- Configurando PKI
- Informações sobre PKI
- CAs e certificados digitais
- Modelo de confiança, pontos de confiança e CAs de identidade
- Pares de chaves RSA e certificados de identidade
- Suporte de CA confiável múltiplo
- Suporte de inscrição PKI
- Inscrição manual usando cortar e colar
- Suporte a VÁRIOS RSA Key Pair e Identity CA
- Verificação de Certificado Peer
- Verificação de revogação do certificado
- Suporte CRL
- Suporte de importação e exportação para certificados e pares de chaves associados
- Requisitos de licença para PKI
- Diretrizes e limitações para PKI
- Configurações padrão para PKI
- Configurar CAs e certificados digitais
- Configurando o nome do host e do domínio IP
- Gerando um par de chaves RSA
- Criar uma associação de CA do ponto de confiança
- Autenticando a CA
- Configurar métodos de verificação de revogação de certificados
- Gerando Solicitações de Certificado
- Instalando certificados de identidade
- Garantindo que as configurações dos pontos de confiança persistam através de reinicializações
- Exportando informações de identidade no formato PKCS 12
- Importar informações de identidade no formato PKCS 12
- Configurar um CRL
- Excluir certificados da configuração de CA
- Excluir os pares de chaves RSA de um dispositivo Cisco NX-OS
- Verificando a configuração PKI
- Exemplos de configuração para PKI
- Configurar certificados em um dispositivo Cisco NX-OS
- Baixando um certificado de ca
- Solicitar um Certificado de Identidade
- Revogando um certificado
- Gerando e publicando o CRL
- Baixando o CRL
- Importar o CRL
Configurando PKI
Este capítulo contém as seguintes seções:
Informações sobre PKI
Esta seção fornece informações sobre PKI.
CAs e certificados digitais
As autoridades de certificação (CAs) gerenciam as solicitações de certificado e os certificados de emissão para entidades participantes como hosts, dispositivos de rede ou usuários. As CAs fornecem gerenciamento centralizado de chaves para as entidades participantes.
Assinaturas digitais, baseadas em criptografia de chave pública, autenticar digitalmente dispositivos e usuários individuais. Na criptografia de chave pública, como o sistema de criptografia RSA, cada dispositivo ou usuário possui um par de chaves que contém uma chave privada e uma chave pública. A chave privada é mantida em segredo e é conhecida apenas pelo próprio dispositivo ou usuário. No entanto, a chave pública é conhecida por todos. Qualquer coisa criptografada com uma das chaves pode ser descriptografada com a outra. Uma assinatura é formada quando os dados são criptografados com a chave privada de um remetente. O destinatário verifica a assinatura descriptografando a mensagem com a chave pública do remetente. Esse processo depende do destinatário ter uma cópia da chave pública do remetente e saber com um alto grau de certeza de que ele realmente pertence ao remetente e não a alguém pode ser o remetente.
Os certificados digitais vinculam a assinatura digital ao remetente. Um certificado digital contém informações para identificar um usuário ou dispositivo, como o nome, número de série, empresa, departamento ou endereço IP. Ele também contém uma cópia da chave pública da entidade. A CA que assina o certificado é de terceiros que o destinatário confia explicitamente para validar identidades e criar certificados digitais.
Para validar a assinatura da CA, o destinatário deve primeiro saber a chave pública da CA. Normalmente, esse processo é tratado fora da banda ou através de uma operação feita durante a instalação. Por exemplo, a maioria dos navegadores da web são configurados com as chaves públicas de vários CAs por padrão.
Modelo de confiança, pontos de confiança e CAs de identidade
O modelo de confiança de PKI é hierárquico com várias CAs confiáveis configuráveis. Você pode configurar cada dispositivo participante com uma lista de CAs confiáveis para que uma certificado par/certificado de mesmo nível obtida durante as trocas de protocolo de segurança possa ser autenticada se ele foi emitido por uma das CAs confiáveis localmente. O software NX-OS da Cisco armazena localmente a auto-certificado raiz da CA confiável (ou cadeia de certificados para uma CA subordinada). O processo de obter com segurança uma conta de certificado raiz confiável (ou de toda a cadeia no caso de uma CA subordinada) e armazenar localmente é chamado de autenticação CA.
As informações sobre uma CA confiável que você configurou são chamadas de ponto de confiança e a própria CA é chamada de CA de ponto deconfiança. Esta informação consiste em um certificado de ca (ou cadeia de certificados no caso de uma CA subordinada) e informações de verificação de revogação de certificados.
O dispositivo Cisco NX-OS também pode se inscrever com um ponto de confiança para obter um certificado de identidade e associar-se a um par de chaves. Este ponto de confiança é chamado de CA deidentidade.
Pares de chaves RSA e certificados de identidade
Você pode obter um certificado de identidade gerando um ou mais pares de chaves RSA e associando cada par de chaves RSA com uma CA de ponto de confiança onde o dispositivo Cisco NX-OS pretende se inscrever. O dispositivo Cisco NX-OS precisa de apenas uma identidade por CA, que consiste de um par de chaves e um certificado de identidade por CA.
O software Cisco NX-OS permite que você gere pares de chaves RSA com um tamanho de chave configurável (ou modulus). O tamanho padrão da chave é 512. Você também pode configurar um rótulo de emparelhamento de chaves RSA. O rótulo da chave padrão é o rótulo do nome de domínio totalmente qualificado (FQDN).
A lista a seguir resume a relação entre os pontos de confiança, os pares principais RSA e os certificados de identidade:
Um ponto de confiança corresponde a uma CA específica na primeira vez em que o dispositivo Cisco NX-OS confia para certificado par/certificado de mesmo nível verificação de qualquer aplicativo (como OSS).
Um dispositivo Cisco NX-OS pode ter muitos pontos de confiança e todos os aplicativos no dispositivo podem confiar em certificado par/certificado de mesmo nível problemas emitidos por qualquer um dos pontos de confiança CAs.
Um ponto de confiança não está restrito a um aplicativo específico.
Um dispositivo Cisco NX-OS se inscreve na CA que corresponde ao ponto de confiança para obter um certificado de identidade. Você pode inscrever seu dispositivo com vários pontos de confiança, o que significa que você pode obter um certificado de identidade separado a partir de cada ponto de confiança. Os certificados de identidade são usados por aplicativos dependendo das finalidades especificadas no certificado pela CA de emissão. A finalidade de um certificado é armazenada no certificado como uma extensão de certificado.
Ao se inscrever com um ponto de confiança, você deve especificar um par de chaves RSA para ser certificado. Este par de chaves deve ser gerado e associado ao ponto de confiança antes de gerar a solicitação de inscrição. A associação entre o ponto de confiança, o par de chaves e o certificado de identidade é válida até ser explicitamente removida excluindo o certificado, o par de chaves ou o ponto de confiança.
O nome do assunto no certificado de identidade é o nome de domínio totalmente qualificado para o dispositivo Cisco NX-OS.
Você pode gerar um ou mais pares de chaves RSA em um dispositivo e cada um pode ser associado a um ou mais pontos de confiança. Mas não mais de um par de chaves pode ser associado a um ponto de confiança, o que significa que apenas um certificado de identidade é permitido de um CA.
Se o dispositivo Cisco NX-OS obter vários certificados de identidade (cada um de uma CA distinta), o certificado que um aplicativo seleciona para usar em uma troca de protocolo de segurança com um colega é específico do aplicativo.
Você não precisa designar um ou mais pontos de confiança para um aplicativo. Qualquer aplicativo pode usar qualquer certificado emitido por qualquer ponto de confiança, desde que a finalidade do certificado satisfaça os requisitos do aplicativo.
Você não precisa de mais de um certificado de identidade de um ponto de confiança ou mais de um par de chaves para estar associado a um ponto de confiança. Uma CA certifica uma determinada identidade (ou nome) apenas uma vez e não em questões de vários certificados com o mesmo nome. Se você precisar de mais de um certificado de identidade para uma CA e se a CA permitir vários certificados com os mesmos nomes, você deve definir outro ponto de confiança para a mesma CA, associar outro par de chaves a ele e certificado.
Suporte de CA confiável múltiplo
O dispositivo Cisco NX-OS pode confiar em vários CAs configurando vários pontos de confiança e associando cada um com uma CA distinta. Com vários CAs confiáveis, você não precisa increva um dispositivo com a CA específica que emitiu o certificado a um par. Em vez disso, você pode configurar o dispositivo com várias CAs confiáveis nas quais o colega confia. O dispositivo Cisco NX-OS pode então usar uma CA confiável configurada para verificar os certificados recebidos de um par que não foram emitidos pela mesma CA definida na identidade do dispositivo de pares.
Suporte de inscrição PKI
Inscrição é o processo de obtenção de um certificado de identidade para o dispositivo que é usado para aplicativos como o SSH. Isso ocorre entre o dispositivo que solicita o certificado e a autoridade de certificado.
O dispositivo Cisco NX-OS executa as seguintes etapas ao executar o processo de inscrição PKI:
Gera um par de chaves públicas e privadas RSA no dispositivo.
Gera uma solicitação de certificado em formato padrão e a encaminha para a CA.
O administrador de CA pode ser obrigado a aprovar manualmente a solicitação de inscrição no servidor de CA, quando a solicitação for recebida pela CA. |
Recebe o certificado emitido de volta da CA, assinado com a chave privada da CA.
Grava o certificado em uma área de armazenamento nãovolatile no dispositivo (bootflash).
Inscrição manual usando cortar e colar
O software Cisco NX-OS suporta recuperação de certificado e inscrição usando atalho manual. Inscrição cortar e colar significa que você deve cortar e colar as solicitações de certificados e os certificados resultantes entre o dispositivo e a CA.
Você deve executar os seguintes passos ao usar o corte e colar no processo manual de inscrição:
Crie uma solicitação de certificado de inscrição, que o dispositivo Cisco NX-OS exibe no formulário de texto codificado em base64.
Cortar e colar o texto da solicitação do certificado codificado em um e-mail ou em um formulário da web e enviá-lo para a CA.
Receba o certificado emitido (no formulário de texto codificado base64) da CA em um e-mail ou em um download do navegador da web.
Cortar e colar o certificado emitido no dispositivo usando o recurso de importação de certificado.
Suporte a VÁRIOS RSA Key Pair e Identity CA
As CAs de identificação múltipla permitem que o dispositivo se inscreva com mais de um ponto de confiança, o que resulta em vários certificados de identidade, cada um de uma CA distinta. Com esse recurso, o dispositivo Cisco NX-OS pode participar no SSH e em outros aplicativos com muitos pares usando certificados emitidos por CAs que são aceitáveis para esses pares.
O recurso múltiplos pares de chaves RSA permite que o dispositivo mantenha um par de chaves distintos para cada CA com o qual está inscrito. Ela pode corresponder aos requisitos de políticas para cada CA sem conflitar com os requisitos especificados pelos outros CAs, como o comprimento da chave. O dispositivo pode gerar vários pares de chaves RSA e associar cada par de chaves a um ponto de confiança distintos. A partir de então, ao se inscrever com um ponto de confiança, o par de chaves associado é usado para construir a solicitação de certificado.
Verificação de Certificado Peer
O suporte PKI em um dispositivo Cisco NX-OS pode verificar certificados de pares. O software Cisco NX-OS verifica os certificados recebidos de pares durante trocas de segurança para aplicativos, como o SSH. Os aplicativos verificam a validade dos certificados de pares. O software Cisco NX-OS executa os seguintes passos ao verificar certificados de pares:
Verifica se a certificado par/certificado de mesmo nível foi emitido por um dos CAs confiáveis localmente.
Verifica se a certificado par/certificado de mesmo nível é válida (não expirou) com relação à hora atual.
Verifica se a certificado par/certificado de mesmo nível ainda não foi revogada pela CA de emissão.
Para verificação de revogação, o software Cisco NX-OS suporta a lista de revogação de certificados (CRL). Um ponto de confiança CA pode usar este método para verificar se a certificado par/certificado de mesmo nível foi revogada.
Verificação de revogação do certificado
O software Cisco NX-OS pode verificar o status de revogação dos certificados de CA. Os aplicativos podem usar os mecanismos de verificação de revogação na ordem especificada. As escolhas são CRL, nenhuma ou uma combinação desses métodos.
Suporte CRL
Os CAs mantêm listas de revogação de certificados (CRLs) para fornecer informações sobre certificados revogados antes de suas datas de expiração. Os CAs publicam os CRLs em um repositório e fornecem a URL pública de download em todos os certificados emitidos. Um cliente verificando o certificado de um colega pode obter a última CRL da CA em emissão e usá-lo para determinar se o certificado foi revogado. Um cliente pode armazenar em cache os CRLs de algumas ou todas as suas CAs confiáveis localmente e usá-las mais tarde, se necessário, até que as CRLs expirem.
O software Cisco NX-OS permite a configuração manual de CRLs pré-baixadas para os pontos de confiança e, em seguida, armazena em cache na faixa de inicialização do dispositivo (cert-store). Durante a verificação de uma certificado par/certificado de mesmo nível, o software Cisco NX-OS verifica o CRL da CA de emissão somente se o CRL já tiver sido armazenado em cache localmente e a verificação de revogação estiver configurada para usar o CRL. Caso contrário, o software Cisco NX-OS não executa a verificação CRL e considere o certificado não revogado, a menos que você tenha configurado outros métodos de verificação de revogação.
Suporte de importação e exportação para certificados e pares de chaves associados
Como parte do processo de autenticação e inscrição de CA, o certificado subordinado CA (ou cadeia de certificados) e certificados de identidade podem ser importados no formato PEM padrão (base64).
As informações de identidade completas em um ponto de confiança podem ser exportadas para um arquivo no formato padrão PKCS#12 protegido por senha. Mais tarde, ele pode ser importado para o mesmo dispositivo (por exemplo, após uma falha do sistema) ou para um dispositivo de substituição. As informações em um arquivo PKCS#12 consistem no par de chaves RSA, no certificado de identidade e no certificado de CA (ou cadeia).
Requisitos de licença para PKI
A tabela a seguir mostra os requisitos de licenciamento para esse recurso:
Produto |
Requisito de Licença |
---|---|
Cisco NX-OS |
O recurso PKI não requer licença. Qualquer recurso não incluído em um pacote de licenças é agrupado com as imagens do sistema Cisco NX-OS e é fornecido sem nenhum custo adicional a você. Para uma explicação do esquema de licenciamento do Cisco NX-OS, consulte o Guia de licenciamento do Cisco NX-OS. |
Diretrizes e limitações para PKI
PKI tem as seguintes diretrizes e limitações de configuração:
O número máximo de pares de chaves que você pode configurar em um dispositivo Cisco NX-OS é 16.
O número máximo de pontos de confiança que você pode declara em um dispositivo Cisco NX-OS é 16.
O número máximo de certificados que você pode configurar em um dispositivo Cisco NX-OS é 16.
O número máximo de certificados em uma cadeia de certificados de CA é 10.
O número máximo de pontos de confiança que você pode autenticar para uma CA específica é 10.
As reações de configuração não suportam a configuração PKI.
O software Cisco NX-OS não é suportado pelo OSCP.
Se você estiver familiarizado com o Cisco IOS CLI, esteja ciente de que os comandos do Cisco NX-OS para esse recurso podem diferir dos comandos do Cisco IOS que você usaria.
|
Configurações padrão para PKI
Esta tabela lista as configurações padrão para os parâmetros PKI.
Parâmetros |
Padrão |
---|---|
Ponto de confiança |
Nenhum(a) |
Emparelhamento de teclas RSA |
Nenhum(a) |
Rótulo do par de chaves RSA |
Dispositivo FQDN |
Modulus RSA key-pair |
512 |
Emparelhamento de chaves RSA exportável |
Enabled |
Método de verificação de revogação |
Crl |
Configurar CAs e certificados digitais
Esta seção descreve as tarefas que você deve executar para permitir que os CAs e certificados digitais no seu dispositivo Cisco NX-OS interoperem.
Configurando o nome do host e do domínio IP
Você deve configurar o nome do hostname e o domínio IP do dispositivo se você ainda não os configurou, pois o software Cisco NX-OS usa o nome de domínio totalmente qualificado (FQDN) do dispositivo como o assunto no certificado de identidade. Além disso, o software Cisco NX-OS usa o dispositivo FQDN como uma etiqueta de chave padrão quando você não especifica um rótulo durante a geração do par de chaves. Por exemplo, um certificado nomeado DeviceA.example.com é baseado em um nome de hostname do dispositivo do DeviceA e um nome de domínio IP do dispositivo de example.com.
Alterar o nome do domínio IP ou o nome do host depois de gerar o certificado pode invalidar o certificado. |
Comando ou ação | Objetivo | |
---|---|---|
1 | configurar terminal Exemplo:
|
Entra no modo de configuração global. |
2 | nome dohostname Exemplo:
|
Configura o nome do host do dispositivo. |
3 | nome do domínio de ip [use-vrfvrf-name] Exemplo:
|
Configura o nome de domínio IP do dispositivo. Se você não especificar um nome VRF, o comando usará o VRF padrão. |
4 | Saída Exemplo:
|
Sai do modo de configuração. |
5 | (Opcional) mostrar hosts Exemplo:
|
(Opcional) Exibe o nome do domínio IP. |
6 | (Opcional) copiar executando-configuração inicialização-config Exemplo:
|
(Opcional) Copia a configuração em execução para a configuração de inicialização. |
Gerando um par de chaves RSA
Você pode gerar um par de chaves RSA para assinar e/ou criptografar e descriptografar a carga de segurança durante trocas de protocolo de segurança para aplicativos. Você deve gerar o par de chaves RSA antes de obter um certificado para seu dispositivo.
Comando ou ação | Objetivo | |||||
---|---|---|---|---|---|---|
1 | configurar terminal Exemplo:
|
Entra no modo de configuração global. |
||||
2 | chave de criptografia gerar rsa [label-string] [exportável ] [modulussize] Exemplo:
|
Gera um par de chaves RSA. O número máximo de pares de chaves em um dispositivo é 16. A sequência de rótulo é alfanumérico, sensível a caso e tem um comprimento máximo de 64 caracteres. A sequência de rótulo padrão é o nome do FQDN e o nome do usuário separados por um caractere de ponto (.). Os valores de módulos válidos são 512, 768, 1024, 1536 e 2048. O tamanho padrão do módulo é 512.
Por padrão, o par de chaves não é exportável. Apenas pares de chaves exportáveis podem ser exportados no formato PKCS#12.
|
||||
3 | Saída Exemplo:
|
Sai do modo de configuração. |
||||
4 | (Opcional) mostrar chave de criptografia mypubkey rsa Exemplo:
|
(Opcional) Exibe a chave gerada. |
||||
5 | (Opcional) copiar executando-configuração inicialização-config Exemplo:
|
(Opcional) Copia a configuração em execução para a configuração de inicialização. |
Criar uma associação de CA do ponto de confiança
Você deve associar o dispositivo Cisco NX-OS a uma CA de ponto de confiança.
Antes de começar
Gere o par de chaves RSA.
Comando ou ação | Objetivo | |||
---|---|---|---|---|
1 | configurar terminal Exemplo:
|
Entra no modo de configuração global. |
||
2 | ca nome do trustpointde criptografia Exemplo:
|
Declara uma CA do ponto de confiança que o dispositivo deve confiar e inserir o modo de configuração do ponto de confiança.
|
||
3 | terminal de inscrição Exemplo:
|
Habilita a inscrição manual de certificado de recortar e colar. O padrão é ativado.
|
||
4 | rótulorsakeypair Exemplo:
|
Especifica o rótulo do par de chaves RSA para associar a esse ponto de confiança para inscrição.
|
||
5 | Saída Exemplo:
|
Sai do modo de configuração do ponto de confiança. |
||
6 | (Opcional) mostrar ca trustpoints de criptografia Exemplo:
|
(Opcional) Exibe informações do ponto de confiança. |
||
7 | (Opcional) copiar executando-configuração inicialização-config Exemplo:
|
(Opcional) Copia a configuração em execução para a configuração de inicialização. |
Autenticando a CA
O processo de configuração de confiança de uma CA é concluído apenas quando a CA é autenticada no dispositivo Cisco NX-OS. Você deve autenticar o dispositivo Cisco NX-OS na CA obtendo o certificado auto assinado da CA no formato PEM, que contém a chave pública da CA. Como o certificado da CA é auto assinado (a CA assina seu próprio certificado), a chave pública da CA deve ser autenticada manualmente, contatando o administrador de CA para comparar a impressão digital do certificado de CA.
A CA que você está autenticando não é uma CA auto-assinada quando ela é uma CA subordinada a outra CA, que por si mesmo pode ser um subordinado a outra CA e assim por diante, terminando, finalmente, em uma CA auto-assinada. Este tipo de certificado de CA é chamado de cadeia de certificados CA da CA que está sendo autenticada. Neste caso, você deve inserir a lista completa dos certificados de CA de todos os CAs na cadeia de certificação durante a autenticação de CA. O número máximo de certificados em uma cadeia de certificados de CA é 10. |
Antes de começar
Crie uma associação com a CA.
Obtenha o certificado de CA ou cadeia de certificados CA.
Comando ou ação | Objetivo | |||
---|---|---|---|---|
1 | configurar terminal Exemplo:
|
Entra no modo de configuração global. |
||
2 | nome de autenticação cado criptografia Exemplo:
|
Solicita que você corte e colar o certificado da CA. Use o mesmo nome que você usou ao resuxicar a CA. O número máximo de pontos de confiança que você pode autenticar para uma CA específica é 10.
|
||
3 | Saída Exemplo:
|
Sai do modo de configuração. |
||
4 | (Opcional) mostrar ca trustpoints de criptografia Exemplo:
|
(Opcional) Exibe as informações de CA do ponto de confiança. |
||
5 | (Opcional) copiar executando-configuração inicialização-config Exemplo:
|
(Opcional) Copia a configuração em execução para a configuração de inicialização. |
Configurar métodos de verificação de revogação de certificados
Durante trocas de segurança com um cliente (por exemplo, um usuário SSH), o dispositivo Cisco NX-OS executa a verificação do certificado da certificado par/certificado de mesmo nível enviada pelo cliente. O processo de verificação pode envolver verificação do status de revogação de certificados.
Você pode configurar o dispositivo para verificar o CRL baixado da CA. Baixar o CRL e verificar localmente não gera tráfego na sua rede. No entanto, os certificados podem ser revogados entre os downloads e o seu dispositivo não teria conhecimento da revogação.
Antes de começar
Autentice a CA.
Certifique-se de ter configurado o CRL se deseja usar a verificação CRL.
Comando ou ação | Objetivo | |
---|---|---|
1 | configurar terminal Exemplo:
|
Entra no modo de configuração global. |
2 | ca nome do trustpointde criptografia Exemplo:
|
Especifica um ponto de confiança CA e insra o modo de configuração do ponto de confiança. |
3 | revogação-verificação {crl [ none ] none | } Exemplo:
|
Configura os métodos de verificação de revogação de certificados. O método padrão é crl. O software Cisco NX-OS usa os métodos de revogação de certificados na ordem que você especificar. |
4 | Saída Exemplo:
|
Sai do modo de configuração do ponto de confiança. |
5 | (Opcional) mostrar ca trustpoints de criptografia Exemplo:
|
(Opcional) Exibe as informações de CA do ponto de confiança. |
6 | (Opcional) copiar executando-configuração inicialização-config Exemplo:
|
(Opcional) Copia a configuração em execução para a configuração de inicialização. |
Gerando Solicitações de Certificado
Você deve gerar uma solicitação para obter certificados de identidade a partir da CA do ponto de confiança associado para cada um dos pares de chaves RSA do seu dispositivo. Você deve então cortar e colar a solicitação exibida em um e-mail ou em um formulário do site para a CA.
Antes de começar
Crie uma associação com a CA.
Obtenha o certificado de CA ou cadeia de certificados CA.
Comando ou ação | Objetivo | |||
---|---|---|---|---|
1 | configurar terminal Exemplo:
|
Entra no modo de configuração global. |
||
2 | ca ca incred Exemplo:
|
Gera uma solicitação de certificado para uma CA autenticada.
|
||
3 | Saída Exemplo:
|
Sai do modo de configuração do ponto de confiança. |
||
4 | (Opcional) mostrar certificados de criptografia ca Exemplo:
|
(Opcional) Exibe os certificados de CA. |
||
5 | (Opcional) copiar executando-configuração inicialização-config Exemplo:
|
(Opcional) Copia a configuração em execução para a configuração de inicialização. |
Instalando certificados de identidade
Você pode receber o certificado de identidade da CA por e-mail ou através de um navegador da web no formulário de texto codificado base64. Você deve instalar o certificado de identidade a partir da CA, cortando e colar o texto codificado.
Antes de começar
Crie uma associação com a CA.
Obtenha o certificado de CA ou cadeia de certificados CA.
Comando ou ação | Objetivo | |
---|---|---|
1 | configurar terminal Exemplo:
|
Entra no modo de configuração global. |
2 | certificado de nome deimportação cade criptografia Exemplo:
|
Solicita que você corte e colar o certificado de identidade para o CA nomeado admin-ca. O número máximo de certificados que você pode configurar em um dispositivo é 16. |
3 | Saída Exemplo:
|
Sai do modo de configuração. |
4 | (Opcional) mostrar certificados de criptografia ca Exemplo:
|
(Opcional) Exibe os certificados de CA. |
5 | (Opcional) copiar executando-configuração inicialização-config Exemplo:
|
(Opcional) Copia a configuração em execução para a configuração de inicialização. |
Garantindo que as configurações dos pontos de confiança persistam através de reinicializações
Você pode garantir que a configuração do trustpoint persista com as reinicializações dos dispositivos Cisco NX-OS.
A configuração do ponto de confiança é uma configuração normal do dispositivo Cisco NX-OS que persiste entre as reinicializações do sistema somente se você copiá-lo explicitamente para a configuração de inicialização. Os certificados, os pares de chaves e a CRL associados a um ponto de confiança são automaticamente persistentes se você já tiver copiado a configuração do ponto de confiança na configuração de inicialização. Por outro lado, se a configuração do ponto de confiança não for copiada para a configuração de inicialização, os certificados, os pares de chaves e o CRL associados a ele não serão persistentes, pois exigirão a configuração do ponto de confiança correspondente após uma reinicialização. Copie sempre a configuração em execução para a configuração de inicialização para garantir que os certificados configurados, os pares de chaves e os CRLs sejam persistentes. Além disso, salve a configuração em execução depois de excluir um certificado ou um par de chaves para garantir que as exclusões permanentes.
Os certificados e CRL associados a um ponto de confiança tornam-se automaticamente persistentes quando importados (ou seja, sem copiar explicitamente para a configuração de inicialização) se o ponto de confiança específico já estiver salvo na configuração de inicialização.
Recomendamos que você crie um backup protegido por senha dos certificados de identidade e salve-os em um servidor externo.
Copiar a configuração para um servidor externo inclui os certificados e os pares de chaves. |
Exportando informações de identidade no formato PKCS 12
Você pode exportar o certificado de identidade juntamente com o par de chaves RSA e certificado de CA (ou toda a cadeia no caso de uma CA subordinada) de um ponto de confiança para um arquivo PKCS#12 para fins de backup. Você pode importar o certificado e o par de chaves RSA para se recuperar de uma falha do sistema no seu dispositivo ou ao substituir os módulos do supervisor.
Você pode usar apenas o formato bootflash:filename ao especificar a URL de exportação. |
Antes de começar
Autentice a CA.
Instale um certificado de identidade.
Comando ou ação | Objetivo | |
---|---|---|
1 | configurar terminal Exemplo:
|
Entra no modo de configuração global. |
2 | foto criptografarnome de exportação pkcs12 bootflash:senha do nome doarquivo Exemplo:
|
Exporta o certificado de identidade e certificados de CA associados e de chave para uma CA de ponto de confiança. A senha é alfanumérica, sensível a casos e tem um comprimento máximo de 128 caracteres. |
3 | Saída Exemplo:
|
Sai do modo de configuração. |
4 | copiar booflash:esquema filename:// server/ [url/]filename Exemplo:
|
Copia o arquivo no formato PKCS#12 para um servidor remoto. Para o argumento do esquema, você pode digitar tftp:, ftp:, scp:, ou sftp:. O argumento do servidor é o endereço ou o nome do servidor remoto, e o argumento da url é o caminho para o arquivo de origem no servidor remoto. O servidor , url e osargumentos do nome do arquivo são sensíveis a casos. |
Importar informações de identidade no formato PKCS 12
Você pode importar o certificado e o par de chaves RSA para se recuperar de uma falha do sistema no seu dispositivo ou ao substituir os módulos do supervisor.
Você pode usar apenas o formato bootflash:filename ao especificar a URL de importação. |
Antes de começar
Certifique-se de que o ponto de confiança está vazio, verificando se nenhum par de chaves RSA está associado a ele e que nenhuma CA está associada ao ponto de confiança usando a autenticação CA.
Comando ou ação | Objetivo | |
---|---|---|
1 | esquemade cópia ://server /[ url/]nome_de_arquivobootflash:filename Exemplo:
|
Copia o arquivo no formato PKCS#12 do servidor remoto. Para o argumento do esquema, você pode digitar tftp:, ftp:, scp:, ou sftp:. O argumento do servidor é o endereço ou o nome do servidor remoto, e o argumento da url é o caminho para o arquivo de origem no servidor remoto. O servidor , url e osargumentos do nome do arquivo são sensíveis a casos. |
2 | configurar terminal Exemplo:
|
Entra no modo de configuração global. |
3 | ca deimportaçãode criptografia pksc12 bootflash:filename Exemplo:
|
Importa o certificado de identidade e certificados de CA associados ao par de chaves e certificados de CA para o ponto de confiança CA. |
4 | Saída Exemplo:
|
Sai do modo de configuração. |
5 | (Opcional) mostrar certificados de criptografia ca Exemplo:
|
(Opcional) Exibe os certificados de CA. |
6 | (Opcional) copiar executando-configuração inicialização-config Exemplo:
|
(Opcional) Copia a configuração em execução para a configuração de inicialização. |
Configurar um CRL
Você pode configurar manualmente os CRLs que você baixou a partir dos pontos de confiança. O software Cisco NX-OS armazena em cache as CRLs na faixa de inicialização do dispositivo (cert-store). Durante a verificação de uma certificado par/certificado de mesmo nível, o software Cisco NX-OS verifica o CRL da CA de emissão apenas se você baixou o CRL para o dispositivo e configurou a verificação de revogação de certificados para usar o CRL.
Antes de começar
Certifique-se de ter ativado a verificação de revogação de certificados.
Comando ou ação | Objetivo | |
---|---|---|
1 | esquemadecópia:[// server /[ url/]]filenamebootflash:filename Exemplo:
|
Baixa o CRL de um servidor remoto. Para o argumento do esquema, você pode digitar tftp:, ftp:, scp:, ou sftp:. O argumento do servidor é o endereço ou o nome do servidor remoto, e o argumento da url é o caminho para o arquivo de origem no servidor remoto. O servidor , url e osargumentos do nome do arquivo são sensíveis a casos. |
2 | configurar terminal Exemplo:
|
Entra no modo de configuração global. |
3 | criptografia ca crl nomebootflash:nome do arquivo Exemplo:
|
Configura ou substitui a CRL atual pelo especificado no arquivo. |
4 | Saída Exemplo:
|
Sai do modo de configuração. |
5 | (Opcional) mostrar nome de criptografia cacrl Exemplo:
|
(Opcional) Exibe as informações de CRL de CA. |
6 | (Opcional) copiar executando-configuração inicialização-config Exemplo:
|
(Opcional) Copia a configuração em execução para a configuração de inicialização. |
Excluir certificados da configuração de CA
Você pode excluir os certificados de identidade e os certificados de CA que estão configurados em um ponto de confiança. Você deve primeiro excluir o certificado de identidade, seguido pelos certificados de CA. Depois de excluir o certificado de identidade, você pode dissociar o par de chaves RSA de um ponto de confiança. Você deve excluir certificados para remover certificados expirados ou revogados, certificados que foram comprometidos (ou suspeita de ser comprometido) pares de chaves ou CAs que não são mais confiáveis.
Comando ou ação | Objetivo | |
---|---|---|
1 | configurar terminal Exemplo:
|
Entra no modo de configuração global. |
2 | ca nome do trustpointde criptografia Exemplo:
|
Especifica um ponto de confiança CA e insra o modo de configuração do ponto de confiança. |
3 | excluir ca-certificado Exemplo:
|
Exclui o certificado de ca ou cadeia de certificados. |
4 | excluir certificado [force] Exemplo:
|
Exclui o certificado de identidade. Você deve usar a opção de força se o certificado de identidade que você deseja excluir for o último certificado em uma cadeia de certificados ou apenas certificado de identidade no dispositivo. Esse requisito garante que você não exclua erroneamente o último certificado em uma cadeia de certificados ou apenas o certificado de identidade e deixe os aplicativos (como SSH) sem um certificado para usar. |
5 | Saída Exemplo:
|
Sai do modo de configuração do ponto de confiança. |
6 | (Opcional) mostrar certificados de criptografia ca [nome] Exemplo:
|
(Opcional) Exibe as informações do certificado ca. |
7 | (Opcional) copiar executando-configuração inicialização-config Exemplo:
|
(Opcional) Copia a configuração em execução para a configuração de inicialização. |
Excluir os pares de chaves RSA de um dispositivo Cisco NX-OS
Você pode excluir os pares de chaves RSA de um dispositivo Cisco NX-OS se você acredita que os pares de chaves RSA foram comprometidos de alguma forma e não devem mais ser usados.
Depois de excluir os pares de chaves RSA de um dispositivo, peça ao administrador de CA que revogue os certificados do seu dispositivo na CA. Você deve fornecer a senha de desafio que você criou quando você originalmente solicitou os certificados. |
Comando ou ação | Objetivo | |
---|---|---|
1 | configurar terminal Exemplo:
|
Entra no modo de configuração global. |
2 | tecla de criptografia zeroize o rótulo rsa Exemplo:
|
Exclui o par de chaves RSA. |
3 | Saída Exemplo:
|
Sai do modo de configuração. |
4 | (Opcional) mostrar chave de criptografia mypubkey rsa Exemplo:
|
(Opcional) Exibe a configuração do par de chaves RSA. |
5 | (Opcional) copiar executando-configuração inicialização-config Exemplo:
|
(Opcional) Copia a configuração em execução para a configuração de inicialização. |
Verificando a configuração PKI
Para exibir informações de configuração PKI, execute uma das seguintes tarefas:
Comando |
Objetivo |
---|---|
mostrar chave de criptografia mypubkey rsa |
Exibe informações sobre as chaves públicas RSA geradas no dispositivo Cisco NX-OS. |
mostrar certificados de criptografia ca |
Exibe informações sobre a CA e certificados de identidade. |
mostrar criptografia ca crl |
Exibe informações sobre CRLs de CA. |
mostrar ca trustpoints de criptografia |
Exibe informações sobre pontos de confiança de CA. |
Exemplos de configuração para PKI
Esta seção mostra exemplos de tarefas que você pode usar para configurar certificados e CRLs em dispositivos Cisco NX-OS usando um servidor de certificado do Microsoft Windows.
