Интерфейсы и модули Cisco : Сервисный модуль SSL Cisco Catalyst серии 6500

Создание запроса регистрации сертификата на модуле служб SSL с помощью копирования и вставки

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Этот документ описывает как к:

  • создайте запрос подписи сертификата (CSR) на Модуле уровня защищенных сокетов (SSLM)

  • импортируйте использование сертификата, вырезанное и вставить в формате Privacy Enhanced Mail (PEM)

Предварительные условия

Перед началом необходимо знать доменное имя, которое назначено на сертификат. Вы также требуете корневого сертификата Полномочий сертификатов (CA), и возможно промежуточного сертификата CA.

Требования

Прежде чем использовать эту конфигурацию, убедитесь, что выполняются эти требования:

  • CA корневой сертификат; возможно промежуточный корневой сертификат

  • доменное имя для сертификата

  • информация

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • выпуск 2.1 (2)

  • Пробный сертификат Verisign

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Основная задача

Задача

Эти подробные данные раздела каждый шаг должны были создать CSR от создания пары ключей к импортированию серверного сертификата.

Пошаговые инструкции

Завершите инструкции в этом разделе.

  1. Создайте пару ключей.

    nov10-key является названием пары ключей.

    Примечание: Обязательно задайте экспортный; в противном случае вы не в состоянии экспортировать пару ключей от SSLM.

    ssl-proxy(config)#crypto key generate rsa general-keys label nov10-key exportable
    The name for the keys will be: nov10-key
    Choose the size of the key modulus in the range of 360 to 2048 for your
      General Purpose Keys. Choosing a key modulus greater than 512 may take
      a few minutes.
    
    How many bits in the modulus [512]: 1024
    % Generating 1024 bit RSA keys ...[OK]
  2. Создайте точку доверия.

    Название точки доверия является yoursite. Необходимо ввести имя субъекта в формат X.509 и доменное имя. Эта информация используется для создания CSR.

    ssl-proxy(config)#crypto ca trustpoint yoursite
    ssl-proxy(ca-trustpoint)#enrollment terminal pem
    ssl-proxy(ca-trustpoint)#crl optional
    ssl-proxy(ca-trustpoint)#subject-name C=US, ST=Massachusetts, L=Boxborough, O=Cisco, 
        OU=Tac, CN=www.yourdomain.com
    ssl-proxy(ca-trustpoint)#fqdn www.yourdomain.com
    ssl-proxy(ca-trustpoint)#rsakeypair nov10-key
    ssl-proxy(ca-trustpoint)#exit
    
  3. Генерируйте CSR.

    ssl-proxy(config)#crypto ca enroll yoursite
    % Start certificate enrollment .. 
    % The subject name in the certificate will be: C=US, ST=Massachusetts, L=Boxborough, O=Cisco, 
        OU=Tac, CN=www.yourdomain.com
    % The fully-qualified domain name in the certificate will be: www.yourdomain.com
    % The subject name in the certificate will be: www.yourdomain.com
    % Include the router serial number in the subject name? [yes/no]: no
    % Include an IP address in the subject name? [no]: no
    Display Certificate Request to terminal? [yes/no]: yes
    
    Certificate Request follows:
    
    -----BEGIN CERTIFICATE REQUEST-----
    MIIB+jCCAWMCAQAwgZgxGzAZBgNVBAMTEnd3dy55b3VyZG9tYWluLmNvbTEMMAoG
    A1UECxMDVGFjMQ4wDAYDVQQKEwVDaXNjbzETMBEGA1UEBxMKQm94Ym9yb3VnaDEW
    MBQGA1UECBMNTWFzc2FjaHVzZXR0czELMAkGA1UEBhMCVVMxITAfBgkqhkiG9w0B
    CQIWEnd3dy55b3VyZG9tYWluLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkC
    gYEAwwCQrKH+RYvhQpZuuVADHAh4BoFRefiV+b6UXXI8dOmnkKB/w1w+Hure4N6p
    QsBPMEg1mku5AT38JcrWKu8JfGVEEap54UX+ZGs4o37ssskL4vr0qeNQ0PxkIVE4
    4iZLb+KxS5XbGrNRN6Mx4A8npV8xe1Wew8TqNw2h+oNYEBcCAwEAAaAhMB8GCSqG
    SIb3DQEJDjESMBAwDgYDVR0PAQH/BAQDAgWgMA0GCSqGSIb3DQEBBAUAA4GBAKjW
    SeLVzYdRSIkEL+rrYeuJfpoQTPIgTyjLNeI1a/ipoA/cQYPR0RBQ3N1k8G2JhXhW
    De4hNDsYPtnPZ65kUSjLLV6BenxKjXzIDhdc2x8MyhMu5t/tAbxelG3daJGhHUBd
    Of5meQ4JrbfwZHATmoiTEpAbWVNHC2h7oJO5Ldhw
    -----END CERTIFICATE REQUEST-----
    
    
    ---End - This line not part of the certificate request---
    
    Redisplay enrollment request? [yes/no]: no
    
  4. Передайте CSR к Приблизительно

    Используйте копию, и вставка для передачи CSR к Приблизительно, Если CA просит тип сервера, выберите Apache.

  5. Загрузите корневой сертификат CA

    Прежде чем можно будет загрузить серверный сертификат, необходимо загрузить любые сертификаты CA. Как минимум это - корневой сертификат CA, и возможно промежуточный сертификат CA. CA в состоянии предоставить вас необходимыми сертификатами.

    ssl-proxy(config)#crypto ca authenticate yoursite
    Enter the base 64 encoded CA certificate.
    End with a blank line or the word "quit" on a line by itself
    
    
    -----BEGIN CERTIFICATE-----
    MIICTTCCAfcCEFKp9CTaZ0ydr09TeFKr724wDQYJKoZIhvcNAQEEBQAwgakxFjAU
    BgNVBAoTDVZlcmlTaWduLCBJbmMxRzBFBgNVBAsTPnd3dy52ZXJpc2lnbi5jb20v
    cmVwb3NpdG9yeS9UZXN0Q1BTIEluY29ycC4gQnkgUmVmLiBMaWFiLiBMVEQuMUYw
    RAYDVQQLEz1Gb3IgVmVyaVNpZ24gYXV0aG9yaXplZCB0ZXN0aW5nIG9ubHkuIE5v
    IGFzc3VyYW5jZXMgKEMpVlMxOTk3MB4XDTk4MDYwNzAwMDAwMFoXDTA2MDYwNjIz
    NTk1OVowgakxFjAUBgNVBAoTDVZlcmlTaWduLCBJbmMxRzBFBgNVBAsTPnd3dy52
    ZXJpc2lnbi5jb20vcmVwb3NpdG9yeS9UZXN0Q1BTIEluY29ycC4gQnkgUmVmLiBM
    aWFiLiBMVEQuMUYwRAYDVQQLEz1Gb3IgVmVyaVNpZ24gYXV0aG9yaXplZCB0ZXN0
    aW5nIG9ubHkuIE5vIGFzc3VyYW5jZXMgKEMpVlMxOTk3MFwwDQYJKoZIhvcNAQEB
    BQADSwAwSAJBAMak6xImJx44jMKcbkACy5/CyMA2fqXK4PlzTtCxRq5tFkDzne7s
    cI8oFK/J+gFZNE3bjidDxf07O3JOYG9RGx8CAwEAATANBgkqhkiG9w0BAQQFAANB
    AKWnR/KPNxCglpTP5nzbo+QCIkmsCPjTCMnvm7KcwDJguaEwkoi1gBSY9biJp9oK
    +cv1Yn3KuVM+YptcWXLfxxI=
    -----END CERTIFICATE-----
    quit
    
    Certificate has the following attributes:
    Fingerprint: 40065311 FDB33E88 0A6F7DD1 4E229187 
    % Do you accept this certificate? [yes/no]: yes
    Trustpoint CA certificate accepted.
    % Certificate successfully imported
    
  6. Загрузите серверный сертификат.

    ssl-proxy(config)#crypto ca import yoursite certificate 
    % The fully-qualified domain name in the certificate will be: www.yourdomain.com
    
    Enter the base 64 encoded certificate.
    End with a blank line or the word "quit" on a line by itself
    
    
    -----BEGIN CERTIFICATE-----
    MIIDNTCCAt+gAwIBAgIQAequL43ZqGWLN5H/5BzhGDANBgkqhkiG9w0BAQUFADCB
    qTEWMBQGA1UEChMNVmVyaVNpZ24sIEluYzFHMEUGA1UECxM+d3d3LnZlcmlzaWdu
    LmNvbS9yZXBvc2l0b3J5L1Rlc3RDUFMgSW5jb3JwLiBCeSBSZWYuIExpYWIuIExU
    RC4xRjBEBgNVBAsTPUZvciBWZXJpU2lnbiBhdXRob3JpemVkIHRlc3Rpbmcgb25s
    eS4gTm8gYXNzdXJhbmNlcyAoQylWUzE5OTcwHhcNMDQxMTEwMDAwMDAwWhcNMDQx
    MTI0MjM1OTU5WjB1MQswCQYDVQQGEwJVUzEWMBQGA1UECBMNTWFzc2FjaHVzZXR0
    czETMBEGA1UEBxQKQm94Ym9yb3VnaDEOMAwGA1UEChQFQ2lzY28xDDAKBgNVBAsU
    A1RhYzEbMBkGA1UEAxQSd3d3LnlvdXJkb21haW4uY29tMIGfMA0GCSqGSIb3DQEB
    AQUAA4GNADCBiQKBgQDDAJCsof5Fi+FClm65UAMcCHgGgVF5+JX5vpRdcjx06aeQ
    oH/DXD4e6t7g3qlCwE8wSDWaS7kBPfwlytYq7wl8ZUQRqnnhRf5kazijfuyyyQvi
    +vSp41DQ/GQhUTjiJktv4rFLldsas1E3ozHgDyelXzF7VZ7DxOo3DaH6g1gQFwID
    AQABo4HRMIHOMAkGA1UdEwQCMAAwCwYDVR0PBAQDAgWgMEIGA1UdHwQ7MDkwN6A1
    oDOGMWh0dHA6Ly9jcmwudmVyaXNpZ24uY29tL1NlY3VyZVNlcnZlclRlc3RpbmdD
    QS5jcmwwUQYDVR0gBEowSDBGBgpghkgBhvhFAQcVMDgwNgYIKwYBBQUHAgEWKmh0
    dHA6Ly93d3cudmVyaXNpZ24uY29tL3JlcG9zaXRvcnkvVGVzdENQUzAdBgNVHSUE
    FjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwDQYJKoZIhvcNAQEFBQADQQCbMUY/lyyp
    2jt6YxiZNEaFNFHPRU5kQZAY8X+IWnQ0tLfASd0nJ4wdaaeGpJSZQKbMdae3aunz
    55LCq8QsB0AH
    -----END CERTIFICATE-----
    quit
    
    % Router Certificate successfully imported
    

Промежуточные сертификаты

Если у вас есть промежуточный сертификат, необходимо настроить две точки доверия. Одна точка доверия содержит корневой сертификат CA только. Только необходимо настроить PEM enrollment terminal и дополнительный Список отозванных сертификатов (CRL). Вторая точка доверия содержит промежуточный сертификат и серверный сертификат. Вторая точка доверия настроена подобная первой точке доверия, однако, вместо корневого сертификата, используйте промежуточный сертификат.

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

В данном разделе представлена информация по устранению проблем, касающихся данной конфигурации.

Если вы сталкиваетесь с проблемами, загружающими сертификаты, включаете отладку с командой debug crypto pki transactions.

Удостоверьтесь, что у вас есть завершенная цепочка сертификатов. Можно определить это путем просмотра сертификатов на ПК. Сохраните сертификаты с .cer расширением, затем дважды щелкните для открытия их.

Корневой сертификат показывают на рисунке 1. Можно определить это путем рассмотрения Выполненного к и Выполненный разделами. Оба раздела являются тем же. Кроме того, обратите внимание, что сертификат обнаруживается как не доверяемый потому что это пробный сертификат.

Рис. 1

/image/gif/paws/63456/sslm-csr-2.gif

Серверный сертификат показывают на рисунке 2. Вы звоните, решают, что это совпадает с корневым сертификатом, потому что Выполненный разделом совпадает с Выполненным разделом по корневому сертификату.

Рис. 2

/image/gif/paws/63456/sslm-csr-1.gif

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения