In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument dient als allgemeine Anleitung zum Konfigurieren von IOS XE-Zertifikaten, die von einer Zertifizierungsstelle eines Drittanbieters signiert wurden.
In diesem Dokument wird erläutert, wie Sie eine mehrstufige signierte Zertifizierungsstellenkette importieren, damit das Gerät als Identitäts- (ID)-Zertifikat fungieren kann, und wie Sie andere Zertifikate von Drittanbietern zum Zwecke der Zertifikatsvalidierung importieren.
NTP und Uhrzeit MÜSSEN bei Verwendung der IOS PKI-Funktionen konfiguriert werden.
Wenn ein Administrator kein NTP konfiguriert, kann es Probleme mit einem Zertifikat geben, das mit einem zukünftigen/vergangenen Datum/einer vergangenen Uhrzeit generiert wird. Diese Datums- oder Zeitverschiebung kann zu Importproblemen und anderen Problemen führen.
NTP-Beispielkonfiguration:
ntp server 192.168.1.1
clock timezone EST -5
clock summer-time EDT recurring
- Cisco Router mit Cisco IOS® XE17.11.1a
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Beachten Sie, dass einige der in diesem Dokument beschriebenen Funktionen in älteren IOS XE-Versionen möglicherweise nicht verfügbar sind. Wenn möglich wurde sorgfältig dokumentiert, wenn ein Befehl oder eine Funktion eingeführt oder geändert wurde.
Beachten Sie immer die offizielle Dokumentation der IOS XE PKI-Funktionen für eine bestimmte Version, um alle Einschränkungen oder Änderungen zu verstehen, die für Ihre Version relevant sein können:
Beispiele:
Auf hoher Ebene muss ein Administrator beim Arbeiten mit IOS XE PKI-Zertifikaten folgende Aktionen ausführen:
Diese Schritte werden in den folgenden Abschnitten beschrieben, die nach den für die jeweilige Aktion erforderlichen Befehlen gruppiert sind.
Viele Administratoren haben diesen Befehl eingegeben, um Secure Socket Shell (SSH) auf einem Router zu aktivieren, oder als Teil eines Konfigurationsleitfadens für eine Funktion. Allerdings haben nur wenige nicht seziert, was der Befehl tatsächlich tut.
Nehmen wir zum Beispiel die folgenden Befehle:
crypto key generate rsa general-keys modulus 2048 label rsaKey exportable
crypto key generate ec keysize 521 exportable label ecKey
Durch Unterteilen dieser Befehle in die einzelnen Teile wird die Verwendung im Detail beschrieben:
Konfigurationsbeispiele:
Router(config)# crypto key generate rsa general-keys modulus 2048 label rsaKey exportable The name for the keys will be: rsaKey % The key modulus size is 2048 bits % Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds) Router(config)# crypto key generate ec keysize 521 exportable label ecKey The name for the keys will be: ecKey
Verifizierungsbeispiele:
Router# show crypto key mypubkey rsa rsaKey % Key pair was generated at: 10:21:42 EDT Apr 14 2023 Key name: rsaKey Key type: RSA KEYS 2048 bits Storage Device: not specified Usage: General Purpose Key Key is exportable. Redundancy enabled. Key Data: 30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101 [..truncated..] 9F020301 0001
Router# show crypto key mypubkey ec ecKey % Key pair was generated at: 10:03:05 EDT Apr 14 2023 Key name: ecKey Key type: EC KEYS p521 curve Storage Device: private-config Usage: Signature Key Key is exportable. Redundancy enabled. Key Data: 30819B30 1006072A 8648CE3D 02010605 2B810400 23038186 000401A2 A77FCD34 [..truncated..] 93FAC967 96ADA79E 4A245881 B2AD2F4A 279A362D F390A20F C06D5845 06DA
Vertrauenspunkte sind ein "ordnerähnliches" Konzept zum Speichern und Verwalten von PKI-Zertifikaten in IOS XE. (Befehlssyntax)
Auf hoher Ebene:
Hinweis: Die folgenden Abschnitte für crypto pki Authenticate und crypto pki import und spätere Abschnitte mit detaillierten Auth-/Importbeispielen für mehrstufige Zertifikate bieten weiteren Kontext zu diesen vier Aufzählungszeichen.
Für Vertrauenspunkte können verschiedene Befehle konfiguriert werden. Diese Befehle können verwendet werden, um die Werte innerhalb einer CSR (Certificate Signing Request) zu beeinflussen, die vom Gerät mit dem Befehl crypto pki enroll auf einem Vertrauenspunkt erstellt werden.
Für einen Vertrauenspunkt stehen viele verschiedene Befehle zur Verfügung (in diesem Dokument sind zu viele im Detail beschrieben). Weitere Beispiele finden Sie im Beispiel "Vertrauenspunkt" und in der nachfolgenden Tabelle:
crypto pki trustpoint labTrustpoint enrollment terminal pem serial-number none fqdn none ip-address none subject-name cn=router.example.cisco.com subject-alt-name myrouter.example.cisco.com revocation-check none rsakeypair rsaKey hash sha256
Command | Beschreibung |
crypto pki trustpoint labTrustpoint | Für Menschen lesbares Konfigurationslabel für diesen Vertrauenspunkt. Wird verwendet, um in späteren Befehlen eine Verknüpfung zu Funktionen oder Diensten herzustellen. |
Anmeldeterminal Pem |
Bestimmt, welche Aktion der Befehl crypto pki enroll ausführt. In diesem Beispiel gibt das Registrierungsterminal pem an, dass die Zertifikatssignierungsanforderung (Certificate Signing Request, CSR) in einem mit Base64 PEM formatierten Text an das Terminal ausgegeben wird. Andere Optionen, wie z. B. die selbstsignierte Registrierung, können zum Erstellen eines selbstsignierten Zertifikats verwendet werden. Die Registrierungs-URL kann so konfiguriert werden, dass sie eine HTTP-URL definiert und das Simple Certificate Enrollment Protocol (SCEP)-Protokoll verwendet. Beide Methoden sind nicht Gegenstand dieses Dokuments. |
Seriennummer keine | Legt fest, ob die seriellen IOS XE-Geräte dem CSR hinzugefügt werden. Dadurch wird auch die Eingabeaufforderung während des Befehls crypto pki enroll deaktiviert. |
FQDN keine | Bestimmt, ob der vollqualifizierte Domänenname (FQDN) zum CSR hinzugefügt wird. Dadurch wird auch die Eingabeaufforderung während des Befehls crypto pki enroll deaktiviert. |
IP-Adresse keine | Legt fest, ob die IP-Adresse des IOS XE-Geräts zum CSR hinzugefügt wird. Dadurch wird auch die Eingabeaufforderung während des Befehls crypto pki enroll deaktiviert. |
subject-name cn=router.example.cisco.com | Zeigt das formatierte X500 an, das dem CSR hinzugefügt wird. |
subject-alt-name myrouter.example.cisco.com | Ab IOS XE 17.9.1 kann eine kommagetrennte Liste mit SAN-Werten (Subject Alternate Name) zum CSR hinzugefügt werden. |
revocation-check none | Gibt an, wie das IOS XE-Gerät die Gültigkeit des Zertifikats überprüfen soll. Optionen wie die Zertifikatsperrliste (Certificate Revocation List, CRL) und das Online Certificate Status Protocol (OCSP) können verwendet werden, wenn sie von der gewünschten Zertifizierungsstelle unterstützt werden. Dies wird hauptsächlich verwendet, wenn der Vertrauenspunkt von einer anderen konfigurierten IOS XE-Funktion oder einem anderen konfigurierten IOS XE-Dienst verwendet wird. Der Sperrstatus wird auch überprüft, wenn ein Zertifikat mit einem Vertrauenspunkt authentifiziert wird. |
rsakeypair rsaKey | Weist den Befehl an, das RSA-Schlüsselpaar mit diesem spezifischen Label zu verwenden. Verwenden Sie für ECDSA-Zertifikate den Befehl "eckeypair ecKey", der auf das Label des EC-Schlüssels verweist |
Hash sha256 | Dieser Befehl beeinflusst die Art des zu verwendenden Hash-Algorithmus. Die Optionen sind SHA1, SHA256, SHA384 und SHA512. |
Der Befehl crypto pki enroll wird verwendet, um den Befehl enrollment für einen bestimmten Vertrauenspunkt auszulösen. (Befehlssyntax)
Für das Beispiel trustpoint, das zuvor angezeigt wurde, zeigt der Befehl crypto pki enroll labTrustpoint die Zertifikatssignierungsanforderung (Certificate Signing Request, CSR) an das Terminal im Base64 PEM-Textformat an, wie im Beispiel unten gezeigt.
Diese Zertifikatssignierungsanforderung kann jetzt in einer Textdatei gespeichert oder kopiert und über die Befehlszeile eingefügt werden, um sie für die Validierung und Signierung an eine beliebige Drittanbieter-Zertifizierungsstelle bereitzustellen.
Router(config)# crypto pki enroll labTrustpoint % Start certificate enrollment .. % The subject name in the certificate will include: cn=router.example.cisco.com % The fully-qualified domain name will not be included in the certificate Display Certificate Request to terminal? [yes/no]: yes Certificate Request follows: -----BEGIN CERTIFICATE REQUEST----- MIICrTCCAZUCAQAwIzEhMB8GA1UEAxMYcm91dGVyLmV4YW1wbGUuY2lzY28uY29t [..truncated..] mGvBGUpn+cDIdFcNVzn8LQk= -----END CERTIFICATE REQUEST----- ---End - This line not part of the certificate request---
Der Befehl crypto pki authentication wird verwendet, um einem bestimmten Vertrauenspunkt ein vertrauenswürdiges Zertifizierungsstellen-Zertifikat hinzuzufügen. Jeder Vertrauenspunkt kann einmal authentifiziert werden. Das heißt, ein Vertrauenspunkt kann nur einen einzelnen Zertifizierungsstellen-Stamm oder ein Zwischenzertifikat enthalten. Wenn Sie den Befehl ein zweites Mal ausführen und ein neues Zertifikat hinzufügen, wird das erste Zertifikat überschrieben.
Mit dem konfigurierten Befehls-Anmeldeterminal pem fordert der Befehl crypto pki authentication den Router auf, ein mit Base64 PEM formatiertes Zertifikat hochzuladen, das über die CLI hochgeladen werden soll. (Befehlssyntax)
Ein Administrator kann einen Vertrauenspunkt authentifizieren, um die Stamm- und optionalen Zwischenzertifikate in einer Zertifikatskette hinzuzufügen, damit das ID-Zertifikat eines Geräts später importiert werden kann.
Administratoren können auch einen Vertrauenspunkt authentifizieren, um dem IOS XE-Gerät andere vertrauenswürdige Stammzertifizierungsstellen hinzuzufügen, um während Protokoll-Handshakes mit diesem Peer-Gerät Vertrauensbeziehungen zu Peer-Geräten zu ermöglichen.
Zur weiteren Veranschaulichung kann ein Peer-Gerät über eine Zertifikatskette verfügen, die von "Root CA 1" signiert ist. Damit die Zertifikatsvalidierung während des Protokoll-Handshakes zwischen dem IOS XE-Gerät und dem Peer-Gerät erfolgreich ist, kann ein Administrator das CA-Zertifikat mit dem Befehl crypto pki Authenticate einem Vertrauenspunkt auf dem IOS XE-Gerät hinzufügen.
Das wichtigste Element: Authentifizieren von Vertrauenspunkten mithilfe von crypto pki Authenticate dient immer dazu, einem Vertrauenspunkt CA-Root- oder Zwischenzertifikate hinzuzufügen, nicht dazu, Identitätszertifikate hinzuzufügen. Beachten Sie, dass dieses Konzept auch auf die Authentifizierung selbstsignierter Zertifikate von einem anderen Peer-Gerät angewendet wird.
Das folgende Beispiel zeigt, wie Sie einen Vertrauenspunkt von zuvor mit dem Befehl crypto pki Authenticate authentifizieren:
Router(config)# crypto pki authenticate labTrustpoint Enter the base 64 encoded CA certificate. End with a blank line or the word "quit" on a line by itself -----BEGIN CERTIFICATE----- [..truncated..] -----END CERTIFICATE----- Certificate has the following attributes: Fingerprint MD5: C955FC74 7AABC184 D8A75DE7 3C9E7218 Fingerprint SHA1: 3A99FF61 1E9E6C7B D0E567A9 96D882F5 2279C534 % Do you accept this certificate? [yes/no]: yes Trustpoint CA certificate accepted. % Certificate successfully imported
Dieser Befehl wird verwendet, um das Identitätszertifikat (ID-Zertifikat) in einen Vertrauenspunkt zu importieren. Ein einzelner Vertrauenspunkt kann nur ein einzelnes ID-Zertifikat enthalten. Wenn Sie den Befehl ein zweites Mal ausführen, werden Sie aufgefordert, das zuvor importierte Zertifikat zu überschreiben. (Befehlssyntax)
Im folgenden Beispiel wird veranschaulicht, wie ein Identitätszertifikat mithilfe des Befehls crypto pki import in den Beispielvertrauenspunkt von zuvor importiert wird.
Router(config)# crypto pki import labTrustpoint certificate Enter the base 64 encoded certificate. End with a blank line or the word "quit" on a line by itself -----BEGIN CERTIFICATE----- [..truncated..] -----END CERTIFICATE----- % Router Certificate successfully imported
Ein Administrator erhält einen Fehler, wenn er versucht, ein Zertifikat zu importieren, bevor der Vertrauenspunkt das Zertifizierungsstellenzertifikat authentifiziert hat, mit dem dieses Zertifikat direkt signiert wird.
Router(config)# crypto pki import labTrustpoint certificate % You must authenticate the Certificate Authority before you can import the router's certificate.
Zertifikate der Peer-Zertifizierungsstelle werden IOS XE auf dieselbe Weise hinzugefügt wie Zertifizierungsstellenzertifikate. Das heißt, sie werden mithilfe des Befehls crypto pki Authenticate anhand eines Vertrauenspunkts authentifiziert.
Der folgende Befehl zeigt, wie Sie einen Vertrauenspunkt erstellen und ein CA-Zertifikat eines Peer-Drittanbieters authentifizieren.
Router(config)# crypto pki trustpoint PEER-ROOT Router(ca-trustpoint)# enrollment terminal pem Router(ca-trustpoint)# revocation-check none
Router(ca-trustpoint)# crypto pki authenticate PEER-ROOT Enter the base 64 encoded CA certificate. End with a blank line or the word "quit" on a line by itself -----BEGIN CERTIFICATE----- [..truncated..] -----END CERTIFICATE----- Certificate has the following attributes: Fingerprint MD5: 62D1381E 3E03D06A 912BAC4D 247EEF17 Fingerprint SHA1: 3C97CBB4 491FC8D6 3D12B489 0C285481 64198EDB
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
In den vorherigen Beispielen wird erläutert, wie Sie einen CSR mit crypto pki enroll generieren, das Stammzertifikat der Zertifizierungsstelle mit crypto pki Authenticate authentifizieren und dann das Identitätszertifikat mit crypto pki import importieren.
Bei der Einführung von Zwischenzertifikaten unterscheidet sich das Verfahren jedoch geringfügig. Keine Angst, es gelten immer noch die gleichen Konzepte und Befehle! Der Unterschied liegt in der Art und Weise, wie die Trustpoints, die die Zertifikate besitzen, ausgelegt sind.
Denken Sie daran, dass jeder Vertrauenspunkt nur ein einzelnes Root- oder Intermediate-Zertifizierungsstellenzertifikat enthalten kann. In einem Beispiel mit einer CA-Kette, wie unten gezeigt, ist es nicht möglich, mit dem Befehl crypto pki Authenticate mehr als ein CA-Zertifikat hinzuzufügen:
- Root CA
- Intermediate CA 1
- Identity Certificate
Lösung:
Anhand der Tabelle unten kann man das Zertifikat veranschaulichen, das man zur Vertrauensstellung der Zuordnung mit Farben verwenden soll, die der vorherigen Kette entsprechen, um die Visualisierung zu unterstützen.
Zertifikatsname | Vertrauenswürdiger Punkt | Zu verwendender Befehl |
Stamm-CA | crypto pki trustpoint ROOT-CA | crypto pki authentifizieren ROOT-CA |
Zwischengeschaltete Zertifizierungsstelle 1 | crypto pki trustpoint labTrustpoint | crypto pki authentifizieren labTrustpoint |
Identitätszertifikat | crypto pki trustpoint labTrustpoint | crypto pki import labTrustpoint-Zertifikat |
Dieselbe Logik kann auf eine Zertifikatkette mit zwei zwischengeschalteten Zertifizierungsstellenzertifikaten angewendet werden. Auch hier werden Farben bereitgestellt, die die Anwendung der neuen Zwischen-CA auf die IOS XE-Konfiguration veranschaulichen.
- Root CA
- Intermediate CA 1
- Intermediate CA 2
- Identity Certificate
Zertifikatsname | Vertrauenswürdiger Punkt | Zu verwendender Befehl |
Stamm-CA | crypto pki trustpoint ROOT-CA | crypto pki authentifizieren ROOT-CA |
Zwischengeschaltete Zertifizierungsstelle 1 | crypto pki trustpoint INTER-CA | crypto pki authentifizieren INTERCA |
Zwischengeschaltete CA 2 | crypto pki trustpoint labTrustpoint | crypto pki authentifizieren labTrustpoint |
Identitätszertifikat | crypto pki trustpoint labTrustpoint | crypto pki import labTrustpoint-Zertifikat |
Bei näherem Hinsehen sind zwei Muster zu erkennen:
Diese beiden Muster können für eine beliebige Anzahl von Zwischenzertifikaten verwendet werden, die zwei übersteigen. In den meisten Bereitstellungen sieht der Administrator jedoch wahrscheinlich mehr als zwei Zwischenzertifikate in einer Zertifikatskette.
Der Vollständigkeit halber wird auch die folgende Stamm-/Identitätszertifikatstabelle bereitgestellt:
- Root CA
- Identity Certificate
Zertifikatsname | Vertrauenswürdiger Punkt | Zu verwendender Befehl |
Stamm-CA | crypto pki trustpoint labTrustpoint | crypto pki authentifizieren labTrustpoint |
Identitätszertifikat | crypto pki trustpoint labTrustpoint | crypto pki import labTrustpoint-Zertifikat |
Nachfolgend finden Sie einige gängige Beispiele:
Gültige Prüfungen vor und nach dem Start werden basierend auf der konfigurierten Zeit im Vergleich zur im Zertifikat angegebenen Zeit durchgeführt
004458: Aug 9 21:05:34.403: CRYPTO_PKI: trustpoint labTrustpoint authentication status = 0 %CRYPTO_PKI: Cert not yet valid or is expired - start date: 05:54:04 EDT Aug 29 2019 end date: 05:54:04 EDT Aug 28 2022
Wenn die Sperrprüfung nicht deaktiviert ist, führt IOS XE eine Sperrprüfung mithilfe der konfigurierten Methode durch, bevor das Zertifikat importiert wird.
003375: Aug 9 20:24:14: %PKI-3-CRL_FETCH_FAIL: CRL fetch for trustpoint ROOT failed 003376: Aug 9 20:24:14.121: CRYPTO_PKI: enrollment url not configured
Verwenden Sie die folgenden Befehle, um Details zur Konfiguration, Authentifizierung oder Import von Vertrauenspunkten anzuzeigen:
show crypto pki trustpoints trustpoint_name show crypto pki certificates trustpoint_name
show crypto pki certificates verbose trustpoint_name
Beim Debuggen von Importproblemen oder anderen PKI-Problemen verwenden Sie die folgenden Debugs.
debug crypto pki messages debug crypto pki transactions debug crypto pki validation debug crypto pki api debug crypto pki callback ! debug ssl openssl error debug ssl openssl msg debug ssl openssl states debug ssl openssl ext
Einige Zertifizierungsstellenanbieter stellen möglicherweise Dateien im PKCS#12-Format (.pfx, .p12) bereit.
PKCS#12 ist ein spezieller Typ von Zertifikatformat, bei dem die gesamte Zertifikatskette vom Stammzertifikat bis zum Identitätszertifikat zusammen mit dem RSA-Schlüsselpaar gebündelt wird.
Dieses Format ist sehr praktisch für den Import mit IOS XE und kann einfach mit dem folgenden Befehl importiert werden:
Router(config)# crypto pki import PKCS12-TP pkcs12 terminal password Cisco123
or
Router(config)# crypto pki import PKCS12-TP pkcs12 ftp://cisco:cisco@192.168.1.1/certificate.pfx password Cisco123 % Importing pkcs12... Address or name of remote host [192.168.1.1]? Source filename [certificate.pfx]? Reading file from ftp://cisco@192.168.1.1/certificate.pfx! [OK - 2389/4096 bytes] % You already have RSA keys named PKCS12. % If you replace them, all router certs issued using these keys % will be removed. % Do you really want to replace them? [yes/no]: yes CRYPTO_PKI: Imported PKCS12 file successfully.
Ein Administrator kann Zertifikate als unverschlüsseltes Base64-PEM, verschlüsseltes Base64-PEM oder PKCS12-Format in das Terminal exportieren, um sie in andere Peer-Geräte zu importieren.
Dies ist nützlich, wenn neue Peer-Geräte aktiviert werden und ein Administrator ein Root-Zertifizierungsstellenzertifikat freigeben muss, das das Geräte-Identitätszertifikat signiert hat.
Nachfolgend finden Sie eine Beispielsyntax:
Router(config)# crypto pki export labTrustpoint pem terminal
Router(config)# crypto pki export labTrustpoint pem terminal 3des password Cisco!123 Router(config)# crypto pki export labTrustpoint pkcs12 terminal password cisco!123
Möglicherweise müssen RSA-Schlüssel exportiert werden, um sie auf ein anderes Gerät zu importieren oder um sie für die Fehlerbehebung zu verwenden. Wenn das Schlüsselpaar als exportierbar erstellt wurde, können die Schlüssel mit dem Befehl crypto key export zusammen mit einer Verschlüsselungsmethode (DES, 3DES, AES) und einem Kennwort exportiert werden.
Anwendungsbeispiel:
Router(config)# crypto key export rsa rsaKey pem terminal aes Cisco!123 % Key name: IOS-VG Usage: General Purpose Key Key data: -----BEGIN PUBLIC KEY----- [..truncated..] -----END PUBLIC KEY----- base64 len 1664-----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: AES-256-CBC,40E087AFF0886DA7C468D2084A0DECFB [..truncated..] -----END RSA PRIVATE KEY-----
Wenn der Schlüssel nicht exportierbar ist, wird ein Fehler angezeigt.
Router(config)# crypto key export rsa kydavis.cisco.com pem terminal 3des mySecretPassword
% RSA keypair kydavis.cisco.com' is not exportable.
Einige Administratoren können RSA- und Zertifikaterstellung offline durchführen. Es ist möglich, die RSA-Schlüssel mit dem Befehl crypto key import (Schlüsselimport) zu importieren, wie unten gezeigt, und das Kennwort zu verwenden.
Router(config)# crypto key import rsa rsaKey general-purpose exportable terminal mySecretPassword % Enter PEM-formatted public General Purpose key or certificate. % End with a blank line or "quit" on a line by itself. -----BEGIN PUBLIC KEY----- [..truncated..] -----END PUBLIC KEY----- % Enter PEM-formatted encrypted private General Purpose key. % End with "quit" on a line by itself. -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,9E31AAD9B7463502 [..truncated..] -----END RSA PRIVATE KEY----- quit % Key pair import succeeded.
Verwenden Sie den Befehl crypto key zeroize rsa rsaKey, um eine RSA-Tastatur mit dem Namen rsaKey zu löschen.
Cisco Trusted CA-Paket über Trustpool importieren
TrustPools unterscheiden sich geringfügig von einem TrustPoint, aber die Kernverwendung ist dieselbe. Wenn Trustpoints in der Regel ein einzelnes CA-Zertifikat enthalten, enthält ein Trustpool eine Reihe von vertrauenswürdigen CAs.
Cisco veröffentlicht CA-Pakete unter https://www.cisco.com/security/pki/
Eine gängige Verwendung ist das Herunterladen der Datei ios_core.p7b mithilfe des folgenden Befehls:
Router(config)# crypto pki trustpool import clean url http://www.cisco.com/security/pki/trs/ios_core.p7b Reading file from http://www.cisco.com/security/pki/trs/ios_core.p7b Loading http://www.cisco.com/security/pki/trs/ios_core.p7b % PEM files import succeeded. Router(config)#
Nein. Sobald der CSR generiert und gespeichert wurde, kann der Vertrauenspunkt gelöscht und erneut hinzugefügt werden, ohne den CSR zu ungültig zu machen.
Diese Funktion wird häufig vom technischen Support von Cisco verwendet, um neu zu starten, wenn die Authentifizierung/der Import von Zertifikaten fehlerhaft ist.
Solange der Administrator oder der Support-Techniker keine RSA-Schlüssel neu generieren, können der CSR oder die signierte Zertifikatskette importiert und authentifiziert/importiert werden.
Wichtig! Durch Entfernen des Vertrauenspunkts werden alle authentifizierten/importierten Zertifikate gelöscht, die problematischer sein könnten, wenn diese Zertifikate derzeit von einem Dienst oder einer Funktion verwendet werden.
Nein, dies ist häufig der Fall, wenn Zertifikate bald ablaufen. Ein Administrator kann einen crypto pki enroll-Befehl ausführen, um einen neuen CSR zu erstellen und den Zertifikatsignierungsprozess mit einer Zertifizierungsstelle zu starten, während die vorhandenen Zertifikate, die authentifiziert/importiert wurden, weiter verwendet werden. Der Zeitpunkt, an dem ein Administrator die Zertifikate durch crypto pki Authenticate/crypto pki import ersetzt, ist der Zeitpunkt, an dem die alten Zertifikate ersetzt werden.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
27-Apr-2023 |
Erstveröffentlichung |