- PKI 구성
- PKI 정보
- CA 및 디지털 인증서
- 신뢰 모델, 신뢰 지점, ID CAS
- RSA 키 쌍 및 ID 인증서
- 다수의 신뢰할 수 있는 CA 지원
- PKI 등록 지원
- 잘라내기 및 붙여넣기를 사용한 수동 등록
- 다수의 RSA 키 쌍 및 ID CA 지원
- 피어 인증서 검증
- 인증서 해지 확인
- CRL 지원
- 인증서 및 연결된 키 쌍 가져오기 및 내보내기 지원
- PKI에 대한 라이선싱 요구 사항
- PKI에 대한 지침 및 제한 사항
- PKI에 대한 기본 설정
- CAS 및 디지털 인증서 구성
- 호스트 이름 및 IP 도메인 이름 구성
- RSA 키 쌍 생성
- 신뢰 지점 CA 연결 만들기
- CA 인증
- 인증서 해지 확인 방법 구성
- 인증서 요청 생성
- ID 인증서 설치
- 전체 재부팅 과정에서 신뢰 지점 구성이 지속되도록 보장
- PKCS 12 형식으로 ID 정보 내보내기
- PKCS 12 형식으로 ID 정보 가져오기
- CRL 구성
- CA 구성에서 인증서 삭제
- Cisco NX-OS 디바이스에서 RSA 키 쌍 삭제
- PKI 구성 확인
- PKI의 구성 예제
- Cisco NX-OS 디바이스에서 인증서 구성
- CA 인증서 다운로드
- ID 인증서 요청
- 인증서 해지
- CRL 생성 및 공개
- CRL 다운로드
- CRL 가져오기
PKI 구성
이 장에는 다음 섹션이 포함됩니다.
PKI 정보
이 섹션에서는 PKI에 대한 정보를 제공합니다.
CA 및 디지털 인증서
인증 기관(CAS)은 인증서 요청을 관리하고 호스트, 네트워크 디바이스 또는 사용자 등 참가 엔터티에게 인증서를 발행합니다. CAS는 참가 엔터티에 대해 중앙화된 키 관리를 제공합니다.
공용 키 암호화에 기반한 디지털 서명은 디바이스 및 개별 사용자를 디지털로 인증합니다. RSA 암호화 시스템 같은 공용 키 암호화의 경우, 각 디바이스 또는 사용자는 개인 키와 공용 키를 모두 포함하는 키 쌍을 갖게 됩니다. 개인 키는 기밀로 유지되며 소유 디바이스 또는 사용자만 알 수 있습니다. 단, 공용 키는 모든 사람이 알 수 있습니다. 여러 키 중 한 가지 키로 암호화된 항목은 다른 키로 해독될 수 있습니다. 서명은 데이터가 발신인의 개인 키로 암호화될 경우 형성됩니다. 수신인은 발신인의 공용 키로 메시지를 해독하여 서명을 인증합니다. 이 프로세스는 수신인이 발신인의 공용 키 사본을 보유하고 있고, 발신인이 해당 키의 소유자이며 다른 사람이 발신인을 사칭하는 것이 아니란 점을 명확히 알고 있다는 걸 기반으로 합니다.
디지털 인증서는 디지털 서명을 발신인과 연결합니다. 디지털 인증서에는 이름, 일련 번호, 회사, 부서 또는 IP 주소 등 사용자 또는 디바이스를 식별하기 위한 정보가 포함되어 있습니다. 또한 엔터티의 공용 키 사본도 포함되어 있습니다. 인증서에 서명하는 CA는 수신인이 ID를 검증하고 디지털 인증서를 만들기 위해 명시적으로 신뢰하는 서드파티입니다.
CA의 서명을 검증하려면 수신인은 우선 CA의 공용 키를 알고 있어야 합니다. 일반적으로 이 과정은 대역 외에서 처리되거나, 설치 시 완료되는 작업을 통해 처리됩니다. 예를 들어, 대부분의 웹 브라우저는 기본적으로 여러 CAS의 공용 키로 구성됩니다.
신뢰 모델, 신뢰 지점, ID CAS
PKI 신뢰 모델은 구성 가능한 다수의 신뢰할 수 있는 CA가 포함된 계층적 구조로 되어 있습니다. 각 참가 디바이스에 신뢰할 수 있는 CA 목록을 구성할 수 있습니다. 이렇게 하면 로컬에서 신뢰할 수 있는 CA 중 한 곳에서 피어 인증서를 발급한 경우 보안 프로토콜 교환 중 확보한 피어 인증서를 인증받을 수 있습니다. Cisco NX-OS 소프트웨어는 신뢰할 수 있는 CA(또는 하위 CA에 대한 인증서 체인)의 자체 서명 루트 인증서를 로컬에 저장합니다. 신뢰할 수 있는 CA의 루트 인증서(또는 하위 CA의 경우 전체 체인)을 안전하게 확보하고 로컬에 저장하는 과정을 CA 인증이라고 합니다.
사용자가 구성한 신뢰할 수 있는 CA에 대한 정보를 신뢰 지점이라 하고, CA 자체는 신뢰 지점 CA라고 합니다. 이 정보는 CA 인증서(또는 하위 CA의 경우 인증서 체인) 및 인증서 해지 확인 정보로 구성됩니다.
Cisco NX-OS 디바이스를 신뢰 지점에 등록하여 키 쌍과 연결하기 위한 ID 인증서를 확보할 수도 있습니다. 이 신뢰 지점을 ID CA라고 합니다.
RSA 키 쌍 및 ID 인증서
하나 이상의 RSA 키 쌍을 생성하고, Cisco NX-OS 디바이스에 등록할 신뢰 지점 CA와 각 RSA 키 쌍을 연결하여 ID 인증서를 확보할 수 있습니다. Cisco NX-OS 디바이스는 CA당 한 개의 ID만 필요하며, 이는 한 개의 키 쌍과 CA당 한 개의 ID 인증서로 구성됩니다.
Cisco NX-OS 소프트웨어를 사용하면 구성 가능한 키 크기(또는 계수)와 RSA 키 쌍을 생성할 수 있습니다. 기본 키 크기는 512입니다. 또한 RSA 키 쌍 레이블을 구성할 수 있습니다. 기본 키 레이블은 디바이스의 정규화된 도메인 이름(FQDN)입니다.
다음 목록에는 신뢰 지점, RSA 키 쌍, ID 인증서의 관계가 요약되어 있습니다.
신뢰 지점은 애플리케이션(예: SSH)에 대한 피어 인증서 검증을 위해 Cisco NX-OS 디바이스가 신뢰하는 특정 CA에 해당합니다.
Cisco NX-OS 디바이스는 다수의 신뢰 지점을 보유할 수 있으며, 디바이스에 있는 모든 애플리케이션은 신뢰 지점 CA에서 발급한 피어 인증서를 신뢰할 수 있습니다.
신뢰 지점은 특정 애플리케이션에 국한되지 않습니다.
Cisco NX-OS 디바이스는 ID 인증서를 확보하기 위해 신뢰 지점에 해당하는 CA를 등록합니다. 디바이스에 여러 개의 신뢰 지점을 등록할 수 있습니다. 즉, 각 신뢰 지점에서 개별 ID 인증서를 확보할 수 있습니다. 발급 CA가 인증서에 명시한 용도에 따라 애플리케이션에서 ID 인증서가 사용됩니다. 인증서의 용도는 인증서에 인증서 확장명으로 저장됩니다.
신뢰 지점을 등록할 경우, RSA 키 쌍을 인증할지 지정해야 합니다. 이 키 쌍은 등록 요청을 생성하기 전에 신뢰 지점과 연결해야 합니다. 신뢰 지점, 키 쌍, ID 인증서 간의 연결은 인증서, 키 쌍 또는 신뢰 지점을 삭제하여 이러한 항목이 명시적으로 제거될 때까지 유효합니다.
ID 인증서의 주체 이름은 Cisco NX-OS 디바이스의 정규화된 도메인 이름입니다.
디바이스에 대해 하나 이상의 RSA 키 쌍을 생성할 수 있으며, 각 쌍은 하나 이상의 신뢰 지점에 연결될 수 있습니다. 그러나 둘 이상의 키 쌍은 신뢰 지점과 연결할 수 없습니다. 즉, CA에서는 하나의 ID 인증서만 허용됩니다.
Cisco NX-OS 디바이스가 다수의 ID 인증서(개별 CA의 각 인증서)를 확보할 경우, 피어와의 보안 프로토콜 교환 시 사용하기 위해 애플리케이션이 선택하는 인증서는 특정 애플리케이션마다 다릅니다.
애플리케이션에 대해 하나 이상의 신뢰 지점을 지정하지 않아도 됩니다. 인증서 용도가 애플리케이션 요구 사항을 충족하는 한, 애플리케이션은 신뢰 지점에서 발급한 모든 인증서를 사용할 수 있습니다.
신뢰 지점의 ID 인증서는 두 개 이상 필요하지 않으며, 둘 이상의 키 쌍을 신뢰 지점에 연결하지 않아도 됩니다. CA는 지정한 ID(또는 이름)를 한 번만 인증하며 동일한 이름으로 된 인증서를 여러 개 발급하지 않습니다. CA에 대해 한 개 이상의 ID 인증서가 필요하고 CA가 동일한 이름으로 된 다수의 인증서를 허용하는 경우, 동일한 CA에 대해 다른 신뢰 지점을 정의하고 다른 키 쌍을 연결한 후 인증해야 합니다.
다수의 신뢰할 수 있는 CA 지원
Cisco NX-OS 디바이스는 다수의 신뢰 지점을 구성하고 각 CA를 개별 CA와 연결하여 다수의 CA를 신뢰할 수 있습니다. 다수의 신뢰할 수 있는 CA를 사용하면 피어에게 인증서를 발급한 특정 CA를 디바이스에 등록하지 않아도 됩니다. 그 대신, 피어가 신뢰하는 다수의 신뢰할 수 있는 CA를 디바이스에 구성할 수 있습니다. 그런 다음, Cisco NX-OS 디바이스는 이렇게 구성된 신뢰할 수 있는 CA를 사용하여 피어 디바이스의 ID에 정의된 동일한 CA에서 발급하지 않은 피어에서 수신한 인증서를 확인할 수 있습니다.
PKI 등록 지원
등록은 SSH 같은 애플리케이션에 사용되는 디바이스에 대한 ID 인증서를 얻는 과정입니다. 이러한 과정은 인증서를 요청하는 디바이스와 인증 기관 간에 발생합니다.
Cisco NX-OS 디바이스는 PKI 등록 과정을 수행할 경우 다음 단계를 진행합니다.
디바이스에서 RSA 암호 및 공용 키 쌍을 생성합니다.
인증서 요청을 표준 형식으로 생성하고 CA에 전달합니다.
요청이 CA에 접수되면 CA 관리자는 CA 서버에서 등록 요청을 수동으로 승인해야 할 수 있습니다. |
CA의 개인 키가 서명된 CA에서 다시 발급한 인증서를 수신합니다.
디바이스의 비휘발성 저장 영역에 인증서를 작성합니다( bootflash).
잘라내기 및 붙여넣기를 사용한 수동 등록
Cisco NX-OS 소프트웨어는 수동 잘라내기 및 붙여넣기 기능을 사용한 인증서 검색 및 등록을 지원합니다. 잘라내기 및 붙여넣기 등록은 디바이스와 CA 간의 인증서 요청 및 결과 인증서를 잘라서 붙여넣어야 한다는 것을 의미합니다.
수동 등록 프로세스에서 잘라내기 및 붙여넣기를 사용할 경우 다음 단계를 수행해야 합니다.
