المقدمة
يصف هذا وثيقة العملية أن يخلق، يجلب، ويثبت شهادة على مادة حفازة 9000 sery مفتاح.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- كيفية تكوين محولات Catalyst 9000 Series Switches
- كيفية توقيع الشهادات باستخدام Microsoft Windows Server
- البنية الأساسية للمفتاح العام (PKI) والشهادات الرقمية
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- المحول Cisco Catalyst 9300 Switch، Cisco IOS® XE، الإصدار 17.12.4
- نظام التشغيل Microsoft Windows Server 2022
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
يقدم هذا المستند دليل خطوة بخطوة لإنشاء طلب توقيع الشهادة (CSR)، وتوقيعه من قبل مرجع مصدق (CA)، وتثبيت الشهادة الناتجة (مع شهادة CA) على محول Catalyst 9000 switch.
الهدف هو تمكين إدارة الويب الآمنة (HTTPS) للمحول باستخدام شهادة موثوق بها، مما يضمن التوافق مع مستعرضات الويب الحديثة والتوافق مع سياسات الأمان التنظيمية.
التكوين
يوفر هذا القسم سير عمل تفصيلي لإنشاء شهادة إدارة ويب وتوقيعها وتثبيتها على محول Catalyst 9000 switch. تتضمن كل خطوة أوامر CLI ذات صلة، وتفسيرات، ومخرجات المثال.
الخطوة 1: تحديد مفتاح
قم بإنشاء زوج مفاتيح RSA للأغراض العامة واستخدامه لتأمين الشهادة. يجب أن يكون المفتاح قابلا للتصدير ويمكن تحديد حجمه وفقا لاحتياجات الأمان (من 1024 إلى 4096 بت).
device(config)#crypto key generate rsa general-keys label csr-key exportable
مثال المخرج عندما يطلب حجم معامل:
The name for the keys will be: csr-key
Choose the size of the key modulus in the range of 512 to 4096 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus [1024]: 4096
% Generating 4096 bit RSA keys, keys will be exportable...
[OK] (elapsed time was 4 seconds)
الخطوة 2: إنشاء طلب توقيع شهادة (CSR)
قم بتكوين TrustPoint على المحول لشهادة مسؤول الويب، ويحدد التسجيل عبر الوحدة الطرفية، وتعطيل التحقق من الإبطال، وتوفير معلومات التعريف (اسم الموضوع، المفتاح، وأسماء الموضوع البديلة).
device(config)#crypto pki trustpoint webadmin-TP
device(ca-trustpoint)#enrollment terminal pem
device(ca-trustpoint)#revocation-check none
device(ca-trustpoint)#subject-name C=SJ, ST=CA, L=CA, O=TAC, OU=LANSW, CN=myc9300.local-domain
device(ca-trustpoint)#rsakeypair csr-key
device(ca-trustpoint)#subject-alt-name mywebadmin.com
device(ca-trustpoint)#exit
قم بتسجيل نقطة الثقة لإنشاء CSR. يجب أن يطلب منك تقديم خيارات متعددة؛ تقديم "نعم" أو "لا" حسب الحاجة. يجب عرض طلب الشهادة على الوحدة الطرفية.
device(config)#crypto pki enroll webadmin-TP
مثال الإخراج:
% Start certificate enrollment ..
% The subject name in the certificate will include: C=SJ, ST=CA, L=CA, O=TAC, OU=LANSW, CN=myc9300.local-domain
% The subject name in the certificate will include: C9300.cisco.com
% Include the router serial number in the subject name? [yes/no]: yes
% Include an IP address in the subject name? [no]: yes
Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:
-----BEGIN CERTIFICATE REQUEST-----
-----END CERTIFICATE REQUEST-----
---End - This line not part of the certificate request---
Redisplay enrollment request? [yes/no]: no
المعلمات المتوفرة لتكوين اسم الموضوع:
- C: البلد، حرفين كبيرين فقط (الولايات المتحدة)
- سانت: اسم الولاية أو المقاطعة
- ل: اسم الموقع (المدينة)
- س: اسم المؤسسة (الشركة)
- ش: اسم الوحدة التنظيمية (القسم/القسم)
- سي إن: الاسم الشائع (FQDN أو عنوان IP الذي سيتم الوصول إليه)
الخطوة 3: تقديم CSR إلى المرجع المصدق (CA)
انسخ سلسلة CSR الكاملة (بما في ذلك خطي البداية والنهاية) وإرسالها إلى المرجع المصدق للتوقيع.
-----BEGIN CERTIFICATE REQUEST-----
-----END CERTIFICATE REQUEST-----
إذا كنت تستخدم مرجع مصدق ل Microsoft Windows Server، قم بتنزيل الشهادة الموقعة بتنسيق Base64. وعادة ما تتلقى شهادة الجهاز الموقع وربما شهادة المرجع المصدق الجذر.
الخطوة 4: مصادقة شهادة المرجع المصدق الجذر الأساسية 64
ثبت شهادة CA (بتنسيق Base64) على المحول لإنشاء ثقة في CA الذي أصدر شهادة جهازك.
device(config)#crypto pki authenticate webadmin-TP
الصق شهادة المرجع المصدق (بما في ذلك أسطر البداية والنهاية) عند طلبها. مثال:
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
Certificate has attributes:
Fingerprint MD5: C7224F3A A9B0426A FDCC50E6 8A04583E
Fingerprint SHA1: 9B31C319 A515AC41 0114EA43 33716E8B 472A4EF5
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
الخطوة 5: مصادقة شهادة Device Base64
مصادقة الشهادة الموقعة للجهاز مقابل شهادة المرجع المصدق المثبتة.
device(config)#crypto pki trustpoint webadmin-TP
device(ca-trustpoint)#chain-validation stop
device(ca-trustpoint)#crypto pki authenticate webadmin-TP
عند المطالبة، الصق في شهادة الجهاز:
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: DD05391A 05B62573 A38C18DD CDA2337C
Fingerprint SHA1: 596DD2DC 4BF26768 CFB14546 BC992C3F F1408809
Certificate validated - Signed by existing trustpoint CA certificate.
Trustpoint CA certificate accepted.
% Certificate successfully imported
الخطوة 6: إستيراد شهادة موقعة من الجهاز على المحول Catalyst 9000 switch
إستيراد شهادة الجهاز الموقع ل Base64 إلى TrustPoint.
device(config)#crypto pki import webadmin-TP certificate
لصق الشهادة عند طلبها:
Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
< 9300 device certificate >
-----END CERTIFICATE-----
% Router Certificate successfully imported
عند هذه النقطة، يتم إستيراد شهادة الجهاز إلى المحول مع جميع المراجع المصدقة (CA) ذات الصلة، وتكون الشهادة جاهزة للاستخدام، بما في ذلك الوصول إلى واجهة المستخدم الرسومية (HTTPS).
الخطوة 7: إستخدام الشهادة الجديدة
قم بإقران TrustPoint بخادم HTTP الآمن وتمكين وصول HTTPS على المحول.
device(config)#ip http secure-trustpoint webadmin-TP
device(config)#no ip http secure-server
device(config)#ip http secure-server
الخطوة 8: كيفية التأكد من أن الشهادة موثوق بها من قبل مستعرضات الويب
- يجب أن يتطابق الاسم الشائع للشهادة (CN) أو اسم الموضوع البديل (SAN) مع عنوان URL الذي تم الوصول إليه من قبل المستعرض.
- ان تكون الشهاده ضمن مده صلاحيتها.
- يجب أن يتم إصدار الشهادة من قبل المرجع المصدق (CA) (أو سلسلة المرجع المصدق) الذي يكون الجذر الخاص به موثوقا به من قبل المستعرض. يجب أن يوفر المحول سلسلة الشهادات الكاملة (باستثناء المرجع المصدق الجذر، والذي يكون عادة موجودا بالفعل في مخزن المستعرض).
- إذا كانت الشهادة تحتوي على قوائم إبطال، فتأكد من أن المستعرض يمكنه تنزيلها ومن عدم إدراج CN للشهادة في أي قائمة إبطال.
التحقق من الصحة
يمكنك إستخدام هذه الأوامر للتحقق من تكوين الشهادة والحالة الحالية:
عرض الشهادات المثبتة وحالتها لنقطة الثقة:
device#show crypto pki certificate webadmin-TP
مثال الإخراج:
Certificate Status: Available
Certificate Serial Number (hex): 4700000129584BB4BAFA13EABB000000000129
Certificate Usage: General Purpose
Issuer: cn=mitch-DC02-CA dc=mitch dc=local
Subject: Name: C9300.cisco.com
Serial Number: XXXXXXXXXX
cn=myc9300.local-domain
ou=LANSW
o=TAC
l=CA
st=CA
c=SJ
hostname=C9300.cisco.com
Validity Date:
start date: 05:09:42 UTC Jun 12 2025
end date: 07:25:06 UTC Dec 16 2026
Associated Trustpoints: webadmin-TP
CA Certificate Status: Available
Certificate Serial Number (hex): 101552448B9C2EBB488C40034C129F4A
Certificate Usage: Signature
Issuer: cn=mitch-DC02-CA dc=mitch dc=local
Subject: cn=mitch-DC02-CA dc=mitch dc=local
Validity Date:
start date: 07:15:06 UTC Dec 16 2021
end date: 07:25:06 UTC Dec 16 2026
Associated Trustpoints: webadmin-TP RootCA
تحقق من حالة خادم HTTPS ونقطة الثقة المقترنة:
device#show ip http server secure status
مثال الإخراج:
HTTP secure server status: Enabled
HTTP secure server port: 443
HTTP secure server ciphersuite: rsa-aes-cbc-sha2 rsa-aes-gcm-sha2
dhe-aes-cbc-sha2 dhe-aes-gcm-sha2
ecdhe-rsa-aes-cbc-sha2
ecdhe-rsa-aes-gcm-sha2 ecdhe-ecdsa-aes-gcm-sha2
HTTP secure server TLS version: TLSv1.2 TLSv1.1
HTTP secure server client authentication: Disabled
HTTP secure server PIV authentication: Disabled
HTTP secure server PIV authorization only: Disabled
HTTP secure server trustpoint: webadmin-TP
HTTP secure server peer validation trustpoint:
HTTP secure server ECDHE curve: secp256r1
HTTP secure server active session modules: ALL
استكشاف الأخطاء وإصلاحها
إذا واجهت مشاكل أثناء عملية تثبيت الشهادة، أستخدم هذه الأوامر لتمكين تصحيح حركات PKI. وهذا مفيد بشكل خاص لتشخيص حالات الفشل أثناء إستيراد الشهادة أو تسجيلها.
device#debug crypto pki transactions
مثال على إخراج تصحيح أخطاء سيناريو ناجح:
*Jun 12 05:16:03.531: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named C9300.cisco.com has been generated or imported by crypto-engine
*Jun 12 05:16:03.534: %CRYPTO-6-AUTOGEN: Generated new 2048 bit key pair
*Jun 12 05:16:03.556: CRYPTO_PKI: unlocked trustpoint RootCA, refcount is 0
*Jun 12 05:16:03.556: CRYPTO_PKI: using private key C9300.cisco.com for enrollment
*Jun 12 05:16:04.489: CRYPTO_PKI: Adding myc9300.local-domain to subject-alt-name field
*Jun 12 05:16:17.463: CRYPTO_PKI: using private key csr-key for enrollment
*Jun 12 05:18:32.378: CRYPTO_PKI: locked trustpoint webadmin-TP, refcount is 1
*Jun 12 05:19:15.464: CRYPTO_PKI: unlocked trustpoint webadmin-TP, refcount is 0
*Jun 12 05:19:15.470: CRYPTO_PKI: trustpoint webadmin-TP authentication status = 0
*Jun 12 05:19:15.472: CRYPTO_PKI: (A018E) Session started - identity not specified
*Jun 12 05:19:15.473: CRYPTO_PKI: crypto_pki_get_cert_record_by_subject()
*Jun 12 05:19:15.473: CRYPTO_PKI: Found a subject match
*Jun 12 05:19:15.473: CRYPTO_PKI: (A018E) Check for identical certs
*Jun 12 05:19:15.473: CRYPTO_PKI: Found a issuer match
*Jun 12 05:19:15.473: CRYPTO_PKI: (A018E) Suitable trustpoints are: RootCA,
*Jun 12 05:19:15.473: CRYPTO_PKI: (A018E) Attempting to validate certificate using RootCA policy
*Jun 12 05:19:15.473: CRYPTO_PKI: (A018E) Using RootCA to validate certificate
*Jun 12 05:19:15.474: CRYPTO_PKI(make trusted certs chain)
*Jun 12 05:19:15.474: CRYPTO_PKI: Added 1 certs to trusted chain.
*Jun 12 05:20:05.555: CRYPTO_PKI: locked trustpoint webadmin-TP, refcount is 1
*Jun 12 05:20:25.734: CRYPTO_PKI: unlocked trustpoint webadmin-TP, refcount is 0
*Jun 12 05:20:25.735: CRYPTO_PKI(Cert Lookup) issuer="cn=mitch-DC02-CA,dc=mitch,dc=local" serial number= 10 15 52 44 8B 9C 2E BB 48 8C 40 03 4C 12 9F 4A
*Jun 12 05:20:25.735: CRYPTO_PKI: crypto_pki_get_cert_record_by_cert()
*Jun 12 05:20:25.735: CRYPTO_PKI: Found a cert match
*Jun 12 05:20:25.735: CRYPTO_PKI: crypto_pki_authenticate_tp_cert()
*Jun 12 05:20:25.735: CRYPTO_PKI: trustpoint webadmin-TP authentication status = 0
*Jun 12 05:20:32.094: PKI: Cert key-usage: Digital-Signature , Certificate-Signing , CRL-Signing
*Jun 12 05:20:32.096: CRYPTO_PKI: Notify subsystem about new certificate.
*Jun 12 05:20:32.097: CRYPTO_PKI: unlocked trustpoint webadmin-TP, refcount is 0
*Jun 12 05:21:50.789: CRYPTO_PKI: using private key csr-key for enrollment
*Jun 12 05:22:12.947: CRYPTO_PKI: make trustedCerts list for webadmin-TP
الملاحظات والقيود
- لا يدعم Cisco IOS® XE شهادات CA ذات الصلاحية لما بعد 2099 (معرف تصحيح الأخطاء من Cisco CSCvp64208
).
- لا يدعم Cisco IOS® XE ملخص رسالة SHA256 PKCS 12 مجموعة (SHA256 مجموعة مدعومة، لكن ليس إذا كانت حزمة PKCS12 نفسها موقعة مع SHA256) (معرف الأخطاء من Cisco CSCvz41428
). تم إصلاح هذا في الإصدار 17.12.1.
معلومات ذات صلة