API Guide

ManualsBrandsDell ManualsAccess PlatformsPowerSwitch S4112F-ON/S4112T-ON

1001

• 在 EXEC 模式下创建私钥和 CSR。将 CSR 文件存储在主目录或 flash: 中，以便以后可将其复制到 CA 服务器。指定 keypath

以将 device.key 文件存储在安全的永久位置（如主目录），或使用 private 选项将密钥文件存储在不会对用户显示的内部文

件系统中的专用隐藏位置。

crypto cert generate request [cert-file cert-path key-file {private | keypath}]

[country 2-letter code] [state state] [locality city] [organization organization-name]

[orgunit unit-name] [cname common-name] [email email-address] [validity days]

[length length] [altname alt-name]

如果您输入 cert-file 选项，则必须输入所有必需的参数，如证书和私钥的存储位置、国家/地区代码、状态、地点和其他

值。

如果未指定 cert-file 选项，系统会提示您以交互方式填写证书的其他参数值；例如：

You are about to be asked to enter information that will be incorporated into your

certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank.

For some fields there will be a default value; if you enter '.', the field will be left

blank.

Country Name (2 letter code) [US]:

State or Province Name (full name) [Some-State]:California

Locality Name (eg, city) []:San Francisco

Organization Name (eg, company) []:Starfleet Command

Organizational Unit Name (eg, section) []:NCC-1701A

Common Name (eg, YOUR name) [hostname]:S4148-001

Email Address []:scotty@starfleet.com

交换机使用 SHA-256 作为摘要算法。公钥算法是具有 2048 位模数的 RSA。证书断言 keyEncipherment（第 2 位）和

keyAgreement（第 4 位）的 KeyUsage 位。keyCertSign 位（第 5 位）未设置。ExtendedKeyUsage 字段表示 serverAuth

和 clientAuth。

属性 CA:FALSE 在证书的“Extensions”部分中设置。证书不用于验证其他证书。

• 如有必要，请重新输入命令，为交换机上的不同应用程序生成多个证书密钥对。您可以在安全配置文件中配置证书密钥对。如果

您想要更改指定应用程序的证书密钥对而不中断其他关键服务，则必须使用不同的证书密钥对。例如，RADIUS over TLS 可能使

用与 SmartFabric 服务不同的证书密钥对。

注:

如果使用 crypto fips enable 命令的系统处于 FIPS 模式，则将使用 FIPS 验证和法规合规性算法生成 CSR 和私钥。您可

以管理是否在 FIPS 模式下生成密钥。

将 CSR 复制到 CA 服务器

您可以使用 TFTP、FTP 或 SCP 将 CSR 从闪存复制到目标，如 USB 闪存盘。

OS10# copy home://DellHost.pem scp:///tftpuser@10.11.178.103:/tftpboot/certs/DellHost.pem

password:

CA 服务器使用其私钥对 CSR 进行签名。然后 CA 服务器使签名的证书可供 OS10 交换机下载和安装。

安装主机证书

1. 使用 copy 命令通过安全的方法将 CA 服务器签名的 X.509v3 证书下载到本地主目录，如 HTTPS、SCP 或 SFTP。

2. 使用 crypto cert install 命令安装证书和使用 CSR 生成的私钥。

• 在 EXEC 模式下安装受信任证书和密钥文件。

crypto cert install cert-file home://cert-filepath key-file {key-path | private}

[password passphrase] [fips]

• cert-file cert-filepath 指定已下载证书的源位置；例如，home://s4048-001-cert.pem 或 usb://

s4048-001-cert.pem。

• key-file {key-path | private} 指定用于检索下载或本地生成的私钥的本地路径。输入 private 以从本地隐藏位置

安装密钥，然后使用证书名称重命名密钥文件。

• password passphrase 指定在使用密码生成私钥时用于解密私钥的密码。

• fips 将以与 FIPS 兼容的方式安装证书密钥对。输入 fips 以安装 FIPS 感知应用程序（如 RADIUS over TLS）使用的证书密

钥对。如果不输入 fips，则证书密钥对将存储为与 FIPS 不兼容的对。

安全性

1005