Dell EMC SmartFabric OS10 User Guide Release 10.5.0

请求并安装主机证书

OS10 还支持交换机获取其自己的 X.509v3 主机证书。在此过程中，您将生成一个证书签名请求 (CSR) 和一个私钥。在本地将私钥保存在安全的位置。将 CSR 文件复制到证书颁发机构。CA 通过对 CSR 中包含的交换机证书进行数字签名，为 OS10 交换机生成主机证书。

然后，管理员将 CA 签名的主机证书复制到交换机上的主目录。由于在生成 CSR 时创建本地私钥，因此无需使用已上传的文件安装私钥。

交换机向需要身份验证的客户端（如 Syslog 和通过 TLS 和 HTTPS 连接的 RADIUS 服务器）呈现自己的主机证书。证书使用 OS10 交换机的私钥进行了数字签名。OS10 支持多个主机证书，以便您可以将不同的证书与不同的应用程序配合使用。有关详细信息，请参阅安全配置文件。

生成证书签名请求和私钥

• 在 EXEC 模式下创建私钥和 CSR。将 CSR 文件存储在主目录或 flash: 中，以便以后可将其复制到 CA 服务器。指定 keypath 以将 device.key 文件存储在安全的永久位置（如主目录），或使用 private 选项将密钥文件存储在不会对用户显示的内部文件系统中的专用隐藏位置。

  crypto cert generate request [cert-file cert-path key-file {private | keypath}]
  [country 2-letter code] [state state] [locality city] [organization organization-name]
  [orgunit unit-name] [cname common-name] [email email-address] [validity days] 
  [length length] [altname alt-name]

  如果您输入 cert-file 选项，则必须输入所有必需的参数，如证书和私钥的存储位置、国家/地区代码、状态、地点和其他值。

  如果未指定 cert-file 选项，系统会提示您以交互方式填写证书的其他参数值；例如：

  You are about to be asked to enter information that will be incorporated into your certificate request.
  What you are about to enter is what is called a Distinguished Name or a DN.
  There are quite a few fields but you can leave some blank.
  For some fields there will be a default value; if you enter '.', the field will be left blank.
  Country Name (2 letter code) [US]:
  State or Province Name (full name) [Some-State]:California
  Locality Name (eg, city) []:San Francisco
  Organization Name (eg, company) []:Starfleet Command
  Organizational Unit Name (eg, section) []:NCC-1701A
  Common Name (eg, YOUR name) [hostname]:S4148-001
  Email Address []:scotty@starfleet.com

  交换机使用 SHA-256 作为摘要算法。公钥算法是具有 2048 位模数的 RSA。证书断言 keyEncipherment（第 2 位）和 keyAgreement（第 4 位）的 KeyUsage 位。keyCertSign 位（第 5 位）未设置。ExtendedKeyUsage 字段表示 serverAuth 和 clientAuth。

  属性 CA:FALSE 在证书的“Extensions”部分中设置。证书不用于验证其他证书。

• 如有必要，请重新输入命令，为交换机上的不同应用程序生成多个证书密钥对。您可以在安全配置文件中配置证书密钥对。如果您想要更改指定应用程序的证书密钥对而不中断其他关键服务，则必须使用不同的证书密钥对。例如，RADIUS over TLS 可能使用与 SmartFabric 服务不同的证书密钥对。

将 CSR 复制到 CA 服务器

OS10# copy home://DellHost.pem  scp:///tftpuser@10.11.178.103:/tftpboot/certs/DellHost.pem
password:

CA 服务器使用其私钥对 CSR 进行签名。然后 CA 服务器使签名的证书可供 OS10 交换机下载和安装。

安装主机证书

1. 使用 copy 命令通过安全的方法将 CA 服务器签名的 X.509v3 证书下载到本地主目录，如 HTTPS、SCP 或 SFTP。
2. 使用 crypto cert install 命令安装证书和使用 CSR 生成的私钥。

• 在 EXEC 模式下安装受信任证书和密钥文件。

  crypto cert install cert-file home://cert-filepath key-file {key-path | private} 
  [password passphrase] [fips]

  • cert-file cert-filepath 指定已下载证书的源位置；例如，home://s4048-001-cert.pem 或 usb://s4048-001-cert.pem。
  • key-file {key-path | private} 指定用于检索下载或本地生成的私钥的本地路径。输入 private 以从本地隐藏位置安装密钥，然后使用证书名称重命名密钥文件。
  • password passphrase 指定在使用密码生成私钥时用于解密私钥的密码。
  • fips 将以与 FIPS 兼容的方式安装证书密钥对。输入 fips 以安装 FIPS 感知应用程序（如 RADIUS over TLS）使用的证书密钥对。如果不输入 fips，则证书密钥对将存储为与 FIPS 不兼容的对。
    注: 您可以决定证书密钥对是否以与 FIPS 兼容的方式生成。请勿在 FIPS 模式以外使用 FIPS 兼容的证书密钥对。启用 FIPS 模式后，仍可为非 FIPS 证书生成 CSRs，以便与非 FIPS 应用程序配合使用。请确保使用 crypto cert install 命令将这些证书作为非 FIPS 安装。
  • 如果在 crypto cert generate request 命令中使用 key-file private 选项后输入 fips，则 FIPS 兼容的私钥将存储在内部文件系统中不会对用户显示的隐藏位置。

如果证书安装成功，将显示主机证书及其公用名的文件名。使用文件名在安全配置文件中使用 crypto security-profile 命令配置证书。

示例：生成 CSR 并上传到服务器

OS10# crypto cert generate request cert-file home://DellHost.pem key-file home://DellHost.key email admin@dell.com length 1024 altname DNS:dell.domain.com
Processing certificate ...
Successfully created CSR file /home/admin/DellHost.pem and key

OS10# copy home://DellHost.pem  scp:///tftpuser@10.11.178.103:/tftpboot/certs/DellHost.pem
password:

主机证书提示

当管理大量交换机时，您可以选择不为所有交换机生成大量 CSR。在每个交换机上安装主机证书的另一种方法是同时生成私钥文件和 CSR；例如，在 CA 服务器上。CSR 由 CA 签名，后者会生成证书和密钥文件。然后，您可以使用 copy 命令将受信任证书和密钥文件复制到交换机，并使用 crypto cert install cert-file home://cert-filename key-file home://key-filename 命令进行安装。

示例：下载并安装受信任证书和私钥

OS10# copy scp:///tftpuser@10.11.178.103:/tftpboot/certs/Dell_host1_CA1.pem home://Dell_host1_CA1.pem
password:

OS10# copy scp:///tftpuser@10.11.178.103:/tftpboot/certs/Dell_host1_CA1.key home://Dell_host1_CA1.key
password:

OS10# crypto cert install cert-file home://Dell_host1_CA1.pem key-file home://Dell_host1_CA1.key
Processing certificate ...
Certificate and keys were successfully installed as "Dell_host1_CA1.pem" that may be used in a 
security profile. CN = Dell_host1_CA1

显示受信任证书

OS10# show crypto cert
 --------------------------------------
|    Installed non-FIPS certificates    |
 --------------------------------------
Dell_host1_CA1.pem
 --------------------------------------
|    Installed FIPS certificates    |
 --------------------------------------

OS10# show crypto cert Dell_host1_CA1.pem
 ------------ Non FIPS certificate -----------------
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 4096 (0x1000)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, ST = California, O = Dell EMC, OU = Networking, CN = Dell_interCA1
        Validity
            Not Before: Jul 25 19:11:19 2018 GMT
            Not After : Jul 22 19:11:19 2028 GMT
        Subject: C = US, ST = California, L = Santa Clara, O = Dell EMC, OU = Networking, CN = Dell_host1_CA1
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:e7:81:4b:4a:12:8d:ce:88:e6:73:3f:da:19:03:
                    c6:56:01:19:b2:02:61:3f:5b:1e:33:28:a1:ed:e3:
                    85:bc:56:fb:18:d5:16:2e:a0:e7:3a:f9:34:b4:df:
                    37:97:93:a9:b9:94:b2:9f:69:af:fa:31:77:68:06:
                    89:7b:6d:fc:91:14:4a:c8:7b:23:93:f5:44:5a:0a:
                    3f:ce:9b:af:a6:9b:49:29:fd:fd:cb:34:40:c4:02:
                    30:95:37:28:50:d8:81:fb:1f:83:88:d9:1f:a3:0e:
                    49:a1:b3:df:90:15:d4:98:2b:b2:38:98:6e:04:aa:
                    bd:92:1b:98:48:4d:08:49:69:41:4e:6a:ee:63:d8:
                    2a:9f:e6:15:e2:1d:c3:89:f5:f0:d0:fb:c1:9c:46:
                    92:a9:37:b9:2f:a0:73:cf:e7:d1:88:96:b8:4a:84:
                    91:83:8c:f0:9a:e0:8c:6e:7a:fa:6e:7e:99:3a:c3:
                    2c:04:f9:06:8e:05:21:5f:aa:6e:9f:b7:10:37:29:
                    0c:03:14:a0:9d:73:1f:95:41:39:9b:96:30:9d:0a:
                    cb:d0:65:c3:59:23:01:f7:f5:3a:33:b9:e9:95:11:
                    0c:51:f4:e9:1e:a5:9d:f7:95:84:9c:25:74:0c:21:
                    4f:8b:07:29:2f:e3:47:14:50:8b:03:c1:fb:83:85:
                    dc:bb
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Cert Type:
                SSL Client, S/MIME
            Netscape Comment:
                OpenSSL Generated Client Certificate
            X509v3 Subject Key Identifier:
                4A:20:AA:E1:69:BF:BE:C5:66:2E:22:71:70:B4:7E:32:6F:E0:05:28
            X509v3 Authority Key Identifier:
                keyid:A3:39:CB:C7:76:86:3B:05:44:34:C2:6F:90:73:1F:5F:64:55:5C:76
            X509v3 Key Usage: critical

删除受信任证书

OS10# OS10# crypto cert delete Dell_host1_CA1.pem
Certificate and keys were successfully deleted. CN = Dell_host1_CA1