Configurar PKI

Este capítulo contiene las siguientes secciones:

Información acerca de PKI

Esta sección proporciona información acerca de PKI.

CA y certificados digitales

Las autoridades de emisión de certificados (CA) administran solicitudes de certificados y emiten certificados a entidades participantes como organizadores, dispositivos de red o usuarios. Las CA proporcionan una administración centralizada de las claves para las entidades que participan.

Firmas digitales, basadas en la criptografía de la clave pública, autentican digitalmente los dispositivos y los usuarios individuales. En la criptografía de la clave pública, como el sistema de cifrado RSA, cada dispositivo o usuario tiene un par de claves que contiene tanto una clave privada como una clave pública. La clave privada se mantiene en secreto y solo es conocida por el dispositivo o el usuario propietario. Sin embargo, la clave pública es conocida por todos. Todo lo que esté cifrado con una de las claves se puede descifrar con el otro. Se forma una firma cuando se cifran los datos con la clave privada de un remitente. El receptor verifica la firma descifrando el mensaje con la clave pública del remitente. Este proceso depende de que el receptor tenga una copia de la clave pública del remitente y sepa con un alto grado de certeza que realmente pertenece al remitente y no a alguien que finja ser el remitente.

Los certificados digitales vinculan la firma digital con el remitente. Un certificado digital contiene información para identificar a un usuario o dispositivo, como el nombre, el número de serie, la empresa, el departamento o la dirección IP. También contiene una copia de la clave pública de la entidad. La CA que firma el certificado es una entidad de terceros en la que el receptor confía explícitamente para validar identidades y para crear certificados digitales.

Para validar la firma de la CA, el receptor primero debe conocer la clave pública de la CA. Generalmente, este proceso se maneja fuera de la banda o a través de una operación realizada en la instalación. Por ejemplo, la mayoría de los exploradores web se configuran con las claves públicas de varias CA de manera predeterminada.

Modelo de confianza, puntos de confianza e CA de identidad

El modelo de confianza PKI es jerárquico con varias CA de confianza configurables. Puede configurar cada dispositivo que participa con una lista de CA de confianza para que se autentique un certificado de la otra parte obtenido durante los intercambios de protocolos de seguridad si fue emitido por una de las CA de confianza local. El software de Cisco NX-OS almacena localmente la certificado raíz de firma automática de la CA de confianza (o cadena de certificados para una CA subordinada). El proceso para obtener en forma segura el certificado raíz de una CA de confianza (o toda la cadena en el caso de una CA subordinada) y almacenarla en forma local se denomina autenticación de CA.

La información sobre una CA de confianza que ha configurado se denomina punto de confianza y la propia CA se denomina CA de punto de confianza. Esta información se compone de un certificado de CA (o cadena de certificados en caso de una CA subordinada) y información de comprobación de revocación de certificados.

El dispositivo Cisco NX-OS también puede inscribirse con un punto de confianza para obtener un certificado de identidad para asociarlo con un par de claves. Este punto de confianza se llama CA de identidad.

Pares de claves RSA y certificados de identidad

Puede obtener un certificado de identidad al generar uno o más pares de claves RSA y asociar cada par de claves RSA con una CA de punto de confianza en la que el dispositivo Cisco NX-OS desea inscribirse. El dispositivo Cisco NX-OS solo necesita una identidad por CA, que consta de un par de claves y un certificado de identidad por CA.

El software de Cisco NX-OS le permite generar pares de claves RSA con un tamaño de clave configurable (o util). El tamaño de clave predeterminado es 512. También puede configurar una etiqueta de par de claves RSA. La etiqueta de clave predeterminada es la información sobre nombre de dominio completamente calificado dispositivo (FQDN).

La siguiente lista resume la relación entre los puntos de confianza, los pares de claves RSA y los certificados de identidad:

  • Un punto de confianza corresponde a una CA específica en la que confía el dispositivo Cisco NX-OS para la certificado de la otra parte de cualquier aplicación (como SSH).

  • Un dispositivo Cisco NX-OS puede tener muchos puntos de confianza y todas las aplicaciones del dispositivo pueden confiar en un certificado de la otra parte haya sido emitido por cualquiera de las CA de punto de confianza.

  • Un punto de confianza no está restringido a una aplicación específica.

  • Un dispositivo Cisco NX-OS se inscribe en la CA que se corresponda con el punto de confianza para obtener un certificado de identidad. Puede inscribir su dispositivo con varios puntos de confianza, lo que significa que puede obtener un certificado de identidad por separado desde cada punto de confianza. Las aplicaciones utilizan los certificados de identidad según los propósitos especificados en el certificado por la CA que emite los certificados. El propósito de un certificado se almacena en el certificado como extensión del certificado.

  • Al inscribirse en un punto de confianza, debe especificar un par de claves RSA para estar certificado. Este par clave debe generarse y asociarse al punto de confianza antes de generar la solicitud de inscripción. La asociación entre el punto de confianza, el par de claves y el certificado de identidad es válida hasta que se elimina explícitamente eliminando el certificado, el par de claves o el punto de confianza.

  • El nombre de sujeto en el certificado de identidad es la nombre de dominio completamente calificado correspondiente al dispositivo Cisco NX-OS.

  • Puede generar uno o más pares de claves RSA en un dispositivo y cada uno se puede asociar a uno o más puntos de confianza. Pero no se puede asociar más de un par de claves a un punto de confianza, lo que significa que solo se permite un certificado de identidad desde una CA.

  • Si el dispositivo Cisco NX-OS obtiene varios certificados de identidad (cada uno de una CA distinta), el certificado que una aplicación selecciona para utilizar en un intercambio de protocolos de seguridad con un par es específico de la aplicación.

  • No es necesario que designe uno o más puntos de confianza para una aplicación. Cualquier aplicación puede utilizar cualquier certificado emitido por cualquier punto de confianza siempre que el propósito del certificado satisfaga los requisitos de la aplicación.

  • No necesita más de un certificado de identidad de un punto de confianza o más de un par de claves para asociarse a un punto de confianza. Una CA certifica una sola vez una identidad (o un nombre) determinada y no emite varios certificados con el mismo nombre. Si necesita más de un certificado de identidad para una CA y si la CA permite varios certificados con el mismo nombre, debe definir otro punto de confianza para la misma CA, asociar otro par de claves y certificado.

Soporte para varias CA de confianza

El dispositivo Cisco NX-OS puede confiar en varias CA al configurar varios puntos de confianza y asociar cada uno con una CA distinta. Con varias CA de confianza, no tiene que inscribir un dispositivo en la CA específica que emitió el certificado a un par. En cambio, puede configurar el dispositivo con varias CA de confianza en las que confía el par. El dispositivo Cisco NX-OS puede utilizar una CA de confianza configurada para verificar los certificados recibidos de un par que no fueron emitidos por la misma CA definidos en la identidad del dispositivo pares.

Soporte de inscripción PKI

La inscripción es el proceso de obtención de un certificado de identidad para el dispositivo que se utiliza para aplicaciones como SSH. Ocurre entre el dispositivo que solicita el certificado y la autoridad de certificados.

El dispositivo Cisco NX-OS realiza los siguientes pasos al realizar el proceso de inscripción PKI:

  • Genera un par de claves privadas y públicas RSA en el dispositivo.

  • Genera una solicitud de certificado en formato estándar y la reenvía a la CA.

Es posible que el administrador de CA deba aprobar manualmente la solicitud de inscripción en el servidor de CA, cuando la CA reciba la solicitud.

  • Recibe el certificado emitido de nuevo de la CA, firmado con la clave privada de la CA.

  • Escribe el certificado en un área de almacenamiento no válido en el dispositivo (bootflash).

Inscripción manual mediante cortar y pegar

El software Cisco NX-OS es compatible con la recuperación e inscripción de certificados mediante la función de cortar y pegar manualmente. La inscripción de cortar y pegar significa que debe cortar y pegar las solicitudes de certificados y los certificados resultantes entre el dispositivo y la CA.

Al utilizar cortar y pegar en el proceso de inscripción manual, debe realizar los siguientes pasos:

  • Cree una solicitud de certificado de inscripción, que el dispositivo Cisco NX-OS muestra en formato de texto codificado en base64.

  • Cortar y pegar el texto de solicitud de certificado codificada en un correo electrónico o en un formulario web y enviarlo a la CA.

  • Reciba el certificado emitido (en formato de texto codificado en base64) de la CA en un correo electrónico o en una descarga de explorador web.

  • Cortar y pegar el certificado emitido en el dispositivo utilizando la instalación de importación de certificados.

Par de claves RSA múltiples y soporte para CA de identidad

Las CA de varias identidades permiten que el dispositivo se inscriba con más de un punto de confianza, lo que genera varios certificados de identidad, cada uno de ellos de una CA distinta. Con esta característica, el dispositivo Cisco NX-OS puede participar en SSH y otras aplicaciones con muchos pares mediante certificados emitidos por ca ca que son aceptables para esos pares.

La característica de varios pares de claves RSA permite al dispositivo mantener un par de claves distinto para cada CA en la que está inscrito. Puede coincidir con los requisitos de las políticas para cada CA sin conflictos con los requisitos especificados por las otras CA, como la longitud de la clave. El dispositivo puede generar varios pares de claves RSA y asociar cada par de claves con un punto de confianza distinto. A partir de ese momento, al inscribirse en un punto de confianza, se utiliza el par de claves asociado para construir la solicitud de certificado.

Verificación de certificado de pares

El soporte PKI en un dispositivo Cisco NX-OS puede verificar certificados de pares. El software de Cisco NX-OS verifica los certificados recibidos de pares durante intercambios de seguridad para aplicaciones, como SSH. Las aplicaciones verifican la validez de los certificados del par. El software Cisco NX-OS realiza los siguientes pasos al verificar certificados de pares:

  • Verifica que la certificado de la otra parte emite una de las CA de confianza local.

  • Verifica que la certificado de la otra parte sea válida (no caducada) con respecto a la hora actual.

  • Verifica que la CA que certificado de la otra parte aún no ha revocado el archivo.

Para la verificación de revocación, el software de Cisco NX-OS es compatible con la lista de revocación de certificados (CRL). Una CA de punto de confianza puede utilizar este método para verificar que el certificado de la otra parte haya sido revocado.

Verificación de revocación de certificado

El software de Cisco NX-OS puede comprobar el estado de revocación de los certificados de CA. Las aplicaciones pueden usar los mecanismos de verificación de revocación en el orden que usted especifique. Las opciones son CRL, ninguna o una combinación de estos métodos.

Soporte para CRL

Las CA mantienen listas de revocación de certificados (CRLs) para proporcionar información acerca de los certificados revocados antes de sus fechas de caducidad. Las CA publican las CRLs en un depósito y proporcionan la URL pública de descarga en todos los certificados emitidos. Un cliente que verifica un certificado de par puede obtener la CRL más reciente de la CA que emite los certificados y utilizarlo para determinar si el certificado ha sido revocado. Un cliente puede almacenar en caché las CRLs de algunas o todas sus CA de confianza localmente y usarlas más tarde si es necesario hasta que las CRLs caduquen.

El software de Cisco NX-OS permite la configuración manual de LAS CRLs predescaradas para los puntos de confianza y, luego, los almacena en caché en el bootflash del dispositivo (cert-store). Durante la verificación de un certificado de la otra parte, el software de Cisco NX-OS comprueba la CRL de la CA que emite los certificados solo si la CRL ya ha sido almacenada en caché localmente y la verificación de revocación está configurada para utilizar la CRL. De lo contrario, el software de Cisco NX-OS no realiza verificaciones de CRL y considera que el certificado no se debe revocar, a menos que haya configurado otros métodos de verificación de revocación.

Importar y exportar soporte para certificados y pares de claves asociados

Como parte del proceso de autenticación e inscripción de CA, el certificado de CA subordinado (o cadena de certificados) y los certificados de identidad se pueden importar en formato PEM estándar (base64).

La información de identidad completa en un punto de confianza se puede exportar a un archivo en el formato estándar PKCS#12 protegido por contraseña. Luego se puede importar al mismo dispositivo (por ejemplo, después de que un sistema se bloquea) o a un dispositivo de reemplazo. La información en un archivo PKCS#12 consta del par de claves RSA, el certificado de identidad y el certificado de CA (o cadena).

Requisitos de licencias para PKI

La siguiente tabla muestra los requisitos de licencias para esta característica:

Producto

Requisito de licencia

Cisco NX-OS

La función PKI no requiere licencia. Todas las características no incluidas en un paquete de licencias están agrupadas con las imágenes del sistema Cisco NX-OS y se le proporcionan sin cargo adicional. Para obtener una explicación del esquema de licencias de Cisco NX-OS, consulte la Guía de licencias de Cisco NX-OS.

Directrices y limitaciones de PKI

PKI tiene las siguientes pautas de configuración y limitaciones:

  • La cantidad máxima de pares de claves que puede configurar en un dispositivo Cisco NX-OS es 16.

  • La cantidad máxima de puntos de confianza que puede establecer en un dispositivo Cisco NX-OS es 16.

  • La cantidad máxima de certificados de identificación que puede configurar en un dispositivo Cisco NX-OS es 16.

  • La cantidad máxima de certificados en una cadena de certificados de CA es 10.

  • La cantidad máxima de puntos de confianza que puede autenticar en una CA específica es 10.

  • Las reversión de configuración no admiten la configuración PKI.

  • El software de Cisco NX-OS no es compatible con OSCP.
Si está familiarizado con la CLI de Cisco IOS, tenga en cuenta que los comandos de Cisco NX-OS para esta característica pueden ser diferentes a los comandos de Cisco IOS que utilizaría.

Configuración predeterminada para PKI

En esta tabla se enumeran las configuraciones predeterminadas para los parámetros PKI.

Tabla 1. Parámetros PKI predeterminados

Parámetros

Predeterminado

Punto de confianza

Ninguno

Par de claves RSA

Ninguno

Etiqueta del par de claves RSA

Dispositivo FQDN

Emparejamiento de claves RSA

512

Se puede exportar el par de claves RSA

Habilitado

Método de verificación de revocación

Crl

Configuración de CA y certificados digitales

Esta sección describe las tareas que debe realizar para permitir que las CA y los certificados digitales de su dispositivo Cisco NX-OS interoperar.

