PKI'nın Yapılandırılması

Bu bölüm aşağıdaki bölümleri içerir:

PKI Hakkında Bilgi

Bu bölüm, PKI hakkında bilgi sağlar.

CA'lar ve Dijital Sertifikalar

Sertifika yetkilileri (CA'lar), sertifika isteklerini yönetir ve toplantı sahipleri, ağ cihazları veya kullanıcılar gibi katılımcı varlıklara sertifika verir. CDA'lar, katılan varlıklar için merkezi anahtar yönetimi sağlar.

Genel anahtar kriptografiye göre dijital imzalar, cihazları ve bireysel kullanıcıları dijital olarak doğrular. RSA şifreleme sistemi gibi genel anahtar kriptografide, her cihaz veya kullanıcının hem özel bir anahtar hem de genel anahtar içeren bir anahtar çifti vardır. Özel anahtar gizli olarak tutulur ve sadece sahibi cihaz veya kullanıcı tarafından bilinir. Ancak, genel anahtar herkes tarafından bilinir. Anahtarlardan biri ile şifrelenen herhangi bir şeyin şifresi diğer ile çözülebilecektir. Veriler, gönderenin özel anahtarıyla şifrelenirken bir imza oluşturulur. Alıcı, gönderenin genel anahtarıyla mesajın şifresini çözerek imzayı doğrular. Bu işlem, gönderenin genel anahtarının bir kopyasının sahip olduğu alıcının ve gerçekten gönderene ait olmadığı ve herhangi bir kişinin gönderene ait olmadığı gibi yüksek bir nedenden emin olduğunu bilerek kullanır.

Dijital sertifikalar, dijital imzayı gönderene gönderir. Dijital sertifika; ad, seri numarası, şirket, departman veya IP adresi gibi bir kullanıcı veya cihazı tanımlamak için bilgiler içerir. Ayrıca, varlığın genel anahtarının bir kopyasını içerir. Sertifikayı imzalayan CA, alıcının kimlikleri doğrulamaya ve dijital sertifikalar oluşturmak için açık bir şekilde güvenen üçüncü bir taraftır.

Ca'nın imzasını doğrulamak için alıcının önce CA'nın genel anahtarını biliyor olması gerekir. Genellikle, bu işlem bant dışında veya yükleme sırasında yapılan bir işlemle ele alındı. Örneğin, çoğu web tarayıcısı varsayılan olarak birkaç SERTIFIKAnın genel anahtarlarına sahip şekilde yapılandırılır.

Güven Modeli, Güven Noktaları ve Kimlik CA'ları

PKI güven modeli, birden fazla yapılandırılabilir güvenilen CA'ya sahip hiyerarşik bir yapıya sahiptir. Her bir katılımcı cihazında güvenilir CA'ların listesini yapılandırabilirsiniz; böylece güvenlik akran sertifikası alışverişleri sırasında edinilen bir cihazın, yerel olarak güvenilen SERTIFIKAlardan biri tarafından verildiyse kimliği doğrulanabilir. Cisco NX-OS yazılımı, güvenilen sertifika yetkilisinin kök sertifika (veya bir sertifika yetkilisi için sertifika zinciri) otomatik olarak imzalanan depolar. Güvenilen bir sertifika kök sertifika yetkilisinin sertifikasını (veya bir alt sertifika yetkilisi durumunda tüm zinciri) güvenli bir şekilde alma ve depolama işlemi için yerel olarak CA kimlik doğrulaması adı verilen bir işlemdir.

Yapılandırmış olduğunu güvenilen sertifika yetkilisine ilişkin bilgilere güven noktası ve CA'nın kendi kendine güven noktası CA'sı adıdenir. Bu bilgiler, sertifika yetkilisi durumunda CA sertifikası (veya sertifika zinciri) ve sertifika iptali kontrol bilgilerinden oluşur.

Cisco NX-OS cihazı, bir anahtar çifti ile ilişkilendirmek için bir kimlik sertifikası elde etmek için bir güven noktası ile de kaydolebilir. Bu güven noktasının adı, kimlik CA'dır.

RSA Anahtar Çiftleri ve Kimlik Sertifikaları

Bir veya daha fazla RSA anahtar çifti oluşturarak ve her RSA anahtar çiftini Cisco NX-OS cihazı için kaydolmayı amacı olan bir güven noktası CA'sı ile eşleştirerek bir kimlik sertifikası elde edebilirsiniz. Cisco NX-OS cihazı için CA başına yalnızca bir kimlik gerekir. Bu kimlik, bir anahtar çifti ve CA başına bir kimlik sertifikasıdan oluşur.

Cisco NX-OS yazılımı, yapılandırılabilir anahtar boyutu (veya modulus) ile RSA anahtar çiftleri oluşturmanı sağlar. Varsayılan anahtar boyutu 512'dir. RSA anahtar çifti etiketi de yapılandırarak, Varsayılan anahtar etiketi, cihaz tam etki alanı adı (FQDN).

Aşağıdaki listede güven noktaları, RSA anahtar çiftleri ve kimlik sertifikaları arasındaki ilişki özetlenmiştir:

  • Güven noktası, herhangi bir uygulama için (SSH gibi) Cisco NX-OS akran sertifikası nın güvendiği belirli bir CA'ya karşılık gelen bir güven noktasıdır.

  • Cisco NX-OS cihazı birçok güven noktasına sahip olabilir ve cihazki tüm uygulamalar herhangi bir güven noktası AKRAN SERTIFIKASı tarafından verilen güven noktasına güvenebilir.

  • Güven noktası, belirli bir uygulamayla kısıtlı değildir.

  • Cisco NX-OS cihazı, kimlik sertifikasını almak için güven noktasına karşılık gelen CA'ya kaydolr. Cihazınızı birden fazla güven noktasına kaydedebilirsiniz; bu da her güven noktasından ayrı bir kimlik sertifikası edinebilirsiniz. Kimlik sertifikaları, sertifika yetkilisi tarafından sertifikada belirtilen amaçlara bağlı olarak uygulamalar tarafından kullanılır. Bir sertifikanın amacı, sertifikada sertifika uzantısı olarak saklanır.

  • Güven noktasıyla kayıt yaptırıyorken, sertifika için bir RSA anahtar çifti belirtmeniz gerekir. Bu anahtar çifti, kayıt isteğini oluşturmadan önce oluşturularak güven noktasıyla ilişkili olmalı. Güven noktası, anahtar çifti ve kimlik sertifikası arasındaki ilişkilendirme, sertifika, anahtar çifti veya güven noktasını silerek açık bir şekilde kaldırılana kadar geçerlidir.

  • Kimlik sertifikasında konu adı, Cisco NX-tam etki alanı adı cihazı için geçerli olan konu adıdır.

  • Bir cihazda bir veya daha fazla RSA anahtar çifti oluşturmak için her biri bir veya daha fazla güven noktasıyla ilişkilendirilebilir. Ancak, bir güven noktasıyla en fazla bir anahtar çifti ilişkilendirilebilir. Bu, ca'dan yalnızca bir kimlik sertifikasına izin verilmiyor.

  • Cisco NX-OS cihazı birden fazla kimlik sertifikası (her biri ayrı bir CA'dan) edinebilirse bir uygulamanın eş ile güvenlik protokolü değişiminde kullanmayı seç olduğu sertifika uygulaması özeldir.

  • Bir uygulama için bir veya daha fazla güven noktası atamaya gerek yok. Sertifika amacı uygulama gereksinimlerini karşılar olduğu sürece, herhangi bir uygulama herhangi bir güven noktası tarafından verilen herhangi bir sertifikayı kullanabilir.

  • Güven noktasından birden fazla kimlik sertifikasına veya bir güven noktasıyla ilişkili olmak için birden fazla anahtar çifte ihtiyacınız değildir. Ca, bir kimliği (veya adı) yalnızca bir kez sertifikalar ve aynı adla birden fazla sertifika sorun olmaz. Ca için birden fazla kimlik sertifikasına ihtiyacınız varsa ve CA aynı adlara sahip birden fazla sertifikaya izin verirse aynı CA için başka bir güven noktası tanımlamanız, başka bir anahtar çiftini bu sertifikayla ilişkilendirmeli ve sertifikayı sertifikaya sahip olması gerekir.

Birden Fazla Güvenilen CA Desteği

Cisco NX-OS cihazı, birden fazla güven noktası yapılandırarak ve her bir sertifika yetkilisiyle ayrı ayrı olarak yapılandırarak birden fazla CA'ya güvenebilir. Birden fazla güvenilen CA ile, sertifikayı bir eşe verilen özel CA'ya sahip bir cihazı kaydetmeniz gerekmektedir. Bunun yerine, cihazı eşlerin güvendiği birden fazla güvenilen SERTIFIKA ile yapılandırabilirsiniz. Ardından, Cisco NX-OS cihazı, eş cihazın kimliğinde tanımlanan aynı CA tarafından verilen bir eşden alınan sertifikaları doğrulamak için yapılandırılmış bir güvenilen sertifika yetkilisi kullanabilir.

PKI Kayıt Desteği

Kayıt, SSH gibi uygulamalar için kullanılan cihaz için bir kimlik sertifikası alma sürecidir. Sertifikayı ve sertifika yetkilisini talepen cihaz arasında gerçekleşir.

Cisco NX-OS cihazı, PKI kayıt işlemini gerçekleştirirken aşağıdaki adımları gerçekleştirir:

  • Cihazda bir RSA özel ve genel anahtar çifti sağlar.

  • Standart biçimde bir sertifika isteği oluşturmakta ve sertifikayı CA'ya iletir.


İstek ca tarafından alınmıştır CA sunucusunda kayıt isteği manuel olarak onaylaması için CA yöneticisi gerekebilir.

  • Sertifika yetkilisinin özel anahtarıyla imzalanmış, sertifika yetkilisinden verilen sertifikayı geri alır.

  • Sertifikayı cihaz üzerinde olmayan bir depolama alanına (bootflash) alır.

Kesip Yapıştırarak Manuel Kayıt

Cisco NX-OS yazılımı, manuel olarak kesip yapıştırma kullanılarak sertifika alma ve kaydı destekler. Kesip yapıştırma kaydı, sertifika isteklerini ve elde edilen sertifikaları cihaz ve CA arasında kesip yapıştırmanız gerektiğini anlamına gelir.

Manuel kayıt sürecinde kesip yapıştırmayı kullanırken aşağıdaki adımları gerçekleştirmeniz gerekir:

  • Cisco NX-OS cihazında base64 ile kodlanmış metin formunda görüntü çıkan kayıt sertifikası isteği oluşturun.

  • Kodlanmış sertifika isteği metnini kesip e-postaya veya web formuna yapıştırın ve CA'ya gönderin.

  • Sertifika yetkilisinden verilen sertifikayı (base64 ile kodlanmış metin formunda) bir e-postada veya web tarayıcısı indirmesinde alır.

  • Verilen sertifikayı, sertifika içe aktarma tesisini kullanarak kesip cihaza yapıştırın.

Çoklu RSA Anahtar Çifti ve Kimlik CA Desteği

Birden fazla kimlik CA'sı, cihazın birden fazla güven noktasıyla kaydolmasını sağlar. Bu da her biri ayrı bir CA'dan olmak kaydıyla birden fazla kimlik sertifikasına neden olur. Bu özellikle birlikte, Cisco NX-OS cihazı SSH'ye ve birçok akranlı diğer uygulamalara, bu eşler tarafından verilen sertifikaları kullanarak katılabilir.

Çoklu RSA anahtar çifti özelliği, cihazın kayıtlı her CA için ayrı bir anahtar çifti korumayı sağlar. Her ca için politika gerekliliklerini, anahtar uzunluğu gibi diğer CA'lar tarafından belirtilen gereksinimlerle çakışmadan eş kilebilir. Cihaz, birden fazla RSA anahtar çifti oluşturabilir ve her anahtar çiftini ayrı bir güven noktasıyla ilişkilendirilebilir. Bunun ardından, güven noktasıyla kayıt yaptıran ilişkili anahtar çifti sertifika isteğini oluşturmak için kullanılır.

Eş Sertifika Doğrulaması

Bir Cisco NX-OS cihazında PKI desteği, eş sertifikalarını doğrular. Cisco NX-OS yazılımı, SSH gibi uygulamalar için güvenlik alışverişleri sırasında eşlerden alınan sertifikaları doğrular. Uygulamalar, eş sertifikalarının geçerliliğini doğrular. Cisco NX-OS yazılımı, eş sertifikalarını doğrularken aşağıdaki adımları gerçekleştirir:

  • Sertifikanın akran sertifikası yerel olarak güvenilen CA'lardan biri tarafından doğrular.

  • Geçerli saatle ilgili akran sertifikası (süresi dolmadı) olduğunu doğrular.

  • Sertifika yetkilisi akran sertifikası iptal olmadığını doğrular.

İptal kontrolü için Cisco NX-OS yazılımı sertifika iptal listesini (CRL) destekler. Güven noktası CA'sı, sertifika yetkilisi bu yöntemi akran sertifikası için kullanabilir.

Sertifika İptali Kontrolü

Cisco NX-OS yazılımı, CA sertifikalarının iptal durumunu kontrol olabilir. Uygulamalar, iptal kontrol mekanizmalarını belirttiğiniz sırayla kullanabilir. Seçenekler CRL, hiçbiri veya bu yöntemlerin birleşimidir.

CRL Desteği

CA'lar, son kullanım tarihinden önce iptal edilen sertifikalar hakkında bilgi sağlamak için sertifika iptal listeleri (CRL'ler) sürdürür. CA'lar, CRLS'leri bir depoda yayınlar ve verilen tüm sertifikalarda genel URL'yi indirmesini sağlar. Eş sertifikasını doğrulayan bir istemci, sertifika yetkilisinden en son CRL'i edinerek sertifikanın iptal edil olup olmadığını belirlemek için kullanabilir. Bir istemci, güvenilen tüm CA'ların CRL'lerini yerel olarak önbelleğe alınmış olabilir ve CRL'lerin süresi dolmadan gerekirse daha sonra bunları kullanabilir.

Cisco NX-OS yazılımı, güven noktaları için önceden yüklenmiş CRL'lerin manuel olarak yapılandırmasına izin verir ve ardından bunları cihaz bootflash (cert-store) cihazında önbelleğe alır. Bir akran sertifikası doğrulanması sırasında Cisco NX-OS yazılımı, yalnızca CRL'nin zaten yerel olarak önbelleğe alınmış olması ve iptal kontrolü CRL'yi kullanmak için yapılandırılmışsa CRL'yi kontrol sağlar. Aksi takdirde, Cisco NX-OS yazılımı CRL kontrolü gerçekleştirmez ve diğer iptal etme kontrol yöntemlerini yapılandırmadıysanız sertifikayı iptal edilmemesi için dikkate alın.

Sertifikalar ve İlişkili Anahtar Çiftleri için İçe ve Dışa Aktarma Desteği

CA kimlik doğrulaması ve kayıt işleminin bir parçası olarak, alt CA sertifikası (veya sertifika zinciri) ve kimlik sertifikaları standart PEM (base64) biçiminde içe aktarabilirsiniz.

Güven noktasındaki tüm kimlik bilgileri, parola korumalı PKCS#12 standart biçimindeki bir dosyaya aktarabilirsiniz. Daha sonra aynı cihaza (örneğin, bir sistem çökmesi sonrasında) veya yedek cihaza aktarabilirsiniz. PKCS#12 dosyasındaki bilgiler; RSA anahtar çifti, kimlik sertifikası ve CA sertifikası (veya zinciri) içerir.

PKI için Lisans Gereksinimleri

Aşağıdaki tablo, bu özellik için lisans gereksinimlerini sunmaktadır:

Ürün

Lisans Gereksinimi

Cisco NX-OS

PKI özelliği lisans gerektirir. Lisans paketinde yer alan herhangi bir özellik, Cisco NX-OS sistem görüntüleri ile birlikte pakettedir ve size ek ücret ödemeden sağlanmıştır. Cisco NX-OS lisanslama şemasının açıklaması için bkz. Cisco NX-OS Lisanslama Kılavuzu.

PKI'ya ilişkin Kılavuzlar ve Sınırlamalar

PKI'nın aşağıdaki yapılandırma yönergeleri ve sınırlamaları vardır:

  • Cisco NX-OS cihazında yapılandırabilirsiniz maksimum anahtar çifti sayısı 16'dır.

  • Cisco NX-OS cihazında bildirebilirsiniz maksimum güven noktası sayısı 16'dır.

  • Cisco NX-OS cihazında yapılandırabilirsiniz maksimum kimlik sertifika sayısı 16'dır.

  • CA sertifika zincirinde maksimum sertifika sayısı 10'dır.

  • Belirli bir CA'da kimlik doğrulaması yapmak için maksimum güven noktası sayısı 10' girin.

  • Yapılandırma geri alma, PKI yapılandırmasını desteklemez.

  • Cisco NX-OS yazılımı, OSCP'yi desteklemez.


Cisco IOS CLI'ya aşinasanız bu özellik için Cisco NX-OS komutlarının, kullanmakta olduğu Cisco IOS komutlarından farklı olabileceğinin bilincindesiniz.

PKI için Varsayılan Ayarlar

Bu tabloda, PKI parametreleri için varsayılan ayarlar listemuştur.

Tablo 1. Varsayılan PKI Parametreleri

Parametre

Varsayılan

Güven noktası

Hiçbiri

RSA anahtar çifti

Hiçbiri

RSA anahtar çifti etiketi

Cihaz FQDN

RSA anahtar çifti modulus

512

RSA anahtar çifti dışa aktarılabilir

Enabled

İptal kontrolü yöntemi

Crl

CA'ları ve Dijital Sertifikaları Yapılandırma

Bu bölümde, Cisco NX-OS sisteminiz üzerinde CA'ların ve dijital sertifikaların birlikte çalışabilmesine izin vermek için gerçekleştirmeniz gereken görevler açık almaktadır.

Ana Bilgisayar Adını ve IP Etki Alanı Adını Yapılandırma

Cisco NX-OS yazılımı, cihazın kimlik sertifikasını konu olarak FQDN tam etki alanı adı kullandığı için cihazı henüz yapılandırmadıysanız cihazın ana bilgisayar adını ve IP etki alanı adını yapılandırmanız gerekir. Ayrıca, Cisco NX-OS yazılımı, anahtar FQDN oluşturma sırasında etiket belirtmeyebilirsiniz varsayılan anahtar etiketi olarak cihaz etiketlerini kullanır. Örneğin, DeviceA.example.com adlı bir sertifika, DeviceA adlı cihazın ana bilgisayar adını ve cihaz IP etki alanı adını temel example.com.


Sertifikayı oluşturduktan sonra ana bilgisayar adını veya IP etki alanı adını değiştirmek sertifikayı geçersiz hale getirebilirsiniz.

  Komut veya Eylem Amaç
1

terminali yapılandır

Örnek:

switch# terminal 
 anahtarını yapılandır(yapılandırma) #

Genel yapılandırma moduna girer.

2

ana bilgisayaradı

Örnek:

geçiş(yapılandırma)# ana bilgisayar adı CihazA

Cihazın ana bilgisayar adını yapılandırıyor.

3

ip domain-namename [use-vrfvrf-name]

Örnek:

DeviceA(yapılandırma)# ip etki alanı adı example.com

Cihazın IP etki alanı adını yapılandırıyor. BIRYLAF adı belirtmezseniz komut, varsayılan BAŞLıĞıLF'ı kullanır.

4

Çıkış

Örnek:

geçiş(yapılandırma)# çıkış 
 anahtarı #

Yapılandırma modundan çıkar.

5

(İsteğe bağlı) toplantı sahiplerini göster

Örnek:

geçiş# toplantı sahiplerini göster
(İsteğe bağlı)

IP etki alanı adını görüntüler.

6

(İsteğe bağlı) çalışan yapılandırma başlangıç yapılandırmayı kopyala

Örnek:

switch# copy running-config başlangıç-yapılandırma
(İsteğe bağlı)

Çalışan yapılandırmayı başlangıç yapılandırmasına kopyalar.

RSA Anahtar Çifti Oluşturma

Uygulamalara yönelik güvenlik protokolü alışverişleri sırasında güvenlik yükünü imzalamak ve/veya şifrelemek ve deşifre etmek için bir RSA anahtar çiftleri oluşturabilirsiniz. Cihazınız için bir sertifika elde etmek için önce RSA anahtarı çiftini oluşturabilirsiniz.

  Komut veya Eylem Amaç
1

terminali yapılandır

Örnek:

switch# terminal 
 anahtarını yapılandır(yapılandırma) #

Genel yapılandırma moduna girer.

2

şifreleme anahtarı generate rsa [label-string] [exportable ] [modulussize]

Örnek:

anahtar(yapılandırma)# şifreleme anahtarı rsa dışa aktarılabilir oluştur

Bir RSA anahtar çifti sağlar. Bir cihazda maksimum anahtar çifti sayısı 16'dır.

Etiket dizesi alfasayısal, büyük/küçük harfe duyarlıdır ve maksimum uzunluğu 64 karakterdir. Varsayılan etiket dizesi ana bilgisayar adıdır ve FQDN nokta karakteri (.) ile ayrılmıştır.

Geçerli modül değerleri: 512, 768, 1024, 1536 ve 2048. Varsayılan modül boyutu 512'dir.


 

Cisco NX-OS cihazı ve CA'ya (kaydın planlandığı) güvenlik politikası, uygun anahtar modüllerini dikkate alınmalıdır.

Varsayılan olarak, anahtar çifti dışa aktarılamaz. Yalnızca dışa aktarılabilir anahtar çiftleri PKCS#12 formatında dışa aktarılabilir.


 

Bir anahtar çiftinin dışa aktarını değiştiremezsiniz.

3

Çıkış

Örnek:

geçiş(yapılandırma)# çıkış 
 anahtarı #

Yapılandırma modundan çıkar.

4

(İsteğe bağlı) şifreleme anahtarı mypubkey rsa göster

Örnek:

switch# şifreleme anahtarı mypubkey rsa göster
(İsteğe bağlı)

Oluşturulan anahtarı görüntüler.

5

(İsteğe bağlı) çalışan yapılandırma başlangıç yapılandırmayı kopyala

Örnek:

switch# copy running-config başlangıç-yapılandırma
(İsteğe bağlı)

Çalışan yapılandırmayı başlangıç yapılandırmasına kopyalar.

Güven Noktası CA İlişkisi Oluşturma

Cisco NX-OS cihazı bir güven noktası CA'sı ile ilişkilendirmek gerekir.

Başlamadan önce

RSA anahtar çifti oluştur.

  Komut veya Eylem Amaç
1

terminali yapılandır

Örnek:

switch# terminal 
 anahtarını yapılandır(yapılandırma) #

Genel yapılandırma moduna girer.

2

crypto ca güven noktasıadı

Örnek:

anahtar(yapılandırma)# şifreleme ca güven noktası yönetici-ca 
 anahtarı(yapılandırma-güven noktası) #

Cihazın güvenmesi gereken ve güven noktası yapılandırma moduna girmesi gereken bir güven noktası CA'sı belirtir.


 

Bir cihazda yapılandırabilirsiniz maksimum güven noktası sayısı 16'dır.

3

kayıt terminali

Örnek:

anahtar(yapılandırma-güven noktası)# kayıt terminali

Manuel olarak kesip yapıştırma sertifika kaydı sağlar. Varsayılan etkindir.


 

Cisco NX-OS yazılımı, sertifika kaydı için yalnızca manuel kesip yapıştırma yöntemini destekler.

4

rsakeypairetiketi

Örnek:

anahtar(config-trustpoint)# rsakeypair SwitchA

Kayıt için bu güven noktasıyla ilişkilendirmek için RSA anahtarı çiftinin etiketini belirtir.


 

Ca başına yalnızca bir RSA anahtarı çifti belirterek belirtsiniz.

5

Çıkış

Örnek:

anahtar(yapılandırma-güven noktası)# çıkış 
 anahtarı(yapılandırma) #

Güven noktası yapılandırma modundan çıkar.

6

(İsteğe bağlı) şifreleme yetkilisi güven noktalarını göster

Örnek:

geçiş(yapılandırma)# şifreleme ca'sı güven noktalarını göster
(İsteğe bağlı)

Güven noktası bilgilerini görüntüler.

7

(İsteğe bağlı) çalışan yapılandırma başlangıç yapılandırmayı kopyala

Örnek:

geçiş(yapılandırma)# kopya çalışan yapılandırma başlangıç yapılandırma
(İsteğe bağlı)

Çalışan yapılandırmayı başlangıç yapılandırmasına kopyalar.

Ca kimlik doğru görünüyor

Bir CA'ya güvenerek yapılandırma süreci, yalnızca CA'nın Cisco NX-OS cihazına kimliği doğrulandıktan sonra tamamlanır. CA'nın genel anahtarını içeren PEM biçimindeki CA'nın kendinden imzalı sertifikasını edinerek Cisco NX-OS cihazınızı CA'da doğrulamanız gerekir. SERTIFIKA yetkilisinin sertifikasının otomatik olarak imzalandığı (CA kendi sertifikasını imzalar) olduğu için CA sertifikasının genel anahtarının, CA sertifikasının parmak iziyle karşılaştırması için CA yöneticisiyle iletişim kurarak manuel olarak kimlik doğrulaması gerekir.


Kimlik doğrulayan CA, başka bir CA'nın alt sertifika yetkilisi olduğunda otomatik olarak imzalanan bir CA değildir. Bu ca, başka bir sertifika yetkilisinin alt sertifika yetkilisi olabilir ve son olarak kendinden imzalı bir CA ile biten bir sertifika yetkilisi değildir. Bu tür bir CA sertifikası, kimlik doğrulaması yapılan CA sertifika zincirine denir. Bu durumda, CA kimlik doğrulaması sırasında sertifika zincirinde tüm CA sertifikalarının CA sertifikalarının tam listesini girebilirsiniz. CA sertifika zincirinde maksimum sertifika sayısı 10'dır.

Başlamadan önce

Sertifika yetkilisi ile ilişkilendirme oluşturun.

CA sertifikası veya CA sertifikası zincirini alın.

  Komut veya Eylem Amaç
1

terminali yapılandır

Örnek:

switch# terminal 
 anahtarını yapılandır(yapılandırma) #

Genel yapılandırma moduna girer.

2

crypto ca kimlik doğrulamasıadı

Örnek:

anahtar(yapılandırma)# şifreleme cası kimlik doğrulaması yönetici 
 cası girişi (kesilmiş ve yapıştır) CA sertifikası (zinciri) PEM biçiminde; 
 end the input with a line containing only END OF INPUT : 
 -----BEGIN CERTIFICATE----- 
 MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB 
 kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO 
 MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE 
 ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD 
 QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN 
 AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth 
 cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG 
 A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN 
 AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI 
 OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E 
 BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ 
 GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs 
 L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv 
 bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB 
 BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea 
 NBG7E0oN66zex0EOEfG1Vs6mXp1//w== 
 -----END CERTIFICATE----- 
 END OF INPUT 
 Fingerprint(s): MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Bu sertifikayı kabul ediyor 
 musunuz? [evet/hayır]: evet

SERTIFIKA yetkilisinin sertifikasını kesip yapıştırmanız istenmektedir. Sertifika yetkilisini bildirerek aynı adı kullanın.

Belirli bir CA'da kimlik doğrulaması yapmak için maksimum güven noktası sayısı 10' girin.


 

Sertifika yetkilisi kimlik doğrulaması için Cisco NX-OS yazılımı, sertifika doğrulaması ve PKCS#12 format dışa aktarma için SERTIFIKA Yetkilisi zinciri gerekli olduğu için kendinden imzalı bir CA ile biten CA sertifikalarının tam zincirini gerektirir.

3

Çıkış

Örnek:

geçiş(yapılandırma)# çıkış 
 anahtarı #

Yapılandırma modundan çıkar.

4

(İsteğe bağlı) şifreleme yetkilisi güven noktalarını göster

Örnek:

switch# şifreleme yetkilisi güven noktalarını göster
(İsteğe bağlı)

Güven noktası CA bilgilerini görüntüler.

5

(İsteğe bağlı) çalışan yapılandırma başlangıç yapılandırmayı kopyala

Örnek:

switch# copy running-config başlangıç-yapılandırma
(İsteğe bağlı)

Çalışan yapılandırmayı başlangıç yapılandırmasına kopyalar.

Sertifika İptali Kontrol Yöntemlerini Yapılandırma

Bir istemciyle (örneğin, bir SSH kullanıcısı) güvenlik alışverişleri sırasında, Cisco NX-OS cihazı istemci tarafından gönderilen akran sertifikası doğrulamasını gerçekleştirir. Doğrulama işlemi, sertifika iptali durumu kontrolü içeriyor olabilir.

Ca'dan indirilen CRL'yi kontrol etmek için cihazı yapılandırabilirsiniz. CRL'nin indir yük ve kontrolü yerel olarak kontrol etmek ağ bir trafik oluşturmaz. Ancak, sertifikalar indirmeler arasında iptal edilebilir ve cihazınız bu iptalden haberdar olmaz.

Başlamadan önce

Ca'nın kimliğini doğrula.

CRL kontrollerini kullanmak kullanıyorsanız CRL'yi yapılandırıldığından emin olmak için.

  Komut veya Eylem Amaç
1

terminali yapılandır

Örnek:

switch# terminal 
 anahtarını yapılandır(yapılandırma) #

Genel yapılandırma moduna girer.

2

crypto ca güven noktasıadı

Örnek:

anahtar(yapılandırma)# şifreleme ca güven noktası yönetici-ca 
 anahtarı(yapılandırma-güven noktası) #

Bir güven noktası ca'sı belirtir ve güven noktası yapılandırma moduna girer.

3

iptal-kontrol {crl [ hiçbiri ] hiçbiri | }

Örnek:

anahtar(yapılandırma-güven noktası)# iptal-kontrolü hiçbiri

Sertifika iptali kontrol yöntemlerini yapılandırıyor. Varsayılan yöntem crl'dir.

Cisco NX-OS yazılımı, belirttiğiniz sırayla sertifika iptali yöntemlerini kullanır.

4

Çıkış

Örnek:

anahtar(yapılandırma-güven noktası)# çıkış 
 anahtarı(yapılandırma) #

Güven noktası yapılandırma modundan çıkar.

5

(İsteğe bağlı) şifreleme yetkilisi güven noktalarını göster

Örnek:

geçiş(yapılandırma)# şifreleme ca'sı güven noktalarını göster
(İsteğe bağlı)

Güven noktası CA bilgilerini görüntüler.

6

(İsteğe bağlı) çalışan yapılandırma başlangıç yapılandırmayı kopyala

Örnek:

geçiş(yapılandırma)# kopya çalışan yapılandırma başlangıç yapılandırma
(İsteğe bağlı)

Çalışan yapılandırmayı başlangıç yapılandırmasına kopyalar.

Sertifika İstekleri Oluşturma

Cihazınızın her bir RSA anahtar çifti için ilişkili güven noktası CA'larından kimlik sertifikaları almak için bir istek oluşturabilirsiniz. Ardından görüntülenen isteği kesip sertifika yetkilisi için bir e-postaya veya web sitesi formuna yapıştırmanız gerekir.

Başlamadan önce

Sertifika yetkilisi ile ilişkilendirme oluşturun.

CA sertifikası veya CA sertifikası zincirini alın.

  Komut veya Eylem Amaç
1

terminali yapılandır

Örnek:

switch# terminal 
 anahtarını yapılandır(yapılandırma) #

Genel yapılandırma moduna girer.

2

crypto ca kayıt adı

Örnek:

switch(config)# crypto ca enroll admin-ca 
 Sertifika talebini oluşturun ..
 Bir sorun parolası oluşturun. Sertifikanızı iptal etmek için sözlü 
  olarak bu parolayı SERTIFIKA Yöneticisine sağlamanız gerekir.
  Güvenlik nedeniyle parolanız yapılandırmaya kaydedilemiyor.
  Lütfen buna dikkat edin.
  Parola:nbv123 
 Sertifikanın konu adı şu şekilde olur: DeviceA.cisco.com 
 değiştirme seri numarasını konu adına dahil etmek için ne var? [evet/hayır]: no 
 Konu adına [evet/hayır] IP adresini dahil edin: evet 
 ip adresi:172.22.31.162 
 Sertifika isteği görüntülenecek...
-----BEGIN CERTIFICATE REQUEST----- 
 MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ 
 KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 
 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y 
 P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S 
 VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ 
 DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ 
 KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt 
 PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 
 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= 
 -----END CERTIFICATE REQUEST-----

Kimliği doğrulanmış sertifika yetkilisi için bir sertifika isteği oluşturmak.


 

Sorun parolasını hatırlamanız gerekir. Yapılandırma ile birlikte kayıtlı değildir. Sertifikanın iptal olması gerekirse bu parolayı girmeniz gerekir.

3

Çıkış

Örnek:

anahtar(yapılandırma-güven noktası)# çıkış 
 anahtarı(yapılandırma) #

Güven noktası yapılandırma modundan çıkar.

4

(İsteğe bağlı) crypto ca sertifikalarını göster

Örnek:

geçiş(yapılandırma)# şifreleme ca sertifikalarını göster
(İsteğe bağlı)

CA sertifikalarını görüntüler.

5

(İsteğe bağlı) çalışan yapılandırma başlangıç yapılandırmayı kopyala

Örnek:

geçiş(yapılandırma)# kopya çalışan yapılandırma başlangıç yapılandırma
(İsteğe bağlı)

Çalışan yapılandırmayı başlangıç yapılandırmasına kopyalar.

Kimlik Sertifikalarını Yükleme

Kimlik sertifikasını, sertifika yetkilisinden e-postayla veya base64 ile kodlanmış metin formunda bir web tarayıcısıyla alırsınız. Kodlanan metni kesip yapıştırarak ca'dan kimlik sertifikasını yüklemeniz gerekir.

Başlamadan önce

Sertifika yetkilisi ile ilişkilendirme oluşturun.

CA sertifikası veya CA sertifikası zincirini alın.

  Komut veya Eylem Amaç
1

terminali yapılandır

Örnek:

switch# terminal 
 anahtarını yapılandır(yapılandırma) #

Genel yapılandırma moduna girer.

2

crypto ca içe aktarmaadsertifikası

Örnek:

switch(config)# şifreleme ca'sı içe aktarma yönetici-ca sertifika 
 girişi (kesilmiş & yapıştırma) sertifikaSıNı PEM biçiminde:
-----BEGIN CERTIFICATE----- 
 MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G 
 CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD 
 VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz 
 Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w 
 NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu 
 Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C 
 dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 
 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb 
 x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw 
 GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR 
 bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW 
 pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE 
 BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w 
 DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh 
 cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 
 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 
 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH 
 AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl 
 LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 
 XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF 
 AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw 
 E36cIZu4WsExREqxbTk8ycx7V5o= 
 -----END CERTIFICATE-----

Admin-ca adlı CA için kimlik sertifikasını kesip yapıştırmanız istenmektedir.

Bir cihazda yapılandırmış olduğunu maksimum kimlik sertifika sayısı 16'dır.

3

Çıkış

Örnek:

geçiş(yapılandırma)# çıkış 
 anahtarı #

Yapılandırma modundan çıkar.

4

(İsteğe bağlı) crypto ca sertifikalarını göster

Örnek:

switch# şifreleme ca sertifikalarını göster
(İsteğe bağlı)

CA sertifikalarını görüntüler.

5

(İsteğe bağlı) çalışan yapılandırma başlangıç yapılandırmayı kopyala

Örnek:

switch# copy running-config başlangıç-yapılandırma
(İsteğe bağlı)

Çalışan yapılandırmayı başlangıç yapılandırmasına kopyalar.

Yeniden Başlatmalarda Güven Noktası Yapılandırmaları Sağlama Devam Ediyor

Cisco NX-OS cihazı yeniden başlatmalarında güven noktası yapılandırmasının devam ettiğine emin olun.

Güven noktası yapılandırması, yalnızca bunu açıkça başlangıç yapılandırmasına kopyalarsanız sistem yeniden başlatmalarında devam eden normal bir Cisco NX-OS cihaz yapılandırmasıdır. Başlangıç yapılandırmasında güven noktası yapılandırmasını zaten kopyaladıysanız sertifikalar, anahtar çiftleri ve güven noktasıyla ilişkili CRL otomatik olarak kalıcıdır. Ortak olarak, güven noktası yapılandırması başlangıç yapılandırmasına kopyalanmazsa, yeniden başlatmadan sonra ilgili güven noktası yapılandırmasını gerekli kılacak şekilde bu yapılandırmayla ilişkili sertifikalar, anahtar çiftleri ve CRL kalıcı değildir. Yapılandırılan sertifikaların, anahtar çiftleri ve CRL'lerin kalıcı olduğundan emin olmak için her zaman çalışan yapılandırmayı başlangıç yapılandırmasına kopyalayın. Ayrıca silmelerin kalıcı olmasını sağlamak için bir sertifikayı veya anahtar çiftini sildikten sonra çalışan yapılandırmayı kaydedin.

Belirli güven noktası başlangıç yapılandırmasında zaten kaydedilmişse, sertifikalar ve güven noktasıyla ilişkili CRL, içe aktarıldıklarında otomatik olarak kalıcı olur (yani, başlangıçtaki yapılandırmaya açıkça kopyalamadan).

Kimlik sertifikaları için parola korumalı bir yedekleme oluşturmanızı ve harici bir sunucuya kaydetmenizi öneririz.


Yapılandırmayı harici bir sunucuya kopyalamak, sertifikalar ve anahtar çiftleri içerir.

PKCS 12 Biçiminde Kimlik Bilgilerini Dışa Aktarma

Yedekleme amaçları doğrultusunda, kimlik sertifikasını, RSA anahtar çifti ve CA sertifikası (veya bir alt sertifika yetkilisi durumunda tüm zinciri) bir PKCS#12 dosyasına aktarabilirsiniz. Cihazınızın sistem çökmelerinden veya denetleyici modüllerini değiştirken kurtarmak için sertifikayı ve RSA anahtarı çiftini içe aktarabilirsiniz.


Dışa aktarma URL'sini belirtirken yalnızca bootflash:dosya adı biçimini kullanabilirsiniz.

Başlamadan önce

Ca'nın kimliğini doğrula.

Bir kimlik sertifikası yükleyin.

  Komut veya Eylem Amaç
1

terminali yapılandır

Örnek:

switch# terminal 
 anahtarını yapılandır(yapılandırma) #

Genel yapılandırma moduna girer.

2

şifreleme ca dışaaktarma adı pkcs12 bootflash:dosya adıparola

Örnek:

anahtar(yapılandırma)# şifreleme ca dışa aktarma admin-ca pkcs12 bootflash:adminid.p12 nbv123

Bir güven noktası CA'sı için kimlik sertifikasını ve ilişkili anahtar çifti ve CA sertifikalarını dışa sağlar. Parola alfasayısal, büyük/küçük harfe duyarlıdır ve maksimum uzunluğu 128 karakterdir.

3

Çıkış

Örnek:

geçiş(yapılandırma)# çıkış 
 anahtarı #

Yapılandırma modundan çıkar.

4

booflash'i kopyala:dosya adıdüzeni :// sunucu/ [url /] dosyaadı

Örnek:

switch# copy bootflash:adminid.p12 tftp:adminid.p12

PKCS#12 format dosyasını uzak sunucuya kopyalar.

Şema bağımsız değişkeni için tftp girsiniz:, ftp:, scp:veya sftp:. Sunucu bağımsız değişkeni, uzak sunucunun adresi veya adıdır ve url bağımsız değişkeni uzak sunucu kaynak dosyasının yoludur.

Sunucu, url ve dosya adı bağımsız değişkenleri büyük/harfe duyarlıdır.

PKCS 12 Biçiminde Kimlik Bilgilerini İçe Aktarma

Cihazınızın sistem çökmelerinden veya denetleyici modüllerini değiştirken kurtarmak için sertifikayı ve RSA anahtarı çiftini içe aktarabilirsiniz.


İçe aktarma URL'sini belirtirken yalnızca bootflash:dosya adı biçimini kullanabilirsiniz.

Başlamadan önce

Herhangi bir RSA anahtar çiftinin ilişkili olmadığını ve CA kimlik doğrulama kullanan güven noktasıyla hiçbir CA ilişkili olmadığını kontrol ederek güven noktasının boş olduğundan emin olur.

  Komut veya Eylem Amaç
1

copyscheme :// server/ [url /]filenamebootflash:filename

Örnek:

geçiş# copy tftp:adminid.p12 bootflash:adminid.p12

PKCS#12 format dosyasını uzak sunucudan kopyalar.

Şema bağımsız değişkeni için tftp girsiniz:, ftp:, scp:veya sftp:. Sunucu bağımsız değişkeni, uzak sunucunun adresi veya adıdır ve url bağımsız değişkeni uzak sunucu kaynak dosyasının yoludur.

Sunucu, url ve dosya adı bağımsız değişkenleri büyük/harfe duyarlıdır.

2

terminali yapılandır

Örnek:

switch# terminal 
 anahtarını yapılandır(yapılandırma) #

Genel yapılandırma moduna girer.

3

şifreleme ca içeaktarma adıpksc12 bootflash:dosya adı

Örnek:

anahtar(yapılandırma)# şifreleme ca içe aktarma admin-ca pkcs12 bootflash:adminid.p12 nbv123

Güven noktası CA'sı için kimlik sertifikasını ve ilişkili anahtar çiftini ve CA sertifikalarını içe aktarır.

4

Çıkış

Örnek:

geçiş(yapılandırma)# çıkış 
 anahtarı #

Yapılandırma modundan çıkar.

5

(İsteğe bağlı) crypto ca sertifikalarını göster

Örnek:

switch# şifreleme ca sertifikalarını göster
(İsteğe bağlı)

CA sertifikalarını görüntüler.

6

(İsteğe bağlı) çalışan yapılandırma başlangıç yapılandırmayı kopyala

Örnek:

switch# copy running-config başlangıç-yapılandırma
(İsteğe bağlı)

Çalışan yapılandırmayı başlangıç yapılandırmasına kopyalar.

CRL Yapılandırma

Güven noktalarından indirdiğiniz CRL'leri manuel olarak yapılandırabilirsiniz. Cisco NX-OS yazılımı, CRL'leri cihaz bootflash (cert-store) içinde önbelleğe alır. Bir akran sertifikası doğrulanması sırasında Cisco NX-OS yazılımı, yalnızca CRL'yi cihaza indirdiğiniz ve CRL'yi kullanmak için sertifika iptali kontrollerini yapılandırdıysanız CRL'yi istenmektedir.

Başlamadan önce

Sertifika iptali kontrollerini etkinleştirildiğinden emin olun.

  Komut veya Eylem Amaç
1

copyscheme:[// server /[ url/]]filenamebootflash:filename

Örnek:

geçiş# copy tftp:adminca.crl bootflash:adminca.crl

CRL'i uzak bir sunucudan indirir.

Şema bağımsız değişkeni için tftp girsiniz:, ftp:, scp:veya sftp:. Sunucu bağımsız değişkeni, uzak sunucunun adresi veya adıdır ve url bağımsız değişkeni uzak sunucu kaynak dosyasının yoludur.

Sunucu, url ve dosya adı bağımsız değişkenleri büyük/harfe duyarlıdır.

2

terminali yapılandır

Örnek:

switch# terminal 
 anahtarını yapılandır(yapılandırma) #

Genel yapılandırma moduna girer.

3

crypto ca crl talepadıbootflash:dosya adı

Örnek:

switch(config)# şifreleme ca crl talebi admin-ca bootflash:adminca.crl

Geçerli CRL'yi dosyada belirtilenle yapılandırır veya değiştirir.

4

Çıkış

Örnek:

geçiş(yapılandırma)# çıkış 
 anahtarı #

Yapılandırma modundan çıkar.

5

(İsteğe bağlı) crypto ca crl adınıgöster

Örnek:

switch# show crypto ca crl admin-ca
(İsteğe bağlı)

CA CRL bilgilerini görüntüler.

6

(İsteğe bağlı) çalışan yapılandırma başlangıç yapılandırmayı kopyala

Örnek:

switch# copy running-config başlangıç-yapılandırma
(İsteğe bağlı)

Çalışan yapılandırmayı başlangıç yapılandırmasına kopyalar.

SERTIFIKA Yetkilisi Yapılandırmasından Sertifikaları Silme

Güven noktasında yapılandırılan kimlik sertifikalarını ve CA sertifikalarını silebilirsiniz. Önce kimlik sertifikasını, ardından da CA sertifikalarını silmeniz gerekir. Kimlik sertifikasını sildikten sonra, RSA anahtar çiftini güven noktasından kaldırabilirsiniz. Süresi dolmuş veya iptal edilmiş sertifikaları, güvenliği ihlal edilmiş (veya güvenliği ihlal etmek şüphelenen) anahtar çiftlerini veya artık güvenilir olan CA'ları kaldırmak için sertifikaları silmeniz gerekir.

  Komut veya Eylem Amaç
1

terminali yapılandır

Örnek:

switch# terminal 
 anahtarını yapılandır(yapılandırma) #

Genel yapılandırma moduna girer.

2

crypto ca güven noktasıadı

Örnek:

anahtar(yapılandırma)# şifreleme ca güven noktası yönetici-ca 
 anahtarı(yapılandırma-güven noktası) #

Bir güven noktası ca'sı belirtir ve güven noktası yapılandırma moduna girer.

3

sertifika yetkilisi sertifikasını sil

Örnek:

anahtar(config-trustpoint)# ca sertifikasını sil

CA sertifikası veya sertifika zincirini siler.

4

sertifikayı sil [ zorlama]

Örnek:

anahtar(yapılandırma-güven noktası)# sertifikayı sil

Kimlik sertifikasını siler.

Silmek istediğiniz kimlik sertifikası sertifika zincirinde son sertifika veya cihaza yalnızca kimlik sertifikası ise zorla seçeneğini kullanabilirsiniz. Bu gereksinim, bir sertifika zincirinde son sertifikayı yanlışlıkla silmenizi veya yalnızca kimlik sertifikasını silmenizi ve uygulamaları (SSH gibi) kullanmak için bir sertifika olmadan bırakmama sağlar.

5

Çıkış

Örnek:

anahtar(yapılandırma-güven noktası)# çıkış 
 anahtarı(yapılandırma) #

Güven noktası yapılandırma modundan çıkar.

6

(İsteğe bağlı) şifreleme ca sertifikalarını göster [ ad]

Örnek:

geçiş(yapılandırma)# şifreleme ca sertifikaları yönetici-ca göster
(İsteğe bağlı)

CA sertifika bilgilerini görüntüler.

7

(İsteğe bağlı) çalışan yapılandırma başlangıç yapılandırmayı kopyala

Örnek:

geçiş(yapılandırma)# kopya çalışan yapılandırma başlangıç yapılandırma
(İsteğe bağlı)

Çalışan yapılandırmayı başlangıç yapılandırmasına kopyalar.

Cisco NX-OS Cihazından RSA Anahtar Çiftlerini Silme

RSA anahtar çiftlerinin bir şekilde ihlal olduğuna ve artık kullanılmamaları gerektiğini düşünüyorsanız Cisco NX-OS cihazından RSA anahtar çiftlerini silebilirsiniz.


Bir cihazdan RSA anahtar çiftleri sildikten sonra, CA yöneticisinden cihazınızın sertifikalarını CA'da iptal etmelerini sorun. Sertifikaları başlangıçta talep ediyorsanız oluşturduğunuz sorun parolasını sağlamak gerekir.

  Komut veya Eylem Amaç
1

terminali yapılandır

Örnek:

switch# terminal 
 anahtarını yapılandır(yapılandırma) #

Genel yapılandırma moduna girer.

2

şifreleme anahtarı sıfırla rsaetiketi

Örnek:

geçiş(yapılandırma)# şifreleme anahtarı rsa MyKey sıfırla

RSA anahtar çiftini siler.

3

Çıkış

Örnek:

geçiş(yapılandırma)# çıkış 
 anahtarı #

Yapılandırma modundan çıkar.

4

(İsteğe bağlı) şifreleme anahtarı mypubkey rsa göster

Örnek:

switch# şifreleme anahtarı mypubkey rsa göster
(İsteğe bağlı)

RSA anahtar çifti yapılandırmasını görüntüler.

5

(İsteğe bağlı) çalışan yapılandırma başlangıç yapılandırmayı kopyala

Örnek:

switch# copy running-config başlangıç-yapılandırma
(İsteğe bağlı)

Çalışan yapılandırmayı başlangıç yapılandırmasına kopyalar.

PKI Yapılandırması Doğru mu?

PKI yapılandırma bilgilerini görüntülemek için aşağıdaki görevlerden birini gerçekleştirin:

Komut

Amaç

şifreleme anahtarı mypubkey rsa göster

Cisco NX-OS cihazında oluşturulan RSA genel anahtarları hakkında bilgileri görüntüler.

crypto ca sertifikalarını göster

Sertifika yetkilisi ve kimlik sertifikaları hakkında bilgileri görüntüler.

crypto ca crl göster

CA CRL'leri ile ilgili bilgileri görüntüler.

şifreleme yetkilisi güven noktalarını göster

CA güven noktalarıyla ilgili bilgileri görüntüler.

PKI için Yapılandırma Örnekleri

Bu bölümde, Microsoft Windows Sertifika sunucusunu kullanan Cisco NX-OS cihazlarda sertifikaları ve CRL'leri yapılandırmak için kullanabileceğiniz görevlerin örnekleri verilmiştir.


Dijital sertifikalar oluşturmak için her tür sertifika sunucusunu kullanabilirsiniz. Microsoft Windows Sertifika sunucusunu kullanmakla sınırlı değildir.

Cisco NX-OS Cihazında Sertifikaları Yapılandırma

Bir Cisco NX-OS cihazında sertifikaları yapılandırmak için şu adımları izleyin:

1

Cihazı doğru şekilde FQDN.

switch# yapılandırma terminali Yapılandırma komutlarını girin( her satır için bir).  CNTL/Z ile bitirin. 
 geçiş(yapılandırma)# ana bilgisayar adı Cihaz-1 Cihaz-1(yapılandırma) #

2

Cihaz için DNS etki alanı adını yapılandırabilirsiniz.

Cihaz-1(yapılandırma)# ip etki alanı-adı cisco.com

3

Bir güven noktası oluşturun.

Cihaz-1(yapılandırma)# şifreleme ca güven noktası myCA Cihazı-1(yapılandırma-güven noktası)#  cihaz-1'den çık(yapılandırma)# şifreleme ca güven noktaları güven noktası: myCA; Anahtar:
yeniden uyarlama yöntemleri:  Crl

4

Cihaz için bir RSA anahtar çifti oluşturun.

Cihaz-1(yapılandırma)# şifreleme anahtarı rsa etiketi oluştur myKey dışa aktarılabilir modüller 1024 Cihaz-1(yapılandırma)# şifreleme anahtarı mypubkey rsa anahtar etiketini göster: myKey 
 anahtarı boyutu: 1024 
 dışa aktarılabilir: evet

5

RSA anahtarı çiftini güven noktasıyla ilişkilendirme.

Cihaz-1(yapılandırma)# şifreleme ca güven noktası myCA Cihazı-1(yapılandırma-güven noktası)# rsakeypair myKey Device-1(config-trustpoint)# exit Device-1(config)# şifreleme cagüven noktaları güven noktası: myCA; Anahtar: myKey 
 yenidenlama yöntemleri:  Crl

6

CA sertifikasını Microsoft Sertifika Hizmeti web arayüzünden indirin.

7

Güven noktasına kaydetmek istediğiniz CA'nın kimliğini doğrula.

Cihaz-1(yapılandırma)# şifreleme cası, PEM biçimindeki myCA girişini (kesilmiş ve yapıştır) CA sertifikasını (zinciri) doğrular 
 end the input with a line containing only END OF INPUT : 
 -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea NBG7E0oN66zex0EOEfG1Vs6mXp1//w== -----END CERTIFICATE----- GIRIŞ Parmak İzi/Parmak İzI UÇU: MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Bu sertifikayı kabul ediyor 
 musunuz? [evet/hayır]:y  Device-1(yapılandırma)# şifreleme ca sertifikalarını göster Trustpoint: myCA 
 CA sertifikası 0:
subject= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ 
 L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA 
 issuer= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ 
 L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA 
 serial=0560D289ACB419944F4912258CAD197A 
 notBefore=3 Mayıs 2 2:46:37 2005 GMT 
 notAfter=3 Mayıs 22:55:17 2007 GMT 
 MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 
 amaçları: sslserver sslclient ike

8

Bir güven noktasıyla kaydolmak için kullanmak üzere bir istek sertifikası oluştur.

Cihaz-1(yapılandırma)# şifreleme ca'sı myCA  kaydı Sertifika isteğini oluşturun ..
 Bir sorun parolası oluşturun. Sertifikanızı iptal etmek için sözlü 
  olarak bu parolayı SERTIFIKA Yöneticisine sağlamanız gerekir.
  Güvenlik nedeniyle parolanız yapılandırmaya kaydedilemiyor.
  Lütfen buna dikkat edin.
  Parola: nbv123  Sertifikanın konu adı şu şekildedir: Device-1.cisco.com seri  numarasını konu adına değiştir dahil etmek mi? [evet/hayır]: no  Konu adına [evet/hayır] IP adresini dahil edin: evet ip adresi: 10.10.1.1  Sertifika isteği görüntülenecektir...
-----BEGIN CERTIFICATE REQUEST----- 
 MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ 
 KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 
 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y 
 P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S 
 VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ 
 DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ 
 KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt 
 PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 
 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= 
 -----END CERTIFICATE REQUEST-----

9

Microsoft Sertifika Hizmeti web arayüzünden bir kimlik sertifikası talep edin.

10

Kimlik sertifikasını içe aktarın.

Cihaz-1(yapılandırma)# şifreleme cası myCA sertifika girişini içe aktar (kesip yapıştır) sertifikaSıNı PEM biçiminde:
-----BEGIN SERTIFIKA----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH AQEEfjB8MDsGCsGAQUFBzAÇi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl LTA4X0FwYXJuYSUYMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF AANBADbGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw E36cI Yer4WsExREqxbTk8ycx7V5o= -----END CERTIFICATE----- Device-1(yapılandırma)# Cihazdan çık-1 #

11

Sertifika yapılandırmasını doğrulayın.

12

Sertifika yapılandırmasını başlangıç yapılandırmasına kaydedin.

CA Sertifikası İndirme

Microsoft Certificate Services web arayüzünden CA sertifikası indirmek için şu adımları izleyin:

1

Microsoft Sertifika Hizmetleri web arayüzünden, CA sertifikasını veya sertifika iptali görevini geri al'a ve ardından Sonraki seçeneğini tıklayın.

2

Görüntülenen listeden, gösterilen listeden indirecek CA sertifika dosyasını seçin. Ardından Base 64 ile kodlandı ve CA sertifikasını indir öğesinitıklatın.

3

Dosya İndirme Dosyasında Aç'ı iletişim kutusu.

4

Sertifika Sertifikası iletişim kutusu Dosyaya Kopyala ve Tamam öğesini tıklatın.

5

Sertifika Dışa Aktarma Sihirbazı iletişim kutusu, Base-64 ile kodlanmış X.509 (CER) öğesini seçin ve Sonraki seçeneğini tıklatın.

6

Dosya adı: Sertifika Dışa Aktarma Sihirbazı iletişim kutusu metin kutusu, hedef dosya adını girin ve Sonraki seçeneğini tıklatın.

7

Sertifika Dışa Aktarma Sihirbazı'iletişim kutusu, Son'u tıklatın.

8

Base-64 (PEM) formatında saklanan CA sertifikasını görüntülemek için Microsoft Windows türü komutunu girin.

Kimlik Sertifikası talep ediyor

PKCS#12 sertifika imzalama talebi (CRS) kullanarak Microsoft Sertifika sunucusundan bir sertifika tanımlama sertifikası talep etmek için şu adımları uygulayın:

1

Microsoft Sertifika Hizmetleri web arayüzünden Sertifika talep edin ve Sonraki seçeneğinitıklayın.

2

Gelişmiş talep ve İleri'ye tıklayın.

3

Base64 ile kodlanmış PKCS#10 dosyası veya base64 ile kodlanmış PKCS#7 dosyası kullanarak yenileme isteği gönder'e tıklayın ve Sonraki seçeneğini tıklatın.

4

Kayıtlı İstek metin kutusuna base64 PKCS#10 sertifika isteğini yapıştırın ve Sonraki seçeneğini tıklayın. Sertifika isteği Cisco NX-OS cihaz konsolundan kopyalanır.

5

Sertifika, CA yöneticisi tarafından verilene kadar bir veya iki gün bekleyin.

6

CA yöneticisinin sertifika isteğini onaydığını unutmayın.

7

Microsoft Sertifika Hizmetleri web arayüzünde Bekleyen bir sertifikayı kontrol edin ve Sonraki seçeneğini tıklayın.

8

Kontrol etmek istediğiniz sertifika isteğini seçin ve Sonraki seçeneğini tıklatın.

9

Base 64 ile kodlandı ve CA sertifikasını indir seçeneğini tıklatın.

10

Dosya İndirme iletişim kutusu Aç öğesini tıklatın.

11

Sertifika kutusunda, Ayrıntılar sekmesine ve Dosyaya Kopyala... seçeneğinitıklayın. Sertifika Dışa Aktarma İletişim kutusunda, Base-64 ile kodlanmış X.509 (. CER)ve Sonraki seçeneğini tıklatın.

12

Dosya adı: Sertifika Dışa Aktarma Sihirbazı iletişim kutusu metin kutusu, hedef dosya adını girin ve Sonraki seçeneğini tıklatın.

13

Son’a tıklayın.

14

Kimlik sertifikasını base64 ile kodlanmış biçimde görüntülemek için Microsoft Windows türü komutunu girin.

Sertifikayı GeriLama

Microsoft CA yönetici programını kullanan bir sertifikayı iptal etmek için şu adımları izleyin:

1

Sertifika Yetkilisi ağacından Verilen Sertifikalar klasörüne tıklayın. Listeden iptal etmek istediğiniz sertifikaya sağ tıklayın.

2

Sertifikayı İptal Etmek > Tüm Görevlerseçin.

3

Neden kodu kodu açılır liste iptal için bir neden seçin ve Evet öğesini tıklatın.

4

Sertifika iptallerini liste etmek ve doğrulamak için İptal Edilen Sertifikalar klasörüne tıklayın.

CRL Oluşturma ve Yayınlama

Microsoft CA yönetici programını kullanarak CRL oluşturmak ve yayınlamak için şu adımları izleyin:

1

Sertifika Yetkilisi ekranından Yayınla'yı > Tüm Görevler >seçin.

2

Sertifika İptal Listesi listesi, iletişim kutusu CRL'yi yayınlamak için Evet'e tıklayın.

CRL indirilerek

CRL'i Microsoft CA web sitesinden indirmek için şu adımları izleyin:

1

Microsoft Sertifika Hizmetleri web arayüzünden, CA sertifikasını veya sertifika iptal listesini al'a ve ardından Sonraki seçeneğini tıklayın.

2

En son sertifika iptal listesi öğesinitıklatın.

3

Dosya İndirme iletişim kutusu Kaydet öğesini tıklatın.

4

Farklı Kaydet iletişim kutusu hedef dosya adını girin ve Kaydet öğesini tıklatın.

5

CRL'yi görüntülemek için Microsoft Windows türü komutunu girin.

CRL'i içe aktarma

CRL'i Sertifika Yetkilisi'ne karşılık gelen güven noktasına içe aktarma için şu adımları izleyin:

1

CRL dosyasını Cisco NX-OS cihazı bootflash'e kopyalayın.

Cihaz-1# copy tftp:apranaCA.crl bootflash:aparnaCA.crl

2

CRL'yi yapılandırma.


Cihaz-1#  terminali yapılandır Device-1(yapılandırma)# crypto ca crl talebi myCA bootflash:aparnaCA.crl Device-1(yapılandırma) #

3

CRL içeriğini görüntüleme.


Cihaz-1(yapılandırma)# şifreleme ca'sı crl myCA Trustpoint'i göster: myCA 
 CRL:
Sertifika İptal Listesi (CRL):
        Sürüm 2 (0x1) 
        İmza Algoritması: sha1WithRSAEncryption 
        Veren Kişi: /emailAddress=admin@yourcompany.com/C=IN/ST=Karnatak/OU=netstorage/CN=Aparna CA Son 
 Güncelleme: 12 Kasım 04:36:04 2005 GMT 
        Sonraki Güncelleme: 19 Kasım 16:56:04 2005 GMT 
        CRL uzantıları:
            X509v3 Yetki Anahtarı Tanımlayıcısı:
            keyid:27:28:F2:46:83:1B:AC:23:4C:45:4D:8E:C9:18:50:1 
            1.3.6.1.4.1.311.21.1:
                ...
İptal Edilen Sertifikalar:
    Seri Numarası: 611B09A1000000002 İptal 
        Tarihi: 16 Ağustos 21:52:19 2005 GMT 
 Seri Numarası: 4CDE464E0000000003 İptal 
        Tarihi: 16 Ağustos 21:52:29 2005 GMT 
    Seri Numarası: 4CFC2B420000000004 İptal 
        Tarihi: 16 Ağustos 21:52:41 2005 GMT 
    Seri Numarası: 6C699EC20000000005 
        İptal Tarihi: 16 Ağustos 21:52:52 2005 GMT 
    Seri Numarası: 6CCF7DDC0000000006 
        İptal Tarihi: 8 Haz 00:12:04 2005 GMT 
    Seri Numarası: 70CC4FFF0000000007 
        İptal Tarihi: 16 Ağustos 21:53:15 2005 GMT 
    Seri Numarası: 4D9B1160000000008 İptal 
        Tarihi: 16 Ağustos 21:53:15 2005 GMT 
    Seri Numarası: 52A802300000000009 
        İptal Tarihi: 27 Haz 23:47:06 2005 GMT 
        CRL giriş uzantıları:
            X509v3 CRL Neden Kodu:
            CA'nın 
 Seri Numarası: 5349AD4600000000A İptal 
        Tarihi: 27 Haz 23:47:22 2005 GMT 
        CRL giriş uzantıları:
            X509v3 CRL Neden Kodu:
            CA'nın 
 Seri Numarası: 53BD173C00000000B İptal 
        Tarihi: 4 Tem 18:04:01 2005 GMT 
        CRL giriş uzantıları:
            X509v3 CRL Neden Kodu:
            Sertifika Tutma 
 Seri Numarası: 591E7ACE000000000C 
        İptal Tarihi: 16 Ağustos 21:53:15 2005 GMT 
    Seri Numarası: 5D3FD52E00000000D İptal 
        Tarihi: 29 Haz 22:07:25 2005 GMT 
        CRL giriş uzantıları:
            X509v3 CRL Neden Kodu:
            Anahtar Neden Olan 
 Seri Numarası: 5DAB771300000000E İptal 
        Tarihi: 14 Tem 00:33:56 2005 GMT 
    Seri Numarası: 5DAE53CD00000000F İptal 
        Tarihi: 16 Ağustos 21:53:15 2005 GMT 
    Seri Numarası: 5DB140D30000000010 
        İptal Tarihi: 16 Ağustos 21:53:15 2005 GMT 
    Seri Numarası: 5E2D7C1B0000000011 İptal 
        Tarihi: 6 Tem 21:12:10 2005 GMT 
        CRL giriş uzantıları:
            X509v3 CRL Neden Kodu:
            Çalışma Seri Numarasının 
 Kesilmesi: 16DB4F8F0000000012 İptal 
        Tarihi: 16 Ağustos 21:53:15 2005 GMT 
    Seri Numarası: 261C39240000000013 
        İptal Tarihi: 16 Ağustos 21:53:15 2005 GMT 
    Seri Numarası: 262B52020000000014 
        İptal Tarihi: 14 Tem 00:33:10 2005 GMT 
    Seri Numarası: 2634C7F20000000015 
        İptal Tarihi: 14 Tem 00:32:45 2005 GMT 
    Seri Numarası: 2635B0000000000016 
        İptal Tarihi: 14 Tem 00:31:51 2005 GMT 
    Seri Numarası: 264850400000000017 
        İptal Tarihi: 14 Tem 00:32:25 2005 GMT 
    Seri Numarası: 2A27635700000000018 
 İptal Tarihi: 16 Ağustos 21:53:15 2005 GMT 
    Seri Numarası: 3F88CBF70000000019 
        İptal Tarihi: 16 Ağustos 21:53:15 2005 GMT 
    Seri Numarası: 6E4B5F5F000000001A 
        İptal Tarihi: 16 Ağustos 21:53:15 2005 GMT 
    Seri Numarası: 725B89D8000000001B 
        İptal Tarihi: 16 Ağustos 21:53:15 2005 GMT 
    Seri Numarası: 735A8878000000001C 
        İptal Tarihi: 16 Ağustos 21:53:15 2005 GMT 
    Seri Numarası: 148511C7000000001D 
        İptal Tarihi: 16 Ağustos 21:53:15 2005 GMT 
    Seri Numarası: 14A71701000000001E 
        İptal Tarihi: 16 Ağustos 21:53:15 2005 GMT 
    Seri Numarası: 14FC45B5000000001F 
        İptal Tarihi: 17 Ağustos 18:30:42 2005 GMT 
    Seri Numarası: 486CE80B0000000020 
        İptal Tarihi: 17 Ağustos 18:30:43 2005 GMT 
    Seri Numarası: 4CA4A3AA000000021 İptal 
        Tarihi: 17 Ağustos 18:30:43 2005 GMT 
    Seri Numarası: 1AA55C8E000000002F 
        İptal Tarihi: 5 Eylül 2005 GMT Seri Numarası: 3F0845DD000000003F 
        İptal Tarihi: 8 Eylül 20:24:32 2005 GMT 
    Seri Numarası: 3F619B7E0000000042 İptal 
        Tarihi: 8 Eylül 21:40:48 2005 GMT 
    Seri Numarası: 6313C4630000000052 İptal 
        Tarihi: 19 Eylül 2005 GMT Seri Numarası: 7C3861E30000000060 İptal 
        Tarihi: 20 Eylül 2017:52:56 2005 GMT 
    Seri Numarası: 7C6EE3510000000061 İptal 
        Tarihi: 20 Eylül 2018:52:30 2005 GMT 
    Seri Numarası: 0A338EA10000000074 <-- Revoked identity certificate 
 İptal Tarihi: 12 Kasım 04:34:42 2005 GMT 
    İmza Algoritması: sha1WithRSAEncryption 
        0b:cb:dd:43:0a:b8:62:1e:80:95:06:6f:4d:ab:0c:d8:8e:32:
        44:8e:a7:94:97:af:02:b9:a6:9c:14:fd:cf:90:cf:18:c9:96:
        29:bb:57:37:d9:1f:d5:bd:4e:9a:4b:18:2b:00:2f:d2:6e:c1:
        1a:9f:1a:49:b7:9c:58:24:d7:72


 

İptal edilen cihazın kimlik sertifikası (seri numarası 0A338EA1000000074) sonunda listelenir.