Trustpoints configureren en certificaten installeren op MDS 9000 Switches

Downloadopties

PDF (253.6 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (91.7 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (84.6 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:14 februari 2023

Document-id:220226

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Achtergrondinformatie

Voorwaarden

Het begrijpen van weinig verwante sleutelwoorden

Vereisten

Configureren

Stap 1

Genereert een RSA-sleutelpaar

Stap 2

Maak een CA Trust Point en koppel het RSA keypair aan het Trustpoint

Stap 3

Stap 4

Aanvragen voor certificaten genereren

NX-OS 8.4(1x) en hoger

NX-OS 8.4(1) en hoger.

Stap 5

Stap 6

Verifiëren

Beperkingen en voorbehouden

Maximum aantal beperkingen voor CA en digitaal certificaat

Voorbehouden

Inleiding

Dit document beschrijft de configuratie stappen voor de configuratie van Trustpoint en Certificaten in de MDS-switches.

Achtergrondinformatie

Ondersteuning van Public Key Infrastructure (PKI) biedt de middelen voor de Cisco MultiLayer Director Switch (MDS) 9000 Series switches om digitale certificaten te verkrijgen en te gebruiken voor beveiligde communicatie in het netwerk. PKI-ondersteuning biedt beheerbaarheid en schaalbaarheid voor IP-beveiliging (IPsec), Internet Key Exchange (IKE) en Secure Shell (SSH).

Voorwaarden

U moet de hostnaam en IP-domeinnaam van de switch configureren als deze nog niet zijn geconfigureerd.

switch# configuration terminal
switch(config)# switchname <switchName> 
SwitchName(config)# ip domain-name example.com

Opmerking: wijziging van de IP-hostnaam of IP-domeinnaam na het genereren van het certificaat kan het certificaat ongeldig maken.

Het begrijpen van weinig verwante sleutelwoorden

Trustpoint: een lokaal geconfigureerd object dat informatie bevat over een vertrouwde certificeringsinstantie (CA), inclusief het lokale RSA-sleutelpaar, het openbare CA-certificaat (certificaten) en het identiteitscertificaat dat door een CA aan de switch is verstrekt. Er kunnen meerdere betrouwbaarheidspunten worden geconfigureerd om switch-identiteitscertificaten van meerdere CA’s in te schrijven. De volledige identiteitsinformatie in een vertrouwenspunt kan worden geëxporteerd naar een bestand in het met een wachtwoord beschermde PKCS12-standaardformaat. Het kan later naar dezelfde switch (bijvoorbeeld na een systeemcrash) of naar een vervangende switch worden geïmporteerd. De informatie in een PKCS12-bestand bestaat uit het RSA-sleutelpaar, het identiteitscertificaat en het CA-certificaat (of de keten).

CA-certificaat: dit is het certificaat dat wordt afgegeven door de certificeringsinstantie (CA) met betrekking tot zichzelf. Er kan een tussenpersoon of ondergeschikte CA zijn in de setup. In dat geval zou dit ook kunnen verwijzen naar het publieke certificaat van de intermediaire of ondergeschikte CA.

Certificaatautoriteiten (CA’s): apparaten die certificaataanvragen beheren en identiteitscertificaten afgeven aan entiteiten zoals hosts, netwerkapparaten of gebruikers. CA's bieden gecentraliseerd sleutelbeheer voor dergelijke entiteiten.

RSA keypair: Gegenereerd met cli in de switch en geassocieerd met het trustpoint. Voor elk trustpoint dat op de switch is geconfigureerd, moet u een uniek RSA-sleutelpaar genereren en dit koppelen aan het trustpoint.

Certification Signing request (CSR) Dit is een verzoek dat door de switch wordt gegenereerd en naar CA wordt gestuurd om te worden ondertekend. Tegen deze MVO stuurt de CA het identiteitscertificaat terug.

Identiteitscertificaat : dit is het getuigschrift dat wordt ondertekend en afgegeven door de certificeringsinstantie voor de switch waaruit de CSR wordt gegenereerd. Zodra een CSR is ingediend bij een CA, verstrekt de CA of een beheerder het identiteitscertificaat per e-mail of via een webbrowser. Om een identiteitscertificaat in een MDS-trustpoint te plakken, moet het in standaard PEM (base64)-formaat zijn.

Vereisten

Root CA .

SubCA-certificaten (indien de identiteitsbewijzen door de subCA zijn ondertekend) In dit geval moeten ook CA-certificaten van subCA in de switch worden toegevoegd.

Identiteitscertificaat

Configureren

Stap 1

Genereert een RSA-sleutelpaar

switchName# configure terminal 
switchName(config)# crypto key generate rsa label <rsaKeyPairName> exportable modulus xxx

(Geldige moduluswaarden zijn (standaard) 512, 768, 1024, 1536, 2048 en 4096)

Stap 2

Maak een CA Trust Point en koppel het RSA keypair aan het Trustpoint

De switch FQDN wordt gebruikt als standaard sleutellabel wanneer geen van beide is opgegeven tijdens het genereren van toetsparen.

switchName(config)# crypto ca trustpoint <trustpointName>
switchName(config-trustpoint)# enroll terminal 
switchName(config-trustpoint)# rsakeypair <rsaKeyPairName>

Stap 3

Een Trust Point-certificeringsinstantie authenticeren

Als de CA die wordt geauthenticeerd geen zelfondertekende CA is, dan moet de volledige lijst van CA-certificaten van alle CA’s in de certificeringsketen worden ingevoerd tijdens de CA-verificatiestap. Dit wordt de CA-certificaatketen genoemd van de CA die wordt geauthenticeerd. Het maximum aantal certificaten in een CA-certificaatketen is 10.

Wanneer er alleen Root CA is

switchName# configure terminal

switchName(config)# crypto ca authenticate <trustpointName> 

input (cut & paste) CA certificate (chain) in PEM format;
end the input with a line containing only END OF INPUT :
-----BEGIN CERTIFICATE-----
MIIDmjCCAoKgAwIBAgIGAVTGvpxRMA0GCSqGSIb3DQEBCwUAMF0xCzAJBgNVBAYT
AkFVMSUwIwYDVQQKDBxDaXNjbyBTeXN0ZW1zIEluYy4gQXVzdHJhbGlhMRIwEAYD
VQQLDAlDaXNjbyBUQUMxEzARBgNVBAMMCk5pa29sYXkgQ0EwHhcNMTYwNTE5MDIw
MTAxWhcNMjYwNTIwMDIwMTE0WjBdMQswCQYDVQQGEwJBVTElMCMGA1UECgwcQ2lz
Y28gU3lzdGVtcyBJbmMuIEF1c3RyYWxpYTESMBAGA1UECwwJQ2lzY28gVEFDMRMw
EQYDVQQDDApOaWtvbGF5IENBMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
AQEAm6onXi3JRfIe2NpQ53CDBCUTn8cHGU67XSyqgL7MlYBhH032QaVrT3b98KcW
55UoqQW15kAnJhNTIQ+f0f8oj9A5UbwcQwIXQuHGkDZvJULjidM37tGF90ZVLJs7
sMxsnVSPIe05w71B9Zuvgh3b7QEdW0DMevNwhuYgaZ0TWrkRR0SoG+6l60DWVzfT
GX0I7MCpLE8JevHZmwfutkQcbVlozcu9sueemvL3v/nEmKP+GlxboR9EqFhXQeyy
/qkhr7Oj/pPHJbvTSuf09VgVRi5c03u7R1Xcc0taNZxSENWovyy/EXkEYjbWaFr7
u+Npt5/6H3XNQKJ0PCSuoOdWPwIDAQABo2AwXjAfBgNVHSMEGDAWgBSE/uqXmcfx
DeH/OVLB6G3ARtAvYzAdBgNVHQ4EFgQUhP7ql5nH8Q3h/zlSwehtwEbQL2MwDgYD
VR0PAQH/BAQDAgGGMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQELBQADggEBAH9J
a89CFrIUIGGQFg6L2CrYmuOE0bv69UnuodvzG/qEy4GwWUNkUCNu8wNfx3RAgJ8R
KHUbeQY0HjGRaThY8z7Qx8ugA6pDEiwf/BMKPNBPkfhMEGL2Ik02uRThXruA82Wi
OdLY0E3+fx0KULVKS5VvO9Iu5sGXa8t4riDwGWLkfQo2AMLzc+SP4T3udEpG/9BD
nwGOseiz5a/kTAsMircoN2TcqoMBf5LQoA52DJf6MAHd2QZxcnm9ez8igKhzvMG1
OiopI3jTQ38Y9fqCK8E30wUwCozaY3jT0G3F57BfPCfBkkdz1a/Lw7en991xtBcp
0iptGTDJSt7TruaTvDs=
-----END CERTIFICATE-----
END OF INPUT ---> press Enter

