- PKI configureren
- Informatie over PKI
- CAs en digitale certificaten
- Vertrouwensmodel, vertrouwenspunten en identiteits-
- RSA-sleutelparen en identiteitscertificaten
- Ondersteuning voor meerdere vertrouwde ca.
- Ondersteuning voor PKI-inschrijving
- Handmatig inschrijven met knippen en plakken
- Ondersteuning van meerdere RSA-sleutelparen en identiteits-CA's
- Peercertificaatverificatie
- Certificaatintrekkingscontrole
- CRL-ondersteuning
- Ondersteuning voor certificaten en gekoppelde sleutelparen importeren en exporteren
- Licentievereisten voor PKI
- Richtlijnen en beperkingen voor PKI
- Standaardinstellingen voor PKI
- CAs- en digitale certificaten configureren
- De hostnaam en de IP-domeinnaam configureren
- Een RSA-sleutelpaar genereren
- Een CA-association met vertrouwenspunt maken
- De CA wordt echte werk
- Controlemethoden voor certificaat intrekken configureren
- Certificaataanvragen genereren
- Identiteitscertificaten installeren
- Vertrouwenspuntconfiguraties blijven behouden bij opnieuw opstarten
- Identiteitsgegevens exporteren in PKCS 12-indeling
- Identiteitsgegevens importeren in PKCS 12-indeling
- Een CRL configureren
- Certificaten verwijderen uit de CA-configuratie
- RSA-sleutelparen verwijderen van een Cisco NX-OS-apparaat
- De PKI-configuratie controleren
- Configuratievoorbeelden voor PKI
- Certificaten configureren op een Cisco NX-OS-apparaat
- Een CA-certificaat downloaden
- Een identiteitscertificaat aanvragen
- Een certificaat inroepen
- CRL genereren en publiceren
- DE CRL downloaden
- De CRL importeren
PKI configureren
Dit hoofdstuk bevat de volgende gedeelten:
Informatie over PKI
Dit gedeelte bevat informatie over PKI.
CAs en digitale certificaten
Certificeringsinstanties (CAs) beheren certificaataanvragen en geven certificaten uit aan deelnemende entiteiten zoals hosts, netwerkapparaten of gebruikers. De CAs bieden gecentraliseerd sleutelbeheer voor de deelnemende entiteiten.
Digitale handtekeningen, gebaseerd op cryptografie in de openbare sleutel, apparaten en afzonderlijke gebruikers digitaal verifiëren. In cryptografie voor de openbare sleutel, zoals het RSA-coderingssysteem, heeft elk apparaat of gebruiker een sleutelpaar dat zowel een privésleutel als een openbare sleutel bevat. De privésleutel wordt geheim gehouden en is alleen bekend bij het eigen apparaat of alleen voor gebruikers. De openbare sleutel is echter bekend voor iedereen. Alles gecodeerd met een van de sleutels kan met de andere worden gedecodeerd. Een handtekening wordt gevormd wanneer gegevens worden gecodeerd met de privésleutel van de afzender. De ontvanger verifieert de handtekening door het bericht te decoderen met de openbare sleutel van de afzender. Dit proces is afhankelijk van de ontvanger die een kopie van de openbare sleutel van de afzender heeft en weet met een hoge kwaliteit van het ontvangen dat het echt tot de afzender behoort en niet aan iemand die de afzender is.
Digitale certificaten koppelen de digitale handtekening aan de afzender. Een digitaal certificaat bevat informatie om een gebruiker of apparaat te identificeren, zoals de naam, het serienummer, het bedrijf, de afdeling of het IP-adres. De bevat ook een kopie van de openbare sleutel van de entiteit. De CA die het certificaat tekent is een derde partij die de ontvanger expliciet vertrouwt om identiteiten te valideren en om digitale certificaten te maken.
Om de handtekening van de CA te valideren, moet de ontvanger eerst de openbare sleutel van de CA kennen. Doorgaans wordt dit proces afgehandeld buiten de band of via een bewerking die tijdens de installatie is uitgevoerd. De meeste webbrowsers zijn bijvoorbeeld standaard geconfigureerd met de openbare sleutels van meerdere CAs.
Vertrouwensmodel, vertrouwenspunten en identiteits-
Het PKI-vertrouwensmodel is hiërarchisch met meerdere configureerbare vertrouwde CAs. U kunt elk deelnemend apparaat configureren met een lijst met vertrouwde CAs's zodat een peercertificaat die is verkregen tijdens de uitwisseling van beveiligingsprotocols, kan worden geverifieerd als het is uitgegeven door een van de lokaal vertrouwde CAs('s). De Cisco NX-OS-software slaat lokaal de zelf-ondertekende hoofdcertificaat van de vertrouwde CA (of certificaatketen voor een ondergeschikte CA) op. Het proces om het systeem van een vertrouwde certificeringsinstantie veilig hoofdcertificaat te verkrijgen (of de volledige keten in het geval van een ondergeschikte CA) en deze lokaal op te slaan, wordt CA-verificatiegenoemd.
De informatie over een vertrouwde CA die u hebt geconfigureerd, wordt het vertrouwenspunt genoemd en de CA zelf heet een trust point CA. Deze informatie bestaat uit een CA-certificaat (of certificaatketen in het geval van een ondergeschikte CA) en controlegegevens voor certificaatintrekken.
Het Cisco NX-OS-apparaat kan zich ook met een vertrouwenspunt aanmelden om een identiteitscertificaat te verkrijgen om aan een sleutelpaar te koppelen. Dit vertrouwenspunt wordt een identiteits-CAgenoemd.
RSA-sleutelparen en identiteitscertificaten
U kunt een identiteitscertificaat verkrijgen door een of meer RSA-sleutelparen te genereren en door elke RSA-sleutelpaar te koppelen aan een trust point CA van waar het Cisco NX-OS-apparaat in wil schrijven. Voor het Cisco NX-OS-apparaat is slechts één identiteit per CA nodig. Het bevat één sleutelpaar en één identiteitscertificaat per CA.
Met de Cisco NX-OS-software kunt u RSA-sleutelparen genereren met een configureerbare sleutelgrootte (of modulus). De standaardsleutelgrootte is 512. U kunt ook een RSA-label voor sleutelparen configureren. Het standaardsleutellabel is het volledig gekwalificeerde domeinnaam (FQDN).
In de volgende lijst is de relatie tussen vertrouwenspunten, RSA-sleutelparen en identiteitscertificaten samengevat:
Een vertrouwenspunt is gelijk aan een specifieke CA die het Cisco NX-OS-apparaat vertrouwt voor verificatie peercertificaat elke toepassing (zoals SSH).
Een Cisco NX-OS-apparaat kan veel vertrouwenspunten hebben en alle toepassingen op het apparaat kunnen een peercertificaat een van de trust point-CA's vertrouwen.
Een vertrouwenspunt is niet beperkt tot een specifieke toepassing.
Een Cisco NX-OS-apparaat inschrijft bij de CA die correspondeert met het vertrouwenspunt om een identiteitscertificaat te verkrijgen. U kunt uw apparaat inschrijven met meerdere vertrouwenspunten wat betekent dat u een afzonderlijk identiteitscertificaat kunt verkrijgen vanaf elk vertrouwenspunt. De identiteitscertificaten worden gebruikt door toepassingen, afhankelijk van de doeleinden die door de uitgevende CA in het certificaat zijn gespecificeerd. Het doel van een certificaat wordt in het certificaat opgeslagen als certificaatextensie.
Wanneer u zich inschrijft met een vertrouwenspunt, moet u een RSA-sleutelpaar opgeven dat moet worden gecertificeerd. Dit sleutelpaar moet worden gegenereerd en gekoppeld aan het vertrouwenspunt voordat het inschrijvingsverzoek wordt gegenereerd. De koppeling tussen het vertrouwenspunt, het sleutelpaar en het identiteitscertificaat is geldig totdat het expliciet wordt verwijderd door het certificaat, het sleutelpaar of het vertrouwde punt te verwijderen.
De onderwerpnaam in het identiteitscertificaat is de naam volledig gekwalificeerde domeinnaam het Cisco NX-OS-apparaat.
U kunt een of meer RSA-sleutelparen genereren op een apparaat en elk apparaat kan worden gekoppeld aan een of meer vertrouwenspunten. Er kunnen echter niet meer dan 1 paar sleutels worden gekoppeld aan een vertrouwenspunt, wat betekent dat slechts één identiteitscertificaat is toegestaan vanuit een CA.
Als het Cisco NX-OS-apparaat meerdere identiteitscertificaten verkrijgt (elk van een afzonderlijke CA), is het certificaat dat een toepassing selecteert voor gebruik in een beveiligingsprotocol-uitwisseling met een peer specifiek voor toepassing.
U hoeft geen of meer vertrouwenspunten aan te wijzen voor een toepassing. Elke toepassing kan elk certificaat gebruiken dat wordt uitgegeven door een vertrouwenspunt, zolang het certificaat maar voldoet aan de vereisten van de toepassing.
U hebt niet meer dan één identiteitscertificaat uit een vertrouwenspunt of meer dan één sleutelpaar nodig om aan een vertrouwenspunt te worden gekoppeld. Een CA-certificaat verklaart een bepaalde identiteit (of naam) maar één keer en geeft niet meerdere certificaten met dezelfde naam uit. Als u meer dan één identiteitscertificaat voor een certificerings- of certificeringsmedewerker nodig hebt en de CA meerdere certificaten met dezelfde namen toestaat, moet u een ander vertrouwenspunt voor dezelfde CA definiëren, een andere sleutelpaar koppelen aan deze certificeringsinstelling koppelen.
Ondersteuning voor meerdere vertrouwde ca.
Het Cisco NX-OS-apparaat kan meerdere CA's vertrouwen door meerdere vertrouwenspunten te configureren en elk te koppelen aan een afzonderlijke CA. Bij meerdere vertrouwde CERTIFICERINGen hoeft u geen apparaat in te schrijven bij de specifieke CA die het certificaat aan een peer uit uitgegeven heeft. In plaats daarvan kunt u het apparaat configureren met meerdere vertrouwde CAs die de peer vertrouwt. Het Cisco NX-OS-apparaat kan vervolgens een geconfigureerde vertrouwde CERTIFICERINGsinstantie gebruiken om certificaten te verifiëren die zijn ontvangen van een peer die niet zijn uitgegeven door dezelfde CA die is gedefinieerd in de identiteit van het peerapparaat.
Ondersteuning voor PKI-inschrijving
Inschrijving is het proces van het verkrijgen van een identiteitscertificaat voor het apparaat dat wordt gebruikt voor toepassingen zoals SSH. Deze fout treedt op tussen het apparaat dat een verzoek doet bij het certificaat en de certificaatautoriteit.
Het Cisco NX-OS-apparaat voert de volgende stappen uit bij het uitvoeren van het PKI-inschrijvingsproces:
Genereert een RSA-combinatie van privé- en openbare sleutels op het apparaat.
Genereert een certificaataanvraag in standaardindeling en wordt doorgestuurd naar de CA.
De CA-beheerder moet het inschrijvingsverzoek bij de CA-server mogelijk handmatig goedkeuren wanneer de aanvraag door de CA is ontvangen. |
Ontvangt het uitgegeven certificaat terug van de CA, ondertekend met de privésleutel van de CA.
Schrijven van het certificaat in een niet-uit opslagruimte op het apparaat (bootflash).
Handmatig inschrijven met knippen en plakken
De Cisco NX-OS-software ondersteunt het ophalen en inschrijven van certificaten via handmatig knippen en plakken. Bij het inschrijven voor knippen en plakken betekent dit dat u de certificaataanvragen en resulterende certificaten tussen het apparaat en de CA moet knippen en plakken.
U moet de volgende stappen uitvoeren bij gebruik van knippen en plakken in het handmatige inschrijvingsproces:
Maak een verzoek voor inschrijvingscertificaat. Het Cisco NX-OS-apparaat wordt weergegeven in een basis64-gecodeerde tekstformulier.
Knip en plak de tekst van de gecodeerde certificaataanvraag in een e-mail of in een webformulier en verzend deze naar de CA.
Ontvang het uitgegeven certificaat (in base64-gecodeerde tekstformulier) van de CA in een e-mail of in een webbrowser downloaden.
Knip het uitgegeven certificaat en plak het in het apparaat met de certificaatimportinstallatie.
Ondersteuning van meerdere RSA-sleutelparen en identiteits-CA's
Met een certificeringsinstantie voor meerdere identiteiten kan het apparaat zich aanmelden bij meer dan één vertrouwenspunt, wat resulteert in meerdere identiteitscertificaten, elk vanuit een afzonderlijke CA. Met deze functie kan het Cisco NX-OS-apparaat deelnemen aan SSH en andere toepassingen met veel peers via certificaten die zijn uitgegeven door certificeringscertificaten die acceptabel zijn voor die peers.
Dankzij de functie voor meerdere RSA-sleutelparen kan het apparaat afzonderlijke sleutels koppelen voor elke CA waarmee het is ingeschreven. Het beleid kan overeenkomen met de beleidsvereisten voor elke CA zonder dat deze conflicteren met de vereisten die zijn opgegeven door de andere ca, zoals de sleutellengte. Het apparaat kan meerdere RSA-sleutelparen genereren en elk sleutelpaar koppelen aan een afzonderlijk vertrouwenspunt. Daarna wordt, wanneer u zich inschrijft met een vertrouwenspunt, het gekoppelde sleutelpaar gebruikt om het certificaatverzoek te bouwen.
Peercertificaatverificatie
De PKI-ondersteuning op een Cisco NX-OS-apparaat kan peercertificaten verifiëren. De Cisco NX-OS-software verifieert certificaten die zijn ontvangen van peers tijdens beveiligingsuitwisselingen voor toepassingen, zoals SSH. De toepassingen verifiëren de geldigheid van de peercertificaten. De Cisco NX-OS-software voert de volgende stappen uit bij het verifiëren van peercertificaten:
Controleert of de peercertificaat is uitgegeven door een van de lokaal vertrouwde CAs.
Verifieert of de peercertificaat geldig is (niet verlopen) met betrekking tot de huidige tijd.
Controleert of de peercertificaat nog niet ingetrokken is door de uitgevende CA.
Voor de intrekkingscontrole ondersteunt de Cisco NX-OS-software de certificaat intrekkenlijst (CRL). Een CA van een vertrouwenspunt kan deze methode gebruiken om te controleren of peercertificaat is ingetrokken.
Certificaatintrekkingscontrole
De Cisco NX-OS-software kan de intrekkingsstatus van CA-certificaten controleren. De toepassingen kunnen de controlemechanismen voor intrekken gebruiken in de volgorde die u opgeeft. De keuzen zijn CRL, geen of een combinatie van deze methoden.
CRL-ondersteuning
De CAS's houden certificaten intrekkenlijsten (CRLs) bij om informatie te verstrekken over certificaten die vóór de vervaldatum zijn ingetrokken. De CAs publiceren de CRLs in een opslagplaats en geven de openbare download-URL in alle uitgegeven certificaten aan. Een client die het certificaat van een peer verifieert, kan de nieuwste CRL verkrijgen van de uitgevende CA en dit gebruiken om te bepalen of het certificaat is ingetrokken. Een client kan de CRLs van bepaalde of alle vertrouwde CAs lokaal cachen en deze later gebruiken totdat de CRLs verlopen.
De Cisco NX-OS-software staat de handmatige configuratie van vooraf geïnstalleerde CRLs voor de trust points toe en cachet deze vervolgens in de bootflash (cert-store). Tijdens de verificatie van een peercertificaat controleert de Cisco NX-OS-software de CRL van de uitgevende CA alleen als de CRL al lokaal is gecacheerd en de intrekkingscontrole is geconfigureerd om de CRL te gebruiken. Anders voert de Cisco NX-OS-software geen CRL-controle uit en overweegt u het certificaat niet in te trekken, tenzij u andere controlemethoden voor intrekken hebt geconfigureerd.
Ondersteuning voor certificaten en gekoppelde sleutelparen importeren en exporteren
Als onderdeel van het CA-verificatie- en inschrijvingsproces kunnen het ondergeschikte CA-certificaat (of de certificaatketen) en identiteitscertificaten worden geïmporteerd in standaard PEM-indeling (basis64).
De volledige identiteitsinformatie in een vertrouwenspunt kan worden geëxporteerd naar een bestand in de standaardindeling PKCS#12 die met een wachtwoord is beveiligd. Het kan later naar hetzelfde apparaat worden geïmporteerd (bijvoorbeeld na een crash van het systeem) of een vervangend apparaat. De informatie in een PKCS#12-bestand bestaat uit het RSA-sleutelpaar, het identiteitscertificaat en het CA-certificaat (of de keten).
Licentievereisten voor PKI
De volgende tabel bevat de licentievereisten voor deze functie:
Product |
Licentievereiste |
---|---|
Cisco NX-OS |
De PKI-functie vereist geen licentie. Elke functie die niet in een licentiepakket is opgenomen, is met de afbeeldingen van het Cisco NX-OS-systeem meegeleverd en wordt zonder extra kosten aan u geleverd. Zie de Licentiehandleiding voor Cisco NX-OS voor een uitleg van het licentieschema van Cisco NX-OS. |
Richtlijnen en beperkingen voor PKI
PKI heeft de volgende configuratierichtlijnen en beperkingen:
Het maximale aantal sleutelparen dat u kunt configureren op een Cisco NX-OS-apparaat is 16.
Het maximale aantal vertrouwenspunten dat u kunt weer geven op een Cisco NX-OS-apparaat is 16.
Het maximale aantal te identificeren certificaten dat u kunt configureren op een Cisco NX-OS-apparaat is 16.
Het maximale aantal certificaten in een CA-certificaatketen is 10.
Het maximale aantal vertrouwenspunten dat u kunt verifiëren voor een specifieke CA is 10.
Configuratie-rollbacks bieden geen ondersteuning voor de PKI-configuratie.
De Cisco NX-OS-software ondersteunt OSCP niet.
Als u bekend bent met de Cisco IOS CLI, moet u er rekening mee houden dat de opdrachten voor Cisco NX-OS voor deze functie afwijken van de Cisco IOS-opdrachten die u zou gebruiken.
|
Standaardinstellingen voor PKI
Deze tabel bevat de standaardinstellingen voor PKI-parameters.
Parameters |
Standaard |
---|---|
Vertrouwenspunt |
Geen |
RSA-sleutelpaar |
Geen |
RSA-label voor sleutelparen |
Apparaat FQDN |
Modulus voor RSA-sleutelpaar |
512 |
Exporteerbaar RSA-sleutelpaar |
Enabled |
Controlemethode voor intrekken |
Crl |
CAs- en digitale certificaten configureren
Dit gedeelte beschrijft de taken die u moet uitvoeren om certificeringscertificaten en digitale certificaten van uw Cisco NX-OS-apparaat te laten interopereren.
De hostnaam en de IP-domeinnaam configureren
U moet de hostnaam en de IP-domeinnaam van het apparaat configureren als u deze nog niet hebt geconfigureerd, omdat de Cisco NX-OS-software de volledig gekwalificeerde domeinnaam (FQDN) van het apparaat als onderwerp in het identiteitscertificaat gebruikt. Ook gebruikt de Cisco NX-OS-software het apparaat FQDN als standaardsleutellabel wanneer u geen label opgeeft tijdens het genereren van de key-pair. Een certificaat met de naam DeviceA.example.com is bijvoorbeeld gebaseerd op de hostnaam van het apparaatA en de IP-domeinnaam van een apparaat example.com.
Door de hostnaam of IP-domeinnaam te wijzigen nadat het certificaat is gegenereerd, kan het certificaat ongeldig worden. |
Opdracht of actie | Doel | |
---|---|---|
1 | terminal configureren Voorbeeld:
|
Komt in de algemene configuratiemodus. |
2 | hostnaamhostnaam Voorbeeld:
|
De hostnaam van het apparaat configureert. |
3 | ip-domeinnaam [use-vrfvrf-name] Voorbeeld:
|
Hiermee configureert u de IP-domeinnaam van het apparaat. Als u geen VRF-naam opgeeft, gebruikt de opdracht het standaard-VRF. |
4 | Afsluiten Voorbeeld:
|
Verlaat de configuratiemodus. |
5 | (Optioneel) hosts tonen Voorbeeld:
|
(optioneel) Geeft de IP-domeinnaam weer. |
6 | (Optioneel) kopiëren van opstarten-config uitvoeren-config Voorbeeld:
|
(optioneel) Kopieert de lopende configuratie naar de opstartconfiguratie. |
Een RSA-sleutelpaar genereren
U kunt een RSA-sleutelpaar genereren om de beveiligings payload tijdens de beveiligingsprotocoluitwisseling voor toepassingen te ondertekenen en/of te decoderen. U moet een RSA-sleutelpaar genereren voordat u een certificaat voor uw apparaat kunt verkrijgen.
Opdracht of actie | Doel | |||||
---|---|---|---|---|---|---|
1 | terminal configureren Voorbeeld:
|
Komt in de algemene configuratiemodus. |
||||
2 | cryptosleutel genereren rsa [labellabel-tekenreeks] [exportable ] [ groottemodulus] Voorbeeld:
|
Genereert een RSA-sleutelpaar. Het maximale aantal toetsen op een apparaat is 16. De labeltekenreeks is alfanumeriek, hoofdnummergevoelig en heeft een maximale lengte van 64 tekens. De standaardlabelreeks is de hostnaam en de FQDN gescheiden door een puntteken (.). Geldige moduluswaarden zijn 512, 768, 1024, 1536 en 2048. De standaardgrootte voor modulus is 512.
Het sleutelpaar kan standaard niet worden geëxporteerd. Alleen exporteerbare sleutelparen kunnen worden geëxporteerd in de PKCS#12-indeling.
|
||||
3 | Afsluiten Voorbeeld:
|
Verlaat de configuratiemodus. |
||||
4 | (Optioneel) cryptosleutel mypubkey rsa tonen Voorbeeld:
|
(optioneel) Geeft de gegenereerde sleutel weer. |
||||
5 | (Optioneel) kopiëren van opstarten-config uitvoeren-config Voorbeeld:
|
(optioneel) Kopieert de lopende configuratie naar de opstartconfiguratie. |
Een CA-association met vertrouwenspunt maken
U moet het Cisco NX-OS-apparaat koppelen aan een trust point CA.
Voordat u begint
Genereer het RSA-sleutelpaar.
Opdracht of actie | Doel | |||
---|---|---|---|---|
1 | terminal configureren Voorbeeld:
|
Komt in de algemene configuratiemodus. |
||
2 | naam van crypto ca trustpoint Voorbeeld:
|
Stelt een trust point CA in die het apparaat moet vertrouwen en de configuratiemodus voor vertrouwenspunt betreedt.
|
||
3 | inschrijving terminal Voorbeeld:
|
Maakt handmatige inschrijving van knip-en-plak certificaten mogelijk. De standaardinstelling is ingeschakeld.
|
||
4 | rsakeypair-label Voorbeeld:
|
Geeft het label aan van het RSA-sleutelpaar dat u aan dit vertrouwenspunt wilt koppelen voor inschrijving.
|
||
5 | Afsluiten Voorbeeld:
|
Verlaat configuratiemodus vertrouwenspunt. |
||
6 | (Optioneel) vertrouwenspunten van crypto-ca tonen Voorbeeld:
|
(optioneel) Geeft informatie over vertrouwde punten weer. |
||
7 | (Optioneel) kopiëren van opstarten-config uitvoeren-config Voorbeeld:
|
(optioneel) Kopieert de lopende configuratie naar de opstartconfiguratie. |
De CA wordt echte werk
Het configuratieproces voor het vertrouwen van een CA is alleen voltooid als de CA is geverifieerd bij het Cisco NX-OS-apparaat. U moet uw Cisco NX-OS-apparaat verifiëren bij de CA door het zelf-ondertekende certificaat te verkrijgen van de CA in PEM-indeling, die de openbare sleutel van de CA bevat. Omdat het certificaat van de CA zelf is ondertekend (de CA tekent zijn eigen certificaat) moet de openbare sleutel van de CA handmatig worden geverifieerd door contact op te nemen met de CA-beheerder om de vingerafdruk van het CA-certificaat te vergelijken.
De CA die u autoreert is geen zelf-ondertekende CA, wanneer deze een ondergeschikte CA van een andere CA is, die zelf ondergeschikt is aan weer een andere CA, dus uiteindelijk eindigt op een zelf-ondertekende CA. Dit type CA-certificaat heet de CA-certificaatketen van de geverifieerde CA. In dat geval moet u tijdens de CA-verificatie de volledige lijst met CA-certificaten van alle CA-certificaten in de certificeringsketen invoeren. Het maximale aantal certificaten in een CA-certificaatketen is 10. |
Voordat u begint
Maak een association met de CA.
Verkrijg het CA-certificaat of de CA-certificaatketen.
Opdracht of actie | Doel | |||
---|---|---|---|---|
1 | terminal configureren Voorbeeld:
|
Komt in de algemene configuratiemodus. |
||
2 | verificatienaam crypto ca Voorbeeld:
|
Hiermee wordt u gevraagd het certificaat van de CA te knippen en plakken. Gebruik dezelfde naam als voor het de-de- oferen van de CA. Het maximale aantal vertrouwenspunten dat u kunt verifiëren voor een specifieke CA is 10.
|
||
3 | Afsluiten Voorbeeld:
|
Verlaat de configuratiemodus. |
||
4 | (Optioneel) vertrouwenspunten van crypto-ca tonen Voorbeeld:
|
(optioneel) Geeft de CA-informatie van vertrouwenspunt weer. |
||
5 | (Optioneel) kopiëren van opstarten-config uitvoeren-config Voorbeeld:
|
(optioneel) Kopieert de lopende configuratie naar de opstartconfiguratie. |
Controlemethoden voor certificaat intrekken configureren
Tijdens beveiligingsuitwisselingen met een client (bijvoorbeeld een SSH-gebruiker) voert het Cisco NX-OS-apparaat de certificaatverificatie uit van de door de client peercertificaat verzonden client. Voor de verificatieprocedure kan de statuscontrole van het certificaat intrekken nodig zijn.
U kunt het apparaat configureren om de CRL die is gedownload van de CA te controleren. Door de CRL te downloaden en lokaal te controleren, genereert u geen verkeer in uw netwerk. Certificaten kunnen echter tussen de downloads worden ingetrokken en uw apparaat is niet op de hoogte van de intrekken.
Voordat u begint
Verifieert u de CA.
Zorg dat u de CRL hebt geconfigureerd als u de CRL wilt controleren.
Opdracht of actie | Doel | |
---|---|---|
1 | terminal configureren Voorbeeld:
|
Komt in de algemene configuratiemodus. |
2 | naam van crypto ca trustpoint Voorbeeld:
|
Hiermee geeft u een CA met vertrouwenspunt op en voert u de configuratiemodus voor vertrouwens punt in. |
3 | intrekken-controle {crl [ geen ] geen | } Voorbeeld:
|
Hiermee configureert u de methoden voor het controleren van certificaat intrekken. De standaardmethode is crl. De Cisco NX-OS-software gebruikt de methoden voor certificaat intrekken in de volgorde die u hebt opgegeven. |
4 | Afsluiten Voorbeeld:
|
Verlaat configuratiemodus vertrouwenspunt. |
5 | (Optioneel) vertrouwenspunten van crypto-ca tonen Voorbeeld:
|
(optioneel) Geeft de CA-informatie van vertrouwenspunt weer. |
6 | (Optioneel) kopiëren van opstarten-config uitvoeren-config Voorbeeld:
|
(optioneel) Kopieert de lopende configuratie naar de opstartconfiguratie. |
Certificaataanvragen genereren
U moet een verzoek genereren om identiteitscertificaten te verkrijgen van de certificeringspunten-CA van het gekoppelde vertrouwenspunt voor elke RSA-sleutelpaars van uw apparaat. Vervolgens moet u het weergegeven verzoek knippen en plakken in een e-mail of in een websiteformulier voor de CA.
Voordat u begint
Maak een association met de CA.
Verkrijg het CA-certificaat of de CA-certificaatketen.
Opdracht of actie | Doel | |||
---|---|---|---|---|
1 | terminal configureren Voorbeeld:
|
Komt in de algemene configuratiemodus. |
||
2 | inschrijfnaam crypto-ca Voorbeeld:
|
Genereert een certificaataanvraag voor een geverifieerde certificeringsaanvraag.
|
||
3 | Afsluiten Voorbeeld:
|
Verlaat configuratiemodus vertrouwenspunt. |
||
4 | (Optioneel) crypto ca certificaten tonen Voorbeeld:
|
(optioneel) Geeft de CA-certificaten weer. |
||
5 | (Optioneel) kopiëren van opstarten-config uitvoeren-config Voorbeeld:
|
(optioneel) Kopieert de lopende configuratie naar de opstartconfiguratie. |
Identiteitscertificaten installeren
U kunt het identiteitscertificaat van de CA via e-mail ontvangen of via een webbrowser in basis64-gecodeerde tekstformulieren. U moet het identiteitscertificaat van de CA installeren door de gecodeerde tekst te knippen en te kopiëren.
Voordat u begint
Maak een association met de CA.
Verkrijg het CA-certificaat of de CA-certificaatketen.
Opdracht of actie | Doel | |
---|---|---|
1 | terminal configureren Voorbeeld:
|
Komt in de algemene configuratiemodus. |
2 | certificaat voor deimportnaam van crypto-ca Voorbeeld:
|
U wordt gevraagd het identiteitscertificaat voor de ca met de naam admin-ca te knippen en plakken. Het maximale aantal te identificeren certificaten dat u op een apparaat kunt configureren, is 16. |
3 | Afsluiten Voorbeeld:
|
Verlaat de configuratiemodus. |
4 | (Optioneel) crypto ca certificaten tonen Voorbeeld:
|
(optioneel) Geeft de CA-certificaten weer. |
5 | (Optioneel) kopiëren van opstarten-config uitvoeren-config Voorbeeld:
|
(optioneel) Kopieert de lopende configuratie naar de opstartconfiguratie. |
Vertrouwenspuntconfiguraties blijven behouden bij opnieuw opstarten
U kunt ervoor zorgen dat de trustpoint-configuratie op alle Cisco NX-OS-apparaten opnieuw wordt opgestart.
De configuratie van het trust point is een normale Cisco NX-OS-apparaatconfiguratie die zich binnen het systeem blijft voordoen, wordt alleen opnieuw opgestart als u dit expliciet kopieert naar de opstartconfiguratie. De certificaten, sleutelparen en CRL die zijn gekoppeld aan een vertrouwenspunt, zijn automatisch permanent als u de configuratie van het vertrouwde punt al hebt gekopieerd in de opstartconfiguratie. Als de configuratie van het vertrouwenspunt niet naar de opstartconfiguratie wordt gekopieerd, zijn de certificaten, sleutelparen en CRL die daaraan zijn gekoppeld niet permanent, omdat ze de overeenkomstige configuratie van het vertrouwenspunt vereisen na het opnieuw opstarten. Kopieer altijd de lopende configuratie naar de opstartconfiguratie om ervoor te zorgen dat de geconfigureerde certificaten, sleutelparen en CRLs persistent zijn. Sla ook de lopende configuratie op nadat u een certificaat of sleutelpaar hebt verwijderd om ervoor te zorgen dat de verwijdering permanent is.
De certificaten en CRL gekoppeld aan een vertrouwenspunt worden automatisch permanent bij het importeren (zonder expliciet te kopiëren naar de opstartconfiguratie) als het specifieke vertrouwenspunt al is opgeslagen in de opstartconfiguratie.
We raden u aan een back-up te maken die met een wachtwoord is beveiligd van de identiteitscertificaten en deze op een externe server op te slaan.
Bij het kopiëren van de configuratie naar een externe server zijn de certificaten en sleutelparen niet vermeld. |
Identiteitsgegevens exporteren in PKCS 12-indeling
U kunt het identiteitscertificaat exporteren samen met het RSA-sleutelpaar en het CA-certificaat (of de hele keten in het geval van een ondergeschikte CA) van een vertrouwenspunt naar een PKCS#12-bestand voor back-updoeleinden. U kunt het certificaat en het RSA-sleutelpaar importeren om te herstellen na een systeemcrash op uw apparaat of wanneer u de supervisormodules vervangt.
U kunt alleen de bootflash: bestandsnaamindeling gebruiken bij het specificeren van de export-URL. |
Voordat u begint
Verifieert u de CA.
Installeer een identiteitscertificaat.
Opdracht of actie | Doel | |
---|---|---|
1 | terminal configureren Voorbeeld:
|
Komt in de algemene configuratiemodus. |
2 | crypto caexportnaam pkcs12 bootflash:bestandsnaamwachtwoord Voorbeeld:
|
Hiermee worden het identiteitscertificaat en de gekoppelde sleutelparen en CA-certificaten voor een trust point CA exports. Het wachtwoord is alfanumeriek en hoofdnummergevoelig en heeft een maximale lengte van 128 tekens. |
3 | Afsluiten Voorbeeld:
|
Verlaat de configuratiemodus. |
4 | booflash kopiëren:bestandsnaamschema ://server / [URL/ ]bestandsnaam Voorbeeld:
|
Het PKCS#12-bestand wordt gekopieerd naar een externe server. Voor het argument schema kunt u tftp invoeren:, ftp:, scp:, of sftp:. Het serverargument is het adres of de naam van de externe server en het URL-argument is het pad naar het bronbestand op de externe server. De argumentenserver, URL en bestandsnaam zijn casegevoelig. |
Identiteitsgegevens importeren in PKCS 12-indeling
U kunt het certificaat en het RSA-sleutelpaar importeren om te herstellen na een systeemcrash op uw apparaat of wanneer u de supervisormodules vervangt.
U kunt alleen de bootflash: bestandsnaamindeling gebruiken bij het specificeren van de import-URL. |
Voordat u begint
Zorg ervoor dat het vertrouwde punt leeg is door te controleren of er geen RSA-sleutelpaar aan is gekoppeld en dat er geen CA aan het vertrouwenspunt is gekoppeld via CA-verificatie.
Opdracht of actie | Doel | |
---|---|---|
1 | kopieerschema:// server/ [URL /]bestandsnaambootflash:bestandsnaam Voorbeeld:
|
Kopieert het PKCS#12-bestand van de externe server. Voor het argument schema kunt utftp invoeren:, ftp:, scp:, of sftp:. Het serverargument is het adres of de naam van de externe server en het URL-argument is het pad naar het bronbestand op de externe server. De argumentenserver, URL en bestandsnaam zijn casegevoelig. |
2 | terminal configureren Voorbeeld:
|
Komt in de algemene configuratiemodus. |
3 | crypto caimportnaampksc12 bootflash:bestandsnaam Voorbeeld:
|
Importeert het identiteitscertificaat en de gekoppelde sleutelparen en CA-certificaten voor het trust point CA. |
4 | Afsluiten Voorbeeld:
|
Verlaat de configuratiemodus. |
5 | (Optioneel) crypto ca certificaten tonen Voorbeeld:
|
(optioneel) Geeft de CA-certificaten weer. |
6 | (Optioneel) kopiëren van opstarten-config uitvoeren-config Voorbeeld:
|
(optioneel) Kopieert de lopende configuratie naar de opstartconfiguratie. |
Een CRL configureren
U kunt handmatig CRLs configureren die u hebt gedownload vanaf de trust points. De Cisco NX-OS-software cachet de CRLs in de bootflash (cert-store) van het apparaat. Tijdens de verificatie van een peercertificaat controleert de Cisco NX-OS-software de CRL van de uitgevende CA alleen als u de CRL naar het apparaat hebt gedownload en u de certificaat intrekkingscontrole hebt geconfigureerd om de CRL te gebruiken.
Voordat u begint
Zorg dat u de controle voor certificaat intrekken hebt ingeschakeld.
Opdracht of actie | Doel | |
---|---|---|
1 | kopieerschema: [ // / URL/]]bestandsnaambootflash:bestandsnaam Voorbeeld:
|
Hiermee downloadt u de CRL vanaf een externe server. Voor het argument schema kunt u tftp invoeren:, ftp:, scp:, of sftp:. Het serverargument is het adres of de naam van de externe server en het URL-argument is het pad naar het bronbestand op de externe server. De argumentenserver, URL en bestandsnaam zijn casegevoelig. |
2 | terminal configureren Voorbeeld:
|
Komt in de algemene configuratiemodus. |
3 | verzoeknaam bootflash van crypto cacrl:bestandsnaam Voorbeeld:
|
De huidige CRL wordt geconfigureerd of vervangen door de opgegeven in het bestand. |
4 | Afsluiten Voorbeeld:
|
Verlaat de configuratiemodus. |
5 | (Optioneel) crypto ca crl-naamtonen Voorbeeld:
|
(optioneel) Geeft de CA CRL-gegevens weer. |
6 | (Optioneel) kopiëren van opstarten-config uitvoeren-config Voorbeeld:
|
(optioneel) Kopieert de lopende configuratie naar de opstartconfiguratie. |
Certificaten verwijderen uit de CA-configuratie
U kunt de identiteitscertificaten en CA-certificaten die zijn geconfigureerd in een vertrouwenspunt verwijderen. U moet eerst het identiteitscertificaat verwijderen, gevolgd door de CA-certificaten. Nadat u het identiteitscertificaat hebt verwijderd, kunt u de RSA-sleutel koppelen aan een trust point. U moet certificaten verwijderen om verlopen of ingetrokken certificaten, certificaten met gecompromitteerde (of vermoedelijk gecompromitteerde) sleutelparen of niet meer vertrouwde CAs te verwijderen.
Opdracht of actie | Doel | |
---|---|---|
1 | terminal configureren Voorbeeld:
|
Komt in de algemene configuratiemodus. |
2 | naam van crypto ca trustpoint Voorbeeld:
|
Hiermee geeft u een CA met vertrouwenspunt op en voert u de configuratiemodus voor vertrouwens punt in. |
3 | ca-certificaat verwijderen Voorbeeld:
|
Hiermee verwijdert u het CA-certificaat of de certificaatketen. |
4 | certificaat verwijderen [force] Voorbeeld:
|
Hiermee verwijdert u het identiteitscertificaat. U moet de force-optie gebruiken als het identiteitscertificaat dat u wilt verwijderen het laatste certificaat in de certificaatketen is of alleen het identiteitscertificaat in het apparaat. Deze vereiste zorgt ervoor dat u ten onrechte het laatste certificaat in een certificaatketen of alleen het identiteitscertificaat verwijdert en de toepassingen (zoals SSH) zonder certificaat laat gebruiken. |
5 | Afsluiten Voorbeeld:
|
Verlaat configuratiemodus vertrouwenspunt. |
6 | (Optioneel) crypto ca certificaten tonen [ naam] Voorbeeld:
|
(optioneel) Geeft de CA-certificaatgegevens weer. |
7 | (Optioneel) kopiëren van opstarten-config uitvoeren-config Voorbeeld:
|
(optioneel) Kopieert de lopende configuratie naar de opstartconfiguratie. |
RSA-sleutelparen verwijderen van een Cisco NX-OS-apparaat
U kunt de RSA-sleutelparen verwijderen van een Cisco NX-OS-apparaat als de RSA-sleutelparen op de een of andere manier zijn aangetast en niet meer moeten worden gebruikt.
Nadat u RSA-sleutelparen van een apparaat hebt verwijderd, vraagt u de CA-beheerder om de certificaten van uw apparaat in te trekken bij de CA. U moet het wachtwoord voor de uitdaging opgeven dat u hebt gemaakt toen u de certificaten oorspronkelijk hebt aangevraagd. |
Opdracht of actie | Doel | |
---|---|---|
1 | terminal configureren Voorbeeld:
|
Komt in de algemene configuratiemodus. |
2 | cryptosleutel zeroizersa-label Voorbeeld:
|
Hiermee verwijdert u het RSA-sleutelpaar. |
3 | Afsluiten Voorbeeld:
|
Verlaat de configuratiemodus. |
4 | (Optioneel) cryptosleutel mypubkey rsa tonen Voorbeeld:
|
(optioneel) Geeft de configuratie van het RSA-sleutelpaar weer. |
5 | (Optioneel) kopiëren van opstarten-config uitvoeren-config Voorbeeld:
|
(optioneel) Kopieert de lopende configuratie naar de opstartconfiguratie. |
De PKI-configuratie controleren
Als u PKI-configuratiegegevens wilt weergeven, voert u een van de volgende taken uit:
Opdracht |
Doel |
---|---|
cryptosleutel mypubkey rsa tonen |
Geeft informatie weer over de openbare RSA-sleutels die zijn gegenereerd op het Cisco NX-OS-apparaat. |
crypto ca certificaten tonen |
Geeft informatie weer over CA- en identiteitscertificaten. |
crypto ca crl tonen |
Geeft informatie weer over CA-CRLs. |
vertrouwenspunten van crypto-ca tonen |
Geeft informatie weer over CA-vertrouwenspunten. |
Configuratievoorbeelden voor PKI
In dit gedeelte staan voorbeelden van de taken die u kunt gebruiken om certificaten en CRLs te configureren op Cisco NX-OS-apparaten met behulp van een Microsoft Windows-certificaatserver.
