PKI 구성

이 장에는 다음 섹션이 포함됩니다.

PKI 정보

이 섹션에서는 PKI에 대한 정보를 제공합니다.

CA 및 디지털 인증서

인증 기관(CAS)은 인증서 요청을 관리하고 호스트, 네트워크 디바이스 또는 사용자 등 참가 엔터티에게 인증서를 발행합니다. CAS는 참가 엔터티에 대해 중앙화된 키 관리를 제공합니다.

공용 키 암호화에 기반한 디지털 서명은 디바이스 및 개별 사용자를 디지털로 인증합니다. RSA 암호화 시스템 같은 공용 키 암호화의 경우, 각 디바이스 또는 사용자는 개인 키와 공용 키를 모두 포함하는 키 쌍을 갖게 됩니다. 개인 키는 기밀로 유지되며 소유 디바이스 또는 사용자만 알 수 있습니다. 단, 공용 키는 모든 사람이 알 수 있습니다. 여러 키 중 한 가지 키로 암호화된 항목은 다른 키로 해독될 수 있습니다. 서명은 데이터가 발신인의 개인 키로 암호화될 경우 형성됩니다. 수신인은 발신인의 공용 키로 메시지를 해독하여 서명을 인증합니다. 이 프로세스는 수신인이 발신인의 공용 키 사본을 보유하고 있고, 발신인이 해당 키의 소유자이며 다른 사람이 발신인을 사칭하는 것이 아니란 점을 명확히 알고 있다는 걸 기반으로 합니다.

디지털 인증서는 디지털 서명을 발신인과 연결합니다. 디지털 인증서에는 이름, 일련 번호, 회사, 부서 또는 IP 주소 등 사용자 또는 디바이스를 식별하기 위한 정보가 포함되어 있습니다. 또한 엔터티의 공용 키 사본도 포함되어 있습니다. 인증서에 서명하는 CA는 수신인이 ID를 검증하고 디지털 인증서를 만들기 위해 명시적으로 신뢰하는 서드파티입니다.

CA의 서명을 검증하려면 수신인은 우선 CA의 공용 키를 알고 있어야 합니다. 일반적으로 이 과정은 대역 외에서 처리되거나, 설치 시 완료되는 작업을 통해 처리됩니다. 예를 들어, 대부분의 웹 브라우저는 기본적으로 여러 CAS의 공용 키로 구성됩니다.

신뢰 모델, 신뢰 지점, ID CAS

PKI 신뢰 모델은 구성 가능한 다수의 신뢰할 수 있는 CA가 포함된 계층적 구조로 되어 있습니다. 각 참가 디바이스에 신뢰할 수 있는 CA 목록을 구성할 수 있습니다. 이렇게 하면 로컬에서 신뢰할 수 있는 CA 중 한 곳에서 피어 인증서를 발급한 경우 보안 프로토콜 교환 중 확보한 피어 인증서를 인증받을 수 있습니다. Cisco NX-OS 소프트웨어는 신뢰할 수 있는 CA(또는 하위 CA에 대한 인증서 체인)의 자체 서명 루트 인증서를 로컬에 저장합니다. 신뢰할 수 있는 CA의 루트 인증서(또는 하위 CA의 경우 전체 체인)을 안전하게 확보하고 로컬에 저장하는 과정을 CA 인증이라고 합니다.

사용자가 구성한 신뢰할 수 있는 CA에 대한 정보를 신뢰 지점이라 하고, CA 자체는 신뢰 지점 CA라고 합니다. 이 정보는 CA 인증서(또는 하위 CA의 경우 인증서 체인) 및 인증서 해지 확인 정보로 구성됩니다.

Cisco NX-OS 디바이스를 신뢰 지점에 등록하여 키 쌍과 연결하기 위한 ID 인증서를 확보할 수도 있습니다. 이 신뢰 지점을 ID CA라고 합니다.

RSA 키 쌍 및 ID 인증서

하나 이상의 RSA 키 쌍을 생성하고, Cisco NX-OS 디바이스에 등록할 신뢰 지점 CA와 각 RSA 키 쌍을 연결하여 ID 인증서를 확보할 수 있습니다. Cisco NX-OS 디바이스는 CA당 한 개의 ID만 필요하며, 이는 한 개의 키 쌍과 CA당 한 개의 ID 인증서로 구성됩니다.

Cisco NX-OS 소프트웨어를 사용하면 구성 가능한 키 크기(또는 계수)와 RSA 키 쌍을 생성할 수 있습니다. 기본 키 크기는 512입니다. 또한 RSA 키 쌍 레이블을 구성할 수 있습니다. 기본 키 레이블은 디바이스의 정규화된 도메인 이름(FQDN)입니다.

다음 목록에는 신뢰 지점, RSA 키 쌍, ID 인증서의 관계가 요약되어 있습니다.

  • 신뢰 지점은 애플리케이션(예: SSH)에 대한 피어 인증서 검증을 위해 Cisco NX-OS 디바이스가 신뢰하는 특정 CA에 해당합니다.

  • Cisco NX-OS 디바이스는 다수의 신뢰 지점을 보유할 수 있으며, 디바이스에 있는 모든 애플리케이션은 신뢰 지점 CA에서 발급한 피어 인증서를 신뢰할 수 있습니다.

  • 신뢰 지점은 특정 애플리케이션에 국한되지 않습니다.

  • Cisco NX-OS 디바이스는 ID 인증서를 확보하기 위해 신뢰 지점에 해당하는 CA를 등록합니다. 디바이스에 여러 개의 신뢰 지점을 등록할 수 있습니다. 즉, 각 신뢰 지점에서 개별 ID 인증서를 확보할 수 있습니다. 발급 CA가 인증서에 명시한 용도에 따라 애플리케이션에서 ID 인증서가 사용됩니다. 인증서의 용도는 인증서에 인증서 확장명으로 저장됩니다.

  • 신뢰 지점을 등록할 경우, RSA 키 쌍을 인증할지 지정해야 합니다. 이 키 쌍은 등록 요청을 생성하기 전에 신뢰 지점과 연결해야 합니다. 신뢰 지점, 키 쌍, ID 인증서 간의 연결은 인증서, 키 쌍 또는 신뢰 지점을 삭제하여 이러한 항목이 명시적으로 제거될 때까지 유효합니다.

  • ID 인증서의 주체 이름은 Cisco NX-OS 디바이스의 정규화된 도메인 이름입니다.

  • 디바이스에 대해 하나 이상의 RSA 키 쌍을 생성할 수 있으며, 각 쌍은 하나 이상의 신뢰 지점에 연결될 수 있습니다. 그러나 둘 이상의 키 쌍은 신뢰 지점과 연결할 수 없습니다. 즉, CA에서는 하나의 ID 인증서만 허용됩니다.

  • Cisco NX-OS 디바이스가 다수의 ID 인증서(개별 CA의 각 인증서)를 확보할 경우, 피어와의 보안 프로토콜 교환 시 사용하기 위해 애플리케이션이 선택하는 인증서는 특정 애플리케이션마다 다릅니다.

  • 애플리케이션에 대해 하나 이상의 신뢰 지점을 지정하지 않아도 됩니다. 인증서 용도가 애플리케이션 요구 사항을 충족하는 한, 애플리케이션은 신뢰 지점에서 발급한 모든 인증서를 사용할 수 있습니다.

  • 신뢰 지점의 ID 인증서는 두 개 이상 필요하지 않으며, 둘 이상의 키 쌍을 신뢰 지점에 연결하지 않아도 됩니다. CA는 지정한 ID(또는 이름)를 한 번만 인증하며 동일한 이름으로 된 인증서를 여러 개 발급하지 않습니다. CA에 대해 한 개 이상의 ID 인증서가 필요하고 CA가 동일한 이름으로 된 다수의 인증서를 허용하는 경우, 동일한 CA에 대해 다른 신뢰 지점을 정의하고 다른 키 쌍을 연결한 후 인증해야 합니다.

다수의 신뢰할 수 있는 CA 지원

Cisco NX-OS 디바이스는 다수의 신뢰 지점을 구성하고 각 CA를 개별 CA와 연결하여 다수의 CA를 신뢰할 수 있습니다. 다수의 신뢰할 수 있는 CA를 사용하면 피어에게 인증서를 발급한 특정 CA를 디바이스에 등록하지 않아도 됩니다. 그 대신, 피어가 신뢰하는 다수의 신뢰할 수 있는 CA를 디바이스에 구성할 수 있습니다. 그런 다음, Cisco NX-OS 디바이스는 이렇게 구성된 신뢰할 수 있는 CA를 사용하여 피어 디바이스의 ID에 정의된 동일한 CA에서 발급하지 않은 피어에서 수신한 인증서를 확인할 수 있습니다.

PKI 등록 지원

등록은 SSH 같은 애플리케이션에 사용되는 디바이스에 대한 ID 인증서를 얻는 과정입니다. 이러한 과정은 인증서를 요청하는 디바이스와 인증 기관 간에 발생합니다.

Cisco NX-OS 디바이스는 PKI 등록 과정을 수행할 경우 다음 단계를 진행합니다.

  • 디바이스에서 RSA 암호 및 공용 키 쌍을 생성합니다.

  • 인증서 요청을 표준 형식으로 생성하고 CA에 전달합니다.


요청이 CA에 접수되면 CA 관리자는 CA 서버에서 등록 요청을 수동으로 승인해야 할 수 있습니다.

  • CA의 개인 키가 서명된 CA에서 다시 발급한 인증서를 수신합니다.

  • 디바이스의 비휘발성 저장 영역에 인증서를 작성합니다( bootflash).

잘라내기 및 붙여넣기를 사용한 수동 등록

Cisco NX-OS 소프트웨어는 수동 잘라내기 및 붙여넣기 기능을 사용한 인증서 검색 및 등록을 지원합니다. 잘라내기 및 붙여넣기 등록은 디바이스와 CA 간의 인증서 요청 및 결과 인증서를 잘라서 붙여넣어야 한다는 것을 의미합니다.

수동 등록 프로세스에서 잘라내기 및 붙여넣기를 사용할 경우 다음 단계를 수행해야 합니다.

  • 등록 인증서 요청을 생성합니다. 이는 Cisco NX-OS 디바이스를 base64로 인코딩된 텍스트 양식으로 표시합니다.

  • 인코딩된 인증서 요청 텍스트를 이메일 또는 웹 양식으로 잘라내서 붙여넣은 후 CA로 전송합니다.

  • CA에서 발급한 인증서(base64로 인코딩된 텍스트 양식)를 이메일 또는 웹 브라우저 다운로드로 수신합니다.

  • 발급된 인증서는 인증서 가져오기 기능을 사용하여 인증서 가져오기 기능에 잘라내기 및 붙여넣기합니다.

다수의 RSA 키 쌍 및 ID CA 지원

다수의 ID CA는 디바이스가 둘 이상의 신뢰 지점에 등록할 수 있도록 합니다. 이렇게 하면 개별 CA에서 다수의 ID 인증서가 각각 생성됩니다. 이 기능을 통해 Cisco NX-OS 디바이스는 CA에서 발급한 다수의 피어에 대해 허용되는 인증서를 사용하여 이러한 다수의 피어가 있는 SSH 및 기타 애플리케이션에 참가할 수 있습니다.

다수의 RSA 키 쌍 기능을 사용하면 디바이스가 등록된 각 CA에 대한 개별 키 쌍을 유지 관리할 수 있습니다. 이렇게 하면 키 길이 등 다른 CA가 지정한 요구 사항과 충돌하지 않으면서 각 CA의 정책 요구 사항과 일치시킬 수 있습니다. 디바이스는 다수의 RSA 키 쌍을 생성하고 각 키 쌍을 개별 신뢰 지점과 연결할 수 있습니다. 그런 다음, 신뢰 지점을 등록할 경우 인증서 요청을 구성하기 위해 연결된 키 쌍이 사용됩니다.

피어 인증서 검증

Cisco NX-OS 디바이스에 대한 PKI 지원은 피어 인증서를 확인할 수 있습니다. Cisco NX-OS 소프트웨어는 SSH 같은 애플리케이션의 보안 교환 중 피어로부터 수신한 인증서를 확인합니다. 애플리케이션은 피어 인증서의 유효성을 확인합니다. Cisco NX-OS 소프트웨어는 피어 인증서를 확인할 때 다음 단계를 수행합니다.

  • 로컬에서 신뢰할 수 있는 CA 중 한 곳에서 피어 인증서를 발급했는지 확인합니다.

  • 현재 시간에 대해 피어 인증서가 유효한지(만료되지 않았는지) 확인합니다.

  • 발급 CA에 의해 피어 인증서가 아직 해지되지 않았는지 인증합니다.

해지 확인을 위해 Cisco NX-OS 소프트웨어는 인증서 해지 목록(CRL)을 지원합니다. 신뢰 지점 CA는 이 방법을 사용하여 피어 인증서가 해지되지 확인할 수 있습니다.

인증서 해지 확인

Cisco NX-OS 소프트웨어는 CA 인증서의 해지 상태를 확인할 수 있습니다. 애플리케이션은 지정하는 순서대로 해지 확인 메커니즘을 사용할 수 있습니다. CRL, 없음을 선택하거나 이러한 방법을 조합할 수 있습니다.

CRL 지원

CA는 만료 날짜 전에 해지된 인증서에 대한 정보를 제공하기 위해 인증서 해지 목록(CRL)을 유지 관리합니다. CA는 저장소에 CRL을 게시하고, 발급된 모든 인증서에서 다운로드 공용 URL을 제공합니다. 피어의 인증서를 확인하는 클라이언트는 발급 CA로부터 최신 CRL을 얻을 수 있으며, 이를 사용하여 인증서가 해지되었는지 여부를 확인할 수 있습니다. 클라이언트는 신뢰할 수 있는 일부 또는 모든 CA의 CRL을 로컬로 캐시할 수 있으며, 필요한 경우 CRL이 만료될 때까지 이를 다시 사용할 수 있습니다.

Cisco NX-OS 소프트웨어는 신뢰 지점에 대해 미리 다운로드된 CRL의 수동 구성을 허용한 다음, 디바이스 bootflash(cert-store)에서 이를 캐시합니다. 피어 인증서를 확인하는 과정에서 Cisco NX-OS 소프트웨어는 CRL이 이미 로컬로 캐시되어 있고 해지 확인 시 CRL을 사용하도록 구성된 경우에만 발급 CA의 CRL을 확인합니다. 그렇지 않으면 Cisco NX-OS 소프트웨어는 CRL 확인을 수행하지 않으며, 다른 해지 확인 방법을 구성하지 않은 경우 해당 인증서는 해지되지 않는 것으로 간주합니다.

인증서 및 연결된 키 쌍 가져오기 및 내보내기 지원

CA 인증 및 등록 프로세스의 일환으로, 하위 CA 인증서(또는 인증서 체인) 및 ID 인증서는 표준 PEM(base64) 형식으로 가져올 수 있습니다.

신뢰 지점의 완전한 ID 정보는 비밀번호로 보호된 PKCS#12 표준 형식으로 된 파일로 내보낼 수 있습니다. 나중에 동일한 디바이스(예: 시스템 충돌 후) 또는 대체 디바이스로 이를 가져올 수 있습니다. PKCS#12 파일의 정보는 RSA 키 쌍, ID 인증서, CA 인증서(또는 체인)로 구성됩니다.

PKI에 대한 라이선싱 요구 사항

다음 표는 이 기능에 대한 라이선스 요구 사항을 보여줍니다.

제품

라이선스 요구 사항

Cisco NX-OS

PKI 기능은 라이선스가 필요하지 않습니다. 라이선스 패키지에 포함되지 않은 기능은 Cisco NX-OS 시스템 이미지와 함께 번들로 묶이며 추가 비용 없이 제공됩니다. Cisco NX-OS 라이선싱 체계에 대한 설명은 Cisco NX-OS 라이선싱 안내서를 참조하십시오.

PKI에 대한 지침 및 제한 사항

PKI에는 다음과 같은 구성 지침 및 제한 사항이 있습니다.

  • Cisco NX-OS 디바이스에서 구성할 수 있는 최대 키 쌍의 수는 16개입니다.

  • Cisco NX-OS 디바이스에서 선언할 수 있는 최대 신뢰 지점의 수는 16개입니다.

  • Cisco NX-OS 디바이스에서 구성할 수 있는 ID 인증서의 최대 수는 16개입니다.

  • CA 인증서 체인의 최대 인증서 수는 10개입니다.

  • 특정 CA에 대해 인증할 수 있는 최대 신뢰 지점의 수는 10개입니다.

  • 설정 롤백은 PKI 구성을 지원하지 않습니다.

  • Cisco NX-OS 소프트웨어는 OSCP를 지원하지 않습니다.


Cisco IOS CLI에 익숙한 경우, 이 기능에 대한 Cisco NX-OS 명령은 사용자가 사용하는 Cisco IOS 명령과 다를 수도 있습니다.

PKI에 대한 기본 설정

이 표에는 PKI 매개변수의 기본 설정이 나와 있습니다.

표 1. 기본 PKI 매개변수

매개변수

기본값

신뢰 지점

없음

RSA 키 쌍

없음

RSA 키 쌍 레이블

디바이스 FQDN

RSA 키 쌍 계수

512

RSA 키 쌍 내보내기 가능

활성화됨

해지 확인 방법

CRL

CAS 및 디지털 인증서 구성

이 섹션에서는 Cisco NX-OS 디바이스에서 CA 및 디지털 인증서가 상호 운용할 수 있도록 하기 위해 수행해야 하는 작업을 설명합니다.

호스트 이름 및 IP 도메인 이름 구성

Cisco NX-OS 소프트웨어는 ID 인증서에서 디바이스의 정규화된 도메인 이름(FQDN)을 주체 이름으로 사용하므로, 디바이스의 호스트 이름 및 IP 도메인 이름을 아직 설정하지 않은 경우 이를 구성해야 합니다. 또한 키 쌍을 생성하는 과정에서 레이블을 지정하지 않은 경우 Cisco NX-OS 소프트웨어는 디바이스 FQDN을 기본 키 레이블로 사용합니다. 예를 들어, DeviceA.example.com으로 명명된 인증서는 DeviceA의 디바이스 호스트 이름 및 example.com의 디바이스 IP 도메인 이름을 기준으로 합니다.


인증서를 생성한 후 호스트 이름 또는 IP 도메인 이름을 변경하면 인증서가 무효화될 수 있습니다.

  명령 또는 작업 목적
1

터미널 구성

예:

switch# configure terminal switch(config)#

전역 구성 모드로 들어갑니다.

2

hostnamehostname

예:

switch(config)# hostname DeviceA

디바이스의 호스트 이름을 구성합니다.

3

ip domain-namename [use-vrfvrf-name]

예:

DeviceA(config)# ip domain-name example.com

디바이스의 IP 도메인 이름을 구성합니다. VRF 이름을 지정하지 않을 경우 명령은 기본 VRF를 사용합니다.

4

exit

예:

switch(config)# exit switch#

구성 모드를 종료합니다.

5

(선택 사항) show hosts

예:

switch# show hosts
(선택 사항)

IP 도메인 이름을 표시합니다.

6

(선택 사항) copy running-config startup-config

예:

switch# copy running-config startup-config
(선택 사항)

실행 중인 구성을 시작 구성에 복사합니다.

RSA 키 쌍 생성

RSA 키 쌍을 생성하여 애플리케이션의 보안 프로토콜 교환 중 보안 페이로드를 서명 및/또는 암호화하고 해독할 수 있습니다. 디바이스의 인증서를 얻으려면 우선 RSA 키 쌍을 생성해야 합니다.

  명령 또는 작업 목적
1

터미널 구성

예:

switch# configure terminal switch(config)#

전역 구성 모드로 들어갑니다.

2

crypto key generate rsa [labellabel-string] [exportable] [modulussize]

예:

switch(config)# crypto key generate rsa exportable

RSA 키 쌍을 생성합니다. 디바이스에서 키 쌍의 최대 수는 16개입니다.

레이블 문자열은 영문자이고 대/소문자를 구분하며 문자 길이는 최대 64자입니다. 기본 레이블 문자열은 마침표(.)로 구분된 호스트 이름 및 FQDN입니다.

유효한 계수 값은 512, 768, 1024, 1536, 2048입니다. 기본 계수 크기는 512입니다.


 

적절한 키 계수를 결정할 때에는 Cisco NX-OS 디바이스 및 CA(등록이 계획된)에 대한 보안 정책을 고려해야 합니다.

기본적으로 키 쌍은 내보낼 수 없습니다. 내보내기 가능한 키 쌍만 PKCS#12 형식으로 내보낼 수 있습니다.


 

키 쌍의 내보내기 가능 여부는 변경할 수 없습니다.

3

exit

예:

switch(config)# exit switch#

구성 모드를 종료합니다.

4

(선택 사항) show crypto key mypubkey rsa

예:

switch# show crypto key mypubkey rsa
(선택 사항)

생성된 키를 표시합니다.

5

(선택 사항) copy running-config startup-config

예:

switch# copy running-config startup-config
(선택 사항)

실행 중인 구성을 시작 구성에 복사합니다.

신뢰 지점 CA 연결 만들기

Cisco NX-OS 디바이스를 신뢰 지점 CA에 연결해야 합니다.

시작하기 전에

RSA 키 쌍을 생성합니다.

  명령 또는 작업 목적
1

터미널 구성

예:

switch# configure terminal switch(config)#

전역 구성 모드로 들어갑니다.

