APIC-EM 1.3. - Generazione certificato - Eliminazione tramite API

Opzioni per il download

  • PDF     (1.3 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (802.3 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (873.4 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:8 maggio 2017
ID documento:210837

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

Questo documento descrive come utilizzare l'API Cisco Application Policy Infrastructure Controller (APIC) - Extension Mobility (EM) per creare - eliminare il certificato. Con IWAN, è tutto configurato automaticamente. Tuttavia, al momento IWAN non dispone di alcun flusso per il recupero automatico del dispositivo dal certificato scaduto.

La parte buona è che c'è una sorta di flusso nell'automazione in termini di RestAPI. Tuttavia, tale automazione è per dispositivo e necessita di alcune informazioni sul dispositivo. Il flusso RestAPI che è esterno al flusso IWAN, utilizza un meccanismo per automatizzare il certificato per il dispositivo.

Premesse

Topologia cliente standard.

SPOKE — HUB — APIC_EM [Controller]

Queste sono le tre situazioni:

  • Il certificato è scaduto.
  • Il certificato non è in corso di rinnovo.
  • Certificato non disponibile.

In che modo è possibile conoscere lo stato corrente del dispositivo?

Eseguire il comando Switch# sh cry pki cert.

In questo caso sono presenti due certificati ed è necessario controllare il punto di attendibilità associato.

La data di fine è in genere un anno e deve essere successiva alla data di inizio.

Se si tratta di sdn-network-infra-iwan, significa da APIC-EM che si dispone di ID e certificato CA registrato.

Come è possibile accertarsi che APIC-EM abbia lo stesso certificato o che APIC-EM abbia riconosciuto lo stesso certificato?



r. Mostra versione dal dispositivo e raccogli il numero di serie:

Con l'aiuto di questo numero di serie è possibile eseguire una query APIC-EM per scoprire cosa pensa APIC-EM di questo dispositivo.

b. Passare a Documentazione API.

c. Fare clic su Public Key Infrastructure (PKI) Broker.

d. Fare clic su First API (Prima API) per conoscere lo stato dal lato API.

Fare clic su GET.

Selezionare una casella di controllo per selezionare il numero di serie raccolto dall'output show version del dispositivo.

Fai clic su Prova!.

Confrontare il valore di output con l'output del certificato PKI crp sh del dispositivo.

Come eliminare il certificato dal dispositivo?

A volte accade che sul dispositivo, il certificato sia presente e nell'APIC-EM non lo sia. Ecco perché, quando si esegue GET API viene visualizzato un messaggio di errore.

La soluzione è una sola, ovvero eliminare il certificato dal dispositivo:

r. N. switch show run | I trustpoint

Eseguire il comando Switch# no crypto pki trustpoint <nome trust point>.

Con questo comando vengono eliminati tutti i certificati nel dispositivo associati al trust point selezionato.

Ricontrolla se il certificato è stato eliminato. 

Utilizzare il comando: Switch# sh cry certificato pki.

Non deve visualizzare il trust point sdn eliminato.      

b. Eliminazione della chiave:

Esegui comando sul dispositivo: Switch# sh cry key mypubkey all.

In questo esempio il nome della chiave inizia con sdn-network-infra.

Comando per eliminare la chiave:

2. Accertarsi che l'interfaccia APIC-EM collegata al dispositivo sia di tipo Pingable.

Può succedere che APIC-EM abbia due interfacce, una pubblica e l'altra privata. In tal caso, verificare che l'interfaccia APIC-EM che comunica tra loro con il dispositivo esegua il ping.

Come applicare un certificato da APIC - EM?

In APIC-EM questa opzione è disponibile quando si fa clic su Documentazione API e si seleziona Broker PKI.

POST/trust-point

  • Verrà creato un certificato con APIC - EM incorporato.

Quindi è necessario avere le informazioni sul dispositivo e fare clic su prova.

Esempio: 

{
"platformId":"ASR1001",
"serialNumber":"SSI161908CX",
"trustProfileName":"sdn-network-infra-iwan",
"entityType":"router",    
"entityName":"HUB2"
}
  • Le informazioni evidenziate sono STATIC e il resto Dynamic.
  • Il nome entità è il nome host del dispositivo.
  • Numero di serie ottenuto dalla versione show del dispositivo.
  • Tipo di entità che è possibile modificare in base al tipo di dispositivo.
  • Queste informazioni sono necessarie per indicare ad APIC-EM di configurare il dispositivo. Qui APIC-EM comprende il numero di serie.

Output di Prova!:

Questo output indica che il file viene creato internamente da APIC-EM ed è pronto per essere distribuito sul dispositivo.

Il passo successivo è spingere questo dispositivo nel pacchetto. Per eseguire il push, è necessario ottenere l'ID del trust point. Questa operazione può essere eseguita tramite GET API CALL.

GET/trust-point/serial-number/{serialNumber} - Query

Vi darà questo output. Significa che l'APIC-EM ha il certificato con cui eseguire il push sul dispositivo.

Eseguire il push del certificato nel dispositivo.

POST/trust-point/{trustPointId} // trustPointId deve essere copiato da GET Serial Number Query

{ "risposta": { "ID piattaforma": "ASR1001", "serialNumber": "SSI161908CX", "trustProfileName": "sdn-network-infra-iwan", "entityName": "HUB2", "entityType": "router", "certificateAuthorityId": "f0bd5040-3f04-4e44-94d8-de97b8829e8d", "attributeInfo": {}, "id": "c4c7d612-9752-4be5-88e5-e2b6f137ea13" }, "versione": "1,0" }

In questo modo il certificato verrà inviato al dispositivo, a condizione che la connettività sia corretta.

Messaggio di risposta riuscita:

Ricontrolla sul dispositivo:

Entrambi i certificati vengono incollati:

A volte APIC-EM dispone del certificato, ma il dispositivo no. Come puoi risolverlo?

È presente un'attività in background attraverso la quale è possibile eliminare il certificato solo da APIC-EM.

Talvolta il cliente elimina per errore il certificato dal dispositivo, ma in APIC-EM è ancora presente.

Fare clic su DELETE.

DELETE/trust-point/serial-number/{serialNumber} - Elimina.

Immettere il numero di serie e fare clic su Prova!.

TAC Authored

Contributo dei tecnici Cisco

  • Kushal Kapasi
    Cisco TAC Engineer

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti