PKI configureren

Dit hoofdstuk bevat de volgende gedeelten:

Informatie over PKI

Dit gedeelte bevat informatie over PKI.

CAs en digitale certificaten

Certificeringsinstanties (CAs) beheren certificaataanvragen en geven certificaten uit aan deelnemende entiteiten zoals hosts, netwerkapparaten of gebruikers. De CAs bieden gecentraliseerd sleutelbeheer voor de deelnemende entiteiten.

Digitale handtekeningen, gebaseerd op cryptografie in de openbare sleutel, apparaten en afzonderlijke gebruikers digitaal verifiëren. In cryptografie voor de openbare sleutel, zoals het RSA-coderingssysteem, heeft elk apparaat of gebruiker een sleutelpaar dat zowel een privésleutel als een openbare sleutel bevat. De privésleutel wordt geheim gehouden en is alleen bekend bij het eigen apparaat of alleen voor gebruikers. De openbare sleutel is echter bekend voor iedereen. Alles gecodeerd met een van de sleutels kan met de andere worden gedecodeerd. Een handtekening wordt gevormd wanneer gegevens worden gecodeerd met de privésleutel van de afzender. De ontvanger verifieert de handtekening door het bericht te decoderen met de openbare sleutel van de afzender. Dit proces is afhankelijk van de ontvanger die een kopie van de openbare sleutel van de afzender heeft en weet met een hoge kwaliteit van het ontvangen dat het echt tot de afzender behoort en niet aan iemand die de afzender is.

Digitale certificaten koppelen de digitale handtekening aan de afzender. Een digitaal certificaat bevat informatie om een gebruiker of apparaat te identificeren, zoals de naam, het serienummer, het bedrijf, de afdeling of het IP-adres. De bevat ook een kopie van de openbare sleutel van de entiteit. De CA die het certificaat tekent is een derde partij die de ontvanger expliciet vertrouwt om identiteiten te valideren en om digitale certificaten te maken.

Om de handtekening van de CA te valideren, moet de ontvanger eerst de openbare sleutel van de CA kennen. Doorgaans wordt dit proces afgehandeld buiten de band of via een bewerking die tijdens de installatie is uitgevoerd. De meeste webbrowsers zijn bijvoorbeeld standaard geconfigureerd met de openbare sleutels van meerdere CAs.

Vertrouwensmodel, vertrouwenspunten en identiteits-

Het PKI-vertrouwensmodel is hiërarchisch met meerdere configureerbare vertrouwde CAs. U kunt elk deelnemend apparaat configureren met een lijst met vertrouwde CAs's zodat een peercertificaat die is verkregen tijdens de uitwisseling van beveiligingsprotocols, kan worden geverifieerd als het is uitgegeven door een van de lokaal vertrouwde CAs('s). De Cisco NX-OS-software slaat lokaal de zelf-ondertekende hoofdcertificaat van de vertrouwde CA (of certificaatketen voor een ondergeschikte CA) op. Het proces om het systeem van een vertrouwde certificeringsinstantie veilig hoofdcertificaat te verkrijgen (of de volledige keten in het geval van een ondergeschikte CA) en deze lokaal op te slaan, wordt CA-verificatiegenoemd.

De informatie over een vertrouwde CA die u hebt geconfigureerd, wordt het vertrouwenspunt genoemd en de CA zelf heet een trust point CA. Deze informatie bestaat uit een CA-certificaat (of certificaatketen in het geval van een ondergeschikte CA) en controlegegevens voor certificaatintrekken.

Het Cisco NX-OS-apparaat kan zich ook met een vertrouwenspunt aanmelden om een identiteitscertificaat te verkrijgen om aan een sleutelpaar te koppelen. Dit vertrouwenspunt wordt een identiteits-CAgenoemd.

RSA-sleutelparen en identiteitscertificaten

U kunt een identiteitscertificaat verkrijgen door een of meer RSA-sleutelparen te genereren en door elke RSA-sleutelpaar te koppelen aan een trust point CA van waar het Cisco NX-OS-apparaat in wil schrijven. Voor het Cisco NX-OS-apparaat is slechts één identiteit per CA nodig. Het bevat één sleutelpaar en één identiteitscertificaat per CA.

Met de Cisco NX-OS-software kunt u RSA-sleutelparen genereren met een configureerbare sleutelgrootte (of modulus). De standaardsleutelgrootte is 512. U kunt ook een RSA-label voor sleutelparen configureren. Het standaardsleutellabel is het volledig gekwalificeerde domeinnaam (FQDN).

In de volgende lijst is de relatie tussen vertrouwenspunten, RSA-sleutelparen en identiteitscertificaten samengevat:

  • Een vertrouwenspunt is gelijk aan een specifieke CA die het Cisco NX-OS-apparaat vertrouwt voor verificatie peercertificaat elke toepassing (zoals SSH).

  • Een Cisco NX-OS-apparaat kan veel vertrouwenspunten hebben en alle toepassingen op het apparaat kunnen een peercertificaat een van de trust point-CA's vertrouwen.

  • Een vertrouwenspunt is niet beperkt tot een specifieke toepassing.

  • Een Cisco NX-OS-apparaat inschrijft bij de CA die correspondeert met het vertrouwenspunt om een identiteitscertificaat te verkrijgen. U kunt uw apparaat inschrijven met meerdere vertrouwenspunten wat betekent dat u een afzonderlijk identiteitscertificaat kunt verkrijgen vanaf elk vertrouwenspunt. De identiteitscertificaten worden gebruikt door toepassingen, afhankelijk van de doeleinden die door de uitgevende CA in het certificaat zijn gespecificeerd. Het doel van een certificaat wordt in het certificaat opgeslagen als certificaatextensie.

  • Wanneer u zich inschrijft met een vertrouwenspunt, moet u een RSA-sleutelpaar opgeven dat moet worden gecertificeerd. Dit sleutelpaar moet worden gegenereerd en gekoppeld aan het vertrouwenspunt voordat het inschrijvingsverzoek wordt gegenereerd. De koppeling tussen het vertrouwenspunt, het sleutelpaar en het identiteitscertificaat is geldig totdat het expliciet wordt verwijderd door het certificaat, het sleutelpaar of het vertrouwde punt te verwijderen.

  • De onderwerpnaam in het identiteitscertificaat is de naam volledig gekwalificeerde domeinnaam het Cisco NX-OS-apparaat.

  • U kunt een of meer RSA-sleutelparen genereren op een apparaat en elk apparaat kan worden gekoppeld aan een of meer vertrouwenspunten. Er kunnen echter niet meer dan 1 paar sleutels worden gekoppeld aan een vertrouwenspunt, wat betekent dat slechts één identiteitscertificaat is toegestaan vanuit een CA.

  • Als het Cisco NX-OS-apparaat meerdere identiteitscertificaten verkrijgt (elk van een afzonderlijke CA), is het certificaat dat een toepassing selecteert voor gebruik in een beveiligingsprotocol-uitwisseling met een peer specifiek voor toepassing.

  • U hoeft geen of meer vertrouwenspunten aan te wijzen voor een toepassing. Elke toepassing kan elk certificaat gebruiken dat wordt uitgegeven door een vertrouwenspunt, zolang het certificaat maar voldoet aan de vereisten van de toepassing.

  • U hebt niet meer dan één identiteitscertificaat uit een vertrouwenspunt of meer dan één sleutelpaar nodig om aan een vertrouwenspunt te worden gekoppeld. Een CA-certificaat verklaart een bepaalde identiteit (of naam) maar één keer en geeft niet meerdere certificaten met dezelfde naam uit. Als u meer dan één identiteitscertificaat voor een certificerings- of certificeringsmedewerker nodig hebt en de CA meerdere certificaten met dezelfde namen toestaat, moet u een ander vertrouwenspunt voor dezelfde CA definiëren, een andere sleutelpaar koppelen aan deze certificeringsinstelling koppelen.

Ondersteuning voor meerdere vertrouwde ca.

Het Cisco NX-OS-apparaat kan meerdere CA's vertrouwen door meerdere vertrouwenspunten te configureren en elk te koppelen aan een afzonderlijke CA. Bij meerdere vertrouwde CERTIFICERINGen hoeft u geen apparaat in te schrijven bij de specifieke CA die het certificaat aan een peer uit uitgegeven heeft. In plaats daarvan kunt u het apparaat configureren met meerdere vertrouwde CAs die de peer vertrouwt. Het Cisco NX-OS-apparaat kan vervolgens een geconfigureerde vertrouwde CERTIFICERINGsinstantie gebruiken om certificaten te verifiëren die zijn ontvangen van een peer die niet zijn uitgegeven door dezelfde CA die is gedefinieerd in de identiteit van het peerapparaat.

Ondersteuning voor PKI-inschrijving

Inschrijving is het proces van het verkrijgen van een identiteitscertificaat voor het apparaat dat wordt gebruikt voor toepassingen zoals SSH. Deze fout treedt op tussen het apparaat dat een verzoek doet bij het certificaat en de certificaatautoriteit.

Het Cisco NX-OS-apparaat voert de volgende stappen uit bij het uitvoeren van het PKI-inschrijvingsproces:

  • Genereert een RSA-combinatie van privé- en openbare sleutels op het apparaat.

  • Genereert een certificaataanvraag in standaardindeling en wordt doorgestuurd naar de CA.


De CA-beheerder moet het inschrijvingsverzoek bij de CA-server mogelijk handmatig goedkeuren wanneer de aanvraag door de CA is ontvangen.

  • Ontvangt het uitgegeven certificaat terug van de CA, ondertekend met de privésleutel van de CA.

  • Schrijven van het certificaat in een niet-uit opslagruimte op het apparaat (bootflash).

Handmatig inschrijven met knippen en plakken

De Cisco NX-OS-software ondersteunt het ophalen en inschrijven van certificaten via handmatig knippen en plakken. Bij het inschrijven voor knippen en plakken betekent dit dat u de certificaataanvragen en resulterende certificaten tussen het apparaat en de CA moet knippen en plakken.

U moet de volgende stappen uitvoeren bij gebruik van knippen en plakken in het handmatige inschrijvingsproces:

  • Maak een verzoek voor inschrijvingscertificaat. Het Cisco NX-OS-apparaat wordt weergegeven in een basis64-gecodeerde tekstformulier.

  • Knip en plak de tekst van de gecodeerde certificaataanvraag in een e-mail of in een webformulier en verzend deze naar de CA.

  • Ontvang het uitgegeven certificaat (in base64-gecodeerde tekstformulier) van de CA in een e-mail of in een webbrowser downloaden.

  • Knip het uitgegeven certificaat en plak het in het apparaat met de certificaatimportinstallatie.

Ondersteuning van meerdere RSA-sleutelparen en identiteits-CA's

Met een certificeringsinstantie voor meerdere identiteiten kan het apparaat zich aanmelden bij meer dan één vertrouwenspunt, wat resulteert in meerdere identiteitscertificaten, elk vanuit een afzonderlijke CA. Met deze functie kan het Cisco NX-OS-apparaat deelnemen aan SSH en andere toepassingen met veel peers via certificaten die zijn uitgegeven door certificeringscertificaten die acceptabel zijn voor die peers.

Dankzij de functie voor meerdere RSA-sleutelparen kan het apparaat afzonderlijke sleutels koppelen voor elke CA waarmee het is ingeschreven. Het beleid kan overeenkomen met de beleidsvereisten voor elke CA zonder dat deze conflicteren met de vereisten die zijn opgegeven door de andere ca, zoals de sleutellengte. Het apparaat kan meerdere RSA-sleutelparen genereren en elk sleutelpaar koppelen aan een afzonderlijk vertrouwenspunt. Daarna wordt, wanneer u zich inschrijft met een vertrouwenspunt, het gekoppelde sleutelpaar gebruikt om het certificaatverzoek te bouwen.

Peercertificaatverificatie

De PKI-ondersteuning op een Cisco NX-OS-apparaat kan peercertificaten verifiëren. De Cisco NX-OS-software verifieert certificaten die zijn ontvangen van peers tijdens beveiligingsuitwisselingen voor toepassingen, zoals SSH. De toepassingen verifiëren de geldigheid van de peercertificaten. De Cisco NX-OS-software voert de volgende stappen uit bij het verifiëren van peercertificaten:

  • Controleert of de peercertificaat is uitgegeven door een van de lokaal vertrouwde CAs.

  • Verifieert of de peercertificaat geldig is (niet verlopen) met betrekking tot de huidige tijd.

  • Controleert of de peercertificaat nog niet ingetrokken is door de uitgevende CA.

Voor de intrekkingscontrole ondersteunt de Cisco NX-OS-software de certificaat intrekkenlijst (CRL). Een CA van een vertrouwenspunt kan deze methode gebruiken om te controleren of peercertificaat is ingetrokken.

Certificaatintrekkingscontrole

De Cisco NX-OS-software kan de intrekkingsstatus van CA-certificaten controleren. De toepassingen kunnen de controlemechanismen voor intrekken gebruiken in de volgorde die u opgeeft. De keuzen zijn CRL, geen of een combinatie van deze methoden.

CRL-ondersteuning

De CAS's houden certificaten intrekkenlijsten (CRLs) bij om informatie te verstrekken over certificaten die vóór de vervaldatum zijn ingetrokken. De CAs publiceren de CRLs in een opslagplaats en geven de openbare download-URL in alle uitgegeven certificaten aan. Een client die het certificaat van een peer verifieert, kan de nieuwste CRL verkrijgen van de uitgevende CA en dit gebruiken om te bepalen of het certificaat is ingetrokken. Een client kan de CRLs van bepaalde of alle vertrouwde CAs lokaal cachen en deze later gebruiken totdat de CRLs verlopen.

De Cisco NX-OS-software staat de handmatige configuratie van vooraf geïnstalleerde CRLs voor de trust points toe en cachet deze vervolgens in de bootflash (cert-store). Tijdens de verificatie van een peercertificaat controleert de Cisco NX-OS-software de CRL van de uitgevende CA alleen als de CRL al lokaal is gecacheerd en de intrekkingscontrole is geconfigureerd om de CRL te gebruiken. Anders voert de Cisco NX-OS-software geen CRL-controle uit en overweegt u het certificaat niet in te trekken, tenzij u andere controlemethoden voor intrekken hebt geconfigureerd.

Ondersteuning voor certificaten en gekoppelde sleutelparen importeren en exporteren

Als onderdeel van het CA-verificatie- en inschrijvingsproces kunnen het ondergeschikte CA-certificaat (of de certificaatketen) en identiteitscertificaten worden geïmporteerd in standaard PEM-indeling (basis64).

De volledige identiteitsinformatie in een vertrouwenspunt kan worden geëxporteerd naar een bestand in de standaardindeling PKCS#12 die met een wachtwoord is beveiligd. Het kan later naar hetzelfde apparaat worden geïmporteerd (bijvoorbeeld na een crash van het systeem) of een vervangend apparaat. De informatie in een PKCS#12-bestand bestaat uit het RSA-sleutelpaar, het identiteitscertificaat en het CA-certificaat (of de keten).

Licentievereisten voor PKI

De volgende tabel bevat de licentievereisten voor deze functie:

Product

Licentievereiste

Cisco NX-OS

De PKI-functie vereist geen licentie. Elke functie die niet in een licentiepakket is opgenomen, is met de afbeeldingen van het Cisco NX-OS-systeem meegeleverd en wordt zonder extra kosten aan u geleverd. Zie de Licentiehandleiding voor Cisco NX-OS voor een uitleg van het licentieschema van Cisco NX-OS.

Richtlijnen en beperkingen voor PKI

PKI heeft de volgende configuratierichtlijnen en beperkingen:

  • Het maximale aantal sleutelparen dat u kunt configureren op een Cisco NX-OS-apparaat is 16.

  • Het maximale aantal vertrouwenspunten dat u kunt weer geven op een Cisco NX-OS-apparaat is 16.

  • Het maximale aantal te identificeren certificaten dat u kunt configureren op een Cisco NX-OS-apparaat is 16.

  • Het maximale aantal certificaten in een CA-certificaatketen is 10.

  • Het maximale aantal vertrouwenspunten dat u kunt verifiëren voor een specifieke CA is 10.

  • Configuratie-rollbacks bieden geen ondersteuning voor de PKI-configuratie.

  • De Cisco NX-OS-software ondersteunt OSCP niet.


Als u bekend bent met de Cisco IOS CLI, moet u er rekening mee houden dat de opdrachten voor Cisco NX-OS voor deze functie afwijken van de Cisco IOS-opdrachten die u zou gebruiken.

Standaardinstellingen voor PKI

Deze tabel bevat de standaardinstellingen voor PKI-parameters.

Tabel 1. Standaard PKI-parameters

Parameters

Standaard

Vertrouwenspunt

Geen

RSA-sleutelpaar

Geen

RSA-label voor sleutelparen

Apparaat FQDN

Modulus voor RSA-sleutelpaar

512

Exporteerbaar RSA-sleutelpaar

Enabled

Controlemethode voor intrekken

Crl

CAs- en digitale certificaten configureren

Dit gedeelte beschrijft de taken die u moet uitvoeren om certificeringscertificaten en digitale certificaten van uw Cisco NX-OS-apparaat te laten interopereren.

De hostnaam en de IP-domeinnaam configureren

U moet de hostnaam en de IP-domeinnaam van het apparaat configureren als u deze nog niet hebt geconfigureerd, omdat de Cisco NX-OS-software de volledig gekwalificeerde domeinnaam (FQDN) van het apparaat als onderwerp in het identiteitscertificaat gebruikt. Ook gebruikt de Cisco NX-OS-software het apparaat FQDN als standaardsleutellabel wanneer u geen label opgeeft tijdens het genereren van de key-pair. Een certificaat met de naam DeviceA.example.com is bijvoorbeeld gebaseerd op de hostnaam van het apparaatA en de IP-domeinnaam van een apparaat example.com.


Door de hostnaam of IP-domeinnaam te wijzigen nadat het certificaat is gegenereerd, kan het certificaat ongeldig worden.

  Opdracht of actie Doel
1

terminal configureren

Voorbeeld:

switch# terminal 
 switch(config) configureren #

Komt in de algemene configuratiemodus.

2

hostnaamhostnaam

Voorbeeld:

switch(config)# hostnaam apparaatA

De hostnaam van het apparaat configureert.

3

ip-domeinnaam [use-vrfvrf-name]

Voorbeeld:

DeviceA(config)# ip-domeinnaam example.com

Hiermee configureert u de IP-domeinnaam van het apparaat. Als u geen VRF-naam opgeeft, gebruikt de opdracht het standaard-VRF.

4

Afsluiten

Voorbeeld:

switch(config)# schakelaar 
 voor afsluiten #

Verlaat de configuratiemodus.

5

(Optioneel) hosts tonen

Voorbeeld:

switch# hosts tonen
(optioneel)

Geeft de IP-domeinnaam weer.

6

(Optioneel) kopiëren van opstarten-config uitvoeren-config

Voorbeeld:

switch# copy running-config opstarten-config
(optioneel)

Kopieert de lopende configuratie naar de opstartconfiguratie.

Een RSA-sleutelpaar genereren

U kunt een RSA-sleutelpaar genereren om de beveiligings payload tijdens de beveiligingsprotocoluitwisseling voor toepassingen te ondertekenen en/of te decoderen. U moet een RSA-sleutelpaar genereren voordat u een certificaat voor uw apparaat kunt verkrijgen.

  Opdracht of actie Doel
1

terminal configureren

Voorbeeld:

switch# terminal 
 switch(config) configureren #

Komt in de algemene configuratiemodus.

2

cryptosleutel genereren rsa [labellabel-tekenreeks] [exportable ] [ groottemodulus]

Voorbeeld:

switch(config)# cryptosleutel genereert rsa-exportable

Genereert een RSA-sleutelpaar. Het maximale aantal toetsen op een apparaat is 16.

De labeltekenreeks is alfanumeriek, hoofdnummergevoelig en heeft een maximale lengte van 64 tekens. De standaardlabelreeks is de hostnaam en de FQDN gescheiden door een puntteken (.).

Geldige moduluswaarden zijn 512, 768, 1024, 1536 en 2048. De standaardgrootte voor modulus is 512.


 

Het beveiligingsbeleid op het Cisco NX-OS-apparaat en in de CA (waar inschrijving is gepland) moet worden beschouwd als de juiste sleutelmodules worden gebruikt.

Het sleutelpaar kan standaard niet worden geëxporteerd. Alleen exporteerbare sleutelparen kunnen worden geëxporteerd in de PKCS#12-indeling.


 

U kunt de exportbaarheid van een sleutelpaar niet wijzigen.

3

Afsluiten

Voorbeeld:

switch(config)# schakelaar 
 voor afsluiten #

Verlaat de configuratiemodus.

4

(Optioneel) cryptosleutel mypubkey rsa tonen

Voorbeeld:

switch# cryptosleutel mypubkey rsa tonen
(optioneel)

Geeft de gegenereerde sleutel weer.

5

(Optioneel) kopiëren van opstarten-config uitvoeren-config

Voorbeeld:

switch# copy running-config opstarten-config
(optioneel)

Kopieert de lopende configuratie naar de opstartconfiguratie.

Een CA-association met vertrouwenspunt maken

U moet het Cisco NX-OS-apparaat koppelen aan een trust point CA.

Voordat u begint

Genereer het RSA-sleutelpaar.

  Opdracht of actie Doel
1

terminal configureren

Voorbeeld:

switch# terminal 
 switch(config) configureren #

Komt in de algemene configuratiemodus.

2

naam van crypto ca trustpoint

Voorbeeld:

switch(config)# crypto ca trustpoint admin-ca 
 switch (config-trustpoint) #

Stelt een trust point CA in die het apparaat moet vertrouwen en de configuratiemodus voor vertrouwenspunt betreedt.


 

Het maximale aantal vertrouwenspunten dat u op een apparaat kunt configureren, is 16.

3

inschrijving terminal

Voorbeeld:

switch(config-trustpoint)# inschrijving terminal

Maakt handmatige inschrijving van knip-en-plak certificaten mogelijk. De standaardinstelling is ingeschakeld.


 

De Cisco NX-OS-software ondersteunt alleen de handmatige methode voor het knippen en plakken van certificaten.

4

rsakeypair-label

Voorbeeld:

switch(config-trustpoint)# rsakeypair SwitchA

Geeft het label aan van het RSA-sleutelpaar dat u aan dit vertrouwenspunt wilt koppelen voor inschrijving.


 

U kunt slechts één RSA-sleutelpaar per CA opgeven.

5

Afsluiten

Voorbeeld:

switch(config-trustpoint)# exit 
 switch(config) #

Verlaat configuratiemodus vertrouwenspunt.

6

(Optioneel) vertrouwenspunten van crypto-ca tonen

Voorbeeld:

switch(config)# crypto ca trustpoints tonen
(optioneel)

Geeft informatie over vertrouwde punten weer.

7

(Optioneel) kopiëren van opstarten-config uitvoeren-config

Voorbeeld:

switch(config)# copy running-config startup-config
(optioneel)

Kopieert de lopende configuratie naar de opstartconfiguratie.

De CA wordt echte werk

Het configuratieproces voor het vertrouwen van een CA is alleen voltooid als de CA is geverifieerd bij het Cisco NX-OS-apparaat. U moet uw Cisco NX-OS-apparaat verifiëren bij de CA door het zelf-ondertekende certificaat te verkrijgen van de CA in PEM-indeling, die de openbare sleutel van de CA bevat. Omdat het certificaat van de CA zelf is ondertekend (de CA tekent zijn eigen certificaat) moet de openbare sleutel van de CA handmatig worden geverifieerd door contact op te nemen met de CA-beheerder om de vingerafdruk van het CA-certificaat te vergelijken.


De CA die u autoreert is geen zelf-ondertekende CA, wanneer deze een ondergeschikte CA van een andere CA is, die zelf ondergeschikt is aan weer een andere CA, dus uiteindelijk eindigt op een zelf-ondertekende CA. Dit type CA-certificaat heet de CA-certificaatketen van de geverifieerde CA. In dat geval moet u tijdens de CA-verificatie de volledige lijst met CA-certificaten van alle CA-certificaten in de certificeringsketen invoeren. Het maximale aantal certificaten in een CA-certificaatketen is 10.

Voordat u begint

Maak een association met de CA.

Verkrijg het CA-certificaat of de CA-certificaatketen.

  Opdracht of actie Doel
1

terminal configureren

Voorbeeld:

switch# terminal 
 switch(config) configureren #

Komt in de algemene configuratiemodus.

2

verificatienaam crypto ca

Voorbeeld:

switch(config)# crypto ca authenticate admin-ca 
 input (knippen en plakken) CA-certificaat (keten) in PEM-indeling; 
 end the input with a line containing only END OF INPUT : 
 -----BEGIN CERTIFICATE----- 
 MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB 
 kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO 
 MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE 
 ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD 
 QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN 
 AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth 
 cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG 
 A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN 
 AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI 
 OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E 
 BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ 
 GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs 
 L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv 
 bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB 
 BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea 
 NBG7E0oN66zex0EOEfG1Vs6mXp1//w== 
 -----END CERTIFICATE----- 
 END OF INPUT 
 Fingerprint(s): MD5 vingerafdruk=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Accepteert u dit 
 certificaat? [ja/nee]: Ja

Hiermee wordt u gevraagd het certificaat van de CA te knippen en plakken. Gebruik dezelfde naam als voor het de-de- oferen van de CA.

Het maximale aantal vertrouwenspunten dat u kunt verifiëren voor een specifieke CA is 10.


 

Voor ondergeschikte CA-verificatie vereist de Cisco NX-OS-software de volledige keten van CA-certificaten die eindigen op een zelf-ondertekende CA, omdat de CA-keten nodig is voor zowel certificaatverificatie als voor het exporteren van PKCS#12-indeling.

3

Afsluiten

Voorbeeld:

switch(config)# schakelaar 
 voor afsluiten #

Verlaat de configuratiemodus.

4

(Optioneel) vertrouwenspunten van crypto-ca tonen

Voorbeeld:

switch# crypto ca trustpoints tonen
(optioneel)

Geeft de CA-informatie van vertrouwenspunt weer.

5

(Optioneel) kopiëren van opstarten-config uitvoeren-config

Voorbeeld:

switch# copy running-config opstarten-config
(optioneel)

Kopieert de lopende configuratie naar de opstartconfiguratie.

Controlemethoden voor certificaat intrekken configureren

Tijdens beveiligingsuitwisselingen met een client (bijvoorbeeld een SSH-gebruiker) voert het Cisco NX-OS-apparaat de certificaatverificatie uit van de door de client peercertificaat verzonden client. Voor de verificatieprocedure kan de statuscontrole van het certificaat intrekken nodig zijn.

U kunt het apparaat configureren om de CRL die is gedownload van de CA te controleren. Door de CRL te downloaden en lokaal te controleren, genereert u geen verkeer in uw netwerk. Certificaten kunnen echter tussen de downloads worden ingetrokken en uw apparaat is niet op de hoogte van de intrekken.

Voordat u begint

Verifieert u de CA.

Zorg dat u de CRL hebt geconfigureerd als u de CRL wilt controleren.

  Opdracht of actie Doel
1

terminal configureren

Voorbeeld:

switch# terminal 
 switch(config) configureren #

Komt in de algemene configuratiemodus.

2

naam van crypto ca trustpoint

Voorbeeld:

switch(config)# crypto ca trustpoint admin-ca 
 switch (config-trustpoint) #

Hiermee geeft u een CA met vertrouwenspunt op en voert u de configuratiemodus voor vertrouwens punt in.

3

intrekken-controle {crl [ geen ] geen | }

Voorbeeld:

switch(config-trustpoint)# intrekken-controle geen

Hiermee configureert u de methoden voor het controleren van certificaat intrekken. De standaardmethode is crl.

De Cisco NX-OS-software gebruikt de methoden voor certificaat intrekken in de volgorde die u hebt opgegeven.

4

Afsluiten

Voorbeeld:

switch(config-trustpoint)# exit 
 switch(config) #

Verlaat configuratiemodus vertrouwenspunt.

5

(Optioneel) vertrouwenspunten van crypto-ca tonen

Voorbeeld:

switch(config)# crypto ca trustpoints tonen
(optioneel)

Geeft de CA-informatie van vertrouwenspunt weer.

6

(Optioneel) kopiëren van opstarten-config uitvoeren-config

Voorbeeld:

switch(config)# copy running-config startup-config
(optioneel)

Kopieert de lopende configuratie naar de opstartconfiguratie.

Certificaataanvragen genereren

U moet een verzoek genereren om identiteitscertificaten te verkrijgen van de certificeringspunten-CA van het gekoppelde vertrouwenspunt voor elke RSA-sleutelpaars van uw apparaat. Vervolgens moet u het weergegeven verzoek knippen en plakken in een e-mail of in een websiteformulier voor de CA.

Voordat u begint

Maak een association met de CA.

Verkrijg het CA-certificaat of de CA-certificaatketen.

  Opdracht of actie Doel
1

terminal configureren

Voorbeeld:

switch# terminal 
 switch(config) configureren #

Komt in de algemene configuratiemodus.

2

inschrijfnaam crypto-ca

Voorbeeld:

switch(config)# crypto ca enroll admin-ca 
 Maak het certificaatverzoek ..
 Maak een wachtwoord voor een uitdaging. U moet dit wachtwoord mondeling aan de CA-beheerder opgeven 
  om uw certificaat in te trekken.
  Om veiligheidsredenen wordt uw wachtwoord niet opgeslagen in de configuratie.
  Noteer het.
  Wachtwoord:nbv123 
 De onderwerpnaam in het certificaat is: DeviceA.cisco.com 
 neem het serienummer van de onderwerpnaam op in uw onderwerpnaam? [ja/nee]: geen 
 IP-adres opnemen in de onderwerpnaam [ja/nee]: ja 
 ip-adres:172.22.31.162 De certificaataanvraag 
 wordt weergegeven...
-----BEGIN CERTIFICATE REQUEST----- 
 MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ 
 KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 
 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y 
 P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S 
 VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ 
 DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ 
 KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt 
 PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 
 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= 
 -----END CERTIFICATE REQUEST-----

Genereert een certificaataanvraag voor een geverifieerde certificeringsaanvraag.


 

U moet het wachtwoord voor de uitdaging onthouden. Deze wordt niet opgeslagen bij de configuratie. U moet dit wachtwoord invoeren als uw certificaat moet worden ingetrokken.

3

Afsluiten

Voorbeeld:

switch(config-trustpoint)# exit 
 switch(config) #

Verlaat configuratiemodus vertrouwenspunt.

4

(Optioneel) crypto ca certificaten tonen

Voorbeeld:

switch(config)# crypto ca certificaten tonen
(optioneel)

Geeft de CA-certificaten weer.

5

(Optioneel) kopiëren van opstarten-config uitvoeren-config

Voorbeeld:

switch(config)# copy running-config startup-config
(optioneel)

Kopieert de lopende configuratie naar de opstartconfiguratie.

