????????? : Cisco Catalyst 6500 系列 SSL 服务模块

在SSL服务模块中使用复制和插入创建证书签名请求

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 9 月 26 日) | 反馈


目录


简介

本文描述如何:

  • 创建一证书签名请求(CSR)在安全套接层模块(SSLM)

  • 使用在加强保密文件(PEM)格式的剪贴导入证书

先决条件

在您开始前,您需要认识分配到证书的域名。您也需要证书权限(CA)根证明和可能CA中间证书。

要求

在尝试此配置前,请保证您符合这些要求:

  • CA根证明;可能半成品根证明

  • 证书的域名

  • 信息

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 版本2.1(2)

  • Verisign测试认证

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

主要任务

任务

此部分选派必要的每个步骤创建CSR,从密钥对的创建到导入服务器证书。

逐步指导

完成在此部分的说明。

  1. 创建密钥对。

    nov10-key是密钥对的名称。

    注意: 请务必指定可导出;否则,您不能导出从SSLM的密钥对。

    ssl-proxy(config)#crypto key generate rsa general-keys label nov10-key exportable
    The name for the keys will be: nov10-key
    Choose the size of the key modulus in the range of 360 to 2048 for your
      General Purpose Keys. Choosing a key modulus greater than 512 may take
      a few minutes.
    
    How many bits in the modulus [512]: 1024
    % Generating 1024 bit RSA keys ...[OK]
  2. 创建信任点。

    信任点的名称是您的站点。您需要输入在X.509格式和您的域名的主题名称。此信息用于创建CSR。

    ssl-proxy(config)#crypto ca trustpoint yoursite
    ssl-proxy(ca-trustpoint)#enrollment terminal pem
    ssl-proxy(ca-trustpoint)#crl optional
    ssl-proxy(ca-trustpoint)#subject-name C=US, ST=Massachusetts, L=Boxborough, O=Cisco, 
        OU=Tac, CN=www.yourdomain.com
    ssl-proxy(ca-trustpoint)#fqdn www.yourdomain.com
    ssl-proxy(ca-trustpoint)#rsakeypair nov10-key
    ssl-proxy(ca-trustpoint)#exit
    
  3. 生成CSR。

    ssl-proxy(config)#crypto ca enroll yoursite
    % Start certificate enrollment .. 
    % The subject name in the certificate will be: C=US, ST=Massachusetts, L=Boxborough, O=Cisco, 
        OU=Tac, CN=www.yourdomain.com
    % The fully-qualified domain name in the certificate will be: www.yourdomain.com
    % The subject name in the certificate will be: www.yourdomain.com
    % Include the router serial number in the subject name? [yes/no]: no
    % Include an IP address in the subject name? [no]: no
    Display Certificate Request to terminal? [yes/no]: yes
    
    Certificate Request follows:
    
    -----BEGIN CERTIFICATE REQUEST-----
    MIIB+jCCAWMCAQAwgZgxGzAZBgNVBAMTEnd3dy55b3VyZG9tYWluLmNvbTEMMAoG
    A1UECxMDVGFjMQ4wDAYDVQQKEwVDaXNjbzETMBEGA1UEBxMKQm94Ym9yb3VnaDEW
    MBQGA1UECBMNTWFzc2FjaHVzZXR0czELMAkGA1UEBhMCVVMxITAfBgkqhkiG9w0B
    CQIWEnd3dy55b3VyZG9tYWluLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkC
    gYEAwwCQrKH+RYvhQpZuuVADHAh4BoFRefiV+b6UXXI8dOmnkKB/w1w+Hure4N6p
    QsBPMEg1mku5AT38JcrWKu8JfGVEEap54UX+ZGs4o37ssskL4vr0qeNQ0PxkIVE4
    4iZLb+KxS5XbGrNRN6Mx4A8npV8xe1Wew8TqNw2h+oNYEBcCAwEAAaAhMB8GCSqG
    SIb3DQEJDjESMBAwDgYDVR0PAQH/BAQDAgWgMA0GCSqGSIb3DQEBBAUAA4GBAKjW
    SeLVzYdRSIkEL+rrYeuJfpoQTPIgTyjLNeI1a/ipoA/cQYPR0RBQ3N1k8G2JhXhW
    De4hNDsYPtnPZ65kUSjLLV6BenxKjXzIDhdc2x8MyhMu5t/tAbxelG3daJGhHUBd
    Of5meQ4JrbfwZHATmoiTEpAbWVNHC2h7oJO5Ldhw
    -----END CERTIFICATE REQUEST-----
    
    
    ---End - This line not part of the certificate request---
    
    Redisplay enrollment request? [yes/no]: no
    
  4. 发送CSR对您的CA。

    使用复制和插入发送CSR到您的CA。如果您的CA请求服务器类型,请选择Apache。

  5. 装载CA根证明

    在您能装载服务器证书前,您必须装载所有CA证书。最少,这是CA根证明和可能CA中间证书。您的CA能提供您必要的证书。

    ssl-proxy(config)#crypto ca authenticate yoursite
    Enter the base 64 encoded CA certificate.
    End with a blank line or the word "quit" on a line by itself
    
    
    -----BEGIN CERTIFICATE-----
    MIICTTCCAfcCEFKp9CTaZ0ydr09TeFKr724wDQYJKoZIhvcNAQEEBQAwgakxFjAU
    BgNVBAoTDVZlcmlTaWduLCBJbmMxRzBFBgNVBAsTPnd3dy52ZXJpc2lnbi5jb20v
    cmVwb3NpdG9yeS9UZXN0Q1BTIEluY29ycC4gQnkgUmVmLiBMaWFiLiBMVEQuMUYw
    RAYDVQQLEz1Gb3IgVmVyaVNpZ24gYXV0aG9yaXplZCB0ZXN0aW5nIG9ubHkuIE5v
    IGFzc3VyYW5jZXMgKEMpVlMxOTk3MB4XDTk4MDYwNzAwMDAwMFoXDTA2MDYwNjIz
    NTk1OVowgakxFjAUBgNVBAoTDVZlcmlTaWduLCBJbmMxRzBFBgNVBAsTPnd3dy52
    ZXJpc2lnbi5jb20vcmVwb3NpdG9yeS9UZXN0Q1BTIEluY29ycC4gQnkgUmVmLiBM
    aWFiLiBMVEQuMUYwRAYDVQQLEz1Gb3IgVmVyaVNpZ24gYXV0aG9yaXplZCB0ZXN0
    aW5nIG9ubHkuIE5vIGFzc3VyYW5jZXMgKEMpVlMxOTk3MFwwDQYJKoZIhvcNAQEB
    BQADSwAwSAJBAMak6xImJx44jMKcbkACy5/CyMA2fqXK4PlzTtCxRq5tFkDzne7s
    cI8oFK/J+gFZNE3bjidDxf07O3JOYG9RGx8CAwEAATANBgkqhkiG9w0BAQQFAANB
    AKWnR/KPNxCglpTP5nzbo+QCIkmsCPjTCMnvm7KcwDJguaEwkoi1gBSY9biJp9oK
    +cv1Yn3KuVM+YptcWXLfxxI=
    -----END CERTIFICATE-----
    quit
    
    Certificate has the following attributes:
    Fingerprint: 40065311 FDB33E88 0A6F7DD1 4E229187 
    % Do you accept this certificate? [yes/no]: yes
    Trustpoint CA certificate accepted.
    % Certificate successfully imported
    
  6. 装载服务器证书。

    ssl-proxy(config)#crypto ca import yoursite certificate 
    % The fully-qualified domain name in the certificate will be: www.yourdomain.com
    
    Enter the base 64 encoded certificate.
    End with a blank line or the word "quit" on a line by itself
    
    
    -----BEGIN CERTIFICATE-----
    MIIDNTCCAt+gAwIBAgIQAequL43ZqGWLN5H/5BzhGDANBgkqhkiG9w0BAQUFADCB
    qTEWMBQGA1UEChMNVmVyaVNpZ24sIEluYzFHMEUGA1UECxM+d3d3LnZlcmlzaWdu
    LmNvbS9yZXBvc2l0b3J5L1Rlc3RDUFMgSW5jb3JwLiBCeSBSZWYuIExpYWIuIExU
    RC4xRjBEBgNVBAsTPUZvciBWZXJpU2lnbiBhdXRob3JpemVkIHRlc3Rpbmcgb25s
    eS4gTm8gYXNzdXJhbmNlcyAoQylWUzE5OTcwHhcNMDQxMTEwMDAwMDAwWhcNMDQx
    MTI0MjM1OTU5WjB1MQswCQYDVQQGEwJVUzEWMBQGA1UECBMNTWFzc2FjaHVzZXR0
    czETMBEGA1UEBxQKQm94Ym9yb3VnaDEOMAwGA1UEChQFQ2lzY28xDDAKBgNVBAsU
    A1RhYzEbMBkGA1UEAxQSd3d3LnlvdXJkb21haW4uY29tMIGfMA0GCSqGSIb3DQEB
    AQUAA4GNADCBiQKBgQDDAJCsof5Fi+FClm65UAMcCHgGgVF5+JX5vpRdcjx06aeQ
    oH/DXD4e6t7g3qlCwE8wSDWaS7kBPfwlytYq7wl8ZUQRqnnhRf5kazijfuyyyQvi
    +vSp41DQ/GQhUTjiJktv4rFLldsas1E3ozHgDyelXzF7VZ7DxOo3DaH6g1gQFwID
    AQABo4HRMIHOMAkGA1UdEwQCMAAwCwYDVR0PBAQDAgWgMEIGA1UdHwQ7MDkwN6A1
    oDOGMWh0dHA6Ly9jcmwudmVyaXNpZ24uY29tL1NlY3VyZVNlcnZlclRlc3RpbmdD
    QS5jcmwwUQYDVR0gBEowSDBGBgpghkgBhvhFAQcVMDgwNgYIKwYBBQUHAgEWKmh0
    dHA6Ly93d3cudmVyaXNpZ24uY29tL3JlcG9zaXRvcnkvVGVzdENQUzAdBgNVHSUE
    FjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwDQYJKoZIhvcNAQEFBQADQQCbMUY/lyyp
    2jt6YxiZNEaFNFHPRU5kQZAY8X+IWnQ0tLfASd0nJ4wdaaeGpJSZQKbMdae3aunz
    55LCq8QsB0AH
    -----END CERTIFICATE-----
    quit
    
    % Router Certificate successfully imported
    

半成品证书

如果有一中间证书,您需要配置两信任点。一信任点包含仅CA根证明。您只需要配置登记终端可选的PEM和的证书撤销列表(CRL)。第二信任点包含中间证书和服务器证书。第二信任点配置的类似于第一信任点,然而,而不是根证明,使用中间证书。

验证

当前没有可用于此配置的验证过程。

故障排除

此部分提供故障排除信息与此配置有关。

如果遇到问题装载证书的,请启用调试用debug crypto pki transactions命令

确保您有完整证书链。您能通过查看在PC的证书确定此。保存与.cer分机的证书,然后双击打开他们。

根证明在图1显示。您能通过查看部分发出对发出的确定此。两个部分是相同的。并且,请注意证书显示和没有委托,因为它测试认证。

图 1

/image/gif/paws/63456/sslm-csr-2.gif

服务器证书在表2.显示。您呼叫确定它匹配根证明,因为部分发出的匹配关于根证明的部分发出的

图 2

/image/gif/paws/63456/sslm-csr-1.gif

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 63456