配置 PKI

本章包含以下部分:

关于 PKI 的信息

本节提供了有关 PKI 的信息。

CA 和数字证书

证书颁发机构 (CA) 处理证书请求,并为参与实体(如主机、网络设备或用户)颁发证书。 这些 CA 为参与实体提供集中式密钥管理。

基于公钥加密的数字签名以数字方式验证设备和个人用户。 在诸如 RSA 加密系统等的公钥加密中,每个设备或用户都有一个包含私钥和公钥的密钥对。 私钥是保密的,仅拥有该私钥的设备或用户有权知晓。 而公钥是向所有人公开的。 使用其中一个密钥加密的任何内容都可以用另一个密钥解密。 用发送者的私钥对数据进行加密,便会生成签名。 接收者通过使用发送者的公钥解密消息来验证签名。 此方法可用的前提是:接收者必须拥有发送者公钥的副本,并确定该公钥为发送者所有,而非来自伪装成发送者的其他人。

数字证书会将数字签名与发送者连接起来。 数字证书中包含用于识别用户或设备的信息,例如名称、序列号、公司、部门或 IP 地址等。 它同时还包含实体公钥的副本。 签署证书的 CA 为接收者明确信任的第三方机构,他们负责验证身份和创建数字证书。

接收者必须首先知晓 CA 的公钥,才能验证其签名。 通常,此过程是在带外进行或在安装过程中完成的。 例如,大部分 Web 浏览器都缺省配置了多个 CA 的公钥。

信任模型、信任点和身份 CA

PKI 信任模型为分层结构,具有多个可配置的受信任 CA。 您可以为每个参与设备配置多个受信任的 CA,以便对在安全协议交换期间获得的对等证书(若由本地受信任的 CA 所颁发)进行验证。 Cisco NX-OS 软件会在本地存储受信任 CA 的自签名根证书(或次级认证机构的证书链)。 安全获取受信任 CA 根证书(或次级认证机构的整个证书链)并将其存储于本地的过程称为 CA 验证

您已配置的受信任 CA 的相关信息叫做信任点,CA 本身则称为信任点 CA。 该信息由 CA 证书(或次级认证机构的证书链)和证书吊销检查信息组成。

Cisco NX-OS 设备还可以向信任点申请注册,以获得与密钥对关联的身份证书。 该信任点称为身份 CA

RSA 密钥对和身份证书

要获得身份证书,您可以生成一个或多个 RSA 密钥对,并将每个密钥对关联到 Cisco NX-OS 设备计划注册的信任点 CA。 Cisco NX-OS 设备对于每个 CA 只需要一个身份,它由一对密钥和一个来自 CA 的身份证书组成。

Cisco NX-OS 软件允许您生成具有可配置密钥大小(或模数)的 RSA 密钥对。 缺省密钥大小为 512。 您还可以配置 RSA 密钥对标签。 缺省密钥标签为设备完全限定的域名 (FQDN)。

下表总结了信任点、RSA 密钥对和身份证书之间的关系:

  • 信任点对应 Cisco NX-OS 设备所信任的特定 CA,用于对各种应用程序(如 SSH)进行对等证书验证。

  • Cisco NX-OS 设备可拥有多个信任点,设备上的所有应用程序可以信任由任何信任点 CA 颁发的对等证书。

  • 信任点不局限于特定的应用程序。

  • Cisco NX-OS 设备向与信任点对应的 CA 申请注册,以获取身份证书。 您可以将您的设备注册到多个信任点,也就是说,您可以从每个信任点获取单独的身份证书。 应用程序根据颁发证书的 CA 在证书中指定的用途使用该身份证书。 证书用途将以证书扩展信息的形式存储在证书当中。

  • 注册到信任点时,您必须指定要认证的 RSA 密钥对。 您必须在生成注册请求前,生成此密钥对并将其关联到信任点。 信任点、密钥对和身份证书之间的关联将在证书、密钥对或信任点删除后明确解除,否则该关联始终有效。

  • 身份证书的主题名称为 Cisco NX-OS 设备完全限定的域名。

  • 您可以在设备上生成一个或多个 RSA 密钥对,且可将每个密钥对关联至一个或多个信任点。 然而,每个信任点最多只可关联一个密钥对,也就是说,只能从一个 CA 获得一个身份证书。

  • 如果 Cisco NX-OS 设备获取了多个身份证书(颁发这些证书的 CA 各不相同),应用程序在与对等节点进行安全协议交换时选择使用的证书必须是特定于该应用程序的证书。

  • 您无需为应用程序指定一个或多个信任点。 只要证书的用途符合应用程序要求,任何应用程序都可以使用由任何信任点颁发的任何证书。

  • 您不需要信任点颁发多个身份证书,也无需将多个密钥对关联到一个信任点。 CA 仅对给定身份(或名称)进行单次认证,并且通常不会颁发多个具有相同名称的证书。 但是,如果您需要从 CA 获取多个身份证书,且该 CA 允许多个具有相同名称的证书存在,则您必须为该 CA 定义另一个信任点,并将另一个密钥对与之关联,然后再对其进行认证。

多个受信任 CA 支持

通过配置多个信任点并将每个信任点与不同的 CA 关联,Cisco NX-OS 设备可信任多个 CA。 有了多个受信任的 CA,您可以不必将设备注册到为对等节点颁发证书的特定 CA。 相反,您可以用对等节点信任的多个受信任 CA 配置设备。 如此一来,对于接收自对等节点但并非由该对等节点身份中定义的同一 CA 所发出的证书,Cisco NX-OS 设备可使用已配置的受信任 CA 对其进行验证。

