PKI konfigurieren

Dieses Kapitel enthält die folgenden Abschnitte:

Informationen zur PKI

Dieser Abschnitt enthält Informationen zur PKI.

CAs und digitale Zertifikate

Zertifizierungsstellen verwalten Zertifikatsanforderungen und stellen Zertifikate an teilnehmende Einrichtungen wie Gastgeber, Netzwerkgeräte oder Benutzer aus. Die CAs stellen die zentrale Schlüsselverwaltung für die teilnehmenden Einrichtungen zur Verfügung.

Digitale Signaturen, basierend auf einer Public-Key-Kryptografie, digitale Authentifizierung von Geräten und einzelnen Benutzern. Bei der Kryptografie mit einem öffentlichen Schlüssel, wie dem RSA-Verschlüsselungssystem, verfügt jedes Gerät oder jeder Benutzer über ein Schlüsselpaar, das sowohl einen privaten als auch einen öffentlichen Schlüssel enthält. Der private Schlüssel wird geheim gehalten und ist nur dem Gerät oder Benutzer des besitzenden Benutzers bekannt. Allerdings ist der öffentliche Schlüssel jedem bekannt. Alles, was mit einem der Schlüssel verschlüsselt ist, kann zusammen mit dem anderen entschlüsselt werden. Eine Signatur wird formiert, wenn Daten mit einem privaten Schlüssel des Absenders verschlüsselt werden. Der Empfänger überprüft die Signatur, indem er die Nachricht mit dem öffentlichen Schlüssel des Absenders entschlüsselt. Dieser Vorgang hängt davon ab, dass der Empfänger eine Kopie des öffentlichen Schlüssels des Absenders hat und mit einem hohen Maß an Interesse daran weiß, dass es wirklich zum Absender gehört und nicht zu jemandem, der als Absender vorgibt.

Digitale Zertifikate verknüpfen die digitale Signatur mit dem Absender. Ein digitales Zertifikat enthält Informationen zur Identifizierung eines Benutzers oder Geräts, z. B. der Name, die Seriennummer, das Unternehmen, die Abteilung oder die IP-Adresse. Außerdem enthält sie eine Kopie des öffentlichen Schlüssels der Juristischen Person. Die Zertifizierungsstelle, die das Zertifikat signiert, ist ein Drittanbieter, dem der Empfänger ausdrücklich vertraut, um Identitäten zu validieren und digitale Zertifikate zu erstellen.

Um die Signatur der CA zu validieren, muss der Empfänger zuerst den öffentlichen Schlüssel der CA kennen. Dieser Vorgang wird normalerweise bandlich oder über eine bei der Installation durchgeführte Operation durchgeführt. Zum Beispiel sind die meisten Webbrowser standardmäßig mit den öffentlichen Schlüsseln mehrerer CAs konfiguriert.

Vertrauensmodell, Vertrauenspunkte und Identitäts-CAs

Das PKI-Vertrauensmodell ist hierarchisch mit mehreren konfigurierbaren, vertrauenswürdigen CAs. Sie können jedes teilnehmende Gerät mit einer Liste vertrauenswürdiger Zertifizierungen konfigurieren, sodass eine Peer-Zertifikat, die während des Austauschs des Sicherheitsprotokolls erhalten wurde, authentifiziert werden kann, wenn sie von einer der lokal vertrauenswürdigen CAs ausgestellt wurde. Die Cisco NX-OS-Software speichert lokal die selbstsignierte Stammzertifikat der vertrauenswürdigen CA (oder die Zertifikatskette für eine untergeordnete Ca). Der Prozess, eine vertrauenswürdige CA Stammzertifikat-Zertifizierungsstelle sicher zu erhalten (oder die gesamte Kette im Fall einer untergeordneten ZERTIFIZIERUNGsstelle) und lokal gespeichert wird, wird CA-Authentifizierung genannt.

Die Informationen zu einer von Ihnen konfigurierten vertrauenswürdigen Zertifizierungsstelle werden als Vertrauenspunkt und die ZERTIFIZIERUNGsstelle selbst als Vertrauenspunkt-CAbezeichnet. Diese Informationen bestehen aus einem CA-Zertifikat (oder einer Zertifikatskette im Fall einer untergeordneten Zertifizierungsstelle) und einer Zertifikatsperrung, die Die Informationen überprüft.

Das Cisco NX-OS-Gerät kann sich auch mit einem Vertrauenspunkt registrieren, um ein Identitätszertifikat zu erhalten, das einem Schlüsselpaar zuordnen kann. Dieser Vertrauenspunkt wird als Identitäts-CAbezeichnet.

RSA-Schlüsselpaare und -Identitätszertifikate

Sie können ein Identitätszertifikat erhalten, indem Sie einen oder mehrere RSA-Schlüsselpaare erstellen und jedes RSA-Schlüsselpaar einer Vertrauenspunkt-CA zuordnen, in der sich das Cisco NX-OS-Gerät einschreiben möchte. Für das Cisco NX-OS-Gerät ist nur eine Identität pro CA benötigt, die aus einem Schlüsselpaar und einem Identitätszertifikat pro CA besteht.

Mit der Cisco NX-OS-Software können Sie RSA-Schlüsselpaare mit einer konfigurierbaren Schlüsselgröße (oder Modulus) erstellen. Die Standardgröße des Schlüssels ist 512. Sie können auch eine RSA-Schlüsselpaarbezeichnung konfigurieren. Die Standard-Beschriftung für den Schlüssel ist das vollqualifizierter Domänenname (FQDN).

Die folgende Liste fasst die Beziehung zwischen Vertrauenspunkten, RSA-Schlüsselpaaren und Identitätszertifikaten zusammen:

  • Ein Vertrauenspunkt entspricht einer bestimmten CA, der das Cisco NX-OS-Gerät für die Überprüfung Peer-Zertifikat beliebigen Anwendung (z. B. SSH) vertraut.

  • Ein Cisco NX-OS-Gerät kann viele Vertrauenspunkte haben, und alle Anwendungen auf dem Gerät können einer Zertifizierungsstellen(Peer-Zertifikat, die von einer der Trust Point CAs ausgestellt wurde, vertrauen.

  • Ein Trust-Point ist nicht auf eine bestimmte Anwendung beschränkt.

  • Ein Cisco NX-OS-Gerät wird bei der ZERTIFIZIERUNG registriert, die dem Vertrauenspunkt entspricht, um ein Identitätszertifikat zu erhalten. Sie können Ihr Gerät mit mehreren Vertrauenspunkten registrieren. Das heißt, Sie können ein separates Identitätszertifikat von jedem Trust-Point abrufen. Die Identitätszertifikate werden von Anwendungen in Abhängigkeit von den im Zertifikat von der ausstellenden CA angegebenen Zwecken verwendet. Der Zweck eines Zertifikats wird im Zertifikat als Zertifikaterweiterung gespeichert.

  • Wenn Sie sich mit einem Trust-Point einschreiben, müssen Sie ein RSA-Schlüsselpaar angeben, das zertifiziert sein soll. Dieses Schlüsselpaar muss generiert und dem Vertrauenspunkt zugeordnet sein, bevor die Einschreibungsanfrage erstellt werden kann. Die Zuordnung zwischen dem Vertrauenspunkt, dem Schlüsselpaar und dem Identitätszertifikat ist gültig, bis er explizit durch Löschen des Zertifikats, Schlüsselpaares oder Vertrauenspunkts entfernt wird.

  • Der Betreffname im Identitätszertifikat ist die vollqualifizierter Domänenname für das Cisco NX-OS-Gerät.

  • Sie können auf einem Gerät einen oder mehrere RSA-Schlüsselpaare generieren, die jeweils einem oder mehrere Vertrauensstellen zugeordnet werden können. Einem Trust Point kann jedoch nicht mehr als ein Schlüsselpaar zugeordnet werden. Das heißt, von einer CA ist nur ein Identitätszertifikat zulässig.

  • Wenn das Cisco NX-OS-Gerät mehrere Identitätszertifikate (jeweils aus einer bestimmten ZERTIFIZIERUNGsstelle) erhält, ist das Zertifikat, das eine Anwendung im Austausch eines Sicherheitsprotokolls mit einem Peer verwendet, anwendungsspezifisch.

  • Sie müssen keinen oder mehrere Vertrauenspunkte für eine Applikation festlegen. Jede Applikation kann alle Zertifikate eines beliebigen Trust-Point-Zertifikats verwenden, solange der Zweck des Zertifikats den Anforderungen der Anwendung entspricht.

  • Sie benötigen nicht mehr als ein Identitätszertifikat von einem Trust-Point oder mehr als ein Schlüsselpaar, das zu einem Vertrauenspunkt zugeordnet werden soll. Eine Zertifizierungsstelle bestätigt eine bestimmte Identität (oder einen Namen) nur einmal und gibt nicht mehrere Zertifikate mit demselben Namen aus. Wenn Sie mehr als ein Identitätszertifikat für eine CA benötigen und die Zertifizierungsstelle mehrere Zertifikate mit denselben Namen zulässt, müssen Sie einen anderen Vertrauenspunkt für die gleiche ZERTIFIZIERUNGsstelle definieren, diesem ein anderes Schlüsselpaar zuordnen und über eine Zertifizierung verfügen.

Mehrere vertrauenswürdige CA-Support

Das Cisco NX-OS-Gerät kann mehreren CAs vertrauen, indem es mehrere Vertrauenspunkte konfiguriert und jede mit einer bestimmten CA zu verknüpfen. Bei mehreren vertrauenswürdigen Zertifizierungsstellen müssen Sie kein Gerät bei der bestimmten Zertifizierungsstelle registrieren, die das Zertifikat für einen Peer ausgestellt hat. Stattdessen können Sie das Gerät mit mehreren vertrauenswürdigen Zertifizierungas konfigurieren, denen der Peer vertraut. Das Cisco NX-OS-Gerät kann dann eine konfigurierte vertrauenswürdige Zertifizierungsstelle verwenden, um Zertifikate zu verifizieren, die von einem Peer empfangen wurden, die nicht von derselben CA ausgestellt wurden, die in der Identität des Peer-Geräts definiert wurde.

PKI-Einschreibungsunterstützung

Bei der Einschreibung wird ein Identitätszertifikat für das Gerät erhalten, das für Anwendungen wie SSH verwendet wird. Sie tritt zwischen dem Gerät, das das Zertifikat an fordert, und der Zertifizierungsstelle auf.

Das Cisco NX-OS-Gerät führt beim Durchführen des PKI-Einschreibungsprozesses die folgenden Schritte durch:

  • Generiert ein privates RSA- und öffentliches Schlüssel-Paar auf dem Gerät.

  • Generiert eine Zertifikatsanforderung im Standardformat und führt diese an die CA weiter.

Wenn die Einschreibungsanforderung auf dem CA-Server eingegangen ist, muss der CA-Administrator die Einschreibungsanforderung möglicherweise manuell genehmigen.

  • Empfängt das ausgestellte Zertifikat von der ZERTIFIZIERUNGsstelle zurück, signiert mit dem privaten Schlüssel der CA.

  • Gibt das Zertifikat in einen unspannungsfreien Speicherbereich auf dem Gerät ein (Bootflash).

Manuelle Einschreibung mit Cut-and-Paste

Die Cisco NX-OS-Software unterstützt das Abrufen und Einschreibung von Zertifikaten durch manuelles Ausschneiden und Einfügen. Einschreibungen ausschneiden und einfügen bedeutet, dass Sie die Zertifikatsanforderungen und die resultierenden Zertifikate zwischen dem Gerät und der CA ausschneiden und einfügen müssen.

Beim Ausschneiden und Einfügen in das manuelle Einschreibungsverfahren müssen Sie die folgenden Schritte durchführen:

  • Erstellen Sie eine Einschreibungszertifikatanforderung, die auf dem Cisco NX-OS-Gerät in base64-codiertem Textformular angezeigt wird.

  • Schneiden Sie den verschlüsselten Zertifikatanforderungstext in eine E-Mail oder in ein Webformular ein und senden Sie ihn an die Zertifizierungsstelle.

  • Erhalten Sie das ausgestellte Zertifikat (in base64-verschlüsselter Textform) von der Zertifizierungsstelle in einer E-Mail oder in einem Webbrowser-Download.

  • Das ausgestellte Zertifikat mithilfe der Zertifikatimport-Einrichtung ausschneiden und auf dem Gerät einfügen.

Unterstützung für mehrere RSA-Schlüsselpaare und Identitäts-CA

Mit mehreren Identitäts-CAs kann sich das Gerät mit mehr als einem Vertrauenspunkt registrieren. Dies führt zu mehreren Identitätszertifikaten, jeweils von einer bestimmten ZERTIFIZIERUNGsstelle. Mit dieser Funktion kann das Cisco NX-OS-Gerät an SSH und anderen Anwendungen teilnehmen, bei denen viele Peers Zertifikate verwenden, die von CAs ausgestellt wurden, die für diese Peers akzeptabel sind.

Mit der RSA-Schlüsselkopplungsfunktion kann das Gerät für jede CA, bei der es registriert ist, ein eindeutiges Schlüsselpaar halten. Sie kann Richtlinienanforderungen für jede Zertifizierungsstelle anpassen, ohne einen Konflikt mit den Von den anderen Zertifizierungsstellen festgelegten Anforderungen wie z. B. der Schlüssellänge zu haben. Das Gerät kann mehrere RSA-Schlüsselpaare generieren und jedes Schlüsselpaar einem bestimmten Vertrauenspunkt zuordnen. Anschließend wird bei der Registrierung mit einem Vertrauenspunkt das zugeordnete Schlüsselpaar für das Erstellen der Zertifikatsanforderung verwendet.

Verifizierung von Peer-Zertifikaten

Die PKI-Unterstützung auf einem Cisco NX-OS-Gerät kann Peer-Zertifikate überprüfen. Die Cisco NX-OS-Software überprüft die Zertifikate, die von Peers während des Sicherheitsaustauschs für Anwendungen wie SSH empfangen wurden. Die Anwendungen überprüfen die Gültigkeit der Peer-Zertifikate. Die Cisco NX-OS-Software führt beim Überprüfen der Peer-Zertifikate die folgenden Schritte durch:

  • Überprüft, ob die Peer-Zertifikat von einer der lokal vertrauenswürdigen Zertifizierungsbehörden ausgestellt wurde.

  • Überprüft, ob die Peer-Zertifikat gültig (nicht abgelaufen) für die aktuelle Uhrzeit ist.

  • Überprüft, ob die Peer-Zertifikat noch nicht von der ausstellenden Zertifizierungsstelle widerrufen wurde.

Für die Aufsperrungsprüfung unterstützt die Cisco NX-OS-Software die Zertifikatssperrliste (Certificate Revocation List, CRL). Mit dieser Methode kann eine Trust Point-CA überprüfen, ob Peer-Zertifikat Gesperrt wurde.

Auf Zertifikatssperrung überprüfen

Die Cisco NX-OS-Software kann den Sperrstatus von CA-Zertifikaten überprüfen. Die Anwendungen können die Mechanismen zur Überprüfung der Sperrung in der von Ihnen festgelegten Reihenfolge verwenden. Die Auswahlmöglichkeiten sind CRL, keine oder eine Kombination dieser Methoden.

CRL-Unterstützung

Die Zertifizierungsstelle verwaltet Zertifikatssperrlisten (Certificate Revocation Lists, CRLs), um Informationen zu Zertifikaten zu liefern, die vor ihrem Ablaufdatum widerrufen wurden. Die Zertifizierungsstelle veröffentlicht die CRLs in einem Repository und stellt die öffentliche URL zum Herunterladen in alle ausgestellten Zertifikate bereit. Ein Client, der das Zertifikat eines Peers überprüft, kann die neueste CRL von der ausstellenden CA abrufen und verwenden, um festzustellen, ob das Zertifikat gesperrt wurde. Ein Client kann die CRLs einiger oder aller vertrauenswürdiger CAs lokal zwischenspeichern und sie später verwenden, bis die CRLs ablaufen.

Die Cisco NX-OS-Software ermöglicht die manuelle Konfiguration der vorab herunterladenden CRLs für die Vertrauenspunkte und speichert sie dann im Gerätestartflash (Zertifikatspeicher) zwischen. Während der Überprüfung einer Peer-Zertifikat überprüft die Cisco NX-OS-Software die CRL von der ausstellenden CA nur, wenn die CRL bereits lokal zwischengespeichert wurde und die Sperrüberprüfung für die Verwendung der CRL konfiguriert ist. Andernfalls führt die Cisco NX-OS-Software keine CRL-Überprüfung durch und überprüft das Zertifikat, damit es nicht widerrufen wird, es sei denn, Sie haben andere Methoden zur Überprüfung der Sperrung konfiguriert.

Import- und Exportunterstützung für Zertifikate und zugeordnete Schlüsselpaare

Im Rahmen des CA-Authentifizierungs- und Einschreibungsprozesses können die untergeordneten CA-Zertifikate (oder Zertifikatskette) und Identitätszertifikate im Standard-PEM-Format (Base64) importiert werden.

Die vollständigen Identitätsinformationen in einem Vertrauenspunkt können in eine Datei im passwortgeschützten PKCS#12-Standardformat exportiert werden. Sie kann später auf dasselbe Gerät (z. B. nach einem Systemabsturz) oder auf ein Ersatzgerät importiert werden. Die Informationen in einer PKCS#12-Datei bestehen aus dem RSA-Schlüsselpaar, dem Identitätszertifikat und dem CA-Zertifikat (oder der Kette).

Lizenzierungsanforderungen für PKI

In der folgenden Tabelle werden die Lizenzierungsanforderungen für diese Funktion aufgeführt:

Produkt

Lizenzanforderung

Cisco NX-OS

Für die PKI-Funktion ist keine Lizenz erforderlich. Alle Funktionen, die nicht in einem Lizenzpaket enthalten sind, werden mit den Cisco NX-OS-Systembildern gebündelt und ohne Aufpreis zur Verfügung gestellt. Eine Erklärung des Lizenzierungsschemas für Cisco NX-OS finden Sie im Cisco NX-OS-Lizenzierungsleitfaden.

Richtlinien und Einschränkungen für PKI

Für die PKI gelten die folgenden Konfigurationsrichtlinien und -beschränkungen:

  • Die maximale Anzahl der Schlüsselpaare, die Sie auf einem Cisco NX-OS-Gerät konfigurieren können, ist 16.

  • Die maximale Anzahl der Trust Points, die Sie auf einem Cisco NX-OS-Gerät erklären können, ist 16.

  • Die maximale Anzahl identifizierter Zertifikate, die Sie auf einem Cisco NX-OS-Gerät konfigurieren können, ist 16.

  • Die maximale Anzahl von Zertifikaten in einer CA-Zertifikatskette ist 10.

  • Es können maximal 10 Trust Points für eine bestimmte CA authentifiziert werden.

  • Konfigurations-Rollbacks unterstützen die PKI-Konfiguration nicht.

  • Die Cisco NX-OS-Software unterstützt OSCP nicht.
Wenn Sie mit der Cisco IOS CLI vertraut sind, beachten Sie, dass sich die Cisco NX-OS-Befehle für diese Funktion möglicherweise von den Cisco IOS-Befehlen unterscheiden, die Sie verwenden würden.

Standardeinstellungen für PKI

In dieser Tabelle sind die Standardeinstellungen für PKI-Parameter aufgeführt.

Tabelle 1. Standard-PKI-Parameter

Parameter

Standard

Vertrauenspunkt

Keine

RSA-Schlüsselpaar

Keine

RSA-Schlüsselpaarbezeichnung

Geräte-FQDN

RSA-Schlüsselpaarmodul

512

RSA-Schlüssel-Pairing exportierbar

Aktiviert

Prüfmethode für Sperrung

Zertifikatsperrliste

Konfiguration von CAs und digitalen Zertifikaten

In diesem Abschnitt werden die Aufgaben beschrieben, die Sie durchführen müssen, um die Zusammenarbeit von CAs und digitalen Zertifikaten auf Ihrem Cisco NX-OS-Gerät zu ermöglichen.

Konfiguration von Hostname und IP-Domänenname

Sie müssen den Hostnamen und den IP-Domänennamen des Geräts konfigurieren, wenn Sie sie noch nicht konfiguriert haben, da die Cisco NX-OS-Software die vollqualifizierter Domänenname (FQDN) des Geräts als Betreff im Identitätszertifikat verwendet. Zudem verwendet die Cisco NX-OS-Software die Geräte-FQDN als Standard-Schlüsselbezeichnung, wenn Sie während der Schlüsselpaarerstellung keine Beschriftung festlegen. Beispielsweise basiert ein Zertifikat namens DeviceA.example.com auf einem Geräte-Hostnamen von DeviceA und einem Geräte-IP-Domänenname example.com.

Das Ändern des Hostnamens oder des IP-Domänennamen nach der Generierung des Zertifikats kann das Zertifikat ungültig machen.

  Befehl oder Aktion Zweck
1

Terminal konfigurieren

Beispiel:

switch# configure terminal 
 switch(config) #

Tritt in den globalen Konfigurationsmodus ein.
2

HostnameHostname

Beispiel:

Switch(config)# Hostname DeviceA

Konfiguriert den Hostnamen des Geräts.
3

IP-Domain-Name [use-realityfhilfe-name]

Beispiel:

GerätA (Config)# IP-Domänenname-example.com

Konfiguriert den IP-Domänennamen des Geräts. Wenn Sie keinen WRF-Namen angeben, verwendet der Befehl den Standard-WRF.
4

Ausfahrt

Beispiel:

Switch (Konfiguration)# 
 Exit-Switch #

Beendet den Konfigurationsmodus.
5

(Optional) Gastgeber anzeigen

Beispiel:

Switch# Gastgeber anzeigen
 (Optional)

Zeigt den IP-Domänennamen an.
6

(Optional) running-config startup-config kopieren

Beispiel:

Switch# copy running-config startup-config
 (Optional)

Kopiert die ausgeführte Konfiguration in die Startkonfiguration.

Erstellen eines RSA-Schlüsselpaares

Sie können rsa-Schlüssel-Paare generieren, um sich zu signieren und/oder die Sicherheits-Nutzlast während des Austauschs von Sicherheitsprotokollen für Anwendungen zu verschlüsseln und zu entschlüsseln. Sie müssen das RSA-Schlüsselpaar generieren, bevor Sie ein Zertifikat für Ihr Gerät abrufen können.

  Befehl oder Aktion Zweck
1

Terminal konfigurieren

Beispiel:

switch# configure terminal 
 switch(config) #

Tritt in den globalen Konfigurationsmodus ein.
2

kryptonische Schlüssel generieren rsa [labellabel-string ] [exportierbar ] [modulus size]

Beispiel:

Switch(config)# Kryptoschlüssel generieren RSA exportierbar

Generiert ein RSA-Schlüsselpaar. Die maximale Anzahl der Schlüsselpaare auf einem Gerät ist 16.

Die Beschriftungszeichenfolge ist alphanumerisch, berücksichtigt die Kleinschreibung und kann maximal 64 Zeichen lang sein. Die Standard-Beschriftungszeichenfolge ist der Hostname und FQDN durch ein Period-Zeichen (.) getrennt.

Gültige Modulwerte sind 512, 768, 1024, 1536 und 2048. Die Standardmodulgröße ist 512.


 

Die Sicherheitsrichtlinien auf dem Cisco NX-OS-Gerät und in der CA (wo eine Einschreibung geplant ist) sollten bei der Entscheidung über das entsprechende Schlüsselmodul in Betracht gezogen werden.

Standardmäßig ist das Schlüsselpaar nicht exportierbar. Es können nur exportierbare Schlüsselpaare im PKCS#12-Format exportiert werden.


 

Sie können die Exportfähigkeit eines Schlüsselpaares nicht ändern.
3

Ausfahrt

Beispiel:

Switch (Konfiguration)# 
 Exit-Switch #

Beendet den Konfigurationsmodus.
4

(Optional) Kryptoschlüssel mypubkey rsa anzeigen

Beispiel:

Switch# Kryptoschlüssel mypubkey rsa anzeigen
 (Optional)

Zeigt den generierten Schlüssel an.
5

(Optional) running-config startup-config kopieren

Beispiel:

Switch# copy running-config startup-config
 (Optional)

Kopiert die ausgeführte Konfiguration in die Startkonfiguration.

Erstellen einer TRUST Point CA Association (CA-Zuordnung)

Sie müssen das Cisco NX-OS-Gerät einer Zertifizierungsstelle für Vertrauenspunkt zuordnen.

Vorbereitungen

Generieren Sie das RSA-Schlüsselpaar.

  Befehl oder Aktion Zweck
1

Terminal konfigurieren

Beispiel:

switch# configure terminal 
 switch(config) #

Tritt in den globalen Konfigurationsmodus ein.
2

krypton. CATrustPoint-Name

Beispiel:

Switch(config)# Krypto-Ca TrustPoint Admin-CA 
 Switch(config-trustpoint) #

Erklärt eine Trust Point CA, der das Gerät vertrauen sollte, und tritt in den Konfigurationsmodus des Vertrauenspunkts ein.


 

Die maximale Anzahl der Trust Points, die Sie auf einem Gerät konfigurieren können, ist 16.
3

Einschreibungsterminal

Beispiel:

switch(config-trustpoint)# Einschreibungsterminal

Ermöglicht die manuelle Cut-and-Paste-Zertifikatsanmeldung. Der Standardwert ist aktiviert.


 

Die Cisco NX-OS-Software unterstützt nur die manuelle Cut-and-Paste-Methode für die Zertifikatsregistrierung.
4

rsakeypair-Label

Beispiel:

switch(config-trustpoint)# rsakeypair SwitchA

Gibt die Bezeichnung des RSA-Schlüsselpaares an, das diesem Vertrauenspunkt für die Einschreibung zuordnen soll.


 

Sie können pro CA nur ein RSA-Schlüsselpaar festlegen.
5

Ausfahrt

Beispiel:

switch(config-trustpoint)# exit 
 switch(config) #

Beendet den Konfigurationsmodus des Trust Point.
6

(Optional) Krypto-CA-TrustPoints anzeigen

Beispiel:

switch(config)# show Krypto-CA-Trustpoints
 (Optional)

Zeigt Informationen zu Vertrauensstellungen an.
7

(Optional) running-config startup-config kopieren

Beispiel:

switch(config)# copy running-config startup-config
 (Optional)

Kopiert die ausgeführte Konfiguration in die Startkonfiguration.

Authentifizierung der CA

Der Konfigurationsprozess der Vertrauen einer CA ist nur abgeschlossen, wenn die CA am Cisco NX-OS-Gerät authentifiziert ist. Sie müssen Ihr Cisco NX-OS-Gerät an der CA authentifizieren, indem Sie das selbstsignierte Zertifikat der CA im PEM-Format abrufen, das den öffentlichen Schlüssel der CA enthält. Da das Zertifikat der CA selbstsigniert ist (die CA signiert ihr eigenes Zertifikat), sollte der öffentliche Schlüssel der CA manuell authentifiziert werden, indem der CA-Administrator den Fingerabdruck des CA-Zertifikats vergleicht.

Die CA, die Sie authentifizieren, ist keine selbstsignierte Zertifizierungsstelle, wenn es sich um eine untergeordnete Zertifizierungsstelle für eine andere Zertifizierungsstelle handelt. Dies kann sich als untergeordneter Ca zu einer anderen ZERTIFIZIERUNGsstelle befinden, so dass sie schließlich auf einer selbst signierten Zertifizierungsstelle endet. Dieser CA-Zertifikattyp wird als CA-Zertifikatskette der zu authentifizierden CA bezeichnet. In diesem Fall müssen Sie während der CA-Authentifizierung die vollständige Liste der CA-Zertifikate aller CAs in der Zertifizierungskette eingeben. Die maximale Anzahl von Zertifikaten in einer CA-Zertifikatskette ist 10.

Vorbereitungen

Erstellen Sie eine Zuordnung zur Zertifizierungsstelle.

Erhalten Sie das CA-Zertifikat oder die CA-Zertifikatskette.

  Befehl oder Aktion Zweck
1

Terminal konfigurieren

Beispiel:

switch# configure terminal 
 switch(config) #

Tritt in den globalen Konfigurationsmodus ein.
2

krypton. Ca.Authentifizierungsname

Beispiel:

Switch(config)# Krypto-Ca authentifizieren Admin-CA-Eingabe 
 (Ausschneiden und Einfügen) CA-Zertifikat (Kette) im PEM-Format; 
 end the input with a line containing only END OF INPUT : 
 -----BEGIN CERTIFICATE----- 
 MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB 
 kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO 
 MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE 
 ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD 
 QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN 
 AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth 
 cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG 
 A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN 
 AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI 
 OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E 
 BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ 
 GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs 
 L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv 
 bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB 
 BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea 
 NBG7E0oN66zex0EOEfG1Vs6mXp1//w== 
 -----END CERTIFICATE----- 
 END OF INPUT 
 Fingerprint(s): MD5-Fingerabdruck=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Akzeptieren Sie 
 dieses Zertifikat? [Ja/Nein]: ja

Fordert Sie zum Ausschneiden und Einfügen des CA-Zertifikats auf. Verwenden Sie den gleichen Namen, den Sie bei der Verwendung der CA verwendet haben.

Es können maximal 10 Trust Points für eine bestimmte CA authentifiziert werden.


 

Für die untergeordnete CA-Authentifizierung benötigt die Cisco NX-OS-Software die vollständige Kette von CA-Zertifikaten, die in einer selbstsignierten CA enden, da die CA-Kette für die Zertifikatsverifizierung sowie für den EXPORT des PKCS#12-Formats benötigt wird.
3

Ausfahrt

Beispiel:

Switch (Konfiguration)# 
 Exit-Switch #

Beendet den Konfigurationsmodus.
4

(Optional) Krypto-CA-TrustPoints anzeigen

Beispiel:

switch# show Krypto-CA TrustPoints
 (Optional)

Zeigt die Ca-Informationen des Vertrauenspunkts an.
5

(Optional) running-config startup-config kopieren

Beispiel:

Switch# copy running-config startup-config
 (Optional)

Kopiert die ausgeführte Konfiguration in die Startkonfiguration.

Prüfmethoden für die Überprüfung der Zertifikatsperrung

Während des Sicherheitsaustauschs mit einem Client (z. B. einem SSH-Benutzer) führt das Cisco NX-OS-Gerät die Zertifikatsverifizierung der vom Client Peer-Zertifikat Benutzer durch. Bei dem Verifizierungsprozess kann es sich um die Überprüfung des Zertifikatssperrstatus handelt.

Sie können das Gerät so konfigurieren, dass es die von der ZERTIFIZIERUNGsstelle heruntergeladene CRL überprüft. Durch das Herunterladen der CRL und die lokale Überprüfung wird kein Datenverkehr in Ihrem Netzwerk erzeugt. Zertifikate können jedoch zwischen Downloads widerrufen werden und Ihr Gerät kann die Sperrung nicht kennen.

Vorbereitungen

Authentifizieren Sie die CA.

Stellen Sie sicher, dass Sie die CRL konfiguriert haben, wenn Sie die CRL-Überprüfung verwenden möchten.

  Befehl oder Aktion Zweck
1

Terminal konfigurieren

Beispiel:

switch# configure terminal 
 switch(config) #

Tritt in den globalen Konfigurationsmodus ein.
2

krypton. CATrustPoint-Name

Beispiel:

Switch(config)# Krypto-Ca TrustPoint Admin-CA 
 Switch(config-trustpoint) #

Gibt eine Trust-Point-CA an und tritt in den Konfigurationsmodus des Vertrauenspunkts ein.
3

sperr-check {crl [ none ] none | }

Beispiel:

switch(config-trustpoint)# revocation-check none

Konfiguriert die Methoden zur Überprüfung der Zertifikatsperrung. Die Standardmethode ist crl.

Die Cisco NX-OS-Software verwendet die Methoden zur Zertifikatssperrung in der von Ihnen angegebenen Reihenfolge.
4

Ausfahrt

Beispiel:

switch(config-trustpoint)# exit 
 switch(config) #

Beendet den Konfigurationsmodus des Trust Point.
5

(Optional) Krypto-CA-TrustPoints anzeigen

Beispiel:

switch(config)# show Krypto-CA-Trustpoints
 (Optional)

Zeigt die Ca-Informationen des Vertrauenspunkts an.
6

(Optional) running-config startup-config kopieren

Beispiel:

switch(config)# copy running-config startup-config
 (Optional)

Kopiert die ausgeführte Konfiguration in die Startkonfiguration.

Erstellen von Zertifikatsanforderungen

Sie müssen für jedes der RSA-Schlüsselpaare Ihres Geräts eine Anforderung zum Abrufen von Identitätszertifikaten von der entsprechenden Zertifizierungsstelle erstellen. Anschließend müssen Sie die angezeigte Anfrage ausschneiden und in eine E-Mail oder in ein Website-Formular für die CA einfügen.

Vorbereitungen

Erstellen Sie eine Zuordnung zur Zertifizierungsstelle.

Erhalten Sie das CA-Zertifikat oder die CA-Zertifikatskette.

  Befehl oder Aktion Zweck
1

Terminal konfigurieren

Beispiel:

switch# configure terminal 
 switch(config) #

Tritt in den globalen Konfigurationsmodus ein.
2

krypton. ca. Einschreibungsname

Beispiel:

switch(config)# Krypto-Ca registrieren admin-ca 
 Erstellen Sie die Zertifikatsanforderung .
 Erstellen Sie ein Passwort für die Aufgabe. Sie müssen dieses Passwort dem CA-Administrator persönlich bereitstellen, 
  um Ihr Zertifikat widerrufen zu können.
  Aus Sicherheitsgründen wird Ihr Passwort nicht in der Konfiguration gespeichert.
  Notieren Sie sich dieses.
  Passwort:nbv123 
 Der Betreffname im Zertifikat ist: DeviceA.cisco.com 
 Sie die Seriennummer des Schalters in den Betreffnamen ein? [Ja/Nein]: no 
 Include a IP address in the subject name [yes/no]: ja 
 IP-Adresse:172.22.31.162 Die 
 Zertifikatsanforderung wird angezeigt...
-----BEGIN CERTIFICATE REQUEST----- 
 MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ 
 KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 
 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y 
 P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S 
 VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ 
 DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ 
 KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt 
 PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 
 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= 
 -----END CERTIFICATE REQUEST-----

Generiert eine Zertifikatsanforderung für eine authentifizierte Zertifizierungsstelle.


 

Sie müssen sich das Passwort für die Aufgabe merken. Es wird nicht mit der Konfiguration gespeichert. Sie müssen dieses Passwort eingeben, wenn Ihr Zertifikat widerrufen werden muss.
3

Ausfahrt

Beispiel:

switch(config-trustpoint)# exit 
 switch(config) #

Beendet den Konfigurationsmodus des Trust Point.
4

(Optional) Krypto-CA-Zertifikate anzeigen

Beispiel:

switch(config)# show Krypto-CA-Zertifikate anzeigen
 (Optional)

Zeigt die CA-Zertifikate an.
5

(Optional) running-config startup-config kopieren

Beispiel:

switch(config)# copy running-config startup-config
 (Optional)

Kopiert die ausgeführte Konfiguration in die Startkonfiguration.

Installieren von Identitätszertifikaten

Sie können das Identitätszertifikat von der Zertifizierungsstelle per E-Mail oder über einen Webbrowser in base64-verschlüsselten Textformularen erhalten. Sie müssen das Identitätszertifikat der CA installieren, indem Sie den codierten Text ausschneiden und in die Datei einschneiden.

Vorbereitungen

Erstellen Sie eine Zuordnung zur Zertifizierungsstelle.

Erhalten Sie das CA-Zertifikat oder die CA-Zertifikatskette.

  Befehl oder Aktion Zweck
1

Terminal konfigurieren

Beispiel:

switch# configure terminal 
 switch(config) #

Tritt in den globalen Konfigurationsmodus ein.
2

krypton.CA-Importname-Zertifikat

Beispiel:

Switch(config)# Krypto-Ca-Import-Admin-CA-Zertifikateingabe 
 (Ausschneide- und Einfügen)-Zertifikat im PEM-Format:
-----BEGIN CERTIFICATE----- 
 MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G 
 CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD 
 VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz 
 Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w 
 NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu 
 Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C 
 dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 
 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb 
 x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw 
 GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR 
 bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW 
 pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE 
 BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w 
 DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh 
 cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 
 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 
 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH 
 AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl 
 LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 
 XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF 
 AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw 
 E36cIZu4WsExREqxbTk8ycx7V5o= 
 -----END CERTIFICATE-----

Fordert Sie auf, das Identitätszertifikat für die CA mit dem Namen admin-ca ausschneiden und in das Zertifikat einzugeben.

Die maximale Anzahl identifizierter Zertifikate, die Sie auf einem Gerät konfigurieren können, ist 16.
3

Ausfahrt

Beispiel:

Switch (Konfiguration)# 
 Exit-Switch #

Beendet den Konfigurationsmodus.
4

(Optional) Krypto-CA-Zertifikate anzeigen

Beispiel:

switch# zeigt Krypto-CA-Zertifikate an
 (Optional)

Zeigt die CA-Zertifikate an.
5

(Optional) running-config startup-config kopieren

Beispiel:

Switch# copy running-config startup-config
 (Optional)

Kopiert die ausgeführte Konfiguration in die Startkonfiguration.

Gewährleistung, dass die Konfiguration des Trust-Point während eines Neustarts weiterhin besteht

Sie können sicherstellen, dass die Trustpoint-Konfiguration über das Cisco NX-OS-Gerät beim Neustart beibehalten wird.

Bei der Konfiguration des Vertrauenspunkts handelt es sich um eine normale Cisco NX-OS-Gerätekonfiguration, die über das gesamte System hinweg nur dann neu gestartet wird, wenn Sie sie explizit in die Startup-Konfiguration kopieren. Die Zertifikate, Schlüsselpaare und CRL, die mit einem Vertrauenspunkt verknüpft sind, werden automatisch dauerhaft gespeichert, wenn Sie die Konfiguration des Vertrauenspunkts bereits in der Startkonfiguration kopiert haben. Wenn hingegen die Konfiguration des Vertrauenspunkts nicht in die Startkonfiguration kopiert wird, sind die damit verbundenen Zertifikate, Schlüsselpaare und CRL nicht dauerhaft, da sie nach einem Neustart die entsprechende Trust-Point-Konfiguration erfordern. Kopieren Sie die laufende Konfiguration immer in die Startup-Konfiguration, um sicherzustellen, dass die konfigurierten Zertifikate, Schlüsselpaare und CRLs dauerhaft sind. Speichern Sie außerdem die ausgeführte Konfiguration nach dem Löschen eines Zertifikats oder Schlüsselpaares, um sicherzustellen, dass die Löschungen dauerhaft sind.

Die Zertifikate und die CRL, die mit einem Vertrauenspunkt verknüpft sind, werden beim Import automatisch dauerhaft (d. h. ohne explizite Kopiervorgang in die Startkonfiguration), wenn der spezifische Trust-Point bereits in der Startkonfiguration gespeichert wurde.

Wir empfehlen Ihnen, ein passwortgeschütztes Backup der Identitätszertifikate zu erstellen und auf einem externen Server zu speichern.

Beim Kopieren der Konfiguration auf einen externen Server sind die Zertifikate und Schlüsselpaare enthalten.

Exportieren von Identitätsinformationen im PKCS 12-Format

Sie können das Identitätszertifikat zusammen mit dem RSA-Schlüsselpaar und CA-Zertifikat (oder der gesamten Kette im Fall einer untergeordneten Zertifizierungsstelle) eines Vertrauenspunkts zu Sicherungszwecken in eine PKCS#12-Datei exportieren. Sie können das Zertifikat und das RSA-Schlüsselpaar importieren, um das System nach einem Systemabsturz auf Ihrem Gerät oder wenn Sie die Supervisor-Module ersetzen, wiederhergestellt werden.

Sie können beim Angeben der Export-URL nur das Format bootflash:filename verwenden.

Vorbereitungen

Authentifizieren Sie die CA.

Installieren Sie ein Identitätszertifikat.

  Befehl oder Aktion Zweck
1

Terminal konfigurieren

Beispiel:

switch# configure terminal 
 switch(config) #

Tritt in den globalen Konfigurationsmodus ein.
2

krypton.CA-Exportname pkcs12 bootflash:DateinamePasswort

Beispiel:

Switch (Config)# Krypto-CA-Export Admin-ca pkcs12 bootflash:adminid.p12 nbv123

Exportiert das Identitätszertifikat und die zugeordneten Schlüsselpaare und CA-Zertifikate für eine Trust Point CA. Das Passwort ist alphanumerisch, zwischen Kleinschreibung muss beachtet werden und kann maximal 128 Zeichen lang sein.
3

Ausfahrt

Beispiel:

Switch (Konfiguration)# 
 Exit-Switch #

Beendet den Konfigurationsmodus.
4

Boflash kopieren:Dateinamenschema ://server / [url/ ]Dateiname

Beispiel:

Switch# copy bootflash:adminid.p12 tftp:adminid.p12

Kopiert die PKCS#12-Formatdatei auf einen entfernten Server.

Als Schema-Argument können Sie tftp eingeben:, ftp:, scp:, oder sftp:. Das Server-Argument ist die Adresse oder der Name des entfernten Servers, und das URL-Argument ist der Pfad zu der Quelldatei auf dem entfernten Server.

Bei den Servern , URL und Dateinamensargumenten wird zwischen Kleinschreibung beachtet.

Importieren von Identitätsinformationen im PKCS 12-Format

Sie können das Zertifikat und das RSA-Schlüsselpaar importieren, um das System nach einem Systemabsturz auf Ihrem Gerät oder wenn Sie die Supervisor-Module ersetzen, wiederhergestellt werden.

Sie können beim Angeben der Import-URL nur das Format bootflash:filename verwenden.

Vorbereitungen

Stellen Sie sicher, dass der Vertrauenspunkt leer ist, indem Sie überprüfen, dass kein RSA-Schlüsselpaar und mit dem Vertrauenspunkt, für den die CA-Authentifizierung verwendet wird, keine CA zugeordnet ist.

  Befehl oder Aktion Zweck
1

Kopierschema ://server / [ url/]Dateinamebootflash:Dateiname

Beispiel:

Switch# copy tftp:adminid.p12 bootflash:adminid.p12

Kopiert die PKCS#12-Formatdatei vom Remote-Server.

Als Schema-Argument können Sie tftp eingeben:, ftp:, scp:, oder sftp:. Das Server-Argument ist die Adresse oder der Name des entfernten Servers, und das URL-Argument ist der Pfad zu der Quelldatei auf dem entfernten Server.

Bei den Servern , URL und Dateinamensargumenten wird zwischen Kleinschreibung beachtet.
2

Terminal konfigurieren

Beispiel:

switch# configure terminal 
 switch(config) #

Tritt in den globalen Konfigurationsmodus ein.
3

Krypto-Ca-Importnamepksc12 bootflash:Dateiname

Beispiel:

Switch (Config)# Krypto-Ca-Import Admin-ca pkcs12 bootflash:adminid.p12 nbv123

Importiert das Identitätszertifikat und die zugeordneten Schlüsselpaare und CA-Zertifikate für Trust Point CA.
4

Ausfahrt

Beispiel:

Switch (Konfiguration)# 
 Exit-Switch #

Beendet den Konfigurationsmodus.
5

(Optional) Krypto-CA-Zertifikate anzeigen

Beispiel:

switch# zeigt Krypto-CA-Zertifikate an
 (Optional)

Zeigt die CA-Zertifikate an.
6

(Optional) running-config startup-config kopieren

Beispiel:

Switch# copy running-config startup-config
 (Optional)

Kopiert die ausgeführte Konfiguration in die Startkonfiguration.

