API Guide
• 在证书颁发机构 (CA) 上配置 X.509v3 PKI 证书,并在交换机上安装。交换机和 syslog 服务器均交换签名的 X.509v3 证书中的公
钥,以便彼此进行身份验证。有关详细信息,请参阅 X.509v3 证书。
• 您可以根据安全配置文件中的说明,配置用于系统日志记录的安全配置文件。
配置通过 TLS 的系统日志记录
1. 按照管理 CA 证书中所述,使用安全的方法(如 SCP 或 HTTPS)复制 CA 服务器创建的 X.509v3 证书。然后在 EXEC 模式下安
装受信任的 CA 证书。
crypto ca-cert install ca-cert-filepath [filename]
• ca-cert-filepath 指定下载的证书的本地路径;例如,home://CAcert.pem 或 usb://CA-cert.pem。
• filename 指定将证书存储在 OS10 信任存储目录下的可选文件名。以 filename.crt 格式输入文件名。
2. 如请求和安装主机证书中所述,从 CA 服务器获取 X.509v3 主机证书:
a. 创建私钥并生成交换机的证书签名请求。
b. 将 CSR 文件复制到 CA 服务器以进行签名。
c. 将 CA 签名的证书复制到交换机上的主目录。
d. 安装主机证书:
crypto cert install cert-file home://cert-filepath key-file {key-path | private}
[password passphrase] [fips]
当您安装 X.509v3 证书密钥对时:
• 两者均采用证书的名称。例如,如果您使用以下命令安装证书:
OS10# crypto cert install cert-file home://Dell_host1.pem key-file home://abcd.key
证书密钥对安装为 Dell_host1.pem 和 Dell_host1.key。在配置命令中,请参阅配对 Dell_host1。配置安全配置文
件时,您可以在 certificate certificate-name 命令中输入 Dell_host1。
• 出于安全原因,由于密钥文件包含私钥信息,因此将其复制到 OS10 文件系统中的安全位置,并将其从 key-file key-
path 参数中指定的原始位置删除。
注: fips 将以与 FIPS 兼容的方式安装证书密钥对。输入 fips 以安装由 FIPS 感知应用程序使用的证书密钥对,例如
Syslog over TLS。如果不输入 fips,则证书密钥对将存储为与 FIPS 不兼容的对。
您可以决定证书密钥对是否以与 FIPS 兼容的方式生成。请勿在 FIPS 模式以外使用 FIPS 兼容的证书密钥对。启用 FIPS 模
式后,仍可为非 FIPS 证书生成 CSRs,以便与非 FIPS 应用程序配合使用。请确保使用 crypto cert install 命令将这
些证书作为非 FIPS 安装。
3. 使用 X.509v3 证书为通过 TLS 的系统日志记录配置安全配置文件。
a. 在 CONFIGURATION 模式下创建系统日志安全配置文件。请参阅安全配置文件了解更多信息。
crypto security-profile profile-name
b. 在 SECURITY-PROFILE 模式下将 X.509v3 证书和私钥对分配到安全配置文件。对于 certificate-name,输入与不
带 .pem 扩展名的 show crypto certs 输出中显示的证书密钥对的名称。
certificate certificate-name
exit
c. 在 CONFIGURATION 模式下创建特定于系统日志记录的配置文件。
logging security-profile profile-name
其中 profile-name 是在步骤 2a 中通过 crypto security-profile profile-name 命令创建的 Syslog 安全配置文
件。您不能删除为日志记录服务器配置的加密服务器配置文件。
如果重新配置加密安全 profile-name,配置的系统日志 TLS 服务器将自动更新为使用新配置文件所用的新证书密钥对。
如果您重新配置分配给加密安全配置文件的证书,Syslog TLS 服务器将自动更新为使用新的证书密钥对。
如果从已配置的加密安全配置文件中删除证书,则通过 TLS 进行的系统日志记录将失败。与外部设备进行协议交换需要主机证
书。
1372 OS10 故障处理