- 設定 PKI
- PKI 相關資訊
- CA 與數位憑證
- 信任模型、信任點和身分 CA
- RSA 金鑰組和身分識別憑證
- 多個信任的 CA 支援
- PKI 註冊支援
- 使用剪下和貼上功能手動註冊
- 多個 RSA 金鑰組和身分 CA 支援
- 對等憑證驗證
- 憑證撤銷檢查
- CRL 支援
- 憑證和相關金鑰組適用的匯入和匯出支援
- PKI 授權要求
- PKI 的指導原則和限制
- PKI 的預設設定
- 設定 CA 與數位憑證
- 設定主機名稱和 IP 網域名稱
- 產生 RSA 金鑰組
- 建立信任點 CA 關聯
- 驗證 CA
- 設定憑證撤銷檢查方法
- 產生憑證請求
- 安裝身分識別憑證
- 確保信任點組態在重新開機時持續存在
- 以 PKCS 12 格式匯出身分資訊
- 以 PKCS 12 格式匯入身分資訊
- 設定 CRL
- 從 CA 組態刪除憑證
- 從 Cisco NX-OS 裝置刪除 RSA 金鑰組
- 驗證 PKI 組態
- PKI 的組態範例
- 在 Cisco NX-OS 裝置上設定憑證
- 下載 CA 憑證
- 請求身分識別憑證
- 撤銷憑證
- 產生及公佈 CRL
- 下載 CRL
- 匯入 CRL
設定 PKI
本章包含以下各節:
PKI 相關資訊
本節提供有關 PKI 的資訊。
CA 與數位憑證
憑證授權單位 (CA) 管理憑證請求,並核發憑證給參與實體,例如主機、網路裝置或使用者。 CA 為參與實體提供集中式金鑰管理服務。
採用公開金鑰加密法的數位簽章對裝置和個別使用者進行數位驗證。 在公開金鑰加密法 (例如 RSA 加密系統)中,每個裝置或使用者都有一個包含私密金鑰和公開金鑰的金鑰組。 私密金鑰是保密的,只有擁有裝置或使用者才知道。 但是,每個人都知道公開金鑰。 任何使用其中一個金鑰加密的內容,都可以用另一個金鑰解密。 使用寄件者的私密金鑰加密資料時,會形成簽章。 收件者使用寄件者的公開金鑰解密訊息來驗證簽章。 此程序仰賴於接收者擁有寄件者公開金鑰的副本,並且高度確定它確實屬於寄件者,而不是假冒為寄件者的某人。
數位憑證將數位簽章連結至寄件者。 數位憑證包含用於識別使用者或裝置的資訊,例如名稱、序號、公司、部門或 IP 位址。 它也包含實體的公開金鑰副本。 簽署憑證的 CA 是收件者明確信任、可驗證身分及建立數位憑證的協力廠商。
若要驗證 CA 的簽章,收件者必須先知道 CA 的公開金鑰。 此程式通常是在頻外或透過安裝時執行的操作處理。 例如,大多數 Web 瀏覽器預設都設定了數個 CA 的公開金鑰。
信任模型、信任點和身分 CA
PKI 信任模型是階層式模型,具有多個可設定的受信任 CA。 您可以對每個參與裝置設定一個信任的 CA 清單,以便驗證在通訊協定交換期間獲取的對等憑證 (如果它是由其中一個本端信任的 CA 所核發,就可以進行驗證)。 Cisco NX-OS 軟體將信任 CA 的自我簽署根憑證 (或下層 CA 的憑證鏈) 儲存在本端。 安全取得受信任 CA 的根憑證 (或下層 CA 中的整個鏈)並儲存於本端的過程稱為 CA 驗證。
您所設定之受信任 CA 相關資訊稱為信任點,CA 本身又稱為信任點 CA。 此資訊包含 CA 憑證 (或下層 CA 的憑證鏈) 和憑證撤銷檢查資訊。
Cisco NX-OS 裝置也可以向信任點註冊,以取得與金鑰組建立關聯的身分識別憑證。 此信任點稱為身分 CA。
RSA 金鑰組和身分識別憑證
您可以產生一個或多個 RSA 金鑰組,並且將每個 RSA 金鑰組與 Cisco NX-OS 裝置打算註冊的信任點 CA 建立關聯,藉此取得身分識別憑證。 Cisco NX-OS 裝置對於每個 CA 只需要一個身分,其中包含一個金鑰組和每個 CA 的一個身分識別憑證。
Cisco NX-OS 軟體可讓您產生具有可設定金鑰大小 (或模數) 的 RSA 金鑰組。 預設金鑰大小為 512。 您也可以設定 RSA 金鑰組標籤。 預設金鑰標籤是裝置完整網域名稱 (FQDN)。
以下清單簡要列出信任點、RSA 金鑰組和身分識別憑證之間的關係:
信任點對應於 Cisco NX-OS 裝置信任的特定 CA,用來對任何應用程式 (例如 SSH) 進行對等憑證驗證。
Cisco NX-OS 裝置可以有很多信任點,而且裝置上的所有應用程式都可以信任任何信任點 CA 核發的對等憑證。
信任點不受限於特定應用程式。
Cisco NX-OS 裝置會向對應於信任點的 CA 註冊,以取得身分識別憑證。 您可以向多個信任點註冊裝置,這表示可以從每個信任點取得單獨的身分識別憑證。 應用程式會根據核發憑證的 CA 在憑證中指定的用途使用身分識別憑證。 憑證的用途會以憑證延伸的形式儲存在憑證中。
向信任點註冊時,您必須指定要認證的 RSA 金鑰組。 產生註冊請求之前,必須先產生此金鑰組,並且與信任點建立關聯。 信任點、金鑰組和身分識別憑證之間的關聯在透過刪除憑證、金鑰組或信任點明確移除關聯之後無效。
身分識別憑證中的主體名稱是 Cisco NX-OS 裝置的完整網域名稱。
您可以在裝置上產生一個或多個 RSA 金鑰組,而且每一個金鑰組都可以與一個或多個信任點建立關聯。 但是,無法將多個金鑰組與一個信任點建立關聯,這表示只允許來自一個 CA 的身分識別憑證。
如果 Cisco NX-OS 裝置取得多個身分識別憑證 (每個憑證來自不同的 CA),則應用程式選取用於與同儕節點進行安全通訊協定交換的憑證為應用程式專用。
不需要為應用程式指定一個或多個信任點。 任何應用程式都可以使用由任何信任點核發的任何憑證,只要憑證用途符合應用程式需求即可。
信任點不需要核發多個身分識別憑證,也不需要多個金鑰組來與一個信任點建立關聯。 CA 憑證只會證明特定身分 (或名稱) 一次,而且不會發出多個相同名稱的憑證。 如果 CA 需要核發多個身分識別憑證,而且 CA 允許多個憑證使用相同的名稱,則必須為同一 CA 定義另一個信任點,將另一個金鑰組與 CA 建立關聯,然後予以認證。
多個信任的 CA 支援
Cisco NX-OS 裝置可以信任多個 CA,只要設定多個信任點,並且將每個信任點與不同的 CA 建立關聯即可。 如果有多個受信任的 CA,則不將裝置註冊到核發憑證給同儕節點的特定 CA。 您反而可以使用同儕節點信任的多個受信任 CA 來設定裝置。 然後,Cisco NX-OS 裝置可以使用所設定的受信任 CA 來驗證從對等裝置接收的非由對等裝置身分中定義的相同 CA 核發憑證。
PKI 註冊支援
註冊是取得用於應用程式 (例如 SSH) 之裝置身分識別憑證的程序。 此程序在請求憑證的裝置與憑證授權單位機構之間發生。
Cisco NX-OS 裝置在執行 PKI 註冊程序時執行下列步驟:
在裝置上產生 RSA 私密金鑰和公開金鑰組。
以標準格式產生憑證請求,然後將之轉給 CA。
當 CA 收到註冊請求時,CA 管理員可能需要手動在 CA 伺服器上核准註冊請求。 |
從 CA 接收使用 CA 私密金鑰簽署的已核發憑證。
將憑證寫入裝置上的非揮發性儲存體區域 (bootflash)。
使用剪下和貼上功能手動註冊
Cisco NX-OS 軟體支援使用手動剪貼功能來檢索和註冊憑證。 剪下並貼上註冊表示您必須在裝置與 CA 之間剪下並貼上憑證請求及產生的憑證。
在手動註冊程序中使用剪下並貼上功能時,必須執行下列步驟:
建立註冊憑證請求,Cisco NX-OS 裝置會以 base64 編碼文字格式顯示這個請求。
將加密憑證請求文字剪下並貼至電子郵件或 Web 表單中,並將其傳送至 CA。
從 CA 以電子郵件或 Web 瀏覽器下載方式接收核發的憑證 (base64 編碼的文字格式)。
使用憑證匯入裝置將核發的憑證剪下並貼至裝置。
多個 RSA 金鑰組和身分 CA 支援
多個身分 CA 可讓裝置向多個信任點註冊,這會產生分別來自不同 CA 的多個身分識別憑證。 Cisco NX-OS 裝置可藉此功能與許多同儕節點一起參與 SSH 和其他應用程式 (使用這些同儕節點可接受的 CA 所核發的憑證)。
多重 RSA 金鑰配對功能可讓裝置針對每個已註冊的 CA 維護不同的金鑰組。 它可以符合每個 CA 的原則需求,而不會與其他 CA 指定的需求 (例如金鑰長度)衝突。 裝置可以產生多個 RSA 金鑰組,並將每個金鑰組與不同的信任點建立關聯。 此後,向信任點註冊時,會使用相關聯的金鑰組來建構憑證請求。
對等憑證驗證
Cisco NX-OS 裝置上的 PKI 支援可以驗證對等憑證。 Cisco NX-OS 軟體會針對應用程式 (例如 SSH) 在安全交換期間從同儕節點接收到的憑證進行驗證。 應用程式會驗證對等憑證是否有效。 Cisco NX-OS 軟體在驗證對等憑證時,會執行下列步驟:
驗證此對等憑證是由其中一個本端信任的 CA 核發。
驗證對等憑證目前時間是否有效 (未過期)。
驗證對等憑證尚未遭核發 CA 撤銷。
在撤銷檢查方面,Cisco NX-OS 軟體支援憑證撤銷清單 (CRL)。 信任點 CA 可以使用此方法來驗證對等憑證尚未遭到撤銷。
憑證撤銷檢查
Cisco NX-OS 軟體可以檢查 CA 憑證的撤銷狀態。 應用程式可以依您指定的順序使用撤銷檢查機制。 可以選擇 CRL、無或上述方法的組合。
CRL 支援
CA 會維護憑證撤銷清單 (CRL),以提供憑證在到期日之前撤銷的資訊。 CA 在存放庫中公佈 CRL,並在所有已核發憑證中提供下載公開 URL。 驗證對等憑證的用戶端可以從核發 CA 取得最新的 CRL,並用來判斷憑證是否已遭撤銷。 用戶端可以在本端快取某些或所有受信任 CA 的 CRL,日後在必要時加以使用,直到這些 CRL 過期為止。
Cisco NX-OS 軟體允許為信任點手動組態預先下載的 CRL,然後在裝置 bootflash (憑證存放區) 中予以快取。 驗證對等憑證時,只有當 CRL 已在本端快取,而且已將撤銷檢查設定為使用 CRL 時,Cisco NX-OS 軟體才會檢查來自核發 CA 的 CRL。 否則,Cisco NX-OS 軟體不會執行 CRL 檢查,並認定憑證未遭撤銷,除非您已設定其他撤銷檢查方法。
憑證和相關金鑰組適用的匯入和匯出支援
在 CA 驗證和註冊過程中,可用標準 PEM (base64) 格式匯入下層 CA 憑證 (或憑證鏈) 和身分識別憑證。
可用受密碼保護的 PKCS#12 標準格式將信任點中的完整身分資訊匯出至檔案; 而後可以將其匯入相同的裝置 (例如,系統當機後) 或代用裝置。 PKCS#12 檔案中的資訊包含 RSA 金鑰組、身分識別憑證和 CA 憑證 (或憑證鏈)。
PKI 授權要求
下表顯示此功能的授權需求:
產品 |
授權需求 |
---|---|
Cisco NX-OS |
PKI 功能不需要授權。 授權套件中未包含的任何功能都與 Cisco NX-OS 系統映像一併免費提供給您。 如需 Cisco NX-OS 授權方案的說明,請參閱 Cisco NX-OS 授權指南。 |
PKI 的指導原則和限制
PKI 具有下列組態指導原則和限制:
您可以在 Cisco NX-OS 裝置上設定的金鑰組數上限是 16。
您可以在 Cisco NX-OS 裝置上宣告的信任點數上限是 16。
您可以在 Cisco NX-OS 裝置上設定的身分識別憑證數上限是 16。
CA 憑證鏈中的憑證數上限是 10。
您可以向特定 CA 驗證的信任點數上限是 10。
組態復原不支援 PKI 組態。
Cisco NX-OS 軟體不支援 OSCP。
如果您熟悉 Cisco IOS CLI,請注意此功能的 Cisco NX-OS 指令可能不同於您使用的 Cisco IOS 指令。
|
PKI 的預設設定
此表格列出 PKI 參數的預設設定。
參數 |
預設值 |
---|---|
信任點 |
沒有 |
RSA 金鑰組 |
沒有 |
RSA 金鑰組標籤 |
裝置 FQDN |
RSA 金鑰組模數 |
512 |
RSA 金鑰組可匯出 |
啟用 |
撤銷檢查方法 |
CRL |
設定 CA 與數位憑證
本節說明讓 CA 和 Cisco NX-OS 裝置數位憑證交互操作必須執行的任務。
設定主機名稱和 IP 網域名稱
如果您尚未設定裝置主機名稱和 IP 網域名稱,請務必設定,因為 Cisco NX-OS 軟體在身分識別憑證中會使用裝置完整網域名稱 (FQDN) 作為主體。 此外,若您未在產生金鑰組時指定標籤,Cisco NX-OS 軟體會使用裝置 FQDN 作為預設金鑰標籤。 例如,名為 DeviceA.example.com 的憑證是以 DeviceA 的裝置主機名稱和 example.com 的裝置 IP 網域名稱為基礎。
產生憑證後變更主機名稱或 IP 網域名稱可能會使憑證失效。 |
指令或動作 | 用途 | |
---|---|---|
1 | configure terminal 範例:
|
進入全域組態模式。 |
2 | hostname主機名稱 範例:
|
設定裝置的主機名稱。 |
3 | ip domain-name名稱 [use-vrfvrf-名稱] 範例:
|
設定裝置的 IP 網域名稱。 如果您未指定 VRF 名稱,則指令會使用預設 VRF。 |
4 | exit 範例:
|
退出組態模式。 |
5 | (選用)show hosts 範例:
|