Konfiguration einer CRL

Sie können die von den Vertrauenspunkten heruntergeladenen CRLs manuell konfigurieren. Die Cisco NX-OS-Software speichert die CRLs im Gerätestartflash (Zertifikatspeicher). Während der Überprüfung einer Peer-Zertifikat überprüft die Cisco NX-OS-Software die CRL von der ausstellenden CA nur, wenn Sie die CRL auf das Gerät heruntergeladen haben und Sie die Zertifikatssperrung für die Verwendung der CRL konfiguriert haben.

Vorbereitungen

Vergewissern Sie sich, dass Sie die Überprüfung der Zertifikatsperrung aktiviert haben.

  Befehl oder Aktion Zweck
1

Kopierschema:[ server / [ url/]]Dateinamebootflash:Dateiname

Beispiel:

Switch# kopieren tftp:adminca.crl bootflash:adminca.crl

Lädt die CRL von einem Remote-Server herunter.

Als Schema-Argument können Sie tftp eingeben:, ftp:, scp:, oder sftp:. Das Server-Argument ist die Adresse oder der Name des entfernten Servers, und das URL-Argument ist der Pfad zu der Quelldatei auf dem entfernten Server.

Bei den Servern , URL und Dateinamensargumenten wird zwischen Kleinschreibung beachtet.
2

Terminal konfigurieren

Beispiel:

switch# configure terminal 
 switch(config) #

Tritt in den globalen Konfigurationsmodus ein.
3

krypton. ca crlAnfragename bootflash:Dateiname

Beispiel:

switch(config)# kryptoe ca crl request admin-ca bootflash:adminca.crl

Konfiguriert oder ersetzt die aktuelle CRL mit der in der Datei angegebenen.
4

Ausfahrt

Beispiel:

Switch (Konfiguration)# 
 Exit-Switch #

Beendet den Konfigurationsmodus.
5

(Optional) kryptonischen Ca crl-Namenanzeigen

Beispiel:

Switch# Krypto-CA anzeigen crl admin-ca
 (Optional)

Zeigt die CA CRL-Informationen an.
6

(Optional) running-config startup-config kopieren

Beispiel:

Switch# copy running-config startup-config
 (Optional)

Kopiert die ausgeführte Konfiguration in die Startkonfiguration.

Zertifikate aus der CA-Konfiguration löschen

Sie können die Identitätszertifikate und CA-Zertifikate löschen, die auf einem Trust Point konfiguriert sind. Sie müssen zuerst das Identitätszertifikat löschen und anschließend die CA-Zertifikate. Nach dem Löschen des Identitätszertifikats können Sie die Zuordnung des RSA-Schlüsselpaares von einem Vertrauenspunkt entfernen. Sie müssen Zertifikate löschen, um abgelaufene oder gesperrte Zertifikate, Zertifikate, die kompromittierte (oder den Mut zur Kompromittung) haben, oder CAs, denen nicht mehr vertraut wird, zu entfernen.

  Befehl oder Aktion Zweck
1

Terminal konfigurieren

Beispiel:

switch# configure terminal 
 switch(config) #

Tritt in den globalen Konfigurationsmodus ein.
2

krypton. CATrustPoint-Name

Beispiel:

Switch(config)# Krypto-Ca TrustPoint Admin-CA 
 Switch(config-trustpoint) #

Gibt eine Trust-Point-CA an und tritt in den Konfigurationsmodus des Vertrauenspunkts ein.
3

CA-Zertifikat löschen

Beispiel:

switch(config-trustpoint)# ca-certificate löschen

Löscht das CA-Zertifikat oder die Zertifikatskette.
4

Zertifikat löschen [force]

Beispiel:

switch(config-trustpoint)# Zertifikat löschen

Löscht das Identitätszertifikat.

Sie müssen die Force-Option verwenden, wenn das zu löschende Identitätszertifikat das letzte Zertifikat in einer Zertifikatskette oder nur das Identitätszertifikat auf dem Gerät ist. Durch diese Anforderung wird sichergestellt, dass Sie nicht fälschlicherweise das letzte Zertifikat in einer Zertifikatskette oder nur das Identitätszertifikat löschen und die Anwendungen (wie z. B. SSH) ohne Zertifikat verlassen.
5

Ausfahrt

Beispiel:

switch(config-trustpoint)# exit 
 switch(config) #

Beendet den Konfigurationsmodus des Trust Point.
6

(Optional) Krypto-CA-Zertifikate anzeigen [Name]

Beispiel:

switch(config)# show crypto ca certificates admin-ca
 (Optional)

Zeigt die Informationen zum CA-Zertifikat an.
7

(Optional) running-config startup-config kopieren

Beispiel:

switch(config)# copy running-config startup-config
 (Optional)

Kopiert die ausgeführte Konfiguration in die Startkonfiguration.

Löschen von RSA-Schlüsselpaaren von einem Cisco NX-OS-Gerät

Sie können die RSA-Schlüsselpaare von einem Cisco NX-OS-Gerät löschen, wenn Sie der Meinung sind, dass die RSA-Schlüsselpaare auf bestimmte Weise kompromittiert sind und daher nicht mehr verwendet werden sollten.

Nachdem Sie RSA-Schlüssel-Paare von einem Gerät gelöscht haben, bitten Sie den CA-Administrator, die Gerätezertifikate der CA zu widerrufen. Sie müssen das Herausforderungspasswort angeben, das Sie erstellt haben, als Sie die Zertifikate ursprünglich angefordert haben.

  Befehl oder Aktion Zweck
1

Terminal konfigurieren

Beispiel:

switch# configure terminal 
 switch(config) #

Tritt in den globalen Konfigurationsmodus ein.
2

krypton. Schlüssel ZeroizeRSA-Bezeichnung

Beispiel:

switch(config)# kryptony key zeroize rsa MyKey

Löscht das RSA-Schlüsselpaar.
3

Ausfahrt

Beispiel:

Switch (Konfiguration)# 
 Exit-Switch #

Beendet den Konfigurationsmodus.
4

(Optional) Kryptoschlüssel mypubkey rsa anzeigen

Beispiel:

Switch# Kryptoschlüssel mypubkey rsa anzeigen
 (Optional)

Zeigt die RSA-Schlüsselpaarkonfiguration an.
5

(Optional) running-config startup-config kopieren

Beispiel:

Switch# copy running-config startup-config
 (Optional)

Kopiert die ausgeführte Konfiguration in die Startkonfiguration.

PKI-Konfiguration wird überprüft

Führen Sie eine der folgenden Aufgaben aus, um die Informationen zur PKI-Konfiguration anzuzeigen:

Befehl

Zweck

Kryptoschlüssel mypubkey rsa anzeigen

Zeigt Informationen zu den öffentlichen RSA-Schlüsseln an, die auf dem Cisco NX-OS-Gerät generiert werden.

Krypto-CA-Zertifikate anzeigen

Zeigt Informationen zu CA- und Identitätszertifikaten an.

Krypto-CA CRL anzeigen

Zeigt Informationen zu CA CRLs an.

Krypto-CA-TrustPoints anzeigen

Zeigt Informationen zu CA-Vertrauenspunkten an.

Konfigurationsbeispiele für PKI

In diesem Abschnitt finden Sie Beispiele für Die Aufgaben, die Sie verwenden können, um Zertifikate und CRLs auf Cisco NX-OS-Geräten mit einem Microsoft Windows-Zertifikatserver zu konfigurieren.

Sie können alle Arten von Zertifikatsservern verwenden, um digitale Zertifikate zu erstellen. Sie sind nicht auf die Verwendung des Microsoft Windows-Zertifikatservers beschränkt.

Zertifikate auf einem Cisco NX-OS-Gerät konfigurieren

Gehen Sie zum Konfigurieren von Zertifikaten auf einem Cisco NX-OS-Gerät folgendermaßen vor:

1

Konfigurieren Sie das FQDN.

switch# configure terminal enter configuration commands, one per line.  Mit CNTL/Z beenden. 
 Switch(config)# Hostname Device-1 Device-1(config) #
2

Konfigurieren Sie den DNS-Domänennamen für das Gerät.

Device-1(config)# IP-Domänenname-cisco.com
3

Erstellen Sie einen Vertrauenspunkt.

Gerät-1(Config)# Krypto-Ca TrustPoint MyCA Device-1(config-trustpoint)#  Device-1(config)# beenden Device-1(config)# show crypto ca trustpoints trustpoints: MyCA; Schlüssel:
Methoden zum Widerrufen:  Zertifikatsperrliste
4

Erstellen Sie ein RSA-Schlüsselpaar für das Gerät.

Gerät-1(Config)# Kryptoschlüssel generieren RSA-Label myKey exportierbar modulus 1024 Device-1(config)# Kryptoschlüssel mypubkey rsa-Schlüsselbeschriftung anzeigen: MyKey-Schlüsselgröße: 1024 
 exportierbar: ja
5

Verknüpfen Sie das RSA-Schlüsselpaar mit dem Vertrauenspunkt.

Gerät-1(config)# kryptony ca trustpoint myCA Device-1(config-trustpoint)# rsakeypair myKey Device-1(config-trustpoint)# exit Device-1(config)# show crypto ca trustpoints trustpoint: MyCA; Schlüssel: MyKey-Revokationsmethoden:  Zertifikatsperrliste
6

Laden Sie das CA-Zertifikat von der Microsoft Certificate Service-Weboberfläche herunter.
7

Authentifizieren Sie die CA, die Sie sich für den Vertrauenspunkt einschreiben möchten.

Gerät-1(config)# Krypto-Ca-Authentifizierung MyCA-Eingabe (ausschneiden und einfügen) CA-Zertifikat (Kette) im PEM-Format; 
 end the input with a line containing only END OF INPUT : 
 -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea NBG7E0oN66zex0EOEfG1Vs6mXp1//w== -----END CERTIFICATE----- ENDE DES EINGANGS-Fingerabdrucks: MD5-Fingerabdruck=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Akzeptieren Sie 
 dieses Zertifikat? [yes/no]:y  Device-1(config)# show crypto ca certificates Trustpoint: MyCA 
 CA-Zertifikat 0:
subject= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ 
 L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA 
 issuer= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ 
 L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA 
 serial=0560D289ACB41994F4912258CAD197A 
 notBefore=Mai 3 22:0046:37 2005 GMT 
 notAfter=3 Mai 22:55:17 2007 GMT 
 MD5 Fingerabdruck=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 
 zwecke: SSL-Server-SSLCLIENT- Ihre
8

Generieren Sie ein Anforderungszertifikat, mit dem Sie sich mit einem Trust Point einschreiben können.

Gerät-1(config)# Krypto-Ca registrieren myCA  Erstellen Sie die Zertifikatsanforderung .
 Erstellen Sie ein Passwort für die Aufgabe. Sie müssen dieses Passwort dem CA-Administrator persönlich bereitstellen, 
  um Ihr Zertifikat widerrufen zu können.
  Aus Sicherheitsgründen wird Ihr Passwort nicht in der Konfiguration gespeichert.
  Notieren Sie sich dieses.
  Kennwort: nbv123  Der Betreffname im Zertifikat ist: Device-1.cisco.com Sie  die Seriennummer des Schalters in den Betreffnamen ein? [Ja/Nein]: no  Include a IP address in the subject name [yes/no]:  JA-IP-Adresse: 10.10.1.1 Die  Zertifikatsanforderung wird angezeigt...
-----BEGIN CERTIFICATE REQUEST----- 
 MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ 
 KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 
 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y 
 P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S 
 VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ 
 DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ 
 KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt 
 PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 
 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= 
 -----END CERTIFICATE REQUEST-----
9

Fordern Sie über die Weboberfläche des Microsoft-Zertifikatdiensts ein Identitätszertifikat an.
10

Importieren Sie das Identitätszertifikat.

Gerät-1(config)# Krypto-Ca-Import MyCA-Zertifikat(Ausschneide- und Einfügen)-Zertifikat im PEM-Format:
-----BEGIN-ZERTIFIKAT----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH AQEEfjB8MDs COMPUTERGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl LTA4X0FwYXJuySUyMENBLmNydDA9BggrBgEFBQcwJsYxZmlsZTovL1xcc3NlLTA4 XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpErscheintyflw E36cIZu4WsExREqxbTk8ycx7V5o= -----END CERTIFICATE----- Device-1(config)# Beenden  Device-1 #
11

Überprüfen Sie die Zertifikatskonfiguration.
12

Speichern Sie die Zertifikatskonfiguration in der Startkonfiguration.

Herunterladen eines CA-Zertifikats

Gehen Sie folgendermaßen vor, um ein CA-Zertifikat von der Microsoft Certificate Services-Weboberfläche herunterzuladen:

1

Klicken Sie auf der Microsoft Certificate Services-Weboberfläche auf Das CA-Zertifikat abrufen oder die Zertifikatsperraufgabe und klicken Sie auf Weiter .

2

Wählen Sie aus der Anzeigeliste die CA-Zertifikatdatei aus, die Sie aus der angezeigten Liste herunterladen möchten. Klicken Sie anschließend auf Base 64-verschlüsselt und dann auf CA-Zertifikat herunterladen.

3

Klicken Sie im Fenster Datei herunterladen auf Dialogfeld.

4

Klicken Sie in Dialogfeld auf In Datei kopieren und dann auf OK.

5

Wählen Sie im Zertifikats Dialogfeld Wizard zum Exportieren von Zertifikaten das base-64-kodierte X.509 (CER) aus und klicken Sie auf Weiter .

6

Geben Sie im Bereich Dateiname: Textfeld im Zertifikat-Export-Assistenten für Dialogfeld, geben Sie den Namen der Zieldatei ein und klicken Sie auf Weiter.
7

Klicken Sie im Zertifikat-Export Dialogfeld auf Fertigstellen .
8

Geben Sie den Microsoft Windows-Typbefehl ein, um das CA-Zertifikat anzuzeigen, das im Base-64 (PEM)-Format gespeichert ist.

Anfordern eines Identitätszertifikats

Gehen Sie folgendermaßen vor, um ein Zertifikat von einem Microsoft-Zertifikatsserver mithilfe einer PKCS#12-Zertifikatsignieranforderung (CRS) an fordern:

1

Klicken Sie auf der Microsoft Certificate Services-Weboberfläche auf Zertifikat anfordern und dann auf Weiter.

2

Klicken Sie auf Erweiterte Anfrage und dann auf Weiter.

3

Klicken Sie auf Eine Zertifikatsanforderung mit einer base64-verschlüsselten PKCS#10-Datei oder einer Verlängerungsanforderung mit einer base64-verschlüsselten PKCS#7-Datei senden und klicken Sie auf Weiter.

4

Fügen Sie im Textfeld Gespeicherte Anfrage die Zertifikatsanforderung base64 PKCS#10 ein und klicken Sie auf Weiter. Die Zertifikatsanforderung wird von der Cisco NX-OS-Gerätekonsole kopiert.

5

Warten Sie ein bis zwei Tage, bis das Zertifikat vom CA-Administrator ausgestellt wurde.

6

Der CA-Administrator genehmigt die Zertifikatsanforderung.

7

Klicken Sie auf der Microsoft Certificate Services-Weboberfläche auf Ein ausstehendes Zertifikat überprüfen und klicken Sie auf Weiter .

8

Wählen Sie die Zertifikatsanforderung aus, die Sie überprüfen möchten, und klicken Sie auf Weiter.

9

Klicken Sie auf Base 64-kodiert und klicken Sie aufCA-Zertifikat herunterladen.

10

Klicken Sie in der Dialogfeld auf Öffnen.

11

Klicken Sie im Feld Zertifikat auf die Registerkarte Details und dann auf In Dateikopieren.... Klicken Sie im Dialogfeld Zertifikatexport auf Base-64-kodiertes X.509 (. CER)und klicken Sie auf Weiter .

12

Geben Sie im Bereich Dateiname: Textfeld im Zertifikat-Export-Assistenten für Dialogfeld, geben Sie den Namen der Zieldatei ein und klicken Sie auf Weiter.

13

Klicken Sie auf Fertig stellen.

14

Geben Sie den Microsoft Windows-Typbefehl ein, um das Identitätszertifikat in einem base64-verschlüsselten Format anzuzeigen.

Widerrufen eines Zertifikats

Gehen Sie folgendermaßen vor, um ein Zertifikat mit dem Microsoft CA-Administratorprogramm zu widerrufen:

1

Klicken Sie in der Struktur der Zertifizierungsstelle auf Zertifikate ausgestellt. Klicken Sie in der Liste mit der rechten Maustaste auf das Zertifikat, das Sie widerrufen möchten.
2

Wählen Sie Alle Aufgaben > Zertifikat widerrufenaus.

3

Wählen Sie im Code für Drop-down-Liste einen Grund für die Sperrung aus und klicken Sie auf Ja.

4

Klicken Sie auf den Ordner Gesperrte Zertifikate, um die Zertifikatssperrung auflisten und verifizieren.

Erstellen und Veröffentlichen der CRL

Gehen Sie zum Generieren und Veröffentlichen der CRL mithilfe des Microsoft CA-Administratorprogramms folgendermaßen vor:

1

Wählen Sie auf dem Bildschirm der Zertifizierungsstelle die Option > Alle Aufgaben > Veröffentlichenaus.

2

Klicken Sie in der Zertifikatssperrliste Dialogfeld auf Ja, um die neueste CRL zu veröffentlichen.

Herunterladen der CRL

Gehen Sie folgendermaßen vor, um die CRL von der Microsoft CA-Website herunterzuladen:

1

Klicken Sie auf der Microsoft Certificate Services-Weboberfläche auf CA-Zertifikat abrufen oder Zertifikatsperrliste abrufen und klicken Sie auf Weiter .

2

Klicken Sie auf Neueste Zertifikatssperrliste herunterladen.

3

Klicken Sie in der Dialogfeld auf Speichern.

4

Geben Sie in der Dialogfeld den Namen der Zieldatei ein und klicken Sie auf Speichern.

5

Geben Sie den Microsoft Windows-Typbefehl ein, um die CRL anzuzeigen.

Importieren der CRL

Gehen Sie zum Importieren der CRL zum Vertrauenspunkt, der der CA entspricht, folgendermaßen vor:

1

Kopieren Sie die CRL-Datei auf den Bootflash des Cisco NX-OS-Geräts.

Gerät-1# kopieren tftp:apranaCA.crl bootflash:aparnaCA.crl
2

Konfigurieren Sie die CRL.


Gerät-1# konfigurieren terminal Device-1(config)# kryptologische Ca crl request myCA bootflash:aparnaCA.crl Device-1(config) #
3

Anzeigen des Inhalts der CRL.


Device-1(config)# show crypto ca crl myCA Trustpoint: MyCA-CRL:
Zertifikatssperrliste (Certificate Revocation List, CRL):
        Signaturalgorithmus Version 2 (0x1): sha1WithRSAEncryption 
        Herausgeber: /emailAddress=admin@yourcompany.com/C=IN/ST=Karnatak 
 Yourcompany/OU=netstorage/CN=Aparna CA 
        Letzte Aktualisierung: 12. Nov 04:36:04 2005 GMT 
        Nächste Aktualisierung: 19. Nov 16:56:04 2005 GMT 
        CRL Extensions:
            Schlüsselidentifikator X509v3-Zertifizierungsstelle:
            keyid:27:28:F2:46:83:1B:AC:23:4C:45:4D:8E:C9:18:50:1 
            1.3.6.1.4.1.311.21.1:
                ...
Widerrufene Zertifikate:
    Seriennummer: 611B09A10000000002 Datum der 
        Sperrung: 16. August 21:52:19 2005 GMT 
 Seriennummer: 4CDE464E00000000003 Datum der 
        Sperrung: 16. August 21:52:29 2005 GMT 
    Seriennummer: 4CFC2B420000000004 
        Datum der Sperrung: 16. August 21:52:41 2005 GMT 
    Seriennummer: 6C699EC200000000005 Datum der 
        Sperrung: 16. August 21:52:52 2005 GMT 
    Seriennummer: 6CCF7DDC00000000006 
        Datum der Sperrung: 8. Juni 00:12:04 2005 GMT 
    Seriennummer: 70CC4FFF00000000007 
        Datum der Sperrung: 16. August 21:53:15 2005 GMT 
    Seriennummer: 4D9B1111600000000008 
        Datum der Sperrung: 16. August 21:53:15 2005 GMT 
    Seriennummer: 52A8023000000000009 Datum der 
        Sperrung: 27. Juni 23:47:06 2005 GMT 
        CRL-Eingabeerweiterungen:
            X509v3 CRL-Grundcode:
            CA-Compromise 
 Seriennummer: 5349AD46000000000A 
        Sperrdatum: 27. Juni 23:47:22 2005 GMT 
        CRL-Eingabeerweiterungen:
            X509v3 CRL-Grundcode:
            CA-Compromise 
 Seriennummer: 53BD173C0000000000B 
        Sperrdatum: 4. Juli 18:04:01 2005 GMT 
        CRL-Eingabeerweiterungen:
            X509v3 CRL-Grundcode:
            Seriennummer für Zertifikat 
 halten: 591E7ACE00000000000C 
        Aufsperrungsdatum: 16. August 21:53:15 2005 GMT 
    Seriennummer: 5D3FD52E0000000000D 
        – Datum der Sperrung: 29. Juni 22:07:25 2005 GMT 
        CRL Eingabeerweiterungen:
            X509v3 CRL-Grundcode:
            Seriennummer für 
 Schlüsselkompromitt: 5DAB77130000000000E 
        – Datum der Sperrung: 14. Juli 00:33:56 2005 GMT 
    Seriennummer: 5DAE53CD0000000000F 
        Sperrdatum: 16. August 21:53:15 2005 GMT 
    Seriennummer: 5DB140D300000000010 
        Sperrdatum: 16. August 21:53:15 2005 GMT 
    Seriennummer: 5E2D7C1B00000000011 
        Datum der Sperrung: 6. Juli 21:12:10 2005 GMT 
        CRL Eintrag Erweiterungen:
            X509v3 CRL-Grundcode:
            Einstellung der 
 Betriebsnummer: 16DB4F8F0000000012 
        Datum der Sperrung: 16. August 21:53:15 2005 GMT 
    Seriennummer: 261C39240000000013 Datum der 
        Sperrung: 16. August 21:53:15 2005 GMT 
    Seriennummer: 262B52020000000014 
        Datum der Sperrung: 14. Juli 00:33:10 2005 GMT 
    Seriennummer: 2634C7F20000000015 
        Datum der Sperrung: 14. Juli 00:32:45 2005 GMT 
    Seriennummer: 2635B0000000000016 
        Datum der Sperrung: 14. Juli 00:31:51 2005 GMT 
    Seriennummer: 264850400000000017 
        Datum der Sperrung: 14. Juli 00:32:25 2005 GMT 
    Seriennummer: 2A2763570000000018 
 Datum der Sperrung: 16. August 21:53:15 2005 GMT 
    Seriennummer: 3F88CBF70000000019 
        Datum der Sperrung: 16. August 21:53:15 2005 GMT 
    Seriennummer: 6E4B5F5F0000000001A 
        Datum der Sperrung: 16. August 21:53:15 2005 GMT 
    Seriennummer: 725B89D80000000001B 
        Sperrdatum: 16. August 21:53:15 2005 GMT 
    Seriennummer: 735A887800000000001C 
        Datum der Sperrung: 16. August 21:53:15 2005 GMT 
    Seriennummer: 148511C70000000001D 
        Datum der Sperrung: 16. August 21:53:15 2005 GMT 
    Seriennummer: 14A717010000000001E 
        Datum der Sperrung: 16. August 21:53:15 2005 GMT 
    Seriennummer: 14FC45B5000000001F-Sperrdatum: 17. August 18:30:42 2005 GMT 
    Seriennummer: 486CE80B0000000020 
        Sperrdatum: 17. August 18:30:43 2005 GMT 
    Seriennummer: 4CA4A3AA00000000021 
        Datum für die Sperrung: 17. August 18:30:43 2005 GMT 
    Seriennummer: 1AA55C8E0000000002F-Sperrdatum: 5. Sep., 17:07:06 2005 GMT 
    Seriennummer: 3F0845DD0000000003F 
        – Datum der Sperrung: 8. Sept 20:24:32 2005 GMT 
    Seriennummer: 3F619B7E00000000042 
        Datum der Sperrung: 8. Sept 21:40:48 2005 GMT 
    Seriennummer: 6313C46300000000052 
        Datum der Sperrung: 19. Sept. 17:37:18 2005 GMT 
    Seriennummer: 7C3861E300000000060 Datum der 
        Sperrung: 20. Sept. 17:52:56 2005 GMT 
    Seriennummer: 7C6EE35100000000061 
        Datum der Sperrung: 20. Sept. 18:52:30 2005 GMT 
    Seriennummer: 0A338EA100000000074 <-- Revoked identity certificate 
 Datum der Sperrung: 12. Nov 04:34:42 2005 GMT 
    Signature Algorithm: sha1WithRSAEncryption 
        0b:cb:dd:43:0a:b8:62:1e:80:95:06:6f:4d:ab:0c:d8:8e:32:
        44:8e:a7:94:97:af:02:b9:a6:9c:14:fd:eb:90:cf:18:c9:96:
        29:bb:57:37:d9:1f:d5:bd:4e:9a:4b:18:2b:00:2f:d2:6e:c1:
        1a:9f:1a:49:b7:9c:58:24:d7:72

 

Das Identitätszertifikat für das Gerät, das gesperrt wurde (Seriennummer 0A338EA10000000074), wird am Ende aufgeführt.