- PKI konfigurieren
- Informationen zur PKI
- CAs und digitale Zertifikate
- Vertrauensmodell, Vertrauenspunkte und Identitäts-CAs
- RSA-Schlüsselpaare und -Identitätszertifikate
- Mehrere vertrauenswürdige CA-Support
- PKI-Einschreibungsunterstützung
- Manuelle Einschreibung mit Cut-and-Paste
- Unterstützung für mehrere RSA-Schlüsselpaare und Identitäts-CA
- Verifizierung von Peer-Zertifikaten
- Auf Zertifikatssperrung überprüfen
- CRL-Unterstützung
- Import- und Exportunterstützung für Zertifikate und zugeordnete Schlüsselpaare
- Lizenzierungsanforderungen für PKI
- Richtlinien und Einschränkungen für PKI
- Standardeinstellungen für PKI
- Konfiguration von CAs und digitalen Zertifikaten
- Konfiguration von Hostname und IP-Domänenname
- Erstellen eines RSA-Schlüsselpaares
- Erstellen einer TRUST Point CA Association (CA-Zuordnung)
- Authentifizierung der CA
- Prüfmethoden für die Überprüfung der Zertifikatsperrung
- Erstellen von Zertifikatsanforderungen
- Installieren von Identitätszertifikaten
- Gewährleistung, dass die Konfiguration des Trust-Point während eines Neustarts weiterhin besteht
- Exportieren von Identitätsinformationen im PKCS 12-Format
- Importieren von Identitätsinformationen im PKCS 12-Format
- Konfiguration einer CRL
- Zertifikate aus der CA-Konfiguration löschen
- Löschen von RSA-Schlüsselpaaren von einem Cisco NX-OS-Gerät
- PKI-Konfiguration wird überprüft
- Konfigurationsbeispiele für PKI
- Zertifikate auf einem Cisco NX-OS-Gerät konfigurieren
- Herunterladen eines CA-Zertifikats
- Anfordern eines Identitätszertifikats
- Widerrufen eines Zertifikats
- Erstellen und Veröffentlichen der CRL
- Herunterladen der CRL
- Importieren der CRL
PKI konfigurieren
Dieses Kapitel enthält die folgenden Abschnitte:
Informationen zur PKI
Dieser Abschnitt enthält Informationen zur PKI.
CAs und digitale Zertifikate
Zertifizierungsstellen verwalten Zertifikatsanforderungen und stellen Zertifikate an teilnehmende Einrichtungen wie Gastgeber, Netzwerkgeräte oder Benutzer aus. Die CAs stellen die zentrale Schlüsselverwaltung für die teilnehmenden Einrichtungen zur Verfügung.
Digitale Signaturen, basierend auf einer Public-Key-Kryptografie, digitale Authentifizierung von Geräten und einzelnen Benutzern. Bei der Kryptografie mit einem öffentlichen Schlüssel, wie dem RSA-Verschlüsselungssystem, verfügt jedes Gerät oder jeder Benutzer über ein Schlüsselpaar, das sowohl einen privaten als auch einen öffentlichen Schlüssel enthält. Der private Schlüssel wird geheim gehalten und ist nur dem Gerät oder Benutzer des besitzenden Benutzers bekannt. Allerdings ist der öffentliche Schlüssel jedem bekannt. Alles, was mit einem der Schlüssel verschlüsselt ist, kann zusammen mit dem anderen entschlüsselt werden. Eine Signatur wird formiert, wenn Daten mit einem privaten Schlüssel des Absenders verschlüsselt werden. Der Empfänger überprüft die Signatur, indem er die Nachricht mit dem öffentlichen Schlüssel des Absenders entschlüsselt. Dieser Vorgang hängt davon ab, dass der Empfänger eine Kopie des öffentlichen Schlüssels des Absenders hat und mit einem hohen Maß an Interesse daran weiß, dass es wirklich zum Absender gehört und nicht zu jemandem, der als Absender vorgibt.
Digitale Zertifikate verknüpfen die digitale Signatur mit dem Absender. Ein digitales Zertifikat enthält Informationen zur Identifizierung eines Benutzers oder Geräts, z. B. der Name, die Seriennummer, das Unternehmen, die Abteilung oder die IP-Adresse. Außerdem enthält sie eine Kopie des öffentlichen Schlüssels der Juristischen Person. Die Zertifizierungsstelle, die das Zertifikat signiert, ist ein Drittanbieter, dem der Empfänger ausdrücklich vertraut, um Identitäten zu validieren und digitale Zertifikate zu erstellen.
Um die Signatur der CA zu validieren, muss der Empfänger zuerst den öffentlichen Schlüssel der CA kennen. Dieser Vorgang wird normalerweise bandlich oder über eine bei der Installation durchgeführte Operation durchgeführt. Zum Beispiel sind die meisten Webbrowser standardmäßig mit den öffentlichen Schlüsseln mehrerer CAs konfiguriert.
Vertrauensmodell, Vertrauenspunkte und Identitäts-CAs
Das PKI-Vertrauensmodell ist hierarchisch mit mehreren konfigurierbaren, vertrauenswürdigen CAs. Sie können jedes teilnehmende Gerät mit einer Liste vertrauenswürdiger Zertifizierungen konfigurieren, sodass eine Peer-Zertifikat, die während des Austauschs des Sicherheitsprotokolls erhalten wurde, authentifiziert werden kann, wenn sie von einer der lokal vertrauenswürdigen CAs ausgestellt wurde. Die Cisco NX-OS-Software speichert lokal die selbstsignierte Stammzertifikat der vertrauenswürdigen CA (oder die Zertifikatskette für eine untergeordnete Ca). Der Prozess, eine vertrauenswürdige CA Stammzertifikat-Zertifizierungsstelle sicher zu erhalten (oder die gesamte Kette im Fall einer untergeordneten ZERTIFIZIERUNGsstelle) und lokal gespeichert wird, wird CA-Authentifizierung genannt.
Die Informationen zu einer von Ihnen konfigurierten vertrauenswürdigen Zertifizierungsstelle werden als Vertrauenspunkt und die ZERTIFIZIERUNGsstelle selbst als Vertrauenspunkt-CAbezeichnet. Diese Informationen bestehen aus einem CA-Zertifikat (oder einer Zertifikatskette im Fall einer untergeordneten Zertifizierungsstelle) und einer Zertifikatsperrung, die Die Informationen überprüft.
Das Cisco NX-OS-Gerät kann sich auch mit einem Vertrauenspunkt registrieren, um ein Identitätszertifikat zu erhalten, das einem Schlüsselpaar zuordnen kann. Dieser Vertrauenspunkt wird als Identitäts-CAbezeichnet.
RSA-Schlüsselpaare und -Identitätszertifikate
Sie können ein Identitätszertifikat erhalten, indem Sie einen oder mehrere RSA-Schlüsselpaare erstellen und jedes RSA-Schlüsselpaar einer Vertrauenspunkt-CA zuordnen, in der sich das Cisco NX-OS-Gerät einschreiben möchte. Für das Cisco NX-OS-Gerät ist nur eine Identität pro CA benötigt, die aus einem Schlüsselpaar und einem Identitätszertifikat pro CA besteht.
Mit der Cisco NX-OS-Software können Sie RSA-Schlüsselpaare mit einer konfigurierbaren Schlüsselgröße (oder Modulus) erstellen. Die Standardgröße des Schlüssels ist 512. Sie können auch eine RSA-Schlüsselpaarbezeichnung konfigurieren. Die Standard-Beschriftung für den Schlüssel ist das vollqualifizierter Domänenname (FQDN).
Die folgende Liste fasst die Beziehung zwischen Vertrauenspunkten, RSA-Schlüsselpaaren und Identitätszertifikaten zusammen:
Ein Vertrauenspunkt entspricht einer bestimmten CA, der das Cisco NX-OS-Gerät für die Überprüfung Peer-Zertifikat beliebigen Anwendung (z. B. SSH) vertraut.
Ein Cisco NX-OS-Gerät kann viele Vertrauenspunkte haben, und alle Anwendungen auf dem Gerät können einer Zertifizierungsstellen(Peer-Zertifikat, die von einer der Trust Point CAs ausgestellt wurde, vertrauen.
Ein Trust-Point ist nicht auf eine bestimmte Anwendung beschränkt.
Ein Cisco NX-OS-Gerät wird bei der ZERTIFIZIERUNG registriert, die dem Vertrauenspunkt entspricht, um ein Identitätszertifikat zu erhalten. Sie können Ihr Gerät mit mehreren Vertrauenspunkten registrieren. Das heißt, Sie können ein separates Identitätszertifikat von jedem Trust-Point abrufen. Die Identitätszertifikate werden von Anwendungen in Abhängigkeit von den im Zertifikat von der ausstellenden CA angegebenen Zwecken verwendet. Der Zweck eines Zertifikats wird im Zertifikat als Zertifikaterweiterung gespeichert.
Wenn Sie sich mit einem Trust-Point einschreiben, müssen Sie ein RSA-Schlüsselpaar angeben, das zertifiziert sein soll. Dieses Schlüsselpaar muss generiert und dem Vertrauenspunkt zugeordnet sein, bevor die Einschreibungsanfrage erstellt werden kann. Die Zuordnung zwischen dem Vertrauenspunkt, dem Schlüsselpaar und dem Identitätszertifikat ist gültig, bis er explizit durch Löschen des Zertifikats, Schlüsselpaares oder Vertrauenspunkts entfernt wird.
Der Betreffname im Identitätszertifikat ist die vollqualifizierter Domänenname für das Cisco NX-OS-Gerät.
Sie können auf einem Gerät einen oder mehrere RSA-Schlüsselpaare generieren, die jeweils einem oder mehrere Vertrauensstellen zugeordnet werden können. Einem Trust Point kann jedoch nicht mehr als ein Schlüsselpaar zugeordnet werden. Das heißt, von einer CA ist nur ein Identitätszertifikat zulässig.
Wenn das Cisco NX-OS-Gerät mehrere Identitätszertifikate (jeweils aus einer bestimmten ZERTIFIZIERUNGsstelle) erhält, ist das Zertifikat, das eine Anwendung im Austausch eines Sicherheitsprotokolls mit einem Peer verwendet, anwendungsspezifisch.
Sie müssen keinen oder mehrere Vertrauenspunkte für eine Applikation festlegen. Jede Applikation kann alle Zertifikate eines beliebigen Trust-Point-Zertifikats verwenden, solange der Zweck des Zertifikats den Anforderungen der Anwendung entspricht.
Sie benötigen nicht mehr als ein Identitätszertifikat von einem Trust-Point oder mehr als ein Schlüsselpaar, das zu einem Vertrauenspunkt zugeordnet werden soll. Eine Zertifizierungsstelle bestätigt eine bestimmte Identität (oder einen Namen) nur einmal und gibt nicht mehrere Zertifikate mit demselben Namen aus. Wenn Sie mehr als ein Identitätszertifikat für eine CA benötigen und die Zertifizierungsstelle mehrere Zertifikate mit denselben Namen zulässt, müssen Sie einen anderen Vertrauenspunkt für die gleiche ZERTIFIZIERUNGsstelle definieren, diesem ein anderes Schlüsselpaar zuordnen und über eine Zertifizierung verfügen.
Mehrere vertrauenswürdige CA-Support
Das Cisco NX-OS-Gerät kann mehreren CAs vertrauen, indem es mehrere Vertrauenspunkte konfiguriert und jede mit einer bestimmten CA zu verknüpfen. Bei mehreren vertrauenswürdigen Zertifizierungsstellen müssen Sie kein Gerät bei der bestimmten Zertifizierungsstelle registrieren, die das Zertifikat für einen Peer ausgestellt hat. Stattdessen können Sie das Gerät mit mehreren vertrauenswürdigen Zertifizierungas konfigurieren, denen der Peer vertraut. Das Cisco NX-OS-Gerät kann dann eine konfigurierte vertrauenswürdige Zertifizierungsstelle verwenden, um Zertifikate zu verifizieren, die von einem Peer empfangen wurden, die nicht von derselben CA ausgestellt wurden, die in der Identität des Peer-Geräts definiert wurde.
PKI-Einschreibungsunterstützung
Bei der Einschreibung wird ein Identitätszertifikat für das Gerät erhalten, das für Anwendungen wie SSH verwendet wird. Sie tritt zwischen dem Gerät, das das Zertifikat an fordert, und der Zertifizierungsstelle auf.
Das Cisco NX-OS-Gerät führt beim Durchführen des PKI-Einschreibungsprozesses die folgenden Schritte durch:
Generiert ein privates RSA- und öffentliches Schlüssel-Paar auf dem Gerät.
Generiert eine Zertifikatsanforderung im Standardformat und führt diese an die CA weiter.
Wenn die Einschreibungsanforderung auf dem CA-Server eingegangen ist, muss der CA-Administrator die Einschreibungsanforderung möglicherweise manuell genehmigen. |
Empfängt das ausgestellte Zertifikat von der ZERTIFIZIERUNGsstelle zurück, signiert mit dem privaten Schlüssel der CA.
Gibt das Zertifikat in einen unspannungsfreien Speicherbereich auf dem Gerät ein (Bootflash).
Manuelle Einschreibung mit Cut-and-Paste
Die Cisco NX-OS-Software unterstützt das Abrufen und Einschreibung von Zertifikaten durch manuelles Ausschneiden und Einfügen. Einschreibungen ausschneiden und einfügen bedeutet, dass Sie die Zertifikatsanforderungen und die resultierenden Zertifikate zwischen dem Gerät und der CA ausschneiden und einfügen müssen.
Beim Ausschneiden und Einfügen in das manuelle Einschreibungsverfahren müssen Sie die folgenden Schritte durchführen:
Erstellen Sie eine Einschreibungszertifikatanforderung, die auf dem Cisco NX-OS-Gerät in base64-codiertem Textformular angezeigt wird.
Schneiden Sie den verschlüsselten Zertifikatanforderungstext in eine E-Mail oder in ein Webformular ein und senden Sie ihn an die Zertifizierungsstelle.
Erhalten Sie das ausgestellte Zertifikat (in base64-verschlüsselter Textform) von der Zertifizierungsstelle in einer E-Mail oder in einem Webbrowser-Download.
Das ausgestellte Zertifikat mithilfe der Zertifikatimport-Einrichtung ausschneiden und auf dem Gerät einfügen.
Unterstützung für mehrere RSA-Schlüsselpaare und Identitäts-CA
Mit mehreren Identitäts-CAs kann sich das Gerät mit mehr als einem Vertrauenspunkt registrieren. Dies führt zu mehreren Identitätszertifikaten, jeweils von einer bestimmten ZERTIFIZIERUNGsstelle. Mit dieser Funktion kann das Cisco NX-OS-Gerät an SSH und anderen Anwendungen teilnehmen, bei denen viele Peers Zertifikate verwenden, die von CAs ausgestellt wurden, die für diese Peers akzeptabel sind.
Mit der RSA-Schlüsselkopplungsfunktion kann das Gerät für jede CA, bei der es registriert ist, ein eindeutiges Schlüsselpaar halten. Sie kann Richtlinienanforderungen für jede Zertifizierungsstelle anpassen, ohne einen Konflikt mit den Von den anderen Zertifizierungsstellen festgelegten Anforderungen wie z. B. der Schlüssellänge zu haben. Das Gerät kann mehrere RSA-Schlüsselpaare generieren und jedes Schlüsselpaar einem bestimmten Vertrauenspunkt zuordnen. Anschließend wird bei der Registrierung mit einem Vertrauenspunkt das zugeordnete Schlüsselpaar für das Erstellen der Zertifikatsanforderung verwendet.
Verifizierung von Peer-Zertifikaten
Die PKI-Unterstützung auf einem Cisco NX-OS-Gerät kann Peer-Zertifikate überprüfen. Die Cisco NX-OS-Software überprüft die Zertifikate, die von Peers während des Sicherheitsaustauschs für Anwendungen wie SSH empfangen wurden. Die Anwendungen überprüfen die Gültigkeit der Peer-Zertifikate. Die Cisco NX-OS-Software führt beim Überprüfen der Peer-Zertifikate die folgenden Schritte durch:
Überprüft, ob die Peer-Zertifikat von einer der lokal vertrauenswürdigen Zertifizierungsbehörden ausgestellt wurde.
Überprüft, ob die Peer-Zertifikat gültig (nicht abgelaufen) für die aktuelle Uhrzeit ist.
Überprüft, ob die Peer-Zertifikat noch nicht von der ausstellenden Zertifizierungsstelle widerrufen wurde.
Für die Aufsperrungsprüfung unterstützt die Cisco NX-OS-Software die Zertifikatssperrliste (Certificate Revocation List, CRL). Mit dieser Methode kann eine Trust Point-CA überprüfen, ob Peer-Zertifikat Gesperrt wurde.
Auf Zertifikatssperrung überprüfen
Die Cisco NX-OS-Software kann den Sperrstatus von CA-Zertifikaten überprüfen. Die Anwendungen können die Mechanismen zur Überprüfung der Sperrung in der von Ihnen festgelegten Reihenfolge verwenden. Die Auswahlmöglichkeiten sind CRL, keine oder eine Kombination dieser Methoden.
CRL-Unterstützung
Die Zertifizierungsstelle verwaltet Zertifikatssperrlisten (Certificate Revocation Lists, CRLs), um Informationen zu Zertifikaten zu liefern, die vor ihrem Ablaufdatum widerrufen wurden. Die Zertifizierungsstelle veröffentlicht die CRLs in einem Repository und stellt die öffentliche URL zum Herunterladen in alle ausgestellten Zertifikate bereit. Ein Client, der das Zertifikat eines Peers überprüft, kann die neueste CRL von der ausstellenden CA abrufen und verwenden, um festzustellen, ob das Zertifikat gesperrt wurde. Ein Client kann die CRLs einiger oder aller vertrauenswürdiger CAs lokal zwischenspeichern und sie später verwenden, bis die CRLs ablaufen.
Die Cisco NX-OS-Software ermöglicht die manuelle Konfiguration der vorab herunterladenden CRLs für die Vertrauenspunkte und speichert sie dann im Gerätestartflash (Zertifikatspeicher) zwischen. Während der Überprüfung einer Peer-Zertifikat überprüft die Cisco NX-OS-Software die CRL von der ausstellenden CA nur, wenn die CRL bereits lokal zwischengespeichert wurde und die Sperrüberprüfung für die Verwendung der CRL konfiguriert ist. Andernfalls führt die Cisco NX-OS-Software keine CRL-Überprüfung durch und überprüft das Zertifikat, damit es nicht widerrufen wird, es sei denn, Sie haben andere Methoden zur Überprüfung der Sperrung konfiguriert.
Import- und Exportunterstützung für Zertifikate und zugeordnete Schlüsselpaare
Im Rahmen des CA-Authentifizierungs- und Einschreibungsprozesses können die untergeordneten CA-Zertifikate (oder Zertifikatskette) und Identitätszertifikate im Standard-PEM-Format (Base64) importiert werden.
Die vollständigen Identitätsinformationen in einem Vertrauenspunkt können in eine Datei im passwortgeschützten PKCS#12-Standardformat exportiert werden. Sie kann später auf dasselbe Gerät (z. B. nach einem Systemabsturz) oder auf ein Ersatzgerät importiert werden. Die Informationen in einer PKCS#12-Datei bestehen aus dem RSA-Schlüsselpaar, dem Identitätszertifikat und dem CA-Zertifikat (oder der Kette).
Lizenzierungsanforderungen für PKI
In der folgenden Tabelle werden die Lizenzierungsanforderungen für diese Funktion aufgeführt:
Produkt |
Lizenzanforderung |
---|---|
Cisco NX-OS |
Für die PKI-Funktion ist keine Lizenz erforderlich. Alle Funktionen, die nicht in einem Lizenzpaket enthalten sind, werden mit den Cisco NX-OS-Systembildern gebündelt und ohne Aufpreis zur Verfügung gestellt. Eine Erklärung des Lizenzierungsschemas für Cisco NX-OS finden Sie im Cisco NX-OS-Lizenzierungsleitfaden. |
Richtlinien und Einschränkungen für PKI
Für die PKI gelten die folgenden Konfigurationsrichtlinien und -beschränkungen:
Die maximale Anzahl der Schlüsselpaare, die Sie auf einem Cisco NX-OS-Gerät konfigurieren können, ist 16.
Die maximale Anzahl der Trust Points, die Sie auf einem Cisco NX-OS-Gerät erklären können, ist 16.
Die maximale Anzahl identifizierter Zertifikate, die Sie auf einem Cisco NX-OS-Gerät konfigurieren können, ist 16.
Die maximale Anzahl von Zertifikaten in einer CA-Zertifikatskette ist 10.
Es können maximal 10 Trust Points für eine bestimmte CA authentifiziert werden.
Konfigurations-Rollbacks unterstützen die PKI-Konfiguration nicht.
Die Cisco NX-OS-Software unterstützt OSCP nicht.
Wenn Sie mit der Cisco IOS CLI vertraut sind, beachten Sie, dass sich die Cisco NX-OS-Befehle für diese Funktion möglicherweise von den Cisco IOS-Befehlen unterscheiden, die Sie verwenden würden.
|
Standardeinstellungen für PKI
In dieser Tabelle sind die Standardeinstellungen für PKI-Parameter aufgeführt.
Parameter |
Standard |
---|---|
Vertrauenspunkt |
Keine |
RSA-Schlüsselpaar |
Keine |
RSA-Schlüsselpaarbezeichnung |
Geräte-FQDN |
RSA-Schlüsselpaarmodul |
512 |
RSA-Schlüssel-Pairing exportierbar |
Aktiviert |
Prüfmethode für Sperrung |
Zertifikatsperrliste |
Konfiguration von CAs und digitalen Zertifikaten
In diesem Abschnitt werden die Aufgaben beschrieben, die Sie durchführen müssen, um die Zusammenarbeit von CAs und digitalen Zertifikaten auf Ihrem Cisco NX-OS-Gerät zu ermöglichen.
Konfiguration von Hostname und IP-Domänenname
Sie müssen den Hostnamen und den IP-Domänennamen des Geräts konfigurieren, wenn Sie sie noch nicht konfiguriert haben, da die Cisco NX-OS-Software die vollqualifizierter Domänenname (FQDN) des Geräts als Betreff im Identitätszertifikat verwendet. Zudem verwendet die Cisco NX-OS-Software die Geräte-FQDN als Standard-Schlüsselbezeichnung, wenn Sie während der Schlüsselpaarerstellung keine Beschriftung festlegen. Beispielsweise basiert ein Zertifikat namens DeviceA.example.com auf einem Geräte-Hostnamen von DeviceA und einem Geräte-IP-Domänenname example.com.
Das Ändern des Hostnamens oder des IP-Domänennamen nach der Generierung des Zertifikats kann das Zertifikat ungültig machen. |
Befehl oder Aktion | Zweck | |
---|---|---|
1 | Terminal konfigurieren Beispiel:
|
Tritt in den globalen Konfigurationsmodus ein. |
2 | HostnameHostname Beispiel:
|
Konfiguriert den Hostnamen des Geräts. |
3 | IP-Domain-Name [use-realityfhilfe-name] Beispiel:
|
Konfiguriert den IP-Domänennamen des Geräts. Wenn Sie keinen WRF-Namen angeben, verwendet der Befehl den Standard-WRF. |
4 | Ausfahrt Beispiel:
|
Beendet den Konfigurationsmodus. |
5 | (Optional) Gastgeber anzeigen Beispiel:
|
(Optional) Zeigt den IP-Domänennamen an. |
6 | (Optional) running-config startup-config kopieren Beispiel:
|
(Optional) Kopiert die ausgeführte Konfiguration in die Startkonfiguration. |
Erstellen eines RSA-Schlüsselpaares
Sie können rsa-Schlüssel-Paare generieren, um sich zu signieren und/oder die Sicherheits-Nutzlast während des Austauschs von Sicherheitsprotokollen für Anwendungen zu verschlüsseln und zu entschlüsseln. Sie müssen das RSA-Schlüsselpaar generieren, bevor Sie ein Zertifikat für Ihr Gerät abrufen können.
Befehl oder Aktion | Zweck | |||||
---|---|---|---|---|---|---|
1 | Terminal konfigurieren Beispiel:
|
Tritt in den globalen Konfigurationsmodus ein. |
||||
2 | kryptonische Schlüssel generieren rsa [labellabel-string ] [exportierbar ] [modulus size] Beispiel:
|
Generiert ein RSA-Schlüsselpaar. Die maximale Anzahl der Schlüsselpaare auf einem Gerät ist 16. Die Beschriftungszeichenfolge ist alphanumerisch, berücksichtigt die Kleinschreibung und kann maximal 64 Zeichen lang sein. Die Standard-Beschriftungszeichenfolge ist der Hostname und FQDN durch ein Period-Zeichen (.) getrennt. Gültige Modulwerte sind 512, 768, 1024, 1536 und 2048. Die Standardmodulgröße ist 512.
Standardmäßig ist das Schlüsselpaar nicht exportierbar. Es können nur exportierbare Schlüsselpaare im PKCS#12-Format exportiert werden.
|
||||
3 | Ausfahrt Beispiel:
|
Beendet den Konfigurationsmodus. |
||||
4 | (Optional) Kryptoschlüssel mypubkey rsa anzeigen Beispiel:
|
(Optional) Zeigt den generierten Schlüssel an. |
||||
5 | (Optional) running-config startup-config kopieren Beispiel:
|
(Optional) Kopiert die ausgeführte Konfiguration in die Startkonfiguration. |
Erstellen einer TRUST Point CA Association (CA-Zuordnung)
Sie müssen das Cisco NX-OS-Gerät einer Zertifizierungsstelle für Vertrauenspunkt zuordnen.
Vorbereitungen
Generieren Sie das RSA-Schlüsselpaar.
Befehl oder Aktion | Zweck | |||
---|---|---|---|---|
1 | Terminal konfigurieren Beispiel:
|
Tritt in den globalen Konfigurationsmodus ein. |
||
2 | krypton. CATrustPoint-Name Beispiel:
|
Erklärt eine Trust Point CA, der das Gerät vertrauen sollte, und tritt in den Konfigurationsmodus des Vertrauenspunkts ein.
|
||
3 | Einschreibungsterminal Beispiel:
|
Ermöglicht die manuelle Cut-and-Paste-Zertifikatsanmeldung. Der Standardwert ist aktiviert.
|
||
4 | rsakeypair-Label Beispiel:
|
Gibt die Bezeichnung des RSA-Schlüsselpaares an, das diesem Vertrauenspunkt für die Einschreibung zuordnen soll.
|
||
5 | Ausfahrt Beispiel:
|
Beendet den Konfigurationsmodus des Trust Point. |
||
6 | (Optional) Krypto-CA-TrustPoints anzeigen Beispiel:
|
(Optional) Zeigt Informationen zu Vertrauensstellungen an. |
||
7 | (Optional) running-config startup-config kopieren Beispiel:
|
(Optional) Kopiert die ausgeführte Konfiguration in die Startkonfiguration. |
Authentifizierung der CA
Der Konfigurationsprozess der Vertrauen einer CA ist nur abgeschlossen, wenn die CA am Cisco NX-OS-Gerät authentifiziert ist. Sie müssen Ihr Cisco NX-OS-Gerät an der CA authentifizieren, indem Sie das selbstsignierte Zertifikat der CA im PEM-Format abrufen, das den öffentlichen Schlüssel der CA enthält. Da das Zertifikat der CA selbstsigniert ist (die CA signiert ihr eigenes Zertifikat), sollte der öffentliche Schlüssel der CA manuell authentifiziert werden, indem der CA-Administrator den Fingerabdruck des CA-Zertifikats vergleicht.