(選用) 顯示 IP 網域名稱。 |
6 | (選用)copy running-config startup-config 範例:
|
(選用) 將執行中的組態複製到啟動組態。 |
產生 RSA 金鑰組
您可以產生 RSA 金鑰組,在進行應用程式安全通訊協定交換期間,來簽署及/或加密及解密安全承載。 您必須先產生 RSA 金鑰組,然後才能取得裝置憑證。
指令或動作 | 用途 | |||||
---|---|---|---|---|---|---|
1 | configure terminal 範例:
|
進入全域組態模式。 |
||||
2 | crypto key generate rsa [label標籤字串] [exportable] [modulus模數] 範例:
|
產生 RSA 金鑰組。 裝置上的金鑰組數上限是 16。 標籤字串為英數字元、大小寫有別且長度上限為 64。 預設標籤字串是主機名稱和 FQDN,以點字元 (.) 分隔。 有效模數為 512、768、1024、1536 和 2048。 預設模數大小為 512。
預設的金鑰組不可匯出。 只有可匯出的金鑰組才能以 PKCS#12 格式匯出。
|
||||
3 | exit 範例:
|
退出組態模式。 |
||||
4 | (選用)show crypto key mypubkey rsa 範例:
|
(選用) 顯示產生的金鑰。 |
||||
5 | (選用)copy running-config startup-config 範例:
|
(選用) 將執行中的組態複製到啟動組態。 |
建立信任點 CA 關聯
您必須將 Cisco NX-OS 裝置與信任點 CA 建立關聯。
在開始之前
產生 RSA 金鑰組。
指令或動作 | 用途 | |||
---|---|---|---|---|
1 | configure terminal 範例:
|
進入全域組態模式。 |
||
2 | crypto ca trustpoint名稱 範例:
|
宣告裝置應該信任的信任點 CA,並輸入信任點組態模式。
|
||
3 | enrollment terminal 範例:
|
啟用透過剪下和貼上功能手動進行憑證註冊。 該功能預設為啟用狀態。
|
||
4 | rsakeypair標籤 範例:
|
指定要與此信任點建立關聯的 RSA 金鑰組標籤,以便註冊。
|
||
5 | exit 範例:
|
退出信任點組態模式。 |
||
6 | (選用)show crypto ca trustpoints 範例:
|
(選用) 顯示信任點資訊。 |
||
7 | (選用)copy running-config startup-config 範例:
|
(選用) 將執行中的組態複製到啟動組態。 |
驗證 CA
只有當 CA 向 Cisco NX-OS 裝置驗證時,信任 CA 的組態程序才告完成。 您必須取得 PEM 格式的 CA 自我簽署憑證 (此憑證包含 CA 的公開金鑰),藉此在 Cisco NX-OS 裝置上驗證 CA。 因為 CA 的憑證是自我簽署 (CA 簽署自己的憑證),所以應透過聯絡 CA 管理員的方式比較 CA 憑證的指紋,以手動驗證 CA 的公開金鑰。
如果您驗證的 CA 本身可能是另一個 CA 的一個下層 CA,這個下層 CA 屬於另一個 CA 的一個下層 CA,以此類推,最終以自我簽署的 CA 結束,則您驗證的 CA 不是自我簽署的 CA。 此類型的 CA 憑證稱為待驗證的 CA 的 CA 憑證鏈。 在這種情況下,您必須在 CA 驗證期間輸入憑證鏈中所有 CA 的 CA 憑證完整清單。 CA 憑證鏈中的憑證數上限是 10。 |
在開始之前
建立與 CA 的關聯。
取得 CA 憑證或 CA 憑證鏈。
指令或動作 | 用途 | |||
---|---|---|---|---|
1 | configure terminal 範例:
|
進入全域組態模式。 |
||
2 | crypto ca authenticate名稱 範例:
|
提示您剪下並貼上 CA 的憑證。 使用宣告 CA 時所使用的相同名稱。 您可以向特定 CA 驗證的信任點數上限是 10。
|
||
3 | exit 範例:
|
退出組態模式。 |
||
4 | (選用)show crypto ca trustpoints 範例:
|
(選用) 顯示信任點 CA 資訊。 |
||