Identiteitscertificaten installeren

U kunt het identiteitscertificaat van de CA via e-mail ontvangen of via een webbrowser in basis64-gecodeerde tekstformulieren. U moet het identiteitscertificaat van de CA installeren door de gecodeerde tekst te knippen en te kopiëren.

Voordat u begint

Maak een association met de CA.

Verkrijg het CA-certificaat of de CA-certificaatketen.

  Opdracht of actie Doel
1

terminal configureren

Voorbeeld:

switch# terminal 
 switch(config) configureren #

Komt in de algemene configuratiemodus.

2

certificaat voor deimportnaam van crypto-ca

Voorbeeld:

switch(config)# crypto ca import admin-ca 
 certificaatinvoer (knippen & plakken) in PEM-indeling:
-----BEGIN CERTIFICATE----- 
 MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G 
 CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD 
 VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz 
 Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w 
 NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu 
 Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C 
 dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 
 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb 
 x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw 
 GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR 
 bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW 
 pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE 
 BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w 
 DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh 
 cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 
 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 
 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH 
 AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl 
 LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 
 XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF 
 AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw 
 E36cIZu4WsExREqxbTk8ycx7V5o= 
 -----END CERTIFICATE-----

U wordt gevraagd het identiteitscertificaat voor de ca met de naam admin-ca te knippen en plakken.

Het maximale aantal te identificeren certificaten dat u op een apparaat kunt configureren, is 16.

3

Afsluiten

Voorbeeld:

switch(config)# schakelaar 
 voor afsluiten #

Verlaat de configuratiemodus.

4

(Optioneel) crypto ca certificaten tonen

Voorbeeld:

switch# crypto ca certificaten tonen
(optioneel)

Geeft de CA-certificaten weer.

5

(Optioneel) kopiëren van opstarten-config uitvoeren-config

Voorbeeld:

switch# copy running-config opstarten-config
(optioneel)

Kopieert de lopende configuratie naar de opstartconfiguratie.

Vertrouwenspuntconfiguraties blijven behouden bij opnieuw opstarten

U kunt ervoor zorgen dat de trustpoint-configuratie op alle Cisco NX-OS-apparaten opnieuw wordt opgestart.

De configuratie van het trust point is een normale Cisco NX-OS-apparaatconfiguratie die zich binnen het systeem blijft voordoen, wordt alleen opnieuw opgestart als u dit expliciet kopieert naar de opstartconfiguratie. De certificaten, sleutelparen en CRL die zijn gekoppeld aan een vertrouwenspunt, zijn automatisch permanent als u de configuratie van het vertrouwde punt al hebt gekopieerd in de opstartconfiguratie. Als de configuratie van het vertrouwenspunt niet naar de opstartconfiguratie wordt gekopieerd, zijn de certificaten, sleutelparen en CRL die daaraan zijn gekoppeld niet permanent, omdat ze de overeenkomstige configuratie van het vertrouwenspunt vereisen na het opnieuw opstarten. Kopieer altijd de lopende configuratie naar de opstartconfiguratie om ervoor te zorgen dat de geconfigureerde certificaten, sleutelparen en CRLs persistent zijn. Sla ook de lopende configuratie op nadat u een certificaat of sleutelpaar hebt verwijderd om ervoor te zorgen dat de verwijdering permanent is.

De certificaten en CRL gekoppeld aan een vertrouwenspunt worden automatisch permanent bij het importeren (zonder expliciet te kopiëren naar de opstartconfiguratie) als het specifieke vertrouwenspunt al is opgeslagen in de opstartconfiguratie.

We raden u aan een back-up te maken die met een wachtwoord is beveiligd van de identiteitscertificaten en deze op een externe server op te slaan.


Bij het kopiëren van de configuratie naar een externe server zijn de certificaten en sleutelparen niet vermeld.

Identiteitsgegevens exporteren in PKCS 12-indeling

U kunt het identiteitscertificaat exporteren samen met het RSA-sleutelpaar en het CA-certificaat (of de hele keten in het geval van een ondergeschikte CA) van een vertrouwenspunt naar een PKCS#12-bestand voor back-updoeleinden. U kunt het certificaat en het RSA-sleutelpaar importeren om te herstellen na een systeemcrash op uw apparaat of wanneer u de supervisormodules vervangt.


U kunt alleen de bootflash: bestandsnaamindeling gebruiken bij het specificeren van de export-URL.

Voordat u begint

Verifieert u de CA.

Installeer een identiteitscertificaat.

  Opdracht of actie Doel
1

terminal configureren

Voorbeeld:

switch# terminal 
 switch(config) configureren #

Komt in de algemene configuratiemodus.

2

crypto caexportnaam pkcs12 bootflash:bestandsnaamwachtwoord

Voorbeeld:

switch(config)# crypto ca export admin-ca pkcs12 bootflash:adminid.p12 nbv123

Hiermee worden het identiteitscertificaat en de gekoppelde sleutelparen en CA-certificaten voor een trust point CA exports. Het wachtwoord is alfanumeriek en hoofdnummergevoelig en heeft een maximale lengte van 128 tekens.

3

Afsluiten

Voorbeeld:

switch(config)# schakelaar 
 voor afsluiten #

Verlaat de configuratiemodus.

4

booflash kopiëren:bestandsnaamschema ://server / [URL/ ]bestandsnaam

Voorbeeld:

switch# copy bootflash:adminid.p12 tftp:adminid.p12

Het PKCS#12-bestand wordt gekopieerd naar een externe server.

Voor het argument schema kunt u tftp invoeren:, ftp:, scp:, of sftp:. Het serverargument is het adres of de naam van de externe server en het URL-argument is het pad naar het bronbestand op de externe server.

De argumentenserver, URL en bestandsnaam zijn casegevoelig.

Identiteitsgegevens importeren in PKCS 12-indeling

U kunt het certificaat en het RSA-sleutelpaar importeren om te herstellen na een systeemcrash op uw apparaat of wanneer u de supervisormodules vervangt.


U kunt alleen de bootflash: bestandsnaamindeling gebruiken bij het specificeren van de import-URL.

Voordat u begint

Zorg ervoor dat het vertrouwde punt leeg is door te controleren of er geen RSA-sleutelpaar aan is gekoppeld en dat er geen CA aan het vertrouwenspunt is gekoppeld via CA-verificatie.

  Opdracht of actie Doel
1

kopieerschema:// server/ [URL /]bestandsnaambootflash:bestandsnaam

Voorbeeld:

switch# copy tftp:adminid.p12 bootflash:adminid.p12

Kopieert het PKCS#12-bestand van de externe server.

Voor het argument schema kunt utftp invoeren:, ftp:, scp:, of sftp:. Het serverargument is het adres of de naam van de externe server en het URL-argument is het pad naar het bronbestand op de externe server.

De argumentenserver, URL en bestandsnaam zijn casegevoelig.

2

terminal configureren

Voorbeeld:

switch# terminal 
 switch(config) configureren #

Komt in de algemene configuratiemodus.

3

crypto caimportnaampksc12 bootflash:bestandsnaam

Voorbeeld:

switch(config)# crypto ca import admin-ca pkcs12 bootflash:adminid.p12 nbv123

Importeert het identiteitscertificaat en de gekoppelde sleutelparen en CA-certificaten voor het trust point CA.

4

Afsluiten

Voorbeeld:

switch(config)# schakelaar 
 voor afsluiten #

Verlaat de configuratiemodus.

5

(Optioneel) crypto ca certificaten tonen

Voorbeeld:

switch# crypto ca certificaten tonen
(optioneel)

Geeft de CA-certificaten weer.

6

(Optioneel) kopiëren van opstarten-config uitvoeren-config

Voorbeeld:

switch# copy running-config opstarten-config
(optioneel)

Kopieert de lopende configuratie naar de opstartconfiguratie.