Wanneer er tussenliggende of ondergeschikte CA’s zijn

De certificaten moeten worden verstrekt zoals aangegeven:

switchName# configure terminal
switchName(config)# crypto ca authenticate <trustpointName>

Input (cut & paste) CA certificate (chain) in PEM format;
end the input with a line containing only END OF INPUT :
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-------
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
END OF INPUT ---> press Enter

Blauwe kleur Tekst -> Dit wordt gekopieerd van het CA-certificaat (geopend in een teksteditor) en geplakt wanneer gevraagd in de switch CLI.

Rode kleurtekst -> Dit moet worden ingevoerd om het certificaat te beëindigen.

Elke fout in het certificaat resulteert in dit

failed to load or parse certificate
could not perform CA authentication

Als u probeert te verifiëren van een Sub CA certificaat zonder het Root CA certificaat toe te voegen, krijgt u

incomplete chain (no selfsigned or intermediate cert)
could not perform CA authentication

Als alles goed is

Fingerprint(s): SHA1 Fingerprint=E1:37:5F:23:FA:82:0C:63:40:9C:AD:C7:7A:83:C9:6A:EA:54:9A:7A
Do you accept this certificate? [yes/no]:yes

Stap 4

Aanvragen voor certificaten genereren

NX-OS 8.4(1x) en hoger

switchName# configure terminal
switchName(config)# crytpo ca enroll <trustpointName>
Create the certificate request..
Create a challenge password. You  need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password not be saved in the configuration.
Please make a note of it.
Password: abcdef1234 ----- >(Keep a note of this password that you are entering)
The subject name in the certificate be the name of the switch.
Include the switch serial number in the subject name? [yes/no]: no
Include an IP address in the subject name [yes/no]: yes
ip address: 192.168.x.x
The certificate request be displayed...
-----BEGIN CERTIFICATE REQUEST-----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=
-----END CERTIFICATE REQUEST-----

Het uitdagingswachtwoord wordt niet opgeslagen met de configuratie. Dit wachtwoord is vereist in het geval dat uw certificaat moet worden ingetrokken, dus u moet dit wachtwoord onthouden.

Opmerking: gebruik het teken '$' niet voor het wachtwoord. Het zorgt ervoor dat MVO mislukt.

Kopieer dit vanaf

-----BEGIN CERTIFICATE REQUEST-----

Tot

-----END CERTIFICATE REQUEST-----

Sla dit buiten de switch op. Dit moet via e-mail of een andere methode worden doorgestuurd naar de root-CA of Sub-CA (welke van de twee ook ondertekent). De CA retourneert een ondertekend identiteitsbewijs.

NX-OS 8.4(1) en hoger.

Als tijdelijke oplossing voor Cisco bug-id CSCvo43832 , worden de inschrijvingsaanwijzingen gewijzigd in NX-OS 8.4(1).

De onderwerpnaam is standaard hetzelfde als de naam van de switch.

De inschrijvingsaanwijzingen staan ook een alternatieve onderwerpnaam en meerdere DN-velden toe.

Opmerking: het veld DN wordt gevraagd om getallen als voorbeeld, zodat elke tekenreeks met dat bereik van tekens kan worden geaccepteerd. De State DN-prompt zegt bijvoorbeeld:

Staat invoeren[1-128]:

Het neemt elke string van 1 tot 128 karakters.

