Настройка PKI

Эта глава состоит из следующих разделов:

Информация о PKI

В этом разделе содержится информация о PKI.

Центры сертификации и цифровые сертификаты

Центр сертификации (ЦС) управляет запросами сертификатов и выдачей сертификатов участвующим в них организациям, таким как хосты, сетевые устройства или пользователи. ЦС обеспечивают централизованное управление ключами для участвующих объектов.

Цифровые подписи, основанные на шифровании открытых ключей, аутентифицируют устройства и отдельных пользователей при цифровой аутентификации. В шифровании с общедоступным ключом, например в системе шифрования RSA, каждое устройство или пользователь имеет пару ключей, которая содержит закрытый и открытый ключ. Закрытый ключ хранится в секрете и известен только исходному устройству или только пользователю. Открытый ключ известен всем. Любую информацию, зашифрованную с помощью одного из ключей, можно расшифровать с помощью другого ключа. Подпись формируется, когда данные шифруются с помощью закрытого ключа отправителя. Получатель проверяет подпись, расшифровав сообщение с помощью открытого ключа отправителя. Этот процесс основывается на том, что у получателя имеется копия открытого ключа отправителя ключа, а также на значительной уверенности в том, что ключ на самом деле относится к отправителю, а не к лицу, выдающему себя за отправителя.

Цифровые сертификаты связывают цифровую подпись с отправителем. Цифровой сертификат содержит информацию для идентификации пользователя или устройства, например имя, серийный номер, компанию, отдел или IP-адрес. Он также содержит копию открытого ключа объекта. ЦС, который подписывает сертификат, является стороной, которой получатель явно доверяет в вопросах проверки удостоверений и создания цифровых сертификатов.

Для проверки подписи ЦС получатель должен знать открытый ключ ЦС. Как правило, этот процесс происходит за пределами полосы соединения или посредством операции, которая делается при установке. Например, в большинстве веб-браузеров по умолчанию настроены открытые ключи нескольких ЦС.

Модель доверия, точки доверия и центры управления идентификацией

Модель доверия PKI является иерархической с несколькими настраиваемыми доверенными ЦС. Каждое из участвующих устройств можно настроить с использованием списка доверенных ЦС, чтобы сертификат, полученный во время обмена данными протокола безопасности, мог быть проверен на факт выдачи одним из локальных доверенных ЦС. Программное обеспечение Cisco NX-OS локально сохраняет самозаверяющий корневой сертификат доверенного ЦС (или цепочку сертификатов для подчиненного ЦС). Процесс безопасного получения корневого сертификата доверенного ЦС (или всей цепочки в случае подчиненных ЦС) и его локального хранения называется аутентификацией ЦС.

Информация о настройке доверенного ЦС называется точкой доверия, а сам ЦС – ЦС точки доверия. Эта информация включает в себя сертификат ЦС (или цепочки сертификатов в случае подчиненного ЦС), а также сведения о проверке отзыва сертификата.

Устройство Cisco NX-OS также может быть зарегистрировано в точке доверия для получения сертификата удостоверения, чтобы связать его с парой ключей. Эта точка доверия называется ЦС идентификации.

Пары ключей RSA и сертификаты удостоверений

Вы можете получить сертификат удостоверения, сгенерировав одну или несколько пар ключей RSA и связав каждую пару ключей RSA с ЦС точки доверия, в которой будет зарегистрировано устройство Cisco NX-OS. Устройству Cisco NX-OS требуется только одно удостоверение для каждого ЦС, состоящее из одной пары ключей и одного сертификата удостоверения на каждый ЦС.

Программное обеспечение Cisco NX-OS позволяет создавать пары ключей RSA с настраиваемым размером ключа (или модулем). Размер ключа по умолчанию – 512. Также можно настроить метку пары ключей RSA. По умолчанию метка ключа — это полное доменное имя (FQDN).

В следующем списке приводится краткое изложение связи между точками доверия, парами ключей RSA и сертификатами удостоверений.

  • Точка доверия соответствует определенному ЦС, которому устройство Cisco NX-OS доверяет для проверки сертификата для любого приложения (например, SSH).

  • Устройство Cisco NX-OS может иметь множество точек доверия, и все приложения на устройстве могут доверять сертификату, выданному любым из ЦС точки доверия.

  • Точка доверия не ограничена определенным приложением.

  • Устройство Cisco NX-OS регистрируется в ЦС, соответствующем точке доверия, для получения сертификата удостоверения. Вы можете зарегистрировать устройство с несколькими точками доверия, что означает, что вы можете получить отдельный сертификат удостоверений от каждой точки доверия. Сертификаты удостоверений используются приложениями в зависимости от целей, указанных в сертификате, выпускаемом ЦС. Назначение сертификата хранится в сертификате как расширение сертификата.

  • При регистрации в доверяемой точке необходимо указать пару ключей RSA для сертификации. Перед созданием запроса на регистрацию эта пара ключей должна быть сгенерирована и связана с этой точкой доверия. Связь между точкой доверия, парой ключа и сертификатом удостоверения действительна до тех пор, пока он не будет явным образом удален путем удаления сертификата, пары ключей или точки доверия.

  • Именем субъекта в сертификате удостоверения является полное доменное имя для устройства Cisco NX-OS.

  • На устройстве можно создать одну или несколько пар ключей RSA, и каждая из них может быть связана с одной или более точками доверия. Однако с точкой доверия можно связывать не более одной пары ключей, что означает, что от одного ЦС допускается только один сертификат удостоверений.

  • Если устройство Cisco NX-OS получает несколько сертификатов удостоверений (каждый от отдельного ЦС), то сертификат, выбранный приложением для обмена протоколами безопасности с другими узлами, относится к конкретному приложению.

  • Нет необходимости назначать для приложения одну или несколько точек доверия. Любое приложение может использовать любой сертификат, выданный любой точкой доверия, пока цель сертификата удовлетворяет требованиям приложения.

  • Для связывания с этой точкой доверия не требуется несколько сертификатов удостоверений или несколько пар ключей. ЦС сертифицирует конкретное удостоверение (или имя) только один раз и не выдает несколько сертификатов с одинаковым именем. Если для ЦС необходимо несколько сертификатов удостоверений и если ЦС разрешает несколько сертификатов с одинаковыми именами, то необходимо определить другую точку доверия для того же ЦС, связать с ним другую пару ключей и получить сертификат.

Поддержка нескольких доверенных ЦС

Устройство Cisco NX-OS может доверять нескольким ЦС, за счет настройки нескольких точек доверия и их связывания с отдельным ЦС. При наличии нескольких доверенных ЦС вам не нужно регистрировать устройство в определенном ЦС, который выдал сертификат на одноранговому узлу сети. Вместо этого можно настроить устройство с несколькими доверенными ЦС, которым доверяет одноранговый узел сети. После этого устройство Cisco NX-OS может использовать настроенный доверенный ЦС для проверки сертификатов, полученных от узла, которые не был выданы тем же ЦС, определенным в удостоверении однорангового устройства.

Поддержка регистрации PKI

Регистрация – это процесс получения сертификата удостоверения для устройства, используемого для таких приложений, как SSH. Регистрация происходит между устройством, которое запрашивает сертификат, и центром сертификации.

При выполнении процесса регистрации PKI устройство Cisco NX-OS выполняет следующие шаги:

  • Создание пары закрытого и открытого ключей RSA на устройстве.

  • Создание запроса сертификата в стандартном формате и передача его в ЦС.


При поступлении запроса на регистрацию на сервере ЦС может потребоваться ручное утверждение администратором ЦС запроса о регистрации на сервере ЦС.

  • Получает выданный сертификат от ЦС, подписанный закрытым ключом ЦС.

  • Записывает сертификат в энергонезависимую часть памяти устройства (bootflash).

Ручная регистрация с помощью вырезания и вставки

Программное обеспечение Cisco NX-OS поддерживает извлечение и регистрацию сертификатов с помощью ручного вырезания и вставки. Регистрация через вырезание и вставку означает, что необходимо вырезать и врезать запросы сертификатов и полученные сертификаты между устройством и ЦС.

При использовании вырезания и вставки в процессе ручной регистрации необходимо выполнить следующие действия:

  • Создайте запрос сертификата регистрации, который устройство Cisco NX-OS отобразит в текстовом виде с кодированием base64.

  • Вырежьте и вставьте текст запроса зашифрованного сертификата в сообщение электронной почты или в веб-форму и отправьте его в ЦС.

  • Получите выданный сертификат (в текстовом формате с кодом base64) из ЦС в электронном сообщении или загрузите его через веб-браузер.

  • Вырежьте и вставьте выданный сертификат в устройство с помощью средства импорта сертификатов.

Поддержка нескольких пар ключей RSA и ЦС идентификации

ЦС, поддерживающие несколько сертификатов удостоверений, позволяют устройству зарегистрироваться в нескольких точках доверия, что приводит к выдаче нескольких сертификатов удостоверений, каждый из которых зарегистрирован в отдельном ЦС. Благодаря этой функции устройство Cisco NX-OS может участвовать в SSH и других приложениях с большим количеством одноранговых устройств, используя сертификаты, выдаваемые ЦС, которые допустимы для этих одноранговых устройств.

Функция с несколькими парами ключей RSA позволяет устройству поддерживать отдельную пару ключей для каждого ЦС, в котором оно зарегистрировано. Оно может отвечать требованиям политики для каждого ЦС, не конфликтуя с требованиями других ЦС, например длиной ключа. Устройство может генерировать несколько пар ключей RSA и связывать каждую пару ключей с отдельной точкой доверия. В дальнейшем при регистрации в точке доверия для создания запроса сертификата используется связанная пара ключей.

Проверка одноранговых сертификатов

Проверка сертификатов одноранговых устройств обеспечивается поддержкой PKI на устройстве Cisco NX-OS. Программное обеспечение Cisco NX-OS проверяет сертификаты, полученные от других одноранговых устройств, во время обмена данными по безопасности, например SSH. Приложения проверяют действительность одноранговых сертификатов. Программное обеспечение Cisco NX-OS выполняет следующие шаги при проверке одноранговых сертификатов.

  • Проверяет, что одноранговый сертификат выпускаются одним из локальных доверенных ЦС.

  • Проверяет действительность (срок действия) однорангового сертификата в отношении текущего момента времени.

  • Проверяет, что одноранговый сертификат не был отозван выдающим ЦС.

С целью проверки отзыва программное обеспечение Cisco NX-OS поддерживает список отзыва сертификатов (CRL). ЦС точки доверия может использовать этот метод для проверки того, что одноранговый сертификат не был отозван.

Проверка отзыва сертификата

Программное обеспечение Cisco NX-OS может проверять статус отзыва сертификатов ЦС. Приложения могут использовать механизмы проверки отзыва в заданном вами порядке. Доступные варианты: CRL, ни один из этих методов, либо сочетание этих методов.

Поддержка CRL

ЦС ведут списки отзыва сертификатов (CRL) для предоставления информации о сертификатах, отозванных до истечения срока их действия. Центр сертификации публикует CRL в репозитории и предоставляет скачивание по открытому URL для всех выдаваемых сертификатов. Клиент, проверяющий сертификат другого узла, может получить последнюю версию сертификата CRL от выпускающего ЦС и использовать его для проверки того, отозван ли сертификат. Клиент может кэшировать CRL некоторых или всех доверенных ЦС локально и использовать их позже, если это необходимо, до истечения срока действия CRL.

Программное обеспечение Cisco NX-OS позволяет вручную настраивать предварительно загруженные CRL для точек доверия, а затем кэшировать их в систему bootflash устройства (cert-store). Во время проверки однорангового сертификата программное обеспечение Cisco NX-OS проверяет CRL от выпускающего ЦС только в том случае, если CRL уже кэширован локально и для проверки отзыва настроено использование CRL. В противном случае программное обеспечение Cisco NX-OS не выполняет проверку CRL и считает, что сертификат не отозван, если не настроены другие методы проверки отзыва.

Поддержка импорта и экспорта для сертификатов и связанных ключей

В рамках процесса аутентификации и регистрации ЦС можно импортировать сертификат подчиненного ЦС (или цепочку сертификатов), а также сертификаты удостоверений в стандартном формате PEM (base64).

Полную информацию об удостоверениях в точке доверия можно экспортировать в защищенный паролем файл в стандартном формате PKCS#12. Позднее его можно импортировать на то же устройство (например, после сбоя в системе) или на замещающее устройство. Сведения в файле PKCS#12 состоят из пары ключей RSA, сертификата удостоверения и сертификата ЦС (или цепочки).

Требования к лицензиям для PKI

В таблице ниже представлены требования лицензирования для этой функции.

Продукт

Требования к лицензии

Cisco NX-OS

Лицензия на функцию PKI не требуется. Любая функция, не включенная в пакет лицензий, поставляется вместе с образами системы Cisco NX-OS и предоставляется вам без дополнительной платы. Описание схемы лицензирования Cisco NX-OS см. в Руководстве по лицензированию Cisco NX-OS.

Рекомендации и ограничения PKI

PKI имеет следующие правила и ограничения конфигурации.

  • Максимальное количество пар ключей, которое можно настроить в устройстве Cisco NX-OS, составляет 16.

  • Максимальное количество точек доверия, которые можно объявлять в устройстве Cisco NX-OS, составляет 16.

  • Максимальное количество сертификатов удостоверений, которое можно настроить в устройстве Cisco NX-OS, составляет 16.

  • Максимальное количество сертификатов в цепочке сертификатов ЦС составляет 10.

  • Максимальное количество точек доверия, которые можно аутентифицировать в определенном ЦС, составляет 10.

  • Откаты конфигурации не поддерживают конфигурацию PKI.

  • Программное обеспечение Cisco NX-OS не поддерживает OSCP.


Если вы знакомы с Cisco IOS CLI, учитывайте то, что команды Cisco NX-OS для этой функции могут отличаться от команд Cisco IOS, которые вы можете использовать.

Параметры по умолчанию для PKI

В этой таблице перечислены настройки по умолчанию для параметров PKI.

Таблица 1 Параметры PKI по умолчанию

Параметры

По умолчанию

Точка доверия

Нет

Пара ключей RSA

Нет

Метка пары ключей RSA

Полное доменное имя (FQDN) устройства

Модули пары ключей RSA

512

Пара ключей RSA может быть экспортирована

Включено

Метод проверки отзыва

CRL

Настройка ЦС и цифровых сертификатов

В этом разделе описаны задачи, которые необходимо выполнить, чтобы разрешить взаимодействие ЦС и цифровых сертификатов на вашем устройстве Cisco NX-OS.

Настройка имени хоста и IP-адреса/доменного имени

Если имя хоста и IP-адрес/доменное имя устройства еще не настроены, необходимо настроить их, поскольку программное обеспечение Cisco NX-OS использует полное доменное имя (FQDN) устройства в качестве субъекта сертификата удостоверения. Кроме того, программное обеспечение Cisco NX-OS использует FQDN устройства в качестве метки ключа по умолчанию, если вы не указали метку во время генерации пары ключей. Например, сертификат с именем DeviceA.example.com основан на имени хоста устройства DeviceA и доменном имени устройства example.com.


Изменение имени хоста или IP-адреса/доменного имени после генерации сертификата может сделать сертификат недействительным.

  Команда или действие Цель
1

настройка терминала

Пример:

switch# configure terminal switch(config)#

Вход в режим глобальной конфигурации.

2

hostnamehostname

Пример:

switch(config)# hostname DeviceA

Настройка имени хоста устройства.

3

ip domain-namename [use-vrfvrf-name]

Пример:

DeviceA(config)# ip domain-name example.com

Настройка IP-адреса/доменного имени устройства. Если имя VRF не указано, то в команде используется VRF по умолчанию.

4

выход

Пример:

switch(config)# exit switch#

Выход из режима конфигурации.

5

(Дополнительно)show hosts

Пример:

switch# show hosts
(Дополнительно)

Отображение IP-адреса/доменного имени.

6

(Дополнительно) copy running-config startup-config

Пример:

switch# copy running-config startup-config
(Дополнительно)

Копирование запущенной конфигурации в конфигурацию запуска.

Создание пары ключей RSA

Можно создать пары ключей RSA для подписи, и (или) шифрования и расшифровки информации по защите во время обмена протоколами безопасности для приложений. Перед получением сертификата для своего устройства необходимо создать пару ключей RSA.

  Команда или действие Цель
1

настройка терминала

Пример:

switch# configure terminal switch(config)#

Вход в режим глобальной конфигурации.

2

crypto key generate rsa [labellabel-string] [exportable] [modulussize]

Пример:

switch(config)# crypto key generate rsa exportable

Генерация пары ключей RSA. Максимальное количество пар ключей на устройстве – 16.

Строка метки является буквенно-цифрой, чувствительной к регистру, и обладает максимальной длиной 64 символа. Строкой метки по умолчанию является имя хоста и строка полного доменного имени, разделенная точкой (.).

Допустимые значения модуля: 512, 768, 1024, 1536 и 2048. Размер модуля по умолчанию – 512.


 

При принятии решения о соответствующем модуле ключей следует учитывать политику безопасности на устройстве Cisco NX-OS и в ЦС (в котором планируется регистрация).

Пару ключей невозможно экспортировать по умолчанию. В формат PKCS#12 можно переводить только те пары ключей, которые можно экспортировать.


 

Вы не можете изменить возможности экспорта пары ключей.

3

выход

Пример:

switch(config)# exit switch#

Выход из режима конфигурации.

4

(Дополнительно) show crypto key mypubkey rsa

Пример:

switch# show crypto key mypubkey rsa
(Дополнительно)

Отображение сгенерированного ключа.

5

(Дополнительно) copy running-config startup-config

Пример:

switch# copy running-config startup-config
(Дополнительно)

Копирование запущенной конфигурации в конфигурацию запуска.

Создание связи между ЦС и точкой доверия

Устройство Cisco NX-OS необходимо связать с ЦС точки доверия.

Прежде чем начать

Сгенерировать пару ключей RSA.

  Команда или действие Цель
1

настройка терминала

Пример:

switch# configure terminal switch(config)#

Вход в режим глобальной конфигурации.

2

crypto ca trustpointname

Пример:

switch(config)# crypto ca trustpoint admin-ca switch(config-trustpoint) #

Указание на ЦС точки доверия, которому устройство должно доверять, и вход в режим конфигурации точки доверия.


 

Максимальное количество точек доверия, которое можно настроить на устройстве, составляет 16.

3

терминал регистрации

Пример:

switch(config-trustpoint)# enrollment terminal

Активация ручной регистрации сертификата методом вырезания и вставки. По умолчанию этот режим включен.


 

Программное обеспечение Cisco NX-OS поддерживает только ручной метод вырезания и вставки для регистрации сертификатов.

4

rsakeypairlabel

Пример:

switch(config-trustpoint)# rsakeypair SwitchA

Указание метки пары ключей RSA для связывания с этой точкой доверия для регистрации.


 

Для каждого ЦС можно указать только одну пару ключей RSA.

5

выход

Пример:

switch(config-trustpoint)# exit switch(config)#

Выход из режима настройки точки доверия.

6

(Дополнительно) show crypto ca trustpoints

Пример:

switch(config)# show crypto ca trustpoints
(Дополнительно)

Отображение информации о точках доверия.

7

(Дополнительно) copy running-config startup-config

Пример:

switch(config)# copy running-config startup-config
(Дополнительно)

Копирование запущенной конфигурации в конфигурацию запуска.

