APIC-EM 1.3. — 证书生成 — 通过API删除

下载选项

PDF (1.4 MB)
在各种设备上使用 Adobe Reader 查看
ePub (797.7 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (868.2 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2017 年 5 月 8 日

文档 ID:210837

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何使用思科应用策略基础设施控制器(APIC) — 分机移动(EM)API创建 — 删除证书。使用IWAN时，它都会自动配置。但是，IWAN目前没有任何流从过期的证书中自动恢复设备。

好的部分是，在RestAPI方面，自动化有某种流。但是，该自动化是按设备进行的，并且它需要有关设备的一些信息。IWAN流之外的RestAPI流使用一些机制来自动执行设备的证书。

背景信息

常见客户拓扑。

辐条 — 中心 — APIC_EM [控制器]

以下是三种情况：

证书已过期。
证书未续约。
证书完全不可用。

您如何了解设备的当前状态？

运行命令Switch# sh cry pki cert。

如果您看到，有两个证书，您需要在此处检查关联信任点。

结束日期通常为一年，应晚于开始日期。

如果它是sdn-network-infra-iwan，则表示从APIC-EM注册了ID和CA证书。

您如何确保APIC-EM是否也具有相同的证书，或者APIC-EM是否理解相同的证书？

a.从设备显示版本并收集序列号：

借助此序列号，您可以执行APIC-EM查询，以了解APIC-EM对此设备的看法。

b.导航至API文档。

c.点击公钥基础设施(PKI)代理。

d.点击First API（第一个API），这将帮助我们从API端了解状态。

单击“GET(获取)”。

在一个复选框上，点击从设备的show version输出收集的序列号。

单击“Try out！（试用！）”。

将输出值与设备的sh crp pki cert输出进行比较。

如何从设备中删除证书？

有时，在设备上，证书存在，而在APIC-EM中，证书不存在。因此，运行GET API时会收到错误消息。

解决方案只有一个，即从设备中删除证书：

a.Switch# show run |我信任点

运行命令Switch# no crypto pki trustpoint <trustpoint name>。

此命令删除与所选信任点关联的设备上的所有证书。

重新检查证书是否已删除。

使用下列命令：Switch# sh cry pki cert。

它不应显示已删除的sdn信任点。

b.删除密钥：

在设备上运行命令：Switch# sh cry key mypubkey all。

您将看到密钥名称以sdn-network-infra开头。

删除密钥的命令：

2.确保连接到设备的APIC-EM接口应为Ping。

APIC-EM可能有两个接口，一个是公共接口，另一个是私有接口。在这种情况下，请确保与设备通信的APIC-EM接口彼此ping。

如何从APIC - EM应用证书？

在APIC-EM下，点击API文档并选择PKI代理后，此选项可用。

POST /trust-point

这将创建带有内置APIC - EM的证书。

然后，您需要了解设备的相关信息，然后单击“试用”。

示例：

{
"platformId":"ASR1001",
"serialNumber":"SSI161908CX",
"trustProfileName":"sdn-network-infra-iwan",
"entityType":"router",    
"entityName":"HUB2"
}

突出显示的信息为“静态”，其余信息为“动态”。
实体名称是设备的主机名。
您从设备的show version获取的序列号。
可以根据设备类型更改的实体类型。
需要此信息来通知APIC-EM配置设备。此处APIC-EM了解序列号。

Try it out！的输出：

此输出意味着文件由APIC-EM在内部创建，现在可以在设备上部署。

下一步是将此设备推入捆绑包。要推送，您需要获取信任点ID。这可以通过GET API CALL完成。

GET/trust-point/serial-number/{serialNumber} — 查询

它将给您此输出。这意味着APIC-EM具有带此证书的证书，可在设备上推送。

将证书推送到设备。

POST/trust-point/{trustPointId} // trustPointId需要从GET序列号查询复制

{“响应”：{ "platformId":“ASR1001”、“序列号”："SSI161908CX"、"trustProfileName":"sdn-network-infra-iwan", "entityName":"HUB2"、"entityType":"router"、"certificateAuthorityId":"f0bd5040-3f04-4e44-94d8-de97b8829e8d", "attributeInfo":{}，“id”："c4c7d612-9752-4be5-88e5-e2b6f137ea13" },"version":"1.0" }

这会将证书推送到设备 — 前提是连接正确。