APIC-EM 1.3. – 証明書の生成 – APIによる削除
内容
概要
このドキュメントでは、Cisco Application Policy Infrastructure Controller(APIC)- エクステンション モビリティ(EM)API を使用して証明書を作成または削除する方法について説明します。IWAN では、これがすべて自動的に設定されます。ただし、現時点では、期限切れの証明書からデバイスを自動的に復旧するためのフローが IWAN にはありません。
なお、RestAPI に関するある種の自動化フローが存在します。ただし、この自動化はデバイスごとに行われ、デバイスに関する情報が必要です。IWANフローの外部にあるRestAPIフローは、デバイスの証明書を自動化するメカニズムを使用します。
背景説明
標準的な顧客トポロジ。
SPOKE — HUB — APIC_EM [コントローラ]
以下の 3 つの状況があります。
- 証明書の有効期限が切れている。
- 証明書が更新されない。
- 証明書をまったく使用できない。
デバイスの現在の状態を確認するには、どうすればよいですか。
コマンド Switch# sh cry pki cert を実行します。
結果を見ると 2 つの証明書があり、ここでは関連するトラストポイント(Associated Trustpoint)を確認する必要があります。
終了日は通常 1 年であり、開始日より後である必要があります。
これが sdn-network-infra-iwan である場合は、APIC-EM から、ID および CA 証明書が登録されていることを意味します。
APIC-EM にも同じ証明書があるかどうか、または APIC-EM が同じ証明書を認識したどうかを確認するには、どうすればよいですか。
a.デバイスからバージョンを表示し、シリアル番号を次のように収集します。
このシリアル番号を使って APIC-EM クエリを実行し、APIC-EM がこのデバイスをどのように認識しているかを確認できます。
b.API ドキュメントに移動します。
c. [Public Key Infrastructure (PKI) Broker]をクリックします。
d.最初の API をクリックします。これにより、API 側からのステータスを確認できます。
[GET] をクリックします。
チェックボックスで、デバイスの show version の出力から収集されたシリアル番号をクリックします。
[Try it out!] をクリックします。
出力値を、デバイスの sh crp pki cert 出力と比較します。
デバイスから証明書を削除するには、どうすればよいですか。
デバイスには証明書があっても、APIC-EM には証明書がない場合があります。これが原因で、GET API を実行するとエラー メッセージが表示されます。
解決法は 1 つのみ、つまりデバイスから証明書を削除することです。
a.Switch# show run | I trustpoint
コマンド Switch# no crypto pki trustpoint <trustpoint name> を実行します。
このコマンドは、選択したトラストポイントに関連付けられているデバイス上のすべての証明書を削除します。
証明書が削除されたことを再確認します。
コマンドを使用しますSwitch# sh cry pki cert
削除された sdn トラストポイントは表示されないはずです。
b.キーの削除:
デバイス上でコマンドを実行します。Switch# sh cry key mypubkey all。
ここで、キー名が sdn-network-infra で始まることが分かります。
キーを削除するコマンド:
2.デバイスに接続されているAPIC-EMインターフェイスがping可能であることを確認します。
APIC-EM に 2 つのインターフェイス(1 つは公開、もう 1 つは非公開)が存在する場合があります。この場合、デバイスと通信する APIC-EM インターフェイスが互いに ping 可能であることを確認してください。
APIC-EM から証明書を適用するには、どうすればよいですか。
APIC-EM で [API Documentation] をクリックして [PKI Broker] を選択すると、このオプションが使用可能になります。
- これにより、APIC-EM 内に証明書が作成されます。
その後、デバイスに関する情報を得て [try it out] をクリックする必要があります。
例:
{
"platformId":"ASR1001",
"serialNumber":"SSI161908CX",
"trustProfileName":"sdn-network-infra-iwan",
"entityType":"router",
"entityName":"HUB2"
}
- 強調表示されている情報は静的であり、その他の情報はすべて動的です。
- エンティティ名はデバイスのホスト名です。
- デバイスの show version から取得したシリアル番号。
- デバイス タイプに基づいて変更可能なエンティティ型。
- デバイスを設定するよう APIC-EM に指示するには、この情報が必要です。これで、APIC-EM はシリアル番号を認識します。
[Try it out!] の出力:
この出力は、ファイルが APIC-EM により内部的に作成され、デバイスに展開する準備が整っていることを意味します。
次のステップは、バンドルにこのデバイスをプッシュすることです。プッシュするには、トラスト ポイント ID を取得する必要があります。GET API CALL を使ってこれを行うことができます。
GET/trust-point/serial-number/{serialNumber} - クエリ
次の出力が示されます。これは、デバイスにプッシュする証明書が APIC-EM にあることを意味します。
デバイスに証明書をプッシュします。
シリアル番号取得クエリから POST/trust-point/{trustPointId} // trustPointId をコピーする必要があります。
{ "response":{ "platformId":"ASR1001", "serialNumber":"SSI161908CX", "trustProfileName":"sdn-network-infra-iwan", "entityName":"HUB2", "entityType":"router", "certificateAuthorityId":"f0bd5040-3f04-4e44-94d8-de97b8829e8d", "attributeInfo":{}, "id":"c4c7d612-9752-4be5-88e5-e2b6f137ea13" }, "version":"1.0" }
適切な接続が存在すれば、これにより証明書がデバイスにプッシュされます。
成功応答メッセージ:
デバイスでの再確認:
両方の証明書が貼り付けられたことを確認できます。
APIC-EM には証明書があっても、デバイスにはない場合があります。これを解決するには、どうすればよいですか。
1 つのバックグラウンド タスクを使って APIC-EM のみから証明書を削除できます。
場合によっては、顧客が誤ってデバイスから証明書を削除し、APIC-EM にはまだ証明書が残っていることがあります。
[DELETE] をクリックします。
DELETE/trust-point/serial-number/{serialNumber} - 削除。
シリアル番号を入力し、[Try it out!] をクリックします。
フィードバック