Configurando PKI

Este capítulo contém as seguintes seções:

Informações sobre PKI

Esta seção fornece informações sobre PKI.

CAs e certificados digitais

As autoridades de certificação (CAs) gerenciam as solicitações de certificado e os certificados de emissão para entidades participantes como hosts, dispositivos de rede ou usuários. As CAs fornecem gerenciamento centralizado de chaves para as entidades participantes.

Assinaturas digitais, baseadas em criptografia de chave pública, autenticar digitalmente dispositivos e usuários individuais. Na criptografia de chave pública, como o sistema de criptografia RSA, cada dispositivo ou usuário possui um par de chaves que contém uma chave privada e uma chave pública. A chave privada é mantida em segredo e é conhecida apenas pelo próprio dispositivo ou usuário. No entanto, a chave pública é conhecida por todos. Qualquer coisa criptografada com uma das chaves pode ser descriptografada com a outra. Uma assinatura é formada quando os dados são criptografados com a chave privada de um remetente. O destinatário verifica a assinatura descriptografando a mensagem com a chave pública do remetente. Esse processo depende do destinatário ter uma cópia da chave pública do remetente e saber com um alto grau de certeza de que ele realmente pertence ao remetente e não a alguém pode ser o remetente.

Os certificados digitais vinculam a assinatura digital ao remetente. Um certificado digital contém informações para identificar um usuário ou dispositivo, como o nome, número de série, empresa, departamento ou endereço IP. Ele também contém uma cópia da chave pública da entidade. A CA que assina o certificado é de terceiros que o destinatário confia explicitamente para validar identidades e criar certificados digitais.

Para validar a assinatura da CA, o destinatário deve primeiro saber a chave pública da CA. Normalmente, esse processo é tratado fora da banda ou através de uma operação feita durante a instalação. Por exemplo, a maioria dos navegadores da web são configurados com as chaves públicas de vários CAs por padrão.

Modelo de confiança, pontos de confiança e CAs de identidade

O modelo de confiança de PKI é hierárquico com várias CAs confiáveis configuráveis. Você pode configurar cada dispositivo participante com uma lista de CAs confiáveis para que uma certificado par/certificado de mesmo nível obtida durante as trocas de protocolo de segurança possa ser autenticada se ele foi emitido por uma das CAs confiáveis localmente. O software NX-OS da Cisco armazena localmente a auto-certificado raiz da CA confiável (ou cadeia de certificados para uma CA subordinada). O processo de obter com segurança uma conta de certificado raiz confiável (ou de toda a cadeia no caso de uma CA subordinada) e armazenar localmente é chamado de autenticação CA.

As informações sobre uma CA confiável que você configurou são chamadas de ponto de confiança e a própria CA é chamada de CA de ponto deconfiança. Esta informação consiste em um certificado de ca (ou cadeia de certificados no caso de uma CA subordinada) e informações de verificação de revogação de certificados.

O dispositivo Cisco NX-OS também pode se inscrever com um ponto de confiança para obter um certificado de identidade e associar-se a um par de chaves. Este ponto de confiança é chamado de CA deidentidade.

Pares de chaves RSA e certificados de identidade

Você pode obter um certificado de identidade gerando um ou mais pares de chaves RSA e associando cada par de chaves RSA com uma CA de ponto de confiança onde o dispositivo Cisco NX-OS pretende se inscrever. O dispositivo Cisco NX-OS precisa de apenas uma identidade por CA, que consiste de um par de chaves e um certificado de identidade por CA.

O software Cisco NX-OS permite que você gere pares de chaves RSA com um tamanho de chave configurável (ou modulus). O tamanho padrão da chave é 512. Você também pode configurar um rótulo de emparelhamento de chaves RSA. O rótulo da chave padrão é o rótulo do nome de domínio totalmente qualificado (FQDN).

A lista a seguir resume a relação entre os pontos de confiança, os pares principais RSA e os certificados de identidade:

  • Um ponto de confiança corresponde a uma CA específica na primeira vez em que o dispositivo Cisco NX-OS confia para certificado par/certificado de mesmo nível verificação de qualquer aplicativo (como OSS).

  • Um dispositivo Cisco NX-OS pode ter muitos pontos de confiança e todos os aplicativos no dispositivo podem confiar em certificado par/certificado de mesmo nível problemas emitidos por qualquer um dos pontos de confiança CAs.

  • Um ponto de confiança não está restrito a um aplicativo específico.

  • Um dispositivo Cisco NX-OS se inscreve na CA que corresponde ao ponto de confiança para obter um certificado de identidade. Você pode inscrever seu dispositivo com vários pontos de confiança, o que significa que você pode obter um certificado de identidade separado a partir de cada ponto de confiança. Os certificados de identidade são usados por aplicativos dependendo das finalidades especificadas no certificado pela CA de emissão. A finalidade de um certificado é armazenada no certificado como uma extensão de certificado.

  • Ao se inscrever com um ponto de confiança, você deve especificar um par de chaves RSA para ser certificado. Este par de chaves deve ser gerado e associado ao ponto de confiança antes de gerar a solicitação de inscrição. A associação entre o ponto de confiança, o par de chaves e o certificado de identidade é válida até ser explicitamente removida excluindo o certificado, o par de chaves ou o ponto de confiança.

  • O nome do assunto no certificado de identidade é o nome de domínio totalmente qualificado para o dispositivo Cisco NX-OS.

  • Você pode gerar um ou mais pares de chaves RSA em um dispositivo e cada um pode ser associado a um ou mais pontos de confiança. Mas não mais de um par de chaves pode ser associado a um ponto de confiança, o que significa que apenas um certificado de identidade é permitido de um CA.

  • Se o dispositivo Cisco NX-OS obter vários certificados de identidade (cada um de uma CA distinta), o certificado que um aplicativo seleciona para usar em uma troca de protocolo de segurança com um colega é específico do aplicativo.

  • Você não precisa designar um ou mais pontos de confiança para um aplicativo. Qualquer aplicativo pode usar qualquer certificado emitido por qualquer ponto de confiança, desde que a finalidade do certificado satisfaça os requisitos do aplicativo.

  • Você não precisa de mais de um certificado de identidade de um ponto de confiança ou mais de um par de chaves para estar associado a um ponto de confiança. Uma CA certifica uma determinada identidade (ou nome) apenas uma vez e não em questões de vários certificados com o mesmo nome. Se você precisar de mais de um certificado de identidade para uma CA e se a CA permitir vários certificados com os mesmos nomes, você deve definir outro ponto de confiança para a mesma CA, associar outro par de chaves a ele e certificado.

Suporte de CA confiável múltiplo

O dispositivo Cisco NX-OS pode confiar em vários CAs configurando vários pontos de confiança e associando cada um com uma CA distinta. Com vários CAs confiáveis, você não precisa increva um dispositivo com a CA específica que emitiu o certificado a um par. Em vez disso, você pode configurar o dispositivo com várias CAs confiáveis nas quais o colega confia. O dispositivo Cisco NX-OS pode então usar uma CA confiável configurada para verificar os certificados recebidos de um par que não foram emitidos pela mesma CA definida na identidade do dispositivo de pares.

Suporte de inscrição PKI

Inscrição é o processo de obtenção de um certificado de identidade para o dispositivo que é usado para aplicativos como o SSH. Isso ocorre entre o dispositivo que solicita o certificado e a autoridade de certificado.

O dispositivo Cisco NX-OS executa as seguintes etapas ao executar o processo de inscrição PKI:

  • Gera um par de chaves públicas e privadas RSA no dispositivo.

  • Gera uma solicitação de certificado em formato padrão e a encaminha para a CA.


O administrador de CA pode ser obrigado a aprovar manualmente a solicitação de inscrição no servidor de CA, quando a solicitação for recebida pela CA.

  • Recebe o certificado emitido de volta da CA, assinado com a chave privada da CA.

  • Grava o certificado em uma área de armazenamento nãovolatile no dispositivo (bootflash).

Inscrição manual usando cortar e colar

O software Cisco NX-OS suporta recuperação de certificado e inscrição usando atalho manual. Inscrição cortar e colar significa que você deve cortar e colar as solicitações de certificados e os certificados resultantes entre o dispositivo e a CA.

Você deve executar os seguintes passos ao usar o corte e colar no processo manual de inscrição:

  • Crie uma solicitação de certificado de inscrição, que o dispositivo Cisco NX-OS exibe no formulário de texto codificado em base64.

  • Cortar e colar o texto da solicitação do certificado codificado em um e-mail ou em um formulário da web e enviá-lo para a CA.

  • Receba o certificado emitido (no formulário de texto codificado base64) da CA em um e-mail ou em um download do navegador da web.

  • Cortar e colar o certificado emitido no dispositivo usando o recurso de importação de certificado.

Suporte a VÁRIOS RSA Key Pair e Identity CA

As CAs de identificação múltipla permitem que o dispositivo se inscreva com mais de um ponto de confiança, o que resulta em vários certificados de identidade, cada um de uma CA distinta. Com esse recurso, o dispositivo Cisco NX-OS pode participar no SSH e em outros aplicativos com muitos pares usando certificados emitidos por CAs que são aceitáveis para esses pares.

O recurso múltiplos pares de chaves RSA permite que o dispositivo mantenha um par de chaves distintos para cada CA com o qual está inscrito. Ela pode corresponder aos requisitos de políticas para cada CA sem conflitar com os requisitos especificados pelos outros CAs, como o comprimento da chave. O dispositivo pode gerar vários pares de chaves RSA e associar cada par de chaves a um ponto de confiança distintos. A partir de então, ao se inscrever com um ponto de confiança, o par de chaves associado é usado para construir a solicitação de certificado.

Verificação de Certificado Peer

O suporte PKI em um dispositivo Cisco NX-OS pode verificar certificados de pares. O software Cisco NX-OS verifica os certificados recebidos de pares durante trocas de segurança para aplicativos, como o SSH. Os aplicativos verificam a validade dos certificados de pares. O software Cisco NX-OS executa os seguintes passos ao verificar certificados de pares:

  • Verifica se a certificado par/certificado de mesmo nível foi emitido por um dos CAs confiáveis localmente.

  • Verifica se a certificado par/certificado de mesmo nível é válida (não expirou) com relação à hora atual.

  • Verifica se a certificado par/certificado de mesmo nível ainda não foi revogada pela CA de emissão.

Para verificação de revogação, o software Cisco NX-OS suporta a lista de revogação de certificados (CRL). Um ponto de confiança CA pode usar este método para verificar se a certificado par/certificado de mesmo nível foi revogada.

Verificação de revogação do certificado

O software Cisco NX-OS pode verificar o status de revogação dos certificados de CA. Os aplicativos podem usar os mecanismos de verificação de revogação na ordem especificada. As escolhas são CRL, nenhuma ou uma combinação desses métodos.

Suporte CRL

Os CAs mantêm listas de revogação de certificados (CRLs) para fornecer informações sobre certificados revogados antes de suas datas de expiração. Os CAs publicam os CRLs em um repositório e fornecem a URL pública de download em todos os certificados emitidos. Um cliente verificando o certificado de um colega pode obter a última CRL da CA em emissão e usá-lo para determinar se o certificado foi revogado. Um cliente pode armazenar em cache os CRLs de algumas ou todas as suas CAs confiáveis localmente e usá-las mais tarde, se necessário, até que as CRLs expirem.

O software Cisco NX-OS permite a configuração manual de CRLs pré-baixadas para os pontos de confiança e, em seguida, armazena em cache na faixa de inicialização do dispositivo (cert-store). Durante a verificação de uma certificado par/certificado de mesmo nível, o software Cisco NX-OS verifica o CRL da CA de emissão somente se o CRL já tiver sido armazenado em cache localmente e a verificação de revogação estiver configurada para usar o CRL. Caso contrário, o software Cisco NX-OS não executa a verificação CRL e considere o certificado não revogado, a menos que você tenha configurado outros métodos de verificação de revogação.

Suporte de importação e exportação para certificados e pares de chaves associados

Como parte do processo de autenticação e inscrição de CA, o certificado subordinado CA (ou cadeia de certificados) e certificados de identidade podem ser importados no formato PEM padrão (base64).

As informações de identidade completas em um ponto de confiança podem ser exportadas para um arquivo no formato padrão PKCS#12 protegido por senha. Mais tarde, ele pode ser importado para o mesmo dispositivo (por exemplo, após uma falha do sistema) ou para um dispositivo de substituição. As informações em um arquivo PKCS#12 consistem no par de chaves RSA, no certificado de identidade e no certificado de CA (ou cadeia).

Requisitos de licença para PKI

A tabela a seguir mostra os requisitos de licenciamento para esse recurso:

Produto

Requisito de Licença

Cisco NX-OS

O recurso PKI não requer licença. Qualquer recurso não incluído em um pacote de licenças é agrupado com as imagens do sistema Cisco NX-OS e é fornecido sem nenhum custo adicional a você. Para uma explicação do esquema de licenciamento do Cisco NX-OS, consulte o Guia de licenciamento do Cisco NX-OS.

Diretrizes e limitações para PKI

PKI tem as seguintes diretrizes e limitações de configuração:

  • O número máximo de pares de chaves que você pode configurar em um dispositivo Cisco NX-OS é 16.

  • O número máximo de pontos de confiança que você pode declara em um dispositivo Cisco NX-OS é 16.

  • O número máximo de certificados que você pode configurar em um dispositivo Cisco NX-OS é 16.

  • O número máximo de certificados em uma cadeia de certificados de CA é 10.

  • O número máximo de pontos de confiança que você pode autenticar para uma CA específica é 10.

  • As reações de configuração não suportam a configuração PKI.

  • O software Cisco NX-OS não é suportado pelo OSCP.


Se você estiver familiarizado com o Cisco IOS CLI, esteja ciente de que os comandos do Cisco NX-OS para esse recurso podem diferir dos comandos do Cisco IOS que você usaria.

Configurações padrão para PKI

Esta tabela lista as configurações padrão para os parâmetros PKI.

Tabela 1. Parâmetros padrão de PKI

Parâmetros

Padrão

Ponto de confiança

Nenhum(a)

Emparelhamento de teclas RSA

Nenhum(a)

Rótulo do par de chaves RSA

Dispositivo FQDN

Modulus RSA key-pair

512

Emparelhamento de chaves RSA exportável

Enabled

Método de verificação de revogação

Crl

Configurar CAs e certificados digitais

Esta seção descreve as tarefas que você deve executar para permitir que os CAs e certificados digitais no seu dispositivo Cisco NX-OS interoperem.

Configurando o nome do host e do domínio IP

Você deve configurar o nome do hostname e o domínio IP do dispositivo se você ainda não os configurou, pois o software Cisco NX-OS usa o nome de domínio totalmente qualificado (FQDN) do dispositivo como o assunto no certificado de identidade. Além disso, o software Cisco NX-OS usa o dispositivo FQDN como uma etiqueta de chave padrão quando você não especifica um rótulo durante a geração do par de chaves. Por exemplo, um certificado nomeado DeviceA.example.com é baseado em um nome de hostname do dispositivo do DeviceA e um nome de domínio IP do dispositivo de example.com.


Alterar o nome do domínio IP ou o nome do host depois de gerar o certificado pode invalidar o certificado.

  Comando ou ação Objetivo
1

configurar terminal

Exemplo:

alternar# configurar o 
 comutdor de terminal (configuração) #

Entra no modo de configuração global.

2

nome dohostname

Exemplo:

alternar (configuração)# hostname DispositivoA

Configura o nome do host do dispositivo.

3

nome do domínio de ip [use-vrfvrf-name]

Exemplo:

DeviceA(configuração)# nome de domínio ip example.com

Configura o nome de domínio IP do dispositivo. Se você não especificar um nome VRF, o comando usará o VRF padrão.

4

Saída

Exemplo:

alternar (configuração)# comutdor de 
 saída #

Sai do modo de configuração.

5

(Opcional) mostrar hosts

Exemplo:

alternar# mostrar hosts
(Opcional)

Exibe o nome do domínio IP.

6

(Opcional) copiar executando-configuração inicialização-config

Exemplo:

alternar# copiar executando-configuração inicialização-configuração
(Opcional)

Copia a configuração em execução para a configuração de inicialização.

Gerando um par de chaves RSA

Você pode gerar um par de chaves RSA para assinar e/ou criptografar e descriptografar a carga de segurança durante trocas de protocolo de segurança para aplicativos. Você deve gerar o par de chaves RSA antes de obter um certificado para seu dispositivo.

  Comando ou ação Objetivo
1

configurar terminal

Exemplo:

alternar# configurar o 
 comutdor de terminal (configuração) #

Entra no modo de configuração global.

2

chave de criptografia gerar rsa [label-string] [exportável ] [modulussize]

Exemplo:

alternar(configuração)# chave de criptografia gerar rsa exportável

Gera um par de chaves RSA. O número máximo de pares de chaves em um dispositivo é 16.

A sequência de rótulo é alfanumérico, sensível a caso e tem um comprimento máximo de 64 caracteres. A sequência de rótulo padrão é o nome do FQDN e o nome do usuário separados por um caractere de ponto (.).

Os valores de módulos válidos são 512, 768, 1024, 1536 e 2048. O tamanho padrão do módulo é 512.


 

A política de segurança no dispositivo Cisco NX-OS e no CA (onde a inscrição está planejada) deve ser considerada ao decidir o módulo de chave apropriado.

Por padrão, o par de chaves não é exportável. Apenas pares de chaves exportáveis podem ser exportados no formato PKCS#12.


 

Você não pode alterar a capacidade de exportação de um par de chaves.

3

Saída

Exemplo:

alternar (configuração)# comutdor de 
 saída #

Sai do modo de configuração.

4

(Opcional) mostrar chave de criptografia mypubkey rsa

Exemplo:

switch# mostrar chave de criptografia mypubkey rsa
(Opcional)

Exibe a chave gerada.

5

(Opcional) copiar executando-configuração inicialização-config

Exemplo:

alternar# copiar executando-configuração inicialização-configuração
(Opcional)

Copia a configuração em execução para a configuração de inicialização.

Criar uma associação de CA do ponto de confiança

Você deve associar o dispositivo Cisco NX-OS a uma CA de ponto de confiança.

Antes de começar

Gere o par de chaves RSA.

  Comando ou ação Objetivo
1

configurar terminal

Exemplo:

alternar# configurar o 
 comutdor de terminal (configuração) #

Entra no modo de configuração global.

2

ca nome do trustpointde criptografia

Exemplo:

switch(config)# hash ca trustpoint admin-ca 
 switch(config-trustpoint) #

Declara uma CA do ponto de confiança que o dispositivo deve confiar e inserir o modo de configuração do ponto de confiança.


 

O número máximo de pontos de confiança que você pode configurar em um dispositivo é 16.

3

terminal de inscrição

Exemplo:

alternar(config-trustpoint)# terminal de inscrição

Habilita a inscrição manual de certificado de recortar e colar. O padrão é ativado.


 

O software Cisco NX-OS suporta apenas o método de recortamento e colar manual para inscrição de certificados.

4

rótulorsakeypair

Exemplo:

switch(config-trustpoint)# rsakeypair SwitchA

Especifica o rótulo do par de chaves RSA para associar a esse ponto de confiança para inscrição.


 

Você pode especificar apenas um par de chaves RSA por CA.

5

Saída

Exemplo:

alternar(config-trustpoint)# 
 comutdor de saída(configuração) #

Sai do modo de configuração do ponto de confiança.

6

(Opcional) mostrar ca trustpoints de criptografia

Exemplo:

alternar (configuração)# mostrar ca trustpoints de criptografia
(Opcional)

Exibe informações do ponto de confiança.

7

(Opcional) copiar executando-configuração inicialização-config

Exemplo:

alternar(configuração)# copiar executando-configuração inicialização-config
(Opcional)

Copia a configuração em execução para a configuração de inicialização.

Autenticando a CA

O processo de configuração de confiança de uma CA é concluído apenas quando a CA é autenticada no dispositivo Cisco NX-OS. Você deve autenticar o dispositivo Cisco NX-OS na CA obtendo o certificado auto assinado da CA no formato PEM, que contém a chave pública da CA. Como o certificado da CA é auto assinado (a CA assina seu próprio certificado), a chave pública da CA deve ser autenticada manualmente, contatando o administrador de CA para comparar a impressão digital do certificado de CA.


A CA que você está autenticando não é uma CA auto-assinada quando ela é uma CA subordinada a outra CA, que por si mesmo pode ser um subordinado a outra CA e assim por diante, terminando, finalmente, em uma CA auto-assinada. Este tipo de certificado de CA é chamado de cadeia de certificados CA da CA que está sendo autenticada. Neste caso, você deve inserir a lista completa dos certificados de CA de todos os CAs na cadeia de certificação durante a autenticação de CA. O número máximo de certificados em uma cadeia de certificados de CA é 10.

Antes de começar

Crie uma associação com a CA.

Obtenha o certificado de CA ou cadeia de certificados CA.

  Comando ou ação Objetivo
1

configurar terminal

Exemplo:

alternar# configurar o 
 comutdor de terminal (configuração) #

Entra no modo de configuração global.

2

nome de autenticação cado criptografia

Exemplo:

switch(config)# ca de criptografia ca autenticar entrada de admin-ca 
 (cortar e colar) certificado CA (cadeia) no formato PEM; 
 end the input with a line containing only END OF INPUT : 
 -----BEGIN CERTIFICATE----- 
 MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB 
 kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO 
 MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE 
 ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD 
 QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN 
 AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth 
 cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG 
 A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN 
 AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI 
 OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E 
 BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ 
 GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs 
 L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv 
 bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB 
 BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea 
 NBG7E0oN66zex0EOEfG1Vs6mXp1//w== 
 -----END CERTIFICATE----- 
 END OF INPUT 
 Fingerprint(s): MD5 Impressão digital=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Você aceita 
 este certificado? [sim/não]: sim

Solicita que você corte e colar o certificado da CA. Use o mesmo nome que você usou ao resuxicar a CA.

O número máximo de pontos de confiança que você pode autenticar para uma CA específica é 10.


 

Para autenticação subordinada de CA, o software Cisco NX-OS requer a cadeia completa de certificados de CA que terminam em uma CA auto-assinada, pois a cadeia de CA é necessária para verificação de certificado e para exportação do formato PKCS#12.

3

Saída

Exemplo:

alternar (configuração)# comutdor de 
 saída #

Sai do modo de configuração.

4

(Opcional) mostrar ca trustpoints de criptografia

Exemplo:

switch# mostrar criptografia ca pontos de confiança
(Opcional)

Exibe as informações de CA do ponto de confiança.

5

(Opcional) copiar executando-configuração inicialização-config

Exemplo:

alternar# copiar executando-configuração inicialização-configuração
(Opcional)

Copia a configuração em execução para a configuração de inicialização.

Configurar métodos de verificação de revogação de certificados

Durante trocas de segurança com um cliente (por exemplo, um usuário SSH), o dispositivo Cisco NX-OS executa a verificação do certificado da certificado par/certificado de mesmo nível enviada pelo cliente. O processo de verificação pode envolver verificação do status de revogação de certificados.

Você pode configurar o dispositivo para verificar o CRL baixado da CA. Baixar o CRL e verificar localmente não gera tráfego na sua rede. No entanto, os certificados podem ser revogados entre os downloads e o seu dispositivo não teria conhecimento da revogação.

Antes de começar

Autentice a CA.

Certifique-se de ter configurado o CRL se deseja usar a verificação CRL.

  Comando ou ação Objetivo
1

configurar terminal

Exemplo:

alternar# configurar o 
 comutdor de terminal (configuração) #

Entra no modo de configuração global.

2

ca nome do trustpointde criptografia

Exemplo:

switch(config)# hash ca trustpoint admin-ca 
 switch(config-trustpoint) #

Especifica um ponto de confiança CA e insra o modo de configuração do ponto de confiança.

3

revogação-verificação {crl [ none ] none | }

Exemplo:

switch(config-trustpoint)# revogação-verificação nenhuma

Configura os métodos de verificação de revogação de certificados. O método padrão é crl.

O software Cisco NX-OS usa os métodos de revogação de certificados na ordem que você especificar.

4

Saída

Exemplo:

alternar(config-trustpoint)# 
 comutdor de saída(configuração) #

Sai do modo de configuração do ponto de confiança.

5

(Opcional) mostrar ca trustpoints de criptografia

Exemplo:

alternar (configuração)# mostrar ca trustpoints de criptografia
(Opcional)

Exibe as informações de CA do ponto de confiança.

6

(Opcional) copiar executando-configuração inicialização-config

Exemplo:

alternar(configuração)# copiar executando-configuração inicialização-config
(Opcional)

Copia a configuração em execução para a configuração de inicialização.

Gerando Solicitações de Certificado

Você deve gerar uma solicitação para obter certificados de identidade a partir da CA do ponto de confiança associado para cada um dos pares de chaves RSA do seu dispositivo. Você deve então cortar e colar a solicitação exibida em um e-mail ou em um formulário do site para a CA.

Antes de começar

Crie uma associação com a CA.

Obtenha o certificado de CA ou cadeia de certificados CA.

  Comando ou ação Objetivo
1

configurar terminal

Exemplo:

alternar# configurar o 
 comutdor de terminal (configuração) #

Entra no modo de configuração global.

2

ca ca incred

Exemplo:

switch (configuração)# criptografia ca enroll admin-ca 
 Crie a solicitação de certificado ..
 Crie uma senha de desafio. Você precisará fornecer verbalmente esta 
  senha ao Administrador da CA para revogar seu certificado.
  Por motivos de segurança, sua senha não será salva na configuração.
  Por favor, anote isso.
  Senha:nbv123 
 O nome do assunto no certificado será: DeviceA.cisco.com 
 inclua o número de série no nome do assunto? [sim/não]: não 
 inclua um endereço de IP no nome do assunto [sim/não]: endereço 
 ip sim:172.22.31.162 A 
 solicitação de certificado será exibida...
-----BEGIN CERTIFICATE REQUEST----- 
 MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ 
 KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 
 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y 
 P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S 
 VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ 
 DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ 
 KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt 
 PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 
 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= 
 -----END CERTIFICATE REQUEST-----

Gera uma solicitação de certificado para uma CA autenticada.


 

Você deve lembrar a senha do desafio. Ele não é salvo com a configuração. Você deve inserir esta senha se o seu certificado precisar ser revogado.

3

Saída

Exemplo:

alternar(config-trustpoint)# 
 comutdor de saída(configuração) #

Sai do modo de configuração do ponto de confiança.

4

(Opcional) mostrar certificados de criptografia ca

Exemplo:

alternar (configuração)# mostrar certificados de criptografia ca
(Opcional)

Exibe os certificados de CA.

5

(Opcional) copiar executando-configuração inicialização-config

Exemplo:

alternar(configuração)# copiar executando-configuração inicialização-config
(Opcional)

Copia a configuração em execução para a configuração de inicialização.

Instalando certificados de identidade

Você pode receber o certificado de identidade da CA por e-mail ou através de um navegador da web no formulário de texto codificado base64. Você deve instalar o certificado de identidade a partir da CA, cortando e colar o texto codificado.

Antes de começar

Crie uma associação com a CA.

Obtenha o certificado de CA ou cadeia de certificados CA.

  Comando ou ação Objetivo
1

configurar terminal

Exemplo:

alternar# configurar o 
 comutdor de terminal (configuração) #

Entra no modo de configuração global.

2

certificado de nome deimportação cade criptografia

Exemplo:

switch(config)# ca import ca import admin-ca certificado de entrada 
 (cortar e colar) no formato PEM:
-----BEGIN CERTIFICATE----- 
 MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G 
 CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD 
 VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz 
 Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w 
 NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu 
 Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C 
 dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 
 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb 
 x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw 
 GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR 
 bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW 
 pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE 
 BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w 
 DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh 
 cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 
 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 
 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH 
 AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl 
 LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 
 XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF 
 AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw 
 E36cIZu4WsExREqxbTk8ycx7V5o= 
 -----END CERTIFICATE-----

Solicita que você corte e colar o certificado de identidade para o CA nomeado admin-ca.

O número máximo de certificados que você pode configurar em um dispositivo é 16.

3

Saída

Exemplo:

alternar (configuração)# comutdor de 
 saída #

Sai do modo de configuração.

4

(Opcional) mostrar certificados de criptografia ca

Exemplo:

switch# mostrar certificados de criptografia ca
(Opcional)

Exibe os certificados de CA.

5

(Opcional) copiar executando-configuração inicialização-config

Exemplo:

alternar# copiar executando-configuração inicialização-configuração
(Opcional)

Copia a configuração em execução para a configuração de inicialização.

Garantindo que as configurações dos pontos de confiança persistam através de reinicializações

Você pode garantir que a configuração do trustpoint persista com as reinicializações dos dispositivos Cisco NX-OS.

A configuração do ponto de confiança é uma configuração normal do dispositivo Cisco NX-OS que persiste entre as reinicializações do sistema somente se você copiá-lo explicitamente para a configuração de inicialização. Os certificados, os pares de chaves e a CRL associados a um ponto de confiança são automaticamente persistentes se você já tiver copiado a configuração do ponto de confiança na configuração de inicialização. Por outro lado, se a configuração do ponto de confiança não for copiada para a configuração de inicialização, os certificados, os pares de chaves e o CRL associados a ele não serão persistentes, pois exigirão a configuração do ponto de confiança correspondente após uma reinicialização. Copie sempre a configuração em execução para a configuração de inicialização para garantir que os certificados configurados, os pares de chaves e os CRLs sejam persistentes. Além disso, salve a configuração em execução depois de excluir um certificado ou um par de chaves para garantir que as exclusões permanentes.

Os certificados e CRL associados a um ponto de confiança tornam-se automaticamente persistentes quando importados (ou seja, sem copiar explicitamente para a configuração de inicialização) se o ponto de confiança específico já estiver salvo na configuração de inicialização.

Recomendamos que você crie um backup protegido por senha dos certificados de identidade e salve-os em um servidor externo.


Copiar a configuração para um servidor externo inclui os certificados e os pares de chaves.

Exportando informações de identidade no formato PKCS 12

Você pode exportar o certificado de identidade juntamente com o par de chaves RSA e certificado de CA (ou toda a cadeia no caso de uma CA subordinada) de um ponto de confiança para um arquivo PKCS#12 para fins de backup. Você pode importar o certificado e o par de chaves RSA para se recuperar de uma falha do sistema no seu dispositivo ou ao substituir os módulos do supervisor.


Você pode usar apenas o formato bootflash:filename ao especificar a URL de exportação.

Antes de começar

Autentice a CA.

Instale um certificado de identidade.

  Comando ou ação Objetivo
1

configurar terminal

Exemplo:

alternar# configurar o 
 comutdor de terminal (configuração) #

Entra no modo de configuração global.

2

foto criptografarnome de exportação pkcs12 bootflash:senha do nome doarquivo

Exemplo:

alternar(config)# ca exportada admin-ca pkcs12 bootflash:adminid.p12 nbv123

Exporta o certificado de identidade e certificados de CA associados e de chave para uma CA de ponto de confiança. A senha é alfanumérica, sensível a casos e tem um comprimento máximo de 128 caracteres.

3

Saída

Exemplo:

alternar (configuração)# comutdor de 
 saída #

Sai do modo de configuração.

4

copiar booflash:esquema filename:// server/ [url/]filename

Exemplo:

alternar# cópia bootflash:adminid.p12 tftp:adminid.p12

Copia o arquivo no formato PKCS#12 para um servidor remoto.

Para o argumento do esquema, você pode digitar tftp:, ftp:, scp:, ou sftp:. O argumento do servidor é o endereço ou o nome do servidor remoto, e o argumento da url é o caminho para o arquivo de origem no servidor remoto.

O servidor , url e osargumentos do nome do arquivo são sensíveis a casos.

Importar informações de identidade no formato PKCS 12

Você pode importar o certificado e o par de chaves RSA para se recuperar de uma falha do sistema no seu dispositivo ou ao substituir os módulos do supervisor.


Você pode usar apenas o formato bootflash:filename ao especificar a URL de importação.

Antes de começar

Certifique-se de que o ponto de confiança está vazio, verificando se nenhum par de chaves RSA está associado a ele e que nenhuma CA está associada ao ponto de confiança usando a autenticação CA.

  Comando ou ação Objetivo
1

esquemade cópia ://server /[ url/]nome_de_arquivobootflash:filename

Exemplo:

alternar# cópia tftp:adminid.p12 bootflash:adminid.p12

Copia o arquivo no formato PKCS#12 do servidor remoto.

Para o argumento do esquema, você pode digitar tftp:, ftp:, scp:, ou sftp:. O argumento do servidor é o endereço ou o nome do servidor remoto, e o argumento da url é o caminho para o arquivo de origem no servidor remoto.

O servidor , url e osargumentos do nome do arquivo são sensíveis a casos.

2

configurar terminal

Exemplo:

alternar# configurar o 
 comutdor de terminal (configuração) #

Entra no modo de configuração global.

3

ca deimportaçãode criptografia pksc12 bootflash:filename

Exemplo:

alternar(config)# ca importar admin-ca pkcs12 bootflash:adminid.p12 nbv123

Importa o certificado de identidade e certificados de CA associados ao par de chaves e certificados de CA para o ponto de confiança CA.

4

Saída

Exemplo:

alternar (configuração)# comutdor de 
 saída #

Sai do modo de configuração.

5

(Opcional) mostrar certificados de criptografia ca

Exemplo:

switch# mostrar certificados de criptografia ca
(Opcional)

Exibe os certificados de CA.

6

(Opcional) copiar executando-configuração inicialização-config

Exemplo:

alternar# copiar executando-configuração inicialização-configuração
(Opcional)

Copia a configuração em execução para a configuração de inicialização.

Configurar um CRL

Você pode configurar manualmente os CRLs que você baixou a partir dos pontos de confiança. O software Cisco NX-OS armazena em cache as CRLs na faixa de inicialização do dispositivo (cert-store). Durante a verificação de uma certificado par/certificado de mesmo nível, o software Cisco NX-OS verifica o CRL da CA de emissão apenas se você baixou o CRL para o dispositivo e configurou a verificação de revogação de certificados para usar o CRL.

Antes de começar

Certifique-se de ter ativado a verificação de revogação de certificados.

  Comando ou ação Objetivo
1

esquemadecópia:[// server /[ url/]]filenamebootflash:filename

Exemplo:

alternar# copie tftp:adminca.crl bootflash:adminca.crl

Baixa o CRL de um servidor remoto.

Para o argumento do esquema, você pode digitar tftp:, ftp:, scp:, ou sftp:. O argumento do servidor é o endereço ou o nome do servidor remoto, e o argumento da url é o caminho para o arquivo de origem no servidor remoto.

