API Guide
9e:0e:7b:de:15:3c:f1:33:e8:2d:3f:92:f0:f2:4e:7a:7f:e2:
a5:2e:04:3a:2f:3b:1b:05:71:39:70:6d:a4:6e:8f:25:31:0e:
2c:8a:7e:b4:30:7c:38:2f:48:df:19:56:42:4f:be:5f:d3:02:
70:18:7e:76:66:ca:13:1c:e3:9c:4d:aa:d3:67:96:be:d9:49:
5c:69:10:75:26:53:f7:50:39:06:15:d1:3a:87:47:f6:92:a2:
d4:91:35:29:b7:4b:ea:56:4c:13:5e:32:7f:c7:3f:4c:46:67:
54:8d:67:60:38:98:75:da:24:f2:64:b9:24:a1:e3:5b:42:66:
4c:c7:cb:ee:c3:ca:bd:87:1b:7a:fc:35:53:2d:74:68:db:a7:
47:db:03:a3:30:52:af:67:7f:54:a4:de:60:ca:ae:94:43:f8:
98:85:fc:18:9b:b1:db:81:44:57:0b:be:6a:56:9d:2f:7d:75:
c2:22:a4:7c:d7:ee:f8:de:10:11:26:60:35:1c:4c:87:2e:a2:
fb:1f:5f:30:6c:11:c1:fa:f2:5b:46:02:0a:18:2f:02:a4:99:
f2:43:29:cf:e6:5b:8a:d0:ec:42:bf:49:c6:8a:7e:b4:53:38:
03:1b:fd:a9:49:88:b5:f1:42:93:c7:78:38:6c:2a:1c:be:83:
97:27:b1:26:eb:16:44:ce:34:02:53:45:08:30:c9:3a:76:83:
10:f3:af:c7:6f:0c:74:ec:81:ea:d9:c4:20:a5:1d:72:64:52:
7b:e8:30:1a:9e:3a:05:9c:8a:69:e5:b7:43:b3:36:08:f2:e0:
fb:88:d9:c1:b6:f4:4a:23:27:31:3a:51:b3:68:c9:6f:3e:f5:
dd:98:4d:07:38:ed:f4:d3:ed:06:4c:84:87:3d:cf:f3:2e:e5:
1a:b6:00:71:4c:51:35:c8:95:e4:c6:7e:82:47:d3:25:64:a4:
0b:31:53:d0:e4:6b:97:98:21:4b:fc:e7:12:be:69:01:d8:b5:
74:f5:b6:39:22:8a:8c:39:23:0f:be:4b:0f:9a:01:ac:b8:5b:
12:cb:94:06:30:f5:74:45:20:af:ab:d6:af:21:0c:d8:62:84:
18:c2:cf:4f:be:73:c9:33
删除 CA 服务器证书
OS10# crypto ca-cert delete Dell_rootCA1.crt
Successfully removed certificate
Identifier
GUID-A8999250-83A1-4BB2-8843-035DB90CC009
Version 1
Status Translation approved
证书吊销
在交换机和外部设备(如 RADIUS 或 TLS 服务器)设置安全连接之前,它们会分别呈现 CA 签名的证书。证书验证允许对等用户进行
身份验证,并随后检查以确保证书尚未被颁发 CA 吊销。
证书包含有关颁发证书的证书分发点 (CDP) 的 URL 和其他信息。通过使用 URL,OS10 访问 CDP 以下载证书吊销列表 (CRL)。如果
外部设备的证书在列表中或 CDP 服务器不响应,则不会设置该连接。
证书吊销列表包含所有已吊销证书的列表。颁发证书的 CA 将维护 CRL。CA 将定期发布新的 CRL。OS10 交换机会自动下载新的
CRL 并使用它来验证通过连接设备提供的证书。
当 CA 发布证书时,它通常会在证书中包括 CRL 分发点。OS10 使用 CDP URL 来访问具有当前 CRL 的服务器。在 CRL 吊销检查期
间,OS10 支持使用多个 CDP 和 CRL。如果 CRL 检查验证来自外部设备的证书,OS10 将设置安全连接,以执行由应用程序启动的任
务。
与 CA 证书相似,CRL 在交换机上的信任存储区中维护,并应用于已启用 PKI 的所有应用程序。要使用 CRL 验证外部设备提供的证
书,请执行以下操作:
1. 在 EXEC 模式下配置证书分发点的 URL。
crypto cdp add cdp-name cdp-url
在 EXEC 模式下验证交换机访问的 CDP。
show crypto cdp [cdp-name]
要删除已安装的 CDP,请使用 crypto cdp delete cdp-name 命令。
2. 在 EXEC 模式下安装从 CDP 下载的 CRL。
crypto crl install crl-path [crl-filename]
安全性
1003