Você pode usar qualquer tipo de servidor de certificado para gerar certificados digitais. Você não está limitado a usar o servidor de certificados do Microsoft Windows. |
Configurar certificados em um dispositivo Cisco NX-OS
Para configurar certificados em um dispositivo Cisco NX-OS, siga estas etapas:
1 | Configure o dispositivo FQDN.
|
2 | Configure o nome do domínio DNS para o dispositivo.
|
3 | Crie um ponto de confiança.
|
4 | Crie um par de chaves RSA para o dispositivo.
|
5 | Associe o emparelhamento da chave RSA ao ponto de confiança.
|
6 | Baixe o certificado de ca da interface da web do serviço de certificado da Microsoft. |
7 | Autentice a CA que você deseja registrar no ponto de confiança.
|
8 | Gere um certificado de solicitação para usar para se inscrever com um ponto de confiança.
|
9 | Solicite um certificado de identidade a partir da interface da web do serviço de certificado da Microsoft. |
10 | Importe o certificado de identidade.
|
11 | Verifique a configuração do certificado. |
12 | Salve a configuração do certificado na configuração de inicialização. |
Baixando um certificado de ca
Para baixar um certificado de ca da interface web dos serviços de certificados da Microsoft, siga estas etapas:
1 | Na interface da web dos Serviços de certificados da Microsoft, clique em Recuperar a tarefa de revogação de certificados ou certificados da CA e clique emPróximo. |
2 | A partir da lista de exibição, escolha o arquivo de certificado CA para baixar da lista exibida. Em seguida, clique em Base 64 codificado e clique em Baixar certificado CA . |
3 | Clique em Abrir na área Download de caixa de diálogo. |
4 | Na barra de caixa de diálogo, clique em Copiar para arquivo e clique emOK. |
5 | Do Assistente para exportação de caixa de diálogo certificado, escolha o X.509 (CER) codificado na Base 64 e clique em Próximo. |
6 | Na área Nome do arquivo: caixa de texto no Assistente para exportação de caixa de diálogo certificado, insira o nome do arquivo de destino e clique em Próximo. |
7 | No Assistente para exportação de certificados caixa de diálogo, clique em Concluir. |
8 | Insira o comando do tipo Microsoft Windows para exibir o certificado de CA armazenado no formato PEM (Base 64). |
Solicitar um Certificado de Identidade
Para solicitar um certificado de identificação de um servidor de certificado Microsoft usando um PKCS#12 solicitação de assinatura de certificado (CRS), siga estes passos:
1 | Na interface da web de Serviços de certificados da Microsoft, clique em Solicitar um certificado e clique emPróximo. |
2 | Clique em Solicitação avançada e clique em Próximo. |
3 | Clique em Enviar uma solicitação de certificado usando um arquivo PKCS#10 codificado em base64 ou uma solicitação de renovação usando um arquivo PKCS#7 codificado em base64 e clique em Próximo . |
4 | Na caixa de texto Solicitação Salva, colar a solicitação de certificado PKCS#10 base64 e clique em Próximo. A solicitação de certificado é copiada do console do dispositivo Cisco NX-OS. |
5 | Aguarde um ou dois dias até que o certificado seja emitido pelo administrador de CA. |
6 | Observe que o administrador de CA aprova a solicitação de certificado. |
7 | Na interface da web dos Serviços de certificados da Microsoft, clique em Verificar um certificado pendente e clique em Próximo. |
8 | Escolha a solicitação de certificado que você deseja verificar e clique em Próximo. |
9 | Clique em Base 64 codificado e clique em Baixar certificado CA . |
10 | Na área Download de caixa de diálogo arquivo, clique em Abrir. |
11 | Na caixa Certificado, clique na guia Detalhes e clique em Copiar paraarquivo.... Na caixa de diálogo Exportação de certificados, clique em Base-64 codificado X.509 (. CER)e clique em Próximo . |
12 | Na área Nome do arquivo: caixa de texto no Assistente para exportação de caixa de diálogo certificado, insira o nome do arquivo de destino e clique em Próximo. |
13 | Clique em Concluir. |
14 | Insira o comando do tipo Microsoft Windows para exibir o certificado de identidade no formato codificado em base64. |
Revogando um certificado
Para revogar um certificado usando o programa de administrador do Microsoft CA, siga estas etapas:
1 | Da árvore da Autoridade de Certificação, clique na pasta Certificados Emitidos. Na lista, clique com o botão direito do mouse no certificado que você deseja revogar. |
2 | Escolha Todas as tarefas > Revogar certificado. |
3 | Do código de lista suspensa motivo, escolha uma razão para a revogação e clique em Sim. |
4 | Clique na pasta Revogar certificados para listar e verificar a revogação de certificados. |
Gerando e publicando o CRL
Para gerar e publicar o CRL usando o programa de administrador do Microsoft CA, siga estas etapas:
1 | Da tela da Autoridade de Certificação, escolha Ação > Todas as Tarefas > Publicar. |
2 | Na lista de revogação de certificados caixa de diálogo, clique em Sim para publicar o CRL mais recente. |
Baixando o CRL
Para baixar o CRL no site da Microsoft CA, siga estas etapas:
1 | Na interface da web dos Serviços de certificados da Microsoft, clique em Recuperar o certificado CA ou lista de revogação de certificados e clique em Próximo. |
2 | Clique em Baixar a lista de revogação de certificados maisrecente. |
3 | No arquivo download caixa de diálogo, clique em Salvar. |
4 | Em Salvar como caixa de diálogo, insira o nome do arquivo de destino e clique em Salvar. |
5 | Insira o comando do tipo Microsoft Windows para exibir o CRL. |
Importar o CRL
Para importar o CRL para o ponto de confiança correspondente à CA, siga estas etapas:
1 | Copie o arquivo CRL para a faixa de inicialização do dispositivo Cisco NX-OS.
|
||
2 | Configure o CRL.
|
||
3 | Exibir o conteúdo do CRL.
|