- 配置 PKI
- 关于 PKI 的信息
- CA 和数字证书
- 信任模型、信任点和身份 CA
- RSA 密钥对和身份证书
- 多个受信任 CA 支持
- PKI 注册支持
- 使用剪切粘贴手动注册
- 多个 RSA 密钥对和身份 CA 支持
- 对等证书验证
- 证书吊销检查
- CRL 支持
- 证书和关联密钥对的导入和导出支持
- PKI 许可要求
- PKI 指南和限制
- PKI 缺省设置
- 配置 CA 和数字证书
- 配置主机名和 IP 域名
- 生成 RSA 密钥对
- 创建信任点 CA 关联
- 验证 CA
- 配置证书吊销检查方法
- 生成证书请求
- 安装身份证书
- 确保在重新启动期间信任点配置保持不变
- 以 PKCS 12 格式导出身份信息
- 以 PKCS 12 格式导入身份信息
- 配置 CRL
- 从 CA 配置中删除证书
- 从 Cisco NX-OS 设备中删除 RSA 密钥对
- 验证 PKI 配置
- PKI 配置示例
- 在 Cisco NX-OS 设备上配置证书
- 下载 CA 证书
- 请求身份证书
- 吊销证书
- 生成和发布 CRL
- 下载 CRL
- 导入 CRL
配置 PKI
本章包含以下部分:
关于 PKI 的信息
本节提供了有关 PKI 的信息。
CA 和数字证书
证书颁发机构 (CA) 处理证书请求,并为参与实体(如主机、网络设备或用户)颁发证书。 这些 CA 为参与实体提供集中式密钥管理。
基于公钥加密的数字签名以数字方式验证设备和个人用户。 在诸如 RSA 加密系统等的公钥加密中,每个设备或用户都有一个包含私钥和公钥的密钥对。 私钥是保密的,仅拥有该私钥的设备或用户有权知晓。 而公钥是向所有人公开的。 使用其中一个密钥加密的任何内容都可以用另一个密钥解密。 用发送者的私钥对数据进行加密,便会生成签名。 接收者通过使用发送者的公钥解密消息来验证签名。 此方法可用的前提是:接收者必须拥有发送者公钥的副本,并确定该公钥为发送者所有,而非来自伪装成发送者的其他人。
数字证书会将数字签名与发送者连接起来。 数字证书中包含用于识别用户或设备的信息,例如名称、序列号、公司、部门或 IP 地址等。 它同时还包含实体公钥的副本。 签署证书的 CA 为接收者明确信任的第三方机构,他们负责验证身份和创建数字证书。
接收者必须首先知晓 CA 的公钥,才能验证其签名。 通常,此过程是在带外进行或在安装过程中完成的。 例如,大部分 Web 浏览器都缺省配置了多个 CA 的公钥。
信任模型、信任点和身份 CA
PKI 信任模型为分层结构,具有多个可配置的受信任 CA。 您可以为每个参与设备配置多个受信任的 CA,以便对在安全协议交换期间获得的对等证书(若由本地受信任的 CA 所颁发)进行验证。 Cisco NX-OS 软件会在本地存储受信任 CA 的自签名根证书(或次级认证机构的证书链)。 安全获取受信任 CA 根证书(或次级认证机构的整个证书链)并将其存储于本地的过程称为 CA 验证。
您已配置的受信任 CA 的相关信息叫做信任点,CA 本身则称为信任点 CA。 该信息由 CA 证书(或次级认证机构的证书链)和证书吊销检查信息组成。
Cisco NX-OS 设备还可以向信任点申请注册,以获得与密钥对关联的身份证书。 该信任点称为身份 CA。
RSA 密钥对和身份证书
要获得身份证书,您可以生成一个或多个 RSA 密钥对,并将每个密钥对关联到 Cisco NX-OS 设备计划注册的信任点 CA。 Cisco NX-OS 设备对于每个 CA 只需要一个身份,它由一对密钥和一个来自 CA 的身份证书组成。
Cisco NX-OS 软件允许您生成具有可配置密钥大小(或模数)的 RSA 密钥对。 缺省密钥大小为 512。 您还可以配置 RSA 密钥对标签。 缺省密钥标签为设备完全限定的域名 (FQDN)。
下表总结了信任点、RSA 密钥对和身份证书之间的关系:
信任点对应 Cisco NX-OS 设备所信任的特定 CA,用于对各种应用程序(如 SSH)进行对等证书验证。
Cisco NX-OS 设备可拥有多个信任点,设备上的所有应用程序可以信任由任何信任点 CA 颁发的对等证书。
信任点不局限于特定的应用程序。
Cisco NX-OS 设备向与信任点对应的 CA 申请注册,以获取身份证书。 您可以将您的设备注册到多个信任点,也就是说,您可以从每个信任点获取单独的身份证书。 应用程序根据颁发证书的 CA 在证书中指定的用途使用该身份证书。 证书用途将以证书扩展信息的形式存储在证书当中。
注册到信任点时,您必须指定要认证的 RSA 密钥对。 您必须在生成注册请求前,生成此密钥对并将其关联到信任点。 信任点、密钥对和身份证书之间的关联将在证书、密钥对或信任点删除后明确解除,否则该关联始终有效。
身份证书的主题名称为 Cisco NX-OS 设备完全限定的域名。
您可以在设备上生成一个或多个 RSA 密钥对,且可将每个密钥对关联至一个或多个信任点。 然而,每个信任点最多只可关联一个密钥对,也就是说,只能从一个 CA 获得一个身份证书。
如果 Cisco NX-OS 设备获取了多个身份证书(颁发这些证书的 CA 各不相同),应用程序在与对等节点进行安全协议交换时选择使用的证书必须是特定于该应用程序的证书。
您无需为应用程序指定一个或多个信任点。 只要证书的用途符合应用程序要求,任何应用程序都可以使用由任何信任点颁发的任何证书。
您不需要信任点颁发多个身份证书,也无需将多个密钥对关联到一个信任点。 CA 仅对给定身份(或名称)进行单次认证,并且通常不会颁发多个具有相同名称的证书。 但是,如果您需要从 CA 获取多个身份证书,且该 CA 允许多个具有相同名称的证书存在,则您必须为该 CA 定义另一个信任点,并将另一个密钥对与之关联,然后再对其进行认证。
多个受信任 CA 支持
通过配置多个信任点并将每个信任点与不同的 CA 关联,Cisco NX-OS 设备可信任多个 CA。 有了多个受信任的 CA,您可以不必将设备注册到为对等节点颁发证书的特定 CA。 相反,您可以用对等节点信任的多个受信任 CA 配置设备。 如此一来,对于接收自对等节点但并非由该对等节点身份中定义的同一 CA 所发出的证书,Cisco NX-OS 设备可使用已配置的受信任 CA 对其进行验证。
PKI 注册支持
注册是为设备获取用于 SSH 等应用程序的身份证书的过程。 该过程发生在请求证书的设备和证书颁发机构之间。
在执行 PKI 注册的过程中,Cisco NX-OS 设备将遵循以下步骤:
在设备上生成 RSA 私钥和公钥对。
生成标准格式的证书请求,并将其转发给 CA。
收到注册请求后,CA 管理员可能需要在 CA 服务器上手动批准注册请求。 |
接收 CA 颁发的带有其私钥签名的证书。
将证书写入设备的永久性存储区域 (bootflash)。
使用剪切粘贴手动注册
Cisco NX-OS 软件支持使用手动剪切粘贴进行证书检索和注册。 剪切粘贴注册是指您必须在设备和 CA 之间剪切和粘贴证书请求以及所颁发的证书。
使用剪切粘贴进行手动注册时,您必须执行以下步骤:
创建注册证书请求,Cisco NX-OS 设备以 base64 编码文本格式显示该请求。
剪切编码的证书请求文本并粘贴至电子邮件或 Web 表单中,然后发送给 CA。
通过电子邮件接收或从 Web 浏览器下载 CA 颁发的证书(base64 编码文本格式)。
利用证书导入工具将颁发的证书剪切并粘贴到设备中。
多个 RSA 密钥对和身份 CA 支持
多身份 CA 允许设备注册到多个信任点,获得多个身份证书,且颁发证书的 CA 各不相同。 借助此功能,Cisco NX-OS 设备可以利用对等节点认可的 CA 所颁发的证书与这些对等节点一同参与 SSH 和其他应用程序。
多 RSA 密钥对功能允许设备为其注册的每个 CA 保留不同的密钥对。 它可以匹配每个 CA 的策略要求,并且不会与其他 CA 指定的要求产生冲突(例如密钥长度)。 设备可以生成多个 RSA 密钥对并将各个密钥对关联到不同的信任点。 之后,在向信任点申请注册时,您可以使用关联的密钥对构建证书请求。
对等证书验证
Cisco NX-OS 设备的 PKI 支持可以验证对等证书。 Cisco NX-OS 软件会验证应用程序安全协议交换(如 SSH)期间从对等节点接收的证书。 应用程序会验证对等证书的有效性。 验证对等证书时,Cisco NX-OS 软件将执行以下步骤:
验证对等证书是否由本地受信任的 CA 颁发。
验证对等证书当前是否有效(未过期)。
验证对等证书是否未被其 CA 吊销。
Cisco NX-OS 软件支持通过证书吊销列表 (CRL) 进行吊销检查。 信任点 CA 可以使用该方法来验证对等证书未被吊销。
证书吊销检查
Cisco NX-OS 软件可以检查 CA 证书的吊销状态。 应用程序可以按您指定的顺序使用吊销检查机制。 选项包括 CRL、无或两种方法结合使用。
CRL 支持
CA 会维护一份证书吊销列表 (CRL),以提供在过期前被吊销证书的相关信息。 CA 会将 CRL 发布在存储库中,并在所有已颁布证书中提供下载公共 URL。 验证对等证书的客户端可以从颁发该证书的 CA 获取最新的 CRL,并利用它来确定证书是否已被吊销。 客户端可以在本地缓存部分或所有受其信任的 CA 的 CRL,以便后期按需使用,前提是 CRL 未到期。
Cisco NX-OS 软件允许为信任点手动配置预下载的 CRL,并将它们缓存在设备的 bootflash(证书存储)中。 在验证对等证书时,仅当相应的 CRL 已在本地缓存且吊销检查配置为使用该 CRL 执行时,Cisco NX-OS 软件才会检查来自颁发证书的 CA 的 CRL。 条件未满足且未配置其他吊销检查方法时,Cisco NX-OS 软件不会执行 CRL 检查,并且认为证书未被吊销。
证书和关联密钥对的导入和导出支持
作为 CA 认证和注册过程的一部分,次级 CA 证书(或证书链)和身份证书可以用标准 PEM (base64) 格式导入。
信任点中的完整身份信息可以导出为受密码保护的 PKCS#12 标准格式文件。 您之后可将其导入到同一设备(例如系统崩溃后)或另一个替换设备当中。 PKCS#12 文件中的信息由 RSA 密钥对、身份证书和 CA 证书(或证书链)组成。
PKI 许可要求
下表显示了该功能的许可要求:
产品 |
许可要求 |
---|---|
Cisco NX-OS |
PKI 功能不需要许可证。 许可证包中未包含的任何功能都与 Cisco NX-OS 系统映像捆绑在一起,免费提供给您。 有关 Cisco NX-OS 许可方案的说明,请参阅《Cisco NX-OS 许可指南》。 |
PKI 指南和限制
PKI 的配置指南和限制如下:
您可在 Cisco NX-OS 设备上配置的最大密钥对数为 16 对。
您可在 Cisco NX-OS 设备上声明的最大信任点数为 16 个。
您可在 Cisco NX-OS 设备上配置的最大身份证书数为 16 个。
一个 CA 证书链中最多可包括 10 个证书。
对于一个特定 CA,您可以验证的信任点最多为 10 个。
配置回滚不支持 PKI 配置。
Cisco NX-OS 软件不支持 OSCP。
如果您对 Cisco IOS CLI 很熟悉,请注意,此功能对应的 Cisco NX-OS 命令可能与您可能使用的 Cisco IOS 命令不同。
|
PKI 缺省设置
下表列出了 PKI 参数的缺省设置。
参数 |
缺省值 |
---|---|
信任点 |
没有 |
RSA 密钥对 |
没有 |
RSA 密钥对标签 |
设备 FQDN |
RSA 密钥对模数 |
512 |
RSA 密钥对可导出 |
启用 |
吊销检查方法 |
CRL |
配置 CA 和数字证书
本节介绍了为支持 CA 和您 Cisco NX-OS 设备数字证书的交互操作,您必须执行的任务。
配置主机名和 IP 域名
如果您尚未配置设备主机名和 IP 域名,您必须对其进行配置,因为 Cisco NX-OS 软件将使用设备完全限定的域名 (FQDN) 作为身份证书中的主题。 此外,如果您在密钥对生成时未指定标签,Cisco NX-OS 软件会将该设备的 FQDN 用作缺省密钥标签。 例如,名为 DeviceA.example.com 的证书基于设备主机名 DeviceA 以及 IP 域名 example.com 命名。
证书生成后更改主机名或 IP 域名会导致证书失效。 |
命令或操作 | 目的 | |
---|---|---|
1 | configure terminal 例如:
|
进入全局配置模式。 |
2 | hostname主机名 例如:
|
配置设备的主机名。 |
3 | ip domain-name名称 [use-vrfvrf-名称] 例如:
|
配置设备的 IP 域名。 如不特别指定,该命令将使用缺省 VRF 名称。 |
4 | exit 例如:
|
退出配置模式。 |
5 | (可选)show hosts 例如:
|
(可选) 显示 IP 域名。 |
6 | (可选)copy running-config startup-config 例如:
|
(可选) 将运行中的配置复制到启动配置。 |
生成 RSA 密钥对
您可以生成 RSA 密钥对,对应用程序在安全协议交换期间的安全措施负载进行签名和/或加密及解密。 生成 RSA 密钥对之后,您才能获得设备证书。
命令或操作 | 目的 | |||||
---|---|---|---|---|---|---|
1 | configure terminal 例如:
|
进入全局配置模式。 |
||||
2 | crypto key generate rsa [label标签字符串] [exportable] [modulus模数] 例如:
|
生成一对 RSA 密钥。 每个设备最多可配置 16 对密钥。 标签字符串为字母和数字的组合,区分大小写,最大长度为 64 个字符。 缺省的标签字符串为主机名和 FQDN,中间以句点字符 (.) 进行分隔。 有效模数值为 512、768、1024、1536 和 2048。 缺省模数为 512。
缺省情况下,密钥对不可导出。 仅可导出密钥对可以 PKCS#12 格式导出。
|
||||
3 | exit 例如:
|
退出配置模式。 |
||||
4 | (可选)show crypto key mypubkey rsa 例如:
|
(可选) 显示所生成的密钥。 |
||||
5 | (可选)copy running-config startup-config 例如:
|
(可选) 将运行中的配置复制到启动配置。 |
创建信任点 CA 关联
您必须将 Cisco NX-OS 设备关联到信任点 CA。
准备工作
生成 RSA 密钥对。
命令或操作 | 目的 | |||
---|---|---|---|---|
1 | configure terminal 例如:
|
进入全局配置模式。 |
||
2 | crypto ca trustpoint 名称 例如:
|
声明设备应信任的信任点 CA,并进入信任点配置模式。
|
||
3 | enrollment terminal 例如:
|
启用手动剪切粘贴证书注册。 缺省情况下启用。
|
||
4 | rsakeypair 标签 例如:
|
指定要与此信任点关联的 RSA 密钥对的标签,以进行注册。
|
||
5 | exit 例如:
|
退出信任点配置模式。 |
||
6 | (可选)show crypto ca trustpoints 例如:
|
(可选) 显示信任点信息。 |
||
7 | (可选)copy running-config startup-config 例如:
|
(可选) 将运行中的配置复制到启动配置。 |
验证 CA
只有向 Cisco NX-OS 设备验证 CA 身份后,授信 CA 的配置过程才算完成。 您必须获取包含 CA 公钥的 CA 自签名证书(PEM 格式)以在您的 Cisco NX-OS 设备上验证该 CA。 CA 的证书为自签名证书(CA 自己的证书由自己签名),因此,您需要联系 CA 管理员以比对 CA 证书的指纹,手动验证 CA 公钥。
如果您验证的 CA 是另一个 CA 的次级 CA,该次级 CA 又是其他 CA 的次级 CA,以此类推,最终追溯到一个自签名 Ca,那么,您验证的 CA 非自签名 CA。 我们把此类 CA 证书称为要验证 CA 的 CA 证书链。 这种情况下,您在验证 CA 时,必须输入证书链中所有 CA 的完整证书列表。 一个 CA 证书链中最多可包括 10 个证书。 |
准备工作
创建与 CA 的关联。
获取 CA 证书或 CA 证书链。
命令或操作 | 目的 | |||
---|---|---|---|---|
1 | configure terminal 例如:
|
进入全局配置模式。 |
||
2 | crypto ca authenticate 名称 例如:
|
提示您剪切和粘贴 CA 证书。 使用与声明 CA 时所用的相同名称。 对于一个特定 CA,您可以验证的信任点最多为 10 个。
|
||
3 | exit 例如:
|
退出配置模式。 |
||
4 | (可选)show crypto ca trustpoints 例如:
|
(可选) 显示信任点 CA 信息。 |
||
5 | (可选)copy running-config startup-config 例如:
|