5 | (選用)copy running-config startup-config 範例:
|
(選用) 將執行中的組態複製到啟動組態。 |
設定憑證撤銷檢查方法
與用戶端 (例如 SSH 使用者) 進行安全交換期間,Cisco NX-OS 裝置會針對用戶端傳送的對等憑證執行憑證驗證。 驗證程序可能涉及憑證撤銷狀態檢查。
您可以將裝置設定為檢查從 CA 下載的 CRL。 下載 CRL 後在本端檢查並不會產生網路流量。 但是,可以在下載作業之間撤銷憑證,而且您的裝置不會注意到撤銷。
在開始之前
驗證 CA。
如果您要使用 CRL 檢查,請確認已設定 CRL。
指令或動作 | 用途 | |
---|---|---|
1 | configure terminal 範例:
|
進入全域組態模式。 |
2 | crypto ca trustpoint名稱 範例:
|
指定信任點 CA 並進入信任點組態模式。 |
3 | revocation-check {crl [none] | none} 範例:
|
設定憑證撤銷檢查方法。 預設方法是 crl。 Cisco NX-OS 軟體會以您指定的順序使用憑證撤銷檢查方法。 |
4 | exit 範例:
|
退出信任點組態模式。 |
5 | (選用)show crypto ca trustpoints 範例:
|
(選用) 顯示信任點 CA 資訊。 |
6 | (選用)copy running-config startup-config 範例:
|
(選用) 將執行中的組態複製到啟動組態。 |
產生憑證請求
您必須針對每個裝置的 RSA 金鑰組,產生從關聯信任點 CA 取得身分識別憑證的請求。 然後,您必須將顯示的請求剪下並貼到給 CA 的電子郵件或網站表單中。
在開始之前
建立與 CA 的關聯。
取得 CA 憑證或 CA 憑證鏈。
指令或動作 | 用途 | |||
---|---|---|---|---|
1 | configure terminal 範例:
|
進入全域組態模式。 |
||
2 | crypto ca enroll 名稱 範例:
|
為已驗證的 CA 產生憑證請求。
|
||
3 | exit 範例:
|
退出信任點組態模式。 |
||
4 | (選用)show crypto ca certificates 範例:
|
(選用) 顯示 CA 憑證。 |
||
5 | (選用)copy running-config startup-config 範例:
|
(選用) 將執行中的組態複製到啟動組態。 |
安裝身分識別憑證
您可以透過電子郵件或透過 Web 瀏覽器從 CA 接收 base64 編碼文字格式的身分識別憑證。 您必須剪下及貼上該編碼文字,藉此安裝來自 CA 的身分識別憑證。
在開始之前
建立與 CA 的關聯。
取得 CA 憑證或 CA 憑證鏈。
指令或動作 | 用途 | |
---|---|---|
1 | configure terminal 範例:
|
進入全域組態模式。 |
2 | crypto ca import名稱certificate 範例:
|
提示您剪下並貼上名為 admin-ca 的 CA 憑證。 您可以在裝置上設定的身分識別憑證數上限是 16。 |
3 | exit 範例:
|
退出組態模式。 |
4 | (選用)show crypto ca certificates 範例:
|
(選用) 顯示 CA 憑證。 |
5 | (選用)copy running-config startup-config 範例:
|
(選用) 將執行中的組態複製到啟動組態。 |
確保信任點組態在重新開機時持續存在
您可以確保信任點組態在整個 Cisco NX-OS 裝置重新開機過程中持續存在。
信任點組態是一般 Cisco NX-OS 裝置組態,只有當您明確將其複製到啟動組態時,該組態在整個系統重新開機過程中才持續存在。 如果已將信任點組態複製到啟動組態中,則與信任點關聯的憑證、金鑰組和 CRL 會自動續存。 相反地,如果未將信任點組態複製到啟動組態,則與其關聯的憑證、金鑰組和 CRL 不會持續存在,因為它們在重新開機後需要對應的信任點組態。 務必將執行中組態複製到啟動組態,以確保所配置的憑證、金鑰組和 CRL 持續存在。 此外,請在刪除憑證或金鑰組後儲存執行中組態,以確保永久刪除。
如果特定信任點已儲存在啟動組態中,則與信任點相關聯的憑證和 CRL 會在匯入時自動續存 (即,不需要再明確複製到啟動組態)。
我們建議您建立身分識別憑證的受密碼保護備份,並將其儲存至外部伺服器。
將組態複製到外部伺服器會納入憑證和金鑰組。 |
以 PKCS 12 格式匯出身分資訊
您可以將身分識別憑證與 RSA 金鑰組和信任點的 CA 憑證 (或下層 CA 的整個鏈) 一起匯出到 PKCS#12 檔案進行備份。 裝置上的系統當機或更換監督模組時,您可以匯入憑證和 RSA 金鑰組以復原。
指定匯出 URL 時,只能使用 bootflash:文檔名稱格式。 |
在開始之前
驗證 CA。
安裝身分識別憑證。
指令或動作 | 用途 | |
---|---|---|
1 | configure terminal 範例:
|
進入全域組態模式。 |
2 | crypto ca export名稱 pkcs12 bootflash:文檔名稱密碼 範例:
|
匯出身分識別憑證及關聯的金鑰組和信任點 CA 的 CA 憑證。 密碼為英數字元、大小寫有別且長度上限為 128。 |
3 | exit 範例:
|
退出組態模式。 |
4 | copy booflash:文檔名稱方案://伺服器/ [url/]文檔名稱 範例:
|
將 PKCS#12 格式檔案複製到遠端伺服器。 設定方案引數時,您可以輸入 tftp:、ftp:、scp: 或 sftp:。 伺服器引數是遠端伺服器的位址或名稱,url 引數則是遠端伺服器上來源檔案的路徑。 伺服器、url 和文檔名稱引數大小寫有別。 |
以 PKCS 12 格式匯入身分資訊
裝置上的系統當機或更換監督模組時,您可以匯入憑證和 RSA 金鑰組以復原。
指定匯入 URL 時,只能使用 bootflash:文檔名稱格式。 |
在開始之前
若要確認信任點是空的,請檢查沒有任何 RSA 金鑰組與其相關聯,而且沒有 CA 使用 CA 驗證與信任點相關聯。
指令或動作 | 用途 | |
---|---|---|
1 | copy方案://伺服器/[url/]文檔名稱bootflash:文檔名稱 範例:
|
從遠端伺服器複製 PKCS#12 格式檔案。 設定方案引數時,您可以輸入 tftp:、ftp:、scp: 或 sftp:。 伺服器引數是遠端伺服器的位址或名稱,url 引數則是遠端伺服器上來源檔案的路徑。 伺服器、url 和文檔名稱引數大小寫有別。 |
2 | configure terminal 範例:
|
進入全域組態模式。 |
3 | crypto ca import名稱pksc12 bootflash:文檔名稱 範例:
|
匯入身分識別憑證及關聯的金鑰組和信任點 CA 的 CA 憑證。 |
4 | exit 範例:
|
退出組態模式。 |
5 | (選用)show crypto ca certificates 範例:
|
(選用) 顯示 CA 憑證。 |
6 | (選用)copy running-config startup-config 範例:
|
(選用) 將執行中的組態複製到啟動組態。 |
設定 CRL
您可以手動設定從信任點下載的 CRL。 Cisco NX-OS 軟體會快取 CRL 到 bootflash (憑證存放區) 中。 驗證對等憑證時,只有當您已將 CRL 下載至裝置,而且已將憑證撤銷檢查設定為使用該 CRL 時,Cisco NX-OS 軟體才會檢查來自核發 CA 的 CRL。
在開始之前
確認您已啟用憑證撤銷檢查。
指令或動作 | 用途 | |
---|---|---|
1 | copy方案://[//伺服器/[url/]文檔名稱bootflash:文檔名稱 範例:
|
從遠端伺服器下載 CRL。 設定方案引數時,您可以輸入 tftp:、ftp:、scp: 或 sftp:。 伺服器引數是遠端伺服器的位址或名稱,url 引數則是遠端伺服器上來源檔案的路徑。 伺服器、url 和文檔名稱引數大小寫有別。 |
2 | configure terminal 範例:
|
進入全域組態模式。 |
3 | crypto ca crl request名稱bootflash:文檔名稱 範例:
|
使用檔案中指定的 CRL 設定或取代目前的 CRL。 |
4 | exit 範例:
|
退出組態模式。 |
5 | (選用)show crypto ca crl名稱 範例:
|
(選用) 顯示 CA CRL 資訊。 |
6 | (選用)copy running-config startup-config 範例:
|
(選用) 將執行中的組態複製到啟動組態。 |
從 CA 組態刪除憑證
您可以刪除信任點中所設定的身分識別憑證和 CA 憑證。 您必須先刪除身分識別憑證,再刪除 CA 憑證。 刪除身分識別憑證後,即可解除 RSA 金鑰組與信任點之間的關聯。 您必須刪除憑證以移除過期或撤銷的憑證、已外洩 (或懷疑外洩) 金鑰組的憑證或不再受信任的 CA。
指令或動作 | 用途 | |
---|---|---|
1 | configure terminal 範例:
|
進入全域組態模式。 |
2 | crypto ca trustpoint名稱 範例:
|
指定信任點 CA 並進入信任點組態模式。 |
3 | delete ca-certificate 範例:
|
刪除 CA 憑證或 CA 憑證鏈。 |
4 | delete certificate [force] 範例:
|
刪除身分識別憑證。 如果您要刪除的身分識別憑證是憑證鏈中的最後一個憑證,或是裝置中唯一的身分識別憑證,您就必須使用 force 選項。 此要求可確保您不會誤刪憑證鏈中的最後一個憑證或唯一的身分識別憑證,而讓應用程式 (例如 SSH) 沒有憑證可用。 |
5 | exit 範例:
|
退出信任點組態模式。 |
6 | (選用)show crypto ca certificates [名稱] 範例:
|
(選用) 顯示 CA 憑證資訊。 |
7 | (選用)copy running-config startup-config 範例:
|
(選用) 將執行中的組態複製到啟動組態。 |
從 Cisco NX-OS 裝置刪除 RSA 金鑰組
如果您認為 RSA 金鑰組以某種方式遭到外洩並且不應該再使用,您可以從 Cisco NX-OS 裝置刪除 RSA 金鑰組。
從裝置刪除 RSA 金鑰組後,請要求 CA 管理員撤銷裝置在 CA 的憑證。 您必須提供您最初請求憑證時所建立質詢密碼。 |
指令或動作 | 用途 | |
---|---|---|
1 | configure terminal 範例:
|
進入全域組態模式。 |
2 | crypto key zeroize rsa標籤 範例:
|
刪除 RSA 金鑰組。 |
3 | exit 範例:
|
退出組態模式。 |
4 | (選用)show crypto key mypubkey rsa 範例:
|
(選用) 刪除 RSA 金鑰組組態。 |
5 | (選用)copy running-config startup-config 範例:
|
(選用) 將執行中的組態複製到啟動組態。 |
驗證 PKI 組態
若要顯示 PKI 組態資訊,請執行下列其中一項作業:
指令 |
用途 |
---|---|
show crypto key mypubkey rsa |
顯示 Cisco NX-OS 裝置上產生的 RSA 公開金鑰相關資訊。 |
show crypto ca certificates |
顯示 CA 和身分識別憑證相關資訊。 |
show crypto ca crl |
顯示關於 CA CRL 的資訊。 |
show crypto ca trustpoints |
顯示關於 CA 信任點的資訊。 |
PKI 的組態範例
本節顯示的作業範例可供您用來使用 Microsoft Windows Certificate 伺服器在 Cisco NX-OS 裝置上設定憑證和 CRL。
您可以使用任何類型的憑證伺服器來產生數位憑證。 您並非只限使用 Microsoft Windows Certificate 伺服器。 |
在 Cisco NX-OS 裝置上設定憑證
若要在 Cisco NX-OS 裝置上設定憑證,請執行下列步驟:
1 | 設定裝置 FQDN。
|
2 | 設定裝置的 DNS 網域名稱。
|
3 | 建立信任點。
|
4 | 為裝置建立 RSA 金鑰組。
|
5 | 將 RSA 金鑰組與信任點建立關聯。
|
6 | 從 Microsoft Certificate Service Web 介面下載 CA 憑證。 |
7 | 驗證要向信任點註冊的 CA。
|
8 | 產生請求憑證以用於向信任點註冊。
|
9 | 從 Microsoft Certificate Service Web 介面請求身分識別憑證。 |
10 | 匯入身分識別憑證。
|
11 | 驗證憑證組態。 |
12 | 將憑證組態儲存到啟動組態。 |