2

crypto ca trustpointname

예:

switch(config)# crypto ca trustpoint admin-ca switch(config-trustpoint)#

디바이스가 신뢰해야 하는 신뢰 지점 CA를 선언하고 신뢰 지점 구성 모드로 들어갑니다.


 

디바이스에서 구성할 수 있는 신뢰 지점의 최대 수는 16개입니다.

3

enrollment terminal

예:

switch(config-trustpoint)# enrollment terminal

수동 잘라내기 및 붙여넣기 인증서 등록을 활성화합니다. 기본값은 활성화되어 있습니다.


 

Cisco NX-OS 소프트웨어는 인증서 등록에 대한 수동 잘라내기 및 붙여넣기 방법만 지원합니다.

4

rsakeypairlabel

예:

switch(config-trustpoint)# rsakeypair SwitchA

등록을 위해 이 신뢰 지점과 연결할 RSA 키 쌍의 레이블을 지정합니다.


 

CA당 한 가지 RSA 키 쌍만 지정할 수 있습니다.

5

exit

예:

switch(config-trustpoint)# exit switch(config)#

신뢰 지점 구성 모드를 종료합니다.

6

(선택 사항) show crypto ca trustpoints

예:

switch(config)# show crypto ca trustpoints
(선택 사항)

신뢰 지점 정보를 표시합니다.

7

(선택 사항) copy running-config startup-config

예:

switch(config)# copy running-config startup-config
(선택 사항)

실행 중인 구성을 시작 구성에 복사합니다.

CA 인증

CA를 신뢰하는 구성 과정은 CA가 Cisco NX-OS 디바이스에 대해 인증된 경우에만 완료됩니다. CA의 공용 키가 포함된 PEM 형식의 자체 서명 인증서를 얻어 CA에 대해 Cisco NX-OS 디바이스를 인증해야 합니다. CA의 인증서는 셀프 서명된 인증서이므로(CA가 자체 인증서에 서명) CA의 공용 키는 CA 관리자에게 연락해 CA 인증서의 지문을 비교하여 수동으로 인증해야 합니다.


CA가 다른 CA의 하위 CA인 경우 인증하려는 CA는 자체 서명 CA가 아닙니다. 이는 또 다른 CA, 그리고 최종적으로 자체 서명 CA로 끝날 수 있습니다. 이러한 유형의 CA 인증서를 인증되는 CA 인증서 체인이라고 합니다. 이 경우, CA를 인증하는 과정에서 인증 체인에 있는 모든 CA 인증서의 CA 인증서 목록을 입력해야 합니다. CA 인증서 체인의 최대 인증서 수는 10개입니다.

시작하기 전에

CA와의 연결을 생성합니다.

CA 인증서 또는 CA 인증서 체인을 얻습니다.

  명령 또는 작업 목적
1

터미널 구성

예:

switch# configure terminal switch(config)#

전역 구성 모드로 들어갑니다.

2

crypto ca authenticatename

예:

switch(config)# crypto ca authenticate admin-ca input (cut & paste) CA certificate (chain) in PEM format; end the input with a line containing only END OF INPUT : -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea NBG7E0oN66zex0EOEfG1Vs6mXp1//w== -----END CERTIFICATE----- END OF INPUT Fingerprint(s): MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Do you accept this certificate? [yes/no]: 예

CA의 인증서를 잘라내기 및 붙여넣기 하라는 메시지가 표시됩니다. CA를 선언할 때 사용한 동일한 이름을 사용합니다.

특정 CA에 대해 인증할 수 있는 최대 신뢰 지점의 수는 10개입니다.


 

하위 CA 인증의 경우, 인증서 확인 및 PKCS#12 형식 내보내기 작업에 CA 체인이 필요하므로 Cisco NX-OS 소프트웨어에는 자체 서명 CA로 끝나는 CA 인증서의 전체 체인이 필요합니다.

3

exit

예:

switch(config)# exit switch#

구성 모드를 종료합니다.

4

(선택 사항) show crypto ca trustpoints

예:

switch# show crypto ca trustpoints
(선택 사항)

신뢰 지점 CA 정보를 표시합니다.

5

(선택 사항) copy running-config startup-config

예:

switch# copy running-config startup-config
(선택 사항)

실행 중인 구성을 시작 구성에 복사합니다.

인증서 해지 확인 방법 구성

클라이언트(예: SSH 사용자)와 보안 교환 중에 Cisco NX-OS 디바이스는 클라이언트가 발송한 피어 인증서 확인을 수행합니다. 인증 프로세스에는 인증서 해지 상태 확인이 포함될 수 있습니다.

디바이스를 구성하여 CA에서 다운로드한 CRL을 확인할 수 있습니다. CRL을 다운로드하고 로컬로 확인하면 네트워크에서 트래픽이 생성되지 않습니다. 그러나 다운로드를 하던 중 인증서가 해지될 수 있으며 디바이스는 해지를 인식하지 못합니다.

시작하기 전에

CA를 인증합니다.

CRL 확인을 사용하려는 경우 CRL을 구성해야 합니다.

  명령 또는 작업 목적
1

터미널 구성

예:

switch# configure terminal switch(config)#

전역 구성 모드로 들어갑니다.

2

crypto ca trustpointname

예:

switch(config)# crypto ca trustpoint admin-ca switch(config-trustpoint)#

신뢰 지점 CA를 지정하고 신뢰 지점 구성 모드로 들어갑니다.

3

revocation-check {crl [none] | none}

예:

switch(config-trustpoint)# revocation-check none

인증서 해지 확인 방법을 설정합니다. 기본 방법은 crl입니다.

Cisco NX-OS 소프트웨어는 지정하는 순서대로 인증서 해지 방법을 사용합니다.

4

exit

예:

switch(config-trustpoint)# exit switch(config)#

신뢰 지점 구성 모드를 종료합니다.

5

(선택 사항) show crypto ca trustpoints

예:

switch(config)# show crypto ca trustpoints
(선택 사항)

신뢰 지점 CA 정보를 표시합니다.

6

(선택 사항) copy running-config startup-config

예:

switch(config)# copy running-config startup-config
(선택 사항)

실행 중인 구성을 시작 구성에 복사합니다.

인증서 요청 생성

각 디바이스의 RSA 키 쌍에 대해 연결된 신뢰 지점 CA에서 ID 인증서를 얻으려면 요청을 생성해야 합니다. 그런 다음, 표시된 요청을 잘라내어 CA에 대한 웹사이트 양식 또는 이메일에 붙여넣어야 합니다.

시작하기 전에

CA와의 연결을 생성합니다.

CA 인증서 또는 CA 인증서 체인을 얻습니다.

  명령 또는 작업 목적
1

터미널 구성

예:

switch# configure terminal switch(config)#

전역 구성 모드로 들어갑니다.

2

crypto ca enroll name

예:

switch(config)# crypto ca enroll admin-ca Create the certificate request .. 챌린지 비밀번호를 생성합니다. 인증서를 해지하려면 CA 관리자에게 이 비밀번호를 구두로 제공해야 합니다. 보안상의 이유로 비밀번호는 구성에 저장되지 않습니다. 이 점에 유의하십시오. Password:nbv123 The subject name in the certificate will be: DeviceA.cisco.com Include the switch serial number in the subject name? [yes/no]: no Include an IP address in the subject name [yes/no]: yes ip address:172.22.31.162 The certificate request will be displayed... -----BEGIN CERTIFICATE REQUEST----- MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= -----END CERTIFICATE REQUEST-----

인증된 CA에 대한 인증서 요청을 생성합니다.


 

챌린지 비밀번호를 기억해야 합니다. 이는 구성과 함께 저장되지 않습니다. 인증서를 해지해야 경우 이 비밀번호를 입력해야 합니다.

3

exit

예:

switch(config-trustpoint)# exit switch(config)#

신뢰 지점 구성 모드를 종료합니다.

4

(선택 사항) show crypto ca certificates

예:

switch(config)# show crypto ca certificates
(선택 사항)

CA 인증서를 표시합니다.

5

(선택 사항) copy running-config startup-config

예:

switch(config)# copy running-config startup-config
(선택 사항)

실행 중인 구성을 시작 구성에 복사합니다.

ID 인증서 설치

base64로 인코딩된 텍스트 양식의 웹 브라우저 또는 이메일을 통해 CA에서 ID 인증서를 수신할 수 있습니다. 인코딩된 텍스트를 잘라내기 및 붙여넣기 하여 CA의 ID 인증서를 설치해야 합니다.

시작하기 전에

CA와의 연결을 생성합니다.

CA 인증서 또는 CA 인증서 체인을 얻습니다.

  명령 또는 작업 목적
1

터미널 구성

예:

switch# configure terminal switch(config)#

전역 구성 모드로 들어갑니다.

2

crypto ca importnamecertificate

예:

switch(config)# crypto ca import admin-ca certificate input (cut & paste) certificate in PEM format: -----BEGIN CERTIFICATE----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw E36cIZu4WsExREqxbTk8ycx7V5o= -----END CERTIFICATE-----

CA에 대한 ID 인증서 admin-ca를 잘라내기 및 붙여넣으라는 메시지가 표시됩니다.

디바이스에 구성할 수 있는 ID 인증서의 최대 수는 16개입니다.

3

exit

예:

switch(config)# exit switch#

구성 모드를 종료합니다.

4

(선택 사항) show crypto ca certificates

예:

switch# show crypto ca certificates
(선택 사항)

CA 인증서를 표시합니다.

5

(선택 사항) copy running-config startup-config

예:

switch# copy running-config startup-config
(선택 사항)

실행 중인 구성을 시작 구성에 복사합니다.

전체 재부팅 과정에서 신뢰 지점 구성이 지속되도록 보장

Cisco NX-OS 디바이스 재부팅 전반에 걸쳐 신뢰 지점 설정이 지속되도록 보장할 수 있습니다.

신뢰 지점 설정은 시작 구성에 명시적으로 복사한 경우에만 시스템 전체에서 지속되는 일반적인 Cisco NX-OS 디바이스 설정입니다. 시작 구성에서 이미 신뢰 지점 구성을 복사한 경우, 신뢰 지점과 연결된 인증서, 키 쌍, CRL은 자동으로 지속됩니다. 이와 반대로 신뢰 지점 구성이 시작 구성에 복사되지 않은 경우, 재부팅 후 해당하는 신뢰 지점 구성이 필요하기 때문에 신뢰 지점과 연결된 인증서, 키 쌍, CRL이 지속되지 않습니다. 설정해놓은 인증서, 키 쌍, CRL이 지속되도록 하려면 실행 중인 설정을 시작 구성에 항상 복사하십시오. 또한, 인증서 또는 키 쌍을 삭제한 후 실행 중인 구성을 저장하여 삭제가 영구적으로 지속되도록 합니다.

시작 구성에 특정 신뢰 지점이 이미 저장되어 있는 경우, 신뢰 지점과 연결된 인증서 및 CRL을 가져오면(즉, 시작 구성에 명시적으로 복사하지 않고) 자동으로 지속됩니다.

ID 인증서의 비밀번호로 보호된 백업을 생성하고 이를 외부 서버에 저장하는 것이 좋습니다.


외부 서버에 구성을 복사하는 작업에는 인증서 및 키 쌍이 포함됩니다.

PKCS 12 형식으로 ID 정보 내보내기

백업 목적을 위해 PKCS#12 파일에 대한 신뢰 지점의 RSA 키 쌍 및 CA 인증서(또는 하위 CA의 경우 전체 체인)와 함께 ID 인증서를 내보낼 수 있습니다. 디바이스에서 시스템 충돌이 발생하거나 감독자 모듈을 교체할 경우 인증서 및 RSA 키 쌍을 가져와 복구할 수 있습니다.


URL을 지정할 경우 bootflash:filename 형식만 사용할 수 있습니다.

시작하기 전에

CA를 인증합니다.

ID 인증서를 설치합니다.

  명령 또는 작업 목적
1

터미널 구성

예:

switch# configure terminal switch(config)#

전역 구성 모드로 들어갑니다.

2

crypto ca exportname pkcs12 bootflash:filenamepassword

예:

switch(config)# crypto ca export admin-ca pkcs12 bootflash:adminid.p12 nbv123

신뢰 지점 CA에 대한 ID 인증서, 연결된 키 쌍, CA 인증서를 내보냅니다. 비밀번호는 영문자이고 대/소문자를 구분하며 최대 길이는 128자입니다.

3

exit

예:

switch(config)# exit switch#

구성 모드를 종료합니다.

4

copy booflash:filenamescheme://server/ [url/]filename

예:

switch# copy bootflash:adminid.p12 tftp:adminid.p12

PKCS#12 형식 파일을 원격 서버에 복사합니다.

scheme 인수의 경우, tftp:, ftp:, scp: 또는 sftp:를 입력할 수 있습니다. server 인수는 원격 서버의 주소 또는 이름이며, url 인수는 원격 서버의 소스 파일에 대한 경로입니다.

server, url, filename 인수는 대/소문자를 구분합니다.

PKCS 12 형식으로 ID 정보 가져오기

디바이스에서 시스템 충돌이 발생하거나 감독자 모듈을 교체할 경우 인증서 및 RSA 키 쌍을 가져와 복구할 수 있습니다.


가져오기 URL을 지정할 경우 bootflash:filename 형식만 사용할 수 있습니다.

시작하기 전에

신뢰 지점과 연결된 RSA 키 쌍이 없는지, CA 인증을 사용하여 신뢰 지점과 연결된 CA가 없는지 확인하여 신뢰 지점이 비어있는지 확인합니다.

  명령 또는 작업 목적
1

copyscheme://server/[url/]filenamebootflash:filename

예:

switch# copy tftp:adminid.p12 bootflash:adminid.p12

원격 서버에서 PKCS#12 형식 파일을 복사합니다.

scheme 인수의 경우 tftp:, ftp:, scp: 또는 sftp:를 입력할 수 있습니다. server 인수는 원격 서버의 주소 또는 이름이며, url 인수는 원격 서버의 소스 파일에 대한 경로입니다.

server, url, filename 인수는 대/소문자를 구분합니다.

2

터미널 구성

예:

switch# configure terminal switch(config)#

전역 구성 모드로 들어갑니다.

3

crypto ca importnamepksc12 bootflash:filename

예:

switch(config)# crypto ca import admin-ca pkcs12 bootflash:adminid.p12 nbv123

신뢰 지점 CA에 대한 ID 인증서, 연결된 키 쌍, CA 인증서를 가져옵니다.

4

exit

예:

switch(config)# exit switch#

구성 모드를 종료합니다.

5

(선택 사항) show crypto ca certificates

예:

switch# show crypto ca certificates
(선택 사항)

CA 인증서를 표시합니다.

6

(선택 사항) copy running-config startup-config

예:

switch# copy running-config startup-config
(선택 사항)

실행 중인 구성을 시작 구성에 복사합니다.

CRL 구성

신뢰 지점에서 다운로드한 CR은 수동으로 구성할 수 있습니다. Cisco NX-OS 소프트웨어는 디바이스 bootflash(cert-store)에서 CRL을 캐시합니다. 피어 인증서를 확인하는 과정에서 Cisco NX-OS 소프트웨어는 CRL을 디바이스에 다운로드하고 CRL을 사용하도록 인증서 해지 확인을 구성한 경우에만 발급 CA의 CRL을 확인합니다.

시작하기 전에

인증서 해지 확인을 활성화했는지 확인합니다.

  명령 또는 작업 목적
1

copyscheme:[//server/[url/]]filenamebootflash:filename

예:

switch# copy tftp:adminca.crl bootflash:adminca.crl

원격 서버에서 CRL을 다운로드합니다.

scheme 인수의 경우 tftp:, ftp:, scp: 또는 sftp:를 입력할 수 있습니다. server 인수는 원격 서버의 주소 또는 이름이며, url 인수는 원격 서버의 소스 파일에 대한 경로입니다.

server, url, filename 인수는 대/소문자를 구분합니다.

2

터미널 구성

예:

switch# configure terminal switch(config)#

전역 구성 모드로 들어갑니다.

3

crypto ca crl requestnamebootflash:filename

예:

switch(config)# crypto ca crl request admin-ca bootflash:adminca.crl

현재 CRL을 파일에 지정된 CRL로 구성하거나 대체합니다.

4

exit

예:

switch(config)# exit switch#

구성 모드를 종료합니다.

5

(선택 사항) show crypto ca crlname

예:

switch# show crypto ca crl admin-ca
(선택 사항)

CA CRL 정보를 표시합니다.

6

(선택 사항) copy running-config startup-config

예:

switch# copy running-config startup-config
(선택 사항)

실행 중인 구성을 시작 구성에 복사합니다.

CA 구성에서 인증서 삭제

신뢰 지점에 구성된 ID 인증서 및 CA 인증서를 삭제할 수 있습니다. 먼저 ID 인증서를 삭제한 후에 CA 인증서를 삭제해야 합니다. ID 인증서를 삭제한 후 신뢰 지점에서 RSA 키 쌍을 해지할 수 있습니다. 만료되었거나 해지된 인증서, 손상되었거나 손상된 것으로 의심되는 인증서(또는 더 이상 신뢰할 수 없는) 키 쌍 또는 CA를 삭제하려면 인증서를 삭제해야 합니다.

  명령 또는 작업 목적
1

터미널 구성

예:

switch# configure terminal switch(config)#

전역 구성 모드로 들어갑니다.

2

crypto ca trustpointname

예:

switch(config)# crypto ca trustpoint admin-ca switch(config-trustpoint)#

신뢰 지점 CA를 지정하고 신뢰 지점 구성 모드로 들어갑니다.

3

delete ca-certificate

예:

switch(config-trustpoint)# delete ca-certificate

CA 인증서 또는 인증서 체인을 삭제합니다.

4

delete certificate [force]

예:

switch(config-trustpoint)# delete certificate

ID 인증서를 삭제합니다.

삭제할 ID 인증서가 인증서 체인의 마지막 인증서이거나 디바이스의 유일한 ID 인증서인 경우, force 옵션을 사용해야 합니다. 이러한 요건은 인증서 체인의 마지막 인증서 또는 유일한 인증서를 실수로 삭제하고 애플리케이션(예: SSH)을 인증서 없이 사용하도록 놔두는 상황을 방지합니다.

5

exit

예:

switch(config-trustpoint)# exit switch(config)#

신뢰 지점 구성 모드를 종료합니다.

6

(선택 사항) show crypto ca certificates [name]

예:

switch(config)# show crypto ca certificates admin-ca
(선택 사항)

CA 인증서 정보를 표시합니다.

7

(선택 사항) copy running-config startup-config

예:

switch(config)# copy running-config startup-config
(선택 사항)

실행 중인 구성을 시작 구성에 복사합니다.

Cisco NX-OS 디바이스에서 RSA 키 쌍 삭제

RSA 키 쌍이 손상된 것으로 판단되고 더 이상 사용할 수 없는 경우, Cisco NX-OS 디바이스에서 RSA 키 쌍을 삭제할 수 있습니다.


디바이스에서 RSA 키 쌍을 삭제한 후 CA 관리자에게 CA에서 디바이스의 인증서를 해지해달라고 요청합니다. 처음에 인증서를 요청할 경우, 생성해놓은 챌린지 비밀번호를 제공해야 합니다.

  명령 또는 작업 목적
1

터미널 구성

예:

switch# configure terminal switch(config)#

전역 구성 모드로 들어갑니다.

2

crypto key zeroize rsalabel

예:

switch(config)# crypto key zeroize rsa MyKey

RSA 키 쌍을 삭제합니다.

3

exit

예:

switch(config)# exit switch#

구성 모드를 종료합니다.

4

(선택 사항) show crypto key mypubkey rsa

예:

switch# show crypto key mypubkey rsa
(선택 사항)

RSA 키 쌍 설정을 표시합니다.

5

(선택 사항) copy running-config startup-config

예:

switch# copy running-config startup-config
(선택 사항)

실행 중인 구성을 시작 구성에 복사합니다.

PKI 구성 확인

PKI 구성 정보를 표시하려면 다음 작업 중 하나를 수행합니다.

명령어

목적

show crypto key mypubkey rsa

Cisco NX-OS 디바이스에 생성된 RSA 공용 키에 대한 정보를 표시합니다.

show crypto ca certificates

CA 및 ID 인증서에 대한 정보를 표시합니다.

show crypto ca crl

CA CR에 대한 정보를 표시합니다.

show crypto ca trustpoints

CA 신뢰 지점에 대한 정보를 표시합니다.

PKI의 구성 예제

이 섹션에서는 Microsoft Windows 인증서 서버를 사용하여 Cisco NX-OS 디바이스에서 인증서 및 CRL을 구성하는 데 사용할 수 있는 작업의 예제를 보여줍니다.


모든 유형의 인증서 서버를 사용하여 디지털 인증서를 생성할 수 있습니다. Microsoft Windows 인증서 서버 사용에만 국한되지 않습니다.

Cisco NX-OS 디바이스에서 인증서 구성

Cisco NX-OS 디바이스에서 인증서를 구성하려면 다음 단계를 수행합니다.

1

디바이스 FQDN을 구성합니다.

switch# configure terminal 한 줄에 하나씩 구성 명령어를 입력합니다. End with CNTL/Z. switch(config)# hostname Device-1 Device-1(config)# 
2

디바이스에 대한 DNS 도메인 이름을 구성합니다.

Device-1(config)# ip domain-name cisco.com

3

신뢰 지점을 생성합니다.

Device-1(config)# crypto ca trustpoint myCA Device-1(config-trustpoint)# exit Device-1(config)# show crypto ca trustpoints trustpoint: myCA; key: revokation methods: crl 
4

디바이스에 대한 RSA 키 쌍을 생성합니다.

Device-1(config)# crypto key generate rsa label myKey exportable modulus 1024 Device-1(config)# show crypto key mypubkey rsa key label: myKey key size: 1024 exportable: 예 
5

RSA 키 쌍을 신뢰 지점에 연결합니다.

Device-1(config)# crypto ca trustpoint myCA Device-1(config-trustpoint)# rsakeypair myKey Device-1(config-trustpoint)# exit Device-1(config)# show crypto ca trustpoints trustpoint: myCA; key: myKey revokation methods: crl 
6

Microsoft 인증서 서비스 웹 인터페이스에서 CA 인증서를 다운로드합니다.

7

신뢰 지점에 등록할 CA를 인증합니다.

Device-1(config)# crypto ca authenticate myCA input (cut & paste) CA certificate (chain) in PEM format; end the input with a line containing only END OF INPUT : -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB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-----END CERTIFICATE-----
END OF INPUT Fingerprint(s): MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Do you accept this certificate? [yes/no]:y Device-1(config)# show crypto ca certificates Trustpoint: myCA CA certificate 0: subject= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA issuer= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA serial=0560D289ACB419944F4912258CAD197A notBefore=May 3 22:46:37 2005 GMT notAfter=May 3 22:55:17 2007 GMT MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 purposes: sslserver sslclient ike 
8

신뢰 지점에 등록하는 데 사용할 요청 인증서를 생성합니다.

Device-1(config)# crypto ca enroll myCA Create the certificate request .. 챌린지 비밀번호를 생성합니다. 인증서를 해지하려면 CA 관리자에게 이 비밀번호를 구두로 제공해야 합니다. 보안상의 이유로 비밀번호는 구성에 저장되지 않습니다. 이 점에 유의하십시오. 비밀번호: nbv123 The subject name in the certificate will be: Device-1.cisco.com Include the switch serial number in the subject name? [yes/no]: no Include an IP address in the subject name [yes/no]: yes ip address: 10.10.1.1 The certificate request will be displayed... -----BEGIN CERTIFICATE REQUEST----- MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= -----END CERTIFICATE REQUEST----- 
9

Microsoft 인증서 서비스 웹 인터페이스에서 ID 인증서를 요청합니다.

10

ID 인증서를 가져옵니다.

Device-1(config)# crypto ca import myCA certificate input (cut & paste) certificate in PEM format: -----BEGIN CERTIFICATE----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G
CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD
VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz
Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w
NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu
Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C
dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47
glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb
x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw
GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR
bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW
pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE
BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w
DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh
cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6
Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6
Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH
AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl
LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4
XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF
AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw
E36cIZu4WsExREqxbTk8ycx7V5o=
-----END CERTIFICATE----- Device-1(config)# exit Device-1# 
11

인증서 구성을 확인합니다.

12

인증서 구성을 시작 구성에 저장합니다.

CA 인증서 다운로드

Microsoft 인증서 서비스 웹 인터페이스에서 CA 인증서를 다운로드하려면 다음 단계를 수행합니다.

1

Microsoft 인증서 서비스 웹 인터페이스에서 CA 인증서 또는 인증서 해지 작업 검색다음을 차례로 클릭합니다.

2

표시 목록에서 다운로드할 CA 인증서 파일을 선택합니다. 그런 다음 Base 64로 인코딩CA 인증서 다운로드를 차례로 클릭합니다.

3

파일 다운로드 대화 상자에서 열기를 클릭합니다.

4

인증서 대화 상자에서 파일에 복사확인을 차례로 클릭합니다.

5

인증서 내보내기 마법사 대화 상자에서 Base-64로 인코딩된 X.509(CER)다음을 차례로 클릭합니다.

6

파일 이름에서: 인증서 내보내기 마법사 대화 상자의 텍스트 상자에 대상 파일 이름을 입력하고 다음을 클릭합니다.

7

인증서 내보내기 마법사 대화 상자에서 마침을 클릭합니다.

8

Microsoft Windows type 명령을 입력하여 Base-64(PEM) 형식으로 저장된 CA 인증서를 표시합니다.

ID 인증서 요청

PKCS#12 인증서 서명 요청(CRS)을 사용하여 Microsoft 인증서 서버에서 ID 인증서를 요청하려면 다음 단계를 수행합니다.

1

Microsoft 인증서 서비스 웹 인터페이스에서 인증서 요청다음을 클릭합니다.

2

고급 요청다음을 차례로 클릭합니다.

3

base64로 인코딩된 PKCS#10 파일을 사용하여 인증서 요청 또는 base64로 인코딩된 PKCS#7 파일을 사용하여 인증서 요청 제출 다음을 차례로 클릭합니다.

4

저장된 요청 텍스트 상자에 base64 PKCS#10 인증서 요청을 붙여넣고 다음을 클릭합니다. 인증서 요청이 Cisco NX-OS 디바이스 콘솔에서 복사됩니다.

5

CA 관리자가 인증서를 발급할 때까지 하루 또는 이틀 동안 기다립니다.

6

CA 관리자가 인증서 요청을 승인합니다.

7

Microsoft 인증서 서비스 웹 인터페이스에서 보류 중인 인증서 확인다음을 차례로 클릭합니다.

8

확인할 인증서 요청을 선택하고 다음을 클릭합니다.

9

Base 64로 인코딩CA 인증서 다운로드를 차례로 클릭합니다.

10

파일 다운로드 대화 상자에서 열기를 선택합니다.

11

인증서 상자에서 세부 정보 탭을 클릭하고 파일에 복사...를 클릭합니다. 인증서 내보내기 대화 상자에서 Base-64로 인코딩된 X.509(.CER)다음을 차례로 클릭합니다.

12

파일 이름에서: 인증서 내보내기 마법사 대화 상자의 텍스트 상자에 대상 파일 이름을 입력하고 다음을 클릭합니다.

13

마침을 클릭합니다.

14

Microsoft Windows type 명령을 입력하여 ID 인증서를 base64로 인코딩된 형식으로 표시합니다.

인증서 해지

Microsoft CA 관리자 프로그램을 사용하여 인증서를 해지하려면 다음 단계를 수행합니다.

1

인증 기관 트리에서 발급된 인증서 폴더를 클릭합니다. 목록에서 해지할 인증서를 마우스 오른쪽 버튼으로 클릭합니다.

2

모든 작업 > 인증서 해지를 선택합니다.

3

사유 코드 드롭다운 목록에서 해지 사유를 선택하고 를 클릭합니다.

4

해지된 인증서 폴더를 클릭하여 인증서 해지 목록을 나열하고 확인합니다.

CRL 생성 및 공개

Microsoft CA 관리자 프로그램을 사용하여 CRL을 생성하고 게시하려면 다음 단계를 수행합니다.

1

인증 기관 화면에서 작업 > 모든 작업 > 게시를 선택합니다.

2

인증서 해지 목록 대화 상자에서 를 클릭하여 최신 CRL을 게시합니다.