Configurar el nombre de host y el nombre de dominio de IP

Debe configurar el nombre de host y el nombre de dominio IP del dispositivo si aún no los ha configurado debido a que el software cisco NX-OS utiliza el nombre de dominio completamente calificado (FQDN) del dispositivo como asunto en el certificado de identidad. Además, el software de Cisco NX-OS utiliza el dispositivo FQDN como una etiqueta de clave predeterminada cuando usted no especifica una etiqueta durante la generación del par de claves. Por ejemplo: un certificado llamado DeviceA.example.com se basa en un nombre de host de dispositivo de DeviceA y un nombre de dominio IP del dispositivo de example.com.

Cambiar el nombre de host o el nombre de dominio de IP después de generar el certificado puede invalidar el certificado.

  Comando o acción Propósito
1

configurar terminal

Ejemplo:

interruptor# configurar interruptor de 
 terminal (configuración) #

Ingresa el modo de configuración global.
2

nombrede host

Ejemplo:

switch(config)# dispositivo de nombre de hostA

Configura el nombre de host del dispositivo.
3

nombre de dominioip [use-vrfvrf-name]

Ejemplo:

DispositivoA(config)# nombre de dominio ip example.com

Configura el nombre de dominio de IP del dispositivo. Si no especifica un nombre VRF, el comando utiliza el valor predeterminado de VRF.
4

Salida

Ejemplo:

interruptor(config)# cambio de 
 salida #

Sale del modo de configuración.
5

(Opcional) mostrar organizadores

Ejemplo:

cambiar n.° mostrar organizadores
 (Opcional)

Muestra el nombre de dominio de IP.
6

(Opcional) copiar configuración en ejecución configuración de inicio

Ejemplo:

cambiar n.° copiar running-config startup-config
 (Opcional)

Copia la configuración en ejecución en la configuración de inicio.

Generar un par de claves RSA

Puede generar un par de claves RSA para firmar y/o cifrar y descifrar la carga de seguridad durante los intercambios de protocolos de seguridad para las aplicaciones. Debe generar el par de claves RSA antes de poder obtener un certificado para su dispositivo.

  Comando o acción Propósito
1

configurar terminal

Ejemplo:

interruptor# configurar interruptor de 
 terminal (configuración) #

Ingresa el modo de configuración global.
2

la clave criptográfico genera rsa [etiqueta-cadena de etiqueta] [exportable ] [ tamañooriginal]

Ejemplo:

switch(config)# la clave criptográfica genera rsa exportable

Genera un par de claves RSA. La cantidad máxima de pares de claves en un dispositivo es 16.

La cadena de etiquetas distingue entre mayúsculas y minúsculas, y tiene una longitud máxima de 64 caracteres. La cadena de etiqueta predeterminada es el nombre de host y FQDN cadena separadas por un carácter de punto (.).

Los valores válidos son 512, 768, 1024, 1536 y 2048. El tamaño predeterminado es 512.


 

La política de seguridad en el dispositivo Cisco NX-OS y en la CA (donde se planifica la inscripción) debe considerarse al decidir el producto clave adecuado.

De manera predeterminada, el par de claves no es exportable. Solo se pueden exportar pares de claves exportables en formato PKCS#12.


 

No puede cambiar la exportabilidad de un par de claves.
3

Salida

Ejemplo:

interruptor(config)# cambio de 
 salida #

Sale del modo de configuración.
4

(Opcional) mostrar rsa de clave criptográfica

Ejemplo:

cambiar n.º mostrar rsa de clave criptográfico mypubkey
 (Opcional)

Muestra la clave generada.
5

(Opcional) copiar configuración en ejecución configuración de inicio

Ejemplo:

cambiar n.° copiar running-config startup-config
 (Opcional)

Copia la configuración en ejecución en la configuración de inicio.

Crear una asociación de CA de punto de confianza

Debe asociar el dispositivo Cisco NX-OS con una CA de punto de confianza.

Antes de comenzar

Genere el par de claves RSA.

  Comando o acción Propósito
1

configurar terminal

Ejemplo:

interruptor# configurar interruptor de 
 terminal (configuración) #

Ingresa el modo de configuración global.
2

criptografía ca nombre de punto deconfianza

Ejemplo:

switch(config)# criptografía ca trustpoint admin-ca 
 switch(config-trustpoint) #

Declara una CA de punto de confianza en la que el dispositivo debe confiar e introduce el modo de configuración del punto de confianza.


 

La cantidad máxima de puntos de confianza que puede configurar en un dispositivo es 16.
3

terminal de inscripción

Ejemplo:

switch(config-trustpoint)# terminal de inscripción

Habilita la inscripción manual de certificados de cortar y pegar. El valor predeterminado está habilitado.


 

El software de Cisco NX-OS solo es compatible con el método de cortar y pegar manualmente para la inscripción de certificados.
4

etiqueta rsakeypair

Ejemplo:

switch(config-trustpoint)# rsakeypair SwitchA

Especifica la etiqueta del par de claves RSA para asociar a este punto de confianza para la inscripción.


 

Puede especificar solo un par de claves RSA por CA.
5

Salida

Ejemplo:

switch(config-trustpoint)# salir 
 del interruptor(configuración) #

Sale del modo de configuración del punto de confianza.
6

(Opcional) mostrar puntos de confianza de ca criptográficos

Ejemplo:

switch(config)# mostrar puntos de confianza criptográficos de ca
 (Opcional)

Muestra la información del punto de confianza.
7

(Opcional) copiar configuración en ejecución configuración de inicio

Ejemplo:

switch(config)# copy running-config startup-config
 (Opcional)

Copia la configuración en ejecución en la configuración de inicio.

Autenticación de la CA

El proceso de configuración para confiar en una CA se completa solo cuando la CA se autentica en el dispositivo Cisco NX-OS. Debe autenticar su dispositivo Cisco NX-OS en la CA al obtener el certificado de firma propia de la CA en formato PEM, que contiene la clave pública de la CA. Debido a que el certificado de la CA es de firma automática (la CA firma su propio certificado), la clave pública de la CA debe ser autenticada manualmente; para ello, comuníquese con el administrador de la CA para comparar la huella digital del certificado de ca.

La CA que está autenticando no es una CA de firma propia cuando es una CA subordinada a otra CA, que puede ser subordinada a otra CA, y así sucesivamente, finalmente termina en una CA de firma propia. Este tipo de certificado de CA se denomina cadena de certificados de CA de la CA que se autentica. En este caso, debe ingresar la lista completa de certificados de ca de todas las CA de la cadena de certificación durante la autenticación de la CA. La cantidad máxima de certificados en una cadena de certificados de CA es 10.

Antes de comenzar

Cree una asociación con la CA.

Obtenga el certificado de CA o la cadena de certificados de CA.

  Comando o acción Propósito
1

configurar terminal

Ejemplo:

interruptor# configurar interruptor de 
 terminal (configuración) #

Ingresa el modo de configuración global.
2

nombre de autenticación de cacriptografía

Ejemplo:

switch(config)# autenticación criptográfico ca entrada 
 admin-ca (cortar y pegar) certificado de CA (cadena) en formato PEM; 
 end the input with a line containing only END OF INPUT : 
 -----BEGIN CERTIFICATE----- 
 MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB 
 kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO 
 MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE 
 ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD 
 QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN 
 AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth 
 cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG 
 A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN 
 AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI 
 OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E 
 BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ 
 GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs 
 L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv 
 bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB 
 BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea 
 NBG7E0oN66zex0EOEfG1Vs6mXp1//w== 
 -----END CERTIFICATE----- 
 END OF INPUT 
 Fingerprint(s): Huella digital MD5=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 ¿Acepta 
 este certificado? [sí/no]: sí

Le solicita que corte y pegue el certificado de la CA. Utilice el mismo nombre que utilizó cuando declare la CA.

La cantidad máxima de puntos de confianza que puede autenticar en una CA específica es 10.


 

Para la autenticación de CA subordinada, el software de Cisco NX-OS requiere la cadena completa de certificados de CA que finalizan en una CA de firma propia porque se necesita la cadena de CA para la verificación de certificados y para la exportación del formato PKCS#12.
3

Salida

Ejemplo:

interruptor(config)# cambio de 
 salida #

Sale del modo de configuración.
4

(Opcional) mostrar puntos de confianza de ca criptográficos

Ejemplo:

switch# mostrar puntos de confianza de ca criptográficos
 (Opcional)

Muestra la información de CA del punto de confianza.
5

(Opcional) copiar configuración en ejecución configuración de inicio

Ejemplo:

cambiar n.° copiar running-config startup-config
 (Opcional)

Copia la configuración en ejecución en la configuración de inicio.

Configurar métodos de comprobación de revocación de certificados

Durante intercambios de seguridad con un cliente (por ejemplo, un usuario de SSH), el dispositivo Cisco NX-OS realiza la verificación del certificado de la certificado de la otra parte envía el cliente. El proceso de verificación puede implicar la comprobación del estado de revocación de certificados.

Puede configurar el dispositivo para que compruebe la CRL descargada desde la CA. Descargar la CRL y verificar localmente no genera tráfico en su red. Sin embargo, los certificados se pueden revocar entre las descargas y su dispositivo no estaría al tanto de la revocación.

Antes de comenzar

Autentique la CA.

Asegúrese de haber configurado la CRL si desea utilizar la verificación de CRL.

  Comando o acción Propósito
1

configurar terminal

Ejemplo:

interruptor# configurar interruptor de 
 terminal (configuración) #

Ingresa el modo de configuración global.
2

criptografía ca nombre de punto deconfianza

Ejemplo:

switch(config)# criptografía ca trustpoint admin-ca 
 switch(config-trustpoint) #

Especifica una CA de punto de confianza e introduce el modo de configuración del punto de confianza.
3

revocación-comprobar {crl [ ninguno ] ninguno | }

Ejemplo:

switch(config-trustpoint)# revocation-check none

Configura los métodos de comprobación de revocación de certificados. El método predeterminado es crl.

El software de Cisco NX-OS utiliza los métodos de revocación de certificados en el orden que usted especifique.
4

Salida

Ejemplo:

switch(config-trustpoint)# salir 
 del interruptor(configuración) #

Sale del modo de configuración del punto de confianza.
5

(Opcional) mostrar puntos de confianza de ca criptográficos

Ejemplo:

switch(config)# mostrar puntos de confianza criptográficos de ca
 (Opcional)

Muestra la información de CA del punto de confianza.
6

(Opcional) copiar configuración en ejecución configuración de inicio

Ejemplo:

switch(config)# copy running-config startup-config
 (Opcional)

Copia la configuración en ejecución en la configuración de inicio.

Generar solicitudes de certificados

Debe generar una solicitud para obtener certificados de identidad de la CA de punto de confianza asociado para cada uno de los pares de claves RSA de su dispositivo. A continuación, debe cortar y pegar la solicitud que se muestra en un correo electrónico o en un formulario de sitio web para la CA.

Antes de comenzar

Cree una asociación con la CA.

Obtenga el certificado de CA o la cadena de certificados de CA.

  Comando o acción Propósito
1

configurar terminal

Ejemplo:

interruptor# configurar interruptor de 
 terminal (configuración) #

Ingresa el modo de configuración global.
2

criptografía ca nombre de inscripción

Ejemplo:

switch(config)# crypto ca enroll admin-ca 
 Cree la solicitud de certificado ..
 Cree una contraseña para el desafío. Deberá proporcionar verbalmente esta contraseña al Administrador de 
  CA para revocar su certificado.
  Por motivos de seguridad, su contraseña no se guardará en la configuración.
  Tome nota.
  Contraseña:nbv123 
 El nombre de sujeto en el certificado será: DeviceA.cisco.com 
 Incluye el número de serie de conmutación en el nombre del sujeto? [sí/no]: no 
 Incluir una dirección IP en el nombre de sujeto [yes/no]: sí 
 dirección IP:172.22.31.162 Se mostrará la solicitud 
 de certificado...
-----BEGIN CERTIFICATE REQUEST----- 
 MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ 
 KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 
 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y 
 P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S 
 VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ 
 DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ 
 KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt 
 PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 
 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= 
 -----END CERTIFICATE REQUEST-----

Genera una solicitud de certificado para una CA autenticada.


 

Debe recordar la contraseña del desafío. No se guarda con la configuración. Debe introducir esta contraseña si su certificado necesita ser revocado.
3

Salida

Ejemplo:

switch(config-trustpoint)# salir 
 del interruptor(configuración) #

Sale del modo de configuración del punto de confianza.
4

(Opcional) mostrar certificados criptográficos de ca

Ejemplo:

switch(config)# mostrar certificados criptográficos de ca
 (Opcional)

Muestra los certificados de la CA.
5

(Opcional) copiar configuración en ejecución configuración de inicio

Ejemplo:

switch(config)# copy running-config startup-config
 (Opcional)

Copia la configuración en ejecución en la configuración de inicio.

Instalación de certificados de identidad

Puede recibir el certificado de identidad de la CA por correo electrónico o a través de un explorador web en forma de texto codificado en base64. Debe instalar el certificado de identidad de la CA cortando y pegando el texto codificado.

Antes de comenzar

Cree una asociación con la CA.

Obtenga el certificado de CA o la cadena de certificados de CA.

  Comando o acción Propósito
1

configurar terminal

Ejemplo:

interruptor# configurar interruptor de 
 terminal (configuración) #

Ingresa el modo de configuración global.
2

criptografía ca importarnombrecertificado

Ejemplo:

switch(config)# cripto ca import admin-ca 
 certificate input (cut & paste) certificate in PEM format (cortar y pegar) certificado de importación de ca criptográfico en formato PEM:
-----BEGIN CERTIFICATE----- 
 MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G 
 CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD 
 VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz 
 Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w 
 NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu 
 Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C 
 dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 
 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb 
 x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw 
 GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR 
 bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW 
 pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE 
 BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w 
 DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh 
 cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 
 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 
 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH 
 AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl 
 LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 
 XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF 
 AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw 
 E36cIZu4WsExREqxbTk8ycx7V5o= 
 -----END CERTIFICATE-----

Le solicita que corte y pegue el certificado de identidad para la CA denominada admin-ca.

La cantidad máxima de certificados de identificación que puede configurar en un dispositivo es 16.
3

Salida

Ejemplo:

interruptor(config)# cambio de 
 salida #

Sale del modo de configuración.
4

(Opcional) mostrar certificados criptográficos de ca

Ejemplo:

switch# mostrar certificados criptográficos de ca
 (Opcional)

Muestra los certificados de la CA.
5

(Opcional) copiar configuración en ejecución configuración de inicio

Ejemplo:

cambiar n.° copiar running-config startup-config
 (Opcional)

Copia la configuración en ejecución en la configuración de inicio.

Garantía de configuraciones de punto de confianza persistentes en reinicios

Puede asegurarse de que la configuración del punto de confianza persista en los reinicios del dispositivo Cisco NX-OS.

La configuración del punto de confianza es una configuración normal de dispositivos Cisco NX-OS que continúa en todos los reinicios del sistema solo si la copia explícitamente en la configuración de inicio. Los certificados, pares de claves y CRL asociados con un punto de confianza son automáticamente persistentes si ya ha copiado la configuración del punto de confianza en la configuración de inicio. Por el contrario, si la configuración del punto de confianza no se copia a la configuración de inicio, los certificados, pares de claves y CRL asociados con él no son persistentes, ya que requieren la configuración del punto de confianza correspondiente después de un reinicio. Copie siempre la configuración en ejecución en la configuración de inicio para asegurarse de que los certificados, pares de claves y CRLs configurados sean persistentes. Además, guarde la configuración en ejecución después de eliminar un certificado o un par de claves para asegurarse de que la eliminación sea permanente.

Los certificados y la CRL asociados con un punto de confianza se vuelven automáticamente persistentes cuando se importan (es decir, sin copiar explícitamente a la configuración de inicio) si el punto de confianza específico ya se guarda en la configuración de inicio.

Le recomendamos que cree una copia de seguridad protegida con contraseña de los certificados de identidad y que las guarde en un servidor externo.

Copiar la configuración a un servidor externo incluye los certificados y pares de claves.

Exportar información de identidad en formato PKCS 12

Puede exportar el certificado de identidad junto con el par de claves RSA y el certificado de CA (o toda la cadena en el caso de una CA subordinada) de un punto de confianza a un archivo PKCS#12 a los fines de copia de seguridad. Puede importar el certificado y el par de claves RSA para recuperarse de que un sistema se cae en su dispositivo o cuando reemplaza los módulos de supervisor.

Puede utilizar solo el bootflash: formatodel nombre de archivo al especificar la URL de exportación.

Antes de comenzar

Autentique la CA.

Instale un certificado de identidad.

  Comando o acción Propósito
1

configurar terminal

Ejemplo:

interruptor# configurar interruptor de 
 terminal (configuración) #

Ingresa el modo de configuración global.
2

nombre de exportación de cripto ca pkcs12 bootflash:contraseña del nombre delarchivo

Ejemplo:

switch(config)# cripto ca exportar admin-ca pkcs12 bootflash:adminid.p12 nbv123

Exporta el certificado de identidad y los certificados de CA y el par de claves asociados para una CA de punto de confianza. La contraseña es alfanumérica, distingue mayúsculas de minúsculas y tiene una longitud máxima de 128 caracteres.
3

Salida

Ejemplo:

interruptor(config)# cambio de 
 salida #

Sale del modo de configuración.
4

copiar flash:esquema denombres de archivos :// server/[ url/]filename

Ejemplo:

cambiar# copy bootflash:adminid.p12 tftp:adminid.p12

Copia el archivo de formato PKCS#12 en un servidor remoto.

Para el argumento del esquema, puede ingresar tftp:, ftp:, scp:, o sftp:. El argumento del servidor es la dirección o el nombre del servidor remoto, y el argumento de la URL es la ruta al archivo de origen en el servidor remoto.

Los argumentos del servidor , url y nombre de archivo distinguen entre mayúsculas y minúsculas.

Importar información de identidad en formato PKCS 12

Puede importar el certificado y el par de claves RSA para recuperarse de que un sistema se cae en su dispositivo o cuando reemplaza los módulos de supervisor.

Puede utilizar solo el formato del nombre de archivo bootflash:cuando especifique la URL de importación.

Antes de comenzar

Asegúrese de que el punto de confianza esté vacío; para ello, compruebe que no haya ningún par de claves RSA asociado y que no haya ninguna CA asociada al punto de confianza mediante la autenticación de CA.

  Comando o acción Propósito
1

copyscheme ://server/[url/] filenamebootflash:filename

Ejemplo:

switch# copy tftp:adminid.p12 bootflash:adminid.p12

Copia el archivo de formato PKCS#12 desde el servidor remoto.

En el caso del argumento del esquema, puede introducir tftp:, ftp:, scp:, o sftp:. El argumento del servidor es la dirección o el nombre del servidor remoto, y el argumento de la URL es la ruta al archivo de origen en el servidor remoto.

Los argumentos del servidor , url y nombre de archivo distinguen entre mayúsculas y minúsculas.
2

configurar terminal

Ejemplo:

interruptor# configurar interruptor de 
 terminal (configuración) #

Ingresa el modo de configuración global.
3

nombre de importación dela cacriptográfico pksc12 bootflash:filename

Ejemplo:

switch(config)# cripto ca import admin-ca pkcs12 bootflash:adminid.p12 nbv123

Importa el certificado de identidad y los certificados de CA y el par de claves asociados para la CA de punto de confianza.
4

Salida

Ejemplo:

interruptor(config)# cambio de 
 salida #

Sale del modo de configuración.
5

(Opcional) mostrar certificados criptográficos de ca

Ejemplo:

switch# mostrar certificados criptográficos de ca
 (Opcional)

Muestra los certificados de la CA.
6

(Opcional) copiar configuración en ejecución configuración de inicio

Ejemplo:

cambiar n.° copiar running-config startup-config
 (Opcional)

Copia la configuración en ejecución en la configuración de inicio.

Configurar una CRL

Puede configurar manualmente las CRLs que ha descargado desde los puntos de confianza. El software de Cisco NX-OS almacena en caché las CRLs en el bootflash del dispositivo (almacén de certificados). Durante la verificación de un certificado de la otra parte, el software de Cisco NX-OS comprueba la CRL de la CA que emite los certificados solo si ha descargado la CRL en el dispositivo y si ha configurado la verificación de revocación de certificados para utilizar la CRL.

Antes de comenzar

Asegúrese de haber habilitado la comprobación de revocación de certificados.

  Comando o acción Propósito
1

esquemadecopia:[// server /[ url/]] nombrebootflash: nombre de archivo bootflash:nombre del archivo

Ejemplo:

switch# copy tftp:adminca.crl bootflash:adminca.crl

Descarga la CRL de un servidor remoto.

En el caso del argumento del esquema, puede introducir tftp:, ftp:, scp:, o sftp:. El argumento del servidor es la dirección o el nombre del servidor remoto, y el argumento de la URL es la ruta al archivo de origen en el servidor remoto.