Аутентификация ЦС

Процесс настройки доверия ЦС завершается только после аутентификации ЦС на устройстве Cisco NX-OS. Вы должны аутентифицировать устройство Cisco NX-OS в ЦС, получив самозаверяющий сертификат ЦС в формате PEM, содержащий открытый ключ ЦС. Поскольку сертификат ЦС является самозаверяющим (ЦС подписывает собственный сертификат), открытый ключ ЦС должен быть вручную аутентифицирован путем обращения к администратору ЦС для сравнения идентификационной метки сертификата ЦС.


ЦС, который вы аутентифицируете, не является самозаверяющим ЦС в том случае, когда он является подчиненным ЦС другого ЦС, который сам по себе может быть подчиненным для еще одного ЦС и так далее. Цепочка заканчивается в самозаверяющем ЦС. Этот тип сертификата ЦС называется цепочкой сертификатов ЦС проходящего аутентификацию ЦС. В этом случае во время аутентификации ЦС необходимо ввести полный список сертификатов ЦС всех ЦС в цепочке сертификации. Максимальное количество сертификатов в цепочке сертификатов ЦС составляет 10.

Прежде чем начать

Создайте связь с ЦС.

Получите сертификат ЦС или цепочку сертификатов ЦС.

  Команда или действие Цель
1

настройка терминала

Пример:

switch# configure terminal switch(config)#

Вход в режим глобальной конфигурации.

2

crypto ca authenticatename

Пример:

switch(config)# crypto ca authenticate admin-ca input (cut & paste) CA certificate (chain) in PEM format; end the input with a line containing only END OF INPUT : -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea NBG7E0oN66zex0EOEfG1Vs6mXp1//w== -----END CERTIFICATE----- END OF INPUT Fingerprint(s): MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Вы принимаете этот сертификат? [да/нет]: Да

Запрос на вырезание и вставку сертификата ЦС. Используйте то же имя, которое было использовано при декларировании ЦС.

Максимальное количество точек доверия, которые можно аутентифицировать в определенном ЦС, составляет 10.


 

Для аутентификации подчиненных ЦС программное обеспечение Cisco NX-OS требует полную цепочку сертификатов ЦС, заканчивающуюся в самозаверяющем ЦС, поскольку для проверки сертификатов и экспорта формата PKCS#12 требуется цепочка ЦС.

3

выход

Пример:

switch(config)# exit switch#

Выход из режима конфигурации.

4

(Дополнительно) show crypto ca trustpoints

Пример:

switch# show crypto ca trustpoints
(Дополнительно)

Отображает информацию о ЦС доверяемой точки.

5

(Дополнительно) copy running-config startup-config

Пример:

switch# copy running-config startup-config
(Дополнительно)

Копирование запущенной конфигурации в конфигурацию запуска.

Настройка методов проверки отзыва сертификата

Во время обмена информацией о безопасности с клиентом (например, пользователем SSH) устройство Cisco NX-OS выполняет проверку однорангового сертификата, отправленного клиентом. Процесс проверки может включать в себя проверку статуса отзыва сертификата.

Можно настроить устройство на проверку CRL, загруженного из ЦС. Загрузка CRL и локальная проверка не генерируют трафик в сети. Однако сертификаты могут быть отозваны между скачиваниями, и ваше устройство не будет иметь информации об отзыве.

Прежде чем начать

Аутентифицируйте ЦС.

Убедитесь в том, что CRL настроен, если необходимо использовать проверку CRL.

  Команда или действие Цель
1

настройка терминала

Пример:

switch# configure terminal switch(config)#

Вход в режим глобальной конфигурации.

2

crypto ca trustpointname

Пример:

switch(config)# crypto ca trustpoint admin-ca switch(config-trustpoint) #

Задание ЦС точки доверия и переход в режим настройки точки доверия.

3

revocation-check {crl [none] | none}

Пример:

switch(config-trustpoint)# revocation-check none

Настройка методов проверки отзыва сертификата. По умолчанию используется crl.

Программное обеспечение Cisco NX-OS использует методы проверки отзыва сертификата в порядке, заданном вами.

4

выход

Пример:

switch(config-trustpoint)# exit switch(config)#

Выход из режима настройки точки доверия.

5

(Дополнительно) show crypto ca trustpoints

Пример:

switch(config)# show crypto ca trustpoints
(Дополнительно)

Отображает информацию о ЦС доверяемой точки.

6

(Дополнительно) copy running-config startup-config

Пример:

switch(config)# copy running-config startup-config
(Дополнительно)

Копирование запущенной конфигурации в конфигурацию запуска.

Создание запросов сертификатов

Для каждой пары ключей RSA устройства необходимо создать запрос на получение сертификатов удостоверений из связанного ЦС точки доверия. Затем необходимо вырезать и вставить отображаемую заявку в сообщение электронной почты или в форму веб-сайта ЦС.

Прежде чем начать

Создайте связь с ЦС.

Получите сертификат ЦС или цепочку сертификатов ЦС.

  Команда или действие Цель
1

настройка терминала

Пример:

switch# configure terminal switch(config)#

Вход в режим глобальной конфигурации.

2

crypto ca enroll name

Пример:

switch(config)# crypto ca enroll admin-ca Создание запроса сертификата.. Создайте сложный пароль. Вам потребуется устно предоставить этот пароль администратору ЦС, чтобы отозвать ваш сертификат. Из соображений безопасности ваш пароль не будет сохранен в конфигурации. Обратите на это внимание. Пароль:nbv123 Название субъекта в сертификате: DeviceA.cisco.com Включить имя коммутатора в имя субъекта? [да/нет]: нет Включить IP-адрес в имя субъекта [да/нет]: да IP-адрес:172.22.31.162 Запрос сертификата будет отображен... -----BEGIN CERTIFICATE REQUEST----- MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= -----END CERTIFICATE REQUEST-----

Создание запроса сертификата для аутентификации ЦС.


 

Необходимо запомнить пароль. Он не сохраняется в конфигурации. Если сертификат необходимо отозвать, то необходимо ввести этот пароль.

3

выход

Пример:

switch(config-trustpoint)# exit switch(config)#

Выход из режима настройки точки доверия.

4

(Дополнительно) show crypto ca certificates

Пример:

switch(config)# show crypto ca certificates
(Дополнительно)

Отображает сертификаты ЦС.

5

(Дополнительно) copy running-config startup-config

Пример:

switch(config)# copy running-config startup-config
(Дополнительно)

Копирование запущенной конфигурации в конфигурацию запуска.

Установка сертификатов удостоверений

Вы можете получить сертификат удостоверения от ЦС по электронной почте или с помощью веб-браузера в текстовом виде с кодировкой base64. Вам необходимо установить сертификат удостоверения из ЦС путем вырезания и вставки зашифрованного текста.

Прежде чем начать

Создайте связь с ЦС.

Получите сертификат ЦС или цепочку сертификатов ЦС.

  Команда или действие Цель
1

настройка терминала

Пример:

switch# configure terminal switch(config)#

Вход в режим глобальной конфигурации.

2

crypto ca importnamecertificate

Пример:

switch(config)# crypto ca import admin-ca certificate input (cut & paste) certificate in PEM format: -----BEGIN CERTIFICATE----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw E36cIZu4WsExREqxbTk8ycx7V5o= -----END CERTIFICATE-----

Запрос на вырезание и вставку сертификата удостоверений для ЦС с именем admin-ca.

Максимальное количество сертификатов удостоверений, которое можно настроить на устройстве, составляет 16.

3

выход

Пример:

switch(config)# exit switch#

Выход из режима конфигурации.

4

(Дополнительно) show crypto ca certificates

Пример:

switch# show crypto ca certificates
(Дополнительно)

Отображает сертификаты ЦС.

5

(Дополнительно) copy running-config startup-config

Пример:

switch# copy running-config startup-config
(Дополнительно)

Копирование запущенной конфигурации в конфигурацию запуска.

Обеспечение сохранения конфигурации точки доверия при перезагрузках

Можно убедиться в том, что конфигурация конечной точки будет сохраняться при перезагрузке устройства Cisco NX-OS.

Конфигурацией точки доверия является обычная конфигурация устройства Cisco NX-OS, которая сохраняется в системе при перезагрузках только в том случае, если она в явном виде скопирована в пусковую конфигурацию. Сертификаты, пары ключей и CRL, связанные с точкой доверия, автоматически сохраняются, если конфигурация точки доверия уже скопирована в пусковую конфигурацию. И наоборот, если конфигурация точки доверия не копируется в пусковую конфигурацию, связанные с ней сертификаты, пары ключей и CRL не сохраняются, поскольку им необходима соответствующая конфигурация точки доверия после перезагрузки. Всегда копируйте запущенную конфигурацию в пусковую конфигурацию, чтобы обеспечить постоянное наличие настроенных сертификатов, пар ключей и CRL. Кроме того, сохраните запущенную конфигурацию после удаления сертификата или пары ключей, чтобы удаление было окончательным.

Сертификаты и CRL, связанные с точкой доверия, автоматически становятся постоянными при импорте (т. е. без явного копирования в пусковую конфигурацию), если определенная точка доверия уже сохранена в пусковой конфигурации.

Рекомендуется создать защищенную паролем резервную копию сертификатов удостоверений и сохранить их на внешнем сервере.


Копирование конфигурации на внешний сервер также включает в себя сертификаты и пары ключей.

Экспорт информации об идентификации в формате PKCS 12

Для резервного копирования сертификат удостоверений можно экспортировать вместе с парой ключей RSA и сертификатом ЦМ (или всей цепочки в случае подчиненных ЦС) точки доверия в файл PKCS#12. Можно импортировать пару сертификатов и ключей RSA для восстановления после сбоя системы на вашем устройстве или замены модулей-диспетчеров.


При указании URL-адреса экспорта можно использовать только загрузку в формате bootflash:filename.

Прежде чем начать

Аутентифицируйте ЦС.

Установите сертификат удостоверения.

  Команда или действие Цель
1

настройка терминала

Пример:

switch# configure terminal switch(config)#

Вход в режим глобальной конфигурации.

2

crypto ca exportname pkcs12 bootflash:filenamepassword

Пример:

switch(config)# crypto ca export admin-ca pkcs12 bootflash:adminid.p12 nbv123

Экспорт сертификата удостоверения и связанных с ним пар ключей и сертификатов ЦС для ЦС точки доверия. Пароль состоит из букв и цифр, чувствителен к регистру и имеет максимальную длину 128 символов.

3

выход

Пример:

switch(config)# exit switch#

Выход из режима конфигурации.

4

copy booflash:filenamescheme://server/ [url/]filename

Пример:

switch# copy bootflash:adminid.p12 tftp:adminid.p12

Копирование файла в формате PKCS#12 на удаленный сервер.

Для аргумента scheme можно ввести tftp:, ftp:, scp:, или sftp:. Аргументом server является адрес или имя удаленного сервера, а аргументом url – путь к файлу-источнику удаленном сервере.

Аргументы server, url, и filename чувствительны к регистру.

Импорт информации об идентификации в формате PKCS 12

Можно импортировать пару сертификатов и ключей RSA для восстановления после сбоя системы на вашем устройстве или замены модулей-диспетчеров.


При указании URL-адреса импорта можно использовать только загрузку в формате bootflash:filename.

Прежде чем начать

С помощью аутентификации ЦС убедитесь в том, что точка доверия пуста, проверив, что с ней не связана ни одна пара ключей RSA, а также что с этой точкой доверия не связан ни один ЦС.

  Команда или действие Цель
1

copyscheme://server/[url/]filenamebootflash:filename

Пример:

switch# copy tftp:adminid.p12 bootflash:adminid.p12

Копирование файла в формате PKCS#12 с удаленного сервера.

Для аргумента scheme можно ввести tftp:, ftp:, scp:, или sftp:. Аргументом server является адрес или имя удаленного сервера, а аргументом url – путь к файлу-источнику удаленном сервере.

Аргументы server, url, и filename чувствительны к регистру.

2

настройка терминала

Пример:

switch# configure terminal switch(config)#

Вход в режим глобальной конфигурации.

3

crypto ca importnamepksc12 bootflash:filename

Пример:

switch(config)# crypto ca import admin-ca pkcs12 bootflash:adminid.p12 nbv123

Импорт сертификата удостоверения и связанных с ним пар ключей и сертификатов ЦС для ЦС точки доверия.

4

выход

Пример:

switch(config)# exit switch#

Выход из режима конфигурации.

5

(Дополнительно) show crypto ca certificates

Пример:

switch# show crypto ca certificates
(Дополнительно)

Отображает сертификаты ЦС.

6

(Дополнительно) copy running-config startup-config

Пример:

switch# copy running-config startup-config
(Дополнительно)

Копирование запущенной конфигурации в конфигурацию запуска.

Настройка CRL

Вы можете вручную настроить CRL, загруженные из точек доверия. Программное обеспечение Cisco NX-OS кэширует CRL в систему bootflash устройства (cert-store). Во время проверки однорангового сертификата программное обеспечение Cisco NX-OS проверяет CRL от выпускающего ЦС только в том случае, если вы загрузили CRL на устройство и настроили проверку отзыва сертификата для использования CRL.

Прежде чем начать

Убедитесь, что вы включили проверку отзыва сертификата.

  Команда или действие Цель
1

copyscheme:[//server/[url/]]filenamebootflash:filename

Пример:

switch# copy tftp:adminca.crl bootflash:adminca.crl

Скачивание CRL с удаленного сервера.

Для аргумента scheme можно ввести tftp:, ftp:, scp:, или sftp:. Аргументом server является адрес или имя удаленного сервера, а аргументом url – путь к файлу-источнику удаленном сервере.

Аргументы server, url, и filename чувствительны к регистру.

2

настройка терминала

Пример:

switch# configure terminal switch(config)#

Вход в режим глобальной конфигурации.

3

crypto ca crl requestnamebootflash:filename

Пример:

switch(config)# crypto ca crl request admin-ca bootflash:adminca.crl

Настройка или замена текущего CRL на указанный в файле.

4

выход

Пример:

switch(config)# exit switch#

Выход из режима конфигурации.

5

(Дополнительно) show crypto ca crlname

Пример:

switch# show crypto ca crl admin-ca
(Дополнительно)

Отображение информации CRL ЦС.

6

(Дополнительно) copy running-config startup-config

Пример:

switch# copy running-config startup-config
(Дополнительно)

Копирование запущенной конфигурации в конфигурацию запуска.

Удаление сертификатов из конфигурации ЦС

Вы можете удалить сертификаты удостоверений и сертификаты ЦС, настроенные в точке доверия. Сначала необходимо удалить сертификат удостоверения, а затем сертификаты ЦС. После удаления сертификата удостоверения можно расшифровать пару ключей RSA из точки доверия. Для удаления сертификатов, срок действия которых истек или которые были отозваны, необходимо удалить сертификаты, которые имеют скомпрометированные пары ключей (или предположительно скомпрометированные), или сертификаты, которые больше не являются доверенными.

  Команда или действие Цель
1

настройка терминала

Пример:

switch# configure terminal switch(config)#

Вход в режим глобальной конфигурации.

2

crypto ca trustpointname

Пример:

switch(config)# crypto ca trustpoint admin-ca switch(config-trustpoint) #

Задание ЦС точки доверия и переход в режим настройки точки доверия.

3

delete ca-certificate

Пример:

switch(config-trustpoint)# delete ca-certificate

Удаление сертификата или цепочки сертификатов ЦС.

4

delete certificate [force]

Пример:

switch(config-trustpoint)# delete certificate

Удаление сертификата удостоверения.

Параметр force необходимо использовать в том случае, если сертификат удостоверения, который необходимо удалить, является последним сертификатом в цепочке сертификатов или единственным сертификатом удостоверения в устройстве. Это требование гарантирует, что вы не удалите по ошибке последний сертификат в цепочке или единственный сертификат удостоверения и оставьте приложения (например, SSH) без сертификата для использования.

5

выход

Пример:

switch(config-trustpoint)# exit switch(config)#

Выход из режима настройки точки доверия.

6

(Дополнительно) show crypto ca certificates [name]

Пример:

switch(config)# show crypto ca certificates admin-ca
(Дополнительно)

Отображение сведений о сертификатах ЦС.

7

(Дополнительно) copy running-config startup-config

Пример:

switch(config)# copy running-config startup-config
(Дополнительно)

Копирование запущенной конфигурации в конфигурацию запуска.

Удаление пар ключей RSA из устройства Cisco NX-OS

Можно удалить пары ключей RSA из устройства Cisco NX-OS, если вы считаете, что пары ключей RSA были скомпрометированы каким-либо образом и более не должны использоваться.


После удаления пар ключей RSA из устройства попросите администратора ЦС отозвать сертификаты вашего устройства в ЦС. Необходимо ввести пароль, созданный вами при первоначальном запросе сертификатов.

  Команда или действие Цель
1

настройка терминала

Пример:

switch# configure terminal switch(config)#

Вход в режим глобальной конфигурации.

2

crypto key zeroize rsalabel

Пример:

switch(config)# crypto key zeroize rsa MyKey

Удаление пары ключей RSA.

3

выход

Пример:

switch(config)# exit switch#

Выход из режима конфигурации.

4

(Дополнительно) show crypto key mypubkey rsa

Пример:

switch# show crypto key mypubkey rsa
(Дополнительно)

Отображение конфигурации пары ключей RSA.

5

(Дополнительно) copy running-config startup-config

Пример:

switch# copy running-config startup-config
(Дополнительно)

Копирование запущенной конфигурации в конфигурацию запуска.

Проверка конфигурации PKI

Чтобы отобразить информацию о конфигурации PKI, выполните одну из следующих задач:

Команда

Цель

show crypto key mypubkey rsa

Отображение сведений об открытых ключах RSA, созданных на устройстве Cisco NX-OS.

show crypto ca certificates

Отображение сведений о ЦС и сертификатах удостоверений.

show crypto ca crl

Отображение сведений о CRLS ЦС.

show crypto ca trustpoints

Отображение сведений о точках доверия ЦС.

Примеры конфигурации PKI

В этом разделе показаны примеры задач, которые можно использовать для настройки сертификатов и CRL на устройствах Cisco NX-OS с помощью сервера сертификатов Microsoft Windows.


Для создания цифровых сертификатов можно использовать любой тип сервера сертификатов. Вы можете использовать не только сервер сертификатов Microsoft Windows.

Настройка сертификатов на устройстве Cisco NX-OS

Чтобы настроить сертификаты на устройстве Cisco NX-OS, выполните следующие действия:

1

Настройте полное доменное имя (FQDN) устройства.

switch# configure terminal Построчно введите команды конфигурации. Завершите с помощью CNTL/Z. switch(config)# hostname Device-1 Device-1(config)# 
2

Настройте имя домена DNS для устройства.

Device-1(config)# ip domain-name cisco.com

3

Создайте точку доверия.

Device-1(config)# crypto ca trustpoint myCA Device-1(config-trustpoint)# exit Device-1(config)# show crypto ca trustpoints trustpoint: myCA; ключ: методы отзыва: crl 
4

Создайте пару ключей RSA для устройства.

Device-1(config)# crypto key generate rsa label myKey exportable modulus 1024 Device-1(config)# show crypto key mypubkey rsa key label: размер ключа myKey: 1024 с возможностью экспорта: Да 
5

Свяжите пару ключей RSA с точкой доверия.

