Центр сертифікатів на маршрутизаторі Cisco

Матеріал із Xgu.ru

Якщо ви вважаєте, що її варто було б допрацювати якнайшвидше, будь ласка, скажіть про це.

На цій сторінці описується як настроїти маршрутизатор Cisco:

  • для роботи як центр сертифікатів (Certificate Authority, CA);
  • для отримання сертифікатів від:
  • центру сертифікатів на Windows Server 2003,
  • центру сертифікатів на маршрутизаторі Cisco
  • себе, якщо маршрутизатор сам є центром сертифікатів.

Зміст

[ред.] Основні поняття

Основні поняття стосовно центрів сертифікатів та інфраструктури відкритого ключа на сторінці Криптографія

[ред.] Налаштування CA-сервера на маршрутизаторі

[ред.] Початкове налаштування маршрутизатора

При налаштуванні CA-сервера необхідно звернути увагу на час на сервері, а також на час, налаштований на клієнтах, які будуть до нього звертатися. Час має бути однаковим. Найпростіший варіант використовувати команду:

Можна підняти сервер NTP.

Налаштування на маршрутизаторах-клієнтах для синхронізації часу з СА

Встановіть ім'я маршрутизатора та ім'я домену:

Cisco IOS CA Server для видачі сертифікатів використовує протокол SCEP (Simple Certificate Enrollment Protocol). Щоб цей протокол працював, необхідно включити вбудований в IOS HTTP server:

[ред.] Створення пари RSA ключів

Спочатку необхідно згенерувати пару ключів, яку буде використовувати CA-сервер:

Ім'я r3ca (мітка пари ключів) має відповідати імені сервера (використовується при виконанні команди crypto pki server cs-label, яка розглядається далі)

Експорт ключів у NVRAM пам'ять:

  • r3ca -назва згенерованої раніше пари ключів
  • pem - privacy-enhanced mail (PEM). Формат файлу для передачі та запиту сертифікатів
  • cisco123 - пароль, який використовується для захисту приватного ключа

Побачити згенеровану пару ключів можна, виконавши команду:

[ред.] Обов'язкові налаштування та значення за промовчанням

Для того, щоб запустити CA-сервер з налаштуваннями за промовчанням, достатньо зайти в режим налаштування сервера і включити його:

Ім'я сервера має відповідати імені пари ключів, згенерованих раніше.

Стандартна конфігурація:

Після включення сервера однойменна trustpoint створюється автоматично:

Установки, які застосовуються до CA-сервера:

  • cdp-url— дозволяє вказати url, за яким буде доступний CRL.

За замовчуванням ця команда не налаштована і клієнти Cisco IOS PKI автоматично використовуватимуть SCEP для отримання CRL із сервера.

  • database url— вказує, де зберігатимуться записи бази даних сервера сертифікатів. За замовчуванням NVRAM
  • database level— контролює, яка інформація буде зберігатися в базі даних видачі сертифікатів. За замовчуванням – minimal.
  • issuer-name— як вказуватиметься в сертифікаті ім'я сервера, який видав сертифікат. За промовчанням ім'я сервера.
  • lifetime ca-certificate- час життя (в днях) сертифіката сервера. За промовчанням 3 роки. Можливий діапазон значень від 1 до 1825 днів.
  • lifetime certificate— час життя (щодня) сертифікатів виданих клієнтам. Значення за замовчуванням – 1 рік.
  • lifetime crl- час життя (у годинах) CRL. Значення за замовчуванням – 168 годин (1 тиждень). Максимальне значення 336 годин (2 тижні).
  • grant– режим видачі сертифікатів.

[ред.] Видача сертифікатів

За промовчанням сервер вимагає ручного підтвердження запитів на сертифікати (режим manual). У цьому випадку для того, щоб відповісти на всі поточні запити, необхідно в режиміenableвиконати команду:

Можна вибрати конкретний запит і відповісти лише на нього. Для цього необхідно спочатку подивитися, які запити зараз є (у деяких IOS для цього використовується команда crypto pki server r3ca info requests):

І виконати команду (де 2 - це номер запиту, на який необхідно відповісти):

[ред.] Опціональні налаштування

Як базове місце для зберігання даних СА-сервера вкажіть flash (за замовчуванням - NVRAM, також може використовуватися TFTP-сервер):

Можна вказати розташування різних типів файлів за допомогою команди "database urlroot-url"

Встановіть, який тип даних буде зберігатись у базі даних видачі сертифікатів:

  • minimum— зберігається достатня інформація для видачі нових сертифікатів без виникнення конфліктів. Значення за замовчуванням.
  • names— на додаток до інформації рівня minimum зберігається серійний номер і subject name кожного сертифіката.
  • complete— на додаток до інформації рівнів minimum та names, кожен виданий сертифікат зберігається у базі даних.

Вкажіть параметри для ідентифікації сервера в мережі:

CN – common name.

Задайте час оновлення списку відкликаних сертифікатів (crl), час (перший у годинах, другий та третій — на добу), протягом якого сертифікат клієнта та сертифікат сервера будуть дійсні:

Налаштування сервера для автоматичного створення відповідей на запити сертифікатів:

Ця командапризведе до того, що будь-який запит на отримання сертифіката буде виконано автоматично і зловмисник зможе отримати повноцінний сертифікат від вашого CA-сервера.

[ред.] Налаштування trustpoint

Налаштування генеруються автоматично під час підняття СА-сервера. Вони можуть бути змінені, але до ввімкнення сервера сертифікатів (до виконання командиno shutdownу контексті налаштування сервера).

Вийдіть з режиму налаштування СА-сервера та встановіть необхідні параметри:

[ред.] Налаштування маршрутизаторів для отримання сертифікатів від CA-сервера на маршрутизаторі

Введіть ім'я маршрутизатора та ім'я домену:

Створення статичного запису хост-ip address:

Необхідно згенерувати пару ключів:

Необхідно створити trustpoint і зайти в режим налаштування:

Вказати URL для запиту сертифікатів:

Отримати сертифікат CA-сервера:

Запросіть свій сертифікат:

Залежно від налаштувань сервера, запит буде підтверджено автоматично або адміністратором.

[ред.] Налаштування маршрутизатора, на якому знаходиться CA, для отримання сертифіката

Створюємо статичну запис хост-ip address:

Для того щоб сервер міг отримати сертифікат, необхідно створити на ньому ще одну trustpoint, тому що trustpoint створена автоматично при створенні CA-сервера не може використовуватися для видачі сертифіката сервером самому собі:

Отримати сертифікат CA-сервера:

Тепер сервер може брати участь у роботі PKI і як клієнт.

[ред.] Налаштування маршрутизатора для отримання сертифіката від MS CA

Як кореневий CA використовується Windows Server 2003.

Введіть ім'я маршрутизатора та ім'я домену:

Необхідно згенерувати пару ключів:

Необхідностворити trustpoint і зайти в режим налаштування:

Вказати URL для запиту сертифікатів:

Отримати сертифікат CA-сервера:

Запросити власний сертифікат:

[ред.] Налаштування CA на маршрутизаторі для роботи в режимі RA

Якщо сервер сертифікатів Cisco IOS на маршрутизаторі працює в режимі RA, CA видатний сертифікати має бути сервером сертифікатів Cisco IOS.