Configuration PKI

Ce chapitre contient les sections suivantes :

Informations sur PKI

Cette section fournit des informations sur les PKI.

CAs et certificats numériques

Les autorités de certification (CA) gèrent les demandes de certificats et délivré les certificats aux entités participantes telles que les organisateurs, les périphériques réseau, ou les utilisateurs. Les CA offrent une gestion centralisée des clés pour les entités participantes.

Les signatures numériques, basées sur la cryptographie de la clé publique, authentifier numériquement les périphériques et les utilisateurs individuels. Dans la cryptographie de la clé publique, tel que le système de chiffrement RSA, chaque périphérique ou utilisateur a une paire de clés qui contient à la fois une clé privée et une clé publique. La clé privée est secrète et est connue uniquement du périphérique ou de l’utilisateur propriétaire. Cependant, la clé publique est connue de tous. Tout ce qui est chiffré avec l’une des clés peut être déchiffré avec l’autre. Une signature est constituée lorsque les données sont chiffrées avec la clé privée d’un expéditeur. Le destinataire vérifie la signature en déchiffrant le message avec la clé publique de l’expéditeur. Ce processus s’appuie sur le destinataire ayant une copie de la clé publique de l’expéditeur et sachant avec une grande certitude qu’il appartient réellement à l’expéditeur et non à quelqu’un faire semblant d’être l’expéditeur.

Les certificats numériques relient la signature numérique à l’expéditeur. Un certificat numérique contient des informations pour identifier un utilisateur ou un périphérique, telles que le nom, le numéro de série, la société, le service, ou l’adresse IP. Il contient également une copie de la clé publique de l’entité. L’AC qui signe le certificat est une tierce partie en qui le destinataire fait explicitement confiance pour valider les identités et créer des certificats numériques.

Pour valider la signature de l’AC, le destinataire doit d’abord connaître la clé publique de l’AC. Généralement, ce processus est géré hors de la bande ou par une opération effectuée à l’installation. Par exemple, la plupart des navigateurs Web sont configurés avec les clés publiques de plusieurs ordinateurs par défaut.

Modèle de confiance, points de confiance et CAs d’identité

Le modèle de confiance PKI est hiérarchique avec plusieurs CAs configurables de confiance. Vous pouvez configurer chaque périphérique participant avec une liste d’AUTORITÉS de confiance afin qu’une certificat pair obtenue au cours des échanges de protocole de sécurité puisse être authentifiée si elle a été émise par l’un des autorités de ce système localement fiables. Le logiciel Cisco NX-OS stocke localement les certificat racine auto-signés de l’AC de confiance (ou chaine de certificats pour une AC secondaire). Le processus d’obtention en toute sécurité d’une certificat racine d’une AC de confiance (ou de toute la chaine dans le cas d’une AC secondaire) et de le stocker localement est appelé Authentification de l’AC.

Les informations concernant une AC de confiance que vous avez configurée sont appelées le point de confiance et l’AC elle-même est appelée un point de confiance AC . Cette information consiste en un certificat de l’AC (ou une chaine de certificats en cas d’une AC secondaire) et une vérification de révocation de certificat.

Le périphérique Cisco NX-OS peut également s’inscrire avec un point de confiance pour obtenir un certificat d’identité à associer à une paire de clés. Ce point de confiance est appelé une AC d’identité.

Paires de clés RSA et certificats d’identité

Vous pouvez obtenir un certificat d’identité en générant un ou plusieurs pairs de clés RSA et en associant chaque pair de clé RSA avec un point de confiance AC où le périphérique NX-OS Cisco prévoit de s’inscrire. Le périphérique Cisco NX-OS a besoin d’une seule identité par AC, qui comprend une paire de clés et un certificat d’identité par AC.

Le logiciel Cisco NX-OS vous permet de générer des paires de clés RSA avec une taille de clé configurable (ou des moddales). La taille de clé par défaut est 512. Vous pouvez également configurer un label de pair de clé RSA. Le label de la clé par défaut est le nom nom de domaine entièrement qualifié périphérique (FDQN).

La liste suivante résume la relation entre les points de confiance, les paires de clés RSA et les certificats d’identité :

  • Un point de confiance correspond à une AC spécifique à savoir que le périphérique Cisco NX-OS fait confiance pour la vérification certificat pair de n’importe quelle application (telle que SSH).

  • Un périphérique Cisco NX-OS peut avoir beaucoup de points de confiance et toutes les applications sur le périphérique peuvent faire confiance à un certificat pair émis par n’importe quel autre CAs de confiance.

  • Un point de confiance n’est pas limité à une application spécifique.

  • Un périphérique Cisco NX-OS s’inscrit à l’AC qui correspond au point de confiance pour obtenir un certificat d’identité. Vous pouvez inscrire votre périphérique avec plusieurs points de confiance, ce qui signifie que vous pouvez obtenir un certificat d’identité séparé à partir de chaque point de confiance. Les certificats d’identité sont utilisés par les applications en fonction des fins spécifiées dans le certificat par l’AC émettrice. L’objet d’un certificat est stocké dans le certificat en tant qu’extension de certificat.

  • Lorsque vous vous inscrivez à un point de confiance, vous devez spécifier un pair de clé RSA pour être certifié. Ce pair clé doit être généré et associé au point de confiance avant de générer la demande d’inscription. L’association entre le point de confiance, le pair de clé et le certificat d’identité est valide jusqu’à ce qu’il soit explicitement supprimé en supprimant le certificat, le pair de clé, ou le point de confiance.

  • Le nom d’objet dans le certificat d’identité est le nom de domaine entièrement qualifié pour le périphérique Cisco NX-OS.

  • Vous pouvez générer un ou plusieurs pairs de clés RSA sur un périphérique et chacun d’eux peut être associé à un ou plusieurs points de confiance. Mais aucun autre pair de clé ne peut être associé à un point de confiance, ce qui signifie qu’un seul certificat d’identité est autorisé à partir d’une AC.

  • Si le périphérique Cisco NX-OS obtient plusieurs certificats d’identité (chacun à partir d’une AC distincte), le certificat qu’une application choisit d’utiliser dans un protocole de sécurité échangé avec un pair est spécifique à l’application.

  • Vous n’avez pas besoin de désigner un ou plusieurs points de confiance pour une application. Toute application peut utiliser n’importe quel certificat émis par n’importe quel point de confiance tant que l’objet du certificat répond aux exigences de l’application.

  • Vous n’avez pas besoin de plus d’un certificat d’identité à partir d’un point de confiance ou plusieurs pairs de clés à être associés à un point de confiance. Une AC certifie une identité donnée (ou un nom) une seule fois et ne produit pas plusieurs certificats avec le même nom. Si vous avez besoin de plus d’un certificat d’identité pour une AC et si l’AC autorise plusieurs certificats avec les mêmes noms, vous devez définir un autre point de confiance pour la même AC, y associer un autre pair de clé et l’avoir certifié.

Prise en charge de plusieurs AC de confiance

Le périphérique Cisco NX-OS peut faire confiance à plusieurs AC en configurant plusieurs points de confiance et en associant chacun à une AC distincte. Avec plusieurs AC de confiance, vous n’avez pas à inscrire un périphérique avec l’AC spécifique qui a délivré le certificat à un pair. Au lieu de cela, vous pouvez configurer le périphérique avec plusieurs CAs de confiance que le pair fait confiance. Le périphérique Cisco NX-OS peut ensuite utiliser une AC de confiance configurée pour vérifier les certificats reçus d’un pair qui n’ont pas été émis par la même AC définie dans l’identité du périphérique pair.

Prise en charge de l’inscription PKI

L’inscription est le processus d’obtention d’un certificat d’identité pour le périphérique qui est utilisé pour les applications telles que SSH. Il se produit entre le périphérique qui demande le certificat et l’autorité de certification.

Le périphérique Cisco NX-OS effectue les étapes suivantes lorsque vous effectuez le processus d’inscription PKI :

  • Génère un pair de clé privée et publique RSA sur le périphérique.

  • Génère une demande de certificat au format standard et la fait suivre à l’AC.


L’administrateur de l’AC peut être tenu d’approuver manuellement la demande d’inscription sur le serveur de l’AC, lorsque la demande est reçue par l’ac.

  • Reçoit le certificat en retour de l’AC, signé avec la clé privée de l’AC.

  • Écrit le certificat dans une zone de stockage non mobile sur le périphérique (bootflash).

Inscription manuelle à l’aide de coupe-coller

Le logiciel Cisco NX-OS prend en charge la récupération des certificats et l’inscription à l’aide d’un coupe-coller manuel. Couper et coller l’inscription signifie que vous devez couper et coller les demandes de certificats et les certificats résultants entre le périphérique et l’AC.

Vous devez effectuer les étapes suivantes lors de l’utilisation de couper et coller dans le processus d’inscription manuelle :

  • Créez une demande de certificat d’inscription, que le périphérique Cisco NX-OS affiche dans un formulaire texte avec encodage base64.

  • Couper et coller le texte de la demande de certificat encodé dans un courrier électronique ou dans un formulaire Web et l’envoyer à l’ac.

  • Recevoir le certificat délivré (sous forme de texte encodé à base 64) de l’AC par courrier électronique ou dans le téléchargement d’un navigateur Web.

  • Couper et coller le certificat délivré sur le périphérique en utilisant la facilité d’importation de certificat.

Pair de clé RSA multiple et prise en charge de l’identité de l’AC

Les ac d’identité multiples permettent au périphérique de s’inscrire à plus d’un point de confiance, qui se traduit par plusieurs certificats d’identité, chacun à partir d’une AC distincte. Avec cette fonctionnalité, le périphérique Cisco NX-OS peut participer dans SSH et d’autres applications avec beaucoup de pairs à l’aide de certificats émis par des CAs qui sont acceptables pour ces pairs.

La fonctionnalité de paire de clés RSA multiples permet au périphérique de conserver une paire de clés distinctes pour chaque AC avec laquelle il est inscrit. Il peut correspondre aux exigences de politique requises pour chaque AC sans être en conflit avec les exigences spécifiées par les autres CAs, tel que la longueur de la clé. Le périphérique peut générer plusieurs paires de clés RSA et associer chaque pair de clés avec un point de confiance distinct. Ensuite, lors de l’inscription à un point de confiance, le pair de clés associé est utilisé pour construire la demande de certificat.

Vérification du certificat du pair

La prise en charge PKI sur un périphérique Cisco NX-OS peut vérifier les certificats des pairs. Le logiciel Cisco NX-OS vérifie les certificats reçus des pairs au cours des échanges de sécurité pour les applications, telles que SSH. Les applications vérifient la validité des certificats des pairs. Le logiciel Cisco NX-OS effectue les étapes suivantes lors de la vérification des certificats des pairs :

  • Vérifie que l’certificat pair est émis par l’un des CAs de confiance localement.

  • Vérifie que l’certificat pair est valide (n’a pas expiré) par rapport à l’heure actuelle.

  • Vérifie que l’certificat pair n’a pas encore été révoqué par l’AC émettrice.

Pour la vérification de la révocation, le logiciel Cisco NX-OS prend en charge la liste de révocation de certificats (CRL). Un point de confiance l’AC peut utiliser cette méthode pour vérifier que l’certificat pair n’a pas été révoqué.

Vérification de la révocation de certificat

Le logiciel Cisco NX-OS peut vérifier le statut de révocation des certificats de l’AC. Les applications peuvent utiliser les mécanismes de vérification de révocation dans l’ordre que vous spécifiez. Les choix sont CRL, aucune, ou une combinaison de ces méthodes.

Prise en charge CRL

Les CA conservent des listes de révocation de certificats (CRLs) pour fournir des informations sur les certificats révoqués avant leurs dates d’expiration. Les CAs publient les CRLs dans un répertoire et fournissent l’URL publique de téléchargement dans tous les certificats émis. Un client vérifiant le certificat d’un pair peut obtenir la dernière CRL de l’AC émettrice et l’utiliser pour déterminer si le certificat a été révoqué. Un client peut cacher les CRLs de certaines ou toutes ses autorités de ce service de confiance localement et les utiliser plus tard si nécessaire jusqu’à l’expiration des CRLs.

Le logiciel Cisco NX-OS permet la configuration manuelle des LCP prét chargés pour les points de confiance, et les cache ensuite dans le bootflash (crt-store) du périphérique. Pendant la vérification d’un certificat pair, le logiciel Cisco NX-OS vérifie la CRL de l’AC émettrice uniquement si la CRL a déjà été mise en cache localement et que la vérification de révocation est configurée pour utiliser la CRL. Sinon, le logiciel Cisco NX-OS n’effectue pas la vérification CRL et envisage que le certificat ne soit pas révoqué à moins d’avoir configuré d’autres méthodes de vérification de révocation.

Prise en charge de l’importation et de l’exportation des certificats et des pairs de clés associés

Dans le cadre du processus d’authentification et d’inscription de l’AC, le certificat secondaire de l’AC (ou la chaine de certificats) et les certificats d’identité peuvent être importés au format PEM standard (base64).

Les informations d’identité complètes dans un point de confiance peuvent être exportées dans un fichier au format standard PKCS#12 protégé par un mot de passe. Il peut être plus tard importé sur le même périphérique (par exemple, après une panne du système) ou vers un périphérique de remplacement. Les informations dans un fichier PKCS#12 sont constituées du pair de clés RSA, du certificat d’identité et du certificat de l’AC (ou chaine).

Exigences des licences pour PKI

Le tableau suivant montre les exigences de licence pour cette fonctionnalité :

Produit

Exigence de licence

Système d’exploitation Cisco NX

La fonctionnalité PKI ne nécessite aucune licence. Toute fonctionnalité non incluse dans un pack de licences est fournie avec les images du système Cisco NX-OS et elle vous est fournie gratuitement. Pour une explication du schéma de licence Cisco NX-OS, voir le Guide de licence Cisco NX-OS.

Directives et limites pour les PKI

PKI a les instructions et limites de configuration suivantes :

  • Le nombre maximum de paires de clés que vous pouvez configurer sur un périphérique Cisco NX-OS est de 16.

  • Le nombre maximum de points de confiance que vous pouvez déclare sur un périphérique Cisco NX-OS est de 16.

  • Le nombre maximum de certificats d’identification que vous pouvez configurer sur un périphérique Cisco NX-OS est de 16.

  • Le nombre maximum de certificats dans une chaine de certificats d’AC est 10.

  • Le nombre maximum de points de confiance que vous pouvez vous authentifier sur une AC spécifique est 10.

  • Les retours de configuration ne supportent pas la configuration PKI.

  • Le logiciel Cisco NX-OS ne prend pas en charge OSCP.


Si vous êtes familiarisé(e) avec le CLI Cisco IOS, sachez que les commandes Cisco NX-OS pour cette fonctionnalité peuvent être différentes des commandes IOS Cisco que vous utiliseriez.

Paramètres par défaut pour PKI

Ce tableau répertorie les paramètres par défaut pour les paramètres PKI.

Tableau 1. Paramètres PKI par défaut

Paramètres

Par défaut

Point de confiance

Aucun

Paire de touches RSA

Aucun

RSA et label du pair de touches

FDQN périphérique

RSA moddales d’appariment de touches

512

RSA clé-pair exportable

Enabled

Méthode de vérification de révocation

Lcr

Configurer les CAs et les certificats numériques

Cette section décrit les tâches que vous devez effectuer pour autoriser l’interopérabilité des CAs et des certificats numériques sur votre périphérique Cisco NX-OS.

Configuration du nom d’hôte et du nom de domaine IP

Vous devez configurer le nom d’hôte et le nom de domaine IP du périphérique si vous ne les avez pas encore configurés car le logiciel Cisco NX-OS utilise le nom de domaine entièrement qualifié (FDQN) du périphérique comme sujet dans le certificat d’identité. De plus, le logiciel Cisco NX-OS utilise l’FDQN de périphérique comme label de clé par défaut lorsque vous ne spécifiez pas un titre au cours de la génération du pairage de clés. Par exemple, un certificat nommé DeviceA.example.com est basé sur un nom d’hôte de périphérique de PériphériqueA et le nom de domaine IP d’un example.com.


Changer le nom d’hôte ou le nom de domaine IP après avoir généré le certificat peut invalider le certificat.

  Commande ou Action Objet
1

configurer le terminal

Exemple :

commutateur# configurer le commutateur 
 du terminal (configuration) #

Entre en mode de configuration globale.

2

nom d’hôtedu nom d’hôte

Exemple :

commutateur(config)# périphérique du nom d’hôteA

Configure le nom d’hôte du périphérique.

3

nom de domaine ip [use-domainesf-name]

Exemple :

PériphériqueA(config)# nom de domaine ip example.com

Configure le nom de domaine IP du périphérique. Si vous ne spécifiez pas un nom ETVV, la commande utilise le NOMDESF par défaut.

4

Sortie

Exemple :

commutateur(config)# commutateur de 
 sortie #

Quitte le mode de configuration.

5

(Facultatif) afficher les organisateurs

Exemple :

changer# afficher les organisateurs
(Facultatif)

Affiche le nom de domaine IP.

6

(Facultatif) copier running-config démarrage-config

Exemple :

switch# copier running-config startup-config
(Facultatif)

Copie la configuration en cours vers la configuration de démarrage.

Générer un pair de clé RSA

Vous pouvez générer des paires de clés RSA pour signer et/ou chiffrer et déchiffrer la charge utile de sécurité au cours des échanges de protocoles de sécurité pour les applications. Vous devez générer le pair de clés RSA avant de pouvoir obtenir un certificat pour votre périphérique.

  Commande ou Action Objet
1

configurer le terminal

Exemple :

commutateur# configurer le commutateur 
 du terminal (configuration) #

Entre en mode de configuration globale.

2

cryptograph key generate rsa [label-string] [exportable ] [moddalessize]

Exemple :

switch(config)# cryptograph key generate rsa exportable

Génère un pair de clés RSA. Le nombre maximum de paires de clés sur un périphérique est 16.

La chaîne de caractères du label est alphanumérique, sensible à la cas et a une longueur maximum de 64 caractères. La chaîne de caractères du label par défaut est le nom d’hôte FDQN séparées par un caractère de période (.).

Les valeurs valides des mod modules sont 512, 768, 1024, 1536 et 2048. La taille par défaut est 512.


 

La politique de sécurité sur le périphérique Cisco NX-OS et sur l’AC (où l’inscription est prévue) doit être considérée lors du choix des modos de clés appropriés.

Par défaut, le pair de clé n’est pas exportable. Seules les paires de clés exportables peuvent être exportées au format PKCS#12.


 

Vous ne pouvez pas modifier l’exportation d’un pair clé.

3

Sortie

Exemple :

commutateur(config)# commutateur de 
 sortie #

Quitte le mode de configuration.

4

(Facultatif) afficher crypto key mypubkey rsa

Exemple :

switch# afficher crypto key mypubkey rsa
(Facultatif)

Affiche la clé générée.

5

(Facultatif) copier running-config démarrage-config

Exemple :

switch# copier running-config startup-config
(Facultatif)

Copie la configuration en cours vers la configuration de démarrage.

Créer une association d’un point de confiance de l’AC

Vous devez associer le périphérique Cisco NX-OS à un point de confiance CA.

Avant de commencer

Générer le pair de clés RSA.

  Commande ou Action Objet
1

configurer le terminal

Exemple :

commutateur# configurer le commutateur 
 du terminal (configuration) #

Entre en mode de configuration globale.

2

nom du point de confiance cryptographie del’ac

Exemple :

switch(config)# commutateur admin-ca crypto ca trustpoint 
 admin-ca(config-trustpoint) #

Déclare un point de confiance à l’AC que le périphérique doit faire confiance et entre en mode de configuration du point de confiance.


 

Le nombre maximum de points de confiance que vous pouvez configurer sur un périphérique est de 16.

3

terminal d’inscription

Exemple :

commutateur(point de confiance de config)# terminal d’inscription

Active l’inscription manuelle aux certificats coupés et collés. Par défaut, cette option est activée.


 

Le logiciel Cisco NX-OS prend uniquement en charge la méthode de coupe-coller manuelle pour l’inscription aux certificats.

4

Label du rslabypair

Exemple :

commutateur(point de config-trust)# commutateur rslabypairA

Spécifie le label de la paire de clés RSA à associer à ce point de confiance pour l’inscription.


 

Vous pouvez spécifier uniquement un pair de clé RSA par AC.

5

Sortie

Exemple :

commutateur(point de config-trust)# commutateur 
 de sortie(config) #

Quitte le mode de configuration du point de confiance.

6

(Facultatif) afficher les points de confiance crypto-ca

Exemple :

switch(config)# afficher les points de confiance crypto ca
(Facultatif)

Affiche les informations du point de confiance.

7

(Facultatif) copier running-config démarrage-config

Exemple :

switch(config)# copier running-config startup-config
(Facultatif)

Copie la configuration en cours vers la configuration de démarrage.

Authentification de l’AC en cours

Le processus de configuration de confiance d’une AC est terminé uniquement lorsque l’AC est authentifiée sur le périphérique Cisco NX-OS. Vous devez authentifier votre périphérique Cisco NX-OS vers l’AC en obtenant le certificat auto-signé de l’AC au format PEM, qui contient la clé publique de l’AC. Parce que le certificat de l’AC est auto-signé (l’AC signe son propre certificat) la clé publique de l’AC doit être authentifiée manuellement en contactant l’administrateur de l’AC pour comparer les empreintes digitales du certificat de l’AC.


L’ac que vous authentifier n’est pas une AC auto-signée lorsqu’il s’agit d’une AC secondaire vers une autre AC, qui elle-même peut être secondaire à une autre AC, et enfin se terminer dans une AC auto-signée. Ce type de certificat de l’AC est appelé la chaine de certificats de l’AC de l’AC qui est authentifiée. Dans ce cas, vous devez saisir la liste complète des certificats de l’AC de tous les CA dans la chaine de certification au cours de l’authentification de l’AC. Le nombre maximum de certificats dans une chaine de certificats d’AC est 10.

Avant de commencer

Créer une association avec l’AC.

Obtenez le certificat de l’AC ou la chaine de certificats de l’AC.

  Commande ou Action Objet
1

configurer le terminal

Exemple :

commutateur# configurer le commutateur 
 du terminal (configuration) #

Entre en mode de configuration globale.

2

nom d’authentificationcryptographique d’une ca

Exemple :

switch(config)# crypto ca authentifier l’entrée admin-ca (couper et coller) le certificat 
 de l’AC (chaine) au format PEM ; 
 end the input with a line containing only END OF INPUT : 
 -----BEGIN CERTIFICATE----- 
 MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB 
 kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO 
 MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE 
 ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD 
 QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN 
 AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth 
 cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG 
 A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN 
 AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI 
 OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E 
 BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ 
 GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs 
 L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv 
 bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB 
 BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea 
 NBG7E0oN66zex0EOEfG1Vs6mXp1//w== 
 -----END CERTIFICATE----- 
 END OF INPUT 
 Fingerprint(s): Empreinte MD5 =65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Acceptez-vous ce 
 certificat ? [oui/non] : oui

Vous invite à couper et coller le certificat de l’AC. Utilisez le même nom que celui que vous avez utilisé lorsque l’AC a été désoydonie.

Le nombre maximum de points de confiance que vous pouvez authentifier sur une AC spécifique est 10.


 

Pour une authentification secondaire de l’AC, le logiciel Cisco NX-OS exige la chaîne complète de certificats ca se terminant par une AC auto-signée car la chaîne d’AC est nécessaire pour la vérification du certificat ainsi que pour le format PKCS#12.

3

Sortie

Exemple :

commutateur(config)# commutateur de 
 sortie #

Quitte le mode de configuration.

4

(Facultatif) afficher les points de confiance crypto-ca

Exemple :

switch# afficher les points de confiance cryptographies des ca
(Facultatif)

Affiche les informations du point de confiance de l’AC.

5

(Facultatif) copier running-config démarrage-config

Exemple :

switch# copier running-config startup-config
(Facultatif)

Copie la configuration en cours vers la configuration de démarrage.

Configurer les méthodes de vérification de révocation de certificat

Lors des échanges de sécurité avec un client (par exemple, un utilisateur SSH), le périphérique Cisco NX-OS effectue la vérification du certificat des certificat pair envoyés par le client. Le processus de vérification peut impliquer la vérification du statut de révocation de certificat.

Vous pouvez configurer le périphérique pour vérifier la CRL téléchargée à partir de l’AC. Le téléchargement de la CRL et la vérification locale ne génère pas de trafic dans votre réseau. Cependant, les certificats peuvent être révoqués entre les téléchargements et votre périphérique n’aurait pas été informé de la révocation.

Avant de commencer

Authentifier l’AC.

Vérifiez que vous avez configuré la CRL si vous souhaitez utiliser la vérification CRL.

  Commande ou Action Objet
1

configurer le terminal

Exemple :

commutateur# configurer le commutateur 
 du terminal (configuration) #

Entre en mode de configuration globale.

2

nom du point de confiance cryptographie del’ac

Exemple :

switch(config)# commutateur admin-ca crypto ca trustpoint 
 admin-ca(config-trustpoint) #

Spécifie un point de confiance CA et entre le mode de configuration du point de confiance.

3

révocation-vérifier{crl [aucun ]aucun | }

Exemple :

commutation(point de vérification de confiance)# révocation-vérifier aucune

Configure les méthodes de vérification de révocation de certificat. La méthode par défaut est crl.

Le logiciel Cisco NX-OS utilise les méthodes de révocation de certificat dans l’ordre que vous spécifiez.

4

Sortie

Exemple :

commutateur(point de config-trust)# commutateur 
 de sortie(config) #

Quitte le mode de configuration du point de confiance.

5

(Facultatif) afficher les points de confiance crypto-ca

Exemple :

switch(config)# afficher les points de confiance crypto ca
(Facultatif)

Affiche les informations du point de confiance de l’AC.

6

(Facultatif) copier running-config démarrage-config

Exemple :

switch(config)# copier running-config startup-config
(Facultatif)

Copie la configuration en cours vers la configuration de démarrage.

Générer des demandes de certificats

Vous devez générer une demande pour obtenir des certificats d’identité à partir de l’AC associée au point de confiance pour chacun des pairs de clés RSA de votre périphérique. Vous devez ensuite couper et coller la demande affichée dans un courrier électronique ou dans un formulaire de site Web pour l’AC.

Avant de commencer

Créer une association avec l’AC.

Obtenez le certificat de l’AC ou la chaine de certificats de l’AC.

  Commande ou Action Objet
1

configurer le terminal

Exemple :

commutateur# configurer le commutateur 
 du terminal (configuration) #

Entre en mode de configuration globale.

2

cryptographie nom d’inscription de l’ac

Exemple :

switch(config)# cryptograph ca enroll admin-ca 
 Créer la demande de certificat ..
 Créez un mot de passe de défi-accès. Vous devrez fournir ce mot de passe verbalement à l’administrateur de l’AC 
  afin de révoquer votre certificat.
  Pour des raisons de sécurité votre mot de passe ne sera pas enregistré dans la configuration.
  Veuillez en noter une.
  Mot de passe :nbv123 Le nom 
 du sujet dans le certificat sera : DeviceA.cisco.com 
 inclure le numéro de série de commutateur dans le nom du sujet ? [oui/non] : non 
 Inclure une adresse IP dans le nom du sujet [oui/non] : adresse 
 ip oui : 172.22.31.162 La demande de certificat 
 s’affichera...
-----BEGIN CERTIFICATE REQUEST----- 
 MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ 
 KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 
 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y 
 P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S 
 VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ 
 DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ 
 KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt 
 PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 
 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= 
 -----END CERTIFICATE REQUEST-----

Génère une demande de certificat pour une AC authentifiée.


 

Vous devez vous souvenir du mot de passe du défi. Il n’est pas enregistré avec la configuration. Vous devez saisir ce mot de passe si votre certificat doit être révoqué.

3

Sortie

Exemple :

commutateur(point de config-trust)# commutateur 
 de sortie(config) #

Quitte le mode de configuration du point de confiance.

4

(Facultatif) afficher les certificats crypto de l’ac

Exemple :

switch(config)# afficher les certificats crypto ca
(Facultatif)

Affiche les certificats de l’AC.

5

(Facultatif) copier running-config démarrage-config

Exemple :

switch(config)# copier running-config startup-config
(Facultatif)

Copie la configuration en cours vers la configuration de démarrage.

Installer les certificats d’identité

Vous pouvez recevoir le certificat d’identité de l’AC par courrier électronique ou par le biais d’un navigateur Web dans le formulaire texte encodé de la base 64. Vous devez installer le certificat d’identité de l’AC en coupant et en maintenant le texte encodé.

Avant de commencer

Créer une association avec l’AC.

Obtenez le certificat de l’AC ou la chaine de certificats de l’AC.

  Commande ou Action Objet
1

configurer le terminal

Exemple :

commutateur# configurer le commutateur 
 du terminal (configuration) #

Entre en mode de configuration globale.

2

certificat cryptographie dunom d’importation del’ac

Exemple :

switch(config)# cryptograph ca importer admin-ca certificat 
 entrée (couper et coller) certificat au format PEM :
-----BEGIN CERTIFICATE----- 
 MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G 
 CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD 
 VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz 
 Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w 
 NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu 
 Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C 
 dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 
 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb 
 x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw 
 GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR 
 bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW 
 pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE 
 BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w 
 DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh 
 cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 
 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 
 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH 
 AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl 
 LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 
 XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF 
 AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw 
 E36cIZu4WsExREqxbTk8ycx7V5o= 
 -----END CERTIFICATE-----

Vous invite à couper et coller le certificat d’identité de l’ac nommée admin-ca.

Le nombre maximum de certificats d’identification que vous pouvez configurer sur un périphérique est de 16.

3

Sortie

Exemple :

commutateur(config)# commutateur de 
 sortie #

Quitte le mode de configuration.

4

(Facultatif) afficher les certificats crypto de l’ac

Exemple :

commutateur# afficher les certificats crypto de l’ac
(Facultatif)

Affiche les certificats de l’AC.

5

(Facultatif) copier running-config démarrage-config

Exemple :

switch# copier running-config startup-config
(Facultatif)

Copie la configuration en cours vers la configuration de démarrage.

Garantir que les configurations du point de confiance sont persistantes au cours des redémarrages

Vous pouvez vous assurer que la configuration du point de confiance reste au redémarrage du périphérique Cisco NX-OS.

La configuration du point de confiance est une configuration normale du périphérique Cisco NX-OS qui persiste dans le redémarrage du système uniquement si vous la copiez explicitement dans la configuration de démarrage. Les certificats, les pairs de clés et la CRL associée à un point de confiance sont automatiquement persistants si vous avez déjà copié la configuration du point de confiance dans la configuration du démarrage. Inversement, si la configuration du point de confiance n’est pas copiée dans la configuration du démarrage, les certificats, les pairs de clés et les CRL qui y sont associés ne sont pas persistants car ils nécessitent la configuration correspondante du point de confiance après un redémarrage. Toujours copier la configuration en cours vers la configuration au démarrage pour vous assurer que les certificats configurés, les pairs de clés et les L CRLs sont persistants. En outre, enregistrez la configuration en cours après avoir supprimé un certificat ou une clé pour garantir que les suppressions sont permanentes.

Les certificats et la CRL associés à un point de confiance deviennent automatiquement persistants lorsqu’ils sont importés (c’est-à-dire sans copie explicite de la configuration du démarrage) si le point de confiance spécifique est déjà enregistré dans la configuration au démarrage.

Nous vous recommandons de créer une sauvegarde protégée par un mot de passe des certificats d’identité et de l’enregistrer sur un serveur externe.


Copier la configuration vers un serveur externe inclut les certificats et les paires de clés.

Exporter les informations d’identité au format PKCS 12

Vous pouvez exporter le certificat d’identité en même temps que le pair de clés RSA et le certificat de l’AC (ou l’intégralité de la chaine dans le cas d’une AC secondaire) d’un point de confiance vers un fichier PKCS#12 pour des raisons de sauvegarde. Vous pouvez importer le certificat et le pair de clés RSA pour récupérer une panne du système sur votre périphérique ou lorsque vous remplacez les modules du superviseur.


Vous pouvez utiliser uniquement le format bootflash :nom de fichier lorsque vous spécifiez l’URL d’exportation.

Avant de commencer

Authentifier l’AC.

Installer un certificat d’identité.

  Commande ou Action Objet
1

configurer le terminal

Exemple :

commutateur# configurer le commutateur 
 du terminal (configuration) #

Entre en mode de configuration globale.

2

crypto ca exportname pkcs12 bootflash:mot de passe du nom defichier

Exemple :

switch(config)# crypto ca export admin-ca pkcs12 bootflash:adminid.p12 nbv123

Exporte le certificat d’identité et le pair de clés associés et les certificats de l’AC pour une AC de point de confiance. Le mot de passe est alphanumérique, sensible à la cas et a une longueur maximum de 128 caractères.

3

Sortie

Exemple :

commutateur(config)# commutateur de 
 sortie #

Quitte le mode de configuration.

4

copier booflash :schéma de nomde fichier ://server /[ url/ ] nomdefichier

Exemple :

switch# copier bootflash:adminid.p12 tftp:adminid.p12

Copie le fichier au format PKCS#12 sur un serveur distant.

Pour l’argument du schéma, vous pouvez saisir tftp :, ftp :, scp :, ouftp :Inscription complète au programme de partenariat en SaaS L’argument du serveur est l’adresse ou le nom du serveur distant et l’argument de l’URL est le chemin vers le fichier source sur le serveur distant.

Les arguments du serveur , de l’URL et du nom de fichiersont sensibles à la cas.

Importer les informations d’identité au format PKCS 12

Vous pouvez importer le certificat et le pair de clés RSA pour récupérer une panne du système sur votre périphérique ou lorsque vous remplacez les modules du superviseur.


Vous pouvez utiliser uniquement le format bootflash :nom de fichier lorsque vous spécifiez l’URL d’importation.

Avant de commencer

Vérifiez que le point de confiance est vide en vérifiant qu’aucune paire de clés RSA n’est associée à celui-ci et qu’aucune AC n’est associée au point de confiance en utilisant l’authentification de l’AC.

  Commande ou Action Objet
1

modèlede copie :// server/ [url /]bootflashnom de fichier : nom de fichier

Exemple :

switch# copier tftp:adminid.p12 bootflash:adminid.p12

Copie le fichier au format PKCS#12 à partir du serveur distant.

Pour l’argument du schéma, vous pouvez saisir tftp :, ftp :, scp :, ouftp :Inscription complète au programme de partenariat en SaaS L’argument du serveur est l’adresse ou le nom du serveur distant et l’argument de l’URL est le chemin vers le fichier source sur le serveur distant.

Les arguments du serveur , de l’URL et du nom de fichiersont sensibles à la cas.

2

configurer le terminal

Exemple :

commutateur# configurer le commutateur 
 du terminal (configuration) #

Entre en mode de configuration globale.

3

cryptographe nomd’importationde l’ac pksc12 bootflash :nom de fichier

Exemple :

switch(config)# crypto ca importer admin-ca pkcs12 bootflash:adminid.p12 nbv123

Importe le certificat d’identité et le pair de clés associés et les certificats de l’AC pour le point de confiance de l’AC.

4

Sortie

Exemple :

commutateur(config)# commutateur de 
 sortie #

Quitte le mode de configuration.

5

(Facultatif) afficher les certificats crypto de l’ac

Exemple :

commutateur# afficher les certificats crypto de l’ac
(Facultatif)

Affiche les certificats de l’AC.

6

(Facultatif) copier running-config démarrage-config

Exemple :

switch# copier running-config startup-config
(Facultatif)

Copie la configuration en cours vers la configuration de démarrage.

Configurer une CRL

Vous pouvez configurer manuellement les CRLs que vous avez téléchargées à partir des points de confiance. Le logiciel Cisco NX-OS cache les CRLs dans le bootflash (crt-store) du périphérique. Au cours de la vérification d’une certificat pair, le logiciel Cisco NX-OS vérifie la CRL à partir de l’AC émettrice uniquement si vous avez téléchargé la CRL vers le périphérique et que vous avez configuré la vérification de la révocation du certificat pour utiliser la CRL.

Avant de commencer

Vérifiez que vous avez activé la vérification de la révocation du certificat.

  Commande ou Action Objet
1

modèlede copie :[// serveur /[ url/]]bootflashnom de fichier : nom de fichier

Exemple :

switch# copier tftp:adminca.crl bootflash:adminca.crl

Télécharge la CRL depuis un serveur distant.

Pour l’argument du schéma, vous pouvez saisir tftp :, ftp :, scp :, ouftp :Inscription complète au programme de partenariat en SaaS L’argument du serveur est l’adresse ou le nom du serveur distant et l’argument de l’URL est le chemin vers le fichier source sur le serveur distant.

Les arguments du serveur , de l’URL et du nom de fichiersont sensibles à la cas.

2

configurer le terminal

Exemple :

commutateur# configurer le commutateur 
 du terminal (configuration) #

Entre en mode de configuration globale.

3

crypto ca crl demandenom bootflash :nom de fichier

Exemple :

switch(config)# crypto ca crl demande admin-ca bootflash:adminca.crl

Configure ou remplace la CRL actuelle par celle spécifiée dans le fichier.

4

Sortie

Exemple :

commutateur(config)# commutateur de 
 sortie #

Quitte le mode de configuration.

5

(Facultatif) afficher le nom crypto ca crl

Exemple :

switch# afficher crypto ca crl admin-ca
(Facultatif)

Affiche les informations CRL de l’AC.

6

(Facultatif) copier running-config démarrage-config

Exemple :

switch# copier running-config startup-config
(Facultatif)

Copie la configuration en cours vers la configuration de démarrage.

Supprimer des certificats de la configuration de l’AC

Vous pouvez supprimer les certificats d’identité et les certificats de l’AC qui sont configurés dans un point de confiance. Vous devez tout d’abord supprimer le certificat d’identité, suivi par les certificats de l’AC. Après avoir supprimé le certificat d’identité, vous pouvez dissocier le pair de clés RSA d’un point de confiance. Vous devez supprimer des certificats pour supprimer les certificats qui ont expiré ou qui sont révoqués, les certificats dont les pairs de touches (ou dont la confiance est soupçonnée d’être compromise) ou des CA n’est plus digne de confiance.

  Commande ou Action Objet
1

configurer le terminal

Exemple :

commutateur# configurer le commutateur 
 du terminal (configuration) #

Entre en mode de configuration globale.

2

nom du point de confiance cryptographie del’ac

Exemple :

switch(config)# commutateur admin-ca crypto ca trustpoint 
 admin-ca(config-trustpoint) #

Spécifie un point de confiance CA et entre le mode de configuration du point de confiance.

3

supprimer le certificat de l’ac

Exemple :

switch(config-trustpoint)# supprimer le ca-certificat

Supprime le certificat de l’AC ou la chaine de certificats.

4

supprimer le certificat [forcer]

Exemple :

switch(config-trustpoint)# supprimer le certificat

Supprime le certificat d’identité.

Vous devez utiliser l’option Forcer si le certificat d’identité que vous souhaitez supprimer est le dernier certificat d’une chaine de certificats ou uniquement un certificat d’identité dans le périphérique. Cette exigence garantit que vous ne supprimez pas le dernier certificat par erreur dans une chaine de certificats ou uniquement le certificat d’identité et que vous laissez les applications (telles que SSH) sans certificat à utiliser.

5

Sortie

Exemple :

commutateur(point de config-trust)# commutateur 
 de sortie(config) #

Quitte le mode de configuration du point de confiance.

6

(Facultatif) afficher les certificats crypto ca [ nom]

Exemple :

switch(config)# afficher les certificats crypto ca admin-ca
(Facultatif)

Affiche les informations du certificat de l’AC.

7

(Facultatif) copier running-config démarrage-config

Exemple :

switch(config)# copier running-config startup-config
(Facultatif)

Copie la configuration en cours vers la configuration de démarrage.

Suppression des paires de touches RSA d’un périphérique Cisco NX-OS

Vous pouvez supprimer les paires de clés RSA d’un périphérique Cisco NX-OS si vous pensez que les paires de clés RSA ont été compromises d’une manière ou d’une autre et ne devraient plus être utilisées.


Après avoir supprimé les pairs de clés RSA d’un périphérique, demandez à l’administrateur de l’AC de révoquer les certificats de votre périphérique dans l’AC. Vous devez fournir le mot de passe de défi-défi que vous avez créé lorsque vous avez initialement demandé les certificats.

  Commande ou Action Objet
1

configurer le terminal

Exemple :

commutateur# configurer le commutateur 
 du terminal (configuration) #

Entre en mode de configuration globale.

2

crypto key zeroize rsalabel

Exemple :

switch(config)# cryptograph key zeroize rsa MyKey

Supprime le pair de touches RSA.

3

Sortie

Exemple :

commutateur(config)# commutateur de 
 sortie #

Quitte le mode de configuration.

4

(Facultatif) afficher crypto key mypubkey rsa

Exemple :

switch# afficher crypto key mypubkey rsa
(Facultatif)

Affiche la configuration des paires de touches RSA.

5

(Facultatif) copier running-config démarrage-config

Exemple :

switch# copier running-config startup-config
(Facultatif)

Copie la configuration en cours vers la configuration de démarrage.

Vérifier la configuration PKI

Pour afficher les informations de configuration PKI, effectuez l’une des tâches suivantes :

Commande

Objet

afficher crypto key mypubkey rsa

Affiche les informations concernant les clés publiques RSA générées sur le périphérique Cisco NX-OS.

afficher les certificats crypto de l’ac

Affiche les informations sur l’AC et les certificats d’identité.

afficher crypto ca crl

Affiche les informations sur les CRLs de l’AC.

afficher les points de confiance crypto-ca

Affiche des informations sur les points de confiance de l’AC.

Exemples de configuration pour PKI

Cette section montre des exemples des tâches que vous pouvez utiliser pour configurer les certificats et les CRLs sur les périphériques Cisco NX-OS en utilisant un serveur de certificat Microsoft Windows.


Vous pouvez utiliser n’importe quel type de serveur de certificat pour générer des certificats numériques. Vous n’êtes pas limité à utiliser le serveur de certificat Microsoft Windows.

Configurer les certificats sur un périphérique Cisco NX-OS

Pour configurer les certificats sur un périphérique Cisco NX-OS, suivez ces étapes :

1

Configurez l’FDQN du périphérique.

switch# configurer les commandes de configuration du terminal Entrée, une par ligne.  Se termine par CNTL/Z. 
 commutateur(config)# nom d’hôte Périphérique-1 Périphérique-1(config) #

2

Configurez le nom de domaine DNS pour le périphérique.

Périphérique-1(config)# nom de domaine ip cisco.com

3

Créez un point de confiance.

Périphérique-1(config)# crypto ca trustpoint myCA Device-1(config-trustpoint)# quitter Périphérique-1(config)#  afficher le point de confiance des cryptographies de l’ac : monCA ; Clé:
Méthodes de révocation :  Lcr

4

Créez un pair de clé RSA pour le périphérique.

Périphérique-1(config)# crypto key generate rsa label myKey exportable mod cryptographs 1024 Device-1(config)# afficher le label de clé cryptographique mypubkey rsa : Taille de 
 la clé myKey : 1024 
 exportable : oui

5

Associez la clé RSA au point de confiance.

Périphérique-1(config)# crypto ca trustpoint myCA Device-1(config-trustpoint)# rs cryptographypair myKey Device-1(config-trustpoint)# quitter Périphérique-1(config)#  afficher le point de confiance crypto ca : monCA ; Clé: Méthodes de révocation MyKey 
 :  Lcr

6

Téléchargez le certificat de l’AC à partir de l’interface Web du service de certificat Microsoft.

7

Authentifier l’AC que vous souhaitez inscrire au point de confiance.

Périphérique-1(config)# crypto ca authentifier mon entrée monCA (couper &coller) certificat de l’AC  (chaine) au format PEM ; 
 end the input with a line containing only END OF INPUT : 
 -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea NBG7E0oN66zex0EOEfG1Vs6mXp1//w== -----END CERTIFICATE----- FIN DE LA/les empreinte(s) d’ENTRÉE : Empreinte MD5 =65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Acceptez-vous ce 
 certificat ? [yes/no] :y  Device-1(config)# afficher les certificats crypto ca Trustpoint : certificat de 
 l’AC myCA 0 :
subject= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ 
 L=Bangalore/O=Yourcompany/OU=nettorage/CN=Aparna CA 
 issuer= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ 
 L=Bangalore/O=Yourcompany/OU=nettorage/CN=Aparna CA 
 serial=0560D289ACB41994F4912258CAD197A 
 notBefore=322:22:22 46:37 2005 GMT 
 notAfter=3 mai 22:55:17 2007 GMT 
 MD5 Fingerprint=65:84:9A:27:5:71:03:33:9C:12:23:92:38:6F:78:12 
 purposes: ike serveur sslserver

8

Générez un certificat de demande à utiliser pour vous inscrire à un point de confiance.

Périphérique-1(config)# cryptographie inscription myCA  Créer la demande de certificat ..
 Créez un mot de passe de défi-accès. Vous devrez fournir ce mot de passe verbalement à l’administrateur de l’AC 
  afin de révoquer votre certificat.
  Pour des raisons de sécurité votre mot de passe ne sera pas enregistré dans la configuration.
  Veuillez en noter une.
  Mot de passe : nbv123  Le nom du sujet dans le certificat sera : Device-1.cisco.com inclure  le numéro de série de commutateur dans le nom du sujet ? [oui/non] : non  Inclure une adresse IP dans le nom du sujet [oui/non] : adresse ip oui : 10.10.1.1 La  demande de certificat s’affichera...
-----BEGIN CERTIFICATE REQUEST----- 
 MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ 
 KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 
 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y 
 P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S 
 VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ 
 DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ 
 KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt 
 PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 
 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= 
 -----END CERTIFICATE REQUEST-----

9

Demander un certificat d’identité à partir de l’interface Web de Microsoft Certificate Service.

10

Importer le certificat d’identité.

Périphérique-1(config)# cryptographie importer le certificat de monCA (couper et coller) le certificat au format PEM :
CERTIFICAT -----BEGIN----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH AQEfjb8MDsGCCsGAQFbzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnjvbgwvc3Nl LTA4X0FwyXJuy SUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZFbL1xcc3NLTA4 XENlcnRFbnJvbGxcc3NLTA4XFwyXJuySUyMENBLmNyd NBBgkqhkiG9w0BAQF AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcBCTgrpnTqVpPyscriptsyflw E36cIScript4WsExREqxbTk8ycx7V5o= -----END CERTIFICATE----- device-1(config)# quitter  le périphérique-1 #

11

Vérifiez la configuration du certificat.

12

Enregistrer la configuration du certificat dans la configuration de démarrage.

Télécharger un certificat de l’AC

Pour télécharger un certificat de l’AC à partir de l’interface Web des services de certificat Microsoft, suivez ces étapes :

1

À partir de l’interface Web des Services de certificat Microsoft, cliquez sur Récupérer le certificat de l’AC ou la tâche de révocation de certificat et cliquez sur Suivant.

2

À partir de la liste d’affichage, choisissez le fichier du certificat de l’AC à télécharger dans la liste affichée. Puis cliquez sur Base 64 encodé et cliquez sur Télécharger le certificat de l’AC.

3

Cliquez sur Ouvrir dans la file Download boite de dialogue.

4

Dans la boite de dialogue certificat, cliquez sur Copier dans le fichier et cliquez sur OK.

5

À partir de la boite de dialogue’assistant d’exportation de certificat, sélectionnez le code X.509 (CER) de base 64 et cliquez sur Suivant .

6

Dans le nom du fichier : dans la zone de texte de l’Assistant d’exportation boite de dialogue certificat, entrez le nom du fichier de destination et cliquez sur Suivant.

7

Dans l’assistant d’exportation boite de dialogue certificat, cliquez sur Terminer.

8

Saisissez la commande de type Microsoft Windows pour afficher le certificat de l’AC stocké au format de base 64 (PEM).

Demander un certificat d’identité

Pour demander un certificat d’identification à partir d’un serveur de certificat Microsoft en utilisant une demande de signature de certificat PKCS#12 (CRS), suivez ces étapes :

1

À partir de l’interface Web des Services de certificat Microsoft, cliquez sur Demander un certificat et cliquez sur Suivant.

2

Cliquez sur Demande avancée et cliquez sur Suivant.

3

Cliquez sur Envoyer une demande de certificat en utilisant un fichier PKCS#10 avec encodage base64 ou une demande de renouvellement en utilisant un fichier PKCS#7 avec encodage base64 puis cliquez sur Suivant .

4

Dans la zone de texte Demande enregistrée, collez la demande de certificat PKCS#10 de base64 et cliquez sur Suivant. La demande de certificat est copiée à partir de la console du périphérique Cisco NX-OS.

5

Attendez un ou deux jours jusqu’à ce que le certificat soit délivré par l’administrateur de l’AC.

6

Veuillez noter que l’administrateur de l’AC approuve la demande de certificat.

7

À partir de l’interface Web des Services de certificat Microsoft, cliquez sur Vérifier un certificat en attente et cliquez sur Suivant.

8

Choisissez la demande de certificat que vous souhaitez vérifier et cliquez sur Suivant.

9

Cliquez sur Base 64 encodé et cliquez sur Télécharger le certificat de l’AC.

10

Dans la boite de dialogue téléchargement de fichier, cliquez sur Ouvrir.

11

Dans la zone Certificat, cliquez sur l’onglet Détails puis cliquez sur Copier dans le fichier.... Dans la boite de dialogue Exportation du certificat, cliquez sur Base-64 encodé X.509 (. CER), puis cliquez sur Suivant .

12

Dans le nom du fichier : dans la zone de texte de l’Assistant d’exportation boite de dialogue certificat, entrez le nom du fichier de destination et cliquez sur Suivant.

13

Cliquez sur Terminé.

14

Saisissez la commande de type Microsoft Windows pour afficher le certificat d’identité au format de code de base64.

Révocation d’un certificat

Pour révoquer un certificat en utilisant le programme d’administrateur de Microsoft CA, suivez ces étapes :

1

À partir de l’arborescence de l’autorité de certification, cliquez sur le dossier Certificats délivrés. Dans la liste, faites un clic droit sur le certificat que vous souhaitez révoquer.

2

Choisissez toutes les tâches que > Révoquer le certificat.

3

À partir de la Liste déroulante code Raison, choisissez une raison de la révocation et cliquez sur Oui.

4

Cliquez sur le dossier Certificats révoqués pour lister et vérifier la révocation du certificat.

Générer et publier la CRL

Pour générer et publier la CRL à l’aide du programme d’administrateur de Microsoft CA, suivez les étapes suivantes :

1

À partir de l’écran Autorité de certification, choisissez Action > toutes les tâches > Publier.

2

Dans la liste de révocation des certificats boite de dialogue, cliquez sur Oui pour publier la dernière CRL.

Télécharger la CRL

Pour télécharger la CRL à partir du site Web de l’AC Microsoft, suivez ces étapes :

1

À partir de l’interface Web des Services de certificat Microsoft, cliquez sur Récupérer le certificat de l’AC ou la liste de révocation de certificat et cliquez sur Suivant.

2

Cliquez sur Télécharger la dernière liste de révocation decertificats .

3

Dans la file d’boite de dialogue, cliquez sur Enregistrer.

4

Dans le bouton Enregistrer sous boite de dialogue, saisissez le nom du fichier de destination et cliquez sur Enregistrer.

5

Entrez la commande du type Microsoft Windows pour afficher la CRL.

Importer la CRL

Pour importer la CRL vers le point de confiance correspondant à l’AC, suivez ces étapes :

1

Copiez le fichier CRL dans la barre de démarrage du périphérique Cisco NX-OS.

Périphérique-1# copier tftp:apranaCA.crl bootflash:aparnaCA.crl

2

Configurez la CRL.


Périphérique-1# configurer le périphérique du  terminal-1(config)# crypto ca crl demande monCA bootflash:aparnaCA.crl Périphérique-1(config) #

3

Afficher le contenu de la CRL.


Périphérique-1(config)# afficher crypto ca crl myCA Trustpoint : CRL 
 MyCA :
Liste de révocation de certificats (CRL) :
        Algorithme de signature de la version 2 (0x1) 
        : Émetteur sha1WithRSAEncryption 
        : /emailAddress=admin@yourcompany.com/C=IN/ST=Karnatak dernière 
 mise à jour de votre société/OU=nettorage/CN=Aparna CA 
        : 12 nov 04:36:04 2005 GMT 
        Prochaine mise à jour : 19 nov 16:56:04 2005 Gmt 
        Extensions CRL :
            Identificateur de la clé d’autorité X509v3 :
            keyid :27:28:F2:46:83:1B:AC:23:4C:45:4D:8E:C9:18:50:1.3.6.1.4.1.311.21.1 
            :
                ...
Certificats révoqués :
    Numéro de série : 611B09A1000000002 Date 
        de révocation : 16 août 21:52:19 2005 Numéro de 
 série GMT : 4CDE464E0000000003 
        Date de révocation : 16 août 21:52:29 2005 Numéro de 
    série GMT : 4CFC2B42000000004 Date 
        de révocation : 16 août 21:52:41 2005 Numéro de série 
    GMT : 6C699EC2000000005 Date 
        de révocation : 16 août 21:52:52 2005 Numéro de série 
    GMT : 6CCF7DDC0000000006 
        Date de révocation : 8 juin 00:12:04 2005 Numéro de série 
    GMT : 70CC4FFF0000000007 
        Date de révocation : 16 août 21:53:15 2005 Numéro de série 
    GMT : 4D9B1116000000008 Date 
        de révocation : 16 août 21:53:15 2005 Numéro de série 
    GMT : 52A80230000000009 Date 
        de révocation : 27 juin 23:47:06 2005 GMT 
        Extensions d’entrée CRL :
            Code de la raison X509v3 CRL :
            Numéro de série 
 de compromis de l’AC : 5349AD4600000000A Date 
        de révocation : 27 juin 23:47:22 2005 GMT 
        Extensions d’entrée CRL :
            Code de la raison X509v3 CRL :
            Numéro de série 
 de compromis de l’AC : 53BD173C000000000B 
        Date de révocation : 4 juil. 18:04:01 2005 GMT 
        Extensions d’entrée CRL :
            Code de la raison X509v3 CRL :
            Numéro de série de 
 la attente du certificat : 591E7SE000000000C 
        Date de révocation : 16 août 21:53:15 2005 Numéro de série 
    GMT : 5D3FD52E00000000D Date 
        de révocation : 29 juin 22:07:25 2005 GMT Extensions d’entrée 
        CRL :
            Code de la raison X509v3 CRL :
            Numéro de série 
 de compromis clé : 5DAB7713000000000E 
        Date de révocation : 14 juil. 00:33:56 2005 Numéro de 
    série GMT : 5DAE53CD000000000F 
        Date de révocation : 16 août 21:53:15 2005 Numéro de série 
    GMT : 5DB140D30000000010 
        Date de révocation : 16 août 21:53:15 2005 Numéro de série 
    GMT : 5E2D7C1B0000000011 
        Date de révocation : 6 juil. 21:12:10 2005 GMT Extensions d’entrée 
        CRL :
            Code de la raison X509v3 CRL :
            Cessation d’opération 
 Numéro de série : 16DB4F8F0000000012 
        Date de révocation : 16 août 21:53:15 2005 Numéro de série 
    GMT : 261C392400000013 
        Date de révocation : 16 août 21:53:15 2005 Numéro de série 
    GMT : 262B5202000000014 Date 
        de révocation : 14 juil. 00:33:10 2005 Numéro de 
    série GMT : 2634C7F2000000015 Date 
        de révocation : 14 juil. 00:32:45 2005 Numéro de 
    série GMT : 2635B000000000016 Date 
        de révocation : 14 juil. 00:31:51 2005 Numéro de 
    série GMT : 26485040000000017 Date 
        de révocation : 14 juil. 00:32:25 2005 Numéro de série 
    GMT : 2A276357000000018 Date 
 de révocation : 16 août 21:53:15 2005 Numéro de série 
    GMT : 3F88CBF7000000019 Date 
        de révocation : 16 août 21:53:15 2005 Numéro de série 
    GMT : 6E4B5F5F000000001A 
        Date de révocation : 16 août 21:53:15 2005 Numéro de série 
    GMT : 725B89D800000001 Date de révocation de 
        laB : 16 août 21:53:15 2005 Numéro de série 
    GMT : 735A8878000000001C 
        Date de révocation : 16 août 21:53:15 2005 Numéro de série 
    GMT : 148511C700000001D Date 
        de révocation : 16 août 21:53:15 2005 Numéro de série 
    GMT : 14A71701000000001E 
        date de révocation : 16 août 21:53:15 2005 Numéro de série 
    GMT : 14FC45B5000000001F 
        Date de révocation : 17 août 18:30:42 2005 Numéro de 
    série GMT : 486CE80B0000000020 
        Date de révocation : 17 août 18:30:43 2005 Numéro de série 
    GMT : 4CA4A3AA0000000021 
        Date de révocation : 17 août 18:30:43 2005 Numéro de série 
    GMT : 1AA55C8E000000002F 
        Date de révocation : 5 sept. 17:07:06 2005 Numéro de 
    série GMT : 3F0845DD000000003F 
        Date de révocation : 8 sept. 20:24:32 2005 Numéro de série 
    GMT : 3F619B7E0000000042 
        Date de révocation : 8 sept. 21:40:48 2005 Numéro de 
    série GMT : 6313C4630000000052 
        Date de révocation : 19 sept. 17:37:18 2005 Numéro de 
    série GMT : 7C3861E3000000060 Date 
        de révocation : 20 sept. 17:52:56 2005 Numéro de 
    série GMT : 7C6EE3510000000061 
        Date de révocation : 20 sept. 18:52:30 2005 Numéro de 
    série GMT : 0A338EA1000000074 Date <-- Revoked identity certificate 
 de révocation : Nov 12 04:34:42 2005 GMT 
    Signature Algorithm: sha1WithRSAEncryption 
        0b:cb:dd:43:0a:b8:62:1e:80:95:06:6f:4d:ab:0c:d8:8e:32:
        44:8e:a7:94:97:af:02:b9:a6:9c:14:fd:eb:90:cf:18:c9:96 :
        29:bb:57:37:d9:1f:d5:bd:4e:9a:4b:18:2b:00:2f:d2:6e:c1 :
        1a:9f:1a:49:b7:9c:58:24:d7:72


 

Le certificat d’identité du périphérique qui a été révoqué (numéro de série 0A338EA10000000074) est listé à la fin.