APIC-EM 1.3. - 인증서 생성 - API를 통한 삭제

다운로드 옵션

PDF (1.4 MB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (798.1 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (869.0 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2017년 5월 8일

문서 ID:210837

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Cisco APIC(Application Policy Infrastructure Controller) - EM(Extension Mobility) API를 사용하여 인증서를 생성하고 삭제하는 방법에 대해 설명합니다.IWAN에서는 모두 자동으로 구성됩니다.그러나 현재 IWAN에는 만료된 인증서에서 자동으로 디바이스를 복구하는 흐름이 없습니다.

좋은 점은 RestAPI와 관련하여 자동화에 일종의 흐름이 있다는 것입니다.그러나 이러한 자동화는 장치별로 이루어지며 장치에 대한 일부 정보가 필요합니다. IWAN 흐름 외부에 있는 RestAPI 흐름에서는 일부 메커니즘을 사용하여 장치용 인증서를 자동화합니다.

배경 정보

일반적인 고객 토폴로지.

스포크 — 허브 — APIC_EM [컨트롤러]

다음은 세 가지 상황입니다.

인증서가 만료되었습니다.
인증서가 갱신되지 않습니다.
인증서를 사용할 수 없습니다.

디바이스의 현재 상태를 어떻게 알 수 있습니까?

Switch # sh cry pki cert 명령을 실행합니다.

표시되는 경우 두 개의 인증서가 있으며 여기서 Associated Trustpoint를 확인해야 합니다.

종료 날짜는 일반적으로 1년이며 시작 날짜보다 커야 합니다.

sdn-network-infra-iwan인 경우 APIC-EM에서 ID와 CA 인증서가 등록되었음을 의미합니다.

APIC-EM이 동일한 인증서를 가지고 있는지 아니면 APIC-EM이 동일한 인증서를 알고 있는지 여부를 어떻게 확인합니까?

a.디바이스의 버전을 표시하고 일련 번호를 수집합니다.

이 일련 번호의 도움을 받아 APIC-EM 쿼리를 수행하여 APIC-EM이 이 장치에 대해 어떻게 생각하는지 알아볼 수 있습니다.

b.API 설명서로 이동합니다.

c. PKI(Public Key Infrastructure) Broker를 클릭합니다.

d.API 측의 상태를 파악하는 데 도움이 될 First API를 클릭합니다.

GET을 클릭합니다.

하나의 확인란을 선택하면 디바이스의 show version 출력에서 수집된 일련 번호를 클릭합니다.

Try it out!을 클릭합니다.

출력 값을 디바이스의 sh crp pki 인증서 출력과 비교합니다.

디바이스에서 인증서를 삭제하는 방법

때로는 디바이스에서 인증서가 있고 APIC-EM에 인증서가 없는 경우가 있습니다.따라서 GET API를 실행하면 오류 메시지가 표시됩니다.

이 솔루션은 디바이스로부터 인증서를 삭제하는 데 사용되는 유일한 솔루션입니다.

a.Switch# show run | I 신뢰 지점

crypto pki trustpoint <trustpoint name> 없이 Switch# 명령을 실행합니다.

이 명령은 선택한 신뢰 지점과 연결된 디바이스의 모든 인증서를 삭제합니다.

인증서가 삭제되었는지 다시 확인합니다.

다음 명령을 사용합니다.스위치# sh cry pki cert.

삭제된 sdn 신뢰 지점을 표시하지 않아야 합니다.

b.키 삭제:

디바이스에서 명령 실행: Switch# sh cry key mypubkey all.

여기서 키 이름은 sdn-network-infra로 시작합니다.

키를 삭제하는 명령:

2. 디바이스에 연결된 APIC-EM 인터페이스가 ping이 가능해야 합니다.

APIC-EM에는 두 개의 인터페이스가 있는데 그중 하나는 퍼블릭이고 다른 하나는 비공개입니다.이 경우 디바이스와 통신하는 APIC-EM 인터페이스가 서로 ping하는지 확인합니다.

APIC에서 인증서를 적용하는 방법 - EM?

APIC-EM에서 API Documentation을 클릭하고 PKI Broker를 선택한 경우 이 옵션을 사용할 수 있습니다.

POST /trust-point

그러면 APIC - EM이 포함된 인증서가 생성됩니다.

그런 다음 디바이스에 대한 정보가 필요한 다음 을 클릭하여 사용해 보십시오.

예:

{
"platformId":"ASR1001",
"serialNumber":"SSI161908CX",
"trustProfileName":"sdn-network-infra-iwan",
"entityType":"router",    
"entityName":"HUB2"
}

강조 표시된 정보는 STATIC이고 나머지는 Dynamic입니다.
엔티티 이름은 디바이스의 호스트 이름입니다.
디바이스의 show 버전에서 가져온 일련 번호입니다.
디바이스 유형에 따라 변경할 수 있는 엔티티 유형입니다.
이 정보는 APIC-EM에서 디바이스를 구성하도록 알리는 데 필요합니다.여기서는 APIC-EM이 일련 번호를 이해합니다.

출력:

이 출력은 파일이 APIC-EM에 의해 내부적으로 생성되어 이제 디바이스에 구축할 준비가 되었음을 의미합니다.

다음 단계는 이 디바이스를 번들로 푸시하는 것입니다.푸시하려면 신뢰 지점 ID를 가져와야 합니다.이는 GET API CALL을 통해 수행할 수 있습니다.

GET/trust-point/serial-number/{serialNumber} - 쿼리

이 출력이 표시됩니다.즉, APIC-EM에 디바이스를 푸시할 수 있는 인증서가 있습니다.

인증서를 장치에 푸시합니다.

GET 일련 번호 쿼리에서 POST/trust-point/{trustPointId} // trustPointId를 복사해야 합니다.

{ "응답":{ "platformId":"ASR1001", "일련 번호":"SSI161908CX", "trustProfileName":"sdn-network-infra-iwan", "entityName":"HUB2", "entityType":"router", "certificateAuthorityId":"f0bd5040-3f04-4e44-94d8-de97b8829e8d", "attributeInfo":{}, "id":"c4c7d612-9752-4be5-88e5-e2b6f137ea13" }, "버전":"1.0" }

올바른 연결이 있는 경우 인증서를 장치로 푸시합니다.