設定 PKI

本章包含以下各節:

PKI 相關資訊

本節提供有關 PKI 的資訊。

CA 與數位憑證

憑證授權單位 (CA) 管理憑證請求,並核發憑證給參與實體,例如主機、網路裝置或使用者。 CA 為參與實體提供集中式金鑰管理服務。

採用公開金鑰加密法的數位簽章對裝置和個別使用者進行數位驗證。 在公開金鑰加密法 (例如 RSA 加密系統)中,每個裝置或使用者都有一個包含私密金鑰和公開金鑰的金鑰組。 私密金鑰是保密的,只有擁有裝置或使用者才知道。 但是,每個人都知道公開金鑰。 任何使用其中一個金鑰加密的內容,都可以用另一個金鑰解密。 使用寄件者的私密金鑰加密資料時,會形成簽章。 收件者使用寄件者的公開金鑰解密訊息來驗證簽章。 此程序仰賴於接收者擁有寄件者公開金鑰的副本,並且高度確定它確實屬於寄件者,而不是假冒為寄件者的某人。

數位憑證將數位簽章連結至寄件者。 數位憑證包含用於識別使用者或裝置的資訊,例如名稱、序號、公司、部門或 IP 位址。 它也包含實體的公開金鑰副本。 簽署憑證的 CA 是收件者明確信任、可驗證身分及建立數位憑證的協力廠商。

若要驗證 CA 的簽章,收件者必須先知道 CA 的公開金鑰。 此程式通常是在頻外或透過安裝時執行的操作處理。 例如,大多數 Web 瀏覽器預設都設定了數個 CA 的公開金鑰。

信任模型、信任點和身分 CA

PKI 信任模型是階層式模型,具有多個可設定的受信任 CA。 您可以對每個參與裝置設定一個信任的 CA 清單,以便驗證在通訊協定交換期間獲取的對等憑證 (如果它是由其中一個本端信任的 CA 所核發,就可以進行驗證)。 Cisco NX-OS 軟體將信任 CA 的自我簽署根憑證 (或下層 CA 的憑證鏈) 儲存在本端。 安全取得受信任 CA 的根憑證 (或下層 CA 中的整個鏈)並儲存於本端的過程稱為 CA 驗證

您所設定之受信任 CA 相關資訊稱為信任點,CA 本身又稱為信任點 CA。 此資訊包含 CA 憑證 (或下層 CA 的憑證鏈) 和憑證撤銷檢查資訊。

Cisco NX-OS 裝置也可以向信任點註冊,以取得與金鑰組建立關聯的身分識別憑證。 此信任點稱為身分 CA

RSA 金鑰組和身分識別憑證

您可以產生一個或多個 RSA 金鑰組,並且將每個 RSA 金鑰組與 Cisco NX-OS 裝置打算註冊的信任點 CA 建立關聯,藉此取得身分識別憑證。 Cisco NX-OS 裝置對於每個 CA 只需要一個身分,其中包含一個金鑰組和每個 CA 的一個身分識別憑證。

Cisco NX-OS 軟體可讓您產生具有可設定金鑰大小 (或模數) 的 RSA 金鑰組。 預設金鑰大小為 512。 您也可以設定 RSA 金鑰組標籤。 預設金鑰標籤是裝置完整網域名稱 (FQDN)。

以下清單簡要列出信任點、RSA 金鑰組和身分識別憑證之間的關係:

  • 信任點對應於 Cisco NX-OS 裝置信任的特定 CA,用來對任何應用程式 (例如 SSH) 進行對等憑證驗證。

  • Cisco NX-OS 裝置可以有很多信任點,而且裝置上的所有應用程式都可以信任任何信任點 CA 核發的對等憑證。

  • 信任點不受限於特定應用程式。

  • Cisco NX-OS 裝置會向對應於信任點的 CA 註冊,以取得身分識別憑證。 您可以向多個信任點註冊裝置,這表示可以從每個信任點取得單獨的身分識別憑證。 應用程式會根據核發憑證的 CA 在憑證中指定的用途使用身分識別憑證。 憑證的用途會以憑證延伸的形式儲存在憑證中。

  • 向信任點註冊時,您必須指定要認證的 RSA 金鑰組。 產生註冊請求之前,必須先產生此金鑰組,並且與信任點建立關聯。 信任點、金鑰組和身分識別憑證之間的關聯在透過刪除憑證、金鑰組或信任點明確移除關聯之後無效。

  • 身分識別憑證中的主體名稱是 Cisco NX-OS 裝置的完整網域名稱。

  • 您可以在裝置上產生一個或多個 RSA 金鑰組,而且每一個金鑰組都可以與一個或多個信任點建立關聯。 但是,無法將多個金鑰組與一個信任點建立關聯,這表示只允許來自一個 CA 的身分識別憑證。

  • 如果 Cisco NX-OS 裝置取得多個身分識別憑證 (每個憑證來自不同的 CA),則應用程式選取用於與同儕節點進行安全通訊協定交換的憑證為應用程式專用。

  • 不需要為應用程式指定一個或多個信任點。 任何應用程式都可以使用由任何信任點核發的任何憑證,只要憑證用途符合應用程式需求即可。

  • 信任點不需要核發多個身分識別憑證,也不需要多個金鑰組來與一個信任點建立關聯。 CA 憑證只會證明特定身分 (或名稱) 一次,而且不會發出多個相同名稱的憑證。 如果 CA 需要核發多個身分識別憑證,而且 CA 允許多個憑證使用相同的名稱,則必須為同一 CA 定義另一個信任點,將另一個金鑰組與 CA 建立關聯,然後予以認證。

多個信任的 CA 支援

Cisco NX-OS 裝置可以信任多個 CA,只要設定多個信任點,並且將每個信任點與不同的 CA 建立關聯即可。 如果有多個受信任的 CA,則不將裝置註冊到核發憑證給同儕節點的特定 CA。 您反而可以使用同儕節點信任的多個受信任 CA 來設定裝置。 然後,Cisco NX-OS 裝置可以使用所設定的受信任 CA 來驗證從對等裝置接收的非由對等裝置身分中定義的相同 CA 核發憑證。

PKI 註冊支援

註冊是取得用於應用程式 (例如 SSH) 之裝置身分識別憑證的程序。 此程序在請求憑證的裝置與憑證授權單位機構之間發生。

Cisco NX-OS 裝置在執行 PKI 註冊程序時執行下列步驟:

  • 在裝置上產生 RSA 私密金鑰和公開金鑰組。

  • 以標準格式產生憑證請求,然後將之轉給 CA。

當 CA 收到註冊請求時,CA 管理員可能需要手動在 CA 伺服器上核准註冊請求。

  • 從 CA 接收使用 CA 私密金鑰簽署的已核發憑證。

  • 將憑證寫入裝置上的非揮發性儲存體區域 (bootflash)。

使用剪下和貼上功能手動註冊

Cisco NX-OS 軟體支援使用手動剪貼功能來檢索和註冊憑證。 剪下並貼上註冊表示您必須在裝置與 CA 之間剪下並貼上憑證請求及產生的憑證。

在手動註冊程序中使用剪下並貼上功能時,必須執行下列步驟:

  • 建立註冊憑證請求,Cisco NX-OS 裝置會以 base64 編碼文字格式顯示這個請求。

  • 將加密憑證請求文字剪下並貼至電子郵件或 Web 表單中,並將其傳送至 CA。

  • 從 CA 以電子郵件或 Web 瀏覽器下載方式接收核發的憑證 (base64 編碼的文字格式)。

  • 使用憑證匯入裝置將核發的憑證剪下並貼至裝置。

多個 RSA 金鑰組和身分 CA 支援

多個身分 CA 可讓裝置向多個信任點註冊,這會產生分別來自不同 CA 的多個身分識別憑證。 Cisco NX-OS 裝置可藉此功能與許多同儕節點一起參與 SSH 和其他應用程式 (使用這些同儕節點可接受的 CA 所核發的憑證)。

多重 RSA 金鑰配對功能可讓裝置針對每個已註冊的 CA 維護不同的金鑰組。 它可以符合每個 CA 的原則需求,而不會與其他 CA 指定的需求 (例如金鑰長度)衝突。 裝置可以產生多個 RSA 金鑰組,並將每個金鑰組與不同的信任點建立關聯。 此後,向信任點註冊時,會使用相關聯的金鑰組來建構憑證請求。

對等憑證驗證

Cisco NX-OS 裝置上的 PKI 支援可以驗證對等憑證。 Cisco NX-OS 軟體會針對應用程式 (例如 SSH) 在安全交換期間從同儕節點接收到的憑證進行驗證。 應用程式會驗證對等憑證是否有效。 Cisco NX-OS 軟體在驗證對等憑證時,會執行下列步驟:

  • 驗證此對等憑證是由其中一個本端信任的 CA 核發。

  • 驗證對等憑證目前時間是否有效 (未過期)。

  • 驗證對等憑證尚未遭核發 CA 撤銷。

在撤銷檢查方面,Cisco NX-OS 軟體支援憑證撤銷清單 (CRL)。 信任點 CA 可以使用此方法來驗證對等憑證尚未遭到撤銷。

憑證撤銷檢查

Cisco NX-OS 軟體可以檢查 CA 憑證的撤銷狀態。 應用程式可以依您指定的順序使用撤銷檢查機制。 可以選擇 CRL、無或上述方法的組合。

CRL 支援

CA 會維護憑證撤銷清單 (CRL),以提供憑證在到期日之前撤銷的資訊。 CA 在存放庫中公佈 CRL,並在所有已核發憑證中提供下載公開 URL。 驗證對等憑證的用戶端可以從核發 CA 取得最新的 CRL,並用來判斷憑證是否已遭撤銷。 用戶端可以在本端快取某些或所有受信任 CA 的 CRL,日後在必要時加以使用,直到這些 CRL 過期為止。

Cisco NX-OS 軟體允許為信任點手動組態預先下載的 CRL,然後在裝置 bootflash (憑證存放區) 中予以快取。 驗證對等憑證時,只有當 CRL 已在本端快取,而且已將撤銷檢查設定為使用 CRL 時,Cisco NX-OS 軟體才會檢查來自核發 CA 的 CRL。 否則,Cisco NX-OS 軟體不會執行 CRL 檢查,並認定憑證未遭撤銷,除非您已設定其他撤銷檢查方法。

憑證和相關金鑰組適用的匯入和匯出支援

在 CA 驗證和註冊過程中,可用標準 PEM (base64) 格式匯入下層 CA 憑證 (或憑證鏈) 和身分識別憑證。

可用受密碼保護的 PKCS#12 標準格式將信任點中的完整身分資訊匯出至檔案; 而後可以將其匯入相同的裝置 (例如,系統當機後) 或代用裝置。 PKCS#12 檔案中的資訊包含 RSA 金鑰組、身分識別憑證和 CA 憑證 (或憑證鏈)。

PKI 授權要求

下表顯示此功能的授權需求:

產品

授權需求

Cisco NX-OS

PKI 功能不需要授權。 授權套件中未包含的任何功能都與 Cisco NX-OS 系統映像一併免費提供給您。 如需 Cisco NX-OS 授權方案的說明,請參閱 Cisco NX-OS 授權指南

PKI 的指導原則和限制

PKI 具有下列組態指導原則和限制:

  • 您可以在 Cisco NX-OS 裝置上設定的金鑰組數上限是 16。

  • 您可以在 Cisco NX-OS 裝置上宣告的信任點數上限是 16。

  • 您可以在 Cisco NX-OS 裝置上設定的身分識別憑證數上限是 16。

  • CA 憑證鏈中的憑證數上限是 10。

  • 您可以向特定 CA 驗證的信任點數上限是 10。

  • 組態復原不支援 PKI 組態。

  • Cisco NX-OS 軟體不支援 OSCP。
如果您熟悉 Cisco IOS CLI,請注意此功能的 Cisco NX-OS 指令可能不同於您使用的 Cisco IOS 指令。

PKI 的預設設定

此表格列出 PKI 參數的預設設定。

表格 1。 預設 PKI 參數

參數

預設值

信任點

沒有

RSA 金鑰組

沒有

RSA 金鑰組標籤

裝置 FQDN

RSA 金鑰組模數

512

RSA 金鑰組可匯出

啟用

撤銷檢查方法

CRL

設定 CA 與數位憑證

本節說明讓 CA 和 Cisco NX-OS 裝置數位憑證交互操作必須執行的任務。

設定主機名稱和 IP 網域名稱

如果您尚未設定裝置主機名稱和 IP 網域名稱,請務必設定,因為 Cisco NX-OS 軟體在身分識別憑證中會使用裝置完整網域名稱 (FQDN) 作為主體。 此外,若您未在產生金鑰組時指定標籤,Cisco NX-OS 軟體會使用裝置 FQDN 作為預設金鑰標籤。 例如,名為 DeviceA.example.com 的憑證是以 DeviceA 的裝置主機名稱和 example.com 的裝置 IP 網域名稱為基礎。

產生憑證後變更主機名稱或 IP 網域名稱可能會使憑證失效。

  指令或動作 用途
1

configure terminal

範例:

switch# configure terminal switch(config)#

進入全域組態模式。
2

hostname主機名稱

範例:

switch(config)# hostname DeviceA

設定裝置的主機名稱。
3

ip domain-name名稱 [use-vrfvrf-名稱]

範例:

DeviceA(config)# ip domain-name example.com

設定裝置的 IP 網域名稱。 如果您未指定 VRF 名稱,則指令會使用預設 VRF。
4

exit

範例:

switch(config)# exit switch#

退出組態模式。
5

(選用)show hosts

範例:

switch# show hosts
 (選用)

顯示 IP 網域名稱。
6

(選用)copy running-config startup-config

範例:

switch# copy running-config startup-config
 (選用)

將執行中的組態複製到啟動組態。

產生 RSA 金鑰組

您可以產生 RSA 金鑰組,在進行應用程式安全通訊協定交換期間,來簽署及/或加密及解密安全承載。 您必須先產生 RSA 金鑰組,然後才能取得裝置憑證。

  指令或動作 用途
1

configure terminal

範例:

switch# configure terminal switch(config)#

進入全域組態模式。
2

crypto key generate rsa [label標籤字串] [exportable] [modulus模數]

範例:

switch(config)# crypto key generate rsa exportable

產生 RSA 金鑰組。 裝置上的金鑰組數上限是 16。

標籤字串為英數字元、大小寫有別且長度上限為 64。 預設標籤字串是主機名稱和 FQDN,以點字元 (.) 分隔。

有效模數為 512、768、1024、1536 和 2048。 預設模數大小為 512。


 

決定適當的金鑰模數時,應該考慮 Cisco NX-OS 裝置和計畫註冊的 CA 上的安全性原則。

預設的金鑰組不可匯出。 只有可匯出的金鑰組才能以 PKCS#12 格式匯出。


 

您無法變更金鑰組的可匯出性。
3

exit

範例:

switch(config)# exit switch#

退出組態模式。
4

(選用)show crypto key mypubkey rsa

範例:

switch# show crypto key mypubkey rsa
 (選用)

顯示產生的金鑰。
5

(選用)copy running-config startup-config

範例:

switch# copy running-config startup-config
 (選用)

將執行中的組態複製到啟動組態。

建立信任點 CA 關聯

您必須將 Cisco NX-OS 裝置與信任點 CA 建立關聯。

在開始之前

產生 RSA 金鑰組。

  指令或動作 用途
1

configure terminal

範例:

switch# configure terminal switch(config)#

進入全域組態模式。
2

crypto ca trustpoint名稱

範例:

switch(config)# crypto ca trustpoint admin-ca switch(config-trustpoint)#

宣告裝置應該信任的信任點 CA,並輸入信任點組態模式。


 

您可以在裝置上設定的信任點數上限是 16。
3

enrollment terminal

範例:

switch(config-trustpoint)# enrollment terminal

啟用透過剪下和貼上功能手動進行憑證註冊。 該功能預設為啟用狀態。


 

Cisco NX-OS 軟體僅支援採手動剪下和貼上方式進行憑證註冊。
4

rsakeypair標籤

範例:

switch(config-trustpoint)# rsakeypair SwitchA

指定要與此信任點建立關聯的 RSA 金鑰組標籤,以便註冊。


 

每個 CA 只能指定一個 RSA 金鑰組。
5

exit

範例:

switch(config-trustpoint)# exit switch(config)#

退出信任點組態模式。
6

(選用)show crypto ca trustpoints

範例:

switch(config)# show crypto ca trustpoints
 (選用)

顯示信任點資訊。
7

(選用)copy running-config startup-config

範例:

switch(config)# copy running-config startup-config
 (選用)

將執行中的組態複製到啟動組態。

驗證 CA

只有當 CA 向 Cisco NX-OS 裝置驗證時,信任 CA 的組態程序才告完成。 您必須取得 PEM 格式的 CA 自我簽署憑證 (此憑證包含 CA 的公開金鑰),藉此在 Cisco NX-OS 裝置上驗證 CA。 因為 CA 的憑證是自我簽署 (CA 簽署自己的憑證),所以應透過聯絡 CA 管理員的方式比較 CA 憑證的指紋,以手動驗證 CA 的公開金鑰。

如果您驗證的 CA 本身可能是另一個 CA 的一個下層 CA,這個下層 CA 屬於另一個 CA 的一個下層 CA,以此類推,最終以自我簽署的 CA 結束,則您驗證的 CA 不是自我簽署的 CA。 此類型的 CA 憑證稱為待驗證的 CA 的 CA 憑證鏈。 在這種情況下,您必須在 CA 驗證期間輸入憑證鏈中所有 CA 的 CA 憑證完整清單。 CA 憑證鏈中的憑證數上限是 10。

在開始之前

建立與 CA 的關聯。

取得 CA 憑證或 CA 憑證鏈。

  指令或動作 用途
1

configure terminal

範例:

switch# configure terminal switch(config)#

進入全域組態模式。
2

crypto ca authenticate名稱

範例:

switch(config)# crypto ca authenticate admin-ca input (cut & paste) CA certificate (chain) in PEM format; end the input with a line containing only END OF INPUT : -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea NBG7E0oN66zex0EOEfG1Vs6mXp1//w== -----END CERTIFICATE----- END OF INPUT Fingerprint(s): MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Do you accept this certificate? [yes/no]: yes

提示您剪下並貼上 CA 的憑證。 使用宣告 CA 時所使用的相同名稱。

您可以向特定 CA 驗證的信任點數上限是 10。


 

對於下層 CA 驗證,Cisco NIC-OS 軟體需要以自我簽署 CA 結尾的完整 CA 憑證鏈,因為憑證驗證以及 PKCS#12 格式匯出作業需要使用 CA 鏈。
3

exit

範例:

switch(config)# exit switch#

退出組態模式。
4

(選用)show crypto ca trustpoints

範例:

switch# show crypto ca trustpoints
 (選用)

顯示信任點 CA 資訊。
5

(選用)copy running-config startup-config

範例:

switch# copy running-config startup-config
 (選用)

將執行中的組態複製到啟動組態。

設定憑證撤銷檢查方法

與用戶端 (例如 SSH 使用者) 進行安全交換期間,Cisco NX-OS 裝置會針對用戶端傳送的對等憑證執行憑證驗證。 驗證程序可能涉及憑證撤銷狀態檢查。

您可以將裝置設定為檢查從 CA 下載的 CRL。 下載 CRL 後在本端檢查並不會產生網路流量。 但是,可以在下載作業之間撤銷憑證,而且您的裝置不會注意到撤銷。

在開始之前

驗證 CA。

如果您要使用 CRL 檢查,請確認已設定 CRL。

  指令或動作 用途
1

configure terminal

範例:

switch# configure terminal switch(config)#

進入全域組態模式。
2

crypto ca trustpoint名稱

範例:

switch(config)# crypto ca trustpoint admin-ca switch(config-trustpoint)#

指定信任點 CA 並進入信任點組態模式。
3

revocation-check {crl [none] | none}

範例:

switch(config-trustpoint)# revocation-check none

設定憑證撤銷檢查方法。 預設方法是 crl

Cisco NX-OS 軟體會以您指定的順序使用憑證撤銷檢查方法。
4

exit

範例:

switch(config-trustpoint)# exit switch(config)#

退出信任點組態模式。
5

(選用)show crypto ca trustpoints

範例:

switch(config)# show crypto ca trustpoints
 (選用)

顯示信任點 CA 資訊。
6

(選用)copy running-config startup-config

範例:

switch(config)# copy running-config startup-config
 (選用)

將執行中的組態複製到啟動組態。

產生憑證請求

您必須針對每個裝置的 RSA 金鑰組,產生從關聯信任點 CA 取得身分識別憑證的請求。 然後,您必須將顯示的請求剪下並貼到給 CA 的電子郵件或網站表單中。

在開始之前

建立與 CA 的關聯。

取得 CA 憑證或 CA 憑證鏈。

  指令或動作 用途
1

configure terminal

範例:

switch# configure terminal switch(config)#

進入全域組態模式。
2

crypto ca enroll 名稱

範例:

switch(config)# crypto ca enroll admin-ca Create the certificate request .. Create a challenge password. You will need to verbally provide this password to the CA Administrator in order to revoke your certificate. For security reasons your password will not be saved in the configuration. Please make a note of it. Password:nbv123 The subject name in the certificate will be: DeviceA.cisco.com Include the switch serial number in the subject name? [yes/no]: no Include an IP address in the subject name [yes/no]: yes ip address:172.22.31.162 The certificate request will be displayed... -----BEGIN CERTIFICATE REQUEST----- MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= -----END CERTIFICATE REQUEST-----

為已驗證的 CA 產生憑證請求。


 

您必須記住質詢密碼。 它並未連同組態一併儲存。 如果您的憑證需要撤銷,您必須輸入此密碼。
3

exit

範例:

switch(config-trustpoint)# exit switch(config)#

退出信任點組態模式。
4

(選用)show crypto ca certificates

範例:

switch(config)# show crypto ca certificates
 (選用)

顯示 CA 憑證。
5

(選用)copy running-config startup-config

範例:

switch(config)# copy running-config startup-config
 (選用)

將執行中的組態複製到啟動組態。

安裝身分識別憑證

您可以透過電子郵件或透過 Web 瀏覽器從 CA 接收 base64 編碼文字格式的身分識別憑證。 您必須剪下及貼上該編碼文字,藉此安裝來自 CA 的身分識別憑證。

在開始之前

建立與 CA 的關聯。

取得 CA 憑證或 CA 憑證鏈。

  指令或動作 用途
1

configure terminal

範例:

switch# configure terminal switch(config)#

進入全域組態模式。
2

crypto ca import名稱certificate

範例:

switch(config)# crypto ca import admin-ca certificate input (cut & paste) certificate in PEM format: -----BEGIN CERTIFICATE----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G CSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklOMRIwEAYD VQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UEChMFQ2lz Y28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBDQTAeFw0w NTExMTIwMzAyNDBaFw0wNjExMTIwMzEyNDBaMBwxGjAYBgNVBAMTEVZlZ2FzLTEu Y2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/GNVACdjQu41C dQ1WkjKjSICdpLfK5eJSmNCQujGpzcuKsZPFXjF2UoiyeCYE8ylncWyw5E08rJ47 glxr42/sI9IRIb/8udU/cj9jSSfKK56koa7xWYAu8rDfz8jMCnIM4W1aY/q2q4Gb x7RifdV06uFqFZEgs17/Elash9LxLwIDAQABo4ICEzCCAg8wJQYDVR0RAQH/BBsw GYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwHQYDVR0OBBYEFKCLi+2sspWEfgrR bhWmlVyo9jngMIHMBgNVHSMEgcQwgcGAFCco8kaDG6wjTEVNjskYUBoLFmxxoYGW pIGTMIGQMSAwHgYJKoZIhvcNAQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UE BhMCSU4xEjAQBgNVBAgTCUthcm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4w DAYDVQQKEwVDaXNjbzETMBEGA1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBh cm5hIENBghAFYNKJrLQZlE9JEiWMrRl6MGsGA1UdHwRkMGIwLqAsoCqGKGh0dHA6 Ly9zc2UtMDgvQ2VydEVucm9sbC9BcGFybmElMjBDQS5jcmwwMKAuoCyGKmZpbGU6 Ly9cXHNzZS0wOFxDZXJ0RW5yb2xsXEFwYXJuYSUyMENBLmNybDCBigYIKwYBBQUH AQEEfjB8MDsGCCsGAQUFBzAChi9odHRwOi8vc3NlLTA4L0NlcnRFbnJvbGwvc3Nl LTA4X0FwYXJuYSUyMENBLmNydDA9BggrBgEFBQcwAoYxZmlsZTovL1xcc3NlLTA4 XENlcnRFbnJvbGxcc3NlLTA4X0FwYXJuYSUyMENBLmNydDANBgkqhkiG9w0BAQUF AANBADbGBGsbe7GNLh9xeOTWBNbm24U69ZSuDDcOcUZUUTgrpnTqVpPyejtsyflw E36cIZu4WsExREqxbTk8ycx7V5o= -----END CERTIFICATE-----

提示您剪下並貼上名為 admin-ca 的 CA 憑證。

您可以在裝置上設定的身分識別憑證數上限是 16。
3

exit

範例:

switch(config)# exit switch#

退出組態模式。
4

(選用)show crypto ca certificates

範例:

switch# show crypto ca certificates
 (選用)

顯示 CA 憑證。
5

(選用)copy running-config startup-config

範例:

switch# copy running-config startup-config
 (選用)

將執行中的組態複製到啟動組態。

確保信任點組態在重新開機時持續存在

您可以確保信任點組態在整個 Cisco NX-OS 裝置重新開機過程中持續存在。

信任點組態是一般 Cisco NX-OS 裝置組態,只有當您明確將其複製到啟動組態時,該組態在整個系統重新開機過程中才持續存在。 如果已將信任點組態複製到啟動組態中,則與信任點關聯的憑證、金鑰組和 CRL 會自動續存。 相反地,如果未將信任點組態複製到啟動組態,則與其關聯的憑證、金鑰組和 CRL 不會持續存在,因為它們在重新開機後需要對應的信任點組態。 務必將執行中組態複製到啟動組態,以確保所配置的憑證、金鑰組和 CRL 持續存在。 此外,請在刪除憑證或金鑰組後儲存執行中組態,以確保永久刪除。

如果特定信任點已儲存在啟動組態中,則與信任點相關聯的憑證和 CRL 會在匯入時自動續存 (即,不需要再明確複製到啟動組態)。

我們建議您建立身分識別憑證的受密碼保護備份,並將其儲存至外部伺服器。

將組態複製到外部伺服器會納入憑證和金鑰組。

以 PKCS 12 格式匯出身分資訊

您可以將身分識別憑證與 RSA 金鑰組和信任點的 CA 憑證 (或下層 CA 的整個鏈) 一起匯出到 PKCS#12 檔案進行備份。 裝置上的系統當機或更換監督模組時,您可以匯入憑證和 RSA 金鑰組以復原。

指定匯出 URL 時,只能使用 bootflash:文檔名稱格式。

在開始之前

驗證 CA。

安裝身分識別憑證。

  指令或動作 用途
1

configure terminal

範例:

switch# configure terminal switch(config)#

進入全域組態模式。
2

crypto ca export名稱 pkcs12 bootflash:文檔名稱密碼

範例:

switch(config)# crypto ca export admin-ca pkcs12 bootflash:adminid.p12 nbv123

匯出身分識別憑證及關聯的金鑰組和信任點 CA 的 CA 憑證。 密碼為英數字元、大小寫有別且長度上限為 128。
3

exit

範例:

switch(config)# exit switch#

退出組態模式。
4

copy booflash:文檔名稱方案://伺服器/ [url/]文檔名稱

範例:

switch# copy bootflash:adminid.p12 tftp:adminid.p12

將 PKCS#12 格式檔案複製到遠端伺服器。

設定方案引數時,您可以輸入 tftp:ftp:scp:sftp:伺服器引數是遠端伺服器的位址或名稱,url 引數則是遠端伺服器上來源檔案的路徑。

伺服器url文檔名稱引數大小寫有別。

以 PKCS 12 格式匯入身分資訊

裝置上的系統當機或更換監督模組時,您可以匯入憑證和 RSA 金鑰組以復原。

指定匯入 URL 時,只能使用 bootflash:文檔名稱格式。

在開始之前

若要確認信任點是空的,請檢查沒有任何 RSA 金鑰組與其相關聯,而且沒有 CA 使用 CA 驗證與信任點相關聯。

  指令或動作 用途
1

copy方案://伺服器/[url/]文檔名稱bootflash:文檔名稱

範例:

switch# copy tftp:adminid.p12 bootflash:adminid.p12

從遠端伺服器複製 PKCS#12 格式檔案。

設定方案引數時,您可以輸入 tftp:ftp:scp:sftp:伺服器引數是遠端伺服器的位址或名稱,url 引數則是遠端伺服器上來源檔案的路徑。

伺服器url文檔名稱引數大小寫有別。
2

configure terminal

範例:

switch# configure terminal switch(config)#

進入全域組態模式。
3

crypto ca import名稱pksc12 bootflash:文檔名稱

範例:

switch(config)# crypto ca import admin-ca pkcs12 bootflash:adminid.p12 nbv123

匯入身分識別憑證及關聯的金鑰組和信任點 CA 的 CA 憑證。
4

exit

範例:

switch(config)# exit switch#

退出組態模式。
5

(選用)show crypto ca certificates

範例:

switch# show crypto ca certificates
 (選用)

顯示 CA 憑證。
6

(選用)copy running-config startup-config

範例:

switch# copy running-config startup-config
 (選用)

將執行中的組態複製到啟動組態。

設定 CRL

您可以手動設定從信任點下載的 CRL。 Cisco NX-OS 軟體會快取 CRL 到 bootflash (憑證存放區) 中。 驗證對等憑證時,只有當您已將 CRL 下載至裝置,而且已將憑證撤銷檢查設定為使用該 CRL 時,Cisco NX-OS 軟體才會檢查來自核發 CA 的 CRL。

在開始之前

確認您已啟用憑證撤銷檢查。

  指令或動作 用途
1

copy方案://[//伺服器/[url/]文檔名稱bootflash:文檔名稱

範例:

switch# copy tftp:adminca.crl bootflash:adminca.crl

從遠端伺服器下載 CRL。

設定方案引數時,您可以輸入 tftp:ftp:scp:sftp:伺服器引數是遠端伺服器的位址或名稱,url 引數則是遠端伺服器上來源檔案的路徑。

伺服器url文檔名稱引數大小寫有別。
2

configure terminal

範例:

switch# configure terminal switch(config)#

進入全域組態模式。
3

crypto ca crl request名稱bootflash:文檔名稱

範例:

switch(config)# crypto ca crl request admin-ca bootflash:adminca.crl

使用檔案中指定的 CRL 設定或取代目前的 CRL。
4

exit

範例:

switch(config)# exit switch#

退出組態模式。
5

(選用)show crypto ca crl名稱

範例:

switch# show crypto ca crl admin-ca
 (選用)

顯示 CA CRL 資訊。
6

(選用)copy running-config startup-config

範例:

switch# copy running-config startup-config
 (選用)

將執行中的組態複製到啟動組態。

從 CA 組態刪除憑證

您可以刪除信任點中所設定的身分識別憑證和 CA 憑證。 您必須先刪除身分識別憑證,再刪除 CA 憑證。 刪除身分識別憑證後,即可解除 RSA 金鑰組與信任點之間的關聯。 您必須刪除憑證以移除過期或撤銷的憑證、已外洩 (或懷疑外洩) 金鑰組的憑證或不再受信任的 CA。

  指令或動作 用途
1

configure terminal

範例:

switch# configure terminal switch(config)#

進入全域組態模式。
2

crypto ca trustpoint名稱

範例:

switch(config)# crypto ca trustpoint admin-ca switch(config-trustpoint)#

指定信任點 CA 並進入信任點組態模式。
3

delete ca-certificate

範例:

switch(config-trustpoint)# delete ca-certificate

刪除 CA 憑證或 CA 憑證鏈。
4

delete certificate [force]

範例:

switch(config-trustpoint)# delete certificate

刪除身分識別憑證。

如果您要刪除的身分識別憑證是憑證鏈中的最後一個憑證,或是裝置中唯一的身分識別憑證,您就必須使用 force 選項。 此要求可確保您不會誤刪憑證鏈中的最後一個憑證或唯一的身分識別憑證,而讓應用程式 (例如 SSH) 沒有憑證可用。
5

exit

範例:

switch(config-trustpoint)# exit switch(config)#

退出信任點組態模式。
6

(選用)show crypto ca certificates [名稱]

範例:

switch(config)# show crypto ca certificates admin-ca
 (選用)

顯示 CA 憑證資訊。
7

(選用)copy running-config startup-config

範例:

switch(config)# copy running-config startup-config
 (選用)

將執行中的組態複製到啟動組態。

從 Cisco NX-OS 裝置刪除 RSA 金鑰組

如果您認為 RSA 金鑰組以某種方式遭到外洩並且不應該再使用,您可以從 Cisco NX-OS 裝置刪除 RSA 金鑰組。

從裝置刪除 RSA 金鑰組後,請要求 CA 管理員撤銷裝置在 CA 的憑證。 您必須提供您最初請求憑證時所建立質詢密碼。

  指令或動作 用途
1

configure terminal

範例:

switch# configure terminal switch(config)#

進入全域組態模式。
2

crypto key zeroize rsa標籤

範例:

switch(config)# crypto key zeroize rsa MyKey

刪除 RSA 金鑰組。
3

exit

範例:

switch(config)# exit switch#

退出組態模式。
4

(選用)show crypto key mypubkey rsa

範例:

switch# show crypto key mypubkey rsa
 (選用)

刪除 RSA 金鑰組組態。
5

(選用)copy running-config startup-config

範例:

switch# copy running-config startup-config
 (選用)

將執行中的組態複製到啟動組態。

驗證 PKI 組態

若要顯示 PKI 組態資訊,請執行下列其中一項作業:

指令

用途

show crypto key mypubkey rsa

顯示 Cisco NX-OS 裝置上產生的 RSA 公開金鑰相關資訊。

show crypto ca certificates

顯示 CA 和身分識別憑證相關資訊。

show crypto ca crl

顯示關於 CA CRL 的資訊。

show crypto ca trustpoints

顯示關於 CA 信任點的資訊。

PKI 的組態範例

本節顯示的作業範例可供您用來使用 Microsoft Windows Certificate 伺服器在 Cisco NX-OS 裝置上設定憑證和 CRL。

您可以使用任何類型的憑證伺服器來產生數位憑證。 您並非只限使用 Microsoft Windows Certificate 伺服器。

在 Cisco NX-OS 裝置上設定憑證

若要在 Cisco NX-OS 裝置上設定憑證,請執行下列步驟:

1

設定裝置 FQDN。

switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# hostname Device-1 Device-1(config)#
2

設定裝置的 DNS 網域名稱。

Device-1(config)# ip domain-name cisco.com
3

建立信任點。

Device-1(config)# crypto ca trustpoint myCA Device-1(config-trustpoint)# exit Device-1(config)# show crypto ca trustpoints trustpoint: myCA; key: revokation methods: crl
4

為裝置建立 RSA 金鑰組。

Device-1(config)# crypto key generate rsa label myKey exportable modulus 1024 Device-1(config)# show crypto key mypubkey rsa key label: myKey key size: 1024 exportable: yes
5

將 RSA 金鑰組與信任點建立關聯。

Device-1(config)# crypto ca trustpoint myCA Device-1(config-trustpoint)# rsakeypair myKey Device-1(config-trustpoint)# exit Device-1(config)# show crypto ca trustpoints trustpoint: myCA; key: myKey revokation methods: crl
6

從 Microsoft Certificate Service Web 介面下載 CA 憑證。
7

驗證要向信任點註冊的 CA。

Device-1(config)# crypto ca authenticate myCA input (cut & paste) CA certificate (chain) in PEM format; end the input with a line containing only END OF INPUT : -----BEGIN CERTIFICATE----- MIIC4jCCAoygAwIBAgIQBWDSiay0GZRPSRIljK0ZejANBgkqhkiG9w0BAQUFADCB
kDEgMB4GCSqGSIb3DQEJARYRYW1hbmRrZUBjaXNjby5jb20xCzAJBgNVBAYTAklO
MRIwEAYDVQQIEwlLYXJuYXRha2ExEjAQBgNVBAcTCUJhbmdhbG9yZTEOMAwGA1UE
ChMFQ2lzY28xEzARBgNVBAsTCm5ldHN0b3JhZ2UxEjAQBgNVBAMTCUFwYXJuYSBD
QTAeFw0wNTA1MDMyMjQ2MzdaFw0wNzA1MDMyMjU1MTdaMIGQMSAwHgYJKoZIhvcN
AQkBFhFhbWFuZGtlQGNpc2NvLmNvbTELMAkGA1UEBhMCSU4xEjAQBgNVBAgTCUth
cm5hdGFrYTESMBAGA1UEBxMJQmFuZ2Fsb3JlMQ4wDAYDVQQKEwVDaXNjbzETMBEG
A1UECxMKbmV0c3RvcmFnZTESMBAGA1UEAxMJQXBhcm5hIENBMFwwDQYJKoZIhvcN
AQEBBQADSwAwSAJBAMW/7b3+DXJPANBsIHHzluNccNM87ypyzwuoSNZXOMpeRXXI
OzyBAgiXT2ASFuUOwQ1iDM8rO/41jf8RxvYKvysCAwEAAaOBvzCBvDALBgNVHQ8E
BAMCAcYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUJyjyRoMbrCNMRU2OyRhQ
GgsWbHEwawYDVR0fBGQwYjAuoCygKoYoaHR0cDovL3NzZS0wOC9DZXJ0RW5yb2xs
L0FwYXJuYSUyMENBLmNybDAwoC6gLIYqZmlsZTovL1xcc3NlLTA4XENlcnRFbnJv
bGxcQXBhcm5hJTIwQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEB
BQUAA0EAHv6UQ+8nE399Tww+KaGr0g0NIJaqNgLh0AFcT0rEyuyt/WYGPzksF9Ea
NBG7E0oN66zex0EOEfG1Vs6mXp1//w==
-----END CERTIFICATE-----
END OF INPUT Fingerprint(s): MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 Do you accept this certificate? [yes/no]:y Device-1(config)# show crypto ca certificates Trustpoint: myCA CA certificate 0: subject= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA issuer= /emailAddress=admin@yourcompany.com/C=IN/ST=Karnataka/ L=Bangalore/O=Yourcompany/OU=netstorage/CN=Aparna CA serial=0560D289ACB419944F4912258CAD197A notBefore=May 3 22:46:37 2005 GMT notAfter=May 3 22:55:17 2007 GMT MD5 Fingerprint=65:84:9A:27:D5:71:03:33:9C:12:23:92:38:6F:78:12 purposes: sslserver sslclient ike
8

產生請求憑證以用於向信任點註冊。

Device-1(config)# crypto ca enroll myCA Create the certificate request .. Create a challenge password. You will need to verbally provide this password to the CA Administrator in order to revoke your certificate. For security reasons your password will not be saved in the configuration. Please make a note of it. Password: nbv123 The subject name in the certificate will be: Device-1.cisco.com Include the switch serial number in the subject name? [yes/no]: no Include an IP address in the subject name [yes/no]: yes ip address: 10.10.1.1 The certificate request will be displayed... -----BEGIN CERTIFICATE REQUEST----- MIIBqzCCARQCAQAwHDEaMBgGA1UEAxMRVmVnYXMtMS5jaXNjby5jb20wgZ8wDQYJ KoZIhvcNAQEBBQADgY0AMIGJAoGBAL8Y1UAJ2NC7jUJ1DVaSMqNIgJ2kt8rl4lKY 0JC6ManNy4qxk8VeMXZSiLJ4JgTzKWdxbLDkTTysnjuCXGvjb+wj0hEhv/y51T9y P2NJJ8ornqShrvFZgC7ysN/PyMwKcgzhbVpj+rargZvHtGJ91XTq4WoVkSCzXv8S VqyH0vEvAgMBAAGgTzAVBgkqhkiG9w0BCQcxCBMGbmJ2MTIzMDYGCSqGSIb3DQEJ DjEpMCcwJQYDVR0RAQH/BBswGYIRVmVnYXMtMS5jaXNjby5jb22HBKwWH6IwDQYJ KoZIhvcNAQEEBQADgYEAkT60KER6Qo8nj0sDXZVHSfJZh6K6JtDz3Gkd99GlFWgt PftrNcWUE/pw6HayfQl2T3ecgNwel2d15133YBF2bktExiI6Ul88nTOjglXMjja8 8a23bNDpNsM8rklwA6hWkrVL8NUZEFJxqbjfngPNTZacJCUS6ZqKCMetbKytUx0= -----END CERTIFICATE REQUEST-----
9

從 Microsoft Certificate Service Web 介面請求身分識別憑證。
10

匯入身分識別憑證。

Device-1(config)# crypto ca import myCA certificate input (cut & paste) certificate in PEM format: -----BEGIN CERTIFICATE----- MIIEADCCA6qgAwIBAgIKCjOOoQAAAAAAdDANBgkqhkiG9w0BAQUFADCBkDEgMB4G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-----END CERTIFICATE----- Device-1(config)# exit Device-1#
11

驗證憑證組態。
12

將憑證組態儲存到啟動組態。

下載 CA 憑證

若要從 Microsoft Certificate Service Web 介面下載 CA 憑證,請執行下列步驟:

1

在 Microsoft Certificate Services Web 介面中按一下檢索 CA 憑證或憑證撤銷工作,然後再按一下下一步
2

在顯示清單中,從已顯示的清單中選擇要下載的 CA 憑證檔案。 然後按一下 Base 64 編碼,再按一下下載 CA 憑證
3

按一下檔案下載對話方塊中的開啟
4

在憑證對話方塊中,按一下複製到檔案,然後再按一下確定
5

從憑證匯出精靈對話方塊選擇 Base-64 編碼 X.509 (CER),然後按一下下一步
6

在憑證匯出精靈對話方塊的「檔案名稱:」 文字方塊中,輸入目的檔案名稱,然後按一下下一步
7

在憑證匯出精靈對話方塊中,按一下完成
8

輸入 Microsoft Windows type 指令,以顯示以 Base-64 (PEM) 格式儲存的 CA 憑證。

請求身分識別憑證

若要使用 PKCS#12 憑證簽署請求 (CRS) 從 Microsoft Certificate 伺服器請求身分識別憑證,請執行下列步驟:

1

在 Microsoft Certificate Services Web 介面中按一下請求憑證,然後再按下一步
2

按一下進階請求後,按一下下一步
3

按一下使用 base64 編碼的 PKCS#10 檔案提交憑證請求,或者使用 base64 編碼的 PKCS#7 檔案提交續訂要求,然後按一下下一步
4

在已儲存請求文字方塊中,貼上 base64 PKCS#10 憑證請求,然後按一下下一步。 系統會從 Cisco NX-OS 裝置主控台複製憑證請求。

5

等候一或兩天,將收到 CA 管理員核發的憑證。

6

請注意,CA 管理員核准憑證請求。

7

在 Microsoft Certificate Services Web 介面中按一下檢查擱置中的憑證,然後再按一下下一步
8

選擇要檢查的憑證請求,然後按一下下一步
9

按一下 Base 64 編碼,再按一下下載 CA 憑證

10

在檔案下載對話方塊中,按一下開啟
11

在憑證方塊中,按一下詳細資料標籤,然後再按一下複製到檔案...。 在憑證匯出對話方塊中,按一下 Base-64 編碼 X.509 (.CER),然後按一下下一步
12

在憑證匯出精靈對話方塊的「檔案名稱:」 文字方塊中,輸入目的檔案名稱,然後按一下下一步
13

按一下完成
14

輸入 Microsoft Windows type 指令,以顯示 base64 編碼格式的身分識別憑證。

撤銷憑證

若要使用 Microsoft CA 管理員程式撤銷憑證,請執行下列步驟:

1

在憑證授權單位樹狀目錄中,按一下已核發的憑證資料夾。 在清單中待撤銷的憑證上按一下滑鼠右鍵。
2

選擇所有工作 > 撤銷憑證
3

從原因代碼下拉清單選擇撤銷的原因,然後按一下
4

按一下已撤銷的憑證資料夾,以列出並確認憑證撤銷狀態。

產生及公佈 CRL

若要使用 Microsoft CA 管理員程式產生並發佈憑證,請執行下列步驟:

1

從憑證授權單位畫面選擇動作 > 所有工作 > 發佈
2

在憑證撤銷清單對話方塊中,按一下以發佈最新的 CRL。

下載 CRL

若要從 Microsoft CA 網站下載 CRL,請執行下列步驟:

1

在 Microsoft Certificate Services Web 介面中按一下檢索 CA 憑證或憑證撤銷清單,然後再按一下下一步
2

按一下下載最新的憑證撤銷清單
3

在檔案下載對話方塊中,按一下儲存
4

在另存新檔方塊中,輸入目的檔案名稱,然後按一下下一步
5

輸入 Microsoft Windows type 指令,以顯示 CRL。

匯入 CRL

若要將 CRL 匯入與 CA 對應的信任點,請執行下列步驟:

1

將 CRL 檔案複製到 Cisco NX-OS 裝置 bootflash。

Device-1# copy tftp:apranaCA.crl bootflash:aparnaCA.crl
2

設定 CRL。

 Device-1# configure terminal Device-1(config)# crypto ca crl request myCA bootflash:aparnaCA.crl Device-1(config)#
3

顯示 CRL 的內容。

 Device-1(config)# show crypto ca crl myCA Trustpoint: myCA CRL: Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: sha1WithRSAEncryption Issuer: /emailAddress=admin@yourcompany.com/C=IN/ST=Karnatak Yourcompany/OU=netstorage/CN=Aparna CA Last Update: Nov 12 04:36:04 2005 GMT Next Update: Nov 19 16:56:04 2005 GMT CRL extensions: X509v3 Authority Key Identifier: keyid:27:28:F2:46:83:1B:AC:23:4C:45:4D:8E:C9:18:50:1 1.3.6.1.4.1.311.21.1: ... Revoked Certificates: Serial Number: 611B09A1000000000002 Revocation Date: Aug 16 21:52:19 2005 GMT Serial Number: 4CDE464E000000000003 Revocation Date: Aug 16 21:52:29 2005 GMT Serial Number: 4CFC2B42000000000004 Revocation Date: Aug 16 21:52:41 2005 GMT Serial Number: 6C699EC2000000000005 Revocation Date: Aug 16 21:52:52 2005 GMT Serial Number: 6CCF7DDC000000000006 Revocation Date: Jun 8 00:12:04 2005 GMT Serial Number: 70CC4FFF000000000007 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 4D9B1116000000000008 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 52A80230000000000009 Revocation Date: Jun 27 23:47:06 2005 GMT CRL entry extensions: X509v3 CRL Reason Code: CA Compromise Serial Number: 5349AD4600000000000A Revocation Date: Jun 27 23:47:22 2005 GMT CRL entry extensions: X509v3 CRL Reason Code: CA Compromise Serial Number: 53BD173C00000000000B Revocation Date: Jul 4 18:04:01 2005 GMT CRL entry extensions: X509v3 CRL Reason Code: Certificate Hold Serial Number: 591E7ACE00000000000C Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 5D3FD52E00000000000D Revocation Date: Jun 29 22:07:25 2005 GMT CRL entry extensions: X509v3 CRL Reason Code: Key Compromise Serial Number: 5DAB771300000000000E Revocation Date: Jul 14 00:33:56 2005 GMT Serial Number: 5DAE53CD00000000000F Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 5DB140D3000000000010 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 5E2D7C1B000000000011 Revocation Date: Jul 6 21:12:10 2005 GMT CRL entry extensions: X509v3 CRL Reason Code: Cessation Of Operation Serial Number: 16DB4F8F000000000012 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 261C3924000000000013 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 262B5202000000000014 Revocation Date: Jul 14 00:33:10 2005 GMT Serial Number: 2634C7F2000000000015 Revocation Date: Jul 14 00:32:45 2005 GMT Serial Number: 2635B000000000000016 Revocation Date: Jul 14 00:31:51 2005 GMT Serial Number: 26485040000000000017 Revocation Date: Jul 14 00:32:25 2005 GMT Serial Number: 2A276357000000000018 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 3F88CBF7000000000019 Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 6E4B5F5F00000000001A Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 725B89D800000000001B Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 735A887800000000001C Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 148511C700000000001D Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 14A7170100000000001E Revocation Date: Aug 16 21:53:15 2005 GMT Serial Number: 14FC45B500000000001F Revocation Date: Aug 17 18:30:42 2005 GMT Serial Number: 486CE80B000000000020 Revocation Date: Aug 17 18:30:43 2005 GMT Serial Number: 4CA4A3AA000000000021 Revocation Date: Aug 17 18:30:43 2005 GMT Serial Number: 1AA55C8E00000000002F Revocation Date: Sep 5 17:07:06 2005 GMT Serial Number: 3F0845DD00000000003F Revocation Date: Sep 8 20:24:32 2005 GMT Serial Number: 3F619B7E000000000042 Revocation Date: Sep 8 21:40:48 2005 GMT Serial Number: 6313C463000000000052 Revocation Date: Sep 19 17:37:18 2005 GMT Serial Number: 7C3861E3000000000060 Revocation Date: Sep 20 17:52:56 2005 GMT Serial Number: 7C6EE351000000000061 Revocation Date: Sep 20 18:52:30 2005 GMT Serial Number: 0A338EA1000000000074 <-- Revoked identity certificate Revocation Date: Nov 12 04:34:42 2005 GMT Signature Algorithm: sha1WithRSAEncryption 0b:cb:dd:43:0a:b8:62:1e:80:95:06:6f:4d:ab:0c:d8:8e:32: 44:8e:a7:94:97:af:02:b9:a6:9c:14:fd:eb:90:cf:18:c9:96: 29:bb:57:37:d9:1f:d5:bd:4e:9a:4b:18:2b:00:2f:d2:6e:c1: 1a:9f:1a:49:b7:9c:58:24:d7:72

 

The identity certificate for the device that was revoked (serial number 0A338EA1000000000074) is listed at the end.