Story Transcript
Certificate to ISAKMP Profile Mapping Descargue este capítulo Certificate to ISAKMP Profile Mapping Descargue el libro completo Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR (PDF - 5 MB) Feedback
Contenidos Certificate to ISAKMP Profile Mapping Encontrar la información de la característica Contenido Prerrequisitos para Certificate to ISAKMP Profile Mapping Restricciones de Certificate to ISAKMP Profile Mapping Información sobre Certificate to ISAKMP Profile Mapping Descripción General de Certificate to ISAKMP Profile Mapping Cómo Funciona Certificate to ISAKMP Profile Mapping Asignación de un Perfil ISAKMP y un Nombre de Grupo a un Peer Cómo Configurar Certificate to ISAKMP Profile Mapping Asociar el certificado al perfil ISAKMP El verificar que se haya asociado el certificado Asignación del nombre del grupo al par Monitoreando y manteniendo su certificado a la asignación del perfil ISAKMP Ejemplos de Configuración para Certificate to ISAKMP Profile Mapping Certificados Mapeados al Perfil ISAKMP sobre la Base de Campos Arbitrarios: Ejemplo: Nombre de Grupo Asignado a un Peer que se Asociado a un Perfil ISAKMP: Ejemplo: Mapeo de un Certificado a una Verificación del Perfil ISAKMP: Ejemplo: Nombre del grupo asignado a una verificación del par: Ejemplo: Referencias adicionales Documentos Relacionados Estándares MIB RFC Asistencia Técnica Información de la característica para el certificado a la asignación del perfil ISAKMP
Certificate to ISAKMP Profile Mapping Primera publicación: 17 de may de 2004 Última actualización: De junio el 22 de 2009 El certificado a la característica de la asignación del perfil ISAKMP le permite para asignar un perfil del Internet Security Association and Key Management Protocol (ISAKMP) a un par en base del contenido de los campos arbitrarios en el certificado. Además, esta característica permite que usted asigne un nombre del grupo a esos pares que se asignen un perfil ISAKMP.
Encontrar la información de la característica Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para el certificado la sección a la asignación del perfil ISAKMP”. Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software Cisco IOS y Catalyst OS. Para acceder el Cisco Feature Navigator, vaya a http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp. Una cuenta en Cisco.com no se requiere.
Contenido •
Prerrequisitos para Certificate to ISAKMP Profile Mapping
•
Restricciones de Certificate to ISAKMP Profile Mapping
•
Información sobre Certificate to ISAKMP Profile Mapping
•
Cómo Configurar Certificate to ISAKMP Profile Mapping
•
Ejemplos de Configuración para Certificate to ISAKMP Profile Mapping
•
Referencias adicionales
•
Información de la característica para el certificado a la asignación del perfil ISAKMP
Prerrequisitos para Certificate to ISAKMP Profile Mapping •
Usted debe ser familiar con configurar las correspondencias del certificado.
•
Usted debe ser familiar con configurar los perfiles ISAKMP.
Restricciones de Certificate to ISAKMP Profile Mapping Esta característica es no corresponde si usted utiliza el Rivest, el Shamir, y el Adelman (RSA) - firma o autenticación de la encripción RSA sin el intercambio del certificado. Los pares ISAKMP deben ser configurados para la autenticación de la firma RSA. o de la encripción RSA usando los Certificados. El IPSec con dos trustpoints alistados en el mismo servidor del Certificate Authority (CA) no se soporta. Cuando hay dos o más perfiles ISAKMP, cada uno que tiene un diverso trustpoint alistado en el mismo servidor de CA, el respondedor selecciona el trustpoint global más reciente. (El trustpoints se selecciona en la orden inversa en la cual se definen global). Para que el establecimiento del túnel IPsec sea acertado para los pares, el trustpoint seleccionado por el iniciador debe hacer juego el trustpoint seleccionado por el respondedor. El resto de los túneles IPsec no podrán establecer la conexión si el trustpoints no hace juego.
Información sobre Certificate to ISAKMP Profile Mapping •
Descripción General de Certificate to ISAKMP Profile Mapping
•
Cómo Funciona Certificate to ISAKMP Profile Mapping
•
Asignación de un Perfil ISAKMP y un Nombre de Grupo a un Peer
Descripción General de Certificate to ISAKMP Profile Mapping Antes del Cisco IOS Release 12.3(8)T, la única forma de asociar a un par a un perfil ISAKMP estaba como sigue. El campo de la identidad ISAKMP en el intercambio ISAKMP fue utilizado para asociar a un par a un perfil ISAKMP. Cuando los Certificados fueron utilizados para la autenticación, el payload de la identidad ISAKMP contuvo los asuntos del certificado. Si CA no proporcionó el valor de grupo requerido en el primer campo de la unidad organizativa (OU) de un certificado, un perfil ISAKMP no se podría asignar a un par. Eficaz con el Cisco IOS Release 12.3(8)T, un par puede todavía ser asociado según lo explicado arriba. Sin embargo, el certificado a la característica de la asignación del perfil ISAKMP le permite para asignar un perfil ISAKMP a un par en base del contenido de los campos arbitrarios en el certificado. Le limitan no más a asignar un perfil ISAKMP en base de los asuntos del certificado. Además, esta característica permite que usted asigne a un grupo a un par a quien se ha asignado un perfil ISAKMP.
Cómo Funciona Certificate to ISAKMP Profile Mapping El cuadro 1 ilustra cómo las correspondencias del certificado se pueden asociar a los perfiles ISAKMP y a los nombres del grupo asignados. El cuadro 1 correspondencias del certificado asociadas para el perfil agrupa la asignación
Una correspondencia del certificado se puede asociar a solamente un perfil ISAKMP aunque un perfil ISAKMP pueda tener varias correspondencias del certificado asociadas a él. Las correspondencias del certificado proporcionan la capacidad para que un certificado sea correspondido con con un conjunto dado de los criterios. Los perfiles ISAKMP pueden atarse para certificar las correspondencias, y si el actual certificado hace juego la correspondencia del certificado presente en un perfil ISAKMP, asignarán el par el perfil ISAKMP. Si el perfil ISAKMP contiene un nombre del grupo de la configuración del cliente, el mismo nombre del grupo será asignado al par. Esta información del perfil ISAKMP reemplazará la información en la identidad ID_KEY_ID o en el primer campo OU del certificado.
Asignación de un Perfil ISAKMP y un Nombre de Grupo a un Peer Para asignar un perfil ISAKMP a un par en base de los campos arbitrarios en el certificado, utilice match certificate el comando después de que se haya definido el perfil ISAKMP. Para asociar un nombre del grupo a un ISAKMP perfile que sea asignado a un par, utilizan client configuration group el comando, también después de que se haya definido el perfil ISAKMP.
Cómo Configurar Certificate to ISAKMP Profile Mapping •
Asociando el certificado al perfil ISAKMP (requerido)
•
El verificar que se haya asociado el certificado (opcional)
•
Asignando el nombre del grupo al par (requerido)
•
Monitorear y mantener su certificado al ISAKMP perfilan la asignación (opcional)
Asociar el certificado al perfil ISAKMP Para asociar el certificado al perfil ISAKMP, realice los pasos siguientes. Esta configuración le permitirá para asignar el perfil ISAKMP a un par en base del contenido de los campos arbitrarios en el certificado. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto isakmp profile profile-name 4. match certificate certificate-map PASOS DETALLADOS
Comando o acción
Propósito
Paso 1
enable
Habilita el modo EXEC privilegiado.
Paso 2
configure terminal
Paso 3
crypto isakmp profile profile-name
Example: Router# enable
• Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global.
Example: Router# configure terminal
Define un perfil ISAKMP y ingresa en el modo crypto de la configuración del perfil ISAKMP.
Example: Router (config)# crypto isakmp profile vpnprofile
Paso 4
match certificate certificate-map
Valida el nombre de una correspondencia del certificado.