下載 CA 憑證
若要從 Microsoft Certificate Service Web 介面下載 CA 憑證,請執行下列步驟:
1 | 在 Microsoft Certificate Services Web 介面中按一下檢索 CA 憑證或憑證撤銷工作,然後再按一下下一步。 |
2 | 在顯示清單中,從已顯示的清單中選擇要下載的 CA 憑證檔案。 然後按一下 Base 64 編碼,再按一下下載 CA 憑證。 |
3 | 按一下檔案下載對話方塊中的開啟。 |
4 | 在憑證對話方塊中,按一下複製到檔案,然後再按一下確定。 |
5 | 從憑證匯出精靈對話方塊選擇 Base-64 編碼 X.509 (CER),然後按一下下一步。 |
6 | 在憑證匯出精靈對話方塊的「檔案名稱:」 文字方塊中,輸入目的檔案名稱,然後按一下下一步。 |
7 | 在憑證匯出精靈對話方塊中,按一下完成。 |
8 | 輸入 Microsoft Windows type 指令,以顯示以 Base-64 (PEM) 格式儲存的 CA 憑證。 |
請求身分識別憑證
若要使用 PKCS#12 憑證簽署請求 (CRS) 從 Microsoft Certificate 伺服器請求身分識別憑證,請執行下列步驟:
1 | 在 Microsoft Certificate Services Web 介面中按一下請求憑證,然後再按下一步。 |
2 | 按一下進階請求後,按一下下一步。 |
3 | 按一下使用 base64 編碼的 PKCS#10 檔案提交憑證請求,或者使用 base64 編碼的 PKCS#7 檔案提交續訂要求,然後按一下下一步。 |
4 | 在已儲存請求文字方塊中,貼上 base64 PKCS#10 憑證請求,然後按一下下一步。 系統會從 Cisco NX-OS 裝置主控台複製憑證請求。 |
5 | 等候一或兩天,將收到 CA 管理員核發的憑證。 |
6 | 請注意,CA 管理員核准憑證請求。 |
7 | 在 Microsoft Certificate Services Web 介面中按一下檢查擱置中的憑證,然後再按一下下一步。 |
8 | 選擇要檢查的憑證請求,然後按一下下一步。 |
9 | 按一下 Base 64 編碼,再按一下下載 CA 憑證 。 |
10 | 在檔案下載對話方塊中,按一下開啟。 |
11 | 在憑證方塊中,按一下詳細資料標籤,然後再按一下複製到檔案...。 在憑證匯出對話方塊中,按一下 Base-64 編碼 X.509 (.CER),然後按一下下一步。 |
12 | 在憑證匯出精靈對話方塊的「檔案名稱:」 文字方塊中,輸入目的檔案名稱,然後按一下下一步。 |
13 | 按一下完成。 |
14 | 輸入 Microsoft Windows type 指令,以顯示 base64 編碼格式的身分識別憑證。 |
撤銷憑證
若要使用 Microsoft CA 管理員程式撤銷憑證,請執行下列步驟:
1 | 在憑證授權單位樹狀目錄中,按一下已核發的憑證資料夾。 在清單中待撤銷的憑證上按一下滑鼠右鍵。 |
2 | 選擇所有工作 > 撤銷憑證。 |
3 | 從原因代碼下拉清單選擇撤銷的原因,然後按一下是。 |
4 | 按一下已撤銷的憑證資料夾,以列出並確認憑證撤銷狀態。 |
產生及公佈 CRL
若要使用 Microsoft CA 管理員程式產生並發佈憑證,請執行下列步驟:
1 | 從憑證授權單位畫面選擇動作 > 所有工作 > 發佈。 |
2 | 在憑證撤銷清單對話方塊中,按一下是以發佈最新的 CRL。 |
下載 CRL
若要從 Microsoft CA 網站下載 CRL,請執行下列步驟:
1 | 在 Microsoft Certificate Services Web 介面中按一下檢索 CA 憑證或憑證撤銷清單,然後再按一下下一步。 |
2 | 按一下下載最新的憑證撤銷清單。 |
3 | 在檔案下載對話方塊中,按一下儲存。 |
4 | 在另存新檔方塊中,輸入目的檔案名稱,然後按一下下一步。 |
5 | 輸入 Microsoft Windows type 指令,以顯示 CRL。 |
匯入 CRL
若要將 CRL 匯入與 CA 對應的信任點,請執行下列步驟:
1 | 將 CRL 檔案複製到 Cisco NX-OS 裝置 bootflash。
|
||
2 | 設定 CRL。
|
||
3 | 顯示 CRL 的內容。
|