16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment :

Conditions préalables

Avant que vous commenciez, vous devez connaître le nom de domaine qui est assigné au certificat. Vous avez besoin également du certificat racine des autorités de Certificats (CA), et probablement du certificat intermédiaire CA.

Conditions requises

Avant de tenter cette configuration, assurez-vous que vous répondez à ces exigences :

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions de documents, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Tâche principale

Tâche

Cette section détaille chaque étape requise pour créer le CSR, de la création de la paire de clés à importer le certificat de serveur.

Instructions pas à pas

Terminez-vous les instructions dans cette section.

  1. Créez la paire de clés.

    nov10-key est le nom de la paire de clés.

    Remarque: Soyez sûr de spécifier exportable ; autrement, vous ne pouvez pas exporter la paire de clés du SSLM.

    ssl-proxy(config)#crypto key generate rsa general-keys label nov10-key exportable
    The name for the keys will be: nov10-key
    Choose the size of the key modulus in the range of 360 to 2048 for your
      General Purpose Keys. Choosing a key modulus greater than 512 may take
      a few minutes.
    
    How many bits in the modulus [512]: 1024
    % Generating 1024 bit RSA keys ...[OK]
  2. Créez le point de confiance.

    Le nom du point de confiance est yoursite. Vous devez écrire le nom du sujet dans le format X.509 et votre nom de domaine. Ces informations sont utilisées pour créer le CSR.

    ssl-proxy(config)#crypto ca trustpoint yoursite
    ssl-proxy(ca-trustpoint)#enrollment terminal pem
    ssl-proxy(ca-trustpoint)#crl optional
    ssl-proxy(ca-trustpoint)#subject-name C=US, ST=Massachusetts, L=Boxborough, O=Cisco, 
        OU=Tac, CN=www.yourdomain.com
    ssl-proxy(ca-trustpoint)#fqdn www.yourdomain.com
    ssl-proxy(ca-trustpoint)#rsakeypair nov10-key
    ssl-proxy(ca-trustpoint)#exit
    
  3. Générez le CSR.

    ssl-proxy(config)#crypto ca enroll yoursite
    % Start certificate enrollment .. 
    % The subject name in the certificate will be: C=US, ST=Massachusetts, L=Boxborough, O=Cisco, 
        OU=Tac, CN=www.yourdomain.com
    % The fully-qualified domain name in the certificate will be: www.yourdomain.com
    % The subject name in the certificate will be: www.yourdomain.com
    % Include the router serial number in the subject name? [yes/no]: no
    % Include an IP address in the subject name? [no]: no
    Display Certificate Request to terminal? [yes/no]: yes
    
    Certificate Request follows:
    
    -----BEGIN CERTIFICATE REQUEST-----
    MIIB+jCCAWMCAQAwgZgxGzAZBgNVBAMTEnd3dy55b3VyZG9tYWluLmNvbTEMMAoG
    A1UECxMDVGFjMQ4wDAYDVQQKEwVDaXNjbzETMBEGA1UEBxMKQm94Ym9yb3VnaDEW
    MBQGA1UECBMNTWFzc2FjaHVzZXR0czELMAkGA1UEBhMCVVMxITAfBgkqhkiG9w0B
    CQIWEnd3dy55b3VyZG9tYWluLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkC
    gYEAwwCQrKH+RYvhQpZuuVADHAh4BoFRefiV+b6UXXI8dOmnkKB/w1w+Hure4N6p
    QsBPMEg1mku5AT38JcrWKu8JfGVEEap54UX+ZGs4o37ssskL4vr0qeNQ0PxkIVE4
    4iZLb+KxS5XbGrNRN6Mx4A8npV8xe1Wew8TqNw2h+oNYEBcCAwEAAaAhMB8GCSqG
    SIb3DQEJDjESMBAwDgYDVR0PAQH/BAQDAgWgMA0GCSqGSIb3DQEBBAUAA4GBAKjW
    SeLVzYdRSIkEL+rrYeuJfpoQTPIgTyjLNeI1a/ipoA/cQYPR0RBQ3N1k8G2JhXhW
    De4hNDsYPtnPZ65kUSjLLV6BenxKjXzIDhdc2x8MyhMu5t/tAbxelG3daJGhHUBd
    Of5meQ4JrbfwZHATmoiTEpAbWVNHC2h7oJO5Ldhw
    -----END CERTIFICATE REQUEST-----
    
    
    ---End - This line not part of the certificate request---
    
    Redisplay enrollment request? [yes/no]: no
    
  4. Envoyez le CSR à votre CA.

    Utilisez la copie et la collez pour envoyer le CSR à votre CA. Si votre CA demande un type de serveur, Apache choisi.

  5. Chargez le certificat racine CA

    Avant que vous puissiez charger le certificat de serveur, vous devez charger tous les Certificats CA. Au minimum, c'est le certificat racine CA, et probablement un certificat intermédiaire CA. Votre CA peut te fournir les Certificats nécessaires.

    ssl-proxy(config)#crypto ca authenticate yoursite
    Enter the base 64 encoded CA certificate.
    End with a blank line or the word "quit" on a line by itself
    
    
    -----BEGIN CERTIFICATE-----
    MIICTTCCAfcCEFKp9CTaZ0ydr09TeFKr724wDQYJKoZIhvcNAQEEBQAwgakxFjAU
    BgNVBAoTDVZlcmlTaWduLCBJbmMxRzBFBgNVBAsTPnd3dy52ZXJpc2lnbi5jb20v
    cmVwb3NpdG9yeS9UZXN0Q1BTIEluY29ycC4gQnkgUmVmLiBMaWFiLiBMVEQuMUYw
    RAYDVQQLEz1Gb3IgVmVyaVNpZ24gYXV0aG9yaXplZCB0ZXN0aW5nIG9ubHkuIE5v
    IGFzc3VyYW5jZXMgKEMpVlMxOTk3MB4XDTk4MDYwNzAwMDAwMFoXDTA2MDYwNjIz
    NTk1OVowgakxFjAUBgNVBAoTDVZlcmlTaWduLCBJbmMxRzBFBgNVBAsTPnd3dy52
    ZXJpc2lnbi5jb20vcmVwb3NpdG9yeS9UZXN0Q1BTIEluY29ycC4gQnkgUmVmLiBM
    aWFiLiBMVEQuMUYwRAYDVQQLEz1Gb3IgVmVyaVNpZ24gYXV0aG9yaXplZCB0ZXN0
    aW5nIG9ubHkuIE5vIGFzc3VyYW5jZXMgKEMpVlMxOTk3MFwwDQYJKoZIhvcNAQEB
    BQADSwAwSAJBAMak6xImJx44jMKcbkACy5/CyMA2fqXK4PlzTtCxRq5tFkDzne7s
    cI8oFK/J+gFZNE3bjidDxf07O3JOYG9RGx8CAwEAATANBgkqhkiG9w0BAQQFAANB
    AKWnR/KPNxCglpTP5nzbo+QCIkmsCPjTCMnvm7KcwDJguaEwkoi1gBSY9biJp9oK
    +cv1Yn3KuVM+YptcWXLfxxI=
    -----END CERTIFICATE-----
    quit
    
    Certificate has the following attributes:
    Fingerprint: 40065311 FDB33E88 0A6F7DD1 4E229187 
    % Do you accept this certificate? [yes/no]: yes
    Trustpoint CA certificate accepted.
    % Certificate successfully imported
    
  6. Chargez le certificat de serveur.

    ssl-proxy(config)#crypto ca import yoursite certificate 
    % The fully-qualified domain name in the certificate will be: www.yourdomain.com
    
    Enter the base 64 encoded certificate.
    End with a blank line or the word "quit" on a line by itself
    
    
    -----BEGIN CERTIFICATE-----
    MIIDNTCCAt+gAwIBAgIQAequL43ZqGWLN5H/5BzhGDANBgkqhkiG9w0BAQUFADCB
    qTEWMBQGA1UEChMNVmVyaVNpZ24sIEluYzFHMEUGA1UECxM+d3d3LnZlcmlzaWdu
    LmNvbS9yZXBvc2l0b3J5L1Rlc3RDUFMgSW5jb3JwLiBCeSBSZWYuIExpYWIuIExU
    RC4xRjBEBgNVBAsTPUZvciBWZXJpU2lnbiBhdXRob3JpemVkIHRlc3Rpbmcgb25s
    eS4gTm8gYXNzdXJhbmNlcyAoQylWUzE5OTcwHhcNMDQxMTEwMDAwMDAwWhcNMDQx
    MTI0MjM1OTU5WjB1MQswCQYDVQQGEwJVUzEWMBQGA1UECBMNTWFzc2FjaHVzZXR0
    czETMBEGA1UEBxQKQm94Ym9yb3VnaDEOMAwGA1UEChQFQ2lzY28xDDAKBgNVBAsU
    A1RhYzEbMBkGA1UEAxQSd3d3LnlvdXJkb21haW4uY29tMIGfMA0GCSqGSIb3DQEB
    AQUAA4GNADCBiQKBgQDDAJCsof5Fi+FClm65UAMcCHgGgVF5+JX5vpRdcjx06aeQ
    oH/DXD4e6t7g3qlCwE8wSDWaS7kBPfwlytYq7wl8ZUQRqnnhRf5kazijfuyyyQvi
    +vSp41DQ/GQhUTjiJktv4rFLldsas1E3ozHgDyelXzF7VZ7DxOo3DaH6g1gQFwID
    AQABo4HRMIHOMAkGA1UdEwQCMAAwCwYDVR0PBAQDAgWgMEIGA1UdHwQ7MDkwN6A1
    oDOGMWh0dHA6Ly9jcmwudmVyaXNpZ24uY29tL1NlY3VyZVNlcnZlclRlc3RpbmdD
    QS5jcmwwUQYDVR0gBEowSDBGBgpghkgBhvhFAQcVMDgwNgYIKwYBBQUHAgEWKmh0
    dHA6Ly93d3cudmVyaXNpZ24uY29tL3JlcG9zaXRvcnkvVGVzdENQUzAdBgNVHSUE
    FjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwDQYJKoZIhvcNAQEFBQADQQCbMUY/lyyp
    2jt6YxiZNEaFNFHPRU5kQZAY8X+IWnQ0tLfASd0nJ4wdaaeGpJSZQKbMdae3aunz
    55LCq8QsB0AH
    -----END CERTIFICATE-----
    quit
    
    % Router Certificate successfully imported
    

Certificats intermédiaires

Si vous avez un certificat intermédiaire, vous devez configurer deux points de confiance. Un point de confiance contient le certificat racine CA seulement. Vous devez seulement configurer le PEM de terminal d'inscription et le Liste des révocations de certificat (CRL) facultatifs. Le deuxième point de confiance contient le certificat intermédiaire et le certificat de serveur. Le deuxième point de confiance est semblable configuré au premier point de confiance, cependant, au lieu du certificat racine, utilisent le certificat intermédiaire.

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Cette section fournit l'information de dépannage concernant cette configuration.

Si vous rencontrez des problèmes chargeant les Certificats, activez l'élimination des imperfections avec la commande de debug crypto pki transactions.

Veillez-vous pour avoir la chaîne de certificat complète. Vous pouvez déterminer ceci en visualisant les Certificats sur un PC. Sauvegardez les Certificats avec une extension de .cer, puis double-cliquer pour les ouvrir.

Le certificat racine est affiché dans la figure 1. Vous pouvez déterminer ceci en regardant fourni à et émis par des sections. Les deux sections sont identiques. En outre, notez que le certificat apparaît comme non fait confiance parce qu'il un certificat d'essai.

Figure 1

/image/gif/paws/63456/sslm-csr-2.gif

Le certificat de serveur est affiché dans la figure 2. Vous appelez déterminez qu'il apparie le certificat racine parce qu'émis par la section apparie émis par la section sur le certificat racine.

Figure 2

/image/gif/paws/63456/sslm-csr-1.gif

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 63456