등록 인증서 요청을 생성합니다. 이는 Cisco NX-OS 디바이스를 base64로 인코딩된 텍스트 양식으로 표시합니다.
인코딩된 인증서 요청 텍스트를 이메일 또는 웹 양식으로 잘라내서 붙여넣은 후 CA로 전송합니다.
CA에서 발급한 인증서(base64로 인코딩된 텍스트 양식)를 이메일 또는 웹 브라우저 다운로드로 수신합니다.
발급된 인증서는 인증서 가져오기 기능을 사용하여 인증서 가져오기 기능에 잘라내기 및 붙여넣기합니다.
다수의 RSA 키 쌍 및 ID CA 지원
다수의 ID CA는 디바이스가 둘 이상의 신뢰 지점에 등록할 수 있도록 합니다. 이렇게 하면 개별 CA에서 다수의 ID 인증서가 각각 생성됩니다. 이 기능을 통해 Cisco NX-OS 디바이스는 CA에서 발급한 다수의 피어에 대해 허용되는 인증서를 사용하여 이러한 다수의 피어가 있는 SSH 및 기타 애플리케이션에 참가할 수 있습니다.
다수의 RSA 키 쌍 기능을 사용하면 디바이스가 등록된 각 CA에 대한 개별 키 쌍을 유지 관리할 수 있습니다. 이렇게 하면 키 길이 등 다른 CA가 지정한 요구 사항과 충돌하지 않으면서 각 CA의 정책 요구 사항과 일치시킬 수 있습니다. 디바이스는 다수의 RSA 키 쌍을 생성하고 각 키 쌍을 개별 신뢰 지점과 연결할 수 있습니다. 그런 다음, 신뢰 지점을 등록할 경우 인증서 요청을 구성하기 위해 연결된 키 쌍이 사용됩니다.
피어 인증서 검증
Cisco NX-OS 디바이스에 대한 PKI 지원은 피어 인증서를 확인할 수 있습니다. Cisco NX-OS 소프트웨어는 SSH 같은 애플리케이션의 보안 교환 중 피어로부터 수신한 인증서를 확인합니다. 애플리케이션은 피어 인증서의 유효성을 확인합니다. Cisco NX-OS 소프트웨어는 피어 인증서를 확인할 때 다음 단계를 수행합니다.
로컬에서 신뢰할 수 있는 CA 중 한 곳에서 피어 인증서를 발급했는지 확인합니다.
현재 시간에 대해 피어 인증서가 유효한지(만료되지 않았는지) 확인합니다.
발급 CA에 의해 피어 인증서가 아직 해지되지 않았는지 인증합니다.
해지 확인을 위해 Cisco NX-OS 소프트웨어는 인증서 해지 목록(CRL)을 지원합니다. 신뢰 지점 CA는 이 방법을 사용하여 피어 인증서가 해지되지 확인할 수 있습니다.
인증서 해지 확인
Cisco NX-OS 소프트웨어는 CA 인증서의 해지 상태를 확인할 수 있습니다. 애플리케이션은 지정하는 순서대로 해지 확인 메커니즘을 사용할 수 있습니다. CRL, 없음을 선택하거나 이러한 방법을 조합할 수 있습니다.
CRL 지원
CA는 만료 날짜 전에 해지된 인증서에 대한 정보를 제공하기 위해 인증서 해지 목록(CRL)을 유지 관리합니다. CA는 저장소에 CRL을 게시하고, 발급된 모든 인증서에서 다운로드 공용 URL을 제공합니다. 피어의 인증서를 확인하는 클라이언트는 발급 CA로부터 최신 CRL을 얻을 수 있으며, 이를 사용하여 인증서가 해지되었는지 여부를 확인할 수 있습니다. 클라이언트는 신뢰할 수 있는 일부 또는 모든 CA의 CRL을 로컬로 캐시할 수 있으며, 필요한 경우 CRL이 만료될 때까지 이를 다시 사용할 수 있습니다.
Cisco NX-OS 소프트웨어는 신뢰 지점에 대해 미리 다운로드된 CRL의 수동 구성을 허용한 다음, 디바이스 bootflash(cert-store)에서 이를 캐시합니다. 피어 인증서를 확인하는 과정에서 Cisco NX-OS 소프트웨어는 CRL이 이미 로컬로 캐시되어 있고 해지 확인 시 CRL을 사용하도록 구성된 경우에만 발급 CA의 CRL을 확인합니다. 그렇지 않으면 Cisco NX-OS 소프트웨어는 CRL 확인을 수행하지 않으며, 다른 해지 확인 방법을 구성하지 않은 경우 해당 인증서는 해지되지 않는 것으로 간주합니다.
인증서 및 연결된 키 쌍 가져오기 및 내보내기 지원
CA 인증 및 등록 프로세스의 일환으로, 하위 CA 인증서(또는 인증서 체인) 및 ID 인증서는 표준 PEM(base64) 형식으로 가져올 수 있습니다.
신뢰 지점의 완전한 ID 정보는 비밀번호로 보호된 PKCS#12 표준 형식으로 된 파일로 내보낼 수 있습니다. 나중에 동일한 디바이스(예: 시스템 충돌 후) 또는 대체 디바이스로 이를 가져올 수 있습니다. PKCS#12 파일의 정보는 RSA 키 쌍, ID 인증서, CA 인증서(또는 체인)로 구성됩니다.
PKI에 대한 라이선싱 요구 사항
다음 표는 이 기능에 대한 라이선스 요구 사항을 보여줍니다.
제품 |
라이선스 요구 사항 |
---|---|
Cisco NX-OS |
PKI 기능은 라이선스가 필요하지 않습니다. 라이선스 패키지에 포함되지 않은 기능은 Cisco NX-OS 시스템 이미지와 함께 번들로 묶이며 추가 비용 없이 제공됩니다. Cisco NX-OS 라이선싱 체계에 대한 설명은 Cisco NX-OS 라이선싱 안내서를 참조하십시오. |
PKI에 대한 지침 및 제한 사항
PKI에는 다음과 같은 구성 지침 및 제한 사항이 있습니다.
Cisco NX-OS 디바이스에서 구성할 수 있는 최대 키 쌍의 수는 16개입니다.
Cisco NX-OS 디바이스에서 선언할 수 있는 최대 신뢰 지점의 수는 16개입니다.
Cisco NX-OS 디바이스에서 구성할 수 있는 ID 인증서의 최대 수는 16개입니다.
CA 인증서 체인의 최대 인증서 수는 10개입니다.
특정 CA에 대해 인증할 수 있는 최대 신뢰 지점의 수는 10개입니다.
설정 롤백은 PKI 구성을 지원하지 않습니다.
Cisco NX-OS 소프트웨어는 OSCP를 지원하지 않습니다.
Cisco IOS CLI에 익숙한 경우, 이 기능에 대한 Cisco NX-OS 명령은 사용자가 사용하는 Cisco IOS 명령과 다를 수도 있습니다.
|
PKI에 대한 기본 설정
이 표에는 PKI 매개변수의 기본 설정이 나와 있습니다.
매개변수 |
기본값 |
---|---|
신뢰 지점 |
없음 |
RSA 키 쌍 |
없음 |
RSA 키 쌍 레이블 |
디바이스 FQDN |
RSA 키 쌍 계수 |
512 |
RSA 키 쌍 내보내기 가능 |
활성화됨 |
해지 확인 방법 |
CRL |
CAS 및 디지털 인증서 구성
이 섹션에서는 Cisco NX-OS 디바이스에서 CA 및 디지털 인증서가 상호 운용할 수 있도록 하기 위해 수행해야 하는 작업을 설명합니다.
호스트 이름 및 IP 도메인 이름 구성
Cisco NX-OS 소프트웨어는 ID 인증서에서 디바이스의 정규화된 도메인 이름(FQDN)을 주체 이름으로 사용하므로, 디바이스의 호스트 이름 및 IP 도메인 이름을 아직 설정하지 않은 경우 이를 구성해야 합니다. 또한 키 쌍을 생성하는 과정에서 레이블을 지정하지 않은 경우 Cisco NX-OS 소프트웨어는 디바이스 FQDN을 기본 키 레이블로 사용합니다. 예를 들어, DeviceA.example.com으로 명명된 인증서는 DeviceA의 디바이스 호스트 이름 및 example.com의 디바이스 IP 도메인 이름을 기준으로 합니다.
인증서를 생성한 후 호스트 이름 또는 IP 도메인 이름을 변경하면 인증서가 무효화될 수 있습니다. |
명령 또는 작업 | 목적 | |
---|---|---|
1 | 터미널 구성 예:
|
전역 구성 모드로 들어갑니다. |
2 | hostnamehostname 예:
|
디바이스의 호스트 이름을 구성합니다. |
3 | ip domain-namename [use-vrfvrf-name] 예:
|
디바이스의 IP 도메인 이름을 구성합니다. VRF 이름을 지정하지 않을 경우 명령은 기본 VRF를 사용합니다. |
4 | exit 예:
|
구성 모드를 종료합니다. |
5 | (선택 사항) show hosts 예:
|
(선택 사항) IP 도메인 이름을 표시합니다. |
6 | (선택 사항) copy running-config startup-config 예:
|
(선택 사항) 실행 중인 구성을 시작 구성에 복사합니다. |
RSA 키 쌍 생성
RSA 키 쌍을 생성하여 애플리케이션의 보안 프로토콜 교환 중 보안 페이로드를 서명 및/또는 암호화하고 해독할 수 있습니다. 디바이스의 인증서를 얻으려면 우선 RSA 키 쌍을 생성해야 합니다.
명령 또는 작업 | 목적 | |||||
---|---|---|---|---|---|---|
1 | 터미널 구성 예:
|
전역 구성 모드로 들어갑니다. |
||||
2 | crypto key generate rsa [labellabel-string] [exportable] [modulussize] 예:
|
RSA 키 쌍을 생성합니다. 디바이스에서 키 쌍의 최대 수는 16개입니다. 레이블 문자열은 영문자이고 대/소문자를 구분하며 문자 길이는 최대 64자입니다. 기본 레이블 문자열은 마침표(.)로 구분된 호스트 이름 및 FQDN입니다. 유효한 계수 값은 512, 768, 1024, 1536, 2048입니다. 기본 계수 크기는 512입니다.
기본적으로 키 쌍은 내보낼 수 없습니다. 내보내기 가능한 키 쌍만 PKCS#12 형식으로 내보낼 수 있습니다.
|
||||
3 | exit 예:
|
구성 모드를 종료합니다. |
||||
4 | (선택 사항) show crypto key mypubkey rsa 예:
|
(선택 사항) 생성된 키를 표시합니다. |
||||
5 | (선택 사항) copy running-config startup-config 예:
|
(선택 사항) 실행 중인 구성을 시작 구성에 복사합니다. |
신뢰 지점 CA 연결 만들기
Cisco NX-OS 디바이스를 신뢰 지점 CA에 연결해야 합니다.
시작하기 전에
RSA 키 쌍을 생성합니다.
명령 또는 작업 | 목적 | |||
---|---|---|---|---|
1 | 터미널 구성 예:
|
전역 구성 모드로 들어갑니다. |
||
2 | crypto ca trustpointname 예:
|
디바이스가 신뢰해야 하는 신뢰 지점 CA를 선언하고 신뢰 지점 구성 모드로 들어갑니다.
|
||
3 | enrollment terminal 예:
|
수동 잘라내기 및 붙여넣기 인증서 등록을 활성화합니다. 기본값은 활성화되어 있습니다.
|
||
4 | rsakeypairlabel 예:
|
등록을 위해 이 신뢰 지점과 연결할 RSA 키 쌍의 레이블을 지정합니다.
|
||
5 | exit 예:
|
신뢰 지점 구성 모드를 종료합니다. |
||
6 | (선택 사항) show crypto ca trustpoints 예:
|
(선택 사항) 신뢰 지점 정보를 표시합니다. |
||
7 | (선택 사항) copy running-config startup-config 예:
|
(선택 사항) 실행 중인 구성을 시작 구성에 복사합니다. |
CA 인증
CA를 신뢰하는 구성 과정은 CA가 Cisco NX-OS 디바이스에 대해 인증된 경우에만 완료됩니다. CA의 공용 키가 포함된 PEM 형식의 자체 서명 인증서를 얻어 CA에 대해 Cisco NX-OS 디바이스를 인증해야 합니다. CA의 인증서는 셀프 서명된 인증서이므로(CA가 자체 인증서에 서명) CA의 공용 키는 CA 관리자에게 연락해 CA 인증서의 지문을 비교하여 수동으로 인증해야 합니다.
CA가 다른 CA의 하위 CA인 경우 인증하려는 CA는 자체 서명 CA가 아닙니다. 이는 또 다른 CA, 그리고 최종적으로 자체 서명 CA로 끝날 수 있습니다. 이러한 유형의 CA 인증서를 인증되는 CA 인증서 체인이라고 합니다. 이 경우, CA를 인증하는 과정에서 인증 체인에 있는 모든 CA 인증서의 CA 인증서 목록을 입력해야 합니다. CA 인증서 체인의 최대 인증서 수는 10개입니다. |
시작하기 전에
CA와의 연결을 생성합니다.
CA 인증서 또는 CA 인증서 체인을 얻습니다.
명령 또는 작업 | 목적 | |||
---|---|---|---|---|
1 | 터미널 구성 예:
|
전역 구성 모드로 들어갑니다. |
||
2 | crypto ca authenticatename 예:
|
CA의 인증서를 잘라내기 및 붙여넣기 하라는 메시지가 표시됩니다. CA를 선언할 때 사용한 동일한 이름을 사용합니다. 특정 CA에 대해 인증할 수 있는 최대 신뢰 지점의 수는 10개입니다.
|
||
3 | exit 예:
|
구성 모드를 종료합니다. |
||
4 | (선택 사항) show crypto ca trustpoints 예:
|
(선택 사항) 신뢰 지점 CA 정보를 표시합니다. |
||
5 | (선택 사항) copy running-config startup-config 예:
|
(선택 사항) 실행 중인 구성을 시작 구성에 복사합니다. |
인증서 해지 확인 방법 구성
클라이언트(예: SSH 사용자)와 보안 교환 중에 Cisco NX-OS 디바이스는 클라이언트가 발송한 피어 인증서 확인을 수행합니다. 인증 프로세스에는 인증서 해지 상태 확인이 포함될 수 있습니다.
디바이스를 구성하여 CA에서 다운로드한 CRL을 확인할 수 있습니다. CRL을 다운로드하고 로컬로 확인하면 네트워크에서 트래픽이 생성되지 않습니다. 그러나 다운로드를 하던 중 인증서가 해지될 수 있으며 디바이스는 해지를 인식하지 못합니다.
시작하기 전에
CA를 인증합니다.
CRL 확인을 사용하려는 경우 CRL을 구성해야 합니다.
명령 또는 작업 | 목적 | |
---|---|---|
1 | 터미널 구성 예:
|
전역 구성 모드로 들어갑니다. |
2 | crypto ca trustpointname 예:
|
신뢰 지점 CA를 지정하고 신뢰 지점 구성 모드로 들어갑니다. |
3 | revocation-check {crl [none] | none} 예:
|
인증서 해지 확인 방법을 설정합니다. 기본 방법은 crl입니다. Cisco NX-OS 소프트웨어는 지정하는 순서대로 인증서 해지 방법을 사용합니다. |
4 | exit 예:
|
신뢰 지점 구성 모드를 종료합니다. |
5 | (선택 사항) show crypto ca trustpoints 예:
|
(선택 사항) 신뢰 지점 CA 정보를 표시합니다. |
6 | (선택 사항) copy running-config startup-config 예:
|
(선택 사항) 실행 중인 구성을 시작 구성에 복사합니다. |
인증서 요청 생성
각 디바이스의 RSA 키 쌍에 대해 연결된 신뢰 지점 CA에서 ID 인증서를 얻으려면 요청을 생성해야 합니다. 그런 다음, 표시된 요청을 잘라내어 CA에 대한 웹사이트 양식 또는 이메일에 붙여넣어야 합니다.
시작하기 전에
CA와의 연결을 생성합니다.
CA 인증서 또는 CA 인증서 체인을 얻습니다.
명령 또는 작업 | 목적 | |||
---|---|---|---|---|
1 | 터미널 구성 예:
|
전역 구성 모드로 들어갑니다. |
||
2 | crypto ca enroll name 예:
|
인증된 CA에 대한 인증서 요청을 생성합니다.
|
||
3 | exit 예:
|
신뢰 지점 구성 모드를 종료합니다. |
||
4 | (선택 사항) show crypto ca certificates 예:
|
(선택 사항) CA 인증서를 표시합니다. |
||
5 | (선택 사항) copy running-config startup-config 예:
|
(선택 사항) 실행 중인 구성을 시작 구성에 복사합니다. |
ID 인증서 설치
base64로 인코딩된 텍스트 양식의 웹 브라우저 또는 이메일을 통해 CA에서 ID 인증서를 수신할 수 있습니다. 인코딩된 텍스트를 잘라내기 및 붙여넣기 하여 CA의 ID 인증서를 설치해야 합니다.
시작하기 전에
CA와의 연결을 생성합니다.
CA 인증서 또는 CA 인증서 체인을 얻습니다.
명령 또는 작업 | 목적 | |
---|---|---|
1 | 터미널 구성 예:
|
전역 구성 모드로 들어갑니다. |
2 | crypto ca importnamecertificate 예:
|
CA에 대한 ID 인증서 admin-ca를 잘라내기 및 붙여넣으라는 메시지가 표시됩니다. 디바이스에 구성할 수 있는 ID 인증서의 최대 수는 16개입니다. |
3 | exit 예:
|
구성 모드를 종료합니다. |
4 | (선택 사항) show crypto ca certificates 예:
|
(선택 사항) CA 인증서를 표시합니다. |
5 | (선택 사항) copy running-config startup-config 예:
|
(선택 사항) 실행 중인 구성을 시작 구성에 복사합니다. |
전체 재부팅 과정에서 신뢰 지점 구성이 지속되도록 보장
Cisco NX-OS 디바이스 재부팅 전반에 걸쳐 신뢰 지점 설정이 지속되도록 보장할 수 있습니다.
신뢰 지점 설정은 시작 구성에 명시적으로 복사한 경우에만 시스템 전체에서 지속되는 일반적인 Cisco NX-OS 디바이스 설정입니다. 시작 구성에서 이미 신뢰 지점 구성을 복사한 경우, 신뢰 지점과 연결된 인증서, 키 쌍, CRL은 자동으로 지속됩니다. 이와 반대로 신뢰 지점 구성이 시작 구성에 복사되지 않은 경우, 재부팅 후 해당하는 신뢰 지점 구성이 필요하기 때문에 신뢰 지점과 연결된 인증서, 키 쌍, CRL이 지속되지 않습니다. 설정해놓은 인증서, 키 쌍, CRL이 지속되도록 하려면 실행 중인 설정을 시작 구성에 항상 복사하십시오. 또한, 인증서 또는 키 쌍을 삭제한 후 실행 중인 구성을 저장하여 삭제가 영구적으로 지속되도록 합니다.
시작 구성에 특정 신뢰 지점이 이미 저장되어 있는 경우, 신뢰 지점과 연결된 인증서 및 CRL을 가져오면(즉, 시작 구성에 명시적으로 복사하지 않고) 자동으로 지속됩니다.
ID 인증서의 비밀번호로 보호된 백업을 생성하고 이를 외부 서버에 저장하는 것이 좋습니다.
외부 서버에 구성을 복사하는 작업에는 인증서 및 키 쌍이 포함됩니다. |
PKCS 12 형식으로 ID 정보 내보내기
백업 목적을 위해 PKCS#12 파일에 대한 신뢰 지점의 RSA 키 쌍 및 CA 인증서(또는 하위 CA의 경우 전체 체인)와 함께 ID 인증서를 내보낼 수 있습니다. 디바이스에서 시스템 충돌이 발생하거나 감독자 모듈을 교체할 경우 인증서 및 RSA 키 쌍을 가져와 복구할 수 있습니다.
URL을 지정할 경우 bootflash:filename 형식만 사용할 수 있습니다. |
시작하기 전에
CA를 인증합니다.
ID 인증서를 설치합니다.
명령 또는 작업 | 목적 | |
---|---|---|
1 | 터미널 구성 예:
|
전역 구성 모드로 들어갑니다. |
2 | crypto ca exportname pkcs12 bootflash:filenamepassword 예:
|
신뢰 지점 CA에 대한 ID 인증서, 연결된 키 쌍, CA 인증서를 내보냅니다. 비밀번호는 영문자이고 대/소문자를 구분하며 최대 길이는 128자입니다. |
3 | exit 예:
|
구성 모드를 종료합니다. |
4 | copy booflash:filenamescheme://server/ [url/]filename 예:
|
PKCS#12 형식 파일을 원격 서버에 복사합니다. scheme 인수의 경우, tftp:, ftp:, scp: 또는 sftp:를 입력할 수 있습니다. server 인수는 원격 서버의 주소 또는 이름이며, url 인수는 원격 서버의 소스 파일에 대한 경로입니다. server, url, filename 인수는 대/소문자를 구분합니다. |
PKCS 12 형식으로 ID 정보 가져오기
디바이스에서 시스템 충돌이 발생하거나 감독자 모듈을 교체할 경우 인증서 및 RSA 키 쌍을 가져와 복구할 수 있습니다.
가져오기 URL을 지정할 경우 bootflash:filename 형식만 사용할 수 있습니다. |
시작하기 전에
신뢰 지점과 연결된 RSA 키 쌍이 없는지, CA 인증을 사용하여 신뢰 지점과 연결된 CA가 없는지 확인하여 신뢰 지점이 비어있는지 확인합니다.
명령 또는 작업 | 목적 | |
---|---|---|
1 | copyscheme://server/[url/]filenamebootflash:filename 예:
|
원격 서버에서 PKCS#12 형식 파일을 복사합니다. scheme 인수의 경우 tftp:, ftp:, scp: 또는 sftp:를 입력할 수 있습니다. server 인수는 원격 서버의 주소 또는 이름이며, url 인수는 원격 서버의 소스 파일에 대한 경로입니다. server, url, filename 인수는 대/소문자를 구분합니다. |
2 | 터미널 구성 예:
|
전역 구성 모드로 들어갑니다. |
3 | crypto ca importnamepksc12 bootflash:filename 예:
|
신뢰 지점 CA에 대한 ID 인증서, 연결된 키 쌍, CA 인증서를 가져옵니다. |
4 | exit 예:
|
구성 모드를 종료합니다. |
5 | (선택 사항) show crypto ca certificates 예:
|
(선택 사항) CA 인증서를 표시합니다. |
6 | (선택 사항) copy running-config startup-config 예:
|
(선택 사항) 실행 중인 구성을 시작 구성에 복사합니다. |
CRL 구성
신뢰 지점에서 다운로드한 CR은 수동으로 구성할 수 있습니다. Cisco NX-OS 소프트웨어는 디바이스 bootflash(cert-store)에서 CRL을 캐시합니다. 피어 인증서를 확인하는 과정에서 Cisco NX-OS 소프트웨어는 CRL을 디바이스에 다운로드하고 CRL을 사용하도록 인증서 해지 확인을 구성한 경우에만 발급 CA의 CRL을 확인합니다.
시작하기 전에
인증서 해지 확인을 활성화했는지 확인합니다.
명령 또는 작업 | 목적 | |
---|---|---|
1 | copyscheme:[//server/[url/]]filenamebootflash:filename 예:
|
원격 서버에서 CRL을 다운로드합니다. scheme 인수의 경우 tftp:, ftp:, scp: 또는 sftp:를 입력할 수 있습니다. server 인수는 원격 서버의 주소 또는 이름이며, url 인수는 원격 서버의 소스 파일에 대한 경로입니다. server, url, filename 인수는 대/소문자를 구분합니다. |
2 | 터미널 구성 예:
|
전역 구성 모드로 들어갑니다. |
3 | crypto ca crl requestnamebootflash:filename 예:
|
현재 CRL을 파일에 지정된 CRL로 구성하거나 대체합니다. |
4 | exit 예:
|
구성 모드를 종료합니다. |
5 | (선택 사항) show crypto ca crlname 예:
|
(선택 사항) CA CRL 정보를 표시합니다. |
6 | (선택 사항) copy running-config startup-config 예:
|
(선택 사항) 실행 중인 구성을 시작 구성에 복사합니다. |
CA 구성에서 인증서 삭제
신뢰 지점에 구성된 ID 인증서 및 CA 인증서를 삭제할 수 있습니다. 먼저 ID 인증서를 삭제한 후에 CA 인증서를 삭제해야 합니다. ID 인증서를 삭제한 후 신뢰 지점에서 RSA 키 쌍을 해지할 수 있습니다. 만료되었거나 해지된 인증서, 손상되었거나 손상된 것으로 의심되는 인증서(또는 더 이상 신뢰할 수 없는) 키 쌍 또는 CA를 삭제하려면 인증서를 삭제해야 합니다.
명령 또는 작업 | 목적 | |
---|---|---|
1 | 터미널 구성 예:
|
전역 구성 모드로 들어갑니다. |
2 | crypto ca trustpointname 예:
|
신뢰 지점 CA를 지정하고 신뢰 지점 구성 모드로 들어갑니다. |
3 | delete ca-certificate 예:
|
CA 인증서 또는 인증서 체인을 삭제합니다. |
4 | delete certificate [force] 예:
|
ID 인증서를 삭제합니다. 삭제할 ID 인증서가 인증서 체인의 마지막 인증서이거나 디바이스의 유일한 ID 인증서인 경우, force 옵션을 사용해야 합니다. 이러한 요건은 인증서 체인의 마지막 인증서 또는 유일한 인증서를 실수로 삭제하고 애플리케이션(예: SSH)을 인증서 없이 사용하도록 놔두는 상황을 방지합니다. |
5 | exit 예:
|
신뢰 지점 구성 모드를 종료합니다. |
6 | (선택 사항) show crypto ca certificates [name] 예:
|
(선택 사항) CA 인증서 정보를 표시합니다. |
7 | (선택 사항) copy running-config startup-config 예:
|
(선택 사항) 실행 중인 구성을 시작 구성에 복사합니다. |
Cisco NX-OS 디바이스에서 RSA 키 쌍 삭제
RSA 키 쌍이 손상된 것으로 판단되고 더 이상 사용할 수 없는 경우, Cisco NX-OS 디바이스에서 RSA 키 쌍을 삭제할 수 있습니다.
디바이스에서 RSA 키 쌍을 삭제한 후 CA 관리자에게 CA에서 디바이스의 인증서를 해지해달라고 요청합니다. 처음에 인증서를 요청할 경우, 생성해놓은 챌린지 비밀번호를 제공해야 합니다. |
명령 또는 작업 | 목적 | |
---|---|---|
1 | 터미널 구성 예:
|
전역 구성 모드로 들어갑니다. |
2 | crypto key zeroize rsalabel 예:
|
RSA 키 쌍을 삭제합니다. |
3 | exit 예:
|
구성 모드를 종료합니다. |
4 | (선택 사항) show crypto key mypubkey rsa 예:
|
(선택 사항) RSA 키 쌍 설정을 표시합니다. |
5 | (선택 사항) copy running-config startup-config 예:
|
(선택 사항) 실행 중인 구성을 시작 구성에 복사합니다. |
PKI 구성 확인
PKI 구성 정보를 표시하려면 다음 작업 중 하나를 수행합니다.
명령어 |
목적 |
---|---|
show crypto key mypubkey rsa |
Cisco NX-OS 디바이스에 생성된 RSA 공용 키에 대한 정보를 표시합니다. |
show crypto ca certificates |
CA 및 ID 인증서에 대한 정보를 표시합니다. |
show crypto ca crl |
CA CR에 대한 정보를 표시합니다. |
show crypto ca trustpoints |
CA 신뢰 지점에 대한 정보를 표시합니다. |
PKI의 구성 예제
이 섹션에서는 Microsoft Windows 인증서 서버를 사용하여 Cisco NX-OS 디바이스에서 인증서 및 CRL을 구성하는 데 사용할 수 있는 작업의 예제를 보여줍니다.
모든 유형의 인증서 서버를 사용하여 디지털 인증서를 생성할 수 있습니다. Microsoft Windows 인증서 서버 사용에만 국한되지 않습니다. |
Cisco NX-OS 디바이스에서 인증서 구성
Cisco NX-OS 디바이스에서 인증서를 구성하려면 다음 단계를 수행합니다.