Los argumentos del servidor , url y nombre de archivo distinguen entre mayúsculas y minúsculas.
2

configurar terminal

Ejemplo:

interruptor# configurar interruptor de 
 terminal (configuración) #

Ingresa el modo de configuración global.
3

cripto ca crl requestnamebootflash:filename

Ejemplo:

switch(config)# cripto ca crl solicitud admin-ca bootflash:adminca.crl

Configura o reemplaza la CRL actual con la especificada en el archivo.
4

Salida

Ejemplo:

interruptor(config)# cambio de 
 salida #

Sale del modo de configuración.
5

(Opcional) mostrar nombre criptográfico ca crl

Ejemplo:

switch# show crypto ca crl admin-ca
 (Opcional)

Muestra la información de CRL de CA.
6

(Opcional) copiar configuración en ejecución configuración de inicio

Ejemplo:

cambiar n.° copiar running-config startup-config
 (Opcional)

Copia la configuración en ejecución en la configuración de inicio.

Eliminación de certificados de la configuración de la CA

Puede eliminar los certificados de identidad y los certificados de CA que están configurados en un punto de confianza. Primero debe eliminar el certificado de identidad, seguido de los certificados de la CA. Después de eliminar el certificado de identidad, puede disociar el par de claves RSA desde un punto de confianza. Debe eliminar certificados para eliminar certificados caducados o revocados, certificados que han poner en riesgo (o sospechan que están en riesgo) pares de claves o CA que ya no son de confianza.

  Comando o acción Propósito
1

configurar terminal

Ejemplo:

interruptor# configurar interruptor de 
 terminal (configuración) #

Ingresa el modo de configuración global.
2

criptografía ca nombre de punto deconfianza

Ejemplo:

switch(config)# criptografía ca trustpoint admin-ca 
 switch(config-trustpoint) #

Especifica una CA de punto de confianza e introduce el modo de configuración del punto de confianza.
3

eliminar certificado de ca

Ejemplo:

switch(config-trustpoint)# eliminar ca-certificate

Elimina el certificado de ca o la cadena de certificados.
4

eliminar certificado [obligar]

Ejemplo:

switch(config-trustpoint)# eliminar certificado

Elimina el certificado de identidad.

Debe utilizar la opción obligar si el certificado de identidad que desea eliminar es el último certificado de una cadena de certificados o solo el certificado de identidad del dispositivo. Este requisito garantiza que no elimine erróneamente el último certificado de una cadena de certificados o solo el certificado de identidad y deje las aplicaciones (como SSH) sin un certificado para utilizar.
5

Salida

Ejemplo:

switch(config-trustpoint)# salir 
 del interruptor(configuración) #

Sale del modo de configuración del punto de confianza.
6

(Opcional) mostrar certificados criptográficos de ca [ nombre]

Ejemplo:

switch(config)# show crypto ca certificates admin-ca
 (Opcional)

Muestra la información del certificado de la CA.
7

(Opcional) copiar configuración en ejecución configuración de inicio

Ejemplo:

switch(config)# copy running-config startup-config
 (Opcional)

Copia la configuración en ejecución en la configuración de inicio.

Eliminación de pares de claves RSA desde un dispositivo Cisco NX-OS

Puede eliminar los pares de claves RSA de un dispositivo Cisco NX-OS si cree que los pares de claves RSA estaban comprometidas de alguna manera y ya no deberían utilizarse.

Después de eliminar pares de claves RSA de un dispositivo, solicite al administrador de la CA que revoque los certificados de su dispositivo en la CA. Debe suministrar la contraseña de desafío que creó cuando solicitó los certificados originalmente.

  Comando o acción Propósito
1

configurar terminal

Ejemplo:

interruptor# configurar interruptor de 
 terminal (configuración) #

Ingresa el modo de configuración global.
2

clave criptográfico zeroize rsaetiqueta

Ejemplo:

switch(config)# clave criptográfico zeroize rsa MyKey

Elimina el par de claves RSA.
3

Salida

Ejemplo:

interruptor(config)# cambio de 
 salida #

Sale del modo de configuración.
4

(Opcional) mostrar rsa de clave criptográfica

Ejemplo:

cambiar n.º mostrar rsa de clave criptográfico mypubkey
 (Opcional)

Muestra la configuración del par de claves RSA.
5

(Opcional) copiar configuración en ejecución configuración de inicio

Ejemplo:

cambiar n.° copiar running-config startup-config
 (Opcional)

Copia la configuración en ejecución en la configuración de inicio.

Comprobar la configuración PKI

Para mostrar la información de configuración PKI, realice una de las siguientes tareas:

Comando

Propósito

mostrar rsa de clave criptográfica

Muestra información sobre las claves públicas RSA generadas en el dispositivo Cisco NX-OS.

mostrar certificados criptográficos de ca

Muestra información sobre los certificados de CA y de identidad.

mostrar crl criptográfico

Muestra información sobre las CRLs de las CA.

mostrar puntos de confianza de ca criptográficos

Muestra información sobre los puntos de confianza de CA.

Ejemplos de configuración para PKI

En esta sección se muestran ejemplos de las tareas que puede usar para configurar certificados y CRLs en dispositivos Cisco NX-OS con un servidor de certificados de Microsoft Windows.

Puede usar cualquier tipo de servidor de certificados para generar certificados digitales. No está limitado a utilizar el servidor de certificados de Microsoft Windows.

Configuración de certificados en un dispositivo Cisco NX-OS

Para configurar certificados en un dispositivo Cisco NX-OS, siga estos pasos:

1

Configure la configuración del FQDN.

switch# configurar terminal Introduzca los comandos de configuración, uno por línea.  Finalizar con CNTL/Z. 
 switch(config)# nombre de host Dispositivo-1 Dispositivo-1(configuración) #
2

Configure el nombre de dominio DNS para el dispositivo.

Dispositivo-1(configuración)# nombre de dominio ip cisco.com
3

Cree un punto de confianza.

Dispositivo-1(configuración)# criptográfico punto de confianza de ca myCA Device-1(config-trustpoint)# salir Dispositivo-1(config)# mostrar criptografía trustpoints trustpoints: myCA; Clave:
métodos de revocación:  Crl
4

Cree un par de claves RSA para el dispositivo.

Dispositivo-1(config)# la clave criptográfica genera una etiqueta rsa myKey exportable 1024 Device-1(config)# show crypto key mypubkey rsa key label: Tamaño de clave 
 myKey: 1024 
 exportable: sí
5

Asocie el par de claves RSA al punto de confianza.

Dispositivo-1(configuración)# criptográfico punto de confianza de ca myCA Device-1(config-trustpoint)# rsakeypair myKey Device-1(config-trustpoint)# salir  Dispositivo-1(config)# mostrar puntos de confianza de ca criptográficos: myCA; Clave: Métodos 
 de revocación de myKey:  Crl
6

Descargue el certificado de ca desde la interfaz web del servicio de certificados de Microsoft.
7

Autentique la CA que desea inscribir en el punto de confianza.

Dispositivo-1(configuración)# autenticación de ca criptográfico myCA entrada (cortar y pegar) certificado de CA (cadena) en formato PEM; 
 end the input with a line containing only END OF INPUT : 
 -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea NBG7E0oN66zex0EOEfG1Vs6mXp1//w== -----END CERTIFICATE----- FIN DE HUELLA DIGITAL DE ENTRADA: Huella digital MD5=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 ¿Acepta 
 este certificado? [yes/no]:y  Device-1(config)# show crypto ca certificates TrustPoint: certificado de 
 CA myCA 0:
subject= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ 
 L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA 
 issuer= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ 
 L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA 
 serial=0560D289ACB419944F4912258CAD197A 
 notBefore=3 22:46:37 2005 GMT 
 notAfter=3 22:55:17 2007 GMT 
 MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 
 purposes: sslserver sslclient ike
8

Genere un certificado de solicitud para utilizar para inscribirse en un punto de confianza.

