API Guide
3. (可选)为从 SECURITY-PROFILE 模式中的外部设备接收的证书启用 CRL 检查。CRL 检查使用交换机上安装的 CRL 验证证书的
有效性。
revocation-check
4. (可选)对安全配置文件模式中的外部设备所提供的证书启用对等名称检查。对等名称检查可确保证书与对等设备的名称匹配,
例如远程服务器名称。
peer-name-check
5. 使用安全配置文件以配置基于 X.509v3 的服务;例如,要使用 X.509v3 证书配置 RADIUS over TLS 身份验证,请输入以下
radius-server host tls 命令:
radius-server host {hostname | ip-address} tls security-profile profile-name
[auth-port port-number] key {0 authentication-key | 9 authentication-key | authentication-
key}
示例:RADIUS over TLS 身份验证中的安全配置文件
OS10# show crypto cert
--------------------------------------
| Installed non-FIPS certificates |
--------------------------------------
dv-fedgov-s6010-1.pem
--------------------------------------
| Installed FIPS certificates |
--------------------------------------
OS10#
OS10(config)#
OS10(config)# crypto security-profile radius-prof
OS10(config-sec-profile)# certificate dv-fedgov-s6010-1
OS10(config-sec-profile)# revocation-check
OS10(config-sec-profile)# peer-name-check
OS10(config-sec-profile)# exit
OS10(config)#
OS10(config)# radius-server host radius-server-2.test.com tls security-profile radius-prof
key radsec
OS10(config)# end
OS10# show running-configuration crypto security-profile
!
crypto security-profile radius-prof
certificate dv-fedgov-s6010-1
OS10# show running-configuration radius-server
radius-server host radius-server-2.test.com tls security-profile radius-prof key 9
2b9799adc767c0efe8987a694969b1384c541414ba18a44cd9b25fc00ff180e9
Identifier
GUID-23E0913A-4111-462F-AE5E-1EE7C17B863F
Version 3
Status Translation approved
群集安全
当您启用 VLT 或结构自动化应用程序时,加入群集的交换机将使用安全通道彼此通信。只有当您在交换机上启用了 VLT 或结构群集
配置时,才会启用安全通道。OS10 安装默认的 X.509v3 证书密钥对,以在群集中的对等设备之间建立安全通道。
替换用于群集应用程序的默认证书密钥对:
• 在不受信任设备访问管理或 OS10 交换机上的数据端口的部署中。
• 默认情况下,X.509v3 证书将于 2021 年 7 月 27 日到期。如果默认证书密钥对到期,则对等交换机上的 VLT 域不会出现。
注: 运行 10.5.0.0 版本的交换机上的 OS10 安装的默认证书密钥对的到期日期为 2021 年 7 月 27 日。要确保在到期日期之前群
集中的安全通信,请安装最新的 X.509v3 证书密钥对。
通过使用 cluster security-profile 命令配置特定于应用程序的安全配置文件,从而创建自定义 X.509v3 证书密钥对。在
VLT 域或结构应用程序群集中的对等设备之间使用的默认或自定义 X.509v3 证书密钥对到期时,请按照以下项目中的步骤安装有效
的 CA 证书:
• 管理 CA 证书。
1010
安全性