Een CRL configureren

U kunt handmatig CRLs configureren die u hebt gedownload vanaf de trust points. De Cisco NX-OS-software cachet de CRLs in de bootflash (cert-store) van het apparaat. Tijdens de verificatie van een peercertificaat controleert de Cisco NX-OS-software de CRL van de uitgevende CA alleen als u de CRL naar het apparaat hebt gedownload en u de certificaat intrekkingscontrole hebt geconfigureerd om de CRL te gebruiken.

Voordat u begint

Zorg dat u de controle voor certificaat intrekken hebt ingeschakeld.

  Opdracht of actie Doel
1

kopieerschema: [ // / URL/]]bestandsnaambootflash:bestandsnaam

Voorbeeld:

switch# copy tftp:adminca.crl bootflash:adminca.crl

Hiermee downloadt u de CRL vanaf een externe server.

Voor het argument schema kunt u tftp invoeren:, ftp:, scp:, of sftp:. Het serverargument is het adres of de naam van de externe server en het URL-argument is het pad naar het bronbestand op de externe server.

De argumentenserver, URL en bestandsnaam zijn casegevoelig.

2

terminal configureren

Voorbeeld:

switch# terminal 
 switch(config) configureren #

Komt in de algemene configuratiemodus.

3

verzoeknaam bootflash van crypto cacrl:bestandsnaam

Voorbeeld:

switch(config)# crypto ca crl verzoek admin-ca bootflash:adminca.crl

De huidige CRL wordt geconfigureerd of vervangen door de opgegeven in het bestand.

4

Afsluiten

Voorbeeld:

switch(config)# schakelaar 
 voor afsluiten #

Verlaat de configuratiemodus.

5

(Optioneel) crypto ca crl-naamtonen

Voorbeeld:

switch# crypto ca crl admin-ca tonen
(optioneel)

Geeft de CA CRL-gegevens weer.

6

(Optioneel) kopiëren van opstarten-config uitvoeren-config

Voorbeeld:

switch# copy running-config opstarten-config
(optioneel)

Kopieert de lopende configuratie naar de opstartconfiguratie.

Certificaten verwijderen uit de CA-configuratie

U kunt de identiteitscertificaten en CA-certificaten die zijn geconfigureerd in een vertrouwenspunt verwijderen. U moet eerst het identiteitscertificaat verwijderen, gevolgd door de CA-certificaten. Nadat u het identiteitscertificaat hebt verwijderd, kunt u de RSA-sleutel koppelen aan een trust point. U moet certificaten verwijderen om verlopen of ingetrokken certificaten, certificaten met gecompromitteerde (of vermoedelijk gecompromitteerde) sleutelparen of niet meer vertrouwde CAs te verwijderen.

  Opdracht of actie Doel
1

terminal configureren

Voorbeeld:

switch# terminal 
 switch(config) configureren #

Komt in de algemene configuratiemodus.

2

naam van crypto ca trustpoint

Voorbeeld:

switch(config)# crypto ca trustpoint admin-ca 
 switch (config-trustpoint) #

Hiermee geeft u een CA met vertrouwenspunt op en voert u de configuratiemodus voor vertrouwens punt in.

3

ca-certificaat verwijderen

Voorbeeld:

switch(config-trustpoint)# ca-certificaat verwijderen

Hiermee verwijdert u het CA-certificaat of de certificaatketen.

4

certificaat verwijderen [force]

Voorbeeld:

switch(config-trustpoint)# certificaat verwijderen

Hiermee verwijdert u het identiteitscertificaat.

U moet de force-optie gebruiken als het identiteitscertificaat dat u wilt verwijderen het laatste certificaat in de certificaatketen is of alleen het identiteitscertificaat in het apparaat. Deze vereiste zorgt ervoor dat u ten onrechte het laatste certificaat in een certificaatketen of alleen het identiteitscertificaat verwijdert en de toepassingen (zoals SSH) zonder certificaat laat gebruiken.

5

Afsluiten

Voorbeeld:

switch(config-trustpoint)# exit 
 switch(config) #

Verlaat configuratiemodus vertrouwenspunt.

6

(Optioneel) crypto ca certificaten tonen [ naam]

Voorbeeld:

switch(config)# crypto ca certificaten admin-ca tonen
(optioneel)

Geeft de CA-certificaatgegevens weer.

7

(Optioneel) kopiëren van opstarten-config uitvoeren-config

Voorbeeld:

switch(config)# copy running-config startup-config
(optioneel)

Kopieert de lopende configuratie naar de opstartconfiguratie.

RSA-sleutelparen verwijderen van een Cisco NX-OS-apparaat

U kunt de RSA-sleutelparen verwijderen van een Cisco NX-OS-apparaat als de RSA-sleutelparen op de een of andere manier zijn aangetast en niet meer moeten worden gebruikt.


Nadat u RSA-sleutelparen van een apparaat hebt verwijderd, vraagt u de CA-beheerder om de certificaten van uw apparaat in te trekken bij de CA. U moet het wachtwoord voor de uitdaging opgeven dat u hebt gemaakt toen u de certificaten oorspronkelijk hebt aangevraagd.

  Opdracht of actie Doel
1

terminal configureren

Voorbeeld:

switch# terminal 
 switch(config) configureren #

Komt in de algemene configuratiemodus.

2

cryptosleutel zeroizersa-label

Voorbeeld:

switch(config)# cryptosleutel zeroize rsa MyKey

Hiermee verwijdert u het RSA-sleutelpaar.

3

Afsluiten

Voorbeeld:

switch(config)# schakelaar 
 voor afsluiten #

Verlaat de configuratiemodus.

4

(Optioneel) cryptosleutel mypubkey rsa tonen

Voorbeeld:

switch# cryptosleutel mypubkey rsa tonen
(optioneel)

Geeft de configuratie van het RSA-sleutelpaar weer.

5

(Optioneel) kopiëren van opstarten-config uitvoeren-config

Voorbeeld:

switch# copy running-config opstarten-config
(optioneel)

Kopieert de lopende configuratie naar de opstartconfiguratie.

De PKI-configuratie controleren

Als u PKI-configuratiegegevens wilt weergeven, voert u een van de volgende taken uit:

Opdracht

Doel

cryptosleutel mypubkey rsa tonen

Geeft informatie weer over de openbare RSA-sleutels die zijn gegenereerd op het Cisco NX-OS-apparaat.

crypto ca certificaten tonen

Geeft informatie weer over CA- en identiteitscertificaten.

crypto ca crl tonen

Geeft informatie weer over CA-CRLs.

vertrouwenspunten van crypto-ca tonen

Geeft informatie weer over CA-vertrouwenspunten.

Configuratievoorbeelden voor PKI

In dit gedeelte staan voorbeelden van de taken die u kunt gebruiken om certificaten en CRLs te configureren op Cisco NX-OS-apparaten met behulp van een Microsoft Windows-certificaatserver.


U kunt elk type certificaatserver gebruiken om digitale certificaten te genereren. U kunt niet alleen de Microsoft Windows-certificaatserver gebruiken.

Certificaten configureren op een Cisco NX-OS-apparaat

Volg deze stappen om certificaten te configureren op een Cisco NX-OS-apparaat:

1

Configureer de apparaatinstellingen FQDN.

switch# configureer terminal Configuratie-opdrachten invoeren, één per regel.  Eindigen op CNTL/Z. 
 switch(config)# hostnaam Apparaat-1 Apparaat-1(config) #

2

Configureer de DNS-domeinnaam voor het apparaat.

Apparaat-1(config)# ip-cisco.com

3

Een vertrouwenspunt maken.

Apparaat-1(config)# crypto ca trustpoint myCA Device-1(config-trustpoint)# exit Device-1(config)# toon trustpoints trustpoints van crypto ca: myCA; Sleutel:
analysemethoden:  Crl

4

Maak een RSA-sleutelpaar voor het apparaat.