Dispositivo-1(config)# criptografía inscriba myCA  Crear la solicitud de certificado ..
 Cree una contraseña para el desafío. Deberá proporcionar verbalmente esta contraseña al Administrador de 
  CA para revocar su certificado.
  Por motivos de seguridad, su contraseña no se guardará en la configuración.
  Tome nota.
  Contraseña: nbv123  El nombre de sujeto en el certificado será: Device-1.cisco.com Incluye  el número de serie del cambio en el nombre del sujeto? [sí/no]: no  Incluir una dirección IP en el nombre de sujeto [sí/no]:  dirección IP: 10.10.1.1 Aparecerá la solicitud  de certificado...
-----BEGIN CERTIFICATE REQUEST----- 
 MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ 
 KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 
 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y 
 P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S 
 VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ 
 DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ 
 KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt 
 PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 
 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= 
 -----END CERTIFICATE REQUEST-----
9

Solicite un certificado de identidad desde la interfaz web del Servicio de certificados de Microsoft.
10

Importe el certificado de identidad.

Dispositivo-1(config)# import cripto ca import myCA certificate input (cortar y pegar) certificado en formato PEM:
-----BEGIN CERTIFICADO----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NLTA4L0NlcnRFbnJvbGwvc3Nl LTA4X0ControlYXJuySUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZControll1xcc3NLTA4 XENlcnRFbnJvbGxcc3NlLTA4X0GuíaYXJuYSUyMENBLmNydDANBgqhkiG9w0BAQUF AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOc GMAILUTgrpnTqVpVerejtsyflw E36cIXpert4WsExREqxbT8ycx7V5o= -----END CERTIFICATE----- Device-1(config)# salir del dispositivo-1 #
11

Verifique la configuración del certificado.
12

Guarde la configuración del certificado en la configuración de inicio.

Descargar un certificado de CA

Para descargar un certificado de CA desde la interfaz web de Servicios de certificados de Microsoft, siga estos pasos:

1

Desde la interfaz web de Servicios de certificados de Microsoft, haga clic en Recuperar el certificado de CA o la tarea de revocación de certificado y haga clic en Siguiente.

2

En la lista de visualización, elija el archivo de certificado de CA que desea descargar de la lista que aparece. A continuación, haga clic en Base 64 codificado y haga clic en Descargar certificado de CA .

3

Haga clic en Abrir en el cuadro de diálogo Cuadro de diálogo.

4

En el cuadro certificado cuadro de diálogo, haga clic en Copiar a archivo y luego en Aceptar.

5

Desde el Asistente para exportación cuadro de diálogo certificados, elija el X.509 (CER) codificado en Base-64 y haga clic en Siguiente .

6

En el campo Nombre de archivo: en el Asistente para exportación de certificados cuadro de diálogo, introduzca el nombre del archivo de destino y haga clic en Siguiente.
7

En el Asistente para exportación de cuadro de diálogo, haga clic en Finalizar.
8

Ingrese el comando del tipo Microsoft Windows para mostrar el certificado de CA almacenado en formato Base-64 (PEM).

Solicitar un certificado de identidad

Para solicitar un certificado de identificación desde un servidor de certificado de Microsoft mediante una solicitud de firma de certificado (CRS) PKCS#12, siga estos pasos:

1

Desde la interfaz web de Servicios de certificados de Microsoft, haga clic en Solicitar un certificado y haga clic en Siguiente.

2

Haga clic en Solicitud avanzada y haga clic en Siguiente.

3

Haga clic en Enviar una solicitud de certificado utilizando un archivo PKCS#10 codificado en base64 o una solicitud de renovación mediante un archivo PKCS#7 codificado en base64 y haga clic en Siguiente .

4

En el cuadro de texto Solicitud guardada, pegue la solicitud de certificado PKCS#10 base64 y haga clic en Siguiente. La solicitud de certificado se copia desde la consola del dispositivo Cisco NX-OS.

5

Espere uno o dos días hasta que el administrador de CA emita el certificado.

6

Tenga en cuenta que el administrador de CA aprueba la solicitud de certificado.

7

Desde la interfaz web de Servicios de certificados de Microsoft, haga clic en Comprobar un certificado pendiente y haga clic en Siguiente.

8

Elija la solicitud de certificado que quiera comprobar y haga clic en Siguiente.

9

Haga clic en Base 64 codificado y en Descargar certificado de CA .

10

En la ventana Descargar cuadro de diálogo, haga clic en Abrir.

11

En el cuadro Certificado, haga clic en la ficha Detalles y luego en Copiar enarchivo.... En el cuadro de diálogo Exportación de certificados, haga clic en Base-64 codificado en X.509 (. CER)y haga clic en Siguiente .

12

En el campo Nombre de archivo: en el Asistente para exportación de certificados cuadro de diálogo, introduzca el nombre del archivo de destino y haga clic en Siguiente.

13

Haga clic en Finalizar.

14

Ingrese el comando del tipo de Microsoft Windows para mostrar el certificado de identidad en formato codificado en base64.

Revocación de un certificado

Para revocar un certificado que utiliza el programa de administrador de Microsoft CA, siga estos pasos:

1

Desde el árbol de la Autoridad de certificación, haga clic en la carpeta Certificados emitidos. En la lista, haga clic con el botón derecho en el certificado que quiera revocar.
2

Elija Todas las tareas > Revocación de certificado.

3

En el cuadro De lista desplegable motivo, elija un motivo para la revocación y haga clic en .

4

Haga clic en la carpeta Certificados revocados para enumerar y verificar la revocación de certificados.

Generar y publicar la CRL

Para generar y publicar la CRL mediante el programa de administrador de Microsoft CA, siga estos pasos:

1

En la pantalla de la Autoridad de certificación, elija Acción > Todas las tareas > Publicar.

2

En la lista de revocación de cuadro de diálogo, haga clic en Sí para publicar la CRL más reciente.

Descargar la CRL

Para descargar CRL desde el sitio web de Microsoft CA, siga estos pasos:

1

Desde la interfaz web de Servicios de certificados de Microsoft, haga clic en Recuperar el certificado de CA o la lista de revocación de certificados y haga clic en Siguiente .

2

Haga clic en Descargar la lista de revocación de certificados más reciente.

3

En la página Descarga de cuadro de diálogo, haga clic en Guardar.

4

En el cuadro Guardar como cuadro de diálogo, introduzca el nombre del archivo de destino y haga clic en Guardar.

5

Ingrese el comando del tipo de Microsoft Windows para mostrar la CRL.

Importar la CRL

Para importar la CRL al punto de confianza que corresponda a la CA, siga estos pasos:

1

Copie el archivo CRL en el dispositivo Cisco NX-OS bootflash.

Dispositivo-1# copy tftp:apranaCA.crl bootflash:aparnaCA.crl
2

Configure la CRL.


Dispositivo-1# configurar dispositivo  terminal-1(configuración)# solicitud cripto ca crl solicitud myCA bootflash:aparnaCA.crl Dispositivo-1(configuración) #
3

Mostrar el contenido de la CRL.


Dispositivo-1(configuración)# mostrar criptografía ca crl myCA TrustPoint: CRL 
 de myCA:
Lista de revocación de certificados (CRL):
        Algoritmo de firma de la versión 2 (0x1): sha1WithRSAEncryption 
        Emisor: /emailAddress=admin@yourcompany.com/C=IN/ST=Karnatak 
 suempresa/OU=netstorage/CN=Aparna CA 
        Última actualización: 12 de noviembre 4:36:04 2005 GMT 
        Próxima actualización: 19 de noviembre 16:56:04 2005 GMT 
        Extensiones CRL:
            Identificador de clave de autoridad X509v3:
            keyid:27:28:F2:46:83:1B:AC:23:4C:45:4D:8E:C9:18:50:1 
            1.3.6.1.4.1.311.21.1:
                ...
Certificados revocados:
    Número de serie: 611B09A10000000002 
        Fecha de revocación: 16 de agosto de 21:52:19 2005 Número de serie 
 GMT: 4CDE464E000000000003 
        Fecha de revocación: 16 de agosto de 21:52:29 2005 Número de serie 
    GMT: 4CFC2B42000000000004 
        Fecha de revocación: 16 de agosto de 21:52:41 2005 Número de serie 
    GMT: 6C699EC2000000000005 
        Fecha de revocación: 16 de agosto de 21:52:52 2005 Número de serie 
    GMT: 6CCF7DDC0000000000006 
        Fecha de revocación: 8 de junio: 12:04 2005 Número de serie 
    GMT: 70CC4FFF0000000000007 
        Fecha de revocación: 16 de agosto de 21:53:15 2005 Número de serie 
    GMT: 4D9B11160000000000008 
        Fecha de revocación: 16 de agosto de 21:53:15 2005 Número de serie 
    GMT: 52A80230000000000009 
        Fecha de revocación: 27 de junio 23:47:06 2005 GMT Extensiones de entrada 
        de CRL:
            Código de motivo CRL X509v3:
            Número de serie de compromiso 
 de CA: 5349AD460000000000A 
        Fecha de revocación: 27 de junio 23:47:22 2005 GMT Extensiones de entrada 
        de CRL:
            Código de motivo CRL X509v3:
            Número de serie de compromiso 
 de CA: 53BD173C00000000000B 
        Fecha de revocación: 4 de julio 18:04:01 2005 GMT Extensiones de 
        entrada CRL:
            Código de motivo CRL X509v3:
            Número de serie de 
 espera de certificado: 591E7ACE00000000000C 
        Fecha de revocación: 16 de agosto de 21:53:15 2005 Número de serie 
    GMT: 5D3FD52E00000000000D 
        Fecha de revocación: 29 de junio 22:07:25 2005 GMT Extensiones de entrada 
        de CRL:
            Código de motivo CRL X509v3:
            Número de serie de 
 compromiso clave: 5DAB771300000000000E 
        Fecha de revocación: 14 de julio 00:33:56 2005 Número de serie 
    GMT: 5DAE53CD00000000000F 
        Fecha de revocación: 16 de agosto de 21:53:15 2005 Número de serie 
    GMT: 5DB140D3000000000010 
        Fecha de revocación: 16 de agosto de 21:53:15 2005 Número de serie 
    GMT: 5E2D7C1B000000000011 
        Fecha de revocación: 6 de julio 21:12:10 2005 GMT Extensiones de entrada 
        de CRL:
            Código de motivo CRL X509v3:
            Cese del número de serie 
 de la operación: 16DB4F8F000000000012 
        Fecha de revocación: 16 de agosto de 21:53:15 2005 Número de serie 
    GMT: 261C3924000000000013 
        Fecha de revocación: 16 de agosto de 21:53:15 2005 Número de serie 
    GMT: 262B5202000000000014 
        Fecha de revocación: 14 de julio 00:33:10 2005 Número de serie 
    GMT: 2634C7F2000000000015 
        Fecha de revocación: 14 de julio 00:32:45 2005 Número de serie 
    GMT: 2635B000000000000016 
        Fecha de revocación: 14 de julio 00:31:51 2005 Número de serie 
    GMT: 26485040000000000017 
        Fecha de revocación: 14 de julio 00:32:25 2005 Número de serie 
    GMT: 2A2763570000000000018 
 Fecha de revocación: 16 de agosto de 21:53:15 2005 Número de serie 
    GMT: 3F88CBF7000000000019 
        Fecha de revocación: 16 de agosto de 21:53:15 2005 Número de serie 
    GMT: 6E4B5F5F00000000001A 
        Fecha de revocación: 16 de agosto de 21:53:15 2005 Número de serie 
    GMT: 725B89D800000000001B 
        Fecha de revocación: 16 de agosto de 21:53:15 2005 Número de serie 
    GMT: 735A8878000000000001C 
        Fecha de revocación: 16 de agosto de 21:53:15 2005 Número de serie 
    GMT: 148511C700000000001D 
        Fecha de revocación: 16 de agosto de 21:53:15 2005 Número de serie 
    GMT: 14A7170100000000001E 
        Fecha de revocación: 16 de agosto de 21:53:15 2005 Número de serie 
    GMT: 14FC45B500000000001F 
        Fecha de revocación: 17 de agosto 18:30:42 2005 Número de serie 
    GMT: 486CE80B000000000020 
        Fecha de revocación: 17 de agosto 18:30:43 2005 Número de serie 
    GMT: 4CA4A3AA000000000021 
        Fecha de revocación: 17 de agosto 18:30:43 2005 Número de serie 
    GMT: 1AA55C8E0000000002F 
        Fecha de revocación: 5 de septiembre, 17:07:06 2005 Número de serie 
    GMT: 3F0845DD000000000003F 
        Fecha de revocación: 8 de septiembre, 20:24:32 2005 Número de serie 
    GMT: 3F619B7E000000000042 
        Fecha de revocación: 8 de septiembre, 21:40:48 2005 Número de serie 
    GMT: 6313C463000000000052 
        Fecha de revocación: 19 de septiembre, 17:37:18 2005 Número de serie 
    GMT: 7C3861E3000000000060 
        Fecha de revocación: 20 de septiembre 17:52:56 2005 Número de serie 
    GMT: 7C6EE351000000000061 
        Fecha de revocación: 20 de septiembre 18:52:30 2005 Número de serie 
    GMT: 0A338EA100000000074 <-- Revoked identity certificate 
 Fecha de revocación: 12 de noviembre de 2004:34:42 2005 Algoritmo de firma 
    de GMT: sha1WithRSAEncryption 
        0b:cb:dd:43:0a:b8:62:1e:80:95:06:6f:4d:ab:0c:d8:8e:32:
        44:8e:a7:94:97:af:02:b9:a6:9c:14:fd:eb:90:cf:18:c9:96:
        29:bb:57:37:d9:1f:d5:bd:4e:9a:4b:18:2b:00:2f:d2:6e:c1:
        1a:9f:1a:49:b7:9c:58:24:d7:72

 

El certificado de identidad correspondiente al dispositivo que fue revocado (número de serie 0A338EA100000000074) está listado al final.