PKI 注册支持

注册是为设备获取用于 SSH 等应用程序的身份证书的过程。 该过程发生在请求证书的设备和证书颁发机构之间。

在执行 PKI 注册的过程中,Cisco NX-OS 设备将遵循以下步骤:

  • 在设备上生成 RSA 私钥和公钥对。

  • 生成标准格式的证书请求,并将其转发给 CA。


收到注册请求后,CA 管理员可能需要在 CA 服务器上手动批准注册请求。

  • 接收 CA 颁发的带有其私钥签名的证书。

  • 将证书写入设备的永久性存储区域 (bootflash)。

使用剪切粘贴手动注册

Cisco NX-OS 软件支持使用手动剪切粘贴进行证书检索和注册。 剪切粘贴注册是指您必须在设备和 CA 之间剪切和粘贴证书请求以及所颁发的证书。

使用剪切粘贴进行手动注册时,您必须执行以下步骤:

  • 创建注册证书请求,Cisco NX-OS 设备以 base64 编码文本格式显示该请求。

  • 剪切编码的证书请求文本并粘贴至电子邮件或 Web 表单中,然后发送给 CA。

  • 通过电子邮件接收或从 Web 浏览器下载 CA 颁发的证书(base64 编码文本格式)。

  • 利用证书导入工具将颁发的证书剪切并粘贴到设备中。

多个 RSA 密钥对和身份 CA 支持

多身份 CA 允许设备注册到多个信任点,获得多个身份证书,且颁发证书的 CA 各不相同。 借助此功能,Cisco NX-OS 设备可以利用对等节点认可的 CA 所颁发的证书与这些对等节点一同参与 SSH 和其他应用程序。

多 RSA 密钥对功能允许设备为其注册的每个 CA 保留不同的密钥对。 它可以匹配每个 CA 的策略要求,并且不会与其他 CA 指定的要求产生冲突(例如密钥长度)。 设备可以生成多个 RSA 密钥对并将各个密钥对关联到不同的信任点。 之后,在向信任点申请注册时,您可以使用关联的密钥对构建证书请求。

对等证书验证

Cisco NX-OS 设备的 PKI 支持可以验证对等证书。 Cisco NX-OS 软件会验证应用程序安全协议交换(如 SSH)期间从对等节点接收的证书。 应用程序会验证对等证书的有效性。 验证对等证书时,Cisco NX-OS 软件将执行以下步骤:

  • 验证对等证书是否由本地受信任的 CA 颁发。

  • 验证对等证书当前是否有效(未过期)。

  • 验证对等证书是否未被其 CA 吊销。

Cisco NX-OS 软件支持通过证书吊销列表 (CRL) 进行吊销检查。 信任点 CA 可以使用该方法来验证对等证书未被吊销。

证书吊销检查

Cisco NX-OS 软件可以检查 CA 证书的吊销状态。 应用程序可以按您指定的顺序使用吊销检查机制。 选项包括 CRL、无或两种方法结合使用。

CRL 支持

CA 会维护一份证书吊销列表 (CRL),以提供在过期前被吊销证书的相关信息。 CA 会将 CRL 发布在存储库中,并在所有已颁布证书中提供下载公共 URL。 验证对等证书的客户端可以从颁发该证书的 CA 获取最新的 CRL,并利用它来确定证书是否已被吊销。 客户端可以在本地缓存部分或所有受其信任的 CA 的 CRL,以便后期按需使用,前提是 CRL 未到期。

Cisco NX-OS 软件允许为信任点手动配置预下载的 CRL,并将它们缓存在设备的 bootflash(证书存储)中。 在验证对等证书时,仅当相应的 CRL 已在本地缓存且吊销检查配置为使用该 CRL 执行时,Cisco NX-OS 软件才会检查来自颁发证书的 CA 的 CRL。 条件未满足且未配置其他吊销检查方法时,Cisco NX-OS 软件不会执行 CRL 检查,并且认为证书未被吊销。

证书和关联密钥对的导入和导出支持

作为 CA 认证和注册过程的一部分,次级 CA 证书(或证书链)和身份证书可以用标准 PEM (base64) 格式导入。

信任点中的完整身份信息可以导出为受密码保护的 PKCS#12 标准格式文件。 您之后可将其导入到同一设备(例如系统崩溃后)或另一个替换设备当中。 PKCS#12 文件中的信息由 RSA 密钥对、身份证书和 CA 证书(或证书链)组成。

PKI 许可要求

下表显示了该功能的许可要求:

产品

许可要求

Cisco NX-OS

PKI 功能不需要许可证。 许可证包中未包含的任何功能都与 Cisco NX-OS 系统映像捆绑在一起,免费提供给您。 有关 Cisco NX-OS 许可方案的说明,请参阅《Cisco NX-OS 许可指南》

PKI 指南和限制

PKI 的配置指南和限制如下:

  • 您可在 Cisco NX-OS 设备上配置的最大密钥对数为 16 对。

  • 您可在 Cisco NX-OS 设备上声明的最大信任点数为 16 个。

  • 您可在 Cisco NX-OS 设备上配置的最大身份证书数为 16 个。

  • 一个 CA 证书链中最多可包括 10 个证书。

  • 对于一个特定 CA,您可以验证的信任点最多为 10 个。

  • 配置回滚不支持 PKI 配置。

  • Cisco NX-OS 软件不支持 OSCP。


如果您对 Cisco IOS CLI 很熟悉,请注意,此功能对应的 Cisco NX-OS 命令可能与您可能使用的 Cisco IOS 命令不同。

PKI 缺省设置

下表列出了 PKI 参数的缺省设置。

图表 1。 缺省 PKI 参数

参数

缺省值

信任点

没有

RSA 密钥对

没有

RSA 密钥对标签

设备 FQDN

RSA 密钥对模数

512

RSA 密钥对可导出

启用

吊销检查方法

CRL

配置 CA 和数字证书

本节介绍了为支持 CA 和您 Cisco NX-OS 设备数字证书的交互操作,您必须执行的任务。

配置主机名和 IP 域名

如果您尚未配置设备主机名和 IP 域名,您必须对其进行配置,因为 Cisco NX-OS 软件将使用设备完全限定的域名 (FQDN) 作为身份证书中的主题。 此外,如果您在密钥对生成时未指定标签,Cisco NX-OS 软件会将该设备的 FQDN 用作缺省密钥标签。 例如,名为 DeviceA.example.com 的证书基于设备主机名 DeviceA 以及 IP 域名 example.com 命名。


证书生成后更改主机名或 IP 域名会导致证书失效。

  命令或操作 目的
1

configure terminal

例如:

switch# configure terminal switch(config)#

进入全局配置模式。

2

hostname主机名

例如:

switch(config)# hostname DeviceA

配置设备的主机名。

3

ip domain-name名称 [use-vrfvrf-名称]

例如:

DeviceA(config)# ip domain-name example.com

配置设备的 IP 域名。 如不特别指定,该命令将使用缺省 VRF 名称。

4

exit

例如:

switch(config)# exit switch#

退出配置模式。

5

(可选)show hosts

例如:

switch# show hosts
(可选)

显示 IP 域名。

6

(可选)copy running-config startup-config

例如:

switch# copy running-config startup-config
(可选)

将运行中的配置复制到启动配置。

生成 RSA 密钥对

您可以生成 RSA 密钥对,对应用程序在安全协议交换期间的安全措施负载进行签名和/或加密及解密。 生成 RSA 密钥对之后,您才能获得设备证书。

  命令或操作 目的
1

configure terminal

例如:

switch# configure terminal switch(config)#

进入全局配置模式。

2

crypto key generate rsa [label标签字符串] [exportable] [modulus模数]

例如:

switch(config)# crypto key generate rsa exportable

生成一对 RSA 密钥。 每个设备最多可配置 16 对密钥。

标签字符串为字母和数字的组合,区分大小写,最大长度为 64 个字符。 缺省的标签字符串为主机名和 FQDN,中间以句点字符 (.) 进行分隔。

有效模数值为 512、768、1024、1536 和 2048。 缺省模数为 512。


 

在确定合适的密钥模数时,应将 Cisco NX-OS 设备和已计划要进行注册的 CA 上的安全策略考虑入内。

缺省情况下,密钥对不可导出。 仅可导出密钥对可以 PKCS#12 格式导出。


 

您无法对密钥对的可导出性进行更改。

3

exit

例如:

switch(config)# exit switch#

退出配置模式。

4

(可选)show crypto key mypubkey rsa

例如:

witch# show crypto key mypubkey rsa
(可选)

显示所生成的密钥。

5

(可选)copy running-config startup-config

例如:

switch# copy running-config startup-config
(可选)

将运行中的配置复制到启动配置。

创建信任点 CA 关联

您必须将 Cisco NX-OS 设备关联到信任点 CA。

准备工作

生成 RSA 密钥对。

  命令或操作 目的
1

configure terminal

例如:

switch# configure terminal switch(config)#

进入全局配置模式。

2

crypto ca trustpoint 名称

例如:

switch(config)# crypto ca trustpoint admin-ca switch(config-trustpoint)#

声明设备应信任的信任点 CA,并进入信任点配置模式。


 

您可在设备上配置的最大信任点数为 16 个。

3

enrollment terminal

例如:

switch(config-trustpoint)# enrollment terminal

启用手动剪切粘贴证书注册。 缺省情况下启用。


 

Cisco NX-OS 软件仅支持使用手动剪切粘贴的方式进行证书注册。

4

rsakeypair 标签

例如:

switch(config-trustpoint)# rsakeypair SwitchA

指定要与此信任点关联的 RSA 密钥对的标签,以进行注册。


 

仅可为每个 CA 指定一个 RSA 密钥对。

5

exit

例如:

switch(config-trustpoint)# exit switch(config)#

退出信任点配置模式。

6

(可选)show crypto ca trustpoints

例如:

switch(config)# show crypto ca trustpoints
(可选)

显示信任点信息。

7

(可选)copy running-config startup-config

例如:

switch(config)# copy running-config startup-config
(可选)

将运行中的配置复制到启动配置。

验证 CA

只有向 Cisco NX-OS 设备验证 CA 身份后,授信 CA 的配置过程才算完成。 您必须获取包含 CA 公钥的 CA 自签名证书(PEM 格式)以在您的 Cisco NX-OS 设备上验证该 CA。 CA 的证书为自签名证书(CA 自己的证书由自己签名),因此,您需要联系 CA 管理员以比对 CA 证书的指纹,手动验证 CA 公钥。


如果您验证的 CA 是另一个 CA 的次级 CA,该次级 CA 又是其他 CA 的次级 CA,以此类推,最终追溯到一个自签名 Ca,那么,您验证的 CA 非自签名 CA。 我们把此类 CA 证书称为要验证 CA 的 CA 证书链。 这种情况下,您在验证 CA 时,必须输入证书链中所有 CA 的完整证书列表。 一个 CA 证书链中最多可包括 10 个证书。

准备工作

创建与 CA 的关联。

获取 CA 证书或 CA 证书链。

  命令或操作 目的
1

configure terminal

例如:

switch# configure terminal switch(config)#

进入全局配置模式。

2

crypto ca authenticate 名称

例如:

switch(config)# crypto ca authenticate admin-ca input (cut & paste) CA certificate (chain) in PEM format; end the input with a line containing only END OF INPUT : -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea NBG7E0oN66zex0EOEfG1Vs6mXp1//w== -----END CERTIFICATE----- END OF INPUT Fingerprint(s): MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Do you accept this certificate? [yes/no]: yes

提示您剪切和粘贴 CA 证书。 使用与声明 CA 时所用的相同名称。

对于一个特定 CA,您可以验证的信任点最多为 10 个。


 

对于次级 CA 验证,Cisco NX-OS 软件要求追溯至自签名 CA 的完整的 CA 证书链,因为证书验证及 PKCS#12 格式导出时均需用到该 CA 证书链。

3

exit

例如:

switch(config)# exit switch#

退出配置模式。

4

(可选)show crypto ca trustpoints

例如:

switch# show crypto ca trustpoints
(可选)

显示信任点 CA 信息。

5

(可选)copy running-config startup-config

例如:

switch# copy running-config startup-config
(可选)

将运行中的配置复制到启动配置。

配置证书吊销检查方法

在与客户端(如 SSH 用户)进行安全交换时,Cisco NX-OS 设备会对客户端发送的对等证书进行证书验证。 验证过程或可涉及证书吊销状态检查。

您可以对设备进行配置,以便检查从 CA 下载的 CRL。 下载 CRL 并在本地进行检查不会在您的网络中产生流量。 然而,证书吊销可能会发生在两次下载的中间间隔时段,您的设备对此类吊销将无从知晓。

准备工作

验证 CA。

如要使用 CRL 检查,请确保已配置 CRL。

  命令或操作 目的
1

configure terminal

例如:

switch# configure terminal switch(config)#

进入全局配置模式。

2

crypto ca trustpoint 名称

例如:

switch(config)# crypto ca trustpoint admin-ca switch(config-trustpoint)#

指定信任点 CA 并进入信任点配置模式。

3

revocation-check {crl [none] | none}

例如:

switch(config-trustpoint)# revocation-check none

配置证书吊销检查的方法。 缺省方法为 crl

Cisco NX-OS 软件会按您指定的顺序使用证书吊销检查方法。

4

exit

例如:

switch(config-trustpoint)# exit switch(config)#

退出信任点配置模式。

5

(可选)show crypto ca trustpoints

例如:

switch(config)# show crypto ca trustpoints
(可选)

显示信任点 CA 信息。

6

(可选)copy running-config startup-config

例如:

switch(config)# copy running-config startup-config
(可选)

将运行中的配置复制到启动配置。

生成证书请求

您必须为设备的每个 RSA 密钥对生成一个请求,以从其关联的信任点 CA 获取身份证书。 然后,您必须将显示的请求剪切粘贴到电子邮件或 CA 的网站表单中。

准备工作

创建与 CA 的关联。

获取 CA 证书或 CA 证书链。

  命令或操作 目的
1

configure terminal

例如:

switch# configure terminal switch(config)#

进入全局配置模式。

2

crypto ca enroll 名称

例如:

switch(config)# crypto ca enroll admin-ca Create the certificate request .. Create a challenge password. You will need to verbally provide this password to the CA Administrator in order to revoke your certificate. For security reasons your password will not be saved in the configuration. Please make a note of it. Password:nbv123 The subject name in the certificate will be: DeviceA.cisco.com Include the switch serial number in the subject name? [yes/no]: no Include an IP address in the subject name [yes/no]: yes ip address:172.22.31.162 The certificate request will be displayed... -----BEGIN CERTIFICATE REQUEST----- MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= -----END CERTIFICATE REQUEST-----

为已通过验证的 CA 生成证书请求。


 

您必须记住质询密码。 该密码不会随设置一同保存。 如要吊销该证书,您必须输入该密码。

3

exit

例如:

switch(config-trustpoint)# exit switch(config)#

退出信任点配置模式。

4

(可选)show crypto ca certificates

例如:

switch(config)# show crypto ca certificates
(可选)

显示 CA 证书。

5

(可选)copy running-config startup-config

例如:

switch(config)# copy running-config startup-config
(可选)

将运行中的配置复制到启动配置。

安装身份证书

您可以通过电子邮件或 Web 浏览器获取 CA 颁发的身份证书(base64 编码文本格式)。 您必须通过剪切和粘贴编码文本安装从 CA 接收的身份证书。

准备工作

创建与 CA 的关联。

获取 CA 证书或 CA 证书链。

  命令或操作 目的
1

configure terminal

例如:

switch# configure terminal switch(config)#

进入全局配置模式。

2

crypto ca import 名称 certificate

例如:

switch(config)# crypto ca import admin-ca certificate input (cut & paste) certificate in PEM format: -----BEGIN CERTIFICATE----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw E36cIZu4WsExREqxbTk8ycx7V5o= -----END CERTIFICATE-----

提示您剪切和粘贴名为 admin-ca 的 CA 身份证书。

您最多可为单个设备配置 16 个身份证书。

3

exit

例如:

switch(config)# exit switch#

退出配置模式。

4

(可选)show crypto ca certificates

例如:

switch# show crypto ca certificates
(可选)

显示 CA 证书。

5

(可选)copy running-config startup-config

例如:

switch# copy running-config startup-config
(可选)

将运行中的配置复制到启动配置。

确保在重新启动期间信任点配置保持不变

您可以确保在 Cisco NX-OS 设备重启期间信任点配置保持不变。

信任点配置是一种常规的 Cisco NX-OS 设备配置,若要在设备重启期间保持该配置不变,您必须清楚明确将其复制到启动配置当中。 将信任点配置复制到启动配置中后,与信任点关联的证书、密钥对和 CRL 将自动保持不变。 反之,如未将信任点配置复制到启动配置,则与其关联的证书、密钥对和 CRL 将不复存在,因为它们在重启后需要相应的信任点配置。 谨记您必须将运行中的配置复制到启动配置中,以确保已配置的证书、密钥对和 CRL 保持不变。 此外,删除证书或密钥对后,您需要保存正在运行的配置,以确保删除操作持久有效。

如您已将特定的信任点保存到启动配置中,与该信任点关联的证书和 CRL 在导入时将自动续存(无需再单独将其清楚明确地复制到启动配置当中)。

我们建议您为身份证书创建一个具备密码保护的备份,并将其保存到外部服务器上。


将配置复制到外部服务器包括证书和密钥对。

以 PKCS 12 格式导出身份信息

您可以将信任点的身份证书与 RSA 密钥对和 CA 证书(或是次级 CA 的整个证书链)一起导出到 PKCS#12 文件中,以进行备份。 在设备发生系统故障或更换监控模块时,您可以重新导入这些证书和 RSA 密钥对以进行恢复。


指定导出 URL 时只能使用 bootflash:文件名格式。

准备工作

验证 CA。

安装身份证书。

  命令或操作 目的
1

configure terminal

例如:

switch# configure terminal switch(config)#

进入全局配置模式。

2

crypto ca export名称 pkcs12 bootflash:文件名密码

例如:

switch(config)# crypto ca export admin-ca pkcs12 bootflash:adminid.p12 nbv123

导出身份证书和关联密钥对以及信任点 CA 的 CA 证书。 密码为字母和数字的组合,区分大小写,最大长度为 128 个字符。

3

exit

例如:

switch(config)# exit switch#

退出配置模式。

4

copy booflash:文件名方案://服务器/ [url/]文件名

例如:

switch# copy bootflash:adminid.p12 tftp:adminid.p12

将 PKCS#12 格式文件复制到远程服务器。

方案参数处,您可以输入 tftp:ftp:scp:sftp:服务器参数为远程服务器的地址或名称,URL 参数则是指向远程服务器上源文件的路径。

服务器URL文件名参数区分大小写。

以 PKCS 12 格式导入身份信息

在设备发生系统故障或更换监控模块时,您可以重新导入这些证书和 RSA 密钥对以进行恢复。


指定导入 URL 时只能使用 bootflash:文件名格式。

准备工作

检查并确认没有与该信任点关联的 RSA 密钥对,同时检查并确认没有 CA 通过 CA 验证与该信任点关联,从而确认信任点为空。

  命令或操作 目的
1

copy方案://服务器/[url/]文件名bootflash:文件名

例如:

switch# copy tftp:adminid.p12 bootflash:adminid.p12

从远程服务器上复制 PKCS#12 格式文件。

方案参数处,您可以输入 tftp:ftp:scp:sftp:服务器参数为远程服务器的地址或名称,URL 参数则是指向远程服务器上源文件的路径。

服务器URL文件名参数区分大小写。

2

configure terminal

例如:

switch# configure terminal switch(config)#

进入全局配置模式。

3

crypto ca import名称pksc12 bootflash:文件名

例如:

switch(config)# crypto ca import admin-ca pkcs12 bootflash:adminid.p12 nbv123

导入身份证书和关联密钥对以及信任点 CA 的 CA 证书。

4

exit

例如:

switch(config)# exit switch#

退出配置模式。

5

(可选)show crypto ca certificates

例如:

switch# show crypto ca certificates
(可选)

显示 CA 证书。

6

(可选)copy running-config startup-config

例如:

switch# copy running-config startup-config
(可选)

将运行中的配置复制到启动配置。

配置 CRL

您可以手动配置从信任点下载的 CRL。 Cisco NX-OS 软件会在设备的 bootflash(证书存储)中缓存 CRL。 在验证对等证书时,仅当您已将 CRL 下载到设备且将证书吊销检查配置为使用 CRL 执行时,Cisco NX-OS 软件才会检查来自颁发证书的 CA 的 CRL。

准备工作

确保您已启用证书吊销检查。

  命令或操作 目的
1

copy方案:[//服务器/[url/]]文件名bootflash:文件名

例如:

switch# copy tftp:adminca.crl bootflash:adminca.crl

从远程服务器上下载 CRL。

方案参数处,您可以输入 tftp:ftp:scp:sftp:服务器参数为远程服务器的地址或名称,URL 参数则是指向远程服务器上源文件的路径。

服务器URL文件名参数区分大小写。

2

configure terminal

例如:

switch# configure terminal switch(config)#

进入全局配置模式。

3

crypto ca crl request名称bootflash:文件名

例如:

switch(config)# crypto ca crl request admin-ca bootflash:adminca.crl

使用文件中指定的 CRL 配置或替换当前 CRL。

4

exit

例如:

switch(config)# exit switch#

退出配置模式。

5

(可选)show crypto ca crl名称

例如:

switch# show crypto ca crl admin-ca
(可选)

显示 CA CRL 信息。

6

(可选)copy running-config startup-config

例如:

switch# copy running-config startup-config
(可选)

将运行中的配置复制到启动配置。

从 CA 配置中删除证书

您可以删除在信任点中配置的身份证书和 CA 证书。 您必须先删除身份证书,然后再删除 CA 证书。 删除身份证书后,您可以解除 RSA 密钥对与信任点的关联。 要移除过期或吊销的证书、已泄露(或疑似泄露)密钥对的证书或不再受信任的 CA,您必须删除证书。

  命令或操作 目的
1

configure terminal

例如:

switch# configure terminal switch(config)#

进入全局配置模式。

2

crypto ca trustpoint 名称

例如:

switch(config)# crypto ca trustpoint admin-ca switch(config-trustpoint)#

指定信任点 CA 并进入信任点配置模式。

3

delete ca-certificate

例如:

switch(config-trustpoint)# delete ca-certificate

删除 CA 证书或证书链。

4

delete certificate [force]

例如:

switch(config-trustpoint)# delete certificate

删除身份证书。

当要删除的身份证书是证书链中的最后一个证书,或是设备中仅有的身份证书时,您必须使用 force 选项。 此要求可确保不会因为误删除证书链中的最后一个证书或设备中仅有的身份证书,导致应用程序(例如 SSH)没有证书可用。

5

exit

例如:

switch(config-trustpoint)# exit switch(config)#

退出信任点配置模式。

6

(可选)show crypto ca certificates [名称]

例如:

switch(config)# show crypto ca certificates admin-ca
(可选)

显示 CA 证书信息。

7

(可选)copy running-config startup-config

例如:

switch(config)# copy running-config startup-config
(可选)

将运行中的配置复制到启动配置。

从 Cisco NX-OS 设备中删除 RSA 密钥对

如果您认为 RSA 密钥对以某种方式遭到泄露且不宜继续使用,您可以将其从 Cisco NX-OS 设备中删除。


从设备中删除 RSA 密钥对后,您需要请求 CA 管理员吊销您的设备在该 CA 处获得的证书。 发送该等请求时,您必须提供最初申请证书时所创建的质询密码。

  命令或操作 目的
1

configure terminal

例如:

switch# configure terminal switch(config)#

进入全局配置模式。

2

crypto key zeroize rsa 标签

例如:

switch(config)# crypto key zeroize rsa MyKey

删除 RSA 密钥对。

3

exit

例如:

switch(config)# exit switch#

退出配置模式。

4

(可选)show crypto key mypubkey rsa

例如:

witch# show crypto key mypubkey rsa
(可选)

显示 RSA 密钥对配置。

5

(可选)copy running-config startup-config

例如:

switch# copy running-config startup-config
(可选)

将运行中的配置复制到启动配置。

验证 PKI 配置

要显示 PKI 配置信息,请执行下列任务中的一项:

命令

目的

show crypto key mypubkey rsa

显示在 Cisco NX-OS 设备上生成的 RSA 公钥的相关信息。

show crypto ca certificates

显示 CA 和身份证书的相关信息。

show crypto ca crl

显示 CA CRL 的相关信息。

show crypto ca trustpoints

显示 CA 信任点的相关信息。

PKI 配置示例

本节给出了一些任务示例,您可以尝试使用以下方法,通过 Microsoft Windows Certificate 服务器在 Cisco NX-OS 设备上配置证书和 CRL。


您可以使用任何类型的证书服务器生成数字证书。 并非仅限于使用 Microsoft Windows Certificate 服务器。

在 Cisco NX-OS 设备上配置证书

要在 Cisco NX-OS 设备上配置证书,请遵循以下步骤:

1

配置设备的 FQDN。

switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# hostname Device-1 Device-1(config)# 
2

配置设备的 DNS 域名。

Device-1(config)# ip domain-name cisco.com

3

创建信任点。

Device-1(config)# crypto ca trustpoint myCA Device-1(config-trustpoint)# exit Device-1(config)# show crypto ca trustpoints trustpoint: myCA; key: revokation methods: crl 
4

为设备创建 RSA 密钥对。

Device-1(config)# crypto key generate rsa label myKey exportable modulus 1024 Device-1(config)# show crypto key mypubkey rsa key label: myKey key size: 1024 exportable: yes 
5

将 RSA 密钥对关联到信任点。

Device-1(config)# crypto ca trustpoint myCA Device-1(config-trustpoint)# rsakeypair myKey Device-1(config-trustpoint)# exit Device-1(config)# show crypto ca trustpoints trustpoint: myCA; key: myKey revokation methods: crl 
6

