APIC-EM 1.3. - Geração de certificado - Exclusão via API

Opções de download

  • PDF     (1.3 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (801.3 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (872.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:8 de maio de 2017
ID do documento:210837

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como usar a API do Cisco Application Policy Infrastructure Controller (APIC) - Extension Mobility (EM) para criar - excluir o certificado. Com a IWAN, tudo é configurado automaticamente. No entanto, a IWAN neste momento não tem nenhum fluxo para recuperar automaticamente o dispositivo do certificado expirado.

A parte boa é que há algum tipo de fluxo na automação em termos de RestAPI. Mas essa automação é por dispositivo e precisa de algumas informações no dispositivo. O fluxo RestAPI, que está fora do fluxo de IWAN, usa algum mecanismo para automatizar o certificado para o dispositivo.

Informações de Apoio

Topologia normal do cliente.

SPOKE — HUB — APIC_EM [Controller]

Estas são as três situações:

  • O certificado expirou.
  • O certificado não está sendo renovado.
  • O certificado não está disponível.

Como você saberá qual é o estado atual do dispositivo?

Execute o comando Switch# sh cry pki cert.

Se você vir, há dois certificados e aqui você precisa verificar o Ponto de confiança associado .

A data de término geralmente é de um ano e deve ser posterior à data de início.

Se for sdn-network-infra-iwan, significa, no APIC-EM, que você tem ID e certificado CA registrado.

Como você garante se o APIC-EM também tem o mesmo certificado ou se o APIC-EM entendeu ou não o mesmo certificado?



a. Mostrar versão do dispositivo e coletar o número de série:

Com a ajuda desse número de série, você pode executar a consulta do APIC-EM para descobrir o que o APIC-EM pensa sobre esse dispositivo.

b. Navegue até Documentação da API.

c. Clique em Public Key Infrastructure (PKI) Broker.

d. Clique em First API (Primeira API), que nos ajudará a saber o status do lado da API.

Clique em GET.

Em uma caixa de seleção, clique no número de série coletado da saída show version do dispositivo.

Clique em Experimentar!.

Compare o valor de saída com a saída sh crp pki cert do dispositivo.

Como excluir o certificado do dispositivo?

Às vezes, acontece que no dispositivo, o certificado está lá e no APIC-EM não está lá. Por isso, quando você executa a API GET, você recebe uma mensagem de erro.

A solução é apenas uma e que consiste em excluir o certificado do dispositivo:

a. Switch#show run | Ponto de confiança

Execute o comando Switch# no crypto pki trustpoint <trustpoint name>.

Esse comando exclui todo o certificado no dispositivo associado ao ponto de confiança selecionado.

Verifique novamente se o certificado foi excluído. 

Use o comando: Switch# sh cry pki cert.

Ele não deve mostrar o ponto confiável de sdn que foi excluído.      

b. Exclusão da chave:

Execute o comando no dispositivo: Switch# sh cry key mypubkey all.

Aqui você verá que o nome da chave começa com sdn-network-infra.

Comando para excluir a chave:

2. Certifique-se de que a interface APIC-EM conectada ao dispositivo seja Pingable.

Pode acontecer que o APIC-EM tenha duas interfaces das quais uma é pública e a outra é privada. Nesse caso, assegure-se de que a interface APIC-EM que se comunica com o dispositivo faça ping entre si.

Como aplicar o certificado do APIC - EM?

No APIC-EM, quando a documentação da API é clicada e o PKI Broker selecionado, essa opção está disponível.

POST/trust-point

  • Isso criará um certificado com APIC - EM.

Em seguida, você precisa ter informações sobre o dispositivo e clicar em Tentar.

Exemplo: 

{
"platformId":"ASR1001",
"serialNumber":"SSI161908CX",
"trustProfileName":"sdn-network-infra-iwan",
"entityType":"router",    
"entityName":"HUB2"
}
  • As informações destacadas são ESTÁTICAS e o resto é dinâmico.
  • O nome da entidade é Nome de host do dispositivo.
  • Número de série obtido do comando show version do dispositivo.
  • Tipo de entidade que você pode alterar com base no tipo de dispositivo.
  • Essa informação é necessária para informar ao APIC-EM para configurar o dispositivo. Aqui, o APIC-EM compreende o número de série.

Resultado do teste!:

Essa saída significa que o arquivo é criado internamente pelo APIC-EM e agora está pronto para ser implantado no dispositivo.

A próxima etapa é empurrar esse dispositivo para dentro do pacote. Para forçar, você precisa obter a ID do ponto de confiança. Isso pode ser feito via CHAMADA GET API.

GET/trust-point/serial-number/{serialNumber} - Consulta

Ele fornecerá essa saída. Significa que o APIC-EM tem o certificado com isso para empurrar o dispositivo.

Empurre o certificado para o dispositivo.

POST/trust-point/{trustPointId} // trustPointId precisa ser copiado da consulta do número de série GET

{ "resposta": { "platformId": "ASR1001", "número de série": "SSI161908CX", "trustProfileName": "sdn-network-infra-iwan", "nome da entidade": "HUB2", "EntityType": "router", "certificateAuthorityId": "f0bd5040-3f04-4e44-94d8-de97b8829e8d", "attributeInfo": {}, "id": "c4c7d612-9752-4be5-88e5-e2b6f137ea13" }, "versão": "1,0" }

Isso empurrará o certificado para o dispositivo - desde que haja conectividade adequada.

Mensagem de êxito da resposta:

Verificar novamente no dispositivo:

Você vê que ambos os certificados agora estão colados:

Às vezes, o APIC-EM tem o certificado, mas o dispositivo não. Como você pode resolver isso?

Há alguma tarefa em segundo plano através da qual você pode excluir certificado somente do APIC-EM.

Às vezes, o cliente, por engano, exclui o certificado do dispositivo, mas no APIC-EM, ele ainda está lá.

Clique em EXCLUIR.

DELETE/trust-point/serial-number/{serialNumber} - Excluir.

Digite o número de série e clique em Try out!.

TAC Authored

Colaborado por engenheiros da Cisco

  • Kushal Kapasi
    Cisco TAC Engineer

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos