Configurazione di PKI

Questo capitolo contiene le seguenti sezioni:

Informazioni su PKI

In questa sezione vengono fornite informazioni su PKI.

CA e certificati digitali

Le autorità di certificazione (CA) gestiscono le richieste di certificati e emettere certificati a entità partecipanti come ospiti, dispositivi di rete o utenti. Le CA forniscono una gestione centralizzata delle chiavi per gli enti partecipanti.

Firme digitali, basate sulla crittografia a chiave pubblica, autentica in digitale i dispositivi e i singoli utenti. Nella crittografia a chiave pubblica, come il sistema di crittografia RSA, ciascun dispositivo o utente dispone di una coppia di chiavi contenente sia una chiave privata che una chiave pubblica. La chiave privata viene conservata privata ed è nota solo al dispositivo o all'utente in uso. Tuttavia, la chiave pubblica è nota a tutti. Qualsiasi elemento crittografato con una delle chiavi può essere decrittografato con l'altro. Una firma viene creata quando i dati vengono crittografati con la chiave privata del mittente. Il destinatario verifica la firma decrittografando il messaggio con la chiave pubblica del mittente. Questo processo si basa sul ricevitore che dispone di una copia della chiave pubblica del mittente e sapere con un'alta approvazione che in realtà appartiene al mittente e non a qualcuno che si accorge di essere il mittente.

I certificati digitali collegano la firma digitale al mittente. Un certificato digitale contiene informazioni per identificare un utente o un dispositivo, come nome, numero di serie, società, reparto o indirizzo IP. Contiene anche una copia della chiave pubblica dell'entità. La CA che firma il certificato è una terza parte che il destinatario considera esplicitamente attendibile per la convalida delle identità e per la creazione di certificati digitali.

Per convalidare la firma della CA, il destinatario deve prima conoscere la chiave pubblica della CA. Solitamente, questo processo viene gestito fuori banda o attraverso un'operazione eseguita all'installazione. Ad esempio, la maggior parte dei browser Web è configurata con le chiavi pubbliche di diverse CA per impostazione predefinita.

Modello di attendibilità, punti di attendibilità e CA di identità

Il modello di attendibilità PKI è gerarchico con più CA affidabili configurabili. È possibile configurare ciascun dispositivo partecipante con un elenco di CA attendibili in modo che un certificato di peering ottenuto durante lo scambio di protocollo di sicurezza possa essere autenticato se rilasciato da una delle CA locali attendibili. Il software Cisco NX-OS memorizza in locale l'certificato radice autofirmata dell'autorità di certificazione attendibile (o catena di certificati per un'AUTORITÀ di certificazione subordinata). Il processo per ottenere in modo sicuro un'autorità di certificazione attendibile certificato radice (o l'intera catena in caso di una CA subordinata) e memorizzarla in locale è denominata autenticazione CA.

Le informazioni su una CA attendibile configurata sono denominate punto di attendibilità e la CA stessa è denominata CA punto diattendibilità. Queste informazioni sono costituite da un certificato CA (o da una catena di certificati in caso di una CA subordinata) e da informazioni di controllo della revoca dei certificati.

Il dispositivo Cisco NX-OS può anche eseguire l'iscrizione a un punto di attendibilità per ottenere un certificato di identità da associare a una coppia di chiavi. Questo punto di attendibilità è denominato CA di identità.

Coppie di chiavi RSA e certificati di identità

È possibile ottenere un certificato di identità generando una o più coppie di chiavi RSA e associando ciascuna coppia di chiavi RSA a una CA di punto di attendibilità in cui il dispositivo Cisco NX-OS intende eseguire l'iscrizione. Il dispositivo Cisco NX-OS richiede una sola identità per CA, costituita da una coppia di chiavi e un certificato di identità per CA.

Il software Cisco NX-OS consente di generare coppie di chiavi RSA con una dimensione di chiave configurabile (o modulus). La dimensione predefinita della chiave è 512. È anche possibile configurare un'etichetta di coppia di chiavi RSA. L'etichetta della chiave predefinita è la nome di dominio completo (nome di dominio completo).

L'elenco seguente riepiloga la relazione tra punti di trust, coppie di chiavi RSA e certificati di identità:

  • Un punto di attendibilità corrisponde a una specifica CA che il dispositivo Cisco NX-OS considera attendibile per la verifica certificato di peering qualsiasi applicazione (ad esempio, SSH).

  • Un dispositivo Cisco NX-OS può avere molti punti di fiducia e tutte le applicazioni sul dispositivo possono considerarsi attendibili un certificato di peering emesso da una delle CA dei punti di attendibilità.

  • Un punto di attendibilità non è limitato a un'applicazione specifica.

  • Un dispositivo Cisco NX-OS si iscrive con la CA corrispondente al punto di trust per ottenere un certificato di identità. È possibile eseguire l'iscrizione del dispositivo con più punti di attendibilità; ciò significa che è possibile ottenere un certificato di identità separato da ciascun punto di attendibilità. I certificati di identità vengono utilizzati dalle applicazioni in base ai scopi specificati nel certificato dalla CA di emissione. Lo scopo di un certificato viene memorizzato nel certificato come estensione di certificato.

  • Quando si esegue l'iscrizione con un punto di attendibilità, è necessario specificare una coppia di chiavi RSA da certificati. Questa coppia di chiavi deve essere generata e associata al punto di trust prima di generare la richiesta di iscrizione. L'associazione tra il punto di attendibilità, la coppia di chiavi e il certificato di identità è valida fino a quando non viene rimosso esplicitamente eliminando il certificato, la coppia di chiavi o il punto di trust.

  • Il nome del soggetto nel certificato di identità è il nome di dominio completo per il dispositivo NX-OS Cisco.

  • È possibile generare una o più coppie di chiavi RSA su un dispositivo e ciascuna può essere associata a uno o più punti di attendibilità. Tuttavia, non è possibile associare più di una coppia di chiavi a un punto di attendibilità; ciò significa che è consentito un solo certificato di identità da una CA.

  • Se il dispositivo Cisco NX-OS ottiene più certificati di identità (ciascuno da una CA distinta), il certificato che un'applicazione seleziona per utilizzare in uno scambio di protocollo di sicurezza con un peer è specifico per l'applicazione.

  • Non è necessario indicare uno o più punti di trust per un'applicazione. Qualsiasi applicazione può utilizzare qualsiasi certificato emesso da qualsiasi punto di fiducia purché lo scopo del certificato soddisfi i requisiti dell'applicazione.

  • Non è necessario associare più di un certificato di identità di un punto di trust o più di una coppia di chiavi a un punto di trust. Una CA certifica una determinata identità (o nome) una sola volta e non emette più certificati con lo stesso nome. Se sono necessari più certificati di identità per una CA e la CA consente più certificati con gli stessi nomi, è necessario definire un altro punto di attendibilità per la stessa CA, associare un'altra coppia di chiavi e certificati.

Supporto per più CA affidabili

Il dispositivo Cisco NX-OS può considerarsi attendibile più CA configurando più trust point e associando ciascuna CA distinta. Con più CA affidabili, non è necessario effettuare l'iscrizione di un dispositivo con la CA specifica che ha emesso il certificato a un peer. Al contrario, è possibile configurare il dispositivo con più CA attendibili attendibili da parte del peer. Il dispositivo Cisco NX-OS può quindi utilizzare una CA attendibile configurata per verificare i certificati ricevuti da un peer non emesso dalla stessa CA definita nell'identità del dispositivo peer.