Apparaat-1(config)# cryptosleutel genereren rsa-label myKey exportable modulus 1024 Device-1(config)# cryptosleutel mypubkey rsa-sleutellabel tonen: Sleutelgrootte 
 myKey: 1024 
 te exporteren: Ja

5

Koppel de RSA-sleutel aan het vertrouwenspunt.

Apparaat-1(config)# crypto ca trustpoint myCA Device-1(config-trustpoint)# rsakeypair myKey Device-1(config-trustpoint)# exit Device-1(config)# show crypto ca trustpoints trustpoints: myCA; Sleutel: myKey-analysemethoden:  Crl

6

Download het CA-certificaat via de webinterface van de Microsoft Certificate Service.

7

Verifieert de CA die u wilt inschrijven bij het vertrouwenspunt.

Apparaat-1(config)# crypto ca verifieert mijnCA-invoer (knippen en plakken) CA-certificaat (keten) in PEM-indeling; 
 end the input with a line containing only END OF INPUT : 
 -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea NBG7E0oN66zex0EOEfG1Vs6mXp1//w== -----END CERTIFICATE----- EINDE VAN INVOER vingerafdruk(en): MD5 vingerafdruk=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Accepteert u dit 
 certificaat? [ja/nee]:y  Device-1(config)# show crypto ca certificates Trustpoint: myCA 
 CA-certificaat 0:
subject= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ 
 L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA 
 issuer= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ 
 L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA 
 serial=0560D289ACB419944F4912258CAD197A 
 notBefore=3 2 2:46:37 2005 GMT 
 notAfter=3 mei 22:55:17 2007 GMT 
 MD5 vingerafdruk=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 
 doeleinden: Ike ssl-client sslserver

8

Genereer een aanvraagcertificaat om te gebruiken om u in te schrijven bij een vertrouwenspunt.

Device-1(config)# crypto ca enroll myCA  Maak het certificaatverzoek ..
 Maak een wachtwoord voor een uitdaging. U moet dit wachtwoord mondeling aan de CA-beheerder opgeven 
  om uw certificaat in te trekken.
  Om veiligheidsredenen wordt uw wachtwoord niet opgeslagen in de configuratie.
  Noteer het.
  Wachtwoord: nbv123  De onderwerpnaam in het certificaat is: Device-1.cisco.com neem  het serienummer van de onderwerpnaam op in uw onderwerpnaam? [ja/nee]: geen  IP-adres opnemen in de onderwerpnaam [ja/nee]: ja IP-adres: 10.10.1.1 De  certificaataanvraag wordt weergegeven...
-----BEGIN CERTIFICATE REQUEST----- 
 MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ 
 KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 
 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y 
 P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S 
 VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ 
 DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ 
 KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt 
 PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 
 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= 
 -----END CERTIFICATE REQUEST-----

9

Vraag een identiteitscertificaat aan vanuit de webinterface van de Microsoft-certificaatservice.

10

Importeer het identiteitscertificaat.

Device-1(config)# crypto ca importeer mijnCA-certificaatinvoer (knippen & plakken) in PEM-indeling:
-----BEGINCERTIFICAAT----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlTA4L0NlcnRFvbgwvc3Nl LTA4X0FwYXJuySUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 XENlcnRFvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydEERDEBgkqhkiG9w0BAQUF AANBADbGBGsbe7GNLL9xeOTWBNbb24U69ZSuDDcOcU DCUTgrpnTqVpEnjtsyflw E36cIWaarde4WsExREqxb8ycx7V5o= -----END-CERTIFICAAT----- Device-1(config)# exit Device-1 #

11

Controleer de certificaatconfiguratie.

12

Sla de certificaatconfiguratie op in de opstartconfiguratie.

Een CA-certificaat downloaden

Als u een CA-certificaat wilt downloaden via de webinterface van Microsoft Certificate Services, volgt u deze stappen:

1

Klik in de webinterface van Microsoft-certificaatservices op De CA-certificaat of certificaatintrekkende taak ophalen en klik op Volgende.

2

Kies in de weergavelijst het CA-certificaatbestand dat u wilt downloaden van de weergegeven lijst. Klik vervolgens op Basis 64 gecodeerd en klik op CA-certificaatdownloaden.

3

Klik op Openen in het menu Bestand dialoogvenster.

4

Klik in het dialoogvenster op Kopiëren naar bestand en klik op OK.

5

Kies in de wizard Certificaat exporteren dialoogvenster base-64 gecodeerde X.509 (CER) en klik op Volgende.

6

In het bestandsnaam: in de wizard Certificaat exporteren dialoogvenster voert u de doelbestandsnaam in en klikt u opVolgende.

7

Klik in het menu van de wizard Dialoogvenster op Voltooien.

8

Voer de opdracht voor het Microsoft Windows-type in om het CA-certificaat weer te geven dat is opgeslagen in Base-64 (PEM)-indeling.

Een identiteitscertificaat aanvragen

Volg de volgende stappen om een identificatiecertificaat aan te vragen van een Microsoft-certificaatserver met behulp van een PKCS#12-certificaat ondertekeningsaanvraag (CRS).

1

Klik in de webinterface van Microsoft Certificate Services op Een certificaat aanvragen en klik opVolgende.

2

Klik op Geavanceerd verzoek en klik op Volgende.

3

Klik op Een certificaataanvraag verzenden met een base64-gecodeerd PKCS#10-bestand of een verlengingsaanvraag met een base64-gecodeerde PKCS#7-bestand en klik op Volgende.

4

Plak in het tekstvak Opgeslagen verzoek de base64 PKCS#10-certificaataanvraag en klik op Volgende. De certificaataanvraag wordt gekopieerd van de apparaatconsole van Cisco NX-OS.

5

Wacht een of twee dagen totdat het certificaat is uitgegeven door de CA-beheerder.

6

De CA-beheerder keurt de certificaataanvraag goed.

7

Klik in de webinterface van Microsoft Certificate Services op Controleren op een certificaat in behandeling en klik op Volgende.

8

Kies het certificaatverzoek dat u wilt controleren en klik op Volgende.

9

Klik op Basis 64 gecodeerd en klik op CA-certificaatdownloaden.

10

Klik in het dialoogvenster bestand downloaden op Openen.

11

Klik in het vak Certificaat op het tabblad Details en klik op Kopiëren naarbestand.... Klik in het dialoogvenster Certificaat exporteren op Basis-64 gecodeerd X.509 (. CER)en klik op Volgende .

12

In het bestandsnaam: in de wizard Certificaat exporteren dialoogvenster voert u de doelbestandsnaam in en klikt u opVolgende.

13

Klik op Voltooien.

14

Voer de opdracht voor het Microsoft Windows-type in om het identiteitscertificaat in base64-gecodeerde indeling weer te geven.

Een certificaat inroepen

Als u een certificaat wilt intrekken met het Microsoft CA-beheerdersprogramma, volgt u deze stappen:

1

Klik in de boomstructuur van certificeringsautoriteit op de map Uitgegeven certificaten. Klik met de rechtermuisknop in de lijst op het certificaat dat u wilt intrekken.

2

Kies Alle taken om het > in tetrekken.

3

Kies in de code -vervolgkeuzelijst reden van de intrekking en klik op Ja.

4

Klik op de map Ingetrokken certificaten om de certificaatintrekken weer te geven en te verifiëren.

CRL genereren en publiceren

Volg deze stappen om de CRL te genereren en publiceren met behulp van het Microsoft CA-beheerdersprogramma:

1

Kies in het scherm Certificeringsautoriteit actie > alle taken die >publiceren.

2

Klik in het dialoogvenster Certificaatintrekken dialoogvenster op Ja om de nieuwste CRL te publiceren.

DE CRL downloaden

Volg deze stappen om de CRL te downloaden van de Microsoft CA-website:

1

Klik in de webinterface van Microsoft-certificaatservices op De CA-certificaat of certificaatintrekkenlijst ophalen en klik op Volgende.

2

Klik op Nieuwste certificaatintrekkenlijst downloaden.

3

Klik in het dialoogvenster bestand downloaden op Opslaan.

4

Voer in het dialoogvenster bestandsnaam de doelbestandsnaam in en klik op Opslaan.

5

Voer de windows-typeopdracht van Microsoft in om de CRL weer te geven.

De CRL importeren

Als u de CRL wilt importeren naar het vertrouwde punt dat overeenkomt met de CA, volgt u deze stappen:

1

Kopieer het CRL-bestand naar de Cisco NX-OS-apparaat bootflash.

Apparaat-1# copy tftp:aufnaCA.crl bootflash:aparnaCA.crl

2

Configureer de CRL.


Apparaat-1#  terminalapparaat-1(config)# crypto ca crl verzoek myCA bootflash:aparnaCA.crl Device-1(config) #

3

Geef de inhoud van de CRL weer.


Apparaat-1(config)# geeft crypto ca crl myCA Trustpoint weer: myCA 
 CRL:
Certificaat intrekkenlijst (CRL):
        Versie 2 (0x1) 
        Handtekeningalgoritme: sha1WithRSAEncryption 
        Issuer: /emailAddress=admin@yourcompany.com/C=IN/ST=Karnatak 
 Yourcompany/OU=netstorage/CN=Aparna CA 
        Laatste update: 12 nov 04:36:04 2005 GMT 
        Volgende update: 19 nov 16:56:04 2005 GMT 
        CRL-extensies:
            X509v3 Instantiesleutel-id:
            keyid:27:28:F2:46:83:1B:AC:23:4C:45:4D:8E:C9:18:50:1 
            1.3.6.1.4.1.311.21.1:
                ...
Ingetrokken certificaten:
    Serienummer: 611B09A10000000002 
        Intrekkingsdatum: 16 aug 21:52:19 2005 GMT 
 serienummer: 4CDE464E0000000003 
        Intrekkingsdatum: 16 aug 21:52:29 2005 GMT 
    serienummer: 4CFC2B4200000000004 
        Intrekkingsdatum: 16 aug 21:52:41 2005 GMT 
    serienummer: 6C699EC20000000005 
        Intrekkingsdatum: 16 aug 21:52:52 2005 GMT 
    serienummer: 6CCF7DDC0000000006 
        Intrekkingsdatum: 8 juni 00:12:04 2005 GMT 
    serienummer: 70CC4FFF0000000007 
        Intrekkingsdatum: 16 aug 21:53:15 2005 GMT 
    serienummer: 4D9B111600000000008 
        Intrekkingsdatum: 16 aug 21:53:15 2005 GMT 
    serienummer: 52A8023000000000009 
        Intrekkingsdatum: 27 juni 23:47:06 2005 GMT 
        CRL invoerextensies:
            X509v3 CRL Code reden:
            Serienummer ca 
 gecompromitteerde nummer: 5349AD46000000000A 
        Intrekkingsdatum: 27 juni 23:47:22 2005 GMT 
        CRL invoerextensies:
            X509v3 CRL Code reden:
            Serienummer ca 
 gecompromitteerde nummer: 53BD173C000000000B 
        intrekkingsdatum: 4 juli 18:04:01 2005 GMT 
        CRL invoerextensies:
            X509v3 CRL Code reden:
            Serienummer certificaat 
 in de wacht zetten: 591E7T00000000CIntrekkende 
        dag: 16 aug 21:53:15 2005 GMT 
    serienummer: 5D3FD52E0000000000D 
        Intrekkingsdatum: 29 juni 22:07:25 2005 GMT 
        CRL invoerextensies:
            X509v3 CRL Code reden:
            Serienummer van 
 sleutelcompromitte: 5DAB7713000000000E 
        intrekkingsdatum: 14 juli 00:33:56 2005 GMT 
    serienummer: 5DAE53CD000000000F 
        Intrekkingsdatum: 16 aug 21:53:15 2005 GMT 
    serienummer: 5DB140D300000000010 
        Intrekkingsdatum: 16 aug 21:53:15 2005 GMT 
    serienummer: 5E2D7C1B00000000011 
        Intrekkingsdatum: 6 juli 21:12:10 2005 GMT 
        CRL invoerextensies:
            X509v3 CRL Code reden:
            Beëindiging van het serienummer 
 van de bewerking: 16DB4F8F00000000012 
        Intrekkingsdatum: 16 aug 21:53:15 2005 GMT 
    serienummer: 261C392400000000013 
        Intrekkingsdatum: 16 aug 21:53:15 2005 GMT 
    serienummer: 262B520200000000014 
        Intrekkingsdatum: 14 juli 00:33:10 2005 Serienummer 
    van GMT: 2634C7F200000000015 
        Intrekkingsdatum: 14 juli 00:32:45 2005 Serienummer 
    van GMT: 2635B0000000000016 
        Intrekkingsdatum: 14 juli 00:31:51 2005 GMT 
    serienummer: 264850400000000017 
        Intrekkingsdatum: 14 juli 00:32:25 2005 GMT 
    serienummer: 2A27635700000000018 
 Intrekkingsdatum: 16 aug 21:53:15 2005 GMT 
    serienummer: 3F88CBF700000000019 
        Intrekkingsdatum: 16 aug 21:53:15 2005 GMT 
    serienummer: 6E4B5F5F0000000001A 
        intrekkingsdatum: 16 aug 21:53:15 2005 GMT 
    serienummer: 725B89D80000000001B 
        intrekkingsdatum: 16 aug 21:53:15 2005 GMT 
    serienummer: 735A88780000000001C 
        Intrekkingsdatum: 16 aug 21:53:15 2005 GMT 
    serienummer: 148511C70000000001D 
        Intrekkingsdatum: 16 aug 21:53:15 2005 GMT 
    serienummer: 14A71701000000001E 
        intrekkingsdatum: 16 aug 21:53:15 2005 GMT 
    serienummer: 14FC45B50000000001F 
        Intrekkingsdatum: 17 aug 18:30:42 2005 GMT 
    serienummer: 486CE80B0000000020 
        Intrekkingsdatum: 17 aug 18:30:43 2005 GMT 
    serienummer: 4CA4A3AA00000000021 
        Intrekkingsdatum: 17 aug 18:30:43 2005 GMT 
    serienummer: 1AA55C8E000000002F 
        Intrekkingsdatum: 5 september 17:07:06 2005 GMT 
    serienummer: 3F0845DD000000003F 
        intrekkingsdatum: 8 september 20:24:32 2005 Gmt 
    serienummer: 3F619B7E0000000042 
        Intrekkingsdatum: 8 september 21:40:48 2005 Serienummer 
    van GMT: 6313C46300000000052 
        Intrekkingsdatum: 19 september 17:37:18 2005 Serienummer 
    van GMT: 7C3861E30000000060 
        Intrekkingsdatum: 20 september 17:52:56 2005 Gmt 
    serienummer: 7C6EE3510000000061 
        Intrekkingsdatum: 20 september 18:52:30 2005 Serienummer 
    van GMT: 0A338EA10000000074 <-- Revoked identity certificate 
 Intrekkingsdatum: 12 nov 04:34:42 2005 
    GMT-handtekeningalgoritme: sha1WithRSAEncryptie 
        0b:cb:dd:43:0a:b8:62:1e:80:95:06:6f:4d:ab:0c:d8:8e:32:
        44:8e:a7:94:97:af:02:b9:a6:9c:14:fd:eb:90:cf:18:c9:96:
        29:bb:57:37:d9:1f:d5:bd:4e:9a:4b:18:2b:00:2f:d2:6e:c1:
        1a:9f:1a:49:b7:9c:58:24:d7:72


 

Het identiteitscertificaat voor het apparaat dat is ingetrokken (serienummer 0A338EA1000000074) wordt aan het einde vermeld.