Die CA, die Sie authentifizieren, ist keine selbstsignierte Zertifizierungsstelle, wenn es sich um eine untergeordnete Zertifizierungsstelle für eine andere Zertifizierungsstelle handelt. Dies kann sich als untergeordneter Ca zu einer anderen ZERTIFIZIERUNGsstelle befinden, so dass sie schließlich auf einer selbst signierten Zertifizierungsstelle endet. Dieser CA-Zertifikattyp wird als CA-Zertifikatskette der zu authentifizierden CA bezeichnet. In diesem Fall müssen Sie während der CA-Authentifizierung die vollständige Liste der CA-Zertifikate aller CAs in der Zertifizierungskette eingeben. Die maximale Anzahl von Zertifikaten in einer CA-Zertifikatskette ist 10. |
Vorbereitungen
Erstellen Sie eine Zuordnung zur Zertifizierungsstelle.
Erhalten Sie das CA-Zertifikat oder die CA-Zertifikatskette.
Befehl oder Aktion | Zweck | |||
---|---|---|---|---|
1 | Terminal konfigurieren Beispiel:
|
Tritt in den globalen Konfigurationsmodus ein. |
||
2 | krypton. Ca.Authentifizierungsname Beispiel:
|
Fordert Sie zum Ausschneiden und Einfügen des CA-Zertifikats auf. Verwenden Sie den gleichen Namen, den Sie bei der Verwendung der CA verwendet haben. Es können maximal 10 Trust Points für eine bestimmte CA authentifiziert werden.
|
||
3 | Ausfahrt Beispiel:
|
Beendet den Konfigurationsmodus. |
||
4 | (Optional) Krypto-CA-TrustPoints anzeigen Beispiel:
|
(Optional) Zeigt die Ca-Informationen des Vertrauenspunkts an. |
||
5 | (Optional) running-config startup-config kopieren Beispiel:
|
(Optional) Kopiert die ausgeführte Konfiguration in die Startkonfiguration. |
Prüfmethoden für die Überprüfung der Zertifikatsperrung
Während des Sicherheitsaustauschs mit einem Client (z. B. einem SSH-Benutzer) führt das Cisco NX-OS-Gerät die Zertifikatsverifizierung der vom Client Peer-Zertifikat Benutzer durch. Bei dem Verifizierungsprozess kann es sich um die Überprüfung des Zertifikatssperrstatus handelt.
Sie können das Gerät so konfigurieren, dass es die von der ZERTIFIZIERUNGsstelle heruntergeladene CRL überprüft. Durch das Herunterladen der CRL und die lokale Überprüfung wird kein Datenverkehr in Ihrem Netzwerk erzeugt. Zertifikate können jedoch zwischen Downloads widerrufen werden und Ihr Gerät kann die Sperrung nicht kennen.
Vorbereitungen
Authentifizieren Sie die CA.
Stellen Sie sicher, dass Sie die CRL konfiguriert haben, wenn Sie die CRL-Überprüfung verwenden möchten.
Befehl oder Aktion | Zweck | |
---|---|---|
1 | Terminal konfigurieren Beispiel:
|
Tritt in den globalen Konfigurationsmodus ein. |
2 | krypton. CATrustPoint-Name Beispiel:
|
Gibt eine Trust-Point-CA an und tritt in den Konfigurationsmodus des Vertrauenspunkts ein. |
3 | sperr-check {crl [ none ] none | } Beispiel:
|
Konfiguriert die Methoden zur Überprüfung der Zertifikatsperrung. Die Standardmethode ist crl. Die Cisco NX-OS-Software verwendet die Methoden zur Zertifikatssperrung in der von Ihnen angegebenen Reihenfolge. |
4 | Ausfahrt Beispiel:
|
Beendet den Konfigurationsmodus des Trust Point. |
5 | (Optional) Krypto-CA-TrustPoints anzeigen Beispiel:
|
(Optional) Zeigt die Ca-Informationen des Vertrauenspunkts an. |
6 | (Optional) running-config startup-config kopieren Beispiel:
|
(Optional) Kopiert die ausgeführte Konfiguration in die Startkonfiguration. |
Erstellen von Zertifikatsanforderungen
Sie müssen für jedes der RSA-Schlüsselpaare Ihres Geräts eine Anforderung zum Abrufen von Identitätszertifikaten von der entsprechenden Zertifizierungsstelle erstellen. Anschließend müssen Sie die angezeigte Anfrage ausschneiden und in eine E-Mail oder in ein Website-Formular für die CA einfügen.
Vorbereitungen
Erstellen Sie eine Zuordnung zur Zertifizierungsstelle.
Erhalten Sie das CA-Zertifikat oder die CA-Zertifikatskette.
Befehl oder Aktion | Zweck | |||
---|---|---|---|---|
1 | Terminal konfigurieren Beispiel:
|
Tritt in den globalen Konfigurationsmodus ein. |
||
2 | krypton. ca. Einschreibungsname Beispiel:
|
Generiert eine Zertifikatsanforderung für eine authentifizierte Zertifizierungsstelle.
|
||
3 | Ausfahrt Beispiel:
|
Beendet den Konfigurationsmodus des Trust Point. |
||
4 | (Optional) Krypto-CA-Zertifikate anzeigen Beispiel:
|
(Optional) Zeigt die CA-Zertifikate an. |
||
5 | (Optional) running-config startup-config kopieren Beispiel:
|
(Optional) Kopiert die ausgeführte Konfiguration in die Startkonfiguration. |
Installieren von Identitätszertifikaten
Sie können das Identitätszertifikat von der Zertifizierungsstelle per E-Mail oder über einen Webbrowser in base64-verschlüsselten Textformularen erhalten. Sie müssen das Identitätszertifikat der CA installieren, indem Sie den codierten Text ausschneiden und in die Datei einschneiden.
Vorbereitungen
Erstellen Sie eine Zuordnung zur Zertifizierungsstelle.
Erhalten Sie das CA-Zertifikat oder die CA-Zertifikatskette.
Befehl oder Aktion | Zweck | |
---|---|---|
1 | Terminal konfigurieren Beispiel:
|
Tritt in den globalen Konfigurationsmodus ein. |
2 | krypton.CA-Importname-Zertifikat Beispiel:
|
Fordert Sie auf, das Identitätszertifikat für die CA mit dem Namen admin-ca ausschneiden und in das Zertifikat einzugeben. Die maximale Anzahl identifizierter Zertifikate, die Sie auf einem Gerät konfigurieren können, ist 16. |
3 | Ausfahrt Beispiel:
|
Beendet den Konfigurationsmodus. |
4 | (Optional) Krypto-CA-Zertifikate anzeigen Beispiel:
|
(Optional) Zeigt die CA-Zertifikate an. |
5 | (Optional) running-config startup-config kopieren Beispiel:
|
(Optional) Kopiert die ausgeführte Konfiguration in die Startkonfiguration. |
Gewährleistung, dass die Konfiguration des Trust-Point während eines Neustarts weiterhin besteht
Sie können sicherstellen, dass die Trustpoint-Konfiguration über das Cisco NX-OS-Gerät beim Neustart beibehalten wird.
Bei der Konfiguration des Vertrauenspunkts handelt es sich um eine normale Cisco NX-OS-Gerätekonfiguration, die über das gesamte System hinweg nur dann neu gestartet wird, wenn Sie sie explizit in die Startup-Konfiguration kopieren. Die Zertifikate, Schlüsselpaare und CRL, die mit einem Vertrauenspunkt verknüpft sind, werden automatisch dauerhaft gespeichert, wenn Sie die Konfiguration des Vertrauenspunkts bereits in der Startkonfiguration kopiert haben. Wenn hingegen die Konfiguration des Vertrauenspunkts nicht in die Startkonfiguration kopiert wird, sind die damit verbundenen Zertifikate, Schlüsselpaare und CRL nicht dauerhaft, da sie nach einem Neustart die entsprechende Trust-Point-Konfiguration erfordern. Kopieren Sie die laufende Konfiguration immer in die Startup-Konfiguration, um sicherzustellen, dass die konfigurierten Zertifikate, Schlüsselpaare und CRLs dauerhaft sind. Speichern Sie außerdem die ausgeführte Konfiguration nach dem Löschen eines Zertifikats oder Schlüsselpaares, um sicherzustellen, dass die Löschungen dauerhaft sind.
Die Zertifikate und die CRL, die mit einem Vertrauenspunkt verknüpft sind, werden beim Import automatisch dauerhaft (d. h. ohne explizite Kopiervorgang in die Startkonfiguration), wenn der spezifische Trust-Point bereits in der Startkonfiguration gespeichert wurde.
Wir empfehlen Ihnen, ein passwortgeschütztes Backup der Identitätszertifikate zu erstellen und auf einem externen Server zu speichern.
Beim Kopieren der Konfiguration auf einen externen Server sind die Zertifikate und Schlüsselpaare enthalten. |
Exportieren von Identitätsinformationen im PKCS 12-Format
Sie können das Identitätszertifikat zusammen mit dem RSA-Schlüsselpaar und CA-Zertifikat (oder der gesamten Kette im Fall einer untergeordneten Zertifizierungsstelle) eines Vertrauenspunkts zu Sicherungszwecken in eine PKCS#12-Datei exportieren. Sie können das Zertifikat und das RSA-Schlüsselpaar importieren, um das System nach einem Systemabsturz auf Ihrem Gerät oder wenn Sie die Supervisor-Module ersetzen, wiederhergestellt werden.
Sie können beim Angeben der Export-URL nur das Format bootflash:filename verwenden. |
Vorbereitungen
Authentifizieren Sie die CA.
Installieren Sie ein Identitätszertifikat.
Befehl oder Aktion | Zweck | |
---|---|---|
1 | Terminal konfigurieren Beispiel:
|
Tritt in den globalen Konfigurationsmodus ein. |
2 | krypton.CA-Exportname pkcs12 bootflash:DateinamePasswort Beispiel:
|
Exportiert das Identitätszertifikat und die zugeordneten Schlüsselpaare und CA-Zertifikate für eine Trust Point CA. Das Passwort ist alphanumerisch, zwischen Kleinschreibung muss beachtet werden und kann maximal 128 Zeichen lang sein. |
3 | Ausfahrt Beispiel:
|
Beendet den Konfigurationsmodus. |
4 | Boflash kopieren:Dateinamenschema ://server / [url/ ]Dateiname Beispiel:
|
Kopiert die PKCS#12-Formatdatei auf einen entfernten Server. Als Schema-Argument können Sie tftp eingeben:, ftp:, scp:, oder sftp:. Das Server-Argument ist die Adresse oder der Name des entfernten Servers, und das URL-Argument ist der Pfad zu der Quelldatei auf dem entfernten Server. Bei den Servern , URL und Dateinamensargumenten wird zwischen Kleinschreibung beachtet. |
Importieren von Identitätsinformationen im PKCS 12-Format
Sie können das Zertifikat und das RSA-Schlüsselpaar importieren, um das System nach einem Systemabsturz auf Ihrem Gerät oder wenn Sie die Supervisor-Module ersetzen, wiederhergestellt werden.
Sie können beim Angeben der Import-URL nur das Format bootflash:filename verwenden. |
Vorbereitungen
Stellen Sie sicher, dass der Vertrauenspunkt leer ist, indem Sie überprüfen, dass kein RSA-Schlüsselpaar und mit dem Vertrauenspunkt, für den die CA-Authentifizierung verwendet wird, keine CA zugeordnet ist.
Befehl oder Aktion | Zweck | |
---|---|---|
1 | Kopierschema ://server / [ url/]Dateinamebootflash:Dateiname Beispiel:
|
Kopiert die PKCS#12-Formatdatei vom Remote-Server. Als Schema-Argument können Sie tftp eingeben:, ftp:, scp:, oder sftp:. Das Server-Argument ist die Adresse oder der Name des entfernten Servers, und das URL-Argument ist der Pfad zu der Quelldatei auf dem entfernten Server. Bei den Servern , URL und Dateinamensargumenten wird zwischen Kleinschreibung beachtet. |
2 | Terminal konfigurieren Beispiel:
|
Tritt in den globalen Konfigurationsmodus ein. |
3 | Krypto-Ca-Importnamepksc12 bootflash:Dateiname Beispiel:
|
Importiert das Identitätszertifikat und die zugeordneten Schlüsselpaare und CA-Zertifikate für Trust Point CA. |
4 | Ausfahrt Beispiel:
|
Beendet den Konfigurationsmodus. |
5 | (Optional) Krypto-CA-Zertifikate anzeigen Beispiel:
|
(Optional) Zeigt die CA-Zertifikate an. |
6 | (Optional) running-config startup-config kopieren Beispiel:
|
(Optional) Kopiert die ausgeführte Konfiguration in die Startkonfiguration. |
Konfiguration einer CRL
Sie können die von den Vertrauenspunkten heruntergeladenen CRLs manuell konfigurieren. Die Cisco NX-OS-Software speichert die CRLs im Gerätestartflash (Zertifikatspeicher). Während der Überprüfung einer Peer-Zertifikat überprüft die Cisco NX-OS-Software die CRL von der ausstellenden CA nur, wenn Sie die CRL auf das Gerät heruntergeladen haben und Sie die Zertifikatssperrung für die Verwendung der CRL konfiguriert haben.
Vorbereitungen
Vergewissern Sie sich, dass Sie die Überprüfung der Zertifikatsperrung aktiviert haben.
Befehl oder Aktion | Zweck | |
---|---|---|
1 | Kopierschema:[ server / [ url/]]Dateinamebootflash:Dateiname Beispiel:
|
Lädt die CRL von einem Remote-Server herunter. Als Schema-Argument können Sie tftp eingeben:, ftp:, scp:, oder sftp:. Das Server-Argument ist die Adresse oder der Name des entfernten Servers, und das URL-Argument ist der Pfad zu der Quelldatei auf dem entfernten Server. Bei den Servern , URL und Dateinamensargumenten wird zwischen Kleinschreibung beachtet. |
2 | Terminal konfigurieren Beispiel:
|
Tritt in den globalen Konfigurationsmodus ein. |
3 | krypton. ca crlAnfragename bootflash:Dateiname Beispiel:
|
Konfiguriert oder ersetzt die aktuelle CRL mit der in der Datei angegebenen. |
4 | Ausfahrt Beispiel:
|
Beendet den Konfigurationsmodus. |
5 | (Optional) kryptonischen Ca crl-Namenanzeigen Beispiel:
|
(Optional) Zeigt die CA CRL-Informationen an. |
6 | (Optional) running-config startup-config kopieren Beispiel:
|
(Optional) Kopiert die ausgeführte Konfiguration in die Startkonfiguration. |
Zertifikate aus der CA-Konfiguration löschen
Sie können die Identitätszertifikate und CA-Zertifikate löschen, die auf einem Trust Point konfiguriert sind. Sie müssen zuerst das Identitätszertifikat löschen und anschließend die CA-Zertifikate. Nach dem Löschen des Identitätszertifikats können Sie die Zuordnung des RSA-Schlüsselpaares von einem Vertrauenspunkt entfernen. Sie müssen Zertifikate löschen, um abgelaufene oder gesperrte Zertifikate, Zertifikate, die kompromittierte (oder den Mut zur Kompromittung) haben, oder CAs, denen nicht mehr vertraut wird, zu entfernen.
Befehl oder Aktion | Zweck | |
---|---|---|
1 | Terminal konfigurieren Beispiel:
|
Tritt in den globalen Konfigurationsmodus ein. |
2 | krypton. CATrustPoint-Name Beispiel:
|
Gibt eine Trust-Point-CA an und tritt in den Konfigurationsmodus des Vertrauenspunkts ein. |
3 | CA-Zertifikat löschen Beispiel:
|
Löscht das CA-Zertifikat oder die Zertifikatskette. |
4 | Zertifikat löschen [force] Beispiel:
|
Löscht das Identitätszertifikat. Sie müssen die Force-Option verwenden, wenn das zu löschende Identitätszertifikat das letzte Zertifikat in einer Zertifikatskette oder nur das Identitätszertifikat auf dem Gerät ist. Durch diese Anforderung wird sichergestellt, dass Sie nicht fälschlicherweise das letzte Zertifikat in einer Zertifikatskette oder nur das Identitätszertifikat löschen und die Anwendungen (wie z. B. SSH) ohne Zertifikat verlassen. |
5 | Ausfahrt Beispiel:
|
Beendet den Konfigurationsmodus des Trust Point. |
6 | (Optional) Krypto-CA-Zertifikate anzeigen [Name] Beispiel:
|
(Optional) Zeigt die Informationen zum CA-Zertifikat an. |
7 | (Optional) running-config startup-config kopieren Beispiel:
|
(Optional) Kopiert die ausgeführte Konfiguration in die Startkonfiguration. |
Löschen von RSA-Schlüsselpaaren von einem Cisco NX-OS-Gerät
Sie können die RSA-Schlüsselpaare von einem Cisco NX-OS-Gerät löschen, wenn Sie der Meinung sind, dass die RSA-Schlüsselpaare auf bestimmte Weise kompromittiert sind und daher nicht mehr verwendet werden sollten.
Nachdem Sie RSA-Schlüssel-Paare von einem Gerät gelöscht haben, bitten Sie den CA-Administrator, die Gerätezertifikate der CA zu widerrufen. Sie müssen das Herausforderungspasswort angeben, das Sie erstellt haben, als Sie die Zertifikate ursprünglich angefordert haben. |
Befehl oder Aktion | Zweck | |
---|---|---|
1 | Terminal konfigurieren Beispiel:
|
Tritt in den globalen Konfigurationsmodus ein. |
2 | krypton. Schlüssel ZeroizeRSA-Bezeichnung Beispiel:
|
Löscht das RSA-Schlüsselpaar. |
3 | Ausfahrt Beispiel:
|
Beendet den Konfigurationsmodus. |
4 | (Optional) Kryptoschlüssel mypubkey rsa anzeigen Beispiel:
|
(Optional) Zeigt die RSA-Schlüsselpaarkonfiguration an. |
5 | (Optional) running-config startup-config kopieren Beispiel:
|
(Optional) Kopiert die ausgeführte Konfiguration in die Startkonfiguration. |
PKI-Konfiguration wird überprüft
Führen Sie eine der folgenden Aufgaben aus, um die Informationen zur PKI-Konfiguration anzuzeigen:
Befehl |
Zweck |
---|---|
Kryptoschlüssel mypubkey rsa anzeigen |
Zeigt Informationen zu den öffentlichen RSA-Schlüsseln an, die auf dem Cisco NX-OS-Gerät generiert werden. |
Krypto-CA-Zertifikate anzeigen |
Zeigt Informationen zu CA- und Identitätszertifikaten an. |
Krypto-CA CRL anzeigen |
Zeigt Informationen zu CA CRLs an. |
Krypto-CA-TrustPoints anzeigen |
Zeigt Informationen zu CA-Vertrauenspunkten an. |
Konfigurationsbeispiele für PKI
In diesem Abschnitt finden Sie Beispiele für Die Aufgaben, die Sie verwenden können, um Zertifikate und CRLs auf Cisco NX-OS-Geräten mit einem Microsoft Windows-Zertifikatserver zu konfigurieren.
Sie können alle Arten von Zertifikatsservern verwenden, um digitale Zertifikate zu erstellen. Sie sind nicht auf die Verwendung des Microsoft Windows-Zertifikatservers beschränkt. |
Zertifikate auf einem Cisco NX-OS-Gerät konfigurieren
Gehen Sie zum Konfigurieren von Zertifikaten auf einem Cisco NX-OS-Gerät folgendermaßen vor:
1 | Konfigurieren Sie das FQDN.
|
2 | Konfigurieren Sie den DNS-Domänennamen für das Gerät.
|
3 | Erstellen Sie einen Vertrauenspunkt.
|
4 | Erstellen Sie ein RSA-Schlüsselpaar für das Gerät.
|
5 | Verknüpfen Sie das RSA-Schlüsselpaar mit dem Vertrauenspunkt.
|
6 | Laden Sie das CA-Zertifikat von der Microsoft Certificate Service-Weboberfläche herunter. |
7 | Authentifizieren Sie die CA, die Sie sich für den Vertrauenspunkt einschreiben möchten.
|
8 | Generieren Sie ein Anforderungszertifikat, mit dem Sie sich mit einem Trust Point einschreiben können.
|
9 | Fordern Sie über die Weboberfläche des Microsoft-Zertifikatdiensts ein Identitätszertifikat an. |
10 | Importieren Sie das Identitätszertifikat.
|
11 | Überprüfen Sie die Zertifikatskonfiguration. |
12 | Speichern Sie die Zertifikatskonfiguration in der Startkonfiguration. |
Herunterladen eines CA-Zertifikats
Gehen Sie folgendermaßen vor, um ein CA-Zertifikat von der Microsoft Certificate Services-Weboberfläche herunterzuladen:
1 | Klicken Sie auf der Microsoft Certificate Services-Weboberfläche auf Das CA-Zertifikat abrufen oder die Zertifikatsperraufgabe und klicken Sie auf Weiter . |
2 | Wählen Sie aus der Anzeigeliste die CA-Zertifikatdatei aus, die Sie aus der angezeigten Liste herunterladen möchten. Klicken Sie anschließend auf Base 64-verschlüsselt und dann auf CA-Zertifikat herunterladen. |
3 | Klicken Sie im Fenster Datei herunterladen auf Dialogfeld. |
4 | Klicken Sie in Dialogfeld auf In Datei kopieren und dann auf OK. |
5 | Wählen Sie im Zertifikats Dialogfeld Wizard zum Exportieren von Zertifikaten das base-64-kodierte X.509 (CER) aus und klicken Sie auf Weiter . |
6 | Geben Sie im Bereich Dateiname: Textfeld im Zertifikat-Export-Assistenten für Dialogfeld, geben Sie den Namen der Zieldatei ein und klicken Sie auf Weiter. |
7 | Klicken Sie im Zertifikat-Export Dialogfeld auf Fertigstellen . |
8 | Geben Sie den Microsoft Windows-Typbefehl ein, um das CA-Zertifikat anzuzeigen, das im Base-64 (PEM)-Format gespeichert ist. |
Anfordern eines Identitätszertifikats
Gehen Sie folgendermaßen vor, um ein Zertifikat von einem Microsoft-Zertifikatsserver mithilfe einer PKCS#12-Zertifikatsignieranforderung (CRS) an fordern:
1 | Klicken Sie auf der Microsoft Certificate Services-Weboberfläche auf Zertifikat anfordern und dann auf Weiter. |
2 | Klicken Sie auf Erweiterte Anfrage und dann auf Weiter. |
3 | Klicken Sie auf Eine Zertifikatsanforderung mit einer base64-verschlüsselten PKCS#10-Datei oder einer Verlängerungsanforderung mit einer base64-verschlüsselten PKCS#7-Datei senden und klicken Sie auf Weiter. |
4 | Fügen Sie im Textfeld Gespeicherte Anfrage die Zertifikatsanforderung base64 PKCS#10 ein und klicken Sie auf Weiter. Die Zertifikatsanforderung wird von der Cisco NX-OS-Gerätekonsole kopiert. |
5 | Warten Sie ein bis zwei Tage, bis das Zertifikat vom CA-Administrator ausgestellt wurde. |
6 | Der CA-Administrator genehmigt die Zertifikatsanforderung. |
7 | Klicken Sie auf der Microsoft Certificate Services-Weboberfläche auf Ein ausstehendes Zertifikat überprüfen und klicken Sie auf Weiter . |
8 | Wählen Sie die Zertifikatsanforderung aus, die Sie überprüfen möchten, und klicken Sie auf Weiter. |
9 | Klicken Sie auf Base 64-kodiert und klicken Sie aufCA-Zertifikat herunterladen. |
10 | Klicken Sie in der Dialogfeld auf Öffnen. |
11 | Klicken Sie im Feld Zertifikat auf die Registerkarte Details und dann auf In Dateikopieren.... Klicken Sie im Dialogfeld Zertifikatexport auf Base-64-kodiertes X.509 (. CER)und klicken Sie auf Weiter . |
12 | Geben Sie im Bereich Dateiname: Textfeld im Zertifikat-Export-Assistenten für Dialogfeld, geben Sie den Namen der Zieldatei ein und klicken Sie auf Weiter. |
13 | Klicken Sie auf Fertig stellen. |
14 | Geben Sie den Microsoft Windows-Typbefehl ein, um das Identitätszertifikat in einem base64-verschlüsselten Format anzuzeigen. |
Widerrufen eines Zertifikats
Gehen Sie folgendermaßen vor, um ein Zertifikat mit dem Microsoft CA-Administratorprogramm zu widerrufen:
1 | Klicken Sie in der Struktur der Zertifizierungsstelle auf Zertifikate ausgestellt. Klicken Sie in der Liste mit der rechten Maustaste auf das Zertifikat, das Sie widerrufen möchten. |
2 | Wählen Sie Alle Aufgaben > Zertifikat widerrufenaus. |
3 | Wählen Sie im Code für Drop-down-Liste einen Grund für die Sperrung aus und klicken Sie auf Ja. |
4 | Klicken Sie auf den Ordner Gesperrte Zertifikate, um die Zertifikatssperrung auflisten und verifizieren. |
Erstellen und Veröffentlichen der CRL
Gehen Sie zum Generieren und Veröffentlichen der CRL mithilfe des Microsoft CA-Administratorprogramms folgendermaßen vor:
1 | Wählen Sie auf dem Bildschirm der Zertifizierungsstelle die Option > Alle Aufgaben > Veröffentlichenaus. |
2 | Klicken Sie in der Zertifikatssperrliste Dialogfeld auf Ja, um die neueste CRL zu veröffentlichen. |
Herunterladen der CRL
Gehen Sie folgendermaßen vor, um die CRL von der Microsoft CA-Website herunterzuladen:
1 | Klicken Sie auf der Microsoft Certificate Services-Weboberfläche auf CA-Zertifikat abrufen oder Zertifikatsperrliste abrufen und klicken Sie auf Weiter . |
2 | Klicken Sie auf Neueste Zertifikatssperrliste herunterladen. |
3 | Klicken Sie in der Dialogfeld auf Speichern. |
4 | Geben Sie in der Dialogfeld den Namen der Zieldatei ein und klicken Sie auf Speichern. |
5 | Geben Sie den Microsoft Windows-Typbefehl ein, um die CRL anzuzeigen. |
Importieren der CRL
Gehen Sie zum Importieren der CRL zum Vertrauenspunkt, der der CA entspricht, folgendermaßen vor:
1 | Kopieren Sie die CRL-Datei auf den Bootflash des Cisco NX-OS-Geräts.
|
||
2 | Konfigurieren Sie die CRL.
|
||
3 | Anzeigen des Inhalts der CRL.
|