Supporto iscrizione PKI

L'iscrizione è il processo per ottenere un certificato di identità per il dispositivo utilizzato per applicazioni come SSH. Si verifica tra il dispositivo che richiede il certificato e l'autorità di certificazione.

Il dispositivo Cisco NX-OS esegue le seguenti operazioni quando si esegue il processo di iscrizione PKI:

  • Genera una coppia di chiavi privata e pubblica RSA sul dispositivo.

  • Genera una richiesta di certificato in formato standard e la inoltra alla CA.


All'amministratore CA potrebbe essere necessario approvare manualmente la richiesta di iscrizione sul server CA, quando la richiesta viene ricevuta dalla CA.

  • Riceve il certificato emesso nuovamente dalla CA, firmato con la chiave privata della CA.

  • Scrive il certificato in un'area di storage nonvolata sul dispositivo (bootflash).

Iscrizione manuale mediante Taglia e incolla

Il software Cisco NX-OS supporta il recupero e l'iscrizione dei certificati utilizzando operazioni di copia e incolla manuali. Per l'iscrizione da copiare e incollare, occorre tagliare e incollare le richieste di certificato e i certificati risultanti tra il dispositivo e la CA.

È necessario effettuare le seguenti operazioni quando si utilizza il comando taglia e incolla nel processo di iscrizione manuale:

  • Creare una richiesta di certificato di iscrizione, visualizzata dal dispositivo NX-OS Cisco nel modulo di testo codificato base64.

  • Tagliare e incollare il testo della richiesta del certificato codificato in un messaggio e-mail o in un modulo Web e inviarlo alla CA.

  • Ricevere il certificato emesso (in formato testo codificato base64) dalla CA in un messaggio e-mail o in un download del browser Web.

  • Tagliare e incollare il certificato emesso nel dispositivo utilizzando la funzionalità di importazione del certificato.

Supporto per più coppie di chiavi RSA e CA di identità

Più CA di identità consentono l'iscrizione del dispositivo con più punti di attendibilità, determinando più certificati di identità, ciascuno da una CA distinta. Con questa funzione, il dispositivo Cisco NX-OS può partecipare a SSH e altre applicazioni con molti peer utilizzando certificati emessi da CA che sono accettabili per tali colleghi.

La funzione di accoppiamento delle chiavi RSA multipla consente al dispositivo di mantenere una coppia di chiavi distinta per ciascuna CA con cui è iscritto. Può corrispondere ai requisiti dei criteri per ciascuna CA senza conflitti con i requisiti specificati dalle altre CA, come la lunghezza della chiave. Il dispositivo può generare più coppie di chiavi RSA e associare ciascuna coppia di chiavi a un punto di trust distinto. Successivamente, quando si esegue l'iscrizione a un punto di attendibilità, la coppia di chiavi associata viene utilizzata per creare la richiesta di certificato.

Verifica certificato peer

Il supporto PKI su un dispositivo NX-OS Cisco può verificare i certificati di peer. Il software Cisco NX-OS verifica i certificati ricevuti da colleghi durante gli scambi di sicurezza per le applicazioni, come SSH. Le applicazioni verificano la validità dei certificati peer. Il software Cisco NX-OS effettua le seguenti operazioni quando si verificano certificati di peering:

  • Verifica che il certificato di peering stato emesso da una delle CA locali attendibili.

  • Verifica che il certificato di peering valido (non scaduto) rispetto all'ora corrente.

  • Verifica che il certificato di peering non sia stato ancora revocato dalla CA di emissione.

Per il controllo della revoca, il software Cisco NX-OS supporta l'elenco di revoca dei certificati (CRL). Un'autorità di certificazione del punto di attendibilità può utilizzare questo metodo per verificare che il certificato di peering non sia stato revocato.

Controllo revoca certificato

Il software Cisco NX-OS può controllare lo stato di revoca dei certificati CA. Le applicazioni possono utilizzare i meccanismi di controllo di revoca nell'ordine specificato. Le scelte sono CRL, nessuno o una combinazione di questi metodi.

Supporto CRL

Le CA mantengono gli elenchi di revoca dei certificati (CRL) per fornire informazioni sui certificati revocati prima della data di scadenza. Le CA pubblicano i CRL in un repository e forniscono l'URL pubblico per il download in tutti i certificati emessi. Un client che verifica un certificato di peering può ottenere l'ultimo CRL dalla CA di emissione e utilizzarlo per determinare se il certificato è stato revocato. Un client può memorizzare nella cache i CRL di alcune o tutte le CA attendibili in locale e utilizzarli in seguito, se necessario, fino alla scadenza dei CA.

Il software Cisco NX-OS consente la configurazione manuale dei CRL precaricati per i trust point, quindi li memorizza nella cache nel bootflash del dispositivo (cert-store). Durante la verifica di un certificato di peering, il software Cisco NX-OS controlla il CRL dalla CA di emissione solo se il CRL è già stato memorizzato nella cache in locale e il controllo di revoca è configurato per l'uso del CRL. Altrimenti, il software Cisco NX-OS non esegue il controllo CRL e ritiene che il certificato non venga revocato, a meno che non siano stati configurati altri metodi di controllo della revoca.

Supporto di importazione ed esportazione per certificati e coppie di chiavi associate

Come parte del processo di autenticazione e iscrizione CA, il certificato CA subordinato (o catena di certificati) e i certificati di identità possono essere importati in formato PEM standard (base64).

È possibile esportare le informazioni complete sull'identità in un punto di fiducia in un file in formato standard PKCS#12 protetto da password. Può essere importato successivamente nello stesso dispositivo (ad esempio, in caso di arresto anomalo del sistema) o in un dispositivo sostitutivo. Le informazioni in un file PKCS#12 sono costituite dalla coppia di chiavi RSA, dal certificato di identità e dal certificato CA (o dalla catena).

Requisiti di licenza per PKI

La tabella seguente mostra i requisiti di licenza per questa funzione:

Prodotto

Requisito licenza

Sistema operativo Cisco NX

La funzionalità PKI non richiede alcuna licenza. Qualsiasi funzione non inclusa in un pacchetto di licenza viene fornita insieme alle immagini del sistema Cisco NX-OS e viene fornita gratuitamente. Per una descrizione dello schema di licenza Cisco NX-OS, vedere la Guida alla licenza Cisco NX-OS.

Linee guida e limitazioni per PKI

PKI presenta le seguenti linee guida e limitazioni di configurazione:

  • Il numero massimo di coppie di chiavi che è possibile configurare su un dispositivo Cisco NX-OS è 16.

  • Il numero massimo di trust point che è possibile dichiarare su un dispositivo Cisco NX-OS è 16.

  • Il numero massimo di certificati di identificazione che è possibile configurare su un dispositivo Cisco NX-OS è 16.

  • Il numero massimo di certificati in una catena di certificati CA è 10.

  • Il numero massimo di punti di trust che è possibile eseguire per un'autenticazione per una CA specifica è 10.

  • I rollback di configurazione non supportano la configurazione PKI.

  • Il software Cisco NX-OS non supporta OSCP.


Se si conosce Cisco IOS CLI, tenere presente che i comandi Cisco NX-OS per questa funzione potrebbero essere diversi dai comandi Cisco IOS utilizzati.

Impostazioni predefinite per PKI

Questa tabella elenca le impostazioni predefinite per i parametri PKI.

Tabella 1. Parametri PKI predefiniti

Parametri

Predefinito

Punto di attendibilità

Nessuno

Coppia chiave RSA

Nessuno

Etichetta coppia di chiavi RSA

Connessione nome di dominio completo

Modulus di accoppiamento chiavi RSA

512

Accoppiamento chiavi RSA esportabile

Enabled

Metodo di controllo revoca

Crl

Configurazione delle CA e dei certificati digitali

In questa sezione vengono descritte le attività che occorre eseguire per consentire l'interoperabilità delle CA e dei certificati digitali sul dispositivo Cisco NX-OS.

Configurazione del nome host e del nome di dominio IP

È necessario configurare il nome host e il nome dominio IP del dispositivo, se non sono stati ancora configurati perché il software Cisco NX-OS utilizza il nome di dominio completo (nome di dominio completo) del dispositivo come oggetto nel certificato di identità. Inoltre, il software Cisco NX-OS utilizza il nome di dominio completo dispositivo come etichetta di chiave predefinita, se non si specifica un'etichetta durante la generazione di una coppia di chiavi. Ad esempio, un certificato denominato DeviceA.example.com si basa sul nome host del dispositivo di Dispositivo A e sul nome di dominio IP del dispositivo example.com.


Se si modifica il nome host o il nome del dominio IP dopo la generazione del certificato, il certificato può essere invalidato.

  Comando o azione Scopo
1

configura terminale

Esempio:

switch# configura switch di 
 terminale (config) #

Attiva la modalità di configurazione globale.

2

nomehost

Esempio:

switch(config)# nome host DeviceA

Configura il nome host del dispositivo.

3

ip nome-dominio [use-frameworkf-name]

Esempio:

DeviceA(config)# nome dominio ip example.com

Configura il nome di dominio IP del dispositivo. Se non si specifica un nome NANF, il comando utilizza il valore predefinito ILF.

4

Uscita

Esempio:

switch(config)# 
 esci da switch #

Esce dalla modalità di configurazione.

5

(Opzionale) mostra ospiti

Esempio:

switch# mostra ospiti
(Opzionale)

Visualizza il nome del dominio IP.

6

(Opzionale) copia esecuzione-configurazione start-config

Esempio:

switch# copia esecuzione-configurazione start-config
(Opzionale)

Copia la configurazione in esecuzione nella configurazione di avvio.

Generazione di una coppia di chiavi RSA

È possibile generare una coppia di chiavi RSA per firmare e/o crittografare e decrittografare il carico utile di sicurezza durante gli scambi di protocollo di sicurezza per le applicazioni. È necessario generare la coppia di chiavi RSA prima di ottenere un certificato per il dispositivo.

  Comando o azione Scopo
1

configura terminale

Esempio:

switch# configura switch di 
 terminale (config) #

Attiva la modalità di configurazione globale.

2

crypto key generate rsa [labellabel-string ] [exportable ] [modulussize]

Esempio:

switch(config)# chiave di crittografia generate rsa esportabile

Genera una coppia di chiavi RSA. Il numero massimo di coppie di chiavi su un dispositivo è 16.

La stringa dell'etichetta è alfanumerica, sensibile a maiuscole e minuscole e presenta una lunghezza massima di 64 caratteri. La stringa dell'etichetta predefinita è il nome host nome di dominio completo nome dell'organizzatore, separati da un punto (.).

I valori modulus validi sono 512, 768, 1024, 1536 e 2048. La dimensione modulus predefinita è 512.


 

I criteri di sicurezza sul dispositivo Cisco NX-OS e sulla CA (in cui è pianificata l'iscrizione) devono essere considerati quando si esegue la gestione delle chiavi appropriate.

Per impostazione predefinita, la coppia di chiavi non è esportabile. È possibile esportare solo coppie di chiavi esportabili nel formato PKCS#12.


 

Non è possibile modificare l'esportabilità di una coppia di chiavi.

3

Uscita

Esempio:

switch(config)# 
 esci da switch #

Esce dalla modalità di configurazione.

4

(Opzionale) mostra chiave crittografata mypubkey rsa

Esempio:

switch# show crypto key mypubkey rsa (switch# mostra chiave crittografata mypubkey rsa)
(Opzionale)

Visualizza la chiave generata.

5

(Opzionale) copia esecuzione-configurazione start-config

Esempio:

switch# copia esecuzione-configurazione start-config
(Opzionale)

Copia la configurazione in esecuzione nella configurazione di avvio.

Creazione di un'associazione CA di punti di trust

È necessario associare il dispositivo Cisco NX-OS a un'autorità di certificazione per punto di trust.

Operazioni preliminari

Generare la coppia di chiavi RSA.

  Comando o azione Scopo
1

configura terminale

Esempio:

switch# configura switch di 
 terminale (config) #

Attiva la modalità di configurazione globale.

2

nome trustpointcrittografico

Esempio:

switch(config)# crypto ca trustpoint admin-ca 
 switch(config-trustpoint) #

Dichiara una CA per punto di attendibilità che il dispositivo deve considerarsi attendibile e inserisce la modalità di configurazione del punto di attendibilità.


 

Il numero massimo di punti di trust che è possibile configurare su un dispositivo è 16.

3

terminale iscrizione

Esempio:

switch(config-trustpoint)# terminale di iscrizione

Abilita l'iscrizione manuale del certificato da copiare e incollare. Il valore predefinito è abilitato.


 

Il software Cisco NX-OS supporta solo il metodo di copia e incolla manuale per l'iscrizione dei certificati.

4

etichetta rsakeypair

Esempio:

switch(config-trustpoint)# rsakeypair SwitchA

Specifica l'etichetta della coppia di chiavi RSA da associare a questo punto di attendibilità per l'iscrizione.


 

È possibile specificare solo una coppia di chiavi RSA per CA.

5

Uscita

Esempio:

switch(config-trustpoint)# exit 
 switch(config) #

Esce dalla modalità di configurazione del punto di attendibilità.

6

(Opzionale) mostra trustpoint crittografici

Esempio:

switch(config)# mostra trustpoint crittografici ca
(Opzionale)

Visualizza le informazioni sui punti di attendibilità.

7

(Opzionale) copia esecuzione-configurazione start-config

Esempio:

switch(config)# copy running-config startup-config
(Opzionale)

Copia la configurazione in esecuzione nella configurazione di avvio.

Autenticazione della CA

Il processo di configurazione dell'attendibilità di una CA viene completato solo quando la CA viene autenticata per il dispositivo NX-OS Cisco. È necessario autenticare il dispositivo NX-OS Cisco per la CA ottenendo il certificato autofirmato della CA in formato PEM, contenente la chiave pubblica della CA. Poiché il certificato della CA è autofirmato (la CA firma il proprio certificato), la chiave pubblica della CA deve essere autenticata manualmente contattando l'amministratore CA per confrontare le impronte digitali del certificato CA.


La CA che si sta autenticando non è una CA autofirmata quando è un CA subordinata a un'altra CA, che a sua volta può essere subordinata a un'altra CA, e così via, terminando a una CA autofirmata. Questo tipo di certificato CA è denominato catena di certificati CA della CA da autenticare. In questo caso, occorre inserire l'elenco completo dei certificati CA di tutte le CA nella catena di certificati durante l'autenticazione CA. Il numero massimo di certificati in una catena di certificati CA è 10.

Operazioni preliminari

Creare un'associazione con la CA.

Ottenere il certificato CA o la catena di certificati CA.

  Comando o azione Scopo
1

configura terminale

Esempio:

switch# configura switch di 
 terminale (config) #

Attiva la modalità di configurazione globale.

2

nome autenticazione crypto ca

Esempio:

switch(config)# crypto ca authenticate admin-ca 
 input (taglia e incolla) certificato CA (catena) in formato PEM; 
 end the input with a line containing only END OF INPUT : 
 -----BEGIN CERTIFICATE----- 
 MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB 
 kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO 
 MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE 
 ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD 
 QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN 
 AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth 
 cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG 
 A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN 
 AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI 
 OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E 
 BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ 
 GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs 
 L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv 
 bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB 
 BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea 
 NBG7E0oN66zex0EOEfG1Vs6mXp1//w== 
 -----END CERTIFICATE----- 
 END OF INPUT 
 Fingerprint(s): Impronte digitali MD5=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Accettare 
 questo certificato? [sì/no]: sì

Richiede di tagliare e incollare il certificato della CA. Utilizzare lo stesso nome utilizzato per assegnare la CA alla ca.

Il numero massimo di punti di trust che è possibile eseguire per l'autenticazione per una CA specifica è 10.


 

Per l'autenticazione CA subordinata, il software Cisco NX-OS richiede la catena completa di certificati CA che terminano con un'autenticazione autofirmata poiché la catena CA è necessaria per la verifica dei certificati e per l'esportazione del formato PKCS#12.

3

Uscita

Esempio:

switch(config)# 
 esci da switch #

Esce dalla modalità di configurazione.

4

(Opzionale) mostra trustpoint crittografici

Esempio:

switch# mostra trustpoint crittografici ca
(Opzionale)

Visualizza le informazioni CA dei punti di trust.

5

(Opzionale) copia esecuzione-configurazione start-config

Esempio:

switch# copia esecuzione-configurazione start-config
(Opzionale)

Copia la configurazione in esecuzione nella configurazione di avvio.

Configurazione dei metodi di controllo della revoca dei certificati

Durante lo scambio di sicurezza con un client (ad esempio, un utente SSH), il dispositivo Cisco NX-OS esegue la verifica del certificato del certificato di peering inviato dal client. Il processo di verifica può includere il controllo dello stato di revoca dei certificati.

È possibile configurare il dispositivo per controllare il CRL scaricato dalla CA. Il download di CRL e il controllo locale non generano traffico nella rete. Tuttavia, i certificati possono essere revocati tra i download e il dispositivo non è a conoscenza della revoca.

Operazioni preliminari

Autenticare la CA.

Accertarsi di aver configurato il CRL se si desidera utilizzare il controllo CRL.

  Comando o azione Scopo
1

configura terminale

Esempio:

switch# configura switch di 
 terminale (config) #

Attiva la modalità di configurazione globale.

2

nome trustpointcrittografico

Esempio:

switch(config)# crypto ca trustpoint admin-ca 
 switch(config-trustpoint) #

Specifica un'Autorità di certificazione per punti di trust e attiva la modalità di configurazione dei punti di trust.

3

revoca-check {crl [none ] | none}

Esempio:

switch(config-trustpoint)# revoca-check nessuno

Configura i metodi di controllo della revoca dei certificati. Il metodo predefinito è crl.

Il software Cisco NX-OS utilizza i metodi di revoca dei certificati nell'ordine specificato.

4

Uscita

Esempio:

switch(config-trustpoint)# exit 
 switch(config) #

Esce dalla modalità di configurazione del punto di attendibilità.

5

(Opzionale) mostra trustpoint crittografici

Esempio:

switch(config)# mostra trustpoint crittografici ca
(Opzionale)

Visualizza le informazioni CA dei punti di trust.

6

(Opzionale) copia esecuzione-configurazione start-config

Esempio:

switch(config)# copy running-config startup-config
(Opzionale)

Copia la configurazione in esecuzione nella configurazione di avvio.

Generazione delle richieste di certificato

È necessario generare una richiesta per ottenere i certificati di identità dalla CA del punto di attendibilità associata per ciascuna coppia di chiavi RSA del dispositivo. Successivamente, sarà necessario tagliare e incollare la richiesta visualizzata in un messaggio e-mail o in un modulo sito Web per l'Autorità di certificazione.

Operazioni preliminari

Creare un'associazione con la CA.

Ottenere il certificato CA o la catena di certificati CA.

  Comando o azione Scopo
1

configura terminale

Esempio:

switch# configura switch di 
 terminale (config) #

Attiva la modalità di configurazione globale.

2

nome iscrizione crypto ca

Esempio:

switch(config)# crypto ca enroll admin-ca 
 Creare la richiesta di certificato.
 Creare una password di conferma. Sarà necessario fornire verbalmente questa 
  password all'amministratore CA per revocare il certificato.
  Per motivi di sicurezza, la password non verrà salvata nella configurazione.
  Prendere nota.
  Password:nbv123 
 Il nome del soggetto nel certificato sarà: DeviceA.cisco.com 
 possibile includere il numero di serie dello switch nel nome del soggetto? [sì/no]: no 
 Includere un indirizzo IP nel nome del soggetto [sì/no]: sì 
 indirizzo IP:172.22.31.162 Viene visualizzata la 
 richiesta di certificato...
-----BEGIN CERTIFICATE REQUEST----- 
 MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ 
 KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 
 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y 
 P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S 
 VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ 
 DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ 
 KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt 
 PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 
 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= 
 -----END CERTIFICATE REQUEST-----

Genera una richiesta di certificato per una CA autenticata.


 

È necessario ricordare la password di conferma. Non viene salvato con la configurazione. È necessario immettere questa password se il certificato deve essere revocato.

3

Uscita

Esempio:

switch(config-trustpoint)# exit 
 switch(config) #

Esce dalla modalità di configurazione del punto di attendibilità.

4

(Opzionale) mostra certificati crittografico ca

Esempio:

switch(config)# mostra certificati ca di crittografia
(Opzionale)

Visualizza i certificati CA.

5

(Opzionale) copia esecuzione-configurazione start-config

Esempio:

switch(config)# copy running-config startup-config
(Opzionale)

Copia la configurazione in esecuzione nella configurazione di avvio.

Installazione di certificati di identità

È possibile ricevere il certificato di identità dalla CA via e-mail o attraverso un browser Web in formato testo codificato base64. È necessario installare il certificato di identità dalla CA tagliando e incollando il testo codificato.

Operazioni preliminari

Creare un'associazione con la CA.

Ottenere il certificato CA o la catena di certificati CA.

  Comando o azione Scopo
1

configura terminale

Esempio:

switch# configura switch di 
 terminale (config) #

Attiva la modalità di configurazione globale.

2

certificato nome importazione cryptoca

Esempio:

switch(config)# crypto ca importazione certificato 
 admin-ca input (taglia e incolla) certificato in formato PEM:
-----BEGIN CERTIFICATE----- 
 MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G 
 CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD 
 VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz 
 Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w 
 NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu 
 Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C 
 dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 
 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb 
 x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw 
 GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR 
 bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW 
 pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE 
 BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w 
 DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh 
 cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 
 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 
 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH 
 AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl 
 LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 
 XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF 
 AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw 
 E36cIZu4WsExREqxbTk8ycx7V5o= 
 -----END CERTIFICATE-----

Richiede di tagliare e incollare il certificato di identità per la CA denominata admin-ca.

Il numero massimo di certificati di identificazione che è possibile configurare su un dispositivo è 16.

3

Uscita

Esempio:

switch(config)# 
 esci da switch #

Esce dalla modalità di configurazione.

4

(Opzionale) mostra certificati crittografico ca

Esempio:

switch# mostra certificati ca di crittografia
(Opzionale)

Visualizza i certificati CA.

5

(Opzionale) copia esecuzione-configurazione start-config

Esempio:

switch# copia esecuzione-configurazione start-config
(Opzionale)

Copia la configurazione in esecuzione nella configurazione di avvio.

Verifica della persistenza delle configurazioni dei punti di trust tra riavvii

È possibile assicurarsi che la configurazione del punto di attendibilità permana per tutto il riavvio del dispositivo Cisco NX-OS.

La configurazione del punto di attendibilità è una normale configurazione del dispositivo Cisco NX-OS che permane su più riavvii di sistema solo se copiarla esplicitamente nella configurazione di avvio. I certificati, le coppie di chiavi e il CRL associato a un punto di attendibilità sono automaticamente persistenti se è già stata copiata la configurazione del punto di attendibilità nella configurazione di avvio. Al contrario, se la configurazione del punto di attendibilità non viene copiata nella configurazione di avvio, i certificati, le coppie di chiavi e il CRL associati non sono persistenti poiché richiedono la corrispondente configurazione del punto di attendibilità dopo un riavvio. Copiare sempre la configurazione in esecuzione nella configurazione di avvio per assicurarsi che i certificati configurati, le coppie di chiavi e i CRL siano persistenti. Inoltre, salvare la configurazione in esecuzione dopo aver eliminato un certificato o una coppia di chiavi per assicurarsi che le cancellazioni siano permanenti.

I certificati e il CRL associato a un punto di attendibilità diventano automaticamente persistenti quando importati (senza copiare esplicitamente la configurazione di avvio) se il punto di attendibilità specifico è già stato salvato nella configurazione di avvio.

Si consiglia di creare un backup protetto da password dei certificati di identità e salvarlo in un server esterno.


La copia della configurazione su un server esterno non include i certificati e le coppie di chiavi.

Esportazione delle informazioni di identità in formato PKCS 12

È possibile esportare il certificato di identità insieme alla coppia di chiavi RSA e al certificato CA (o all'intera catena nel caso di una CA subordinata) di un punto di trust in un file PKCS#12 a scopo di backup. È possibile importare il certificato e la coppia di chiavi RSA per recuperare da un arresto anomalo del sistema sul dispositivo o quando si sostituiscono i moduli del supervisore.


È possibile utilizzare solo il formato del nome file bootflash: quando si specifica l'URL di esportazione.

Operazioni preliminari

Autenticare la CA.

Installare un certificato di identità.

  Comando o azione Scopo
1

configura terminale

Esempio:

switch# configura switch di 
 terminale (config) #

Attiva la modalità di configurazione globale.

2

nome esportazione crypto ca pkcs12 bootflash:password nomefile

Esempio:

switch(config)# crypto ca export admin-ca pkcs12 bootflash:adminid.p12 nbv123

Esporta il certificato di identità e la coppia di chiavi associate e i certificati CA per una CA di punti di attendibilità. La password è alfanumerica, sensibile a maiuscole e minuscole e presenta una lunghezza massima di 128 caratteri.

3

Uscita

Esempio:

switch(config)# 
 esci da switch #

Esce dalla modalità di configurazione.

4

copia booflash:schemanomefile ://server / [url / ]nomefile

Esempio:

switch# copia bootflash:adminid.p12 tftp:adminid.p12

Copia il file in formato PKCS#12 su un server remoto.

Per l'argomento dello schema, è possibile immettere tftp:, ftp:, scp:, o sftp:. L'argomento del server è l'indirizzo o il nome del server remoto, e l'argomento URL è il percorso del file di origine sul server remoto.

Gli argomenti delserver, url e nome file sono sensibili a maiuscole e minuscole.

Importazione delle informazioni di identità in formato PKCS 12

È possibile importare il certificato e la coppia di chiavi RSA per recuperare da un arresto anomalo del sistema sul dispositivo o quando si sostituiscono i moduli del supervisore.


È possibile utilizzare solo il formato del nome file bootflash: quando si specifica l'URL di importazione.

Operazioni preliminari

Accertarsi che il punto di trust sia vuoto controllando che non sia associata alcuna coppia di chiavi RSA e che nessuna CA sia associata al punto di trust utilizzando l'autenticazione CA.

  Comando o azione Scopo
1

copiaschema :// server/ [url /]nomefilebootflash:nomefile

Esempio:

switch# copy tftp:adminid.p12 bootflash:adminid.p12

Copia il file in formato PKCS#12 dal server remoto.

Per l'argomento dello schema, è possibile immettere tftp:, ftp:, scp:, o sftp:. L'argomento del server è l'indirizzo o il nome del server remoto, e l'argomento URL è il percorso del file di origine sul server remoto.

Gli argomenti delserver, url e nome file sono sensibili a maiuscole e minuscole.

2

configura terminale

Esempio:

switch# configura switch di 
 terminale (config) #

Attiva la modalità di configurazione globale.

3

nome importazione crypto capksc12 bootflash:nomefile

Esempio:

switch(config)# crypto ca import admin-ca pkcs12 bootflash:adminid.p12 nbv123

Importa il certificato di identità e la coppia di chiavi associate e i certificati CA per la CA del punto di attendibilità.

4

Uscita

Esempio:

switch(config)# 
 esci da switch #

Esce dalla modalità di configurazione.

5

(Opzionale) mostra certificati crittografico ca

Esempio:

switch# mostra certificati ca di crittografia
(Opzionale)

Visualizza i certificati CA.

6

(Opzionale) copia esecuzione-configurazione start-config

Esempio:

switch# copia esecuzione-configurazione start-config
(Opzionale)

Copia la configurazione in esecuzione nella configurazione di avvio.

Configurazione di un CRL

È possibile configurare manualmente i CRL scaricati dai punti di attendibilità. Il software Cisco NX-OS memorizza nella cache i CRL nel bootflash (cert-store) del dispositivo. Durante la verifica di un certificato di peering, il software Cisco NX-OS controlla il CRL dalla CA di emissione solo se è stato scaricato il CRL sul dispositivo ed è stato configurato il controllo di revoca del certificato per utilizzare il CRL.

Operazioni preliminari

Assicurarsi di aver abilitato il controllo della revoca dei certificati.

  Comando o azione Scopo
1

copiaschema:[// server / [url/]]nomefilebootflash:nomefile

Esempio:

switch# copy tftp:adminca.crl bootflash:adminca.crl

Scarica il CRL da un server remoto.

Per l'argomento dello schema, è possibile immettere tftp:, ftp:, scp:, o sftp:. L'argomento del server è l'indirizzo o il nome del server remoto, e l'argomento URL è il percorso del file di origine sul server remoto.

Gli argomenti delserver, url e nome file sono sensibili a maiuscole e minuscole.

2

configura terminale

Esempio:

switch# configura switch di 
 terminale (config) #

Attiva la modalità di configurazione globale.

3

crypto ca crl nomerichiestabootflash:nomefile

Esempio:

switch(config)# crypto ca crl richiesta admin-ca bootflash:adminca.crl

Configura o sostituisce il CRL corrente con quello specificato nel file.

4

Uscita

Esempio:

switch(config)# 
 esci da switch #

Esce dalla modalità di configurazione.

5

(Opzionale) mostra nome crypto ca crl

Esempio:

switch# show crypto ca crl admin-ca
(Opzionale)

Visualizza le informazioni CA CRL.

6

(Opzionale) copia esecuzione-configurazione start-config

Esempio:

switch# copia esecuzione-configurazione start-config
(Opzionale)

Copia la configurazione in esecuzione nella configurazione di avvio.

Eliminazione di certificati dalla configurazione CA

È possibile eliminare i certificati di identità e i certificati CA configurati in un punto di attendibilità. È necessario prima eliminare il certificato di identità, seguito dai certificati CA. Dopo aver eliminato il certificato di identità, è possibile rimuovere la coppia di chiavi RSA da un punto di trust. È necessario eliminare i certificati per rimuovere i certificati scaduti o revocati, i certificati che sono stati compromessi (o che sospettano di essere compromessi) le coppie di chiavi o CA non più attendibili.

  Comando o azione Scopo
1

configura terminale

Esempio:

switch# configura switch di 
 terminale (config) #

Attiva la modalità di configurazione globale.

2

nome trustpointcrittografico

Esempio:

switch(config)# crypto ca trustpoint admin-ca 
 switch(config-trustpoint) #

Specifica un'Autorità di certificazione per punti di trust e attiva la modalità di configurazione dei punti di trust.

3

elimina certificato ca

Esempio:

switch(config-trustpoint)# elimina certificato ca

Elimina il certificato CA o la catena di certificati.

4

eliminazione certificato [force]

Esempio:

switch(config-trustpoint)# elimina certificato

Elimina il certificato di identità.

È necessario utilizzare l'opzione force (forza) se il certificato di identità che si desidera eliminare è l'ultimo certificato di una catena di certificati o solo un certificato di identità nel dispositivo. Questo requisito assicura che non si elimini erroneamente l'ultimo certificato in una catena di certificati o solo il certificato di identità e si eseguano le applicazioni (ad esempio SSH) senza un certificato da utilizzare.

5

Uscita

Esempio:

switch(config-trustpoint)# exit 
 switch(config) #

Esce dalla modalità di configurazione del punto di attendibilità.

6

(Opzionale) mostra certificati crittografico ca [ nome]

Esempio:

switch(config)# mostra certificati crittografico ca admin-ca
(Opzionale)

Visualizza le informazioni del certificato CA.

7

(Opzionale) copia esecuzione-configurazione start-config

Esempio:

switch(config)# copy running-config startup-config
(Opzionale)

Copia la configurazione in esecuzione nella configurazione di avvio.

Eliminazione delle coppie di chiavi RSA da un dispositivo NX-OS Cisco

È possibile eliminare le coppie di chiavi RSA da un dispositivo NX-OS Cisco se si ritiene che le coppie di chiavi RSA siano state compromesse in qualche modo e non debbano più essere utilizzate.


Dopo aver eliminato le coppie di chiavi RSA da un dispositivo, chiedere all'amministratore CA di revocare i certificati del dispositivo alla CA. Specificare la password di verifica creata al momento della richiesta originaria dei certificati.

  Comando o azione Scopo
1

configura terminale

Esempio:

switch# configura switch di 
 terminale (config) #

Attiva la modalità di configurazione globale.

2

chiave crittografico zeroizersa

Esempio:

switch(config)# chiave crypto zeroize rsa MyKey

Elimina la coppia di chiavi RSA.

3

Uscita

Esempio:

switch(config)# 
 esci da switch #

Esce dalla modalità di configurazione.

4

(Opzionale) mostra chiave crittografata mypubkey rsa

Esempio:

switch# show crypto key mypubkey rsa (switch# mostra chiave crittografata mypubkey rsa)
(Opzionale)

Visualizza la configurazione della coppia di chiavi RSA.

5

(Opzionale) copia esecuzione-configurazione start-config

Esempio:

switch# copia esecuzione-configurazione start-config
(Opzionale)

Copia la configurazione in esecuzione nella configurazione di avvio.

Verifica della configurazione PKI

Per visualizzare informazioni sulla configurazione PKI, effettuare una delle seguenti attività:

Comando

Scopo

mostra chiave crittografata mypubkey rsa

Visualizza le informazioni sulle chiavi pubbliche RSA generate sul dispositivo Cisco NX-OS.

mostra certificati crittografico ca

Visualizza le informazioni su CA e certificati di identità.

mostra crypto ca crl

Visualizza le informazioni sui CACL.

mostra trustpoint crittografici

Visualizza le informazioni sui trust point CA.

Esempi di configurazione per PKI

In questa sezione vengono forniti esempi delle attività che è possibile utilizzare per configurare certificati e CRL sui dispositivi Cisco NX-OS utilizzando un server di certificati Microsoft Windows.


È possibile utilizzare qualsiasi tipo di server dei certificati per generare certificati digitali. Non si è limitati all'uso del server dei certificati Microsoft Windows.

Configurazione dei certificati su un dispositivo Cisco NX-OS

Per configurare i certificati su un dispositivo Cisco NX-OS, effettuare le seguenti operazioni:

1

Configurare la configurazione del nome di dominio completo.

switch# configura terminale Inserire comandi di configurazione, uno per riga.  Terminare con CNTL/Z. 
 switch(config)# nome host Dispositivo-1 Dispositivo-1(config) #

2

Configurare il nome di dominio DNS per il dispositivo.

Dispositivo-1(config)# nome dominio ip cisco.com

3

Creare un punto di fiducia.

Dispositivo-1(config)# crypto ca trustpoint myCA Dispositivo-1(config-trustpoint)# esci da  dispositivo-1(config)# mostra crypto ca trustpoint trustpoint: myCA; Chiave:
metodi di fatturazione:  Crl

4

Creare una coppia di chiavi RSA per il dispositivo.

Device-1(config)# crypto key generate rsa label myKey exportulus 1024 Device-1(config)# show crypto key mypubkey rsa key label: Dimensione chiave 
 myKey: 1024 
 esportabile: sì

5

Associare la coppia di chiavi RSA al punto di attendibilità.

Dispositivo-1(config)# crypto ca trustpoint myCA Device-1(config-trustpoint)# rsakeypair myKey Device-1(config-trustpoint)# exit Device-1(config)# show crypto ca trustpoint (mostra trustpoint crypto ca): myCA; Chiave: Metodi di 
 chiamata myKey:  Crl

6

Scaricare il certificato CA dall'interfaccia Web del Servizio certificati Microsoft.

7

Autenticare la CA che si desidera iscrivere al trust point.

Dispositivo-1(config)# crypto ca autentica input myCA (taglia e incolla) certificato CA (catena) in formato PEM; 
 end the input with a line containing only END OF INPUT : 
 -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea NBG7E0oN66zex0EOEfG1Vs6mXp1//w== -----END CERTIFICATE----- FINE IMPRONTE DIGITALI DI INPUT: Impronte digitali MD5=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Accettare 
 questo certificato? [sì/no]:y  Dispositivo-1(config)# mostra certificati di crittografia ca Trustpoint: Certificato 
 CA 0:
oggetto= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ 
 L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA 
 issuer= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ 
 L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA 
 serial=0560D289ACB41994F4912258CAD197A 
 notBefore=May 32:4 6:37 2005 GMT 
 notAfter=3 maggio 22:55:17 2007 GMT 
 MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12: ike sslserver sslclient

8

Generare un certificato di richiesta da utilizzare per l'iscrizione a un punto di attendibilità.

Dispositivo-1(config)# crypto ca enroll myCA  Creare la richiesta di certificato .
 Creare una password di conferma. Sarà necessario fornire verbalmente questa 
  password all'amministratore CA per revocare il certificato.
  Per motivi di sicurezza, la password non verrà salvata nella configurazione.
  Prendere nota.
  Password: nbv123  Il nome dell'oggetto nel certificato sarà: Device-1.cisco.com possibile  includere il numero di serie dello switch nel nome dell'oggetto? [sì/no]: no  Includere un indirizzo IP nel nome del soggetto [sì/no]:  indirizzo IP: 10.10.1.1 Viene visualizzata la richiesta di  certificato...
-----BEGIN CERTIFICATE REQUEST----- 
 MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ 
 KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 
 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y 
 P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S 
 VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ 
 DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ 
 KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt 
 PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 
 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= 
 -----END CERTIFICATE REQUEST-----

9

Richiedere un certificato di identità dall'interfaccia Web del Servizio certificati Microsoft.

10

Importare il certificato di identità.

Dispositivo-1(config)# crypto ca importa certificato myCA input (taglia e incolla) certificato in formato PEM:
----- CERTIFICATOBEGIN----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH AQEEfjB8MDsGCCGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFpassggwv3Nl LTA4X0FwYXJuySUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 XENlcnRFnetteJvbGxcc3NlTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUNESETgrpnTqVpPyejtsyflw E36cINette4WsExREqxbTk8ycx7V5o= -----INVIA CERTIFICATO----- Dispositivo-1(config)#  esci da dispositivo-1 #

11

Verificare la configurazione del certificato.

12

Salvare la configurazione del certificato nella configurazione di avvio.

Download di un certificato CA

Per scaricare un certificato CA dall'interfaccia Web dei Servizi certificati Microsoft, effettuare le seguenti operazioni:

1

Dall'interfaccia Web dei Servizi certificati Microsoft, fare clic su Retrieve the CA certificate or certificate revocation task (Recuperare il certificato CA o l'attività di revoca del certificato) e fare clic su Next (Avanti).

2

Dall'elenco visualizzato, scegliere il file del certificato CA da scaricare dall'elenco visualizzato. Quindi, fare clic su Base 64 codificato e fare clic su Scarica certificato CA.

3

Fare clic su Apri nell'elenco a finestra di dialogo.

4

Nella finestra Certificato finestra di dialogo, fare clic su Copia in file e fare clic su OK.

5

Dalla Procedura guidata di esportazione certificato finestra di dialogo, scegliere la versione X.509 codificata base 64 (CER) e fare clic su Avanti.

6

Nel campo Nome file: nella finestra di dialogo Esportazione guidata finestra di dialogo certificato, inserire il nome del file di destinazione e fare clic su Next(Avanti).

7

Nella procedura guidata di esportazione del finestra di dialogo, fare clic su Fine.

8

Immettere il comando di tipo Microsoft Windows per visualizzare il certificato CA memorizzato in formato Base-64 (PEM).

Richiesta di un certificato di identità

Per richiedere un certificato di identificazione da un server di certificati Microsoft utilizzando una richiesta di firma del certificato PKCS#12 (CRS), effettuare le seguenti operazioni:

1

Dall'interfaccia Web dei Servizi certificati Microsoft, fare clic su Request a certificate (Richiedi un certificato) e fare clic su Next (Avanti).

2

Fare clic su Richiesta avanzata e fare clic su Avanti.

3

Fare clic su Invia una richiesta di certificato utilizzando un file PKCS#10 codificato base64 o una richiesta di rinnovo utilizzando un file PKCS#7 codificato base64 e fare clic su Avanti.

4

Nella casella di testo Richiesta salvata, incollare la richiesta di certificato PKCS#10 base64 e fare clic su Avanti. La richiesta del certificato viene copiata dalla console del dispositivo NX-OS Cisco.

5

Attendere uno o due giorni prima che il certificato viene emesso dall'amministratore CA.

6

Tenere presente che l'amministratore CA approva la richiesta di certificato.

7

Dall'interfaccia Web dei Servizi certificati Microsoft, fare clic su Verifica un certificato in sospeso e fare clic su Avanti.

8

Scegliere la richiesta di certificato che si desidera controllare e fare clic su Avanti.

9

Fare clic su Base 64 codificato e fare clic su Scarica certificato CA .

10

Nell'elenco a finestra di dialogo, fare clic su Apri.

11

Nella casella Certificato, fare clic sulla scheda Dettagli e fare clic su Copia sufile.... Nella finestra di dialogo Esporta certificato, fare clic su Base 64 codificato X.509 (. CER)e fare clic su Next (Avanti).

12

Nel campo Nome file: nella finestra di dialogo Esportazione guidata finestra di dialogo certificato, inserire il nome del file di destinazione e fare clic su Next(Avanti).

13

Fare clic su Fine.

14

Immettere il comando di tipo Microsoft Windows per visualizzare il certificato di identità nel formato codificato base64.

Revoca di un certificato

Per revocare un certificato utilizzando il programma di amministratore CA Microsoft, effettuare le seguenti operazioni:

1

Dalla struttura dell'autorità di certificazione, fare clic sulla cartella Certificati emessi. Dall'elenco, fare clic con il pulsante destro del mouse sul certificato che si desidera revocare.

2

Scegliere Tutte le > Revoca certificato.

3

Dalla pagina Codice motivo elenco a discesa, scegliere un motivo per la revoca e fare clic su .

4

Fare clic sulla cartella Certificati revocati per elencare e verificare la revoca del certificato.

Generazione e pubblicazione di CRL

Per generare e pubblicare il CRL utilizzando il programma di amministrazione Microsoft CA, effettuare le seguenti operazioni:

1

Dalla schermata Autorità di certificazione, scegliere Azione > tutte le > Pubblica.

2

Nell'elenco di revoca dei certificati finestra di dialogo, fare clic su per pubblicare l'ultimo CRL.

Download del CRL

Per scaricare il CRL dal sito Web dell'Autorità di certificazione Microsoft, effettuare le seguenti operazioni:

1

Dall'interfaccia Web dei Servizi certificati Microsoft, fare clic su Retrieve the CA certificate or certificate revocation list (Recuperare il certificato CA o l'elenco di revoca dei certificati) e fare clic su Next (Avanti).

2

Fare clic su Scarica ultimo elenco di revoca dei certificati.

3

Nell'elenco a finestra di dialogo, fare clic su Salva.

4

Nell'elenco a finestra di dialogo, inserire il nome del file di destinazione e fare clic su Save(Salva).

5

Immettere il comando di tipo Microsoft Windows per visualizzare il CRL.

Importazione CRL

Per importare il CRL nel punto di attendibilità corrispondente alla CA, effettuare le seguenti operazioni:

1

Copiare il file CRL nella bootflash del dispositivo NX-OS Cisco.

Dispositivo-1# copia tftp:apranaCA.crl bootflash:aparnaCA.crl

2

Configurare cRL.


Dispositivo-1# configurare terminale Dispositivo-1(config)# crypto ca crl richiesta myCA bootflash:aparnaCA.crl Dispositivo-1(config) #

3

Visualizzare il contenuto del CRL.


Dispositivo-1(config)# mostra crypto ca crl myCA Trustpoint: CRL 
 myCA:
Elenco revoca certificato (CRL):
        Algoritmo firma versione 2 (0x1): emittente sha1WithRSAEncryption: /emailAddress=admin@yourcompany.com/C=IN/ST=Karnatak azienda/OU=netstorage/CN=Aparna CA 
 Ultimo aggiornamento: 12 Nov 04.36.04 2005 GMT 
        Prossimo aggiornamento: 19 Nov 16.56.04 Estensioni GMT 
        CRL:
            Identificativo chiave autorità X509v3:
            keyid:27:28:F2:46:83:1B:AC:23:4C:45:4D:8E:C9:18:50:1 
            1.3.6.1.4.1.311.21.1:
                ...
Certificati revocati:
    Numero di serie: 611B09A10000000002 
        Data revoca: 16 ago 21.52.19 2005 Numero di serie 
 GMT: 4CDE464E00000000003 
        Data revoca: 16 agosto 21.52.29 2005 Numero di serie 
    GMT: 4CFC2B4200000000004 
        Data revoca: 16 agosto 21.52.41 2005 Numero di serie 
    GMT: 6C699EC200000000005 
        Data revoca: 16 agosto 21.52.52 Numero di serie 
    GMT: 6CCF7DDC00000000006 
        Data revoca: 8 giu 00:12:04 2005 Numero di 
    serie GMT: 70CC4FFF00000000007 
        Data revoca: 16 agosto 21.53.15 2005 Numero di serie 
    GMT: 4D9B11160000000008 
        Data revoca: 16 agosto 21.53.15 2005 Numero di serie 
    GMT: 52A80230000000000009 
        Data revoca: 27 giu 23:47:06 2005 Estensioni di ingresso GMT 
        CRL:
            Codice motivo CRL X509v3:
            Numero di serie 
 compromessa CA: 5349AD460000000000A 
        Data revoca: 27 giu 23:47:22 2005 Estensioni di ingresso GMT 
        CRL:
            Codice motivo CRL X509v3:
            Numero di serie 
 compromessa CA: 53BD173C0000000000 Data 
        revocaB: 4 lug 18.04.01 2005 Estensioni di ingresso GMT 
        CRL:
            Codice motivo CRL X509v3:
            Numero di serie 
 certificato in attesa: 591E7GESTIONE00000000000 Data 
        revocaC: 16 agosto 21.53.15 2005 Numero di serie 
    GMT: 5D3FD52E0000000000D 
        Data revoca: 29 giu 22:07:25 2005 Estensioni di ingresso GMT 
        CRL:
            Codice motivo CRL X509v3:
            Numero di serie 
 compromessa chiave: 5DAB77130000000000 Data 
        revoca: 14 lug 00:33:56 2005 Numero di serie 
    GMT: 5DAE53CD00000000000F 
        Data revoca: 16 agosto 21.53.15 2005 Numero di serie 
    GMT: 5DB140D300000000010 
        Data revoca: 16 agosto 21.53.15 2005 Numero di serie 
    GMT: 5E2D7C1B00000000011 
        Data revoca: 6 lug 21:12:10 2005 Estensioni di ingresso GMT 
        CRL:
            Codice motivo CRL X509v3:
            Interruzione del numero di 
 serie dell'operazione: 16DB4F8F00000000012 
        Data revoca: 16 agosto 21.53.15 2005 Numero di serie 
    GMT: 261C392400000000013 
        Data revoca: 16 agosto 21.53.15 2005 Numero di serie 
    GMT: 262B520200000000014 
        Data revoca: 14 lug 00:33:10 2005 Numero di serie 
    GMT: 2634C7F200000000015 
        Data revoca: 14 lug 00:32:45 2005 Numero di serie 
    GMT: 2635B0000000000016 
        Data revoca: 14 lug 00:31:51 2005 Numero di serie 
    GMT: 2648504000000000017 
        Data revoca: 14 lug 00:32:25 2005 Numero di serie 
    GMT: 2A27635700000000018 
 Data revoca: 16 agosto 21.53.15 2005 Numero di serie 
    GMT: 3F88CBF700000000019 
        Data revoca: 16 agosto 21.53.15 2005 Numero di serie 
    GMT: 6E4B5F5F0000000001A 
        Data revoca: 16 agosto 21.53.15 2005 Numero di serie 
    GMT: 725B89D8000000001 Data 
        revocaB: 16 agosto 21.53.15 2005 Numero di serie 
    GMT: 735A88780000000001 Data 
        revocaC: 16 agosto 21.53.15 2005 Numero di serie 
    GMT: 148511C70000000001D 
        Data revoca: 16 agosto 21.53.15 2005 Numero di serie 
    GMT: 14A7170100000000001 Data 
        revoca: 16 agosto 21.53.15 2005 Numero di serie 
    GMT: 14FC45B50000000001F 
        Data revoca: 17 ago 18.30.42 2005 Numero di serie 
    GMT: 486CE80B00000000020 
        Data revoca: 17 ago 18.30.43 2005 Numero di serie 
    GMT: 4CA4A3AA00000000021 
        Data revoca: 17 ago 18.30.43 2005 Numero di serie 
    GMT: 1AA55C8E000000002F 
        Data revoca: 5 set 17.07.06 Numero di serie 
    GMT: 3F0845DD0000000003F 
        Data revoca: 8 set 20:24:32 2005 Numero di 
    serie GMT: 3F619B7E00000000042 
        Data revoca: 8 set 21:40:48 2005 Numero di 
    serie GMT: 6313C46300000000052 
        Data revoca: 19 set 17:37:18 2005 Numero di serie 
    GMT: 7C3861E300000000060 
        Data revoca: 20 set 17:52:56 2005 Numero di serie 
    GMT: 7C6EE35100000000061 
        Data revoca: 20 set 18:52:30 2005 Numero di serie 
    GMT: 0A338EA1000000000074 <-- Revoked identity certificate 
 Data revoca: 12 Nov 04:34:42 2005 Algoritmo di firma 
    GMT: sha1WithRSAEncryption 
        0b:cb:dd:43:0a:b8:62:1e:80:95:06:6f:4d:ab:0c:d8:8e:32:
        44:8e:a7:94:97:af:02:b9:a6:9c:14:fd:eb:90:cf:18:c9:96:
        29:bb:57:37:d9:1f:d5:bd:4e:9a:4b:18:2b:00:2f:d2:6e:c1:
        1a:9f:1a:49:b7:9c:58:24:d7:72


 

Al termine, viene elencato il certificato di identità per il dispositivo revocato (numero di serie 0A338EA10000000074).