从 Microsoft Certificate Service Web 界面下载 CA 证书。

7

对您要注册到信任点的 CA 进行验证。

Device-1(config)# crypto ca authenticate myCA input (cut & paste) CA certificate (chain) in PEM format; end the input with a line containing only END OF INPUT : -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB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-----END CERTIFICATE-----
END OF INPUT Fingerprint(s): MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Do you accept this certificate? [yes/no]:y Device-1(config)# show crypto ca certificates Trustpoint: myCA CA certificate 0: subject= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA issuer= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA serial=0560D289ACB419944F4912258CAD197A notBefore=May 3 22:46:37 2005 GMT notAfter=May 3 22:55:17 2007 GMT MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 purposes: sslserver sslclient ike 
8

生成请求证书,以用于注册到信任点。

Device-1(config)# crypto ca enroll myCA Create the certificate request .. Create a challenge password. You will need to verbally provide this password to the CA Administrator in order to revoke your certificate. For security reasons your password will not be saved in the configuration. Please make a note of it. 密码: nbv123 The subject name in the certificate will be: Device-1.cisco.com Include the switch serial number in the subject name? [yes/no]: no Include an IP address in the subject name [yes/no]: yes ip address: 10.10.1.1 The certificate request will be displayed... -----BEGIN CERTIFICATE REQUEST----- MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= -----END CERTIFICATE REQUEST----- 
9

从 Microsoft Certificate Service Web 界面请求身份证书。

10

导入身份证书。

Device-1(config)# crypto ca import myCA certificate input (cut & paste) certificate in PEM format: -----BEGIN CERTIFICATE----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G
CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD
VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz
Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w
NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu
Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C
dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47
glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb
x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw
GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR
bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW
pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE
BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w
DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh
cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6
Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6
Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH
AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl
LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4
XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF
AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw
E36cIZu4WsExREqxbTk8ycx7V5o=
-----END CERTIFICATE----- Device-1(config)# exit Device-1# 
11

验证证书配置。

12

将证书配置复制到启动配置。

下载 CA 证书

要从 Microsoft Certificate Service Web 界面下载 CA 证书,请遵循以下步骤:

1

在 Microsoft Certificate Services Web 界面中,单击检索 CA 证书或证书吊销任务,然后单击下一步

2

在显示列表中选择要下载的 CA 证书文件。 单击 Base 64 编码,再单击下载 CA 证书

3

在“已下载文件”对话框中,单击打开

4

在证书对话框中,单击复制到文件,然后单击确定

5

在证书导出向导对话框中,选择 Base-64 编码的 X.509 (CER) 并单击下一步

6

在“证书导出向导”对话框的 “文件名:”文本框中,输入目标文件名,然后单击下一步

7

在证书导出向导对话框中单击完成

8

输入 Microsoft Windows Type 命令,显示以 Base-64 (PEM) 格式存储的 CA 证书。

请求身份证书

要使用 PKCS#12 证书签名请求 (CRS) 向 Microsoft Certificate 服务器请求身份证书,请遵循以下步骤:

1

在 Microsoft Certificate Services Web 界面中,单击请求证书,然后单击下一步

2

单击高级请求,然后单击下一步

3

单击使用 base64 编码的 PKCS#10 文件提交证书请求或使用 base64 编码的 PKCS#7 文件提交续订请求,然后单击下一步

4

在“已保存的请求”文本框中,粘贴 base64 PKCS#10 证书请求并单击下一步。 证书请求复制自 Cisco NX-OS 设备的控制台。

5

等待一到两天,会收到 CA 管理员颁发证书。

6

请注意,CA 管理员会批准证书请求。

7

在 Microsoft Certificate Services Web 界面中,单击检查待批准证书,然后单击下一步

8

选择想要检查的证书请求,然后单击下一步

9

单击 Base 64 编码,再单击下载 CA 证书

10

在“文件下载”对话框中,单击打开

11

在证书对话框中,单击详细信息标签页,然后单击复制到文件...。 在证书导出对话框中,选择 Base-64 编码的 X.509 (.CER) 并单击下一步

12

在“证书导出向导”对话框的 “文件名:”文本框中,输入目标文件名,然后单击下一步

13

单击完成

14

输入 Microsoft Windows Type 命令,显示 Base-64 编码格式的身份证书。

吊销证书

要使用 Microsoft CA 管理员程序吊销证书,请遵循以下步骤:

1

在证书颁发中心树中,单击已颁发的证书文件夹。 在列表中右键单击要吊销的证书。

2

选择所有任务 > 吊销证书

3

在原因代码下拉列表中选择吊销的原因,然后单击

4

单击已吊销的证书文件夹,显示证书吊销情况并证实证书已吊销。

生成和发布 CRL

要使用 Microsoft CA 管理员程序生成并发布 CRL,请遵循以下步骤:

1

在证书颁布中心界面,选择操作 > 所有任务 > 发布

2

在证书吊销列表对话框,单击以发布最新的 CRL。

下载 CRL

要从 Microsoft CA 网站下载 CRL,请遵循以下步骤:

1

在 Microsoft Certificate Services Web 界面中,单击检索 CA 证书或证书吊销列表,然后单击下一步

2

单击下载最新证书吊销列表

3

在“文件下载”对话框中,单击保存

4

在“保存为”对话框中输入目标文件名,然后单击保存

5

输入 Microsoft Windows type 命令以显示 CRL。

导入 CRL

要将 CRL 导入到与 CA 对应的信任点,请遵循以下步骤:

1

将 CRL 文件复制到 Cisco NX-OS 设备的 bootflash 当中。

Device-1# copy tftp:apranaCA.crl bootflash:aparnaCA.crl

2

配置 CRL。

 Device-1# configure terminal Device-1(config)# crypto ca crl request myCA bootflash:aparnaCA.crl Device-1(config)# 
3

显示 CRL 的内容。

 Device-1(config)# show crypto ca crl myCA Trustpoint: myCA CRL: Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: sha1WithRSAEncryption Issuer: /emailAddress=admin@yourcompany.com/C=IN/ST=Karnatak Yourcompany/OU=netstorage/CN=Aparna CA Last Update: Nov 12 04:36:04 2005 GMT Next Update: Nov 19 16:56:04 2005 GMT CRL extensions: X509v3 Authority Key Identifier: keyid:27:28:F2:46:83:1B:AC:23:4C:45:4D:8E:C9:18:50:1 1.3.6.1.4.1.311.21.1: ... Revoked Certificates: Serial Number: 611B09A1000000000002 Revocation Date: Aug 16 21:52:19 2005 GMT Serial Number: 4CDE464E000000000003 Revocation Date: Aug 16 21:52:29 2005 GMT Serial Number: 4CFC2B42000000000004 Revocation Date: Aug 16 21:52:41 2005 GMT Serial Number: 6C699EC2000000000005 Revocation Date: Aug 16 21:52:52 2005 GMT Serial Number: 6CCF7DDC000000000006 Revocation Date: Jun 8 00:12:04 2005 GMT Serial Number: 70CC4FFF000000000007 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 4D9B1116000000000008 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 52A80230000000000009 Revocation Date: Jun 27 23:47:06 2005 GMT CRL entry extensions: X509v3 CRL Reason Code: CA Compromise Serial Number: 5349AD4600000000000A Revocation Date: Jun 27 23:47:22 2005 GMT CRL entry extensions: X509v3 CRL Reason Code: CA Compromise Serial Number: 53BD173C00000000000B Revocation Date: Jul 4 18:04:01 2005 GMT CRL entry extensions: X509v3 CRL Reason Code: Certificate Hold Serial Number: 591E7ACE00000000000C Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 5D3FD52E00000000000D Revocation Date: Jun 29 22:07:25 2005 GMT CRL entry extensions: X509v3 CRL Reason Code: Key Compromise Serial Number: 5DAB771300000000000E Revocation Date: Jul 14 00:33:56 2005 GMT Serial Number: 5DAE53CD00000000000F Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 5DB140D3000000000010 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 5E2D7C1B000000000011 Revocation Date: Jul 6 21:12:10 2005 GMT CRL entry extensions: X509v3 CRL Reason Code: Cessation Of Operation Serial Number: 16DB4F8F000000000012 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 261C3924000000000013 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 262B5202000000000014 Revocation Date: Jul 14 00:33:10 2005 GMT Serial Number: 2634C7F2000000000015 Revocation Date: Jul 14 00:32:45 2005 GMT Serial Number: 2635B000000000000016 Revocation Date: Jul 14 00:31:51 2005 GMT Serial Number: 26485040000000000017 Revocation Date: Jul 14 00:32:25 2005 GMT Serial Number: 2A276357000000000018 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 3F88CBF7000000000019 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 6E4B5F5F00000000001A Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 725B89D800000000001B Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 735A887800000000001C Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 148511C700000000001D Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 14A7170100000000001E Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 14FC45B500000000001F Revocation Date: Aug 17 18:30:42 2005 GMT Serial Number: 486CE80B000000000020 Revocation Date: Aug 17 18:30:43 2005 GMT Serial Number: 4CA4A3AA000000000021 Revocation Date: Aug 17 18:30:43 2005 GMT Serial Number: 1AA55C8E00000000002F Revocation Date: Sep 5 17:07:06 2005 GMT Serial Number: 3F0845DD00000000003F Revocation Date: Sep 8 20:24:32 2005 GMT Serial Number: 3F619B7E000000000042 Revocation Date: Sep 8 21:40:48 2005 GMT Serial Number: 6313C463000000000052 Revocation Date: Sep 19 17:37:18 2005 GMT Serial Number: 7C3861E3000000000060 Revocation Date: Sep 20 17:52:56 2005 GMT Serial Number: 7C6EE351000000000061 Revocation Date: Sep 20 18:52:30 2005 GMT Serial Number: 0A338EA1000000000074 <-- Revoked identity certificate Revocation Date: Nov 12 04:34:42 2005 GMT Signature Algorithm: sha1WithRSAEncryption 0b:cb:dd:43:0a:b8:62:1e:80:95:06:6f:4d:ab:0c:d8:8e:32: 44:8e:a7:94:97:af:02:b9:a6:9c:14:fd:eb:90:cf:18:c9:96: 29:bb:57:37:d9:1f:d5:bd:4e:9a:4b:18:2b:00:2f:d2:6e:c1: 1a:9f:1a:49:b7:9c:58:24:d7:72 

 

The identity certificate for the device that was revoked (serial number 0A338EA1000000000074) is listed at the end.