APIC-EM 1.3. — 證書生成 — 通過API刪除

下載選項

PDF (1.4 MB)
在多種裝置上使用 Adobe Reader 檢視
ePub (797.7 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (868.2 KB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2017 年 5 月 8 日

文件 ID:210837

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本檔案介紹如何使用思科應用程式原則基礎架構控制器(APIC) — 延伸行動化(EM)API建立 — 刪除憑證。使用IWAN時，一切都自動配置。但是，目前IWAN沒有任何流量從過期證書中自動恢復裝置。

在RestAPI方面，自動化也有一些流程。但是，這種自動化是按裝置進行的，它需要裝置上的某些資訊。RestAPI流在IWAN流之外，它使用某種機制來自動化裝置的證書。

背景資訊

通常的客戶拓撲。

輻條 — 中心-----APIC_EM [控制器]

以下是三種情況：

證書已過期。
證書未續訂。
證書完全不可用。

您將如何瞭解裝置的當前狀態？

運行命令Switch# sh cry pki cert。

如果您看到，有兩個證書，此處您需要檢查關聯的信任點。

結束日期通常為一年且應大於開始日期。

如果是sdn-network-infra-iwan，則表示從APIC-EM中，您已註冊ID和CA證書。

如何確保APIC-EM是否也擁有相同的證書，或者APIC-EM是否瞭解相同的證書？

a.顯示裝置版本並收集序列號：

藉助此序列號，您可以執行APIC-EM查詢以瞭解APIC-EM對此裝置的看法。

b.導航到API文檔。

c.按一下Public Key Infrastructure(PKI)Broker。

d.按一下First API ，它將幫助我們從API端瞭解狀態。

按一下GET。

在一個覈取方塊中，點選從show version output of Device收集到的序列號。

按一下Try it out!。

將輸出值與裝置的sh crp pki cert輸出進行比較。

如何從裝置中刪除證書？

有時會發生以下情況：在裝置上，證書存在，而在APIC-EM中，證書不存在。因此，當您運行GET API時，會收到錯誤消息。

解決方案只有一個，即從裝置中刪除證書：

a.Switch# show run | I信任點

運行命令Switch# no crypto pki trustpoint <trustpoint name>。

此命令刪除與所選信任點關聯的裝置上的所有證書。

重新檢查證書是否已刪除。

使用命令:Switch# sh cry pki cert。

不應顯示已刪除的sdn信任點。

b.刪除金鑰：

在裝置上運行命令：Switch# sh cry key mypubkey all。

此處您會看到金鑰名稱以sdn-network-infra開頭。

刪除金鑰的命令：

2.確保連線到裝置的APIC-EM介面應可執行Ping。

APIC-EM可能有兩個介面，其中一個是公共介面，另一個是專用介面。在這種情況下，請確保與裝置通訊的APIC-EM介面相互執行ping操作。

如何應用APIC - EM的證書？

在APIC-EM下，按一下API文檔並選擇PKI代理時，此選項可用。

POST /trust-point

這將建立內建APIC - EM的證書。

然後，您需要有關裝置的資訊，然後按一下試用。

範例：

{
"platformId":"ASR1001",
"serialNumber":"SSI161908CX",
"trustProfileName":"sdn-network-infra-iwan",
"entityType":"router",    
"entityName":"HUB2"
}

突出顯示的資訊為STATIC，其餘資訊為Dynamic。
實體名稱是裝置的主機名。
您從show version of the device獲得的序列號。
可根據裝置型別更改實體型別。
需要此資訊來通知APIC-EM配置裝置。APIC-EM可以理解序列號。

「Try it out！（試用！）」的輸出：

此輸出表示檔案由APIC-EM在內部建立，現在已準備好在裝置上部署。

下一步是將此裝置推入套件組合。要推送，您需要獲取信任點ID。這可以通過GET API CALL完成。

GET/trust-point/serial-number/{serialNumber} -查詢

它將為您提供此輸出。這表示APIC-EM具有用於推送裝置的證書。

將證書推送到裝置。

POST/trust-point/{trustPointId} // trustPointId需要從GET序列號查詢複製

{ "響應":{ "platformId":"ASR1001","序列號":"SSI161908CX"、"trustProfileName":"sdn-network-infra-iwan","entityName":"HUB2"、"entityType":"router", "certificateAuthorityId":"f0bd5040-3f04-4e44-94d8-de97b8829e8d","attributeInfo":{}，「id」："c4c7d612-9752-4be5-88e5-e2b6f137ea13" },"version":"1.0" }

這樣會將證書推送到裝置 — 只要連線正確。