API Guide
当组织想要确保客户与网络的连接安全时,它可能会向证书颁发机构(如 VeriSign 或 DigiCert)付款,以便为其域签署证书。但是,
要实施 509v3 基础架构,您可以充当您自己的 CA。充当您自己的 CA 时,您可以设置 CA 将证书颁发给同一个受信任域中的主机,
以便彼此进行身份验证。
509v3 公钥基础设施
要使用 509v3 证书设置 PKI,Dell EMC Networking 建议:
1. 配置用于生成私钥和自签名 CA 证书的根 CA。
2. 配置一个或多个生成私钥和证书签名请求 (CSR)的中间 CA,并将 CSR 发送到根 CA。
• 根 CA 使用其私钥来签署中间 CA 的 CSR 并为中间 CA 生成 CA 证书。
• 中间 CA 将下载并安装 CA 证书。随后,中间 CA 可以为网络中的主机以及 PKI 层次结构中较低的其他中间 CA 签署证书。
• 根和中间 CA 证书(而不是相应的私钥)将在网络上公开,以用于要下载的网络主机。
• 只要可能,请将私钥存储为离线或在通用访问受限的位置。
3. 使用 crypto cert generate request 命令生成私钥并在 OS10 交换机上创建 CSR。交换机将 CSR 上传到中间 CA。要将私
钥存储在本地隐藏位置,Dell EMC Networking 建议将 key-file private 参数与命令配合使用。
4. 使用 crypto ca-cert install 命令在主机上下载并安装 CA 证书。安装 CA 证书后,主机会信任由 CA 签署并由其他网络设
备提供的所有证书。您必须先将证书下载到主目录,然后使用 crypto ca-cert install 命令安装证书。
5. 从 OS10 交换机上的中间 CA 下载并安装已签名的主机证书和私钥。然后使用 crypto cert install 命令进行安装。安装主
机证书后,OS10 应用程序将使用证书来保护与网络设备之间的通信。私钥安装在交换机上的内部文件系统中,无法导出或查
看。
Identifier GUID-9FFDA361-F0E0-4738-B490-76181965E48A
Version 2
Status Translation approved
管理 CA 证书
OS10 支持从外部证书颁发机构下载和安装公共 X.509v3 证书。
在数据中心环境中,受信任的 CA 服务器可以创建 CA 证书。主机作为受信任的 CA 服务器运行。网络主机安装使用 CA 私钥进行数
字签名的证书,以便在网络中的参与设备之间建立信任。OS10 交换机上的证书用于验证由客户端和服务器(如 Syslog 和 RADIUS 服
务器)提供的证书,以与这些设备建立安全连接。
要导入 CA 服务器证书,请执行以下操作:
1. 使用安全方法通过 copy 命令下载由 CA 服务器创建的 X.509v3 证书,如 HTTPS、SCP 或 SFTP。将 CA 证书复制到交换机上的
本地目录,例如 home://或 usb://。
2. 使用 crypto ca-cert install 命令安装证书。安装 CA 证书时,请指定存储证书的本地路径。
交换机将验证证书,并将其安装在 PEM 格式的受信任证书的现有目录中。
安装 CA 证书
• 在 EXEC 模式下安装 CA 证书。
crypto ca-cert install ca-cert-filepath [filename]
• ca-cert-filepath 指定下载的证书的本地路径;例如,home://CAcert.pem 或 usb://CA-cert.pem。
• filename 指定将证书存储在 OS10 信任存储目录下的可选文件名。以 filename.crt 格式输入文件名。
示例:下载并安装 CA 证书
OS10# copy scp:///tftpuser@10.11.178.103:/tftpboot/certs/Dell_rootCA1.pem home://
Dell_rootCA1.pem
password:
OS10# crypto ca-cert install home://Dell_rootCA1.pem
Processing certificate ...
Installed Root CA certificate
CommonName = Dell_rootCA1
IssuerName = Dell_rootCA1
显示 CA 服务器证书
OS10# show crypto ca-certs
--------------------------------------
| Locally installed certificates |
安全性
1001