O servidor , url e osargumentos do nome do arquivo são sensíveis a casos.

2

configurar terminal

Exemplo:

alternar# configurar o 
 comutdor de terminal (configuração) #

Entra no modo de configuração global.

3

criptografia ca crl nomebootflash:nome do arquivo

Exemplo:

switch(config)# criptografia ca crl solicitação admin-ca bootflash:adminca.crl

Configura ou substitui a CRL atual pelo especificado no arquivo.

4

Saída

Exemplo:

alternar (configuração)# comutdor de 
 saída #

Sai do modo de configuração.

5

(Opcional) mostrar nome de criptografia cacrl

Exemplo:

switch# mostrar criptografia ca crl admin-ca
(Opcional)

Exibe as informações de CRL de CA.

6

(Opcional) copiar executando-configuração inicialização-config

Exemplo:

alternar# copiar executando-configuração inicialização-configuração
(Opcional)

Copia a configuração em execução para a configuração de inicialização.

Excluir certificados da configuração de CA

Você pode excluir os certificados de identidade e os certificados de CA que estão configurados em um ponto de confiança. Você deve primeiro excluir o certificado de identidade, seguido pelos certificados de CA. Depois de excluir o certificado de identidade, você pode dissociar o par de chaves RSA de um ponto de confiança. Você deve excluir certificados para remover certificados expirados ou revogados, certificados que foram comprometidos (ou suspeita de ser comprometido) pares de chaves ou CAs que não são mais confiáveis.

  Comando ou ação Objetivo
1

configurar terminal

Exemplo:

alternar# configurar o 
 comutdor de terminal (configuração) #

Entra no modo de configuração global.

2

ca nome do trustpointde criptografia

Exemplo:

switch(config)# hash ca trustpoint admin-ca 
 switch(config-trustpoint) #

Especifica um ponto de confiança CA e insra o modo de configuração do ponto de confiança.

3

excluir ca-certificado

Exemplo:

alternar(config-trustpoint)# excluir ca-certificado

Exclui o certificado de ca ou cadeia de certificados.

4

excluir certificado [force]

Exemplo:

alternar(config-trustpoint)# excluir certificado

Exclui o certificado de identidade.

Você deve usar a opção de força se o certificado de identidade que você deseja excluir for o último certificado em uma cadeia de certificados ou apenas certificado de identidade no dispositivo. Esse requisito garante que você não exclua erroneamente o último certificado em uma cadeia de certificados ou apenas o certificado de identidade e deixe os aplicativos (como SSH) sem um certificado para usar.

5

Saída

Exemplo:

alternar(config-trustpoint)# 
 comutdor de saída(configuração) #

Sai do modo de configuração do ponto de confiança.

6

(Opcional) mostrar certificados de criptografia ca [nome]

Exemplo:

alternar (configuração)# mostrar ca certificados de criptografia admin-ca
(Opcional)

Exibe as informações do certificado ca.

7

(Opcional) copiar executando-configuração inicialização-config

Exemplo:

alternar(configuração)# copiar executando-configuração inicialização-config
(Opcional)

Copia a configuração em execução para a configuração de inicialização.

Excluir os pares de chaves RSA de um dispositivo Cisco NX-OS

Você pode excluir os pares de chaves RSA de um dispositivo Cisco NX-OS se você acredita que os pares de chaves RSA foram comprometidos de alguma forma e não devem mais ser usados.


Depois de excluir os pares de chaves RSA de um dispositivo, peça ao administrador de CA que revogue os certificados do seu dispositivo na CA. Você deve fornecer a senha de desafio que você criou quando você originalmente solicitou os certificados.

  Comando ou ação Objetivo
1

configurar terminal

Exemplo:

alternar# configurar o 
 comutdor de terminal (configuração) #

Entra no modo de configuração global.

2

tecla de criptografia zeroize o rótulo rsa

Exemplo:

alternar (configuração)# tecla de criptografia zeroize rsa MyKey

Exclui o par de chaves RSA.

3

Saída

Exemplo:

alternar (configuração)# comutdor de 
 saída #

Sai do modo de configuração.

4

(Opcional) mostrar chave de criptografia mypubkey rsa

Exemplo:

switch# mostrar chave de criptografia mypubkey rsa
(Opcional)

Exibe a configuração do par de chaves RSA.

5

(Opcional) copiar executando-configuração inicialização-config

Exemplo:

alternar# copiar executando-configuração inicialização-configuração
(Opcional)

Copia a configuração em execução para a configuração de inicialização.

Verificando a configuração PKI

Para exibir informações de configuração PKI, execute uma das seguintes tarefas:

Comando

Objetivo

mostrar chave de criptografia mypubkey rsa

Exibe informações sobre as chaves públicas RSA geradas no dispositivo Cisco NX-OS.

mostrar certificados de criptografia ca

Exibe informações sobre a CA e certificados de identidade.

mostrar criptografia ca crl

Exibe informações sobre CRLs de CA.

mostrar ca trustpoints de criptografia

Exibe informações sobre pontos de confiança de CA.

Exemplos de configuração para PKI

Esta seção mostra exemplos de tarefas que você pode usar para configurar certificados e CRLs em dispositivos Cisco NX-OS usando um servidor de certificado do Microsoft Windows.


Você pode usar qualquer tipo de servidor de certificado para gerar certificados digitais. Você não está limitado a usar o servidor de certificados do Microsoft Windows.

Configurar certificados em um dispositivo Cisco NX-OS

Para configurar certificados em um dispositivo Cisco NX-OS, siga estas etapas:

1

Configure o dispositivo FQDN.

switch# configure os comandos de configuração do terminal Enter, um por linha.  Termine com CNTL/Z. 
 alternar(configuração)# hostname Device-1 Device-1(configuração) #

2

Configure o nome do domínio DNS para o dispositivo.

Dispositivo-1(configuração)# nome de domínio ip cisco.com

3

Crie um ponto de confiança.

Dispositivo-1(configuração)# ca trustpoint de criptografia myCA Device-1(config-trustpoint)# sair  do Dispositivo-1(configuração)#  mostrar foto de criptografia ca trustpoint: myCA; Chave:
Métodos de revokation:  Crl

4

Crie um par de chaves RSA para o dispositivo.

Dispositivo-1(configuração)# chave de criptografia gerará o rótulo rsa myKey exportável modulus 1024 Device-1(config)# mostrar chave de teclado de teclado meu público rótulo da chave rsa: Tamanho da 
 chave myKey: 1024 
 exportável: sim

5

Associe o emparelhamento da chave RSA ao ponto de confiança.

Dispositivo-1(configuração)# ca trustpoint de criptografia myCA Device-1(config-trustpoint)# rsakeypair myKey Device-1(config-trustpoint)# sair  Device-1(config)# mostrar trustpoints de criptografia ca trustpoints: myCA; Chave: Métodos de 
 revokation myKey:  Crl

6

Baixe o certificado de ca da interface da web do serviço de certificado da Microsoft.

7

Autentice a CA que você deseja registrar no ponto de confiança.

Dispositivo-1(configuração)# criptografia ca autenticar myCA entrada (cortar e colar) certificado de CA (cadeia) no formato PEM; 
 end the input with a line containing only END OF INPUT : 
 -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea NBG7E0oN66zex0EOEfG1Vs6mXp1//w== -----END CERTIFICATE----- FIM DA IMPRESSÃO DIGITAL DE ENTRADA: MD5 Impressão digital=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Você aceita 
 este certificado? [sim/não]:y  Device-1(configuração)# mostrar certificados de criptografia ca Trustpoint: certificado myCA 
 CA 0:
subject= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ 
 L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA 
 issuer= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ 
 L=Bangalore/O=Yourcompany/OU=net armazenamento/CN=Aparna CA 
 serial=0560D289ACB419944F4912258CAD197A 
 notBefore=3 de maio 22: 46:37 2005 GMT 
 nãoDepois=3 de maio 22:55:17 2007 GMT 
 MD5 Impressão digital=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12s: sslserver sslclient ike

8

Gere um certificado de solicitação para usar para se inscrever com um ponto de confiança.

Dispositivo-1(configuração)# criptografia ca inscreva myCA  Crie a solicitação de certificado ..
 Crie uma senha de desafio. Você precisará fornecer verbalmente esta 
  senha ao Administrador da CA para revogar seu certificado.
  Por motivos de segurança, sua senha não será salva na configuração.
  Por favor, anote isso.
  Senha: nbv123  O nome do assunto no certificado será: Device-1.cisco.com inclua  o número de série no nome do assunto? [sim/não]: não  inclua um endereço de IP no nome do assunto [sim/não]: endereço ip sim: 10.10.1.1 A  solicitação de certificado será exibida...
-----BEGIN CERTIFICATE REQUEST----- 
 MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ 
 KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 
 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y 
 P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S 
 VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ 
 DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ 
 KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt 
 PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 
 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= 
 -----END CERTIFICATE REQUEST-----

9

Solicite um certificado de identidade a partir da interface da web do serviço de certificado da Microsoft.

10

Importe o certificado de identidade.

Dispositivo-1(configuração)# criptografia ca importar certificado myCA entrada (cortar e colar) certificado em formato PEM:
-----GINAR CERTIFICADO----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydLOCBgkqhkiG9w0BAQUF AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw E36cIMax4WsExREqxbTk8ycx7V5o= -----END CERTIFICATE----- Device-1(config)# sair do Dispositivo-1 #

11

Verifique a configuração do certificado.

12

Salve a configuração do certificado na configuração de inicialização.

Baixando um certificado de ca

Para baixar um certificado de ca da interface web dos serviços de certificados da Microsoft, siga estas etapas:

1

Na interface da web dos Serviços de certificados da Microsoft, clique em Recuperar a tarefa de revogação de certificados ou certificados da CA e clique emPróximo.

2

A partir da lista de exibição, escolha o arquivo de certificado CA para baixar da lista exibida. Em seguida, clique em Base 64 codificado e clique em Baixar certificado CA .

3

Clique em Abrir na área Download de caixa de diálogo.

4

Na barra de caixa de diálogo, clique em Copiar para arquivo e clique emOK.

5

Do Assistente para exportação de caixa de diálogo certificado, escolha o X.509 (CER) codificado na Base 64 e clique em Próximo.

6

Na área Nome do arquivo: caixa de texto no Assistente para exportação de caixa de diálogo certificado, insira o nome do arquivo de destino e clique em Próximo.

7

No Assistente para exportação de certificados caixa de diálogo, clique em Concluir.

8

Insira o comando do tipo Microsoft Windows para exibir o certificado de CA armazenado no formato PEM (Base 64).

Solicitar um Certificado de Identidade

Para solicitar um certificado de identificação de um servidor de certificado Microsoft usando um PKCS#12 solicitação de assinatura de certificado (CRS), siga estes passos:

1

Na interface da web de Serviços de certificados da Microsoft, clique em Solicitar um certificado e clique emPróximo.

2

Clique em Solicitação avançada e clique em Próximo.

3

Clique em Enviar uma solicitação de certificado usando um arquivo PKCS#10 codificado em base64 ou uma solicitação de renovação usando um arquivo PKCS#7 codificado em base64 e clique em Próximo .

4

Na caixa de texto Solicitação Salva, colar a solicitação de certificado PKCS#10 base64 e clique em Próximo. A solicitação de certificado é copiada do console do dispositivo Cisco NX-OS.

5

Aguarde um ou dois dias até que o certificado seja emitido pelo administrador de CA.

6

Observe que o administrador de CA aprova a solicitação de certificado.

7

Na interface da web dos Serviços de certificados da Microsoft, clique em Verificar um certificado pendente e clique em Próximo.

8

Escolha a solicitação de certificado que você deseja verificar e clique em Próximo.

9

Clique em Base 64 codificado e clique em Baixar certificado CA .

10

Na área Download de caixa de diálogo arquivo, clique em Abrir.

11

Na caixa Certificado, clique na guia Detalhes e clique em Copiar paraarquivo.... Na caixa de diálogo Exportação de certificados, clique em Base-64 codificado X.509 (. CER)e clique em Próximo .

12

Na área Nome do arquivo: caixa de texto no Assistente para exportação de caixa de diálogo certificado, insira o nome do arquivo de destino e clique em Próximo.

13

Clique em Concluir.

14

Insira o comando do tipo Microsoft Windows para exibir o certificado de identidade no formato codificado em base64.

Revogando um certificado

Para revogar um certificado usando o programa de administrador do Microsoft CA, siga estas etapas:

1

Da árvore da Autoridade de Certificação, clique na pasta Certificados Emitidos. Na lista, clique com o botão direito do mouse no certificado que você deseja revogar.

2

Escolha Todas as tarefas > Revogar certificado.

3

Do código de lista suspensa motivo, escolha uma razão para a revogação e clique em Sim.

4

Clique na pasta Revogar certificados para listar e verificar a revogação de certificados.

Gerando e publicando o CRL

Para gerar e publicar o CRL usando o programa de administrador do Microsoft CA, siga estas etapas:

1

Da tela da Autoridade de Certificação, escolha Ação > Todas as Tarefas > Publicar.

2

Na lista de revogação de certificados caixa de diálogo, clique em Sim para publicar o CRL mais recente.

Baixando o CRL

Para baixar o CRL no site da Microsoft CA, siga estas etapas:

1

Na interface da web dos Serviços de certificados da Microsoft, clique em Recuperar o certificado CA ou lista de revogação de certificados e clique em Próximo.

2

Clique em Baixar a lista de revogação de certificados maisrecente.

3

No arquivo download caixa de diálogo, clique em Salvar.

4

Em Salvar como caixa de diálogo, insira o nome do arquivo de destino e clique em Salvar.

5

Insira o comando do tipo Microsoft Windows para exibir o CRL.

Importar o CRL

Para importar o CRL para o ponto de confiança correspondente à CA, siga estas etapas:

1

Copie o arquivo CRL para a faixa de inicialização do dispositivo Cisco NX-OS.

Dispositivo-1# copie tftp:aertnaCA.crl bootflash:aparnaCA.crl

2

Configure o CRL.


Dispositivo-1# configurar o Dispositivo terminal-1(configuração)# solicitação de criptografia ca ca myCA bootflash:aparnaCA.crl Device-1(configuração) #

3

Exibir o conteúdo do CRL.


Dispositivo-1(configuração)# mostrar criptografia ca crl myCA Trustpoint: MYCA 
 CRL:
Lista de revogação de certificados (CRL):
        Versão 2 (0x1) 
        Algoritmo de Assinatura: sha1WithRSAEnscription 
        Issuer: /emailAddress=admin@yourcompany.com/C=IN/ST=Karnatak 
 Suaempresa/OU=netstorage/CN=Aparna CA 
        Última atualização: 12 de novembro 04:36:04 2005 GMT 
        Próxima atualização: 19 de novembro 16:56:04 Extensões GMT 2005:
            Identificador da chave da autoridade X509v3:
            chaveid:27:28:F2:46:83:1B:AC:23:4C:45:4D:8E:C9:18:50:1 
            1.3.6.1.4.1.311.21.1:
                ...
Certificados Revogados:
    Número de Série: 611B09A10000000002 
        Data de revogação: 16 de agosto 21:52:19 2005 Número de 
 Série GMT: 4CDE464E00000000003 
        Data de revogação: 16 de agosto 21:52:29 2005 Número de 
    Série GMT: 4CFC2B420000000004 
        Data de revogação: 16 de agosto 21:52:41 2005 Número de 
    Série GMT: 6C699EC20000000005 
        Data de revogação: 16 de agosto 21:52:52 de 2005 Número de 
    Série GMT: 6CCF7DDC00000000006 
        Data de revogação: 8 de junho 00:12:04 2005 Número de 
    Série GMT: 70CC4FFF00000000007 
        Data de revogação: 16 de agosto 21:53:15 2005 Número de 
    Série GMT: 4D9B11160000000008 
        Data de revogação: 16 de agosto 21:53:15 2005 Número de 
    Série GMT: 52A802300000000009 
        Data de revogação: 27 de junho 23:47:06 2005 Extensões de entrada 
        GMT CRL:
            Código de motivo CRL X509v3:
            Ca Comprometer 
 Número de Série: 5349AD46000000000A 
        data de revogação: 27 de junho 23:47:22 de 2005 Ramal de entrada GMT 
        CRL:
            Código de motivo CRL X509v3:
            Ca Comprometer 
 Número de Série: 53BD173C000000000B 
        Data de revogação: 04 de jembro 18:04:01 2005 Extensões de Entrada 
        GMT CRL:
            Código de motivo CRL X509v3:
            Número de série 
 de espera do certificado: 591E7ACE0000000000C 
        Data de revogação: 16 de agosto 21:53:15 2005 Número de 
    Série GMT: 5D3FD52E000000000D 
        Data de revogação: 29 de junho 22:07:25 2005 Extensões de entrada 
        GMT CRL:
            Código de motivo CRL X509v3:
            Número de série 
 de compromisso da chave: 5DAB7713000000000 Data 
        de revogação: 14 de jembro 00:33:56 2005 Número de 
    Série GMT: 5DAE53CD000000000F 
        Data da revogação: 16 de agosto 21:53:15 2005 Número de 
    Série GMT: 5DB140D30000000010 
        Data de revogação: 16 de agosto 21:53:15 2005 Número de 
    Série GMT: 5E2D7C1B00000000011 
        Data de revogação: 06 de jembro 21:12:10 2005 Extensões de Entrada 
        GMT CRL:
            Código de motivo CRL X509v3:
            Interrupção do número de 
 série de operação: 16DB4F8F00000000012 
        Data de revogação: 16 de agosto 21:53:15 2005 Número de 
    Série GMT: 261C392400000000013 
        Data de revogação: 16 de agosto 21:53:15 2005 Número de 
    Série GMT: 262B52020000000014 
        Data de revogação: 14 de jembro 00:33:10 2005 Número de 
    Série GMT: 2634C7F20000000015 
        Data de revogação: 14 de jembro 00:32:45 2005 Número de 
    Série GMT: 2635B00000000000016 
        Data de revogação: 14 de jembro 00:31:51 2005 Número de 
    Série GMT: 264850400000000017 
        Data de revogação: 14 de jembro 00:32:25 de 2005 Número de 
    Série GMT: 2A2763570000000018 
 Data de revogação: 16 de agosto 21:53:15 2005 Número de 
    Série GMT: 3F88CBF700000000019 
        Data de revogação: 16 de agosto 21:53:15 2005 Número de 
    Série GMT: 6E4B5F5F0000000001 Uma 
        data de revogação: 16 de agosto 21:53:15 2005 Número de 
    Série GMT: 725B89D80000000001B 
        Data de revogação: 16 de agosto 21:53:15 2005 Número de 
    Série GMT: 735A88780000000001C 
        Data de revogação: 16 de agosto 21:53:15 2005 Número de 
    Série GMT: 148511C70000000001D 
        Data de revogação: 16 de agosto 21:53:15 2005 Número de 
    Série GMT: 14A717010000000001 Data 
        de revogação: 16 de agosto 21:53:15 2005 Número de 
    Série GMT: 14FC45B50000000001F 
        Data de revogação: 17 de agosto 18:30:42 de 2005 Número de 
    Série GMT: 486CE80B00000000020 
        Data de revogação: 17 de agosto 18:30:43 2005 Número de 
    Série GMT: 4CA4A3AA00000000021 
        Data de revogação: 17 de agosto 18:30:43 2005 Número de 
    Série GMT: 1AA55C8E0000000002F 
        Data da revogação: 5 de setembro 17:07:06 2005 Número de 
    Série GMT: 3F0845DD000000003F 
        Data de revogação: 8 de setembro 20:24:32 de 2005 Número de 
    Série GMT: 3F619B7E00000000042 
        Data de revogação: 8 de setembro 21:40:48 2005 Número de 
    Série GMT: 6313C4630000000052 
        Data de revogação: 19 de setembro 17:37:18 2005 Número de 
    Série GMT: 7C3861E300000000060 
        Data de revogação: 20 de setembro 17:52:56 2005 Número de 
    Série GMT: 7C6EE35100000000061 
        Data de revogação: 20 de setembro 18:52:30 2005 Número de 
    Série GMT: 0A338EA10000000074 <-- Revoked identity certificate 
 Data de revogação: 12 de novembro 04:34:42 de 2005 Algoritmo de Assinatura 
    GMT: sha1WithRSAEncodificação 
        0b:cb:dd:43:0a:b8:62:1e:80:95:06:6f:4d:ab:0c:d8:8e:32:
        44:8e:a7:94:97:af:02:b9:a6:9c:14:fd:eb:90:cf:18:c9:96:
        29:bb:57:37:d9:1f:d5:bd:4e:9a:4b:18:2b:00:2f:d2:6e:c1:
        1a:9f:1a:49:b7:9c:58:24:d7:72


 

O certificado de identidade para o dispositivo que foi revogado (número de série 0A338EA10000000074) está listado no final.