Interfaces et modules Cisco : Module SSL Services de la gamme Cisco Catalyst 6500

Importer des certificats et la clé privée par copier-coller

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment importer vos Certificats et clé privée dans le format du Privacy Enhanced Mail (PEM) avec la copie et la pâte.

Dans ce document, il y a deux points de confiance ; le premier point de confiance contient le certificat racine d'Autorité de certification (CA), et le deuxième point de confiance contient les Certificats d'intermédiaire et de serveur CA et la clé privée.

Conditions préalables

Conditions requises

Avant de tenter cette configuration, assurez-vous que vous répondez à ces exigences :

  • Vos Certificats et clés doivent être dans le format PEM.

  • Votre clé privée doit être dans le format PEM et a chiffré.

  • Vous devez avoir la chaîne de certificat complète. Ceci inclut, au minimum, le certificat racine CA, et probablement les Certificats d'intermédiaire et de serveur CA. Si vous n'avez pas la chaîne de certificat complète, l'importation du certificat de serveur échoue.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version 2.1(2) du module de Secure Socket Layer (SSLM)

  • Certificats dans le format PEM

  • clé privée chiffrée dans le format PEM

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions de documents, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Tâche principale

Tâche

Dans cette configuration, il y a trois Certificats : la racine CA, intermédiaire CA, et les Certificats de serveur. Puisqu'il y a deux Certificats CA, vous devez créer deux points de confiance. Le premier point de confiance est utilisé pour tenir le certificat racine CA, et le deuxième point de confiance contient le certificat d'intermédiaire et de serveur CA et la clé privée.

Instructions pas à pas

Terminez-vous les étapes dans cette section.

  1. Créez un point de confiance pour le certificat racine CA.

    ssl-proxy(config)#crypto ca trustpoint root-tank.com
    ssl-proxy(ca-trustpoint)#enrollment terminal PEM
    ssl-proxy(ca-trustpoint)#crl optional 
    ssl-proxy(ca-trustpoint)#exit
    
  2. Importez le certificat racine CA avec la copie et le collez.

    ssl-proxy(config)#crypto ca authenticate root-tank.com
    
    Enter the base 64 encoded CA certificate.
    End with a blank line or the word "quit" on a line by itself
    
    -----BEGIN CERTIFICATE-----
    MIIDujCCAyOgAwIBAgIBADANBgkqhkiG9w0BAQQFADCBoDELMAkGA1UEBhMCVVMx
    CzAJBgNVBAgTAk1BMRMwEQYDVQQHEwpCb3hib3JvdWdoMRgwFgYDVQQKEw9SdXN0
    ZWQgUm9vdCBJTkMxEDAOBgNVBAsTB1Jvb3QgQ0ExHjAcBgNVBAMTFXJvb3RDQS5y
    dXN0ZWRyb290LmNvbTEjMCEGCSqGSIb3DQEJARYUYWRtaW4ucnVzdGVkcm9vdC5j
    b20wHhcNMDQwODI4MDQwMjA3WhcNMDUwODI4MDQwMjA3WjCBoDELMAkGA1UEBhMC
    VVMxCzAJBgNVBAgTAk1BMRMwEQYDVQQHEwpCb3hib3JvdWdoMRgwFgYDVQQKEw9S
    dXN0ZWQgUm9vdCBJTkMxEDAOBgNVBAsTB1Jvb3QgQ0ExHjAcBgNVBAMTFXJvb3RD
    QS5ydXN0ZWRyb290LmNvbTEjMCEGCSqGSIb3DQEJARYUYWRtaW4ucnVzdGVkcm9v
    dC5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAK0TJDw6e85ySiYfbWUV
    SZCEpMy5oBGNHeqfflwCnBjbHUdyn9EmsZR72aF7AweCpq71yIFRjaCsE6/2mJTW
    1vxJRFb5H5CkH1tLwJL5HVHtZjeGwU+FIZ6R8yKpbq2SIBSZ95+GbSz7hIjZ78qY
    61+z6qDup50W4OLJUgUL464nAgMBAAGjggEAMIH9MB0GA1UdDgQWBBQ5NXpGMxPL
    gBF67e/ydXUm4AIPYjCBzQYDVR0jBIHFMIHCgBQ5NXpGMxPLgBF67e/ydXUm4AIP
    YqGBpqSBozCBoDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAk1BMRMwEQYDVQQHEwpC
    b3hib3JvdWdoMRgwFgYDVQQKEw9SdXN0ZWQgUm9vdCBJTkMxEDAOBgNVBAsTB1Jv
    b3QgQ0ExHjAcBgNVBAMTFXJvb3RDQS5ydXN0ZWRyb290LmNvbTEjMCEGCSqGSIb3
    DQEJARYUYWRtaW4ucnVzdGVkcm9vdC5jb22CAQAwDAYDVR0TBAUwAwEB/zANBgkq
    hkiG9w0BAQQFAAOBgQAvLLBopgRnr1sYmCP+kmqRkqvBsdXjAG77nWB4TeNEmYJi
    +eCxuXXhBsQnWNye0yxakaj4EL2wJiXI6eNKCT0gZqZRb66/p2ki7Mpu/3x8g4qe
    Bma/nzCvAaA25o5kh8VlgUHSnFoOmhpLsxrDm90umBWTSALci8v70pjBT+09QA==
    -----END CERTIFICATE-----
    quit
    
    Certificate has the following attributes:
    Fingerprint: 615171D8 C3989EFA 4D45B23F 8ACBCDC3 
    % Do you accept this certificate? [yes/no]: yes
    Trustpoint CA certificate accepted.
    % Certificate successfully imported
    
    
  3. Créez un deuxième point de confiance pour les Certificats d'intermédiaire et de serveur CA et la clé privée

    ssl-proxy(config)#crypto ca trustpoint server-tank.com
    ssl-proxy(ca-trustpoint)#enrollment terminal PEM
    ssl-proxy(ca-trustpoint)#crl optional 
    ssl-proxy(ca-trustpoint)#exit
    
  4. Dans cette commande, importez : Certificat intermédiaire CA, clé privée, et certificat de serveur avec la copie et la pâte. le luckydog est le mot de passe pour la clé privée.

    ssl-proxy(config)#crypto ca import server-tank.com PEM terminal luckydog
    
    % Enter PEM-formatted CA certificate.
    % End with a blank line or "quit" on a line by itself.
    
    -----BEGIN CERTIFICATE-----
    MIIDrTCCAxagAwIBAgIBATANBgkqhkiG9w0BAQQFADCBoDELMAkGA1UEBhMCVVMx
    CzAJBgNVBAgTAk1BMRMwEQYDVQQHEwpCb3hib3JvdWdoMRgwFgYDVQQKEw9SdXN0
    ZWQgUm9vdCBJTkMxEDAOBgNVBAsTB1Jvb3QgQ0ExHjAcBgNVBAMTFXJvb3RDQS5y
    dXN0ZWRyb290LmNvbTEjMCEGCSqGSIb3DQEJARYUYWRtaW4ucnVzdGVkcm9vdC5j
    b20wHhcNMDQwODI4MDQyMDM2WhcNMDUwODI4MDQyMDM2WjCBkzELMAkGA1UEBhMC
    VVMxCzAJBgNVBAgTAk1BMRMwEQYDVQQHEwpCb3hib3JvdWdoMRYwFAYDVQQKEw1U
    YW5rIERvZyBUb3lzMRQwEgYDVQQLEwtUYW5rIFN0aWNrczEVMBMGA1UEAxMMd3d3
    LnRhbmsuY29tMR0wGwYJKoZIhvcNAQkBFg5hZG1pbi50YW5rLmNvbTCBnzANBgkq
    hkiG9w0BAQEFAAOBjQAwgYkCgYEA65WjIJcEvYynLrWUsPz1H+VM5O8sRMp10BLI
    vSTCWsrWD9rn0Hut9R3Cwc2MmjecDk8avDXxF+vqKLkI41KGLz6yniNcjVfsLi8X
    InXrRL53INAXkC1xbP0jsnz5iJU9aquvh81ak/f2nvKm9p9y8QLGYouDdzoFBHc4
    kE5DNoECAwEAAaOCAQAwgf0wHQYDVR0OBBYEFD1zYK+rk0zEDJ1hRHev7QO9OQhx
    MIHNBgNVHSMEgcUwgcKAFDk1ekYzE8uAEXrt7/J1dSbgAg9ioYGmpIGjMIGgMQsw
    CQYDVQQGEwJVUzELMAkGA1UECBMCTUExEzARBgNVBAcTCkJveGJvcm91Z2gxGDAW
    BgNVBAoTD1J1c3RlZCBSb290IElOQzEQMA4GA1UECxMHUm9vdCBDQTEeMBwGA1UE
    AxMVcm9vdENBLnJ1c3RlZHJvb3QuY29tMSMwIQYJKoZIhvcNAQkBFhRhZG1pbi5y
    dXN0ZWRyb290LmNvbYIBADAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBAUAA4GB
    AKC9izT+RkBQ8lUOK2VsLMYSi7a6uAzJwUwfIezYevl9U1AgQKrO++GvKKaTwfcS
    NerJajut7JZr+JOh4+Ai16Ccz7yZjqZ8/lFmB0dDzJGlib5ASE0eiy/+azp6GFG1
    acYcDdCtNAa3oR6DknNKDWihRQpIF3P/rFsbPb0+t/OD
    -----END CERTIFICATE-----
    quit
    
    % Enter PEM-formatted encrypted private key.
    % End with "quit" on a line by itself.
    
    -----BEGIN RSA PRIVATE KEY-----
    Proc-Type: 4,ENCRYPTED
    DEK-Info: DES-EDE3-CBC,C33CAD1289ACFEFA
    
    J9YQleEpRFS2otCWKJJUm9N6mul6bvZCyJNe8B/fRxApPVP944SqN1Mjf6ZiDhHN
    GDSyVSxwSmdkqhWdYW9wWy3nbcJ8On005jfvpmlmnMtLRJS95doDF0MhdD59RI2O
    ZzUiR+tyBSdhPGnBYgdNta4z6QaITA1EHOpSfQFe5fRc553l1esySCCMTTSsioZB
    2h8RJ/7dbFbJlHoI7vNX5/Eu0Xa40aVUPa7vWJYcU+NFl05xgO4zQt4JHHKg6O7v
    JSEJGN/L+8WG0UC7jLUMdpupL1LQB4wHMzvU3Ir5pLbZje3KT7DZE3J450rCWR+3
    JhoQLAM44xWgOzcEUe3Fdt7Qn1LEuAXNiRs4oZBXNTP4FtwcOcWvIbMF/yJVeQSm
    sPgTop+NMj+rrf8IX9PjmFNiu9mnruanGs9hkrDjmoeV1685csDT9mSNhKZbWgUs
    M/2RUNXdHSNezSsaMLVG58lLY54fvrd6Q3iPGcCOEsWUirXvqkZjJvaPUUsV/V/q
    Ljn9/900U5lYrgQCX8Qt4k3qFJuzh9jIK4wW8fqPDGc/iDqH6yh3ykSc4OL1xRGr
    0rL6AfViBg4yTCFh4iN3JeGMlfCpn0fQloc0UzBElN/0njnAqR6VvFTTm1gtixFz
    7EqshltIRPT/nZAwOVPmcEFQZ3CaOL0tO9Z5+j9hstj3IIqFhU8CXgUhH3ofuPAE
    gjL6O0U13TydXtNAzR4/jTX5M+6EQrQNNor8RW9zfH/ATA2+Kmr1bfsMn+tQJsop
    1n0HAqSgGIsEUy0RSaw6tuOpn1z/9wQH4x0K/S/LSYIkRUyVFHwXcA==
    -----END RSA PRIVATE KEY-----
    
    quit
    
    % Enter PEM-formatted certificate.
    % End with a blank line or "quit" on a line by itself.
    -----BEGIN CERTIFICATE-----
    MIICmzCCAgQCAQEwDQYJKoZIhvcNAQEEBQAwgZMxCzAJBgNVBAYTAlVTMQswCQYD
    VQQIEwJNQTETMBEGA1UEBxMKQm94Ym9yb3VnaDEWMBQGA1UEChMNVGFuayBEb2cg
    VG95czEUMBIGA1UECxMLVGFuayBTdGlja3MxFTATBgNVBAMTDHd3dy50YW5rLmNv
    bTEdMBsGCSqGSIb3DQEJARYOYWRtaW4udGFuay5jb20wHhcNMDQwODI4MDQzNTU2
    WhcNMDUwODI4MDQzNTU2WjCBlzELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAk1BMRMw
    EQYDVQQHEwpCb3hib3JvdWdoMRYwFAYDVQQKEw1UYW5rIERvZyBUb3lzMRgwFgYD
    VQQLEw9UYW5rIENoZXcgU3RpY2sxFTATBgNVBAMTDHd3dy50YW5rLmNvbTEdMBsG
    CSqGSIb3DQEJARYOYWRtaW4udGFuay5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0A
    MIGJAoGBANSFialDM3AuM82o2ypTtyo1F2hGaqHIuX1NVAcsYepH9qg3MvxwdlWr
    ubCKZPCJFJGLOK9noA1QMdiXKqQPW5EuMXHff+ZeocT41VteTl/eWmPC7x4Ehjxk
    ZVwD+yZo03H3c6EnxFVmEW4kwHZfICq2YklHpROMSozC+M7i6p+NAgMBAAEwDQYJ
    KoZIhvcNAQEEBQADgYEAbRuXwfIUggg51i/6PJmY5qyJO8cOnKoc2tZxtE4Ed4jj
    /Uoh0v8xBJAbTGwD0h/gJCOgmF3/MTJ1HodL2srx9wP6OQcdKBg3YiwEMcj7dSZK
    8awdXCJ/gwmOGc7xJt6cOKDXnHjAvEsHcm8A7GQ2aROvJL3y3ozNeqdxhH3dwH0=
    -----END CERTIFICATE-----
    quit
    
    % PEM files import succeeded.
    

Vérifiez

Utilisez ces commandes de visualiser vos Certificats et points de confiance :

  • cryptos Certificats Ca SSL-mod#show server-tank.com

  • cryptos Ca points de confiance server-tank.com SSL-mod#show

  • SSL-mod#show crypto mypubkey principal RSA

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Si vous rencontrez des problèmes chargeant les Certificats, activez l'élimination des imperfections avec la commande de debug crypto pki transactions.

Si votre clé privée n'est pas chiffrée, vous pouvez utiliser l'openssl RSA - dans your-key.PEM - new-key-des3.PEM -des3 pour le chiffrer.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 63485