switchName# configure terminal
switchName(config)# crypto ca enroll <trustpointName>
Create the certificate request ..
Create a challenge password. You need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password not be saved in the configuration.
Please make a note of it.
Password:abcdef1234
The subject name in the certificate is the name of the switch.
Change default subject name? [yes/no]:yes
Enter Subject Name:customSubjectName
Include the switch serial number in the subject name? [yes/no]:yes
The serial number in the certificate is: XXXXXXXXXXX
Include an IP address in the subject name [yes/no]:yes
ip address:192.168.x.x
Include the Alternate Subject Name ? [yes/no]:yes
Enter Alternate Subject Name:AltName
Include DN fields? [yes/no]:yes
Include Country Name ? [yes/no]:yes
Enter Country Code [XX]:US
Include State ? [yes/no]:yes
Enter State[1-128]:NC
Include Locality ? [yes/no]:yes
Enter Locality[1-128]:RTP
Include the Organization? [yes/no]:yes
Enter Organization[1-64]:TAC
Include Organizational Unit ? [yes/no]:yes
Enter Organizational Unit[1-64]:sanTeam
The certificate request is displayed...
-----BEGIN CERTIFICATE REQUEST-----
MIIDEjCCAfoCAQAwbzELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk5DMQwwCgYDVQQH
DANSVFAxDDAKBgNVBAoMA1RBQzEQMA4GA1UECwwHc2FuVGVhbTElMCMGA1UEAwwc
RjI0MS0xNS0xMC05MTQ4VC0yLmNpc2NvLmNvbTCCASIwDQYJKoZIhvcNAQEBBQAD
ggEPADCCAQoCggEBAJxGBpaX7j1S5rtLfZhttgvcvDPeXrtFCwOwrSSshPnJfzKN
ZFxzqTtyTSZpTUApfhd2QEDu+rdz+5RB4LF6cP5YNJeiYwQattf65QFfxWffFEuk
BSSvkBwx7y0Bna0fW7rMhDgVF5c9Cj2qNItwkO4Wxx56Guzn/iQGbGQ8Ak3YA/mZ
6lwl4x8Xj15jHwPrg57HB0IJoVFta0SV7DRsCwguq7Vq3CxViQSgdlOn4op699fn
7mENvOFHUfZhPF+YgsUakGeTcJpebu524kg4nZH1eiu9mlrs9VrU0d2qG7Ez+Goi
+GFD0NrauCQSvREpk7dv7l8jMk+tYR6u3ETFYYUCAwEAAaBeMBkGCSqGSIb3DQEJ
BzEMDAphYmNkZWYxMjM0MEEGCSqGSIb3DQEJDjE0MDIwMHYDVR0RAQH/BCYwJIIc
RjI0MS0xNS0xMC05MTQ4VC0yLmNpc2NvLmNvbYcEwKgBCjANBgkqhkiG9w0BAQsF
AAOCAQEAcBrh5xObTI/SOJ7DLm9sf5rfYFaJ0/1BafKqi2Dp3QPLMIa1jydZwz4q
NdNj7Igb4vZPVv/KBrJCibdjEJUn/YiGMST9PFQLys/Qm0fhQmsWcDxDX5xkE+/x
jZ+/8o5W/p6fPV4xT6sGDydjhA5McYr1o3grj0iPWloP+BaDpZgLpIoUHQygk8RB
SJbRR48QKl6pOVwcLPMXWy4w9Yp24hoJ8LI4Ll10D+urpyeEu0IpXywQdOJShQ3S
LWDEgVQSOhFQ+L7c+GGhnrXNXBD37K5hQ2mwrSIqI0FjDQMfzsBDe8bnDqx/HlLa
EP0sjBxo5AxmGon3ZEdlj6ivoyCA/A==
-----END CERTIFICATE REQUEST-----

Stap 5

Identiteitscertificaten installeren

Opmerking: het maximum aantal identificatiecertificaten dat u op een switch kunt configureren is 16.

switch# configure terminal
switch(config)# crypto ca import <trustpointName> certificate
input (cut & paste) certificate in PEM format:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Stap 6

Sla de configuratie op

switch# copy running-config startup-config

Verifiëren

switchName# show crypto ca certificates

Trustpoint: <trustpointName>

certificate: ---> Identity Certificate 
subject= /CN=CP-SAND-MDS-A.example.com
issuer= /C=GB/O=England/CN=Utility CA1
serial=16D34BA800004441C69D
notBefore=Nov 15 08:11:47 2021 GMT 
notAfter=Nov 14 08:11:47 2023 GMT
SHA1 Fingerprint=03:E0:73:FE:31:C5:4A:84:C0:77:21:0F:3A:A0:05:29:55:FF:9B:7E
purposes: sslserver sslclient ike

CA certificate 0: ---> CA Certificate of Sub CA
subject= /C=GB/O=England/CN=Eng Utility CA1
issuer= /C=GB/O= England/CN=EngRoot CA
serial=616F2990AB000078776000002
notBefore=Aug 14 11:22:48 2012 GMT
notAfter=Aug 14 11:32:48 2022 GMT
SHA1 Fingerprint=DF:41:1D:E7:B7:AD:6F:3G:05:F4:E9:99:B2:9F:9C:80:73:83:1D:B4
purposes: sslserver sslclient ike

CA certificate 1: ---> CA Certificate of Root CA
subject= /C=GB/O=England/CN=Eng Root CA
issuer= /C=GB/O=Bank of England/CN=Eng Root CA
serial=435218BABA57D57774BFA7A37A4E54D52
notBefore=Aug 14 10:08:30 2012 GMT
notAfter=Aug 14 10:18:09 2032 GMT
SHA1 Fingerprint=E3:F9:85:AC:1F:66:22:7C:G5:36:2D:89:5A:B4:3C:06:0E:2A:DB:13
purposes: sslserver sslclient ike

switchName# show crypto key mypubkey rsa
key label: <rsaKeyPairName>
key size: 2048
exportable: yes
key-pair already generated

switchName# show crypto ca crl <trustpointName>
Trustpoint: <trustpointName>

==================================================================================================

Beperkingen en voorbehouden

Maximum aantal beperkingen voor CA en digitaal certificaat
Feature	Maximumgrens
Vertrouwspunten die op een switch zijn aangegeven	16
RSA-sleutelparen die op een switch zijn gegenereerd	16
Grootte van sleutelpaar van RSA	4096 bits
Identiteitscertificaten geconfigureerd op een switch	16
Certificaten in een CA-certificaatketen	10
Vertrouwspunten die zijn geverifieerd bij een specifieke CA	10

Standaardinstellingen

Parameters	Standaard
Vertrouwenspunt	None
RSA-sleutelpaar	None
RSA-sleutelpaarlabel	SWITCH FQDN
RSA-sleutelpaarmodulus	512
RSA-sleutelpaar exporteerbaar	Ja
Herroepingscontrole methode van trust point	CRL

Voorbehouden

Cisco-bug-id CSCvo43832 - MDS 9000 aanvraag voor certificaatondertekening (CSR) omvat niet alle velden met een onderscheidende naam (DN)

Cisco bug-id CSCvt46531 - PKI 'trustpool'-opdrachten moeten worden gedocumenteerd

Cisco bug-id CSCwa7156 - Cisco MDS 9000 Series security configuratiegids, release 8.x moet worden bijgewerkt op wachtwoordteken

Cisco bug-id CSC54084 - 'Onderwerp alternatieve naam' is onjuist in CSR gegenereerd door NX-OS

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
1.0	14-Feb-2023	Eerste vrijgave

Bijgedragen door Cisco-engineers

Abhinav Bharat Tiwari
Justin Porter
Vinod Kumar Suryadevara

Trustpoints configureren en certificaten installeren op MDS 9000 Switches

Downloadopties

Inclusief taalgebruik

Over deze vertaling

Inhoud

Inleiding

Achtergrondinformatie

Voorwaarden

Het begrijpen van weinig verwante sleutelwoorden

Vereisten

Configureren

Stap 1

Genereert een RSA-sleutelpaar

Stap 2

Maak een CA Trust Point en koppel het RSA keypair aan het Trustpoint

Stap 3

Stap 4

Aanvragen voor certificaten genereren

NX-OS 8.4(1x) en hoger

NX-OS 8.4(1) en hoger.

Stap 5

Stap 6

Verifiëren

Beperkingen en voorbehouden

Maximum aantal beperkingen voor CA en digitaal certificaat

Voorbehouden

Revisiegeschiedenis

Bijgedragen door Cisco-engineers

Was dit document nuttig?

Contact Cisco

Dit document is van toepassing op deze producten