U kunt elk type certificaatserver gebruiken om digitale certificaten te genereren. U kunt niet alleen de Microsoft Windows-certificaatserver gebruiken. |
Certificaten configureren op een Cisco NX-OS-apparaat
Volg deze stappen om certificaten te configureren op een Cisco NX-OS-apparaat:
1 | Configureer de apparaatinstellingen FQDN.
|
2 | Configureer de DNS-domeinnaam voor het apparaat.
|
3 | Een vertrouwenspunt maken.
|
4 | Maak een RSA-sleutelpaar voor het apparaat.
|
5 | Koppel de RSA-sleutel aan het vertrouwenspunt.
|
6 | Download het CA-certificaat via de webinterface van de Microsoft Certificate Service. |
7 | Verifieert de CA die u wilt inschrijven bij het vertrouwenspunt.
|
8 | Genereer een aanvraagcertificaat om te gebruiken om u in te schrijven bij een vertrouwenspunt.
|
9 | Vraag een identiteitscertificaat aan vanuit de webinterface van de Microsoft-certificaatservice. |
10 | Importeer het identiteitscertificaat.
|
11 | Controleer de certificaatconfiguratie. |
12 | Sla de certificaatconfiguratie op in de opstartconfiguratie. |
Een CA-certificaat downloaden
Als u een CA-certificaat wilt downloaden via de webinterface van Microsoft Certificate Services, volgt u deze stappen:
1 | Klik in de webinterface van Microsoft-certificaatservices op De CA-certificaat of certificaatintrekkende taak ophalen en klik op Volgende. |
2 | Kies in de weergavelijst het CA-certificaatbestand dat u wilt downloaden van de weergegeven lijst. Klik vervolgens op Basis 64 gecodeerd en klik op CA-certificaatdownloaden. |
3 | Klik op Openen in het menu Bestand dialoogvenster. |
4 | Klik in het dialoogvenster op Kopiëren naar bestand en klik op OK. |
5 | Kies in de wizard Certificaat exporteren dialoogvenster base-64 gecodeerde X.509 (CER) en klik op Volgende. |
6 | In het bestandsnaam: in de wizard Certificaat exporteren dialoogvenster voert u de doelbestandsnaam in en klikt u opVolgende. |
7 | Klik in het menu van de wizard Dialoogvenster op Voltooien. |
8 | Voer de opdracht voor het Microsoft Windows-type in om het CA-certificaat weer te geven dat is opgeslagen in Base-64 (PEM)-indeling. |
Een identiteitscertificaat aanvragen
Volg de volgende stappen om een identificatiecertificaat aan te vragen van een Microsoft-certificaatserver met behulp van een PKCS#12-certificaat ondertekeningsaanvraag (CRS).
1 | Klik in de webinterface van Microsoft Certificate Services op Een certificaat aanvragen en klik opVolgende. |
2 | Klik op Geavanceerd verzoek en klik op Volgende. |
3 | Klik op Een certificaataanvraag verzenden met een base64-gecodeerd PKCS#10-bestand of een verlengingsaanvraag met een base64-gecodeerde PKCS#7-bestand en klik op Volgende. |
4 | Plak in het tekstvak Opgeslagen verzoek de base64 PKCS#10-certificaataanvraag en klik op Volgende. De certificaataanvraag wordt gekopieerd van de apparaatconsole van Cisco NX-OS. |
5 | Wacht een of twee dagen totdat het certificaat is uitgegeven door de CA-beheerder. |
6 | De CA-beheerder keurt de certificaataanvraag goed. |
7 | Klik in de webinterface van Microsoft Certificate Services op Controleren op een certificaat in behandeling en klik op Volgende. |
8 | Kies het certificaatverzoek dat u wilt controleren en klik op Volgende. |
9 | Klik op Basis 64 gecodeerd en klik op CA-certificaatdownloaden. |
10 | Klik in het dialoogvenster bestand downloaden op Openen. |
11 | Klik in het vak Certificaat op het tabblad Details en klik op Kopiëren naarbestand.... Klik in het dialoogvenster Certificaat exporteren op Basis-64 gecodeerd X.509 (. CER)en klik op Volgende . |
12 | In het bestandsnaam: in de wizard Certificaat exporteren dialoogvenster voert u de doelbestandsnaam in en klikt u opVolgende. |
13 | Klik op Voltooien. |
14 | Voer de opdracht voor het Microsoft Windows-type in om het identiteitscertificaat in base64-gecodeerde indeling weer te geven. |
Een certificaat inroepen
Als u een certificaat wilt intrekken met het Microsoft CA-beheerdersprogramma, volgt u deze stappen:
1 | Klik in de boomstructuur van certificeringsautoriteit op de map Uitgegeven certificaten. Klik met de rechtermuisknop in de lijst op het certificaat dat u wilt intrekken. |
2 | Kies Alle taken om het > in tetrekken. |
3 | Kies in de code -vervolgkeuzelijst reden van de intrekking en klik op Ja. |
4 | Klik op de map Ingetrokken certificaten om de certificaatintrekken weer te geven en te verifiëren. |
CRL genereren en publiceren
Volg deze stappen om de CRL te genereren en publiceren met behulp van het Microsoft CA-beheerdersprogramma:
1 | Kies in het scherm Certificeringsautoriteit actie > alle taken die >publiceren. |
2 | Klik in het dialoogvenster Certificaatintrekken dialoogvenster op Ja om de nieuwste CRL te publiceren. |
DE CRL downloaden
Volg deze stappen om de CRL te downloaden van de Microsoft CA-website:
1 | Klik in de webinterface van Microsoft-certificaatservices op De CA-certificaat of certificaatintrekkenlijst ophalen en klik op Volgende. |
2 | Klik op Nieuwste certificaatintrekkenlijst downloaden. |
3 | Klik in het dialoogvenster bestand downloaden op Opslaan. |
4 | Voer in het dialoogvenster bestandsnaam de doelbestandsnaam in en klik op Opslaan. |
5 | Voer de windows-typeopdracht van Microsoft in om de CRL weer te geven. |
De CRL importeren
Als u de CRL wilt importeren naar het vertrouwde punt dat overeenkomt met de CA, volgt u deze stappen:
1 | Kopieer het CRL-bestand naar de Cisco NX-OS-apparaat bootflash.
|
||
2 | Configureer de CRL.
|
||
3 | Geef de inhoud van de CRL weer.
|