Konfigurer PKI

Dette kapitel indeholder følgende afsnit:

Oplysninger om PKI

Dette afsnit indeholder oplysninger om PKI.

CA'er og digitale certifikater

Certifikatudstedere (CA'er) administrerer certifikatanmodninger og udsteder certifikater til deltagende enheder, såsom værter, netværksenheder eller brugere. CA'erne leverer central styring af nøgle til de deltagende enheder.

Digitale signaturer, baseret på offentlig nøglekryptering, digital godkendelse af enheder og individuelle brugere. I offentlig nøglekryptering, såsom RSA-krypteringssystemet, har hver enhed eller bruger et nøglepar, der indeholder både en privat nøgle og en offentlig nøgle. Den private nøgle er hemmelig og kendes kun af den ejerenhed eller bruger. Alle har dog kendskab til den offentlige nøgle. Alt krypteret med en af tasterne kan dekrypteres med den anden. En signatur dannes, når data krypteres med en afsenders private nøgle. Modtageren verificerer signaturen ved at dekryptere meddelelsen med afsenderens offentlige nøgle. Denne proces afhænger af, at modtageren har en kopi af afsenderens offentlige nøgle og ved, at han eller hun i høj grad ved, at den virkelig tilhører afsenderen og ikke nogen, der ser det som afsender.

Digitale certifikater linker den digitale signatur til afsenderen. Et digitalt certifikat indeholder oplysninger til at identificere en bruger eller enhed, såsom navn, serienummer, virksomhed, afdeling eller IP-adresse. Den indeholder også en kopi af enhedens offentlige nøgle. CA, som signerer certifikatet er en tredjepart, som modtageren udtrykkeligt stoler på til at validere identiteter og oprette digitale certifikater.

For at validere CA'ens underskrift skal modtageren først kende CA's offentlige nøgle. Denne proces håndteres typisk uden for båndet eller via en handling, der udføres ved installation. For eksempel er de fleste webbrowsere konfigureret med de offentlige nøgler til flere CA'er som standard.

Tillidsmodel, tillidspunkter og identitets-CA'ere

PKI-tillidsmodel er hierarkisk med flere konfigurerbare CA'er, der kan oprettes. Du kan konfigurere hver deltagende enhed med en liste over betroede CA'er, så en peer-certifikat, der opnås under udvekslinger af sikkerhedsprotokoler, kan bekræftes, hvis den blev udstedt af en af de lokalt betroede CA'er. Cisco NX-OS-software gemmer lokalt de selv underskrevne rodcertifikat af den betroede CA (eller certifikatkæde for en underordnet CA). Processen til på sikker måde at opnå en CA's rodcertifikat (eller hele kæden i tilfælde af underordnet CA) og gemme den lokalt kaldes CA-godkendelse.

Oplysningerne om en pålidelig CA, som du har konfigureret, kaldes tillidspunktet, og CA'en kaldes i sig selv for et tillidspunkt CA. Disse oplysninger består af et CA-certifikat (eller certifikatkæde i tilfælde af en underordnet CA) og oplysninger om kontrol af tilbagekaldelse af certifikat.

Cisco NX-OS-enheden kan også tilmelde sig et tillidspunkt for at få et identitetscertifikat, der kan tilknyttes et nøglepar. Dette tillidspunkt kaldes for en identitet CA.

RSA-nøglepar og identitetscertifikater

Du kan få et identitetscertifikat ved at generere et eller flere RSA-nøglepar og knytte hvert RSA-nøglepar med et tillidspunkt CA, hvor Cisco NX-OS-enheden har til hensigt at tilmelde sig. Cisco NX-OS-enheden behøver kun én identitet pr. CA, som består af ét nøglepar og ét identitetscertifikat pr. CA.

Cisco NX-OS-softwaren tillader dig at generere RSA-nøglepar med en konfigurerbar nøglestørrelse (eller modulus). Standardnøglestørrelsen er 512. Du kan også konfigurere en RSA-nøgleparmærkat. Standardnøglemærkaten er enheden, helt kvalificeret domænenavn (FQDN).

Følgende liste opsummerer forholdet mellem tillidspunkter, RSA-nøglepar og identitetscertifikater:

  • Et tillidspunkt svarer til et specifikt CA, som Cisco NX-OS-enheden stoler på til peer-certifikat-bekræftelse for enhver applikation (såsom SSH).

  • En Cisco NX-OS-enhed kan have mange tillidspunkter, og alle programmer på enheden kan have tillid til et peer-certifikat udstedt af en af tillidspunkts CA'erne.

  • Et tillidspunkt er ikke begrænset til et specifikt program.

  • En Cisco NX-OS-enhed tilmelder sig CA, der svarer til tillidspunktet for at få et identitetscertifikat. Du kan tilmelde din enhed med flere tillidspunkter, hvilket betyder, at du kan få et separat identitetscertifikat fra hvert tillidspunkt. Identitetscertifikaterne bruges af applikationer, afhængigt af de formål, der er angivet i certifikatet af den modtagende CA. Formålet med et certifikat er gemt i certifikatet som en certifikatforlængelse.

  • Når du tilmelder dig med et tillidspunkt, skal du angive et RSA-nøglepar, der skal certificeres. Dette nøglepar skal genereres og tilknyttes tillidspunktet, før tilmeldingsanmodningen oprettes. Tilknytningen mellem tillidspunkt, nøglepar og identitetscertifikat er gyldig, indtil det udtrykkeligt fjernes ved at slette certifikatet, nøgleparret eller tillidspunktet.

  • Emnenavnet i identitetscertifikatet er navnet helt kvalificeret domænenavn navn på Cisco NX-OS-enheden.

  • Du kan generere et eller flere RSA-nøglepar på en enhed, og hver kan tilknyttes et eller flere tillidspunkter. Men ikke mere end ét nøglepar kan tilknyttes et tillidspunkt, hvilket betyder, at kun ét identitetscertifikat er tilladt fra et CA.

  • Hvis Cisco NX-OS-enheden modtager flere identitetscertifikater (hver fra et forskellig CA), er det certifikat, som en applikation vælger at bruge i en sikkerhedsprotokoludveksling med en peer, applikationsspecifik.

  • Du behøver ikke at udpege et eller flere tillidspunkter for en applikation. Enhver applikation kan bruge ethvert certifikat udstedt af ethvert tillidspunkt, så længe certifikatformålet opfylder applikationskravene.

  • Du behøver ikke mere end ét identitetscertifikat fra et tillidspunkt eller mere end ét nøglepar for at blive tilknyttet et tillidspunkt. En CA bekræfter kun en given identitet (eller navn) én gang og udsteder ikke flere certifikater med samme navn. Hvis du har brug for mere end ét identitetscertifikat for en CA, og hvis CA tillader flere certifikater med de samme navne, skal du definere et andet tillidspunkt for det samme CA, knytte et andet nøglepar til det og få det bekræftet.

Understøttelse af flere betroede CA-programmer

Cisco NX-OS-enheden kan have tillid til flere CA'er ved at konfigurere flere tillidspunkter og knytte hver til et forskellig CA. Med flere betroede CA'ere behøver du ikke tilmelde en enhed med det specifikke CA, der udstedte certifikatet til en peer. I stedet kan du konfigurere enheden med flere betroede CA'er, som peer har tillid til. Cisco NX-OS-enheden kan derefter bruge en konfigureret ca, der er tillid til, til at bekræfte certifikater, som er modtaget fra en peer, som ikke blev udstedt af det samme CA, som er defineret i peer-enhedens identitet.

PKI-tilmeldingssupport

Tilmelding er processen med at opnå et identitetscertifikat til enheden, der bruges til applikationer såsom SSH. Det sker mellem enheden, der anmoder om certifikatet og certifikatmyndigheden.

Cisco NX-OS-enheden udfører følgende trin, når du udfører PKI-tilmeldingsprocessen:

  • Genererer et RSA privat og offentligt nøglepar på enheden.

  • Genererer en certifikatanmodning i standardformat og videresender den til CA.


CA-administratoren kan blive bedt om manuelt at godkende tilmeldingsanmodningen på CA-serveren, når anmodningen modtages af CA.

  • Modtager det udstedte certifikat tilbage fra CA, signeret med CA's private nøgle.

  • Skriver certifikatet i et ikke-maskinel hukommelsesområde på enheden (bootflash).

Manuel tilmelding ved hjælp af Cut-and-Paste

Cisco NX-OS software understøtter certifikathentning og tilmelding ved hjælp af manuel cut-and-paste. Cut-and-paste tilmelding betyder, at du skal klippe og indsætte certifikatanmodninger og efterfølgende certifikater mellem enheden og CA.

Du skal udføre følgende trin, når du bruger udklip og sæt ind i den manuelle tilmeldingsproces:

  • Opret en tilmeldingscertifikatanmodning, som Cisco NX-OS-enheden viser i base64-kodet tekstformular.

  • Klippe og indsætte den kodede certifikatanmodningstekst i en e-mail eller i en webformular og sende den til CA.

  • Modtag det udstedte certifikat (i base64-kodet tekstformular) fra CA i en e-mail eller i en download af webbrowser.

  • Klippe og indsætte det udstedte certifikat til enheden ved hjælp af certifikatimportcentret.

Understøttelse af flere RSA-nøglepar og -identitet CA

Flere identitets-CA'er gør enheden i stand til at tilmelde sig med mere end ét tillidspunkt, hvilket resulterer i flere identitetscertifikater, hver fra et forskellig CA. Med denne funktion kan Cisco NX-OS-enheden deltage i SSH og andre programmer med mange peers ved hjælp af certifikater udstedt af CA'er, som er acceptable for disse peers.

Funktionen flere RSA-nøglepar tillader enheden at opretholde et forskelligt nøglepar for hver CA, som den er tilmeldt. Den kan passe med politikkravene for hver CA uden at være i modstrid med kravene angivet af de andre CA'er, såsom nøglelængden. Enheden kan generere flere RSA-nøglepar og knytte hvert nøglepar til et forskellig tillidspunkt. Derefter, når du tilmelder dig et tillidspunkt, bruges det tilknyttede nøglepar til at oprette certifikatanmodningen.

Peer-certifikatbekræftelse

PKI-support på en Cisco NX-OS-enhed kan verificere peer-certifikater. Cisco NX-OS-softwaren verificerer certifikater modtaget fra peers under sikkerheds udvekslinger for applikationer, såsom SSH. Applikationerne verificerer gyldigheden af peer-certifikaterne. Cisco NX-OS-softwaren udfører følgende trin, når peer-certifikater verificeres:

  • Kontrollerer, at certifikatet peer-certifikat er udstedt af en af de lokalt betroede CA'er.

  • Kontrollerer, at peer-certifikat er gyldig (ikke udløbet) med hensyn til det aktuelle tidspunkt.

  • Kontrollerer, at peer-certifikat ikke er tilbagekaldt af den nøglecenter, der handler.

For kontrol af tilbagekaldelse understøtter Cisco NX-OS-softwaren tilbagekaldelseslisten for certifikater (CRL). En tillidspunkt-CA kan bruge denne metode til at bekræfte, at peer-certifikat ikke er blevet tilbagekaldt.

Kontrol af tilbagekaldelse af certifikat

Cisco NX-OS-softwaren kan kontrollere tilbagekaldelsesstatus for CA-certifikater. Applikationerne kan bruge tilbagekaldelseskontrol mekanismerne i den rækkefølge, du angiver. Valgmulighederne er CRL, ingen eller en kombination af disse metoder.

CRL-support

CA'erne opretholder lister over tilbagekaldelse af certifikater (CRLs) for at give oplysninger om certifikater, der er tilbagekaldt før deres udløbsdatoer. CA'erne offentliggør CRLs i et lager og leverer den offentlige URL-adresse for download i alle udstedte certifikater. En klient, der verificerer et peer-certifikat, kan opnå den seneste CRL fra den nøglecenter, der benytter certifikatet, og bruge den til at afgøre, om certifikatet er blevet inddraget. En klient kan cachelagre CRLs for nogle eller alle de CA'er, der er tillid til, lokalt og bruge dem senere, hvis det er nødvendigt, indtil CRLs udløber.

Cisco NX-OS-softwaren muliggør manuel konfiguration af forudindlæste CRLs for tillidspunkterne og cacher dem derefter i enhedens bootflash (cert-store). Under verificeringen af et peer-certifikat kontrollerer Cisco NX-OS-softwaren CRL fra den kontrol, der er foretaget af CA, men kun, hvis CRL'en allerede er blevet cachelagret lokalt, og tilbagekaldelseskontrol er konfigureret til at bruge CRL. Ellers udfører Cisco NX-OS-softwaren ikke CRL-kontrol og tillader, at certifikatet ikke tilbagekaldes, medmindre du har konfigureret andre metoder til kontrol af tilbagekaldelse.

Import- og eksportsupport til certifikater og tilknyttede nøglepar

Som en del af CA-godkendelses- og tilmeldingsprocessen kan det underordnede CA-certifikat (eller certifikatkæde) og identitetscertifikater importeres i standard PEM-format (base64).

De komplette identitetsoplysninger i et tillidspunkt kan eksporteres til en fil i standardformatet til den adgangskodebeskyttede PKCS#12. Det kan importeres senere til den samme enhed (f.eks. efter et systemnedbrud) eller til en erstatningsenhed. Oplysningerne i en PKCS#12-fil består af RSA-nøgleparret, identitetscertifikatet og CA-certifikatet (eller kæden).

Licenskrav til PKI

Følgende tabel viser licenskravene for denne funktion:

Produkt

Licenskrav

Cisco NX-OS

PKI-funktionen kræver ingen licens. Enhver funktion, der ikke er inkluderet i en licenspakke, følger med Cisco NX-OS-systembillederne og leveres uden ekstra omkostninger for dig. For en forklaring af Cisco NX-OS-licensaftalen se Cisco NX-OS-licensvejledningen.

Retningslinjer og begrænsninger for PKI

PKI har følgende retningslinjer og begrænsninger for konfiguration:

  • Det maksimale antal nøglepar, du kan konfigurere på en Cisco NX-OS-enhed, er 16.

  • Det maksimale antal tillidspunkter, du kan meddele på en Cisco NX-OS-enhed, er 16.

  • Det maksimale antal identifikationscertifikater, du kan konfigurere på en Cisco NX-OS-enhed, er 16.

  • Det maksimale antal certifikater i en CA-certifikatkæde er 10.

  • Det maksimale antal tillidspunkter, du kan godkende til en bestemt CA, er 10.

  • Konfigurationsrulninger understøtter ikke PKI-konfigurationen.

  • Cisco NX-OS software understøtter ikke OSCP.


Hvis du er bekendt med Cisco IOS CLI, skal du være opmærksom på, at Cisco NX-OS kommandoer til denne funktion kan variere fra de Cisco IOS-kommandoer, du bruger.

Standardindstillinger for PKI

Denne tabel viser standardindstillingerne for PKI-parametre.

Tabel 1. Standard PKI-parametre

Parametre

Standard

Tillidspunkt

Ingen

RSA nøglepar

Ingen

RSA nøgle-parmærkat

Enheds FQDN

RSA nøgle-parmodul

512

RSA-nøglepar kan eksporteres

Enabled

Metode til kontrol af tilbagekaldelse

Crl

Konfigurer CA'er og digitale certifikater

Dette afsnit beskriver de opgaver, du skal udføre for at tillade CA'er og digitale certifikater på din Cisco NX-OS-enhed at interoperaere.

Konfigurer værtsnavnet og IP-domænenavnet

Du skal konfigurere enhedens værtsnavn og IP-domænenavn, hvis du endnu ikke har konfigureret dem, fordi Cisco NX-OS-softwaren bruger enhedens helt kvalificeret domænenavn (FQDN) som emne i identitetscertifikatet. Desuden bruger Cisco NX-OS-softwaren enheden FQDN som en standardnøglemærkat, når du ikke angiver en etiket under oprettelse af nøglepar. For eksempel er et certifikat DeviceA.example.com baseret på enhedens værtsnavn på DeviceA og en enheds IP-domænenavn, som er example.com.


Ændring af værtsnavnet eller IP-domænenavnet efter oprettelse af certifikatet kan ugyldigere certifikatet.

  Kommando eller handling Formål
1

konfigurer terminal

Eksempel:

switch# konfigurer 
 terminalkontakt(konfigurer) #

Går ind i global konfigurationstilstand.

2

værtsnavnværtsnavn

Eksempel:

switch(config)# værtsnavn EnhedA

Konfigurerer værtsnavnet på enheden.

3

ip-domænenavn[use-vrfvrf-name]

Eksempel:

DeviceA(konfigurer)# ip-domænenavn example.com

Konfigurerer IP-domænenavnet på enheden. Hvis du ikke angiver et VRF-navn, bruger kommandoen standard-VRF.

4

Afslutte

Eksempel:

switch(konfigurer)# 
 udgangskontakt #

Afslutter konfigurationstilstand.

5

(Valgfri) vis værter

Eksempel:

skift# vis værter
(Valgfri)

Viser IP-domænenavnet.

6

(Valgfri) kopier running-config opstart-konfigura

Eksempel:

switch# kopier running-config startup-konfigura
(Valgfri)

Kopierer den kørende konfiguration til opstartskonfigurationen.

Genererer et RSA-nøglepar

Du kan generere et RSA-nøglepar til at underskrive og/eller kryptere og dekryptere sikkerhedsdataene under udvekslinger af sikkerhedsprotokoler for applikationer. Du skal oprette RSA-nøgleparret, før du kan få et certifikat til din enhed.

  Kommando eller handling Formål
1

konfigurer terminal

Eksempel:

switch# konfigurer 
 terminalkontakt(konfigurer) #

Går ind i global konfigurationstilstand.

2

key generatesa [label-string] [eksportable ] [modulus size]

Eksempel:

switch(config)# nøgle til at generere rsa kan eksporteres

Genererer et RSA-nøglepar. Det maksimale antal nøglepar på en enhed er 16.

Mærkatstrengen er alfanumerisk, følsom for store og små bogstaver og har en maksimal længde på 64 tegn. Standardmærkatstrengen er værtsnavnet, og FQDN adskilt af et punktumtegn (.).

Gyldige modulusværdier er 512, 768, 1024, 1536 og 2048. Standardmodulstørrelsen er 512.


 

Sikkerhedspolitik på Cisco NX-OS-enheden og på CA (hvor tilmelding er planlagt) bør tages i betragtning, når den relevante nøglemodul undgås.

Nøgleparret kan som standard ikke eksporteres. Kun de nøglepar, der kan eksporteres, kan eksporteres i PKCS#12-format.


 

Du kan ikke ændre et nøglepars eksportbarhed.

3

Afslutte

Eksempel:

switch(konfigurer)# 
 udgangskontakt #

Afslutter konfigurationstilstand.

4

(Valgfri) vis elementnøglen mypubkey rsa

Eksempel:

switch# vis udvekslingsnøgle minpubkey rsa
(Valgfri)

Viser den genererede nøgle.

5

(Valgfri) kopier running-config opstart-konfigura

Eksempel:

switch# kopier running-config startup-konfigura
(Valgfri)

Kopierer den kørende konfiguration til opstartskonfigurationen.

Oprettelse af en Trust Point CA tilknytning

Du skal knytte Cisco NX-OS-enheden til en CA, der er tillid til.

Før du begynder

Generer RSA-nøglepar.

  Kommando eller handling Formål
1

konfigurer terminal

Eksempel:

switch# konfigurer 
 terminalkontakt(konfigurer) #

Går ind i global konfigurationstilstand.

2

navn på trustpoint fortrustpoint

Eksempel:

switch(konfigurer)# adgang ca trustpoint admin-ca 
 switch(konfigurer-trustpoint) #

Erklærer et tillidspunkt CA, at enheden skal have tillid til og går i tillidspunktskonfigurationstilstand.


 

Det maksimale antal tillidspunkter, som du kan konfigurere på en enhed, er 16.

3

tilmeldingsterminal

Eksempel:

switch(konfigurer-tillidspunkt)# tilmeldingsterminal

Aktiverer manuel udklip og sæt certifikatregistrering ind. Standardindstillingen er aktiveret.


 

Cisco NX-OS software understøtter kun den manuelle cut-and-paste metode til certifikat tilmelding.

4

rsakeypair-etiket

Eksempel:

switch(config-trustpoint)# rsakeypair SwitchA

Angiver etiketten for RSA-nøgleparret, der skal knyttes til dette tillidspunkt for tilmelding.


 

Du kan kun angive ét RSA-nøglepar pr. CA.

5

Afslutte

Eksempel:

switch(konfigurer-tillidspunkt)# 
 udgangsskift(konfiguration) #

Afslutter konfigurationstilstand for tillidspunkt.

6

(Valgfri) vis trustpoints

Eksempel:

switch(konfigurer)# vis trustpoints
(Valgfri)

Viser oplysninger om tillidspunkt.

7

(Valgfri) kopier running-config opstart-konfigura

Eksempel:

switch(config)# copy running-config startup-konfigura
(Valgfri)

Kopierer den kørende konfiguration til opstartskonfigurationen.

Godkender CA

Konfigurationsprocessen for at stole på en CA er kun færdig, når CA er godkendt til Cisco NX-OS-enheden. Du skal godkende din Cisco NX-OS-enhed til CA ved at få det selv underskrevne certifikat fra CA i PEM-format, som indeholder CA'ens offentlige nøgle. Da CA'ens certifikat er underskrevet af dig selv (CA signerer sit eget certifikat) skal CA'ens offentlige nøgle godkendes manuelt ved at kontakte CA-administratoren for at sammenligne fingeraftrykket af CA-certifikatet.


Den CA, du godkender, er ikke en selv underskrevet CA, når den er en underordnet CA til en anden CA, som i sig selv kan være underordnet til endnu en CA, og så videre, til sidst slutter i en selv underskrevet CA. Denne type CA-certifikat kaldes CA-certifikatkæden for den CA, der godkendes. I dette tilfælde skal du indtaste den komplette liste over CA-certifikater for alle CA'er i certificeringskæden under CA-bekræftelsen. Det maksimale antal certifikater i en CA-certifikatkæde er 10.

Før du begynder

Opret en tilknytning til CA.

Opnå CA-certifikatet eller CA-certifikatkæden.

  Kommando eller handling Formål
1

konfigurer terminal

Eksempel:

switch# konfigurer 
 terminalkontakt(konfigurer) #

Går ind i global konfigurationstilstand.

2

godkendelsesnavn for kate

Eksempel:

switch(config)# certificering ca godkende admin-ca 
 input (cut & paste) CA certifikat (kæde) i PEM-format; 
 end the input with a line containing only END OF INPUT : 
 -----BEGIN CERTIFICATE----- 
 MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB 
 kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO 
 MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE 
 ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD 
 QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN 
 AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth 
 cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG 
 A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN 
 AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI 
 OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E 
 BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ 
 GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs 
 L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv 
 bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB 
 BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea 
 NBG7E0oN66zex0EOEfG1Vs6mXp1//w== 
 -----END CERTIFICATE----- 
 END OF INPUT 
 Fingerprint(s): MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Accepterer du dette 
 certifikat? [ja/nej]: ja

Beder dig om at klippe og indsætte CA'ens certifikat. Brug det samme navn, som du brugte, da du brugte , da du brugte CA'en.

Det maksimale antal tillidspunkter, som du kan godkende til en specifik CA, er 10.


 

For underordnet CA-bekræftelse kræver Cisco NX-OS-software hele kæden af CA-certifikater, der slutter i et selv underskrevet CA, fordi CA-kæden er nødvendig for certifikatverificering samt for eksport af PKCS#12-format.

3

Afslutte

Eksempel:

switch(konfigurer)# 
 udgangskontakt #

Afslutter konfigurationstilstand.

4

(Valgfri) vis trustpoints

Eksempel:

switch# vis disse ca trustpoints
(Valgfri)

Viser ca.-oplysninger om tillidspunkt.

5

(Valgfri) kopier running-config opstart-konfigura

Eksempel:

switch# kopier running-config startup-konfigura
(Valgfri)

Kopierer den kørende konfiguration til opstartskonfigurationen.

Konfigurer metoder til kontrol af tilbagekaldelse af certifikat

Under sikkerhedsudvekslinger med en klient (for eksempel en SSH-bruger) udfører Cisco NX-OS-enheden certifikatbekræftelsen for peer-certifikat, der sendes af klienten. Bekræftelsesprocessen kan medføre kontrol af tilbagekaldelsesstatus for certifikat.

Du kan konfigurere enheden til at kontrollere den CRL, der downloades fra CA. Download af CRL og kontrol lokalt genererer ikke trafik på dit netværk. Certifikater kan dog tilbagekaldes mellem downloads, og din enhed ville ikke være opmærksom på tilbagekaldelsen.

Før du begynder

Godkend CA.

Kontroller, at du har konfigureret CRL, hvis du vil bruge CRL-kontrol.

  Kommando eller handling Formål
1

konfigurer terminal

Eksempel:

switch# konfigurer 
 terminalkontakt(konfigurer) #

Går ind i global konfigurationstilstand.

2

navn på trustpoint fortrustpoint

Eksempel:

switch(konfigurer)# adgang ca trustpoint admin-ca 
 switch(konfigurer-trustpoint) #

Angiver en CA, der er tillid til, og går ind i tillidspunktskonfigurationstilstand.

3

tilbagekaldelsestjek {crl [ none ] none | }

Eksempel:

switch(konfigurer-trustpoint)# tilbagekaldelse-kontroller ingen

Konfigurerer kontrolsmetoder for tilbagekaldelse af certifikat. Standardmetoden er crl.

Cisco NX-OS-softwaren bruger tilbagekaldelsesmetoderne for certifikater i den rækkefølge, du angiver.

4

Afslutte

Eksempel:

switch(konfigurer-tillidspunkt)# 
 udgangsskift(konfiguration) #

Afslutter konfigurationstilstand for tillidspunkt.

5

(Valgfri) vis trustpoints

Eksempel:

switch(konfigurer)# vis trustpoints
(Valgfri)

Viser ca.-oplysninger om tillidspunkt.

6

(Valgfri) kopier running-config opstart-konfigura

Eksempel:

switch(config)# copy running-config startup-konfigura
(Valgfri)

Kopierer den kørende konfiguration til opstartskonfigurationen.

Genererer certifikatanmodninger

Du skal oprette en anmodning om at få identitetscertifikater fra den tilknyttede tillidspunkts CA for hver af din enheds RSA-nøglepar. Du skal derefter klippe og indsætte den viste anmodning i en e-mail eller i en webstedsformular for CA.

Før du begynder

Opret en tilknytning til CA.

Opnå CA-certifikatet eller CA-certifikatkæden.

  Kommando eller handling Formål
1

konfigurer terminal

Eksempel:

switch# konfigurer 
 terminalkontakt(konfigurer) #

Går ind i global konfigurationstilstand.

2

tilmeldingsnavn for tilmelding

Eksempel:

switch(config)# certifikat ca tilmelde admin-ca 
 Opret certifikatanmodningen ..
 Opret en challenge-adgangskode. Du skal verbalt give denne adgangskode 
  til CA-administratoren for at tilbagekalde dit certifikat.
  Af sikkerhedsmæssige årsager vil din adgangskode ikke blive gemt i konfigurationen.
  Noter det venligst.
  Adgangskode:nbv123 
 Emnenavnet i certifikatet vil være: DeviceA.cisco.com 
 skal skifte serienummeret medtages i emnenavnet? [ja/nej]: nej 
 Inkluder en IP-adresse i emnenavnet [ja/nej]: ja 
 ip-adresse:172.22.31.162 
 Certifikatanmodningen vises ...
-----BEGIN CERTIFICATE REQUEST----- 
 MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ 
 KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 
 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y 
 P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S 
 VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ 
 DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ 
 KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt 
 PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 
 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= 
 -----END CERTIFICATE REQUEST-----

Genererer en certifikatanmodning for en godkendt CA.


 

Du skal huske adgangskoden for udfordring. Den gemmes ikke med konfigurationen. Du skal indtaste denne adgangskode, hvis dit certifikat skal tilbagekaldes.

3

Afslutte

Eksempel:

switch(konfigurer-tillidspunkt)# 
 udgangsskift(konfiguration) #

Afslutter konfigurationstilstand for tillidspunkt.

4

(Valgfri) vis certificeringscertifikater

Eksempel:

switch(config)# vis certificering ca-certifikater
(Valgfri)

Viser CA-certifikaterne.

5

(Valgfri) kopier running-config opstart-konfigura

Eksempel:

switch(config)# copy running-config startup-konfigura
(Valgfri)

Kopierer den kørende konfiguration til opstartskonfigurationen.

Installation af identitetscertifikater

Du kan modtage identitetscertifikatet fra CA'en via e-mail eller via en webbrowser i en base64 kodet tekstformular. Du skal installere identitetscertifikatet fra CA'en ved at klippe og indsætte den kodede tekst.

Før du begynder

Opret en tilknytning til CA.

Opnå CA-certifikatet eller CA-certifikatkæden.

  Kommando eller handling Formål
1

konfigurer terminal

Eksempel:

switch# konfigurer 
 terminalkontakt(konfigurer) #

Går ind i global konfigurationstilstand.

2

virus ca importernavnecertifikat

Eksempel:

switch(config)# importer ca import admin-ca 
 certifikatindgang (cut & paste) certifikat i PEM-format:
-----BEGIN CERTIFICATE----- 
 MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G 
 CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD 
 VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz 
 Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w 
 NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu 
 Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C 
 dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 
 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb 
 x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw 
 GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR 
 bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW 
 pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE 
 BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w 
 DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh 
 cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 
 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 
 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH 
 AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl 
 LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 
 XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF 
 AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw 
 E36cIZu4WsExREqxbTk8ycx7V5o= 
 -----END CERTIFICATE-----

Beder dig om at klippe og indsætte identitetscertifikatet for CA-navngivne admin-ca.

Det maksimale antal identificer certifikater, som du kan konfigurere på en enhed, er 16.

3

Afslutte

Eksempel:

switch(konfigurer)# 
 udgangskontakt #

Afslutter konfigurationstilstand.

4

(Valgfri) vis certificeringscertifikater

Eksempel:

switch# vis certificeringscertifikater
(Valgfri)

Viser CA-certifikaterne.

5

(Valgfri) kopier running-config opstart-konfigura

Eksempel:

switch# kopier running-config startup-konfigura
(Valgfri)

Kopierer den kørende konfiguration til opstartskonfigurationen.

Sikre, at tillidspunktskonfigurationer fortsætter på tværs af genstart

Du kan sikre, at trustpoint-konfigurationen fortsætter på tværs af Cisco NX-OS-enheden genstarter.

Tillidspunktkonfigurationen er en normal Cisco NX-OS-enhedskonfiguration, der fortsætter på tværs af systemgenstart, men kun hvis du kopierer den eksplicit til opstartskonfigurationen. Certifikater, nøglepar og CRL, der er knyttet til et tillidspunkt, er automatisk vedvarende, hvis du allerede har kopieret konfigurationen af tillidspunkt i opstartskonfigurationen. Selv om tillidspunktkonfigurationen ikke kopieres til opstartskonfigurationen, er certifikaterne, nøgleparpar og CRL, der er knyttet til den, ikke vedvarende, da de kræver konfiguration af det tilsvarende tillidspunkt efter en genstart. Kopier altid den kørende konfiguration til opstartskonfigurationen for at sikre, at de konfigurerede certifikater, nøglepar og CRLs er vedvarende. Gem også den kørende konfiguration efter sletning af et certifikat eller nøglepar for at sikre, at sletningen er permanent.

Certifikaterne og CRL, der er tilknyttet et tillidspunkt, bliver automatisk vedvarende, når de importeres (dvs. uden udtrykkelig kopiering til opstartskonfiguration), hvis det specifikke tillidspunkt allerede er gemt i opstartskonfigurationen.

Vi anbefaler, at du opretter en adgangskodebeskyttet sikkerhedskopi af identitetscertifikaterne og gemmer den på en ekstern server.


Kopiering af konfigurationen til en ekstern server inkluderer certifikaterne og nøgleparret.

Eksporterer identitetsoplysninger i PKCS 12-format

Du kan eksportere identitetscertifikatet sammen med RSA-nøglepar og CA-certifikatet (eller hele kæden i tilfælde af en underordnet CA) af et tillidspunkt til en PKCS#12-fil til sikkerhedskopieringsformål. Du kan importere certifikatet og RSA-nøgleparret for at genoprette efter et systemnedbrud på din enhed, eller når du erstatter supervisormodulerne.


Du kan kun bruge bootflash:filnavnformatet, når eksport-URL-adressen angives.

Før du begynder

Godkend CA.

Installer et identitetscertifikat.

  Kommando eller handling Formål
1

konfigurer terminal

Eksempel:

switch# konfigurer 
 terminalkontakt(konfigurer) #

Går ind i global konfigurationstilstand.

2

bug caeksportnavn pkcs12 bootflash:filnavnadgangskode

Eksempel:

switch(config)# indsigt ca-eksport admin-ca pkcs12 bootflash:adminid.p12 nbv123

Eksporterer identitetscertifikatet og tilknyttede nøglepar- og CA-certifikater for en CA, der er tillid til. Adgangskoden er alfanumerisk, følsom for store og små bogstaver og har en maksimal længde på 128 tegn.

3

Afslutte

Eksempel:

switch(konfigurer)# 
 udgangskontakt #

Afslutter konfigurationstilstand.

4

kopiér booflash:filenamescheme :// server/ [url/ ]filnavn

Eksempel:

switch# kopi bootflash:adminid.p12 tftp:adminid.p12

Kopierer PKCS#12-formatfilen til en ekstern server.

For planargumentet kan du indtaste tftp:, ftp:, scp:, eller sftp:. Serverargumentet er adressen eller navnet på den eksterne server, og URL-argumentet er stien til kildefilen på den eksterne server.

Der er store og små bogstaver iserverens , URL- og filnavnsargumenterne.

Import af identitetsoplysninger i PKCS 12-format

Du kan importere certifikatet og RSA-nøgleparret for at genoprette efter et systemnedbrud på din enhed, eller når du erstatter supervisormodulerne.


Du kan kun bruge bootflash:filnavnformatet, når du angiver import-URL-adressen.

Før du begynder

Sørg for, at tillidspunktet er tomt ved at kontrollere, at ingen RSA-nøglepar er tilknyttet, og at ingen CA er tilknyttet tillidspunktet ved hjælp af CA-godkendelse.

  Kommando eller handling Formål
1

kopierskema :// server/ [url /]filnavnbootflash:filnavn

Eksempel:

switch# kopier tftp:adminid.p12 bootflash:adminid.p12

Kopierer PKCS#12-formatfilen fra den eksterne server.

For planargumentet kan du indtaste tftp:, ftp:, scp:, eller sftp:. Serverargumentet er adressen eller navnet på den eksterne server, og URL-argumentet er stien til kildefilen på den eksterne server.

Der er store og små bogstaver iserverens , URL- og filnavnsargumenterne.

2

konfigurer terminal

Eksempel:

switch# konfigurer 
 terminalkontakt(konfigurer) #

Går ind i global konfigurationstilstand.

3

afgift ca importnavnpksc12 bootflash:filnavn

Eksempel:

switch(config)# importer ca importer admin-ca pkcs12 bootflash:adminid.p12 nbv123

Importerer identitetscertifikatet og tilknyttede nøglepar- og CA-certifikater for trust point CA.

4

Afslutte

Eksempel:

switch(konfigurer)# 
 udgangskontakt #

Afslutter konfigurationstilstand.

5

(Valgfri) vis certificeringscertifikater

Eksempel:

switch# vis certificeringscertifikater
(Valgfri)

Viser CA-certifikaterne.

6

(Valgfri) kopier running-config opstart-konfigura

Eksempel:

switch# kopier running-config startup-konfigura
(Valgfri)

Kopierer den kørende konfiguration til opstartskonfigurationen.

Konfigurer en CRL

Du kan manuelt konfigurere CRLs, som du har downloadet fra tillidspunkterne. Cisco NX-OS-software cachelagrer CRLs i enhedens bootflash (cert-store). Under verificeringen af en peer-certifikat kontrollerer Cisco NX-OS-softwaren CRL kun for den kontrol, der er foretaget af CA, hvis du har downloadet CRL til enheden, og du har konfigureret kontrol af tilbagekaldelse af certifikater for at bruge CRL.

Før du begynder

Kontroller, at du har aktiveret kontrol af tilbagekaldelse af certifikat.

  Kommando eller handling Formål
1

kopierskema:[// server /[ url/]] filnavnbootflash:filnavn

Eksempel:

switch# kopier tftp:adminca.crl bootflash:adminca.crl

Downloader CRL fra en ekstern server.

For planargumentet kan du indtaste tftp:, ftp:, scp:, eller sftp:. Serverargumentet er adressen eller navnet på den eksterne server, og URL-argumentet er stien til kildefilen på den eksterne server.

Der er store og små bogstaver iserverens , URL- og filnavnsargumenterne.

2

konfigurer terminal

Eksempel:

switch# konfigurer 
 terminalkontakt(konfigurer) #

Går ind i global konfigurationstilstand.

3

ctrl ca crl anmodningnavnbootflash:filnavn

Eksempel:

switch(config)#config ca crl-anmodning admin-ca bootflash:adminca.crl

Konfigurerer eller erstatter den aktuelle CRL med den, der er angivet i filen.

4

Afslutte

Eksempel:

switch(konfigurer)# 
 udgangskontakt #

Afslutter konfigurationstilstand.

5

(Valgfri) vis intellekt cacrl-navn

Eksempel:

switch# vis crl admin-ca
(Valgfri)

Viser CA CRL-oplysningerne.

6

(Valgfri) kopier running-config opstart-konfigura

Eksempel:

switch# kopier running-config startup-konfigura
(Valgfri)

Kopierer den kørende konfiguration til opstartskonfigurationen.

Slette certifikater fra CA-konfigurationen

Du kan slette identitetscertifikater og CA-certifikater, der er konfigureret i et tillidspunkt. Du skal først slette identitetscertifikatet efterfulgt af CA-certifikaterne. Efter sletning af identitetscertifikatet kan du fjerne RSA-nøgleparret fra et tillidspunkt. Du skal slette certifikater for at fjerne udløbne eller tilbagekaldte certifikater, certifikater, der har kompromitteret (eller tror, at de er kompromitteret) nøglepar, eller CA'ere, som ikke længere er pålidelige.

  Kommando eller handling Formål
1

konfigurer terminal

Eksempel:

switch# konfigurer 
 terminalkontakt(konfigurer) #

Går ind i global konfigurationstilstand.

2

navn på trustpoint fortrustpoint

Eksempel:

switch(konfigurer)# adgang ca trustpoint admin-ca 
 switch(konfigurer-trustpoint) #

Angiver en CA, der er tillid til, og går ind i tillidspunktskonfigurationstilstand.

3

slet ca-certifikat

Eksempel:

switch(config-trustpoint)# slet ca-certifikat

Sletter CA-certifikatet eller certifikatkæden.

4

slet certifikat [force]

Eksempel:

switch(konfigurer-tillidspunkt)# slet certifikat

Sletter identitetscertifikatet.

Du skal bruge valgmuligheden gennemtving, hvis det identitetscertifikat, du ønsker at slette, er det sidste certifikat i en certifikatkæde eller kun identitetscertifikat på enheden. Dette krav sikrer, at du ikke ved en fejl sletter det sidste certifikat i en certifikatkæde eller kun identitetscertifikatet og forlader applikationerne (såsom SSH) uden et certifikat at bruge.

5

Afslutte

Eksempel:

switch(konfigurer-tillidspunkt)# 
 udgangsskift(konfiguration) #

Afslutter konfigurationstilstand for tillidspunkt.

6

(Valgfri) vis certificeringscertifikater [ name]

Eksempel:

switch(config)# vis certifikat ca certifikater admin-ca
(Valgfri)

Viser CA-certifikatoplysningerne.

7

(Valgfri) kopier running-config opstart-konfigura

Eksempel:

switch(config)# copy running-config startup-konfigura
(Valgfri)

Kopierer den kørende konfiguration til opstartskonfigurationen.

Sletning af RSA-nøglepar fra en Cisco NX-OS-enhed

Du kan slette RSA-nøglepar fra en Cisco NX-OS-enhed, hvis du mener, at RSA-nøglepar blev kompromitteret på en eller anden måde og ikke længere bør bruges.


Når du har slettet RSA-nøglepar fra en enhed, skal du bede CA-administratoren om at tilbagekalde din enheds certifikater i CA. Du skal levere den udfordringsadgangskode, som du oprettede, da du oprindeligt anmodede om certifikaterne.

  Kommando eller handling Formål
1

konfigurer terminal

Eksempel:

switch# konfigurer 
 terminalkontakt(konfigurer) #

Går ind i global konfigurationstilstand.

2

key zeroizersa-etiket

Eksempel:

switch(config)# nøgle zeroize rsa MyKey

Sletter RSA-nøglepar.

3

Afslutte

Eksempel:

switch(konfigurer)# 
 udgangskontakt #

Afslutter konfigurationstilstand.

4

(Valgfri) vis elementnøglen mypubkey rsa

Eksempel:

switch# vis udvekslingsnøgle minpubkey rsa
(Valgfri)

Viser RSA-nøgleparkonfiguration.

5

(Valgfri) kopier running-config opstart-konfigura

Eksempel:

switch# kopier running-config startup-konfigura
(Valgfri)

Kopierer den kørende konfiguration til opstartskonfigurationen.

Kontrollerer PKI-konfigurationen

For at vise PKI-konfigurationsoplysninger, skal du udføre en af følgende opgaver:

Kommando

Formål

vis elementnøglen mypubkey rsa

Viser oplysninger om de RSA offentlige nøgler genereret på Cisco NX-OS-enheden.

vis certificeringscertifikater

Viser oplysninger om CA og identitetscertifikater.

vis intellekt ca crl

Viser oplysninger om CA CRLs.

vis trustpoints

Viser oplysninger om CA tillidspunkter.

Konfigurationsekse eksempler på PKI

Dette afsnit viser eksempler på de opgaver, du kan bruge til at konfigurere certifikater og CRLs på Cisco NX-OS-enheder ved hjælp af en Microsoft Windows certifikatserver.


Du kan bruge enhver type certifikatserver til at oprette digitale certifikater. Du er ikke begrænset til at bruge Microsoft Windows certifikatserveren.

Konfigurer certifikater på en Cisco NX-OS-enhed

For at konfigurere certifikater på en Cisco NX-OS-enhed skal du følge disse trin:

1

Konfigurer enhedens FQDN.

switch# konfigurer terminal Indtast konfigurationskommandoer, en pr. linje.  Afslut med CNTL/Z. 
 switch(config)# værtsnavn Enhed-1 enhed-1(konfiguration) #

2

Konfigurer DNS-domænenavnet for enheden.

Enhed-1(konfigurer)# ip-domænenavn cisco.com

3

Opret et tillidspunkt.

Device-1(config)# (konfigurer)# ca trustpoint myCA Device-1(config-trustpoint)# exit Device-1(config)# vis konfiguration ca trustpoints trustpoint: myCA; Nøglen:
tilbagekaldelsesmetoder:  Crl

4

Opret et RSA-nøglepar for enheden.

Enhed-1(konfigura)# nøgle generer rsa label myKey eksportable modulus 1024 Device-1(config)# vis nøgle mypubkey rsa nøgle: myKey-nøglestørrelse: 1024 
 kan eksporteres: ja

5

Tilknyt RSA-nøgleparret til tillidspunktet.

Device-1(config)# (ca trustpoint myCA Device-1(config-trustpoint)# rsakeypair myKey Device-1(config-trustpoint)# exit Device-1(config)# showkonfigurer ca trustpoints trustpoint: myCA; Nøglen: myKey-tilbagekaldelsesmetoder:  Crl

6

Download CA-certifikatet fra Microsoft Certificate Service-webgrænsefladen.

7

Godkend CA, som du vil tilmelde til tillidspunktet.

Device-1(config)#config ca authenticate myCA input (cut & paste) CA-certifikat (kæde) i PEM-format; 
 end the input with a line containing only END OF INPUT : 
 -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea NBG7E0oN66zex0EOEfG1Vs6mXp1//w== -----END CERTIFICATE----- AFSLUTNING AF INPUT Fingeraftryk(er): MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Accepterer du dette 
 certifikat? [ja/nej]:y  Device-1(konfigura)# vis certificering ca certifikater Trustpoint: myCA 
 CA certifikat 0:
emne= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ 
 L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna 
 CA issuer= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ 
 L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA 
 serial=0560D289ACB41994F4912258CAD197A ikkeBefore=3. maj 22:44F4912258CAD197A 
 ikkeBefore=3. maj 22:44F4912258CAD197A ikkeBefore=3. maj 22:44F4912258CAD197A ikkeBefore=3. maj 22:22:4 46:37 2005 GMT 
 notAfter=3 22:55:17 2007 GMT 
 MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 
 formål: sslserver sslclient ike

8

Opret et anmodningscertifikat, der skal bruges til at tilmelde dig med et tillidspunkt.

Enhed-1(konfigurer)# tilmeld myCA  Opret certifikatanmodningen.
 Opret en challenge-adgangskode. Du skal verbalt give denne adgangskode 
  til CA-administratoren for at tilbagekalde dit certifikat.
  Af sikkerhedsmæssige årsager vil din adgangskode ikke blive gemt i konfigurationen.
  Noter det venligst.
  Adgangskode: nbv123  Emnenavnet i certifikatet vil være: Device-1.cisco.com skal  skifte serienummeret i emnenavnet medtages? [ja/nej]: nej  Inkluder en IP-adresse i emnenavnet [ja/nej]: ja ip-adresse: 10.10.1.1  Certifikatanmodningen vises...
-----BEGIN CERTIFICATE REQUEST----- 
 MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ 
 KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 
 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y 
 P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S 
 VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ 
 DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ 
 KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt 
 PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 
 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= 
 -----END CERTIFICATE REQUEST-----

9

Anmod om et identitetscertifikat fra Microsoft-certifikattjenestes webgrænseflade.

10

Importer identitetscertifikatet.

Device-1(config)# importer certifikatet myCA certificate input (cut & paste) i PEM-format:
-----BEGIN-CERTIFIKAT----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZHjulL1xcc3NlTA4 XENlcnRFbnJvbGxcc3NlTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw E36cIKonfigurer4WsExREqxbTk8ycx7V5o= -----END CERTIFIKAT----- Enhed-1(konfiguration)#  udgangsenhed-1 #

11

Bekræft certifikatkonfigurationen.

12

Gem certifikatkonfigurationen til opstartskonfigurationen.

Downloader et CA-certifikat

For at downloade et CA-certifikat fra Microsoft-certifikattjenestes webgrænseflade skal du følge disse trin:

1

Fra Microsoft certifikattjenestes webgrænseflade skal du klikke på Hent CA-certifikatet eller tilbagekaldelsesopgaven for certifikatet og derefter klikke på Næste .

2

Fra visningslisten skal du vælge CA-certifikatfilen til download fra den viste liste. Klik derefter på Base 64 kodet, og klik på Download CA certifikat .

3

Klik på Åbn i filoverførselsfilen dialogboks.

4

I certifikatcertifikatsfilen dialogboks du klikke på Kopier til fil og klikke på OK.

5

Fra guiden til certifikateksport dialogboks du vælge den base-64-kodede X.509 (CER), og klikke på Næste .

6

I den Filnavn: tekstfelt på guiden Certifikateksport dialogboks, indtast destinationsfilen og klik på Næste.

7

I guiden til certifikateksport dialogboks du klikke på Afslut.

8

Indtast Microsoft Windows typekommando for at vise CA-certifikatet gemt i Base-64 (PEM) format.

Anmoder om et identitetscertifikat

For at anmode om et identificer certifikat fra en Microsoft certifikatserver ved hjælp af en PKCS#12 anmodning om underskrift af certifikat (CRS) skal du følge disse trin:

1

Fra Microsoft certifikattjenestes webgrænseflade skal du klikke på Anmod om et certifikat og klikke på Næste .

2

Klik på Avanceret anmodning, og klik på Næste .

3

Klik på Indsend en certifikatanmodning ved hjælp af en base64-kodet PKCS#10-fil eller en anmodning om fornyelse ved hjælp af en base64-kodet PKCS#7-fil, og klik på Næste .

4

I tekstfeltet Gemt anmodning skal du indsætte base64 PKCS#10 certifikatanmodningen og klikke på Næste. Certifikatanmodningen kopieres fra Cisco NX-OS-enhedskonsollen.

5

Vent én eller to dage, indtil certifikatet udstedes af CA-administratoren.

6

Bemærk, at CA-administratoren godkender certifikatanmodningen.

7

Fra Microsoft certifikattjenestes webgrænseflade skal du klikke på Kontroller på et afventende certifikat og klikke på Næste .

8

Vælg den certifikatanmodning, du vil kontrollere, og klik på Næste.

9

Klik på Base 64-kodet, og klik på Download CA-certifikat.

10

I dialogboksen Fil download dialogboks du klikke på Åbn.

11

I boksen Certifikat skal du klikke på fanen Detaljer og klikke på Kopier tilfil.... I dialogboksen Certifikateksport skal du klikke på Basis-64 kodet X.509 (. CER), og klik på Næste .

12

I den Filnavn: tekstfelt på guiden Certifikateksport dialogboks, indtast destinationsfilen og klik på Næste.

13

Klik på Afslut.

14

Indtast Microsoft Windows-typekommandoen for at vise identitetscertifikatet i base64-kodet format.

Tilbagekaldelse af et certifikat

For at tilbagekalde et certifikat ved hjælp af Microsoft CA-administratorprogrammet skal du følge disse trin:

1

Fra træet Nøglecenter skal du klikke på Mappen Udstedte certifikater. Fra listen skal du højreklikke på det certifikat, du vil tilbagekalde.

2

Vælg Alle opgaver > Tilbagekald certifikat.

3

Fra dialogboksen Årsagskode rullegardinmenu du vælge en årsag til tilbagekaldelsen og klikke på Ja.

4

Klik på mappen Tilbagekaldte certifikater for at få vist og bekræfte tilbagekaldelsen af certifikatet.

Generere og udgive CRL

For at generere og udgive CRL ved hjælp af Microsoft CA-administratorprogrammet skal du følge disse trin:

1

På skærmen Nøglecenter skal du vælge Handling > Alle opgaver > Udgiv.

2

I dialogboksen Certifikatgenopkaldelsesliste dialogboks du klikke på Ja for at udgive den seneste CRL.

Downloader CRL

Følg disse trin for at downloade CRL fra Microsoft CA-webstedet:

1

Fra Microsoft certifikattjenestes webgrænseflade skal du klikke på Hent CA-certifikatet eller tilbagekaldelseslisten for certifikatet, og klikke på Næste.

2

Klik på Download seneste certifikat tilbagekaldelsesliste.

3

I den Fil Download dialogboks, klik på Gem.

4

I fanen Gem som dialogboks du indtaste destinationsfilens navn og klikke på Gem.

5

Indtast Microsoft Windows-typekommandoen for at vise CRL.

Import af CRL

For at importere CRL til det tillidspunkt, der svarer til CA, skal du følge disse trin:

1

Kopier CRL-filen til cisco NX-OS-enhedens bootflash.