Device-1(config)# crypto ca trustpoint myCA Device-1(config-trustpoint)# rsakeypair myKey Device-1(config-trustpoint)# exit Device-1(config)# show crypto ca trustpoints trustpoint: myCA; ключ: методы отзыва myKey: crl 
6

Скачайте сертификат ЦС из веб-интерфейса службы сертификатов Microsoft.

7

Аутентифицируйте ЦС, который вы хотите зарегистрировать в точке доверия.

Device-1(config)# crypto ca authenticate myCA input (cut & paste) CA certificate (chain) in PEM format; end the input with a line containing only END OF INPUT : -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB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-----END CERTIFICATE-----
END OF INPUT Fingerprint(s): MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Вы принимаете этот сертификат? [да/нет]:y Device-1(config)# show crypto ca certificates Trustpoint: сертификат myCA CA 0: subject= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA issuer= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA serial=0560D289ACB419944F4912258CAD197A notBefore=May 3 22:46:37 2005 GMT notAfter=May 3 22:55:17 2007 GMT MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 purposes: sslserver sslclient ike 
8

Сгенерируйте сертификат запроса, который будет использовать для регистрации в точке доверия.

Device-1(config)# crypto ca enroll myCA Создать запрос сертификата .. Создайте сложный пароль. Вам потребуется устно предоставить этот пароль администратору ЦС, чтобы отозвать ваш сертификат. Из соображений безопасности ваш пароль не будет сохранен в конфигурации. Обратите на это внимание. Пароль: nbv123 Имя субъекта в сертификате: Device-1.cisco.com Включить имя коммутатора в имя субъекта? [да/нет]: нет Включить IP-адрес в имя субъекта [да/нет]: Да IP-адрес: 10.10.1.1 Запрос сертификата будет отображен... -----BEGIN CERTIFICATE REQUEST----- MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= -----END CERTIFICATE REQUEST----- 
9

Запрос сертификата удостоверения в веб-интерфейсе службы сертификатов Microsoft.

10

Импорт сертификата удостоверения.

Device-1(config)# crypto ca import myCA certificate input (cut & paste) certificate in PEM format: -----BEGIN CERTIFICATE----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G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-----END CERTIFICATE----- Device-1(config)# exit Device-1# 
11

Проверьте конфигурацию сертификата.

12

Сохраните конфигурацию сертификата в пусковую конфигурацию.

Загрузка сертификата ЦС

Чтобы скачать сертификат ЦС из веб-интерфейса служб сертификатов Microsoft, выполните следующие действия:

1

В веб-интерфейсе служб сертификатов Microsoft щелкните Получить сертификат ЦС или задачу отзыва сертификата ЦС и щелкните Далее.

2

В отображаемом списке выберите файл сертификата ЦС, который необходимо скачать из отображаемого списка. Затем щелкните Кодирование Base 64 и щелкните Скачать сертификат ЦС.

3

Щелкните Открыть в папке диалоговом окне скачивания.

4

В диалоговом окне сертификата щелкните Копировать в файл и щелкните ОК.

5

В диалоговом окне мастера экспорта сертификатов выберите Кодирование X.509 (Base-64) (CER) и щелкните Далее.

6

В названии файла: в текстовом поле диалогового окна мастера экспорта сертификатов введите имя файла назначения и щелкните Далее.

7

В диалоговом окне мастера экспорта сертификатов щелкните Готово.

8

Введите команду type Microsoft Windows, чтобы отобразить сертификат ЦС, сохраненный в формате Base-64 (PEM).

Запрос сертификата удостоверения

Чтобы запросить сертификат удостоверения с сервера сертификатов Microsoft с помощью запроса на подпись сертификата PKCS#12 (CRS), выполните следующие действия:

1

В веб-интерфейсе служб сертификатов Microsoft щелкните Запросить сертификат и щелкните Далее.

2

Щелкните Расширенный запрос и щелкните Далее.

3

Щелкните Отправить запрос сертификата с помощью файла PKCS#10 с кодировкой base64 или запроса на возобновление с помощью файла PKCS#7 с кодировкой base64 и щелкните Далее.

4

Вставьте в текстовое поле «Сохраненный запрос» запроса сертификата PKCS#10 с кодировкой base64 и щелкните Далее. Запрос сертификата будет скопирован с консоли устройства Cisco NX-OS.

5

Подождите один или два дня, пока администратор ЦС не выдаст сертификат.

6

Проследите за тем, чтобы запрос на сертификат был утвержден администратором ЦС.

7

В веб-интерфейсе служб сертификатов Microsoft щелкните Проверить, находится ли сертификат на рассмотрении, и щелкните Далее.

8

Выберите запрос сертификата, который необходимо проверить, и щелкните Далее.

9

Щелкните Кодирование Base 64 и щелкните Скачать сертификат ЦС.

10

В диалоговом окне скачивания файла щелкните Открыть.

11

В окне сертификата выберите вкладку Подробности и щелкните Копировать в файл.... В диалоговом окне экспорта сертификатов выберите Кодирование Base-64 X.509 (.CER) и щелкните Далее.

12

В названии файла: в текстовом поле диалогового окна мастера экспорта сертификатов введите имя файла назначения и щелкните Далее.

13

Щелкните Завершить.

14

Введите команду type Microsoft Windows, чтобы отобразить сертификат удостоверения в формате с кодированием base-64.

Отзыв сертификата

Чтобы отозвать сертификат с помощью программы администратора ЦС Microsoft, выполните следующие действия:

1

В дереве центров сертификации выберите папку Выданные сертификаты. Щелкните правой кнопкой мыши по сертификату, который необходимо отозвать.

2

Выберите Все задачи > Отозвать сертификат.

3

В раскрывающемся списке причин отзыва выберите основание для отзыва и щелкните Да.

4

Выберите папку Аннулированные сертификаты, чтобы отсортировать и проверить отзыв сертификатов.

Создание и публикация CRL

Чтобы создать и опубликовать CRL с помощью программы администратора ЦС Microsoft, выполните следующие действия:

1

На экране центров сертификации выберите Действие > Все Действия > Опубликовать.

2

В диалоговом окне отзыва сертификатов щелкните Да, чтобы опубликовать последнюю версию CRL.

Скачивание CRL

Чтобы скачать CRL с веб-сайта ЦС Microsoft, выполните следующие действия:

1

В веб-интерфейсе служб сертификатов Microsoft щелкните Получить сертификат ЦС или список отзыва сертификатов ЦС и щелкните Далее.

2

Щелкните Скачать последнюю версию списка отзыва сертификатов.

3

В диалоговом окне скачивания файла щелкните Сохранить.

4

В диалоговом окне «Сохранить как» введите имя файла назначения и щелкните Сохранить.

5

Введите команду type Microsoft Windows, чтобы отобразить CRL.