1 | 디바이스 FQDN을 구성합니다.
|
2 | 디바이스에 대한 DNS 도메인 이름을 구성합니다.
|
3 | 신뢰 지점을 생성합니다.
|
4 | 디바이스에 대한 RSA 키 쌍을 생성합니다.
|
5 | RSA 키 쌍을 신뢰 지점에 연결합니다.
|
6 | Microsoft 인증서 서비스 웹 인터페이스에서 CA 인증서를 다운로드합니다. |
7 | 신뢰 지점에 등록할 CA를 인증합니다.
|
8 | 신뢰 지점에 등록하는 데 사용할 요청 인증서를 생성합니다.
|
9 | Microsoft 인증서 서비스 웹 인터페이스에서 ID 인증서를 요청합니다. |
10 | ID 인증서를 가져옵니다.
|
11 | 인증서 구성을 확인합니다. |
12 | 인증서 구성을 시작 구성에 저장합니다. |
CA 인증서 다운로드
Microsoft 인증서 서비스 웹 인터페이스에서 CA 인증서를 다운로드하려면 다음 단계를 수행합니다.
1 | Microsoft 인증서 서비스 웹 인터페이스에서 CA 인증서 또는 인증서 해지 작업 검색 및 다음을 차례로 클릭합니다. |
2 | 표시 목록에서 다운로드할 CA 인증서 파일을 선택합니다. 그런 다음 Base 64로 인코딩 및 CA 인증서 다운로드를 차례로 클릭합니다. |
3 | 파일 다운로드 대화 상자에서 열기를 클릭합니다. |
4 | 인증서 대화 상자에서 파일에 복사 및 확인을 차례로 클릭합니다. |
5 | 인증서 내보내기 마법사 대화 상자에서 Base-64로 인코딩된 X.509(CER) 및 다음을 차례로 클릭합니다. |
6 | 파일 이름에서: 인증서 내보내기 마법사 대화 상자의 텍스트 상자에 대상 파일 이름을 입력하고 다음을 클릭합니다. |
7 | 인증서 내보내기 마법사 대화 상자에서 마침을 클릭합니다. |
8 | Microsoft Windows type 명령을 입력하여 Base-64(PEM) 형식으로 저장된 CA 인증서를 표시합니다. |
ID 인증서 요청
PKCS#12 인증서 서명 요청(CRS)을 사용하여 Microsoft 인증서 서버에서 ID 인증서를 요청하려면 다음 단계를 수행합니다.
1 | Microsoft 인증서 서비스 웹 인터페이스에서 인증서 요청 및 다음을 클릭합니다. |
2 | 고급 요청 및 다음을 차례로 클릭합니다. |
3 | base64로 인코딩된 PKCS#10 파일을 사용하여 인증서 요청 또는 base64로 인코딩된 PKCS#7 파일을 사용하여 인증서 요청 제출 및 다음을 차례로 클릭합니다. |
4 | 저장된 요청 텍스트 상자에 base64 PKCS#10 인증서 요청을 붙여넣고 다음을 클릭합니다. 인증서 요청이 Cisco NX-OS 디바이스 콘솔에서 복사됩니다. |
5 | CA 관리자가 인증서를 발급할 때까지 하루 또는 이틀 동안 기다립니다. |
6 | CA 관리자가 인증서 요청을 승인합니다. |
7 | Microsoft 인증서 서비스 웹 인터페이스에서 보류 중인 인증서 확인 및 다음을 차례로 클릭합니다. |
8 | 확인할 인증서 요청을 선택하고 다음을 클릭합니다. |
9 | Base 64로 인코딩 및 CA 인증서 다운로드를 차례로 클릭합니다. |
10 | 파일 다운로드 대화 상자에서 열기를 선택합니다. |
11 | 인증서 상자에서 세부 정보 탭을 클릭하고 파일에 복사...를 클릭합니다. 인증서 내보내기 대화 상자에서 Base-64로 인코딩된 X.509(.CER) 및 다음을 차례로 클릭합니다. |
12 | 파일 이름에서: 인증서 내보내기 마법사 대화 상자의 텍스트 상자에 대상 파일 이름을 입력하고 다음을 클릭합니다. |
13 | 마침을 클릭합니다. |
14 | Microsoft Windows type 명령을 입력하여 ID 인증서를 base64로 인코딩된 형식으로 표시합니다. |
인증서 해지
Microsoft CA 관리자 프로그램을 사용하여 인증서를 해지하려면 다음 단계를 수행합니다.
1 | 인증 기관 트리에서 발급된 인증서 폴더를 클릭합니다. 목록에서 해지할 인증서를 마우스 오른쪽 버튼으로 클릭합니다. |
2 | 모든 작업 > 인증서 해지를 선택합니다. |
3 | 사유 코드 드롭다운 목록에서 해지 사유를 선택하고 예를 클릭합니다. |
4 | 해지된 인증서 폴더를 클릭하여 인증서 해지 목록을 나열하고 확인합니다. |
CRL 생성 및 공개
Microsoft CA 관리자 프로그램을 사용하여 CRL을 생성하고 게시하려면 다음 단계를 수행합니다.
1 | 인증 기관 화면에서 작업 > 모든 작업 > 게시를 선택합니다. |
2 | 인증서 해지 목록 대화 상자에서 예를 클릭하여 최신 CRL을 게시합니다. |
CRL 다운로드
Microsoft CA 웹사이트에서 CRL을 다운로드하려면 다음 단계를 수행합니다.
1 | Microsoft 인증서 서비스 웹 인터페이스에서 CA 인증서 또는 인증서 해지 목록 검색 및 다음을 차례로 클릭합니다. |
2 | 최신 인증서 해지 목록 다운로드를 클릭합니다. |
3 | 파일 다운로드 대화 상자에서 저장을 클릭합니다. |
4 | 다른 이름으로 저장 대화 상자에 대상 파일 이름을 입력하고 저장을 클릭합니다. |
5 | Microsoft Windows type 명령을 입력하여 CRL을 표시합니다. |
CRL 가져오기
CRL을 CA에 해당하는 신뢰 지점으로 가져오려면 다음 단계를 수행합니다.
1 | CRL 파일을 Cisco NX-OS 디바이스 bootflash로 복사합니다.
|
||
2 | CRL을 구성합니다.
|
||
3 | CRL의 내용을 표시합니다.
|