Konfigurera PKI

Det här kapitlet innehåller följande avsnitt:

Information om PKI

Det här avsnittet innehåller information om PKI.

Certifikat och digitala certifikat

Certifikatutfärdare (CA) hanterar certifikatförfrågningar och utfärdar certifikat för deltagande enheter som värdar, nätverksenheter eller användare. CA:erna tillhandahåller centraliserad nyckelhantering för de deltagande enheterna.

Digitala signaturer, baserade på kryptering med offentliga nycklar, digitalt autentisera enheter och enskilda användare. Vid kryptering av offentliga nycklar, som RSA-krypteringssystemet, har varje enhet eller användare ett nyckelpar som innehåller både en privat nyckel och en offentlig nyckel. Den privata nyckeln hålls hemlig och är endast känd för den egna enheten eller användaren. Men alla känner till den offentliga nyckeln. Allt krypterat med en av nycklarna kan dekrypteras med den andra. En signatur skapas när data krypteras med avsändarens privata nyckel. Mottagaren verifierar signaturen genom att avkryptera meddelandet med avsändarens offentliga nyckel. Den här processen förlitar sig på att mottagaren har en kopia av avsändarens offentliga nyckel och att den med hög säkerhet vet att den verkligen tillhör avsändaren och inte på någon som vill vara avsändare.

Digitala certifikat länkar den digitala signaturen till avsändaren. Ett digitalt certifikat innehåller information för att identifiera en användare eller enhet, såsom namn, serienummer, företag, avdelning eller IP-adress. Den innehåller också en kopia av enhetens offentliga nyckel. DEN CA som signerar certifikatet är en tredje part som mottagaren uttalat litar på att verifiera identiteter och skapa digitala certifikat.

För att validera CA-signaturen måste mottagaren först känna till CA:s offentliga nyckel. Vanligtvis hanteras den här processen utanför bandet eller via en åtgärd som gjorts vid installationen. De flesta webbläsare är exempelvis konfigurerade med de offentliga nycklarna för flera CA som standard.

Betrodda modell,betrodda punkter och identitets-CA:er

PKI-betrodda modell är hierarkisk med flera konfigurerbara betrodda certifikat certifikat användas. Du kan konfigurera alla deltagande enheter med en lista över betrodda certifikatautentiska certifikat så att en motpartens certifikat som erhålls under utväxlingar av säkerhetsprotokoll kan autentiseras om den har utfärdats av en av de lokalt betrodda certifikatautentiska certifikaten. Cisco NX-OS-programvaran lagrar lokalt den själv signerade rotcertifikat av den betrodda CA:n (eller certifikatkedjan för en underordnad CA). Processen att på ett säkert sätt erhålla en betrodd CA:s rotcertifikat (eller hela kedjan för en underordnad CA) och lagringen lokalt kallas CA-verifiering.

Informationen om en betrodd CA som du har konfigurerat kallas för betrodd punkt och själva CA kallas för en betrodd punktCA. Den här informationen består av ett CA-certifikat (eller en certifikatkedja om en underordnad CA) och kontroll av certifikatåterkallningsinformation.

Cisco NX-OS-enheten kan också registreras med en betrodd punkt för att erhålla ett identitetscertifikat för att associera med ett nyckelpar. Den här betrodda punkten kallas för en identitets-CA.

RSA-nyckelpar och identitetscertifikat

Du kan erhålla ett identitetscertifikat genom att skapa ett eller flera RSA-nyckelpar och koppla varje RSA-nyckelpar till ett trust point CA där Cisco NX-OS-enheten har för avsikt att registrera sig. Cisco NX-OS-enheten behöver bara en identitet per CA, vilket består av ett nyckelpar och ett identitetscertifikat per CA.

Med Cisco NX-OS kan du generera RSA-nyckelpar med en konfigurerbar nyckelstorlek (eller modulus). Standardnyckelstorleken är 512. Du kan även konfigurera en RSA-nyckelparetikett. Standardnyckeletiketten är enheten som fullständigt domännamn (FQDN) (FQDN).

Följande lista sammanfattar relationen mellan betrodda punkter, RSA-nyckelpar och identitetscertifikat:

  • En betrodd punkt motsvarar en specifik CA som Cisco NX-OS-enheten litar på för motpartens certifikat för något program (t.ex. SSH).

  • En Cisco NX-OS-enhet kan ha många betrodda poäng, och alla program på enheten kan lita på att ett motpartens certifikat har utfärdats av någon av de betrodda point-CA:erna.

  • En betrodd punkt är inte begränsad till ett specifikt program.

  • En Cisco NX-OS-enhet registrerar sig med CA som motsvarar den betrodda punkten för att erhålla ett identitetscertifikat. Du kan registrera din enhet med flera betrodda poäng, vilket innebär att du kan få ett separat identitetscertifikat från varje betrodd punkt. Identitetscertifikaten används av programmen beroende på de ändamål som anges i certifikatet av den utfärdaren CA. Syftet med ett certifikat lagras i certifikatet som en certifikattillägg.

  • När du registrerar dig med en betrodd punkt måste du ange ett RSA-nyckelpar som ska certifieras. Detta nyckelpar måste skapas och associeras med den betrodda punkten innan inskrivningsbegäran skapas. Anslutningen mellan den betrodda punkten, nyckelparet och identitetscertifikatet är giltigt tills det uttryckligen har tagits bort genom att certifikatet, nyckelparet eller den betrodda punkten tas bort.

  • Ämnesnamnet i identitetscertifikatet är fullständigt domännamn (FQDN) Cisco NX-OS-enheten.

  • Du kan skapa ett eller flera RSA-nyckelpar på en enhet och var och en kan associeras med en eller flera betrodda punkter. Men inte mer än ett nyckelpar kan associeras med en betrodd punkt, vilket innebär att endast ett identitetscertifikat tillåts från en CA.

  • Om Cisco NX-OS-enheten erhåller flera identitetscertifikat (var och en från en specifik CA) är certifikatet som ett program väljer att använda i ett säkerhetsprotokoll exchange med en peer-specifik.

  • Du behöver inte ange en eller flera betrodda poäng för ett program. Alla program kan använda certifikat som utfärdats av någon betrodd punkt så länge certifikatet uppfyller programkraven.

  • Du behöver inte fler än ett identitetscertifikat från en betrodd punkt eller mer än ett nyckelpar för att associeras med en betrodd punkt. En CA verifierar endast en given identitet (eller namn) en gång och utfärdar inte flera certifikat med samma namn. Om du behöver fler än ett identitetscertifikat för en CA och CA tillåter flera certifikat med samma namn, måste du definiera en annan betrodd punkt för samma CA, associera ett annat nyckelpar till den och få den certifierad.

Flera betrodda CA-stöd

Cisco NX-OS-enheten kan lita på flera CA genom att konfigurera flera betrodda punkter och koppla varje till en specifik CA. Med flera betrodda certifikatutfärdare behöver du inte registrera en enhet med den specifika CA som utfärdade certifikatet till en peer-enhet. Istället kan du konfigurera enheten med flera betrodda certifikat om certifikat som är betrodda av peer-användare. Cisco NX-OS-enheten kan sedan använda en konfigurerad betrodd CA för att verifiera certifikat från en peer-enhet som inte har utfärdats av samma CA som definierats i identiteten på peer-enheten.

Stöd för PKI-registrering

Registrering är processen med att erhålla ett identitetscertifikat för enheten som används för program som SSH. Det sker mellan enheten som begär certifikatet och certifikatutfärdaren.

Cisco NX-OS-enheten utför följande steg när du utför PKI-inskrivningsprocessen:

  • Genererar ett RSA-par av privat och offentlig nyckel på enheten.

  • Skapar en certifikatförfrågan i standardformat och vidarebefordrar den till CA.

CA-administratören kan behöva godkänna registreringsförfrågan på CA-servern manuellt när begäran tas emot av CA:en.

  • Får tillbaka det utfärdade certifikatet från CA:en, signerat med CA:s privata nyckel.

  • Visar certifikatet som en icke-volatil lagringsplats på enheten (bootflash).

Manuell registrering med klipp och klistra in

Cisco NX-OS-programvaran stöder certifikathämtning och registrering med manuell klippning och inklistring. Att klippa ut och klistra in registrering innebär att du måste klippa ut och klistra in certifikatförfrågningarna och de certifikat som uppstår mellan enheten och CA:en.

Du måste utföra följande steg när du klipper ut och klistrar in den manuella inskrivningsprocessen:

  • Skapa en begäran om registreringscertifikat som Cisco NX-OS-enheten visas i bas64-kodat textformulär.

  • Klipp ut och klistra in texten för den kodade certifikatförfrågan i ett e-postmeddelande eller i ett webbformulär och skicka den till CA:en.

  • Ta emot det utskickade certifikatet (i bas64-kodat textformulär) från CA i ett e-postmeddelande eller i hämtning av en webbläsare.

  • Klipp ut och klistra in det utfärdade certifikatet på enheten med hjälp av certifikatimporten.

Stöd för flera RSA-nyckelpar och identitets-CA

Flera identitetscertifikatutfärdare gör det möjligt för enheten att registrera sig med fler än en betrodd punkt, vilket resulterar i flera identitetscertifikat från en specifik CA. Med den här funktionen kan Cisco NX-OS-enheten delta i SSH och andra program med många peer-certifikat utfärdat av certifikat som är godtagbara för dessa peer-enheter.

Funktionen för flera RSA-nyckelpar gör det möjligt för enheten att upprätthålla ett tydligt nyckelpar för varje CA som den är inskriven i. Den kan matcha principkraven för varje CA utan att uppfylla kraven som angetts av de andra ca:erna, till exempel nyckellängden. Enheten kan skapa flera RSA-nyckelpar och associera varje nyckelpar med en specifik betrodd punkt. Därefter används det associerade nyckelparet för att skapa certifikatförfrågan när man registrerar sig med en betrodd punkt.

Verifiering av peer-certifikat

PKI-stöd på en Cisco NX-OS-enhet kan verifiera peer-certifikat. Cisco NX-OS-programvaran verifierar certifikat från peer-certifikat under säkerhetsutbyten för program, till exempel SSH. Programmen verifierar giltigheten för peer-certifikaten. Cisco NX-OS-programvaran utför följande steg vid verifiering av peer-certifikat:

  • Verifierar att motpartens certifikat har utfärdats av en av de lokalt betrodda certifikat erna.

  • Verifierar att motpartens certifikat är giltigt (har inte gått ut) med avseende på aktuell tid.

  • Verifierar att motpartens certifikat ännu inte har återkallats av den utsända CA:en.

För kontroll av återkallning stödjer Cisco NX-OS-programvaran listan över återkallade certifikat (CRL). En betrodd point-CA kan använda den här metoden för att verifiera att motpartens certifikat inte har återkallats.

Kontroll av certifikatåterkallning

Cisco NX-OS-programvaran kan kontrollera ca-certifikats återkallningsstatus. Programmen kan använda mekanismerna för återkallningskontroll i den ordning du anger. Alternativen är CRL, ingen eller en kombination av dessa metoder.

CRL-support

Ca:erna underhåller listor över återkallade certifikat (CRLs) för att tillhandahålla information om certifikat som återkallats före utgångsdatumen. CA:erna publicerar CRL:erna i ett lagringslager och tillhandahåller nedladdningen av offentlig URL i alla utfärdade certifikat. En klient som verifierar en peer-certifikat kan få den senaste CRL från den utfärdar-CA och använda den för att fastställa om certifikatet har återkallats. En klient kan cachelagra CRL:erna för vissa eller alla dess betrodda CERTIFIKAT lokalt och använda dem vid behov tills CRL:erna upphör att gälla.

Cisco NX-OS-programvaran tillåter manuell konfiguration av förinläsningsbara CRL:er för betrodda poäng och cachelagrar dem sedan i enhetens bootflash (cert-store). Under verifieringen av ett motpartens certifikat kontrollerar programvaran för Cisco NX-OS CRL från certifikatutfärdaren endast om CRL redan har cachelagrats lokalt och återkallningskontrollen har konfigurerats för att använda CRL. I annat fall kan det inte genom Cisco NX-OS kontrollera och avvara certifikatet som ska återkallas om du inte har konfigurerat andra metoder för återkallningskontroll.

Stöd för import och export av certifikat och associerade nyckelpar

Som en del av CA-autentiserings- och registreringsprocessen kan det underordnade CA-certifikatet (eller certifikatkedjan) och identitetscertifikaten importeras i standard-PEM-format (base64).

Den fullständiga identitetsinformationen i en betrodd punkt kan exporteras till en fil i det lösenordsskyddade standardformatet PKCS#12. Den kan senare importeras till samma enhet (till exempel efter en systemkrasch) eller till en ersättningsenhet. Informationen i en PKCS#12-fil består av RSA-nyckelparet, identitetscertifikatet och CA-certifikatet (eller kedjan).

Licenskrav för PKI

Följande tabell visar licenskraven för den här funktionen:

Produkt

Licenskrav

Cisco NX-OS

PKI-funktionen kräver ingen licens. Alla funktioner som inte ingår i ett licenspaket medföljer Cisco NX-OS-systembilderna och tillhandahålls utan extra kostnad till dig. För en förklaring av Cisco NX-OS-licensieringsschemat, se Cisco NX-OS-licensguide.

Riktlinjer och begränsningar för PKI

PKI har följande riktlinjer och begränsningar för konfiguration:

  • Det maximala antalet nyckelpar som du kan konfigurera på en Cisco NX-OS-enhet är 16.

  • Det maximala antalet betrodda poäng som du kan uppge på en Cisco NX-OS-enhet är 16.

  • Maximalt antal identifieringscertifikat som du kan konfigurera på en Cisco NX-OS-enhet är 16.

  • Maximalt antal certifikat i en CA-certifikatkedja är 10.

  • Det maximala antalet betrodda poäng som du kan verifiera för en specifik CA är 10.

  • Återställning av konfiguration stöder inte PKI-konfigurationen.

  • Cisco NX-OS-programvaran har inte stöd för OSCP.
Om du känner till Cisco IOS CLI bör du tänka på att Cisco NX-OS-kommandona för den här funktionen kan skilja sig från de Cisco IOS-kommandon som du skulle använda.

Standardinställningar för PKI

Denna tabell listar standardinställningarna för PKI-parametrar.

Tabell 1. PKI-standardparametrar

Parametrar

Standard

Betrodd punkt

Inget

RSA-nyckelpar

Inget

RSA-namn för nyckelpar

Enhet FQDN

RSA modulus för nyckelpar

512

RSA-nyckelpar går att exportera

Enabled

Kontrollmetod för återkallning

Crl

Konfigurera certifikatcertifikat och digitala certifikat

I avsnittet beskrivs de uppgifter som du måste utföra för att tillåta att CERTIFIKAT och digitala certifikat på din Cisco NX-OS-enhet fungerar samman.

Konfigurera värdnamn och IP-domännamn

Du måste konfigurera enhetens värdnamn och IP-domännamn om du ännu inte har konfigurerat dem eftersom Cisco NX-OS-programvaran använder enhetens fullständigt domännamn (FQDN) (FQDN) som ämne i identitetscertifikatet. Dessutom använder Cisco NX-OS-programvaran enheten FQDN som standardnyckeletikett när du inte anger någon etikett under generering av nyckelpar. Ett certifikat med namnet DeviceA.example.com baseras till exempel på enhetens värdnamn På enhetA och enhetens IP-example.com.

Om du ändrar värdnamnet eller IP-domännamnet efter att certifikatet har genererats kan certifikatet bli ogiltigt.

  Kommando eller åtgärd Syfte
1

konfigurera terminal

Exempel:

switch# konfigurera terminal 
 switch(config) #

Anger global konfigurationsläge.
2

värdnamnvärdnamn

Exempel:

switch(config)# värdnamn enhetA

Konfigurera enhetens värdnamn.
3

ip-domännamn [use-vrfvrf-name]

Exempel:

DeviceA(config)# ip-domännamn example.com

Konfigurerar enhetens IP-domännamn. Om du inte anger ett VRF-namn används standard-VRF för kommandot.
4

Avsluta

Exempel:

switch(config)# avsluta 
 växling #

Avslutar konfigurationsläget.
5

(Valfritt) visa värdar

Exempel:

switch# visa värdar
 (Valfritt)

Visar IP-domännamnet.
6

(Valfritt) kopiera start-konfiguration-konfiguration

Exempel:

switch# copy running-config startup-config
 (Valfritt)

Kopierar den konfiguration som körs till startkonfigurationen.

Skapa ett RSA-nyckelpar

Du kan skapa ett RSA-nyckelpar för att signera och/eller kryptera och dekryptera säkerhetsnyttolasten under utväxlingar av säkerhetsprotokoll för program. Du måste generera RSA-nyckelparet innan du kan erhålla ett certifikat till din enhet.

  Kommando eller åtgärd Syfte
1

konfigurera terminal

Exempel:

switch# konfigurera terminal 
 switch(config) #

Anger global konfigurationsläge.
2

krypto key generate rsa [labellabel-string ] [exportable ] [modulus size]

Exempel:

switch(config)# kryptonyckel genererar rsa som kan exporteras

Genererar ett RSA-nyckelpar. Maximalt antal nyckelpar på en enhet är 16.

Etikettsträngen är alfanumerisk, fallkänslig och har en maxlängd på 64 tecken. Standardetikettsträngen är värdnamnet och FQDN med ett punkttecken (.).

Giltiga modulusvärden är 512, 768, 1024, 1536 och 2048. Standardstorleken för modulus är 512.


 

Säkerhetspolicyn på Cisco NX-OS-enheten och PÅ CA (där registreringen planeras) bör tas i beg?var f?rv?jligt viktiga modulus.

Som standard går det inte att exportera nyckelparet. Endast exporterande nyckelpar kan exporteras i PKCS#12-format.


 

Du kan inte ändra exportera ett nyckelpar.
3

Avsluta

Exempel:

switch(config)# avsluta 
 växling #

Avslutar konfigurationsläget.
4

(Valfritt) visa mypubkey rsa för krypteringsnyckel

Exempel:

switch# visa crypto key mypubkey rsa
 (Valfritt)

Visar den genererade nyckeln.
5

(Valfritt) kopiera start-konfiguration-konfiguration

Exempel:

switch# copy running-config startup-config
 (Valfritt)

Kopierar den konfiguration som körs till startkonfigurationen.

Skapa en Trust Point CA-association

Du måste associera Cisco NX-OS-enheten med en BETRODD PUNKT CA.

Innan du börjar

Generera RSA-nyckelparet.

  Kommando eller åtgärd Syfte
1

konfigurera terminal

Exempel:

switch# konfigurera terminal 
 switch(config) #

Anger global konfigurationsläge.
2

namn på krypto ca trustpoint

Exempel:

switch(config)# crypto ca trustpoint admin-ca 
 switch(config-trustpoint) #

Uppger en betrodd punkt-CA som enheten ska lita på och går in i läget för betrodd point-konfiguration.


 

Maximalt antal betrodda poäng som du kan konfigurera på en enhet är 16.
3

inskrivnings terminal

Exempel:

switch(config-trustpoint)# inskrivningsterminal

Aktiverar manuell och klistra in certifikatregistrering. Standardinställningen är aktiverad.


 

Cisco NX-OS-programvaran stöder endast den manuella metoden för att klippa ut och klistra in certifikat.
4

rsakeypair-etikett

Exempel:

switch(config-trustpoint)# rsakeypair SwitchA

Anger etiketten för det RSA-nyckelpar som ska associeras med denna betrodda punkt för registrering.


 

Du kan endast ange ett RSA-nyckelpar per CA.
5

Avsluta

Exempel:

switch(config-trustpoint)# avsluta 
 switch(config) #

Avslutar läget för betrodd punktkonfiguration.
6

(Valfritt) visa krypto ca trustpoints

Exempel:

switch(config)# visa crypto ca trustpoints
 (Valfritt)

Visar information om betrodda poäng.
7

(Valfritt) kopiera start-konfiguration-konfiguration

Exempel:

switch(config)# copy running-config startup-config
 (Valfritt)

Kopierar den konfiguration som körs till startkonfigurationen.

Autentiserar CA

Konfigureringsprocessen för att lita på en CA är bara slutförd när CA autentiseras till Cisco NX-OS-enheten. Du måste autentisera din Cisco NX-OS-enhet till CA genom att erhålla det själv signerade certifikatet för CA i PEM-format, vilket innehåller CA:s offentliga nyckel. Eftersom certifikatet på CA:n är själv signerat (CA signerar sitt eget certifikat) bör den offentliga nyckeln till CA:n autentiseras manuellt genom att kontakta CA-administratören för att jämföra fingeravtrycket från CA-certifikatet.

Den CA som du autentiserar är inte en själv signerade CA när den är en underordnad CA till en annan CA, vilket i sig kan vara underordnad till ännu en CA och så vidare, slutligen avsluta i en själv signerade CA. Den här typen av CA-certifikat kallas CA-certifikatkedjan för DEN CA som autentiseras. I så fall måste du skriva in en fullständig lista över CA-certifikat för alla CA:er i certifikatkedjan under CA-autentiseringen. Maximalt antal certifikat i en CA-certifikatkedja är 10.

Innan du börjar

Skapa en sammanslutning med CA.

Erk? CA-certifikat eller CA-certifikatkedja.

  Kommando eller åtgärd Syfte
1

konfigurera terminal

Exempel:

switch# konfigurera terminal 
 switch(config) #

Anger global konfigurationsläge.
2

krypto ca-verifieringsnamn

Exempel:

switch(config)# crypto ca authenticate admin-ca input (klipp ut och klistra 
 in) CA-certifikat (kedja) i PEM-format; 
 end the input with a line containing only END OF INPUT : 
 -----BEGIN CERTIFICATE----- 
 MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB 
 kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO 
 MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE 
 ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD 
 QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN 
 AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth 
 cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG 
 A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN 
 AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI 
 OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E 
 BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ 
 GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs 
 L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv 
 bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB 
 BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea 
 NBG7E0oN66zex0EOEfG1Vs6mXp1//w== 
 -----END CERTIFICATE----- 
 END OF INPUT 
 Fingerprint(s): MD5-fingeravtryck=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Godkänner du det här 
 certifikatet? [ja/nej]: ja

Uppmanar dig att klippa ut och klistra in certifikatet för CA. Använd samma namn som du använde när den är där.

Det maximala antalet betrodda poäng som du kan verifiera till en specifik CA är 10.


 

För underordnad CA-autentisering kräver Cisco NX-OS-programvaran en fullständig kedja av CA-certifikat som slutar i en själv signerad CA eftersom CA-kedjan behövs för certifikatverifiering såväl som för PKCS#12-formatexport.
3

Avsluta

Exempel:

switch(config)# avsluta 
 växling #

Avslutar konfigurationsläget.
4

(Valfritt) visa krypto ca trustpoints

Exempel:

switch# visa crypto ca trustpoints
 (Valfritt)

Visar information om betrodd punkt-CA.
5

(Valfritt) kopiera start-konfiguration-konfiguration

Exempel:

switch# copy running-config startup-config
 (Valfritt)

Kopierar den konfiguration som körs till startkonfigurationen.

Konfigurering av kontroll av certifikatåterkallning

Under säkerhetsutbyten med en klient (till exempel en SSH-användare) utför Cisco NX-OS-enheten certifikatverifieringen av motpartens certifikat som skickats av klienten. Verifieringsprocessen kan omfatta statuskontroll av certifikatåterkallning.

Du kan konfigurera enheten så att den kontrollerar att CRL har hämtats från CA. När du hämtar CRL och kontrollerar lokalt genereras inte trafik i ditt nätverk. Däremot kan certifikat återkallas mellan hämtningar och din enhet inte känner till återkallningen.

Innan du börjar

Autentisera CA.

Se till att du har konfigurerat CRL om du vill använda CRL-kontroll.

  Kommando eller åtgärd Syfte
1

konfigurera terminal

Exempel:

switch# konfigurera terminal 
 switch(config) #

Anger global konfigurationsläge.
2

namn på krypto ca trustpoint

Exempel:

switch(config)# crypto ca trustpoint admin-ca 
 switch(config-trustpoint) #

Anger en betrodd punkt-CA och går in i läget för betrodd punktkonfiguration.
3

revocation-check {crl [ none ] none | }

Exempel:

switch(config-trustpoint)# revocation-check none

Konfigurering av kontroll av certifikatåterkallning. Standardmetoden är crl.

Cisco NX-OS-programvaran använder certifikatåterkallningsmetoderna i den ordning du anger.
4

Avsluta

Exempel:

switch(config-trustpoint)# avsluta 
 switch(config) #

Avslutar läget för betrodd punktkonfiguration.
5

(Valfritt) visa krypto ca trustpoints

Exempel:

switch(config)# visa crypto ca trustpoints
 (Valfritt)

Visar information om betrodd punkt-CA.
6

(Valfritt) kopiera start-konfiguration-konfiguration

Exempel:

switch(config)# copy running-config startup-config
 (Valfritt)

Kopierar den konfiguration som körs till startkonfigurationen.

Skapa certifikatbegäranden

Du måste skapa en begäran om att erhålla identitetscertifikat från associerad betrodd punkt-CA för var och en av din enhets RSA-nyckelpar. Du måste sedan klippa ut och klistra in den visade begäran i ett e-postmeddelande eller i ett webbplatsformulär för CA.

Innan du börjar

Skapa en sammanslutning med CA.

Erk? CA-certifikat eller CA-certifikatkedja.

  Kommando eller åtgärd Syfte
1

konfigurera terminal

Exempel:

switch# konfigurera terminal 
 switch(config) #

Anger global konfigurationsläge.
2

krypto ca anmälning namn

Exempel:

switch(config)# crypto ca enroll admin-ca 
 Skapa certifikatförfrågan ..
 Skapa ett lösenord för en utmaning. Du måste muntligen ge detta lösenord 
  till CA-administratören för att återkalla ditt certifikat.
  Av säkerhetsskäl kommer ditt lösenord inte att sparas i konfigurationen.
  Observera detta.
  Lösenord:nbv123 
 Certifikatets ämnesnamn kommer att vara: DeviceA.cisco.com 
 Inkludera växelnumret i ämnesnamnet? [ja/nej]: inga 
 IP-adresser ska ingå i ämnesnamnet [ja/nej]: Ja 
 ip-adress:172.22.31.162 
 Certifikatförfrågan kommer att visas...
-----BEGIN CERTIFICATE REQUEST----- 
 MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ 
 KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 
 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y 
 P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S 
 VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ 
 DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ 
 KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt 
 PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 
 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= 
 -----END CERTIFICATE REQUEST-----

Skapar en certifikatförfrågan för en autentiserad CA.


 

Du måste komma ihåg lösenordet för den här frågan. Den sparas inte i konfigurationen. Du måste ange detta lösenord om ditt certifikat måste återkallas.
3

Avsluta

Exempel:

switch(config-trustpoint)# avsluta 
 switch(config) #

Avslutar läget för betrodd punktkonfiguration.
4

(Valfritt) visa certifikat för krypteringscertifikat

Exempel:

switch(config)# visa certifikat för krypteringscertifikat
 (Valfritt)

Visar CA-certifikaten.
5

(Valfritt) kopiera start-konfiguration-konfiguration

Exempel:

switch(config)# copy running-config startup-config
 (Valfritt)

Kopierar den konfiguration som körs till startkonfigurationen.

Installera identitetscertifikat

Du kan ta emot identitetscertifikatet från CA:en via e-post eller via en webbläsare i bas64-kodat textformulär. Du måste installera identitetscertifikatet från CA:en genom att klippa ut och klistra in den kodade texten.

Innan du börjar

Skapa en sammanslutning med CA.

Erk? CA-certifikat eller CA-certifikatkedja.

  Kommando eller åtgärd Syfte
1

konfigurera terminal

Exempel:

switch# konfigurera terminal 
 switch(config) #

Anger global konfigurationsläge.
2

certifikat för import av krypto ca

Exempel:

switch(config)# crypto ca import admin-ca certificate 
 input (klipp ut och klistra in) certifikat i PEM-format:
-----BEGIN CERTIFICATE----- 
 MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G 
 CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD 
 VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz 
 Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w 
 NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu 
 Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C 
 dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 
 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb 
 x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw 
 GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR 
 bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW 
 pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE 
 BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w 
 DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh 
 cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 
 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 
 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH 
 AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl 
 LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 
 XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF 
 AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw 
 E36cIZu4WsExREqxbTk8ycx7V5o= 
 -----END CERTIFICATE-----

Uppmanar dig att klippa ut och klistra in identitetscertifikatet för den CA-namngivna admin-ca:en.

Maximalt antal identifieringscertifikat som du kan konfigurera på en enhet är 16.
3

Avsluta

Exempel:

switch(config)# avsluta 
 växling #

Avslutar konfigurationsläget.
4

(Valfritt) visa certifikat för krypteringscertifikat

Exempel:

switch# visa krypto ca-certifikat
 (Valfritt)

Visar CA-certifikaten.
5

(Valfritt) kopiera start-konfiguration-konfiguration

Exempel:

switch# copy running-config startup-config
 (Valfritt)

Kopierar den konfiguration som körs till startkonfigurationen.

Säkerställ att Trust Point-konfigurationer finns kvar under omstarter

Du kan säkerställa att TrustPoint-konfigurationen kvarstår i alla Cisco NX-OS-enheter startas om.

Konfigurationen av betrodda poäng är en normal konfiguration av Cisco NX-OS-enheter som finns kvar under hela systemets omstarter endast om du kopierar den explicit till startkonfigurationen. De certifikat, nyckelpar och CRL som är kopplade till en betrodd punkt är automatiskt beständiga om du redan har kopierat dess konfiguration av betrodda poäng i startkonfigurationen. Ett fel är att om konfigurationen av betrodd punkt inte kopieras till startkonfigurationen är de certifikat, nyckelpar och CRL som är associerade med den inte beständiga eftersom de kräver motsvarande konfiguration av betrodda poäng efter en omstart. Kopiera alltid den konfigurering som körs till startkonfigurationen för att säkerställa att konfigurerade certifikat, nyckelpar och CRL:er är permanenta. Du kan också spara den konfigurering som körs efter att ett certifikat eller nyckelpar har tagits bort för att säkerställa att borttagningarna är permanenta.

De certifikat och CRL som är associerade med en betrodd punkt blir automatiskt permanenta när de importeras (d.v.s. utan att uttryckligen kopiera till startkonfigurationen) om den specifika betrodda punkten redan har sparats i startkonfigurationen.

Vi rekommenderar att du skapar en lösenordsskyddad säkerhetskopia av identitetscertifikaten och sparar dem på en extern server.

När du kopierar konfigurationen till en extern server ingår certifikaten och nyckelparen.

Exportera identitetsinformation i PKCS 12-format

Du kan exportera identitetscertifikatet tillsammans med RSA-nyckelparet och CA-certifikatet (eller hela kedjan om det finns en underordnad CA) hos en betrodd punkt till en PKCS#12-fil i säkerhetskopieringssyfte. Du kan importera certifikatet och RSA-nyckelparet för att återställas från en systemkrasch på din enhet eller när du ersätter övervakarmodulerna.

Du kan endast använda formatet bootflash:filnamn när du anger export-URL.

Innan du börjar

Autentisera CA.

Installera ett identitetscertifikat.

  Kommando eller åtgärd Syfte
1

konfigurera terminal

Exempel:

switch# konfigurera terminal 
 switch(config) #

Anger global konfigurationsläge.
2

crypto ca exportname pkcs12 bootflash:lösenord förfilnamn

Exempel:

switch(config)# crypto ca export admin-ca pkcs12 bootflash:adminid.p12 nbv123

Exporterar identitetscertifikatet och tillhörande nyckelpar och CA-certifikat för en betrodd punkts CA. Lösenordet är alfanumeriskt, fallkänsligt och har en maxlängd på 128 tecken.
3

Avsluta

Exempel:

switch(config)# avsluta 
 växling #

Avslutar konfigurationsläget.
4

kopiera booflash:filnamnsschema ://server/ [ url / ]filnamn

Exempel:

switch# copy bootflash:adminid.p12 tftp:adminid.p12

Kopierar PKCS#12-formatfilen till en fjärrserver.

Enligt schemaargumentet kan du ange tftp:, ftp:, scp:eller sftp:. Serverargumentet är fjärrserverns adress eller namn och URL-argumentet är sökvägen till källfilen på fjärrservern.

Server,URL och filnamnsargument är fallkänsliga.

Importera identitetsinformation i PKCS 12-format

Du kan importera certifikatet och RSA-nyckelparet för att återställas från en systemkrasch på din enhet eller när du ersätter övervakarmodulerna.

Du kan endast använda formatet bootflash:filnamn när du anger importens URL.

Innan du börjar

Se till att betrodd punkt är tom genom att kontrollera att inget RSA-nyckelpar är associerat med det och att ingen CA är associerad med den betrodda punkten med CA-autentisering.

  Kommando eller åtgärd Syfte
1

kopieraschema :// server/ [url/]bootflashfilnamn:filnamn

Exempel:

switch# copy tftp:adminid.p12 bootflash:adminid.p12

Kopierar PKCS#12-formatfilen från fjärrservern.

Enligt schemaargumentet kan du ange tftp:, ftp:, scp:eller sftp:. Serverargumentet är fjärrserverns adress eller namn och URL-argumentet är sökvägen till källfilen på fjärrservern.

Server,URL och filnamnsargument är fallkänsliga.
2

konfigurera terminal

Exempel:

switch# konfigurera terminal 
 switch(config) #

Anger global konfigurationsläge.
3

importnamnpksc12 bootflash:filnamn

Exempel:

switch(config)# crypto ca import admin-ca pkcs12 bootflash:adminid.p12 nbv123

Importerar identitetscertifikatet och tillhörande nyckelpar och CA-certifikat för betrodd punkt-CA.
4

Avsluta

Exempel:

switch(config)# avsluta 
 växling #

Avslutar konfigurationsläget.
5

(Valfritt) visa certifikat för krypteringscertifikat

Exempel:

switch# visa krypto ca-certifikat
 (Valfritt)

Visar CA-certifikaten.
6

(Valfritt) kopiera start-konfiguration-konfiguration

Exempel:

switch# copy running-config startup-config
 (Valfritt)

Kopierar den konfiguration som körs till startkonfigurationen.

Konfigurera en CRL

Du kan manuellt konfigurera CRL:er som du har hämtat från betrodda punkter. Cisco NX-OS-programvaran cachelagrar CRL:erna i enhetens bootflash (cert-store). Under verifieringen av ett motpartens certifikat kontrollerar Cisco NX-OS-programvaran CRL från certifikatutfärdaren endast om du har hämtat CRL till enheten och du har konfigurerat kontroll av certifikatåterkallning för att använda CRL.

Innan du börjar

Kontrollera om du har aktiverat kontroll av certifikatåterkallning.

  Kommando eller åtgärd Syfte
1

kopieraschema:[// server /[ url/]] filnamnbootflash:filnamn

Exempel:

switch# copy tftp:adminca.crl bootflash:adminca.crl

Hämtar CRL från en fjärrserver.

Enligt schemaargumentet kan du ange tftp:, ftp:, scp:eller sftp:. Serverargumentet är fjärrserverns adress eller namn och URL-argumentet är sökvägen till källfilen på fjärrservern.

Server,URL och filnamnsargument är fallkänsliga.
2

konfigurera terminal

Exempel:

switch# konfigurera terminal 
 switch(config) #

Anger global konfigurationsläge.
3

namn på crypto cacrl-begäranbootflash:filnamn

Exempel:

switch(config)# crypto ca crl request admin-ca bootflash:adminca.crl

Konfigurerar eller ersätter den aktuella CRL med den som anges i filen.
4

Avsluta

Exempel:

switch(config)# avsluta 
 växling #

Avslutar konfigurationsläget.
5

(Valfritt) visa namn på crypto ca crl

Exempel:

switch# visa crypto ca crl admin-ca
 (Valfritt)

Visar CA CRL-informationen.
6

(Valfritt) kopiera start-konfiguration-konfiguration

Exempel:

switch# copy running-config startup-config
 (Valfritt)

Kopierar den konfiguration som körs till startkonfigurationen.

Ta bort certifikat från CA-konfigurationen

Du kan ta bort identitetscertifikaten och CA-certifikaten som har konfigurerats på en betrodd punkt. Du måste först ta bort identitetscertifikatet följt av CA-certifikaten. Efter att du har tagit bort identitetscertifikatet kan du av koppla RSA-nyckelparet från en betrodd punkt. Du måste ta bort certifikat för att ta bort utgångna eller återkallade certifikat, certifikat som har äventyrat (eller misstänks vara komprometterade) nyckelpar eller certifikat som inte längre är betrodda.

  Kommando eller åtgärd Syfte
1

konfigurera terminal

Exempel:

switch# konfigurera terminal 
 switch(config) #

Anger global konfigurationsläge.
2

namn på krypto ca trustpoint

Exempel:

switch(config)# crypto ca trustpoint admin-ca 
 switch(config-trustpoint) #

Anger en betrodd punkt-CA och går in i läget för betrodd punktkonfiguration.
3

ta bort ca-certifikat

Exempel:

switch(config-trustpoint)# ta bort ca-certifikat

Tar bort CA-certifikatet eller CA-certifikatkedjan.
4

ta bort certifikat [force]

Exempel:

switch(config-trustpoint)# ta bort certifikat

Tar bort identitetscertifikatet.

Du måste använda alternativet Force om identitetscertifikatet som du vill ta bort är det sista certifikatet i en certifikatkedja eller endast identitetscertifikat i enheten. Detta krav säkerställer att du inte felaktigt tar bort det sista certifikatet i en certifikatkedja eller endast identitetscertifikatet och lämnar programmen (t.ex. SSH) utan ett certifikat för användning.
5

Avsluta

Exempel:

switch(config-trustpoint)# avsluta 
 switch(config) #

Avslutar läget för betrodd punktkonfiguration.
6

(Valfritt) visa certifikat för krypteringscertifikat [ namn]

Exempel:

switch(config)# visa admin-ca-certifikat för kryptering
 (Valfritt)

Visar information om CA-certifikatet.
7

(Valfritt) kopiera start-konfiguration-konfiguration

Exempel:

switch(config)# copy running-config startup-config
 (Valfritt)

Kopierar den konfiguration som körs till startkonfigurationen.

Ta bort RSA-nyckelpar från en Cisco NX-OS-enhet

Du kan ta bort RSA-nyckelpar från en Cisco NX-OS-enhet om du tror att RSA-nyckelparen har äventyrats på något sätt och bör inte längre användas.

När du har tagit bort RSA-nyckelpar från en enhet ber du CA-administratören att återkalla enhetens certifikat vid CA:en. Du måste ange det lösenord för förfrågan som du skapade när du ursprungligen begärde certifikaten.

  Kommando eller åtgärd Syfte
1

konfigurera terminal

Exempel:

switch# konfigurera terminal 
 switch(config) #

Anger global konfigurationsläge.
2

krypto key zeroizersa-etikett

Exempel:

switch(config)# crypto key zeroize rsa MyKey

Tar bort RSA-nyckelparet.
3

Avsluta

Exempel:

switch(config)# avsluta 
 växling #

Avslutar konfigurationsläget.
4

(Valfritt) visa mypubkey rsa för krypteringsnyckel

Exempel:

switch# visa crypto key mypubkey rsa
 (Valfritt)

Visar konfiguration av RSA-nyckelpar.
5

(Valfritt) kopiera start-konfiguration-konfiguration

Exempel:

switch# copy running-config startup-config
 (Valfritt)

Kopierar den konfiguration som körs till startkonfigurationen.

Verifierar PKI-konfigurationen

Om du vill visa PKI-konfigurationsinformation utför du någon av följande åtgärder:

Kommando

Syfte

visa mypubkey rsa för krypteringsnyckel

Visar information om de offentliga RSA-nycklar som skapats på Cisco NX-OS-enheten.

visa certifikat för krypteringscertifikat

Visar information om CA och identitetscertifikat.

visa crypto ca crl

Visar information om CA CRLs.

visa krypto ca trustpoints

Visar information om CA-betrodda punkter.

Konfigurationsexempel för PKI

I det här avsnittet visas exempel på de uppgifter som du kan använda för att konfigurera certifikat och CRL på Cisco NX-OS-enheter med hjälp av en certifikatserver i Microsoft Windows.

Du kan använda alla typer av certifikatserver för att skapa digitala certifikat. Du är inte begränsad till att använda Certifikatserver för Microsoft Windows.

Konfigurera certifikat på en Cisco NX-OS-enhet

Följ dessa steg för att konfigurera certifikat på en Cisco NX-OS-enhet:

1

Konfigurera enheten för FQDN.

switch# konfigurera terminal Ange konfigurationskommandon, en per linje.  Avsluta med CNTL/Z. 
 switch(config)# hostname-enhet-1 enhet-1(konfiguration) #
2

Konfigurera DNS-domännamnet för enheten.

Enhet-1(config)# ip-domännamn cisco.com
3

Skapa en betrodd punkt.

Enhet-1(config)# crypto ca trustpoint myCA Device-1(config-trustpoint)# exit Device-1(config)# visa trustpoints för crypto ca trustpoints trustpoint: myCA; Nyckel:
återuppringningsmetoder:  Crl
4

Skapa ett RSA-nyckelpar till enheten.

Enhet-1(config)# crypto key generate rsa label myKey exportable modulus 1024 Device-1(config)# show crypto key mypubkey rsa key label: nyckelstorlek: 1 024 
 exportbar: ja
5

Associera RSA-nyckelparet till den betrodda punkten.

Enhet-1(config)# crypto ca trustpoint myCA Device-1(config-trustpoint)# rsakeypair myKey Device-1(config-trustpoint)# exit Device-1(config)# show crypto ca trustpoints trustpoint: myCA; Nyckel: myKey-återaktiveringsmetoder:  Crl
6

Hämta CA-certifikatet från microsoftcertifikattjänstens webbgränssnitt.
7

Autentisera den CA som du vill registrera till den betrodda punkten.

Enhet-1(config)# crypto ca autentisera minCA-inmatning (klipp ut och klistra in) CA-certifikat (kedja) i PEM-format; 
 end the input with a line containing only END OF INPUT : 
 -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea NBG7E0oN66zex0EOEfG1Vs6mXp1//w== -----END CERTIFICATE----- SLUTET PÅ INMATNINGS fingeravtryck: MD5-fingeravtryck=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Godkänner du det här 
 certifikatet? [ja/nej]:y  Device-1(config)# visa trustpoint för kryptocertifikat: myCA 
 CA-certifikat 0:
ämne= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ 
 L=Bangalore/O=Dittföretag/OU=netstorage/CN=Aparna 
 CA-utgivare= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ 
 L=Bangalore/O=Dittföretag/OU=netstorage/CN=Aparna CA 
 serial=0560D289ACB419944F4912258CAD197A notBefore=3 22::22:125CAD197A notBefore=3 22:22::125CAD197A notBefore=3 22:22::125CAD19A notBefore=3 22::22:/emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ L=Bangalore/O=Dittföretag/OU=netstorage/CN=Aparna CA serial=0560D289ACB419944F4912258CAD197A 
 notBefore=3 22::42 46:37 2005 GMT 
 ejEfter=3 maj 2007:55:17 GMT 
 MD5 Fingeravtryck=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12: sslserver sslclient ike
8

Skapa ett certifikat för förfrågan om att använda för att registrera dig med en betrodd punkt.

Enhet-1(config)# crypto ca registrera myCA  Skapa certifikatförfrågan ..
 Skapa ett lösenord för en utmaning. Du måste muntligen ge detta lösenord 
  till CA-administratören för att återkalla ditt certifikat.
  Av säkerhetsskäl kommer ditt lösenord inte att sparas i konfigurationen.
  Observera detta.
  Lösenord: nbv123  Certifikatets ämnesnamn kommer att vara: Device-1.cisco.com Inkludera  serienumret för växeln i ämnesnamnet? [ja/nej]: ingen  IP-adress inkluderad i ämnesnamnet [ja/nej]: Ja ip-adress: 10.10.1.1  Certifikatförfrågan visas...
-----BEGIN CERTIFICATE REQUEST----- 
 MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ 
 KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 
 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y 
 P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S 
 VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ 
 DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ 
 KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt 
 PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 
 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= 
 -----END CERTIFICATE REQUEST-----
9

Begär ett identitetscertifikat från Microsofts certifikattjänsts webbgränssnitt.
10

Importera identitetscertifikatet.

Enhet-1(config)# crypto ca importera myCA-certifikatinmatning (klipp ut och klistra in) certifikat i PEM-format:
-----BEGIN-CERTIFIKAT----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuySUyMENBLmNydDANBgkqhkiG9w0BAQUF AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgr rnTqVpStansejtsyflw E36cIEtt4WsExREqxbTkk8ycx7V5o= -----END CERTIFICATE----- Device-1(config)# avsluta enhet-1 #
11

Verifiera certifikatkonfigurationen.
12

Spara certifikatkonfigurationen till startkonfigurationen.

Hämta ett CA-certifikat

Följ dessa steg för att hämta ett CA-certifikat från webbgränssnittet för Microsoft Certificate Services:

1

Klicka på Hämta CA-certifikatet eller certifikatåterkallningsuppgiften i Microsoft Certificate Services-webbgränssnittet och klicka på Nästa .

2

Från visningslistan väljer du den CA-certifikatfil som ska hämtas från listan som visas. Klicka sedan på Bas 64 kodad och klicka på Hämta CA-certifikat.

3

Klicka på Öppna i filen för dialogruta.

4

I den Certifikatfil dialogruta, klicka på Kopiera till fil och klicka på OK.

5

I guiden för certifikatexport väljer dialogruta Bas-64-kodad X.509 (CER) och klickar på Nästa.

6

I den Filnamn: i textrutan i guiden för certifikatexport dialogruta anger du målfilens namn och klickar på Nästa.
7

I guiden för certifikatexport klickar dialogruta Avsluta .
8

Ange kommandot Microsoft Windows-typ för att visa CA-certifikatet som finns lagrat i PEM-format (Base-64).

Begära ett identitetscertifikat

Så här gör du för att begära ett identifierande certifikat från en Microsoft-certifikatserver med hjälp av en PKCS#12-certifikatsigneringsförfrågan (CRS):

1

I webbgränssnittet för Microsoft Certificate Services klickar du på Begär ett certifikat och klickar på Nästa.

2

Klicka på Avancerad förfrågan och klicka på Nästa.

3

Klicka på Skicka en certifikatförfrågan med en base64-kodad PKCS#10-fil eller en förnyelsebegäran med en base64-kodad PKCS#7-fil och klicka på Nästa .

4

I textrutan Sparad begäran klistrar du in bas64 PKCS#10-certifikatförfrågan och klickar på Nästa. Certifikatförfrågan kopieras från Cisco NX-OS-enhetskonsolen.

5

Vänta en eller två dagar tills certifikatet har utfärdats av CA-administratören.

6

Observera att CA-administratören godkänner certifikatförfrågan.

7

I Microsoft Certificate Services-webbgränssnittet klickar du på Kontrollera ett väntande certifikat och klickar på Nästa .

8

Välj den certifikatförfrågan som du vill kontrollera och klicka på Nästa.

9

Klicka på Bas 64 kodad och klicka på Hämta CA-certifikat.

10

Klicka på Öppna i dialogruta Filhämtning.

11

I rutan Certifikat klickar du på fliken Detaljer och sedan på Kopiera tillfil.... I dialogrutan Certifikatexport klickar du på Bas-64 kodad X.509 (. CER)och klicka på Nästa .

12

I den Filnamn: i textrutan i guiden för certifikatexport dialogruta anger du målfilens namn och klickar på Nästa.

13

Klicka på Slutför.

14

Ange kommandot av Microsoft Windows-typ för att visa identitetscertifikatet i base64-kodat format.

Återkalla ett certifikat

Om du vill återkalla ett certifikat med hjälp av Microsoft CA-administratörsprogrammet gör du så här:

1

I Certifieringsutfärdareträdet klickar du på mappen Certifikat som har utfärdats. Högerklicka på det certifikat som du vill återkalla från listan.
2

Välj alla uppgifter som > återkalla certifikat.

3

Välj en anledning till återkallningen listruta klicka på Ja i orsakskoden.

4

Klicka på mappen Återkallade certifikat för att lista och verifiera certifikatåterkallningen.

Skapa och publicera CRL

Så här skapar och publicerar du CRL med hjälp av Microsoft CA-administratörsprogrammet:

1

På skärmen Certifikatutfärdare väljer du Åtgärd och > Alla uppgifter > Publicera.

2

Klicka på Ja i listan över dialogruta för att publicera den senaste CRL.

Hämta CRL

Så här hämtar du CRL från Microsoft CA-webbplatsen:

1

I Microsoft Certificate Services-webbgränssnittet klickar du på Hämta CA-certifikatet eller listan över återkallade certifikat och klickar på Nästa .

2

Klicka på Hämta den senaste listan över återkallade certifikat.

3

Klicka på Spara i dialogruta filhämtningsfilen.

4

I dialogrutan Spara som dialogruta du filnamnet för destinationen och klickar på Spara.

5

Ange kommandot av Microsoft Windows-typ för att visa CRL.

Importera CRL

För att importera CRL till den betrodda punkten som motsvarar CA följer du dessa steg:

1

Kopiera CRL-filen till Cisco NX-OS-enhetens bootflash.

Enhet-1# copy tftp:apranaCA.crl bootflash:aparnaCA.crl
2

Konfigurera CRL.


Enhet-1#  konfigurera terminalenhet-1(config)# crypto ca crl-begäran myCA bootflash:aparnaCA.crl-enhet-1(config) #
3

Visa innehållet i CRL.


Enhet-1(config)# visa crypto ca crl myCA Trustpoint: myCA 
 CRL:
Lista över återkallade certifikat (CRL):
        Version 2 (0x1) 
        signaturalgoritm: sha1WithRSAEnkrypteringsutfärdare: /emailAddress=admin@yourcompany.com/C=IN/ST=Karnatak 
 dittföretag/OU=netstorage/CN=Aparna CA Senaste 
        uppdatering: 12 nov 04:36:04 2005 GMT 
        Nästa uppdatering: 19 nov, 16:56:04 2005 GMT 
        CRL-anknytningar:
            X509v3 Nyckelidentifierare för auktoritet:
            keyid:27:28:F2:46:83:1B:AC:23:4C:45:4D:8E:C9:18:50:1 
            1.3.6.1.4.1.311.21.1:
                ...
Återkallade certifikat:
    Serienummer: 611B09A1000000002 Datum 
        för återkallning: 16 augusti, 21:52:19 2005 GMT 
 Serienummer: 4CDE464E0000000003 Datum 
        för återkallning: 16 augusti, 21:52:29 2005 GMT 
    Serienummer: 4CFC2B42000000004 Datum 
        för återkallning: 16 augusti, 21:52:41 2005 GMT 
    Serienummer: 6C699EC20000000005 Datum 
        för återkallning: 16 augusti, 21:52:52 2005 GMT 
    Serienummer: 6CCF7DDC0000000006 
        Datum för återkallning: 8 jun 00:12:04 2005 GMT 
    Serienummer: 70CC4FFF0000000007 Datum 
        för återkallning: 16 augusti, 21:53:15 2005 GMT 
    Serienummer: 4D9B1116000000008 Datum 
        för återkallning: 16 augusti, 21:53:15 2005 GMT 
    Serienummer: 52A80230000000009 Datum 
        för återkallning: Anknytningar till GMT CRL 27 jun 23:47:06 2005:
            X509v3 CRL orsakskod:
            CA-seriens 
 kompromettnummer: 5349AD46000000000A Datum 
        för återkallning: Anknytningar, 27 jun 23:47:22 2005 GMT 
        CRL:
            X509v3 CRL orsakskod:
            CA-seriens 
 kompromettnummer: 53BD173C00000000B Datum 
        för återkallning: 4 juli 18:04:01 2005 GMT 
        CRL inträdestillägg:
            X509v3 CRL orsakskod:
            Serienummer för 
 att behålla certifikat: 591E7GUR00000000C 
        Återkallningsdatum: 16 augusti, 21:53:15 2005 GMT 
    Serienummer: 5D3FD52E000000000D Datum 
        för återkallning: Anknytningar till GMT CRL 29 jun 22:07:25 2005 
        GMT CRL:
            X509v3 CRL orsakskod:
            Serienummer för 
 nyckel kompromett: 5DAB771300000000EÅterkallningsdatum: 14 juli 00:33:56 2005 GMT 
    Serienummer: 5DAE53CD000000000F 
        Datum för återkallning: 16 augusti, 21:53:15 2005 GMT 
    Serienummer: 5DB140D30000000010 Datum 
        för återkallning: 16 augusti, 21:53:15 2005 GMT 
    Serienummer: 5E2D7C1B0000000011 Datum 
        för återkallning: 6 juli 2005- 21:12:10 ANKNYTNINGAR GMT 
        CRL:
            X509v3 CRL orsakskod:
            Upphörande av 
 åtgärdens serienummer: 16DB4F8F0000000012 Datum 
        för återkallning: 16 augusti, 21:53:15 2005 GMT 
    Serienummer: 261C39240000000013 Datum 
        för återkallning: 16 augusti, 21:53:15 2005 GMT 
    Serienummer: 262B52020000000014 Datum 
        för återkallning: 14 juli 00:33:10 2005 GMT 
    Serienummer: 2634C7F20000000015 Datum 
        för återkallning: 14 juli 00:32:45 2005 GMT 
    Serienummer: 2635B000000000016 Datum 
        för återkallning: 14 juli 00:31:51 2005 GMT 
    Serienummer: 264850400000000017 Datum 
        för återkallning: 14 juli 00:32:25 2005 GMT 
    Serienummer: 2A2763570000000018 Datum 
 för återkallning: 16 augusti, 21:53:15 2005 GMT 
    Serienummer: 3F88CBF70000000019 Datum 
        för återkallning: 16 augusti, 21:53:15 2005 GMT 
    Serienummer: 6E4B5F5F000000001A Datum 
        för återkallning: 16 augusti, 21:53:15 2005 GMT 
    Serienummer: 725B89D8000000001B Datum 
        för återkallning: 16 augusti, 21:53:15 2005 GMT 
    Serienummer: 735A8878000000001C 
        Återkallningsdatum: 16 augusti, 21:53:15 2005 GMT 
    Serienummer: 148511C7000000001D 
        Datum för återkallning: 16 augusti, 21:53:15 2005 GMT 
    Serienummer: 14A71701000000001E 
        Återkallningsdatum: 16 augusti, 21:53:15 2005 GMT 
    Serienummer: 14FC45B5000000001F 
        Återkallningsdatum: 17 augusti 18:30:42 2005 GMT 
    Serienummer: 486CE80B0000000020 Datum 
        för återkallning: 17 augusti 18:30:43 2005 GMT 
    Serienummer: 4CA4A3AA0000000021 Datum 
        för återkallning: 17 augusti 18:30:43 2005 GMT 
    Serienummer: 1AA55C8E000000002F Datum 
        för återkallning: 5 sep 17:07:06 2005 GMT 
    serienummer: 3F0845DD000000003F-datum 
        för återkallning: 8 september 20:24:32 2005 GMT 
    Serienummer: 3F619B7E0000000042 Datum 
        för återkallning: 8 september 21:40:48 2005 GMT 
    serienummer: 6313C4630000000052 Datum 
        för återkallning: 19 september 17:37:18 2005 GMT 
    Serienummer: 7C3861E30000000060 Datum 
        för återkallning: 20 sep 17:52:56 2005 GMT 
    Serienummer: 7C6EE3510000000061 Datum 
        för återkallning: 20 sep 18:52:30 2005 GMT 
    Serienummer: 0A338EA10000000074 Datum <-- Revoked identity certificate 
 för återkallning: 12 nov 04:34:42 2005 
    GMT-signaturalgoritm: sha1WithRSAEncryption 
        0b:cb:dd:43:0a:b8:62:1e:80:95:06:6f:4d:ab:0c:d8:8e:32:
        44:8e:a7:94:97:af:02:b9:a6:9c:14:fd:eb:90:cf:18:c9:96:
        29:bb:57:37:d9:1f:d5:bd:4e:9a:4b:18:2b:00:2f:d2:6e:c1:
        1a:9f:1a:49:b7:9c:58:24:d7:72

 

Identitetscertifikatet för enheten som återkallades (serienummer 0A338EA100000000074) visas på slutet.