Импорт CRL

Чтобы импортировать CRL в точку доверия, соответствующую ЦС, выполните следующие действия:

1

Скопируйте файл CRL в систему bootflash устройства Cisco NX-OS.

Device-1# copy tftp:apranaCA.crl bootflash:aparnaCA.crl

2

Настройте CRL

 Device-1# configure terminal Device-1(config)# crypto ca crl request myCA bootflash:aparnaCA.crl Device-1(config)# 
3

Отобразите содержимое CRL.

 Device-1(config)# show crypto ca crl myCA Trustpoint: myCA CRL: Список отзыва сертификатов (CRL): Версия 2 (0x1) Алгоритм подписи: sha1WithRSA Эмитент шифрования: /emailAddress=admin@yourcompany.com/C=IN/ST=Karnatak Yourcompany/OU=netstorage/CN=Aparna CA Последнее обновление: 12 ноября 04:36:04 2005 GMT Следующее обновление: 19 ноября 16:56:04 2005 GMT Расширения CRL: Идентификатор ключа полномочия X509v3: keyid:27:28:F2:46:83:1B:AC:23:4C:45:4D:8E:C9:18:50:1 1.3.6.1.4.1.311.21.1: ... Отозванные сертификаты: Серийный номер: 611B09A1000000000002 Дата отзыва: 16 августа 21:52:19 2005, GMT Серийный номер: 4CDE464E000000000003 Дата отзыва: 16 августа 21:52:29 2005 GMT Серийный номер: 4CFC2B42000000000004 Дата отзыва: 16 августа 21:52:41 2005, GMT Серийный номер: 6C699EC2000000000005 Дата отзыва: 16 августа 21:52:52 2005, GMT Серийный номер: 6CCF7DDC000000000006 Дата отзыва: 8 июня 00:12:04 2005, GMT Серийный номер: 70CC4FFF000000000007 Дата отзыва: 16 августа 21:53:15 2005, GMT Серийный номер: 4D9B1116000000000008 Дата отзыва: 16 августа 21:53:15 2005, GMT Серийный номер: 52A80230000000000009 Дата отзыва: 27 июня 23:47:06 2005, GMT Расширения для входа в CRL: Код причины CRL X509v3: Серийный номер компрометации ЦС: 5349AD4600000000000A Дата отзыва: 27 июня 23:47:22 2005, GMT Расширения для входа в CRL: Код причины CRL X509v3: Серийный номер компрометации ЦС: 53BD173C00000000000B, дата отзыва: 4 июля 18:04:01 2005, GMT Расширения для входа в CRL: Код причины CRL X509v3: Серийный номер удержания сертификата: 591E7ACE00000000000C Дата отзыва: 16 августа 21:53:15 2005, GMT Серийный номер: 5D3FD52E00000000000D Дата отзыва: 29 июня 22:07:25 2005, GMT Расширения для входа в CRL: Код причины CRL X509v3: Серийный номер компрометации ключей: 5DAB771300000000000E Дата отзыва: 14 июля 00:33:56 2005, GMT Серийный номер: 5DAE53CD00000000000F Дата отзыва: 16 августа 21:53:15 2005, GMT Серийный номер: 5DB140D3000000000010, дата отзыва: 16 августа 21:53:15 2005, GMT Серийный номер: 5E2D7C1B000000000011 Дата отзыва: 6 июля 21:12:10 2005, GMT Расширения для входа в CRL: Код причины CRL X509v3: Серийный номер прекращения операции: 16DB4F8F000000000012 Дата отзыва: 16 августа 21:53:15 2005, GMT Серийный номер: 261C3924000000000013 Дата отзыва: 16 августа 21:53:15 2005, GMT Серийный номер: 262B5202000000000014 Дата отзыва: 14 июля 00:33:10 2005, GMT Серийный номер: 2634C7F2000000000015 Дата отзыва: 14 июля 00:32:45 2005, GMT Серийный номер: 2635B000000000000016 Дата отзыва: 14 июля 00:31:51 2005, GMT Серийный номер: 26485040000000000017 Дата отзыва: 14 июля 00:32:25 2005, GMT Серийный номер: 2A276357000000000018 Дата отзыва: 16 августа 21:53:15 2005, GMT Серийный номер: 3F88CBF7000000000019 Дата отзыва: 16 августа 21:53:15 2005, GMT Серийный номер: 6E4B5F5F00000000001A Дата отзыва: 16 августа 21:53:15 2005, GMT Серийный номер: 725B89D800000000001B Дата отзыва: 16 августа 21:53:15 2005, GMT Серийный номер: 735A887800000000001C Дата отзыва: 16 августа 21:53:15 2005, GMT Серийный номер: 148511C700000000001D Дата отзыва: 16 августа 21:53:15 2005, GMT Серийный номер: 14A7170100000000001E Дата отзыва: 16 августа 21:53:15 2005, GMT Серийный номер: 14FC45B500000000001F Дата отзыва: 17 августа 18:30:42 2005, GMT Серийный номер: 486CE80B000000000020 Дата отзыва: 17 августа 18:30:43, 2005, GMT Серийный номер: 4CA4A3AA000000000021 Дата отзыва: 17 августа 18:30:43, 2005, GMT Серийный номер: 1AA55C8E00000000002F Дата отзыва: 5 сентября 17:07:06 2005, GMT Серийный номер: 3F0845DD00000000003F Дата отзыва: 8 сентября 20:24:32 2005, GMT Серийный номер: 3F619B7E000000000042 Дата отзыва: 8 сентября 21:40:48 2005, GMT Серийный номер: 6313C463000000000052 Дата отзыва: 19 сентября 17:37:18 2005, GMT Серийный номер: 7C3861E3000000000060 Дата отзыва: 20 сентября 17:52:56 2005, GMT Серийный номер: 7C6EE351000000000061 Дата отзыва: 20 сентября 18:52:30, 2005, GMT Серийный номер: 0A338EA1000000000074 <-- Отозванный сертификат удостоверения Дата отзыва: 12 ноября 04:34:42 2005 GMT Алгоритм подписи: sha1WithRSAEncryption 0b:cb:dd:43:0a:b8:62:1e:80:95:06:6f:4d:ab:0c:d8:8e:32: 44:8e:a7:94:97:af:02:b9:a6:9c:14:fd:eb:90:cf:18:c9:96: 29:bb:57:37:d9:1f:d5:bd:4e:9a:4b:18:2b:00:2f:d2:6e:c1: 1a:9f:1a:49:b7:9c:58:24:d7:72 

 

Сертификат удостоверения для устройства, который был отозван (серийный номер 0A338EA1000000000074), указан в конце списка.