CRL 다운로드

Microsoft CA 웹사이트에서 CRL을 다운로드하려면 다음 단계를 수행합니다.

1

Microsoft 인증서 서비스 웹 인터페이스에서 CA 인증서 또는 인증서 해지 목록 검색다음을 차례로 클릭합니다.

2

최신 인증서 해지 목록 다운로드를 클릭합니다.

3

파일 다운로드 대화 상자에서 저장을 클릭합니다.

4

다른 이름으로 저장 대화 상자에 대상 파일 이름을 입력하고 저장을 클릭합니다.

5

Microsoft Windows type 명령을 입력하여 CRL을 표시합니다.

CRL 가져오기

CRL을 CA에 해당하는 신뢰 지점으로 가져오려면 다음 단계를 수행합니다.

1

CRL 파일을 Cisco NX-OS 디바이스 bootflash로 복사합니다.

Device-1# copy tftp:apranaCA.crl bootflash:aparnaCA.crl

2

CRL을 구성합니다.

 Device-1# configure terminal Device-1(config)# crypto ca crl request myCA bootflash:aparnaCA.crl Device-1(config)# 
3

CRL의 내용을 표시합니다.

 Device-1(config)# show crypto ca crl myCA Trustpoint: myCA CRL: 인증서 해지 목록(CRL): 버전 2(0x1) 서명 알고리즘: sha1WithRSAEncryption Issuer: /emailAddress=admin@yourcompany.com/C=IN/ST=Karnatak Yourcompany/OU=netstorage/CN=Aparna CA Last Update: Nov 12 04:36:04 2005 GMT Next Update: Nov 19 16:56:04 2005 GMT CRL extensions: X509v3 Authority Key Identifier: keyid:27:28:F2:46:83:1B:AC:23:4C:45:4D:8E:C9:18:50:1 1.3.6.1.4.1.311.21.1: ... 해지된 인증서: 일련 번호: 611B09A1000000000002 해지 날짜: 8월 16일 21:52:19 2005 GMT 일련 번호: 4CDE464E000000000003 해지 날짜: 8월 16일 21:52:29 2005 GMT 일련 번호: 4CFC2B42000000000004 해지 날짜: 8월 16일 21:52:41 2005 GMT 일련 번호: 6C699EC2000000000005 해지 날짜: 8월 16일 21:52:52 2005 GMT 일련 번호: 6CCF7DDC000000000006 해지 날짜: 6월 8일 00:12:04 2005 GMT 일련 번호: 70CC4FFF000000000007 해지 날짜: 8월 16일 21:53:15 2005 GMT 일련 번호: 4D9B1116000000000008 해지 날짜: 8월 16일 21:53:15 2005 GMT 일련 번호: 52A80230000000000009 해지 날짜: 6월 27일 23:47:06 2005 GMT CRL 항목 확장명: X509v3 CRL 사유 코드: CA 손상 일련 번호: 5349AD4600000000000A 해지 날짜: 6월 27일 23:47:22 2005 GMT CRL 항목 확장명: X509v3 CRL 사유 코드: CA 손상 일련 번호: 53BD173C00000000000B 해지 날짜: 7월 4일 18:04:01 2005 GMT CRL 항목 확장명: X509v3 CRL 사유 코드: 인증서 보류 일련 번호: 591E7ACE00000000000C 해지 날짜: 8월 16일 21:53:15 2005 GMT 일련 번호: 5D3FD52E00000000000D 해지 날짜: 6월 29일 22:07:25 2005 GMT CRL 항목 확장명: X509v3 CRL 사유 코드: 키 손상 일련 번호: 5DAB771300000000000E 해지 날짜: 7월 14일 00:33:56 2005 GMT 일련 번호: 5DAE53CD00000000000F 해지 날짜: 8월 16일 21:53:15 2005 GMT 일련 번호: 5DB140D3000000000010 해지 날짜: 8월 16일 21:53:15 2005 GMT 일련 번호: 5E2D7C1B000000000011 해지 날짜: 7월 6일 21:12:10 2005 GMT CRL 항목 확장명: X509v3 CRL 사유 코드: 작업 중단 일련 번호: 16DB4F8F000000000012 해지 날짜: 8월 16일 21:53:15 2005 GMT 일련 번호: 261C3924000000000013 해지 날짜: 8월 16일 21:53:15 2005 GMT 일련 번호: 262B5202000000000014 해지 날짜: 7월 14일 00:33:10 2005 GMT 일련 번호: 2634C7F2000000000015 해지 날짜: 7월 14일 00:32:45 2005 GMT 일련 번호: 2635B000000000000016 해지 날짜: 7월 14일 00:31:51 2005 GMT 일련 번호: 2648504000000017 해지 날짜: 7월 14일 00:32:25 2005 GMT 일련 번호: 2A276357000000000018 해지 날짜: 8월 16일 21:53:15 2005 GMT 일련 번호: 3F88CBF7000000000019 해지 날짜: 8월 16일 21:53:15 2005 GMT 일련 번호: 6E4B5F5F00000000001A 해지 날짜: 8월 16일 21:53:15 2005 GMT 일련 번호: 725B89D800000000001B 해지 날짜: 8월 16일 21:53:15 2005 GMT 일련 번호: 735A887800000000001C 해지 날짜: 8월 16일 21:53:15 2005 GMT 일련 번호: 148511C700000000001D 해지 날짜: 8월 16일 21:53:15 2005 GMT 일련 번호: 14A7170100000000001E 해지 날짜: 8월 16일 21:53:15 2005 GMT 일련 번호: 14FC45B500000000001F 해지 날짜: 8월 17일 18:30:42 2005 GMT 일련 번호: 486CE80B000000000020 해지 날짜: 8월 17일 18:30:43 2005 GMT 일련 번호: 4CA4A3AA000000000021 해지 날짜: 8월 17일 18:30:43 2005 GMT 일련 번호: 1AA55C8E00000000002F 해지 날짜: 9월 5일 17:07:06 2005 GMT 일련 번호: 3F0845DD00000000003F 해지 날짜: 9월 8일 20:24:32 2005 GMT 일련 번호: 3F619B7E000000000042 해지 날짜: 9월 8일 21:40:48 2005 GMT 일련 번호: 6313C463000000000052 해지 날짜: 9월 19일 17:37:18 2005 GMT 일련 번호: 7C3861E3000000000060 해지 날짜: 9월 20일 17:52:56 2005 GMT 일련 번호: 7C6EE351000000000061 해지 날짜: 9월 20일 18:52:30 2005 GMT 일련 번호: 0A338EA10000000074 <-- 해지된 ID 인증서 해지 날짜: 11월 12일 04:34:42 2005 GMT 서명 알고리즘: sha1WithRSAEncryption 0b:cb:dd:43:0a:b8:62:1e:80:95:06:6f:4d:ab:0c:d8:8e:32: 44:8e:a7:94:97:af:02:b9:a6:9c:14:fd:eb:90:cf:18:c9:96: 29:bb:57:37:d9:1f:d5:bd:4e:9a:4b:18:2b:00:2f:d2:6e:c1: 1a:9f:1a:49:b7:9c:58:24:d7:72 

 

해지된 디바이스의 ID 인증서(일련 번호 0A338EA1000000074)는 마지막에 나열됩니다.