APIC-EM 1.3 - Generación de certificados: eliminación mediante API

Opciones de descarga

  • PDF     (1.3 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (803.0 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (874.3 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:8 de mayo de 2017
ID del documento:210837

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo utilizar la API Cisco Application Policy Infrastructure Controller (APIC) - Extension Mobility (EM) para crear y eliminar el certificado. Con IWAN, todo se configura automáticamente. Sin embargo, IWAN en este momento no tiene ningún flujo para recuperar automáticamente el dispositivo del certificado caducado.

Lo bueno es que hay algún tipo de flujo en la automatización en términos de RestAPI. Sin embargo, la automatización se realiza por dispositivo y necesita cierta información sobre el dispositivo. El flujo RestAPI que está fuera del flujo IWAN, utiliza algún mecanismo para automatizar el certificado para el dispositivo.

Antecedentes

Topología habitual del cliente.

SPOKE — HUB — APIC_EM [Controller]

Estas son las tres situaciones:

  • El certificado ha caducado.
  • El certificado no se está renovando.
  • El certificado no está disponible en absoluto.

¿Cómo sabrá cuál es el estado actual del dispositivo?

Ejecute el comando Switch# sh cry pki cert.

Si ve, hay dos certificados y aquí debe marcar el punto de confianza asociado .

La fecha de finalización será normalmente de un año y debe ser posterior a la fecha de inicio.

Si se trata de sdn-network-infra-iwan, significa desde APIC-EM que tiene ID y certificado CA registrados.

¿Cómo se asegura de que APIC-EM también tenga el mismo certificado o de que APIC-EM haya entendido o no el mismo certificado?



a. Mostrar la versión del dispositivo y recopilar el número de serie:

Con la ayuda de este número de serie, puede realizar una consulta APIC-EM para averiguar qué piensa APIC-EM sobre este dispositivo.

b. Vaya a Documentación de API.

c. Haga clic en Agente de infraestructura de clave pública (PKI).

d. Haga clic en First API (Primera API), que nos ayudará a conocer el estado desde el lado de la API.

Haga clic en GET.

En una casilla de verificación, haga clic en el número de serie recopilado de la salida show version del Dispositivo.

Haga clic en Prueba!.

Compare el valor de salida con el resultado sh crp pki cert del dispositivo.

¿Cómo se elimina el certificado del dispositivo?

A veces ocurre que en el dispositivo, el certificado está ahí y en el APIC-EM no está ahí. Por eso, cuando ejecuta GET API obtiene un mensaje de error.

La solución es sólo una y es eliminar el certificado del dispositivo:

a. Switch# show run | I trustpoint

Ejecute el comando Switch# no crypto pki trustpoint <trustpoint name>.

Este comando elimina todo el certificado en el dispositivo asociado con el punto de confianza seleccionado.

Vuelva a comprobar si se elimina el certificado. 

Use el comando: Switch# sh cry pki cert.

No debe mostrar el punto de confianza sdn que se eliminó.      

b. Eliminación de clave:

Ejecute el comando en el dispositivo: Switch# sh cry key mypubkey all.

Aquí verá que el nombre de la clave comienza con sdn-network-infra.

Comando para eliminar la clave:

2. Asegúrese de que la interfaz APIC-EM conectada al dispositivo sea Pingable.

Puede ocurrir que APIC-EM tenga dos interfaces de las cuales una es pública y la otra es privada. En ese caso, asegúrese de que la interfaz APIC-EM que se comunica con el dispositivo haga ping entre sí.

¿Cómo se aplica el certificado de APIC - EM?

En APIC-EM, cuando se hace clic en Documentación de API y se selecciona Agente PKI, esta opción está disponible.

POST/trust-point

  • Esto creará un certificado con APIC - EM.

A continuación, debe tener información sobre el dispositivo y hacer clic en la opción de probarlo.

Ejemplo: 

{
"platformId":"ASR1001",
"serialNumber":"SSI161908CX",
"trustProfileName":"sdn-network-infra-iwan",
"entityType":"router",    
"entityName":"HUB2"
}
  • La información resaltada es ESTÁTICA y el resto es Dinámica.
  • El nombre de entidad es el nombre de host del dispositivo.
  • Número de serie que obtuvo de la versión show del dispositivo.
  • Tipo de entidad que puede cambiar en función del tipo de dispositivo.
  • Esta información es necesaria para indicar a APIC-EM que configure el dispositivo. Aquí APIC-EM comprende el número de serie.

Salida de Try it out!:

Esta salida significa que APIC-EM crea el archivo internamente y que ahora está listo para implementarlo en el dispositivo.

El siguiente paso es introducir este dispositivo en el paquete. Para pulsar, necesita obtener una ID de punto de confianza. Esto se puede hacer a través de GET API CALL.

GET/trust-point/serial-number/{serialNumber} - Consulta

Le dará este resultado. Significa que el APIC-EM tiene el certificado con esto para presionar el dispositivo.

Empuje el certificado al dispositivo.

POST/trust-point/{trustPointId} // trustPointId debe copiarse de la consulta del número de serie de GET

{"response": { "platformId": "ASR1001", "serialNumber": "SSI161908CX", "trustProfileName": "sdn-network-infra-iwan", "entityName": "HUB2", "EntityType": "router", "certificateAuthorityId": "f0bd5040-3f04-4e44-94d8-de97b8829e8d", "attributeInfo": {}, "id": "c4c7d612-9752-4be5-88e5-e2b6f137ea13" }, "versión": "1.0" }

Esto llevará el certificado al dispositivo, siempre que haya una conectividad adecuada.

Mensaje de respuesta correcta:

Vuelva a comprobar el dispositivo:

Ya ve que ambos certificados se han pegado:

A veces APIC-EM tiene el certificado pero el dispositivo no. ¿Cómo puede resolverlo?

Hay una tarea en segundo plano a través de la cual sólo puede eliminar el certificado de APIC-EM.

A veces, el cliente elimina por error el certificado del dispositivo, pero en APIC-EM, sigue ahí.

Haga clic en ELIMINAR.

DELETE/trust-point/serial-number/{serialNumber} - Eliminar.

Introduzca el número de serie y haga clic en Try out!.

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Kushal Kapasi
    Cisco TAC Engineer

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos