Certifikater, nøglepar og CRL, der er knyttet til et tillidspunkt, er automatisk vedvarende, hvis du allerede har kopieret konfigurationen af tillidspunkt i opstartskonfigurationen. Selv om tillidspunktkonfigurationen ikke kopieres til opstartskonfigurationen, er certifikaterne, nøgleparpar og CRL, der er knyttet til den, ikke vedvarende, da de kræver konfiguration af det tilsvarende tillidspunkt efter en genstart. Kopier altid den kørende konfiguration til opstartskonfigurationen for at sikre, at de konfigurerede certifikater, nøglepar og CRLs er vedvarende. Gem også den kørende konfiguration efter sletning af et certifikat eller nøglepar for at sikre, at sletningen er permanent.
Certifikaterne og CRL, der er tilknyttet et tillidspunkt, bliver automatisk vedvarende, når de importeres (dvs. uden udtrykkelig kopiering til opstartskonfiguration), hvis det specifikke tillidspunkt allerede er gemt i opstartskonfigurationen.
Vi anbefaler, at du opretter en adgangskodebeskyttet sikkerhedskopi af identitetscertifikaterne og gemmer den på en ekstern server.
Kopiering af konfigurationen til en ekstern server inkluderer certifikaterne og nøgleparret. |
Eksporterer identitetsoplysninger i PKCS 12-format
Du kan eksportere identitetscertifikatet sammen med RSA-nøglepar og CA-certifikatet (eller hele kæden i tilfælde af en underordnet CA) af et tillidspunkt til en PKCS#12-fil til sikkerhedskopieringsformål. Du kan importere certifikatet og RSA-nøgleparret for at genoprette efter et systemnedbrud på din enhed, eller når du erstatter supervisormodulerne.
Du kan kun bruge bootflash:filnavnformatet, når eksport-URL-adressen angives. |
Før du begynder
Godkend CA.
Installer et identitetscertifikat.
Kommando eller handling | Formål | |
---|---|---|
1 | konfigurer terminal Eksempel:
|
Går ind i global konfigurationstilstand. |
2 | bug caeksportnavn pkcs12 bootflash:filnavnadgangskode Eksempel:
|
Eksporterer identitetscertifikatet og tilknyttede nøglepar- og CA-certifikater for en CA, der er tillid til. Adgangskoden er alfanumerisk, følsom for store og små bogstaver og har en maksimal længde på 128 tegn. |
3 | Afslutte Eksempel:
|
Afslutter konfigurationstilstand. |
4 | kopiér booflash:filenamescheme :// server/ [url/ ]filnavn Eksempel:
|
Kopierer PKCS#12-formatfilen til en ekstern server. For planargumentet kan du indtaste tftp:, ftp:, scp:, eller sftp:. Serverargumentet er adressen eller navnet på den eksterne server, og URL-argumentet er stien til kildefilen på den eksterne server. Der er store og små bogstaver iserverens , URL- og filnavnsargumenterne. |
Import af identitetsoplysninger i PKCS 12-format
Du kan importere certifikatet og RSA-nøgleparret for at genoprette efter et systemnedbrud på din enhed, eller når du erstatter supervisormodulerne.
Du kan kun bruge bootflash:filnavnformatet, når du angiver import-URL-adressen. |
Før du begynder
Sørg for, at tillidspunktet er tomt ved at kontrollere, at ingen RSA-nøglepar er tilknyttet, og at ingen CA er tilknyttet tillidspunktet ved hjælp af CA-godkendelse.
Kommando eller handling | Formål | |
---|---|---|
1 | kopierskema :// server/ [url /]filnavnbootflash:filnavn Eksempel:
|
Kopierer PKCS#12-formatfilen fra den eksterne server. For planargumentet kan du indtaste tftp:, ftp:, scp:, eller sftp:. Serverargumentet er adressen eller navnet på den eksterne server, og URL-argumentet er stien til kildefilen på den eksterne server. Der er store og små bogstaver iserverens , URL- og filnavnsargumenterne. |
2 | konfigurer terminal Eksempel:
|
Går ind i global konfigurationstilstand. |
3 | afgift ca importnavnpksc12 bootflash:filnavn Eksempel:
|
Importerer identitetscertifikatet og tilknyttede nøglepar- og CA-certifikater for trust point CA. |
4 | Afslutte Eksempel:
|
Afslutter konfigurationstilstand. |
5 | (Valgfri) vis certificeringscertifikater Eksempel:
|
(Valgfri) Viser CA-certifikaterne. |
6 | (Valgfri) kopier running-config opstart-konfigura Eksempel:
|
(Valgfri) Kopierer den kørende konfiguration til opstartskonfigurationen. |
Konfigurer en CRL
Du kan manuelt konfigurere CRLs, som du har downloadet fra tillidspunkterne. Cisco NX-OS-software cachelagrer CRLs i enhedens bootflash (cert-store). Under verificeringen af en peer-certifikat kontrollerer Cisco NX-OS-softwaren CRL kun for den kontrol, der er foretaget af CA, hvis du har downloadet CRL til enheden, og du har konfigureret kontrol af tilbagekaldelse af certifikater for at bruge CRL.
Før du begynder
Kontroller, at du har aktiveret kontrol af tilbagekaldelse af certifikat.
Kommando eller handling | Formål | |
---|---|---|
1 | kopierskema:[// server /[ url/]] filnavnbootflash:filnavn Eksempel:
|
Downloader CRL fra en ekstern server. For planargumentet kan du indtaste tftp:, ftp:, scp:, eller sftp:. Serverargumentet er adressen eller navnet på den eksterne server, og URL-argumentet er stien til kildefilen på den eksterne server. Der er store og små bogstaver iserverens , URL- og filnavnsargumenterne. |
2 | konfigurer terminal Eksempel:
|
Går ind i global konfigurationstilstand. |
3 | ctrl ca crl anmodningnavnbootflash:filnavn Eksempel:
|
Konfigurerer eller erstatter den aktuelle CRL med den, der er angivet i filen. |
4 | Afslutte Eksempel:
|
Afslutter konfigurationstilstand. |
5 | (Valgfri) vis intellekt cacrl-navn Eksempel:
|
(Valgfri) Viser CA CRL-oplysningerne. |
6 | (Valgfri) kopier running-config opstart-konfigura Eksempel:
|
(Valgfri) Kopierer den kørende konfiguration til opstartskonfigurationen. |
Slette certifikater fra CA-konfigurationen
Du kan slette identitetscertifikater og CA-certifikater, der er konfigureret i et tillidspunkt. Du skal først slette identitetscertifikatet efterfulgt af CA-certifikaterne. Efter sletning af identitetscertifikatet kan du fjerne RSA-nøgleparret fra et tillidspunkt. Du skal slette certifikater for at fjerne udløbne eller tilbagekaldte certifikater, certifikater, der har kompromitteret (eller tror, at de er kompromitteret) nøglepar, eller CA'ere, som ikke længere er pålidelige.
Kommando eller handling | Formål | |
---|---|---|
1 | konfigurer terminal Eksempel:
|
Går ind i global konfigurationstilstand. |
2 | navn på trustpoint fortrustpoint Eksempel:
|
Angiver en CA, der er tillid til, og går ind i tillidspunktskonfigurationstilstand. |
3 | slet ca-certifikat Eksempel:
|
Sletter CA-certifikatet eller certifikatkæden. |
4 | slet certifikat [force] Eksempel:
|
Sletter identitetscertifikatet. Du skal bruge valgmuligheden gennemtving, hvis det identitetscertifikat, du ønsker at slette, er det sidste certifikat i en certifikatkæde eller kun identitetscertifikat på enheden. Dette krav sikrer, at du ikke ved en fejl sletter det sidste certifikat i en certifikatkæde eller kun identitetscertifikatet og forlader applikationerne (såsom SSH) uden et certifikat at bruge. |
5 | Afslutte Eksempel:
|
Afslutter konfigurationstilstand for tillidspunkt. |
6 | (Valgfri) vis certificeringscertifikater [ name] Eksempel:
|
(Valgfri) Viser CA-certifikatoplysningerne. |
7 | (Valgfri) kopier running-config opstart-konfigura Eksempel:
|
(Valgfri) Kopierer den kørende konfiguration til opstartskonfigurationen. |
Sletning af RSA-nøglepar fra en Cisco NX-OS-enhed
Du kan slette RSA-nøglepar fra en Cisco NX-OS-enhed, hvis du mener, at RSA-nøglepar blev kompromitteret på en eller anden måde og ikke længere bør bruges.
Når du har slettet RSA-nøglepar fra en enhed, skal du bede CA-administratoren om at tilbagekalde din enheds certifikater i CA. Du skal levere den udfordringsadgangskode, som du oprettede, da du oprindeligt anmodede om certifikaterne. |
Kommando eller handling | Formål | |
---|---|---|
1 | konfigurer terminal Eksempel:
|
Går ind i global konfigurationstilstand. |
2 | key zeroizersa-etiket Eksempel:
|
Sletter RSA-nøglepar. |
3 | Afslutte Eksempel:
|
Afslutter konfigurationstilstand. |
4 | (Valgfri) vis elementnøglen mypubkey rsa Eksempel:
|
(Valgfri) Viser RSA-nøgleparkonfiguration. |
5 | (Valgfri) kopier running-config opstart-konfigura Eksempel:
|
(Valgfri) Kopierer den kørende konfiguration til opstartskonfigurationen. |
Kontrollerer PKI-konfigurationen
For at vise PKI-konfigurationsoplysninger, skal du udføre en af følgende opgaver:
Kommando |
Formål |
---|---|
vis elementnøglen mypubkey rsa |
Viser oplysninger om de RSA offentlige nøgler genereret på Cisco NX-OS-enheden. |
vis certificeringscertifikater |
Viser oplysninger om CA og identitetscertifikater. |
vis intellekt ca crl |
Viser oplysninger om CA CRLs. |
vis trustpoints |
Viser oplysninger om CA tillidspunkter. |
Konfigurationsekse eksempler på PKI
Dette afsnit viser eksempler på de opgaver, du kan bruge til at konfigurere certifikater og CRLs på Cisco NX-OS-enheder ved hjælp af en Microsoft Windows certifikatserver.
Du kan bruge enhver type certifikatserver til at oprette digitale certifikater. Du er ikke begrænset til at bruge Microsoft Windows certifikatserveren. |
Konfigurer certifikater på en Cisco NX-OS-enhed
For at konfigurere certifikater på en Cisco NX-OS-enhed skal du følge disse trin:
1 | Konfigurer enhedens FQDN.
|
2 | Konfigurer DNS-domænenavnet for enheden.
|
3 | Opret et tillidspunkt.
|
4 | Opret et RSA-nøglepar for enheden.
|
5 | Tilknyt RSA-nøgleparret til tillidspunktet.
|
6 | Download CA-certifikatet fra Microsoft Certificate Service-webgrænsefladen. |
7 | Godkend CA, som du vil tilmelde til tillidspunktet.
|
8 | Opret et anmodningscertifikat, der skal bruges til at tilmelde dig med et tillidspunkt.
|
9 | Anmod om et identitetscertifikat fra Microsoft-certifikattjenestes webgrænseflade. |
10 | Importer identitetscertifikatet.
|
11 | Bekræft certifikatkonfigurationen. |
12 | Gem certifikatkonfigurationen til opstartskonfigurationen. |
Downloader et CA-certifikat
For at downloade et CA-certifikat fra Microsoft-certifikattjenestes webgrænseflade skal du følge disse trin:
1 | Fra Microsoft certifikattjenestes webgrænseflade skal du klikke på Hent CA-certifikatet eller tilbagekaldelsesopgaven for certifikatet og derefter klikke på Næste . |
2 | Fra visningslisten skal du vælge CA-certifikatfilen til download fra den viste liste. Klik derefter på Base 64 kodet, og klik på Download CA certifikat . |
3 | Klik på Åbn i filoverførselsfilen dialogboks. |
4 | I certifikatcertifikatsfilen dialogboks du klikke på Kopier til fil og klikke på OK. |
5 | Fra guiden til certifikateksport dialogboks du vælge den base-64-kodede X.509 (CER), og klikke på Næste . |
6 | I den Filnavn: tekstfelt på guiden Certifikateksport dialogboks, indtast destinationsfilen og klik på Næste. |
7 | I guiden til certifikateksport dialogboks du klikke på Afslut. |
8 | Indtast Microsoft Windows typekommando for at vise CA-certifikatet gemt i Base-64 (PEM) format. |
Anmoder om et identitetscertifikat
For at anmode om et identificer certifikat fra en Microsoft certifikatserver ved hjælp af en PKCS#12 anmodning om underskrift af certifikat (CRS) skal du følge disse trin:
1 | Fra Microsoft certifikattjenestes webgrænseflade skal du klikke på Anmod om et certifikat og klikke på Næste . |
2 | Klik på Avanceret anmodning, og klik på Næste . |
3 | Klik på Indsend en certifikatanmodning ved hjælp af en base64-kodet PKCS#10-fil eller en anmodning om fornyelse ved hjælp af en base64-kodet PKCS#7-fil, og klik på Næste . |
4 | I tekstfeltet Gemt anmodning skal du indsætte base64 PKCS#10 certifikatanmodningen og klikke på Næste. Certifikatanmodningen kopieres fra Cisco NX-OS-enhedskonsollen. |
5 | Vent én eller to dage, indtil certifikatet udstedes af CA-administratoren. |
6 | Bemærk, at CA-administratoren godkender certifikatanmodningen. |
7 | Fra Microsoft certifikattjenestes webgrænseflade skal du klikke på Kontroller på et afventende certifikat og klikke på Næste . |
8 | Vælg den certifikatanmodning, du vil kontrollere, og klik på Næste. |
9 | Klik på Base 64-kodet, og klik på Download CA-certifikat. |
10 | I dialogboksen Fil download dialogboks du klikke på Åbn. |
11 | I boksen Certifikat skal du klikke på fanen Detaljer og klikke på Kopier tilfil.... I dialogboksen Certifikateksport skal du klikke på Basis-64 kodet X.509 (. CER), og klik på Næste . |
12 | I den Filnavn: tekstfelt på guiden Certifikateksport dialogboks, indtast destinationsfilen og klik på Næste. |
13 | Klik på Afslut. |
14 | Indtast Microsoft Windows-typekommandoen for at vise identitetscertifikatet i base64-kodet format. |
Tilbagekaldelse af et certifikat
For at tilbagekalde et certifikat ved hjælp af Microsoft CA-administratorprogrammet skal du følge disse trin:
1 | Fra træet Nøglecenter skal du klikke på Mappen Udstedte certifikater. Fra listen skal du højreklikke på det certifikat, du vil tilbagekalde. |
2 | Vælg Alle opgaver > Tilbagekald certifikat. |
3 | Fra dialogboksen Årsagskode rullegardinmenu du vælge en årsag til tilbagekaldelsen og klikke på Ja. |
4 | Klik på mappen Tilbagekaldte certifikater for at få vist og bekræfte tilbagekaldelsen af certifikatet. |
Generere og udgive CRL
For at generere og udgive CRL ved hjælp af Microsoft CA-administratorprogrammet skal du følge disse trin:
1 | På skærmen Nøglecenter skal du vælge Handling > Alle opgaver > Udgiv. |
2 | I dialogboksen Certifikatgenopkaldelsesliste dialogboks du klikke på Ja for at udgive den seneste CRL. |
Downloader CRL
Følg disse trin for at downloade CRL fra Microsoft CA-webstedet:
1 | Fra Microsoft certifikattjenestes webgrænseflade skal du klikke på Hent CA-certifikatet eller tilbagekaldelseslisten for certifikatet, og klikke på Næste. |
2 | Klik på Download seneste certifikat tilbagekaldelsesliste. |
3 | I den Fil Download dialogboks, klik på Gem. |
4 | I fanen Gem som dialogboks du indtaste destinationsfilens navn og klikke på Gem. |
5 | Indtast Microsoft Windows-typekommandoen for at vise CRL. |
Import af CRL
For at importere CRL til det tillidspunkt, der svarer til CA, skal du følge disse trin:
1 | Kopier CRL-filen til cisco NX-OS-enhedens bootflash.
|
||
2 | Konfigurer CRL.
|
||
3 | Vis indholdet af CRL.
|