- Configurar PKI
- Información acerca de PKI
- CA y certificados digitales
- Modelo de confianza, puntos de confianza e CA de identidad
- Pares de claves RSA y certificados de identidad
- Soporte para varias CA de confianza
- Soporte de inscripción PKI
- Inscripción manual mediante cortar y pegar
- Par de claves RSA múltiples y soporte para CA de identidad
- Verificación de certificado de pares
- Verificación de revocación de certificado
- Soporte para CRL
- Importar y exportar soporte para certificados y pares de claves asociados
- Requisitos de licencias para PKI
- Directrices y limitaciones de PKI
- Configuración predeterminada para PKI
- Configuración de CA y certificados digitales
- Configurar el nombre de host y el nombre de dominio de IP
- Generar un par de claves RSA
- Crear una asociación de CA de punto de confianza
- Autenticación de la CA
- Configurar métodos de comprobación de revocación de certificados
- Generar solicitudes de certificados
- Instalación de certificados de identidad
- Garantía de configuraciones de punto de confianza persistentes en reinicios
- Exportar información de identidad en formato PKCS 12
- Importar información de identidad en formato PKCS 12
- Configurar una CRL
- Eliminación de certificados de la configuración de la CA
- Eliminación de pares de claves RSA desde un dispositivo Cisco NX-OS
- Comprobar la configuración PKI
- Ejemplos de configuración para PKI
- Configuración de certificados en un dispositivo Cisco NX-OS
- Descargar un certificado de CA
- Solicitar un certificado de identidad
- Revocación de un certificado
- Generar y publicar la CRL
- Descargar la CRL
- Importar la CRL
Configurar PKI
Este capítulo contiene las siguientes secciones:
Información acerca de PKI
Esta sección proporciona información acerca de PKI.
CA y certificados digitales
Las autoridades de emisión de certificados (CA) administran solicitudes de certificados y emiten certificados a entidades participantes como organizadores, dispositivos de red o usuarios. Las CA proporcionan una administración centralizada de las claves para las entidades que participan.
Firmas digitales, basadas en la criptografía de la clave pública, autentican digitalmente los dispositivos y los usuarios individuales. En la criptografía de la clave pública, como el sistema de cifrado RSA, cada dispositivo o usuario tiene un par de claves que contiene tanto una clave privada como una clave pública. La clave privada se mantiene en secreto y solo es conocida por el dispositivo o el usuario propietario. Sin embargo, la clave pública es conocida por todos. Todo lo que esté cifrado con una de las claves se puede descifrar con el otro. Se forma una firma cuando se cifran los datos con la clave privada de un remitente. El receptor verifica la firma descifrando el mensaje con la clave pública del remitente. Este proceso depende de que el receptor tenga una copia de la clave pública del remitente y sepa con un alto grado de certeza que realmente pertenece al remitente y no a alguien que finja ser el remitente.
Los certificados digitales vinculan la firma digital con el remitente. Un certificado digital contiene información para identificar a un usuario o dispositivo, como el nombre, el número de serie, la empresa, el departamento o la dirección IP. También contiene una copia de la clave pública de la entidad. La CA que firma el certificado es una entidad de terceros en la que el receptor confía explícitamente para validar identidades y para crear certificados digitales.
Para validar la firma de la CA, el receptor primero debe conocer la clave pública de la CA. Generalmente, este proceso se maneja fuera de la banda o a través de una operación realizada en la instalación. Por ejemplo, la mayoría de los exploradores web se configuran con las claves públicas de varias CA de manera predeterminada.
Modelo de confianza, puntos de confianza e CA de identidad
El modelo de confianza PKI es jerárquico con varias CA de confianza configurables. Puede configurar cada dispositivo que participa con una lista de CA de confianza para que se autentique un certificado de la otra parte obtenido durante los intercambios de protocolos de seguridad si fue emitido por una de las CA de confianza local. El software de Cisco NX-OS almacena localmente la certificado raíz de firma automática de la CA de confianza (o cadena de certificados para una CA subordinada). El proceso para obtener en forma segura el certificado raíz de una CA de confianza (o toda la cadena en el caso de una CA subordinada) y almacenarla en forma local se denomina autenticación de CA.
La información sobre una CA de confianza que ha configurado se denomina punto de confianza y la propia CA se denomina CA de punto de confianza. Esta información se compone de un certificado de CA (o cadena de certificados en caso de una CA subordinada) y información de comprobación de revocación de certificados.
El dispositivo Cisco NX-OS también puede inscribirse con un punto de confianza para obtener un certificado de identidad para asociarlo con un par de claves. Este punto de confianza se llama CA de identidad.
Pares de claves RSA y certificados de identidad
Puede obtener un certificado de identidad al generar uno o más pares de claves RSA y asociar cada par de claves RSA con una CA de punto de confianza en la que el dispositivo Cisco NX-OS desea inscribirse. El dispositivo Cisco NX-OS solo necesita una identidad por CA, que consta de un par de claves y un certificado de identidad por CA.
El software de Cisco NX-OS le permite generar pares de claves RSA con un tamaño de clave configurable (o util). El tamaño de clave predeterminado es 512. También puede configurar una etiqueta de par de claves RSA. La etiqueta de clave predeterminada es la información sobre nombre de dominio completamente calificado dispositivo (FQDN).
La siguiente lista resume la relación entre los puntos de confianza, los pares de claves RSA y los certificados de identidad:
Un punto de confianza corresponde a una CA específica en la que confía el dispositivo Cisco NX-OS para la certificado de la otra parte de cualquier aplicación (como SSH).
Un dispositivo Cisco NX-OS puede tener muchos puntos de confianza y todas las aplicaciones del dispositivo pueden confiar en un certificado de la otra parte haya sido emitido por cualquiera de las CA de punto de confianza.
Un punto de confianza no está restringido a una aplicación específica.
Un dispositivo Cisco NX-OS se inscribe en la CA que se corresponda con el punto de confianza para obtener un certificado de identidad. Puede inscribir su dispositivo con varios puntos de confianza, lo que significa que puede obtener un certificado de identidad por separado desde cada punto de confianza. Las aplicaciones utilizan los certificados de identidad según los propósitos especificados en el certificado por la CA que emite los certificados. El propósito de un certificado se almacena en el certificado como extensión del certificado.
Al inscribirse en un punto de confianza, debe especificar un par de claves RSA para estar certificado. Este par clave debe generarse y asociarse al punto de confianza antes de generar la solicitud de inscripción. La asociación entre el punto de confianza, el par de claves y el certificado de identidad es válida hasta que se elimina explícitamente eliminando el certificado, el par de claves o el punto de confianza.
El nombre de sujeto en el certificado de identidad es la nombre de dominio completamente calificado correspondiente al dispositivo Cisco NX-OS.
Puede generar uno o más pares de claves RSA en un dispositivo y cada uno se puede asociar a uno o más puntos de confianza. Pero no se puede asociar más de un par de claves a un punto de confianza, lo que significa que solo se permite un certificado de identidad desde una CA.
Si el dispositivo Cisco NX-OS obtiene varios certificados de identidad (cada uno de una CA distinta), el certificado que una aplicación selecciona para utilizar en un intercambio de protocolos de seguridad con un par es específico de la aplicación.
No es necesario que designe uno o más puntos de confianza para una aplicación. Cualquier aplicación puede utilizar cualquier certificado emitido por cualquier punto de confianza siempre que el propósito del certificado satisfaga los requisitos de la aplicación.
No necesita más de un certificado de identidad de un punto de confianza o más de un par de claves para asociarse a un punto de confianza. Una CA certifica una sola vez una identidad (o un nombre) determinada y no emite varios certificados con el mismo nombre. Si necesita más de un certificado de identidad para una CA y si la CA permite varios certificados con el mismo nombre, debe definir otro punto de confianza para la misma CA, asociar otro par de claves y certificado.
Soporte para varias CA de confianza
El dispositivo Cisco NX-OS puede confiar en varias CA al configurar varios puntos de confianza y asociar cada uno con una CA distinta. Con varias CA de confianza, no tiene que inscribir un dispositivo en la CA específica que emitió el certificado a un par. En cambio, puede configurar el dispositivo con varias CA de confianza en las que confía el par. El dispositivo Cisco NX-OS puede utilizar una CA de confianza configurada para verificar los certificados recibidos de un par que no fueron emitidos por la misma CA definidos en la identidad del dispositivo pares.
Soporte de inscripción PKI
La inscripción es el proceso de obtención de un certificado de identidad para el dispositivo que se utiliza para aplicaciones como SSH. Ocurre entre el dispositivo que solicita el certificado y la autoridad de certificados.
El dispositivo Cisco NX-OS realiza los siguientes pasos al realizar el proceso de inscripción PKI:
Genera un par de claves privadas y públicas RSA en el dispositivo.
Genera una solicitud de certificado en formato estándar y la reenvía a la CA.
Es posible que el administrador de CA deba aprobar manualmente la solicitud de inscripción en el servidor de CA, cuando la CA reciba la solicitud. |
Recibe el certificado emitido de nuevo de la CA, firmado con la clave privada de la CA.
Escribe el certificado en un área de almacenamiento no válido en el dispositivo (bootflash).
Inscripción manual mediante cortar y pegar
El software Cisco NX-OS es compatible con la recuperación e inscripción de certificados mediante la función de cortar y pegar manualmente. La inscripción de cortar y pegar significa que debe cortar y pegar las solicitudes de certificados y los certificados resultantes entre el dispositivo y la CA.
Al utilizar cortar y pegar en el proceso de inscripción manual, debe realizar los siguientes pasos:
Cree una solicitud de certificado de inscripción, que el dispositivo Cisco NX-OS muestra en formato de texto codificado en base64.
Cortar y pegar el texto de solicitud de certificado codificada en un correo electrónico o en un formulario web y enviarlo a la CA.
Reciba el certificado emitido (en formato de texto codificado en base64) de la CA en un correo electrónico o en una descarga de explorador web.
Cortar y pegar el certificado emitido en el dispositivo utilizando la instalación de importación de certificados.
Par de claves RSA múltiples y soporte para CA de identidad
Las CA de varias identidades permiten que el dispositivo se inscriba con más de un punto de confianza, lo que genera varios certificados de identidad, cada uno de ellos de una CA distinta. Con esta característica, el dispositivo Cisco NX-OS puede participar en SSH y otras aplicaciones con muchos pares mediante certificados emitidos por ca ca que son aceptables para esos pares.
La característica de varios pares de claves RSA permite al dispositivo mantener un par de claves distinto para cada CA en la que está inscrito. Puede coincidir con los requisitos de las políticas para cada CA sin conflictos con los requisitos especificados por las otras CA, como la longitud de la clave. El dispositivo puede generar varios pares de claves RSA y asociar cada par de claves con un punto de confianza distinto. A partir de ese momento, al inscribirse en un punto de confianza, se utiliza el par de claves asociado para construir la solicitud de certificado.
Verificación de certificado de pares
El soporte PKI en un dispositivo Cisco NX-OS puede verificar certificados de pares. El software de Cisco NX-OS verifica los certificados recibidos de pares durante intercambios de seguridad para aplicaciones, como SSH. Las aplicaciones verifican la validez de los certificados del par. El software Cisco NX-OS realiza los siguientes pasos al verificar certificados de pares:
Verifica que la certificado de la otra parte emite una de las CA de confianza local.
Verifica que la certificado de la otra parte sea válida (no caducada) con respecto a la hora actual.
Verifica que la CA que certificado de la otra parte aún no ha revocado el archivo.
Para la verificación de revocación, el software de Cisco NX-OS es compatible con la lista de revocación de certificados (CRL). Una CA de punto de confianza puede utilizar este método para verificar que el certificado de la otra parte haya sido revocado.
Verificación de revocación de certificado
El software de Cisco NX-OS puede comprobar el estado de revocación de los certificados de CA. Las aplicaciones pueden usar los mecanismos de verificación de revocación en el orden que usted especifique. Las opciones son CRL, ninguna o una combinación de estos métodos.
Soporte para CRL
Las CA mantienen listas de revocación de certificados (CRLs) para proporcionar información acerca de los certificados revocados antes de sus fechas de caducidad. Las CA publican las CRLs en un depósito y proporcionan la URL pública de descarga en todos los certificados emitidos. Un cliente que verifica un certificado de par puede obtener la CRL más reciente de la CA que emite los certificados y utilizarlo para determinar si el certificado ha sido revocado. Un cliente puede almacenar en caché las CRLs de algunas o todas sus CA de confianza localmente y usarlas más tarde si es necesario hasta que las CRLs caduquen.
El software de Cisco NX-OS permite la configuración manual de LAS CRLs predescaradas para los puntos de confianza y, luego, los almacena en caché en el bootflash del dispositivo (cert-store). Durante la verificación de un certificado de la otra parte, el software de Cisco NX-OS comprueba la CRL de la CA que emite los certificados solo si la CRL ya ha sido almacenada en caché localmente y la verificación de revocación está configurada para utilizar la CRL. De lo contrario, el software de Cisco NX-OS no realiza verificaciones de CRL y considera que el certificado no se debe revocar, a menos que haya configurado otros métodos de verificación de revocación.
Importar y exportar soporte para certificados y pares de claves asociados
Como parte del proceso de autenticación e inscripción de CA, el certificado de CA subordinado (o cadena de certificados) y los certificados de identidad se pueden importar en formato PEM estándar (base64).
La información de identidad completa en un punto de confianza se puede exportar a un archivo en el formato estándar PKCS#12 protegido por contraseña. Luego se puede importar al mismo dispositivo (por ejemplo, después de que un sistema se bloquea) o a un dispositivo de reemplazo. La información en un archivo PKCS#12 consta del par de claves RSA, el certificado de identidad y el certificado de CA (o cadena).
Requisitos de licencias para PKI
La siguiente tabla muestra los requisitos de licencias para esta característica:
Producto |
Requisito de licencia |
---|---|
Cisco NX-OS |
La función PKI no requiere licencia. Todas las características no incluidas en un paquete de licencias están agrupadas con las imágenes del sistema Cisco NX-OS y se le proporcionan sin cargo adicional. Para obtener una explicación del esquema de licencias de Cisco NX-OS, consulte la Guía de licencias de Cisco NX-OS. |
Directrices y limitaciones de PKI
PKI tiene las siguientes pautas de configuración y limitaciones:
La cantidad máxima de pares de claves que puede configurar en un dispositivo Cisco NX-OS es 16.
La cantidad máxima de puntos de confianza que puede establecer en un dispositivo Cisco NX-OS es 16.
La cantidad máxima de certificados de identificación que puede configurar en un dispositivo Cisco NX-OS es 16.
La cantidad máxima de certificados en una cadena de certificados de CA es 10.
La cantidad máxima de puntos de confianza que puede autenticar en una CA específica es 10.
Las reversión de configuración no admiten la configuración PKI.
El software de Cisco NX-OS no es compatible con OSCP.
Si está familiarizado con la CLI de Cisco IOS, tenga en cuenta que los comandos de Cisco NX-OS para esta característica pueden ser diferentes a los comandos de Cisco IOS que utilizaría.
|
Configuración predeterminada para PKI
En esta tabla se enumeran las configuraciones predeterminadas para los parámetros PKI.
Parámetros |
Predeterminado |
---|---|
Punto de confianza |
Ninguno |
Par de claves RSA |
Ninguno |
Etiqueta del par de claves RSA |
Dispositivo FQDN |
Emparejamiento de claves RSA |
512 |
Se puede exportar el par de claves RSA |
Habilitado |
Método de verificación de revocación |
Crl |
Configuración de CA y certificados digitales
Esta sección describe las tareas que debe realizar para permitir que las CA y los certificados digitales de su dispositivo Cisco NX-OS interoperar.
Configurar el nombre de host y el nombre de dominio de IP
Debe configurar el nombre de host y el nombre de dominio IP del dispositivo si aún no los ha configurado debido a que el software cisco NX-OS utiliza el nombre de dominio completamente calificado (FQDN) del dispositivo como asunto en el certificado de identidad. Además, el software de Cisco NX-OS utiliza el dispositivo FQDN como una etiqueta de clave predeterminada cuando usted no especifica una etiqueta durante la generación del par de claves. Por ejemplo: un certificado llamado DeviceA.example.com se basa en un nombre de host de dispositivo de DeviceA y un nombre de dominio IP del dispositivo de example.com.
Cambiar el nombre de host o el nombre de dominio de IP después de generar el certificado puede invalidar el certificado. |
Comando o acción | Propósito | |
---|---|---|
1 | configurar terminal Ejemplo:
|
Ingresa el modo de configuración global. |
2 | nombrede host Ejemplo:
|
Configura el nombre de host del dispositivo. |
3 | nombre de dominioip [use-vrfvrf-name] Ejemplo:
|
Configura el nombre de dominio de IP del dispositivo. Si no especifica un nombre VRF, el comando utiliza el valor predeterminado de VRF. |
4 | Salida Ejemplo:
|
Sale del modo de configuración. |
5 | (Opcional) mostrar organizadores Ejemplo:
|
(Opcional) Muestra el nombre de dominio de IP. |
6 | (Opcional) copiar configuración en ejecución configuración de inicio Ejemplo:
|
(Opcional) Copia la configuración en ejecución en la configuración de inicio. |
Generar un par de claves RSA
Puede generar un par de claves RSA para firmar y/o cifrar y descifrar la carga de seguridad durante los intercambios de protocolos de seguridad para las aplicaciones. Debe generar el par de claves RSA antes de poder obtener un certificado para su dispositivo.
Comando o acción | Propósito | |||||
---|---|---|---|---|---|---|
1 | configurar terminal Ejemplo:
|
Ingresa el modo de configuración global. |
||||
2 | la clave criptográfico genera rsa [etiqueta-cadena de etiqueta] [exportable ] [ tamañooriginal] Ejemplo:
|
Genera un par de claves RSA. La cantidad máxima de pares de claves en un dispositivo es 16. La cadena de etiquetas distingue entre mayúsculas y minúsculas, y tiene una longitud máxima de 64 caracteres. La cadena de etiqueta predeterminada es el nombre de host y FQDN cadena separadas por un carácter de punto (.). Los valores válidos son 512, 768, 1024, 1536 y 2048. El tamaño predeterminado es 512.
De manera predeterminada, el par de claves no es exportable. Solo se pueden exportar pares de claves exportables en formato PKCS#12.
|
||||
3 | Salida Ejemplo:
|
Sale del modo de configuración. |
||||
4 | (Opcional) mostrar rsa de clave criptográfica Ejemplo:
|
(Opcional) Muestra la clave generada. |
||||
5 | (Opcional) copiar configuración en ejecución configuración de inicio Ejemplo:
|
(Opcional) Copia la configuración en ejecución en la configuración de inicio. |
Crear una asociación de CA de punto de confianza
Debe asociar el dispositivo Cisco NX-OS con una CA de punto de confianza.
Antes de comenzar
Genere el par de claves RSA.
Comando o acción | Propósito | |||
---|---|---|---|---|
1 | configurar terminal Ejemplo:
|
Ingresa el modo de configuración global. |
||
2 | criptografía ca nombre de punto deconfianza Ejemplo:
|
Declara una CA de punto de confianza en la que el dispositivo debe confiar e introduce el modo de configuración del punto de confianza.
|
||
3 | terminal de inscripción Ejemplo:
|
Habilita la inscripción manual de certificados de cortar y pegar. El valor predeterminado está habilitado.
|
||
4 | etiqueta rsakeypair Ejemplo:
|
Especifica la etiqueta del par de claves RSA para asociar a este punto de confianza para la inscripción.
|
||
5 | Salida Ejemplo:
|
Sale del modo de configuración del punto de confianza. |
||
6 | (Opcional) mostrar puntos de confianza de ca criptográficos Ejemplo:
|
(Opcional) Muestra la información del punto de confianza. |
||
7 | (Opcional) copiar configuración en ejecución configuración de inicio Ejemplo:
|
(Opcional) Copia la configuración en ejecución en la configuración de inicio. |
Autenticación de la CA
El proceso de configuración para confiar en una CA se completa solo cuando la CA se autentica en el dispositivo Cisco NX-OS. Debe autenticar su dispositivo Cisco NX-OS en la CA al obtener el certificado de firma propia de la CA en formato PEM, que contiene la clave pública de la CA. Debido a que el certificado de la CA es de firma automática (la CA firma su propio certificado), la clave pública de la CA debe ser autenticada manualmente; para ello, comuníquese con el administrador de la CA para comparar la huella digital del certificado de ca.
La CA que está autenticando no es una CA de firma propia cuando es una CA subordinada a otra CA, que puede ser subordinada a otra CA, y así sucesivamente, finalmente termina en una CA de firma propia. Este tipo de certificado de CA se denomina cadena de certificados de CA de la CA que se autentica. En este caso, debe ingresar la lista completa de certificados de ca de todas las CA de la cadena de certificación durante la autenticación de la CA. La cantidad máxima de certificados en una cadena de certificados de CA es 10. |
Antes de comenzar
Cree una asociación con la CA.
Obtenga el certificado de CA o la cadena de certificados de CA.
Comando o acción | Propósito | |||
---|---|---|---|---|
1 | configurar terminal Ejemplo:
|
Ingresa el modo de configuración global. |
||
2 | nombre de autenticación de cacriptografía Ejemplo:
|
Le solicita que corte y pegue el certificado de la CA. Utilice el mismo nombre que utilizó cuando declare la CA. La cantidad máxima de puntos de confianza que puede autenticar en una CA específica es 10.
|
||
3 | Salida Ejemplo:
|
Sale del modo de configuración. |
||
4 | (Opcional) mostrar puntos de confianza de ca criptográficos Ejemplo:
|
(Opcional) Muestra la información de CA del punto de confianza. |
||
5 | (Opcional) copiar configuración en ejecución configuración de inicio Ejemplo:
|
(Opcional) Copia la configuración en ejecución en la configuración de inicio. |
Configurar métodos de comprobación de revocación de certificados
Durante intercambios de seguridad con un cliente (por ejemplo, un usuario de SSH), el dispositivo Cisco NX-OS realiza la verificación del certificado de la certificado de la otra parte envía el cliente. El proceso de verificación puede implicar la comprobación del estado de revocación de certificados.
Puede configurar el dispositivo para que compruebe la CRL descargada desde la CA. Descargar la CRL y verificar localmente no genera tráfico en su red. Sin embargo, los certificados se pueden revocar entre las descargas y su dispositivo no estaría al tanto de la revocación.
Antes de comenzar
Autentique la CA.
Asegúrese de haber configurado la CRL si desea utilizar la verificación de CRL.
Comando o acción | Propósito | |
---|---|---|
1 | configurar terminal Ejemplo:
|
Ingresa el modo de configuración global. |
2 | criptografía ca nombre de punto deconfianza Ejemplo:
|
Especifica una CA de punto de confianza e introduce el modo de configuración del punto de confianza. |
3 | revocación-comprobar {crl [ ninguno ] ninguno | } Ejemplo:
|
Configura los métodos de comprobación de revocación de certificados. El método predeterminado es crl. El software de Cisco NX-OS utiliza los métodos de revocación de certificados en el orden que usted especifique. |
4 | Salida Ejemplo:
|
Sale del modo de configuración del punto de confianza. |
5 | (Opcional) mostrar puntos de confianza de ca criptográficos Ejemplo:
|
(Opcional) Muestra la información de CA del punto de confianza. |
6 | (Opcional) copiar configuración en ejecución configuración de inicio Ejemplo:
|
(Opcional) Copia la configuración en ejecución en la configuración de inicio. |
Generar solicitudes de certificados
Debe generar una solicitud para obtener certificados de identidad de la CA de punto de confianza asociado para cada uno de los pares de claves RSA de su dispositivo. A continuación, debe cortar y pegar la solicitud que se muestra en un correo electrónico o en un formulario de sitio web para la CA.
Antes de comenzar
Cree una asociación con la CA.
Obtenga el certificado de CA o la cadena de certificados de CA.
Comando o acción | Propósito | |||
---|---|---|---|---|
1 | configurar terminal Ejemplo:
|
Ingresa el modo de configuración global. |
||
2 | criptografía ca nombre de inscripción Ejemplo:
|
Genera una solicitud de certificado para una CA autenticada.
|
||
3 | Salida Ejemplo:
|
Sale del modo de configuración del punto de confianza. |
||
4 | (Opcional) mostrar certificados criptográficos de ca Ejemplo:
|
(Opcional) Muestra los certificados de la CA. |
||
5 | (Opcional) copiar configuración en ejecución configuración de inicio Ejemplo:
|
(Opcional) Copia la configuración en ejecución en la configuración de inicio. |
Instalación de certificados de identidad
Puede recibir el certificado de identidad de la CA por correo electrónico o a través de un explorador web en forma de texto codificado en base64. Debe instalar el certificado de identidad de la CA cortando y pegando el texto codificado.
Antes de comenzar
Cree una asociación con la CA.
Obtenga el certificado de CA o la cadena de certificados de CA.
Comando o acción | Propósito | |
---|---|---|
1 | configurar terminal Ejemplo:
|
Ingresa el modo de configuración global. |
2 | criptografía ca importarnombrecertificado Ejemplo:
|
Le solicita que corte y pegue el certificado de identidad para la CA denominada admin-ca. La cantidad máxima de certificados de identificación que puede configurar en un dispositivo es 16. |
3 | Salida Ejemplo:
|
Sale del modo de configuración. |
4 | (Opcional) mostrar certificados criptográficos de ca Ejemplo:
|
(Opcional) Muestra los certificados de la CA. |
5 | (Opcional) copiar configuración en ejecución configuración de inicio Ejemplo:
|
(Opcional) Copia la configuración en ejecución en la configuración de inicio. |
Garantía de configuraciones de punto de confianza persistentes en reinicios
Puede asegurarse de que la configuración del punto de confianza persista en los reinicios del dispositivo Cisco NX-OS.
La configuración del punto de confianza es una configuración normal de dispositivos Cisco NX-OS que continúa en todos los reinicios del sistema solo si la copia explícitamente en la configuración de inicio. Los certificados, pares de claves y CRL asociados con un punto de confianza son automáticamente persistentes si ya ha copiado la configuración del punto de confianza en la configuración de inicio. Por el contrario, si la configuración del punto de confianza no se copia a la configuración de inicio, los certificados, pares de claves y CRL asociados con él no son persistentes, ya que requieren la configuración del punto de confianza correspondiente después de un reinicio. Copie siempre la configuración en ejecución en la configuración de inicio para asegurarse de que los certificados, pares de claves y CRLs configurados sean persistentes. Además, guarde la configuración en ejecución después de eliminar un certificado o un par de claves para asegurarse de que la eliminación sea permanente.
Los certificados y la CRL asociados con un punto de confianza se vuelven automáticamente persistentes cuando se importan (es decir, sin copiar explícitamente a la configuración de inicio) si el punto de confianza específico ya se guarda en la configuración de inicio.
Le recomendamos que cree una copia de seguridad protegida con contraseña de los certificados de identidad y que las guarde en un servidor externo.
Copiar la configuración a un servidor externo incluye los certificados y pares de claves. |
Exportar información de identidad en formato PKCS 12
Puede exportar el certificado de identidad junto con el par de claves RSA y el certificado de CA (o toda la cadena en el caso de una CA subordinada) de un punto de confianza a un archivo PKCS#12 a los fines de copia de seguridad. Puede importar el certificado y el par de claves RSA para recuperarse de que un sistema se cae en su dispositivo o cuando reemplaza los módulos de supervisor.
Puede utilizar solo el bootflash: formatodel nombre de archivo al especificar la URL de exportación. |
Antes de comenzar
Autentique la CA.
Instale un certificado de identidad.
Comando o acción | Propósito | |
---|---|---|
1 | configurar terminal Ejemplo:
|
Ingresa el modo de configuración global. |
2 | nombre de exportación de cripto ca pkcs12 bootflash:contraseña del nombre delarchivo Ejemplo:
|
Exporta el certificado de identidad y los certificados de CA y el par de claves asociados para una CA de punto de confianza. La contraseña es alfanumérica, distingue mayúsculas de minúsculas y tiene una longitud máxima de 128 caracteres. |
3 | Salida Ejemplo:
|
Sale del modo de configuración. |
4 | copiar flash:esquema denombres de archivos :// server/[ url/]filename Ejemplo:
|
Copia el archivo de formato PKCS#12 en un servidor remoto. Para el argumento del esquema, puede ingresar tftp:, ftp:, scp:, o sftp:. El argumento del servidor es la dirección o el nombre del servidor remoto, y el argumento de la URL es la ruta al archivo de origen en el servidor remoto. Los argumentos del servidor , url y nombre de archivo distinguen entre mayúsculas y minúsculas. |
Importar información de identidad en formato PKCS 12
Puede importar el certificado y el par de claves RSA para recuperarse de que un sistema se cae en su dispositivo o cuando reemplaza los módulos de supervisor.
Puede utilizar solo el formato del nombre de archivo bootflash:cuando especifique la URL de importación. |
Antes de comenzar
Asegúrese de que el punto de confianza esté vacío; para ello, compruebe que no haya ningún par de claves RSA asociado y que no haya ninguna CA asociada al punto de confianza mediante la autenticación de CA.
Comando o acción | Propósito | |
---|---|---|
1 | copyscheme ://server/[url/] filenamebootflash:filename Ejemplo:
|
Copia el archivo de formato PKCS#12 desde el servidor remoto. En el caso del argumento del esquema, puede introducir tftp:, ftp:, scp:, o sftp:. El argumento del servidor es la dirección o el nombre del servidor remoto, y el argumento de la URL es la ruta al archivo de origen en el servidor remoto. Los argumentos del servidor , url y nombre de archivo distinguen entre mayúsculas y minúsculas. |
2 | configurar terminal Ejemplo:
|
Ingresa el modo de configuración global. |
3 | nombre de importación dela cacriptográfico pksc12 bootflash:filename Ejemplo:
|
Importa el certificado de identidad y los certificados de CA y el par de claves asociados para la CA de punto de confianza. |
4 | Salida Ejemplo:
|
Sale del modo de configuración. |
5 | (Opcional) mostrar certificados criptográficos de ca Ejemplo:
|
(Opcional) Muestra los certificados de la CA. |
6 | (Opcional) copiar configuración en ejecución configuración de inicio Ejemplo:
|
(Opcional) Copia la configuración en ejecución en la configuración de inicio. |
Configurar una CRL
Puede configurar manualmente las CRLs que ha descargado desde los puntos de confianza. El software de Cisco NX-OS almacena en caché las CRLs en el bootflash del dispositivo (almacén de certificados). Durante la verificación de un certificado de la otra parte, el software de Cisco NX-OS comprueba la CRL de la CA que emite los certificados solo si ha descargado la CRL en el dispositivo y si ha configurado la verificación de revocación de certificados para utilizar la CRL.
Antes de comenzar
Asegúrese de haber habilitado la comprobación de revocación de certificados.
Comando o acción | Propósito | |
---|---|---|
1 | esquemadecopia:[// server /[ url/]] nombrebootflash: nombre de archivo bootflash:nombre del archivo Ejemplo:
|
Descarga la CRL de un servidor remoto. En el caso del argumento del esquema, puede introducir tftp:, ftp:, scp:, o sftp:. El argumento del servidor es la dirección o el nombre del servidor remoto, y el argumento de la URL es la ruta al archivo de origen en el servidor remoto. Los argumentos del servidor , url y nombre de archivo distinguen entre mayúsculas y minúsculas. |
2 | configurar terminal Ejemplo:
|
Ingresa el modo de configuración global. |
3 | cripto ca crl requestnamebootflash:filename Ejemplo:
|
Configura o reemplaza la CRL actual con la especificada en el archivo. |
4 | Salida Ejemplo:
|
Sale del modo de configuración. |
5 | (Opcional) mostrar nombre criptográfico ca crl Ejemplo:
|
(Opcional) Muestra la información de CRL de CA. |
6 | (Opcional) copiar configuración en ejecución configuración de inicio Ejemplo:
|
(Opcional) Copia la configuración en ejecución en la configuración de inicio. |
Eliminación de certificados de la configuración de la CA
Puede eliminar los certificados de identidad y los certificados de CA que están configurados en un punto de confianza. Primero debe eliminar el certificado de identidad, seguido de los certificados de la CA. Después de eliminar el certificado de identidad, puede disociar el par de claves RSA desde un punto de confianza. Debe eliminar certificados para eliminar certificados caducados o revocados, certificados que han poner en riesgo (o sospechan que están en riesgo) pares de claves o CA que ya no son de confianza.
Comando o acción | Propósito | |
---|---|---|
1 | configurar terminal Ejemplo:
|
Ingresa el modo de configuración global. |
2 | criptografía ca nombre de punto deconfianza Ejemplo:
|
Especifica una CA de punto de confianza e introduce el modo de configuración del punto de confianza. |
3 | eliminar certificado de ca Ejemplo:
|
Elimina el certificado de ca o la cadena de certificados. |
4 | eliminar certificado [obligar] Ejemplo:
|
Elimina el certificado de identidad. Debe utilizar la opción obligar si el certificado de identidad que desea eliminar es el último certificado de una cadena de certificados o solo el certificado de identidad del dispositivo. Este requisito garantiza que no elimine erróneamente el último certificado de una cadena de certificados o solo el certificado de identidad y deje las aplicaciones (como SSH) sin un certificado para utilizar. |
5 | Salida Ejemplo:
|
Sale del modo de configuración del punto de confianza. |
6 | (Opcional) mostrar certificados criptográficos de ca [ nombre] Ejemplo:
|
(Opcional) Muestra la información del certificado de la CA. |
7 | (Opcional) copiar configuración en ejecución configuración de inicio Ejemplo:
|
(Opcional) Copia la configuración en ejecución en la configuración de inicio. |
Eliminación de pares de claves RSA desde un dispositivo Cisco NX-OS
Puede eliminar los pares de claves RSA de un dispositivo Cisco NX-OS si cree que los pares de claves RSA estaban comprometidas de alguna manera y ya no deberían utilizarse.
Después de eliminar pares de claves RSA de un dispositivo, solicite al administrador de la CA que revoque los certificados de su dispositivo en la CA. Debe suministrar la contraseña de desafío que creó cuando solicitó los certificados originalmente. |
Comando o acción | Propósito | |
---|---|---|
1 | configurar terminal Ejemplo:
|
Ingresa el modo de configuración global. |
2 | clave criptográfico zeroize rsaetiqueta Ejemplo:
|
Elimina el par de claves RSA. |
3 | Salida Ejemplo:
|
Sale del modo de configuración. |
4 | (Opcional) mostrar rsa de clave criptográfica Ejemplo:
|
(Opcional) Muestra la configuración del par de claves RSA. |
5 | (Opcional) copiar configuración en ejecución configuración de inicio Ejemplo:
|
(Opcional) Copia la configuración en ejecución en la configuración de inicio. |
Comprobar la configuración PKI
Para mostrar la información de configuración PKI, realice una de las siguientes tareas:
Comando |
Propósito |
---|---|
mostrar rsa de clave criptográfica |
Muestra información sobre las claves públicas RSA generadas en el dispositivo Cisco NX-OS. |
mostrar certificados criptográficos de ca |
Muestra información sobre los certificados de CA y de identidad. |
mostrar crl criptográfico |
Muestra información sobre las CRLs de las CA. |
mostrar puntos de confianza de ca criptográficos |
Muestra información sobre los puntos de confianza de CA. |
Ejemplos de configuración para PKI
En esta sección se muestran ejemplos de las tareas que puede usar para configurar certificados y CRLs en dispositivos Cisco NX-OS con un servidor de certificados de Microsoft Windows.
Puede usar cualquier tipo de servidor de certificados para generar certificados digitales. No está limitado a utilizar el servidor de certificados de Microsoft Windows. |
Configuración de certificados en un dispositivo Cisco NX-OS
Para configurar certificados en un dispositivo Cisco NX-OS, siga estos pasos:
1 | Configure la configuración del FQDN.
|
2 | Configure el nombre de dominio DNS para el dispositivo.
|
3 | Cree un punto de confianza.
|
4 | Cree un par de claves RSA para el dispositivo.
|
5 | Asocie el par de claves RSA al punto de confianza.
|
6 | Descargue el certificado de ca desde la interfaz web del servicio de certificados de Microsoft. |
7 | Autentique la CA que desea inscribir en el punto de confianza.
|
8 | Genere un certificado de solicitud para utilizar para inscribirse en un punto de confianza.
|
9 | Solicite un certificado de identidad desde la interfaz web del Servicio de certificados de Microsoft. |
10 | Importe el certificado de identidad.
|
11 | Verifique la configuración del certificado. |
12 | Guarde la configuración del certificado en la configuración de inicio. |
Descargar un certificado de CA
Para descargar un certificado de CA desde la interfaz web de Servicios de certificados de Microsoft, siga estos pasos:
1 | Desde la interfaz web de Servicios de certificados de Microsoft, haga clic en Recuperar el certificado de CA o la tarea de revocación de certificado y haga clic en Siguiente. |
2 | En la lista de visualización, elija el archivo de certificado de CA que desea descargar de la lista que aparece. A continuación, haga clic en Base 64 codificado y haga clic en Descargar certificado de CA . |
3 | Haga clic en Abrir en el cuadro de diálogo Cuadro de diálogo. |
4 | En el cuadro certificado cuadro de diálogo, haga clic en Copiar a archivo y luego en Aceptar. |
5 | Desde el Asistente para exportación cuadro de diálogo certificados, elija el X.509 (CER) codificado en Base-64 y haga clic en Siguiente . |
6 | En el campo Nombre de archivo: en el Asistente para exportación de certificados cuadro de diálogo, introduzca el nombre del archivo de destino y haga clic en Siguiente. |
7 | En el Asistente para exportación de cuadro de diálogo, haga clic en Finalizar. |
8 | Ingrese el comando del tipo Microsoft Windows para mostrar el certificado de CA almacenado en formato Base-64 (PEM). |
Solicitar un certificado de identidad
Para solicitar un certificado de identificación desde un servidor de certificado de Microsoft mediante una solicitud de firma de certificado (CRS) PKCS#12, siga estos pasos:
1 | Desde la interfaz web de Servicios de certificados de Microsoft, haga clic en Solicitar un certificado y haga clic en Siguiente. |
2 | Haga clic en Solicitud avanzada y haga clic en Siguiente. |
3 | Haga clic en Enviar una solicitud de certificado utilizando un archivo PKCS#10 codificado en base64 o una solicitud de renovación mediante un archivo PKCS#7 codificado en base64 y haga clic en Siguiente . |
4 | En el cuadro de texto Solicitud guardada, pegue la solicitud de certificado PKCS#10 base64 y haga clic en Siguiente. La solicitud de certificado se copia desde la consola del dispositivo Cisco NX-OS. |
5 | Espere uno o dos días hasta que el administrador de CA emita el certificado. |
6 | Tenga en cuenta que el administrador de CA aprueba la solicitud de certificado. |
7 | Desde la interfaz web de Servicios de certificados de Microsoft, haga clic en Comprobar un certificado pendiente y haga clic en Siguiente. |
8 | Elija la solicitud de certificado que quiera comprobar y haga clic en Siguiente. |
9 | Haga clic en Base 64 codificado y en Descargar certificado de CA . |
10 | En la ventana Descargar cuadro de diálogo, haga clic en Abrir. |
11 | En el cuadro Certificado, haga clic en la ficha Detalles y luego en Copiar enarchivo.... En el cuadro de diálogo Exportación de certificados, haga clic en Base-64 codificado en X.509 (. CER)y haga clic en Siguiente . |
12 | En el campo Nombre de archivo: en el Asistente para exportación de certificados cuadro de diálogo, introduzca el nombre del archivo de destino y haga clic en Siguiente. |
13 | Haga clic en Finalizar. |
14 | Ingrese el comando del tipo de Microsoft Windows para mostrar el certificado de identidad en formato codificado en base64. |
Revocación de un certificado
Para revocar un certificado que utiliza el programa de administrador de Microsoft CA, siga estos pasos:
1 | Desde el árbol de la Autoridad de certificación, haga clic en la carpeta Certificados emitidos. En la lista, haga clic con el botón derecho en el certificado que quiera revocar. |
2 | Elija Todas las tareas > Revocación de certificado. |
3 | En el cuadro De lista desplegable motivo, elija un motivo para la revocación y haga clic en Sí. |
4 | Haga clic en la carpeta Certificados revocados para enumerar y verificar la revocación de certificados. |
Generar y publicar la CRL
Para generar y publicar la CRL mediante el programa de administrador de Microsoft CA, siga estos pasos:
1 | En la pantalla de la Autoridad de certificación, elija Acción > Todas las tareas > Publicar. |
2 | En la lista de revocación de cuadro de diálogo, haga clic en Sí para publicar la CRL más reciente. |
Descargar la CRL
Para descargar CRL desde el sitio web de Microsoft CA, siga estos pasos:
1 | Desde la interfaz web de Servicios de certificados de Microsoft, haga clic en Recuperar el certificado de CA o la lista de revocación de certificados y haga clic en Siguiente . |
2 | Haga clic en Descargar la lista de revocación de certificados más reciente. |
3 | En la página Descarga de cuadro de diálogo, haga clic en Guardar. |
4 | En el cuadro Guardar como cuadro de diálogo, introduzca el nombre del archivo de destino y haga clic en Guardar. |
5 | Ingrese el comando del tipo de Microsoft Windows para mostrar la CRL. |
Importar la CRL
Para importar la CRL al punto de confianza que corresponda a la CA, siga estos pasos:
1 | Copie el archivo CRL en el dispositivo Cisco NX-OS bootflash.
|
||
2 | Configure la CRL.
|
||
3 | Mostrar el contenido de la CRL.
|