APIC-EM 1.3. - certificaatgeneratie - verwijdering via API
Inhoud
Inleiding
Dit document beschrijft hoe u de Cisco Application Policy Infrastructure Controller (APIC) - Extension Mobility (EM) API kunt gebruiken om het certificaat te maken - verwijderen. Met IWAN wordt dit allemaal automatisch ingesteld. Op dit moment heeft IWAN echter geen stroom om automatisch apparaat uit het verlopen certificaat te herstellen.
Het goede deel is dat er een soort van stroom in automatisering is in termen van RestAPI. Maar die automatisering is per apparaat en heeft wat informatie nodig over het apparaat. De RestAPI-stroom die buiten IWAN-stroom staat, gebruikt een mechanisme om het certificaat voor apparaat te automatiseren.
Achtergrondinformatie
Gebruikelijke klanttopologie.
SPOKE — HUB — APIC_EM [controller]
Dit zijn de drie situaties:
- Het certificaat is verlopen.
- Het certificaat vernieuwt niet.
- Het certificaat is helemaal niet beschikbaar.
Hoe ga je weten wat de huidige stand van het apparaat is?
Start de commando Switch# sh huilpki cert.
Als je ziet, zijn er twee certificaten en hier moet je Associated Trustpoint controleren.
De einddatum zal gewoonlijk één jaar zijn en moet langer zijn dan de aanvangsdatum.
Als het sdn-netwerk-infra-iwan is, betekent het vanuit APIC-EM dat u zowel id als CA certificaatgeregistreerd hebt.
Hoe zorgt u ervoor dat APIC-EM ook hetzelfde certificaat heeft of dat APIC-EM hetzelfde certificaat heeft begrepen of niet?
a. Versie van apparaat tonen en het serienummer verzamelen:
Met behulp van dit serienummer kunt u een APIC-EM query uitvoeren om uit te vinden wat APIC-EM denkt aan dit apparaat.
b. Navigeren in naar API-documentatie.
c. Klik op Public Key Infrastructure (PKI) Broker.
d. Klik op First API om de status van de API-kant te leren kennen.
Klik op GET.
Klik in één selectieteken op het serienummer dat van de uitvoer van het apparaat wordt verzameld.
Klik op Uitproberen!.
Vergelijk de uitvoerwaarde met de sh crp cert uitvoer van het apparaat.
Hoe het certificaat van het apparaat te verwijderen?
Soms is het zo dat op het apparaat het certificaat aanwezig is en in de APIC-EM is het er niet. Daarom krijg je een foutmelding als je Get API runt.
De oplossing is slechts één en dat is het verwijderen van het certificaat van apparaat:
a. Switch# tonen run | Ik vertrouw op
Start commando Switch# op crypto piste trustpoint <trustpoint name>.
Deze opdracht verwijdert alle certificaataanvraag op een apparaat dat is gekoppeld aan het geselecteerde trustpunt.
Controleer opnieuw of het certificaat is verwijderd.
Gebruik de opdracht: Schakelaar... huil graf.
Het zou geen sdn trustpunt moeten tonen dat is verwijderd.
b. Verwijdering van sleutel:
Start commando op apparaat: Switch# sh huilen sleutel mypubkey.
Hier zal je zien dat de Key name begint met sdn-netwerk-infra.
Opdracht om toets te verwijderen:
2. Zorg ervoor dat de APIC-EM interface die op het apparaat is aangesloten, Pingable is.
Het kan gebeuren dat APIC-EM twee interfaces heeft waarvan het ene openbaar is en het andere privé. In dat geval, zorg ervoor dat de APIC-EM interface die op het apparaat communiceert met elkaar pingt.
Hoe wordt het certificaat van APIC - EM toegepast?
Onder APIC-EM, wanneer op API-documentatie wordt gedrukt en PKI Broker is geselecteerd, is deze optie beschikbaar.
- Hierdoor wordt een certificaat met APIC - EM gemaakt.
Vervolgens moet u informatie over het apparaat hebben en op de knop klikken om het uit te proberen.
Voorbeeld:
{
"platformId":"ASR1001",
"serialNumber":"SSI161908CX",
"trustProfileName":"sdn-network-infra-iwan",
"entityType":"router",
"entityName":"HUB2"
}
- De gemarkeerde informatie is STATISCH en de rest is Dynamisch.
- Entiteitsnaam is Hostnaam van het apparaat.
- Serienummer dat je hebt van de show versie van het apparaat.
- Entiteitstype dat u kunt wijzigen op basis van het type apparaat.
- Deze informatie is nodig om APIC-EM te vertellen om het apparaat te configureren. Hier begrijpt APIC-EM het serienummer.
Uitvoer van probeer het uit!:
Deze uitvoer betekent dat het bestand intern wordt aangemaakt door APIC-EM en is nu gereed om op het apparaat in te zetten.
De volgende stap is om dit apparaat in de bundel te duwen. Om te duwen, moet je een vertrouwenspoint ID krijgen. Dit kan worden gedaan via Get API CALL.
GET/trust-point/serienummer/ {serienummer} - Query
Het geeft je deze output. Het betekent dat APIC-EM het certificaat heeft om het apparaat aan te drukken.
Duw het certificaat op het apparaat.
POST/trust-point/ {trustPointID} // trustPointID moet worden gekopieerd van GET Serial Number Query
{"respons": {"platformID": "ASR1001", "serienummer": "SSI161908CX", "trustProfileName": "sdn-network-infra-iwan", "entitiesName": "HUB2", "entiteitType": "router", "certificaatAuthorityID": "f0bd5040-3f04-4e44-94d8-de97b8829e8d", "attribuutInfo": {}, "id": "c4c7d612-9752-4be5-88e5-e2b6f137ea13"}, "versie": "1.0"}
Dit zal het certificaat naar apparaat duwen - op voorwaarde dat er een goede connectiviteit is.
Bericht van succes van respons:
Controleer het apparaat:
U ziet dat beide certificaten nu zijn geplakt:
Soms heeft APIC-EM het certificaat maar het apparaat niet. Hoe kun je het oplossen?
Er is een bepaalde achtergrondtaak waarmee u het certificaat alleen kunt verwijderen uit APIC-EM.
Soms schrapt de klant per ongeluk het certificaat van het apparaat maar in APIC-EM is het er nog.
Klik op VERWIJDEREN.
VERWIJDEREN/vertrouwen-punt/serienummer/ {serienummer} - Verwijderen.
Typ het serienummer en klik op Probeer het!.
Feedback