(可选) 将运行中的配置复制到启动配置。 |
配置证书吊销检查方法
在与客户端(如 SSH 用户)进行安全交换时,Cisco NX-OS 设备会对客户端发送的对等证书进行证书验证。 验证过程或可涉及证书吊销状态检查。
您可以对设备进行配置,以便检查从 CA 下载的 CRL。 下载 CRL 并在本地进行检查不会在您的网络中产生流量。 然而,证书吊销可能会发生在两次下载的中间间隔时段,您的设备对此类吊销将无从知晓。
准备工作
验证 CA。
如要使用 CRL 检查,请确保已配置 CRL。
命令或操作 | 目的 | |
---|---|---|
1 | configure terminal 例如:
|
进入全局配置模式。 |
2 | crypto ca trustpoint 名称 例如:
|
指定信任点 CA 并进入信任点配置模式。 |
3 | revocation-check {crl [none] | none} 例如:
|
配置证书吊销检查的方法。 缺省方法为 crl。 Cisco NX-OS 软件会按您指定的顺序使用证书吊销检查方法。 |
4 | exit 例如:
|
退出信任点配置模式。 |
5 | (可选)show crypto ca trustpoints 例如:
|
(可选) 显示信任点 CA 信息。 |
6 | (可选)copy running-config startup-config 例如:
|
(可选) 将运行中的配置复制到启动配置。 |
生成证书请求
您必须为设备的每个 RSA 密钥对生成一个请求,以从其关联的信任点 CA 获取身份证书。 然后,您必须将显示的请求剪切粘贴到电子邮件或 CA 的网站表单中。
准备工作
创建与 CA 的关联。
获取 CA 证书或 CA 证书链。
命令或操作 | 目的 | |||
---|---|---|---|---|
1 | configure terminal 例如:
|
进入全局配置模式。 |
||
2 | crypto ca enroll 名称 例如:
|
为已通过验证的 CA 生成证书请求。
|
||
3 | exit 例如:
|
退出信任点配置模式。 |
||
4 | (可选)show crypto ca certificates 例如:
|
(可选) 显示 CA 证书。 |
||
5 | (可选)copy running-config startup-config 例如:
|
(可选) 将运行中的配置复制到启动配置。 |
安装身份证书
您可以通过电子邮件或 Web 浏览器获取 CA 颁发的身份证书(base64 编码文本格式)。 您必须通过剪切和粘贴编码文本安装从 CA 接收的身份证书。
准备工作
创建与 CA 的关联。
获取 CA 证书或 CA 证书链。
命令或操作 | 目的 | |
---|---|---|
1 | configure terminal 例如:
|
进入全局配置模式。 |
2 | crypto ca import 名称 certificate 例如:
|
提示您剪切和粘贴名为 admin-ca 的 CA 身份证书。 您最多可为单个设备配置 16 个身份证书。 |
3 | exit 例如:
|
退出配置模式。 |
4 | (可选)show crypto ca certificates 例如:
|
(可选) 显示 CA 证书。 |
5 | (可选)copy running-config startup-config 例如:
|
(可选) 将运行中的配置复制到启动配置。 |
确保在重新启动期间信任点配置保持不变
您可以确保在 Cisco NX-OS 设备重启期间信任点配置保持不变。
信任点配置是一种常规的 Cisco NX-OS 设备配置,若要在设备重启期间保持该配置不变,您必须清楚明确将其复制到启动配置当中。 将信任点配置复制到启动配置中后,与信任点关联的证书、密钥对和 CRL 将自动保持不变。 反之,如未将信任点配置复制到启动配置,则与其关联的证书、密钥对和 CRL 将不复存在,因为它们在重启后需要相应的信任点配置。 谨记您必须将运行中的配置复制到启动配置中,以确保已配置的证书、密钥对和 CRL 保持不变。 此外,删除证书或密钥对后,您需要保存正在运行的配置,以确保删除操作持久有效。
如您已将特定的信任点保存到启动配置中,与该信任点关联的证书和 CRL 在导入时将自动续存(无需再单独将其清楚明确地复制到启动配置当中)。
我们建议您为身份证书创建一个具备密码保护的备份,并将其保存到外部服务器上。
将配置复制到外部服务器包括证书和密钥对。 |
以 PKCS 12 格式导出身份信息
您可以将信任点的身份证书与 RSA 密钥对和 CA 证书(或是次级 CA 的整个证书链)一起导出到 PKCS#12 文件中,以进行备份。 在设备发生系统故障或更换监控模块时,您可以重新导入这些证书和 RSA 密钥对以进行恢复。
指定导出 URL 时只能使用 bootflash:文件名格式。 |
准备工作
验证 CA。
安装身份证书。
命令或操作 | 目的 | |
---|---|---|
1 | configure terminal 例如:
|
进入全局配置模式。 |
2 | crypto ca export名称 pkcs12 bootflash:文件名密码 例如:
|
导出身份证书和关联密钥对以及信任点 CA 的 CA 证书。 密码为字母和数字的组合,区分大小写,最大长度为 128 个字符。 |
3 | exit 例如:
|
退出配置模式。 |
4 | copy booflash:文件名方案://服务器/ [url/]文件名 例如:
|
将 PKCS#12 格式文件复制到远程服务器。 在方案参数处,您可以输入 tftp:、ftp:、scp:或 sftp:。 服务器参数为远程服务器的地址或名称,URL 参数则是指向远程服务器上源文件的路径。 服务器、URL和文件名参数区分大小写。 |
以 PKCS 12 格式导入身份信息
在设备发生系统故障或更换监控模块时,您可以重新导入这些证书和 RSA 密钥对以进行恢复。
指定导入 URL 时只能使用 bootflash:文件名格式。 |
准备工作
检查并确认没有与该信任点关联的 RSA 密钥对,同时检查并确认没有 CA 通过 CA 验证与该信任点关联,从而确认信任点为空。
命令或操作 | 目的 | |
---|---|---|
1 | copy方案://服务器/[url/]文件名bootflash:文件名 例如:
|
从远程服务器上复制 PKCS#12 格式文件。 在方案参数处,您可以输入 tftp:、ftp:、scp: 或 sftp:。 服务器参数为远程服务器的地址或名称,URL 参数则是指向远程服务器上源文件的路径。 服务器、URL和文件名参数区分大小写。 |
2 | configure terminal 例如:
|
进入全局配置模式。 |
3 | crypto ca import名称pksc12 bootflash:文件名 例如:
|
导入身份证书和关联密钥对以及信任点 CA 的 CA 证书。 |
4 | exit 例如:
|
退出配置模式。 |
5 | (可选)show crypto ca certificates 例如:
|
(可选) 显示 CA 证书。 |
6 | (可选)copy running-config startup-config 例如:
|
(可选) 将运行中的配置复制到启动配置。 |
配置 CRL
您可以手动配置从信任点下载的 CRL。 Cisco NX-OS 软件会在设备的 bootflash(证书存储)中缓存 CRL。 在验证对等证书时,仅当您已将 CRL 下载到设备且将证书吊销检查配置为使用 CRL 执行时,Cisco NX-OS 软件才会检查来自颁发证书的 CA 的 CRL。
准备工作
确保您已启用证书吊销检查。
命令或操作 | 目的 | |
---|---|---|
1 | copy方案:[//服务器/[url/]]文件名bootflash:文件名 例如:
|
从远程服务器上下载 CRL。 在方案参数处,您可以输入 tftp:、ftp:、scp: 或 sftp:。 服务器参数为远程服务器的地址或名称,URL 参数则是指向远程服务器上源文件的路径。 服务器、URL和文件名参数区分大小写。 |
2 | configure terminal 例如:
|
进入全局配置模式。 |
3 | crypto ca crl request名称bootflash:文件名 例如:
|
使用文件中指定的 CRL 配置或替换当前 CRL。 |
4 | exit 例如:
|
退出配置模式。 |
5 | (可选)show crypto ca crl名称 例如:
|
(可选) 显示 CA CRL 信息。 |
6 | (可选)copy running-config startup-config 例如:
|
(可选) 将运行中的配置复制到启动配置。 |
从 CA 配置中删除证书
您可以删除在信任点中配置的身份证书和 CA 证书。 您必须先删除身份证书,然后再删除 CA 证书。 删除身份证书后,您可以解除 RSA 密钥对与信任点的关联。 要移除过期或吊销的证书、已泄露(或疑似泄露)密钥对的证书或不再受信任的 CA,您必须删除证书。
命令或操作 | 目的 | |
---|---|---|
1 | configure terminal 例如:
|
进入全局配置模式。 |
2 | crypto ca trustpoint 名称 例如:
|
指定信任点 CA 并进入信任点配置模式。 |
3 | delete ca-certificate 例如:
|
删除 CA 证书或证书链。 |
4 | delete certificate [force] 例如:
|
删除身份证书。 当要删除的身份证书是证书链中的最后一个证书,或是设备中仅有的身份证书时,您必须使用 force 选项。 此要求可确保不会因为误删除证书链中的最后一个证书或设备中仅有的身份证书,导致应用程序(例如 SSH)没有证书可用。 |
5 | exit 例如:
|
退出信任点配置模式。 |
6 | (可选)show crypto ca certificates [名称] 例如:
|
(可选) 显示 CA 证书信息。 |
7 | (可选)copy running-config startup-config 例如:
|
(可选) 将运行中的配置复制到启动配置。 |
从 Cisco NX-OS 设备中删除 RSA 密钥对
如果您认为 RSA 密钥对以某种方式遭到泄露且不宜继续使用,您可以将其从 Cisco NX-OS 设备中删除。
从设备中删除 RSA 密钥对后,您需要请求 CA 管理员吊销您的设备在该 CA 处获得的证书。 发送该等请求时,您必须提供最初申请证书时所创建的质询密码。 |
命令或操作 | 目的 | |
---|---|---|
1 | configure terminal 例如:
|
进入全局配置模式。 |
2 | crypto key zeroize rsa 标签 例如:
|
删除 RSA 密钥对。 |
3 | exit 例如:
|
退出配置模式。 |
4 | (可选)show crypto key mypubkey rsa 例如:
|
(可选) 显示 RSA 密钥对配置。 |
5 | (可选)copy running-config startup-config 例如:
|
(可选) 将运行中的配置复制到启动配置。 |
验证 PKI 配置
要显示 PKI 配置信息,请执行下列任务中的一项:
命令 |
目的 |
---|---|
show crypto key mypubkey rsa |
显示在 Cisco NX-OS 设备上生成的 RSA 公钥的相关信息。 |
show crypto ca certificates |
显示 CA 和身份证书的相关信息。 |
show crypto ca crl |
显示 CA CRL 的相关信息。 |
show crypto ca trustpoints |
显示 CA 信任点的相关信息。 |
PKI 配置示例
本节给出了一些任务示例,您可以尝试使用以下方法,通过 Microsoft Windows Certificate 服务器在 Cisco NX-OS 设备上配置证书和 CRL。
您可以使用任何类型的证书服务器生成数字证书。 并非仅限于使用 Microsoft Windows Certificate 服务器。 |
在 Cisco NX-OS 设备上配置证书
要在 Cisco NX-OS 设备上配置证书,请遵循以下步骤:
1 | 配置设备的 FQDN。
|
2 | 配置设备的 DNS 域名。
|
3 | 创建信任点。
|
4 | 为设备创建 RSA 密钥对。
|
5 | 将 RSA 密钥对关联到信任点。
|
6 | 从 Microsoft Certificate Service Web 界面下载 CA 证书。 |
7 | 对您要注册到信任点的 CA 进行验证。
|
8 | 生成请求证书,以用于注册到信任点。
|
9 | 从 Microsoft Certificate Service Web 界面请求身份证书。 |
10 | 导入身份证书。
|
11 | 验证证书配置。 |
12 | 将证书配置复制到启动配置。 |
下载 CA 证书
要从 Microsoft Certificate Service Web 界面下载 CA 证书,请遵循以下步骤:
1 | 在 Microsoft Certificate Services Web 界面中,单击检索 CA 证书或证书吊销任务,然后单击下一步。 |
2 | 在显示列表中选择要下载的 CA 证书文件。 单击 Base 64 编码,再单击下载 CA 证书。 |
3 | 在“已下载文件”对话框中,单击打开。 |
4 | 在证书对话框中,单击复制到文件,然后单击确定。 |
5 | 在证书导出向导对话框中,选择 Base-64 编码的 X.509 (CER) 并单击下一步。 |
6 | 在“证书导出向导”对话框的 “文件名:”文本框中,输入目标文件名,然后单击下一步。 |
7 | 在证书导出向导对话框中单击完成。 |
8 | 输入 Microsoft Windows Type 命令,显示以 Base-64 (PEM) 格式存储的 CA 证书。 |
请求身份证书
要使用 PKCS#12 证书签名请求 (CRS) 向 Microsoft Certificate 服务器请求身份证书,请遵循以下步骤:
1 | 在 Microsoft Certificate Services Web 界面中,单击请求证书,然后单击下一步。 |
2 | 单击高级请求,然后单击下一步。 |
3 | 单击使用 base64 编码的 PKCS#10 文件提交证书请求或使用 base64 编码的 PKCS#7 文件提交续订请求,然后单击下一步。 |
4 | 在“已保存的请求”文本框中,粘贴 base64 PKCS#10 证书请求并单击下一步。 证书请求复制自 Cisco NX-OS 设备的控制台。 |
5 | 等待一到两天,会收到 CA 管理员颁发证书。 |
6 | 请注意,CA 管理员会批准证书请求。 |
7 | 在 Microsoft Certificate Services Web 界面中,单击检查待批准证书,然后单击下一步。 |
8 | 选择想要检查的证书请求,然后单击下一步。 |
9 | 单击 Base 64 编码,再单击下载 CA 证书。 |
10 | 在“文件下载”对话框中,单击打开。 |
11 | 在证书对话框中,单击详细信息标签页,然后单击复制到文件...。 在证书导出对话框中,选择 Base-64 编码的 X.509 (.CER) 并单击下一步。 |
12 | 在“证书导出向导”对话框的 “文件名:”文本框中,输入目标文件名,然后单击下一步。 |
13 | 单击完成。 |
14 | 输入 Microsoft Windows Type 命令,显示 Base-64 编码格式的身份证书。 |
吊销证书
要使用 Microsoft CA 管理员程序吊销证书,请遵循以下步骤:
1 | 在证书颁发中心树中,单击已颁发的证书文件夹。 在列表中右键单击要吊销的证书。 |
2 | 选择所有任务 > 吊销证书。 |
3 | 在原因代码下拉列表中选择吊销的原因,然后单击是。 |
4 | 单击已吊销的证书文件夹,显示证书吊销情况并证实证书已吊销。 |
生成和发布 CRL
要使用 Microsoft CA 管理员程序生成并发布 CRL,请遵循以下步骤:
1 | 在证书颁布中心界面,选择操作 > 所有任务 > 发布。 |
2 | 在证书吊销列表对话框,单击是以发布最新的 CRL。 |
下载 CRL
要从 Microsoft CA 网站下载 CRL,请遵循以下步骤:
1 | 在 Microsoft Certificate Services Web 界面中,单击检索 CA 证书或证书吊销列表,然后单击下一步。 |
2 | 单击下载最新证书吊销列表。 |
3 | 在“文件下载”对话框中,单击保存。 |
4 | 在“保存为”对话框中输入目标文件名,然后单击保存。 |
5 | 输入 Microsoft Windows type 命令以显示 CRL。 |
导入 CRL
要将 CRL 导入到与 CA 对应的信任点,请遵循以下步骤:
1 | 将 CRL 文件复制到 Cisco NX-OS 设备的 bootflash 当中。
|
||
2 | 配置 CRL。
|
||
3 | 显示 CRL 的内容。
|