Enhed-1# kopiér tftp:apranaCA.crl bootflash:aparnaCA.crl

2

Konfigurer CRL.


Enhed-1# konfigurer terminal Device-1(config)#config ca crl anmod om myCA bootflash:aparnaCA.crl Device-1(konfiguration) #

3

Vis indholdet af CRL.


Device-1(config)# vis intellekt ca crl myCA Trustpoint: myCA 
 CRL:
Tilbagekaldelsesliste for certifikat (CRL):
        Version 2 (0x1) 
        Underskriftsalgoritme: sha1WithRSAEnkrypteringsudsteder: /emailAddress=admin@yourcompany.com/C=IN/ST=Karnatak 
 yourcompany/OU=netstorage/CN=Aparna CA 
        Seneste opdatering: 12. nov 04:36:04 2005 GMT 
        næste opdatering: 19. nov 16:56:04 2005 GMT 
        CRL-udvidelser:
            X509v3 Autoritetsnøgleidentifikator:
            keyid:27:28:F2:46:83:1B:AC:23:4C:45:4D:8E:C9:18:50:1 
            1.3.6.1.4.1.311.21.1:
                ...
Tilbagekaldte certifikater:
    Serienummer: 611B09A1000000002 
        tilbagekaldelsesdato: 16. aug 21:52:19 2005 GMT 
 serienummer: 4CDE464E0000000003 
        tilbagekaldelsesdato: 16. aug 21:52:29 2005 GMT 
    serienummer: 4CFC2B420000000004 
        tilbagekaldelsesdato: 16. aug 21:52:41 2005 GMT 
    serienummer: 6C699EC20000000005 
        tilbagekaldelsesdato: 16. aug 21:52:52 2005 GMT 
    serienummer: 6CCF7DDC0000000006 
        tilbagekaldelsesdato: 8. juni 00:12:04 2005 GMT 
    serienummer: 70CC4FFF0000000007 
        tilbagekaldelsesdato: 16. aug 21:53:15 2005 GMT 
    serienummer: 4D9B11600000000008 
        tilbagekaldelsesdato: 16. aug 21:53:15 2005 GMT 
    serienummer: 52A802300000000009 
        tilbagekaldelsesdato: 27. juni 23.47.06 2005 GMT 
        CRL-indgangsudvidelser:
            X509v3 CRL-årsagskode:
            CA 
 kompromitteret serienummer: 5349AD4600000000A 
        tilbagekaldelsesdato: 27. juni 23.47.22 2005 GMT 
        CRL-indgangsudvidelser:
            X509v3 CRL-årsagskode:
            CA 
 kompromitteret serienummer: 53BD173C00000000B 
        tilbagekaldelsesdato: 4. juli 18:04:01 2005 GMT 
        CRL-indgangsudvidelser:
            X509v3 CRL-årsagskode:
            Serienummer på 
 certifikat venteposition: 591E7ACE000000000C 
        tilbagekaldelsesdato: 16. aug 21:53:15 2005 GMT 
    serienummer: 5D3FD52E000000000D 
        tilbagekaldelsesdato: 29. juni 22.07.25 2005 GMT 
        CRL-indgangsudvidelser:
            X509v3 CRL-årsagskode:
            Nøgle 
 kompromitteret serienummer: 5DAB7713000000000E 
        tilbagekaldelsesdato: 14. jul 00:33:56 2005 GMT 
    serienummer: 5DAE53CD000000000F 
        tilbagekaldelsesdato: 16. aug 21:53:15 2005 GMT 
    serienummer: 5DB140D300000000010 
        tilbagekaldelsesdato: 16. aug 21:53:15 2005 GMT 
    serienummer: 5E2D7C1B00000000011 
        tilbagekaldelsesdato: 6. jul 21:12:10 2005 GMT 
        CRL-indgangsudvidelser:
            X509v3 CRL-årsagskode:
            Aktivitetsforse 
 serienummer: 16DB4F8F0000000012 
        tilbagekaldelsesdato: 16. aug 21:53:15 2005 GMT 
    serienummer: 261C39240000000013 
        tilbagekaldelsesdato: 16. aug 21:53:15 2005 GMT 
    serienummer: 262B520200000000014 
        tilbagekaldelsesdato: 14. jul 00:33:10 2005 GMT 
    serienummer: 2634C7F200000000015 
        tilbagekaldelsesdato: 14. jul 00:32:45 2005 GMT 
    serienummer: 2635B0000000000016 
        tilbagekaldelsesdato: 14. jul 00:31:51 2005 GMT 
    serienummer: 264850400000000017 
        tilbagekaldelsesdato: 14. jul 00:32:25 2005 GMT 
    serienummer: 2A2763570000000018 
 tilbagekaldelsesdato: 16. aug 21:53:15 2005 GMT 
    serienummer: 3F88CBF70000000019 
        tilbagekaldelsesdato: 16. aug 21:53:15 2005 GMT 
    serienummer: 6E4B5F5F000000001A 
        tilbagekaldelsesdato: 16. aug 21:53:15 2005 GMT 
    serienummer: 725B89D8000000001B 
        tilbagekaldelsesdato: 16. aug 21:53:15 2005 GMT 
    serienummer: 735A8878000000001C 
        tilbagekaldelsesdato: 16. aug 21:53:15 2005 GMT 
    serienummer: 148511C7000000001D 
        tilbagekaldelsesdato: 16. aug 21:53:15 2005 GMT 
    serienummer: 14A71701000000001E 
        tilbagekaldelsesdato: 16. aug 21:53:15 2005 GMT 
    serienummer: 14FC45B5000000001F 
        tilbagekaldelsesdato: 17. aug 18:30:42 2005 GMT 
    serienummer: 486CE80B00000000020 
        tilbagekaldelsesdato: 17. aug 18:30:43 2005 GMT 
    serienummer: 4CA4A3AA0000000021 
        tilbagekaldelsesdato: 17. aug 18:30:43 2005 GMT 
    serienummer: 1AA55C8E000000002F 
        tilbagekaldelsesdato: 5. sep 17:07:06 2005 GMT 
    serienummer: 3F0845DD000000003F 
        tilbagekaldelsesdato: 8. sep 20:24:32 2005 GMT 
    serienummer: 3F619B7E0000000042 
        tilbagekaldelsesdato: 8. sep 21:40:48 2005 GMT 
    serienummer: 6313C46300000000052 
        tilbagekaldelsesdato: 19. sep 17:37:18 2005 GMT 
    serienummer: 7C3861E30000000060 
        tilbagekaldelsesdato: 20. sep 17:52:56 2005 GMT 
    serienummer: 7C6EE35100000000061 
        tilbagekaldelsesdato: 20. sep 18:52:30 2005 GMT 
    serienummer: 0A338EA100000000074 <-- Revoked identity certificate 
 tilbagekaldelsesdato: 12. nov 04:34:42 2005 GMT 
    signaturalgoritme: sha1WithRSAEncryption 
        0b:cb:dd:43:0a:b8:62:1e:80:95:06:6f:4d:ab:0c:d8:8e:32:
        44:8e:a7:94:97:af:02:b9:a6:9c:14:fd:kald:90:cf:18:c9:96:
        29:bb:57:37:d9:1f:d5:bd:4e:9a:4b:18:2b:00:2f:d2:6e:c1:
        1a:9f:1a:49:b7:9c:58:24:d7:72


 

Identitetscertifikatet til enheden, som blev tilbagekaldt (serienummer 0A338EA100000000074) er angivet til sidst.