Example: Router (conf-isa-prof)# match certificate map1
El verificar que se haya asociado el certificado El siguiente comando show se puede utilizar para verificar que los asuntos de la correspondencia del certificado se han configurado correctamente. PASOS SUMARIOS 1. enable 2. show crypto ca certificates PASOS DETALLADOS
Comando o acción
Propósito
Paso 1
enable
Habilita el modo EXEC privilegiado.
Paso 2
show crypto ca certificates
Example: Router# enable
• Ingrese su contraseña si se le pide que lo haga. Visualiza la información sobre su certificado.
Example: Router# show crypto ca certificates
Asignación del nombre del grupo al par Para asociar un nombre del grupo a un par cuando asocian al par a un perfil ISAKMP, realice los pasos siguientes. PASOS SUMARIOS
1. enable 2. configure terminal 3. crypto isakmp profile profile-name 4. client configuration group group-name PASOS DETALLADOS
Comando o acción
Propósito
Paso enable 1
Habilita el modo EXEC privilegiado.
Paso configure terminal 2
Ingresa en el modo de configuración global.
Paso crypto isakmp profile profile-name 3
Define un perfil ISAKMP y ingresa en el modo de la configuración del perfil del isakmp.
• Ingrese su contraseña si se le pide que lo haga.
Example: Router# enable
Example: Router# configure terminal
Example: Router (config)# crypto isakmp profile vpnprofile
Paso client configuration group group-name 4 Example: Router (conf-isa-prof)# client configuration group group1
Valida el nombre de un grupo que sea asignado a un par cuando asignan el par este perfil crypto ISAKMP.
Monitoreando y manteniendo su certificado a la asignación del perfil ISAKMP Para monitorear y mantener su certificado a la asignación del perfil ISAKMP, usted puede utilizar el siguiente comando debug . PASOS SUMARIOS 1. enable 2. debug crypto isakmp PASOS DETALLADOS
Comando o acción Paso enable 1
Example: Router# enable
Paso debug crypto isakmp 2 Example: Router# debug crypto isakmp
Propósito Habilita el modo EXEC privilegiado. •
Ingrese su contraseña si se le pide que lo haga.
Visualiza la demostración de la salida que el certificado ha pasado a través de la correspondencia del certificado que correspondía con y que el certificado hace juego el perfil ISAKMP. El comando se puede también utilizar para verificar que han asignado el par un grupo.
Ejemplos de Configuración para Certificate to ISAKMP Profile Mapping Esta sección contiene los ejemplos de configuración siguientes: •
Certificados Mapeados al Perfil ISAKMP sobre la Base de Campos Arbitrarios: Ejemplo:
•
Nombre de Grupo Asignado a un Peer que se Asociado a un Perfil ISAKMP: Ejemplo:
•
Mapeo de un Certificado a una Verificación del Perfil ISAKMP: Ejemplo:
•
Nombre del grupo asignado a una verificación del par: Ejemplo:
Certificados Mapeados al Perfil ISAKMP sobre la Base de Campos Arbitrarios: Ejemplo: El ejemplo de configuración siguiente muestra que siempre que un certificado contenga “ou = verde,” el perfil “cert_pro” ISAKMP será asignado al par: crypto pki certificate map cert_map 10 subject-name co ou = green !
! crypto isakmp identity dn crypto isakmp profile cert_pro ca trust-point 2315 ca trust-point LaBcA initiate mode aggressive match certificate cert_map
Nombre de Grupo Asignado a un Peer que se Asociado a un Perfil ISAKMP: Ejemplo: El siguiente ejemplo muestra que el grupo “some_group” debe ser asociado a un par que se ha asignado un perfil ISAKMP: crypto isakmp profile id_profile ca trust-point 2315 match identity host domain cisco.com client configuration group some_group
Mapeo de un Certificado a una Verificación del Perfil ISAKMP: Ejemplo: La demostración de los siguientes ejemplos que un certificado se ha asociado a un perfil ISAKMP. Los ejemplos incluyen las configuraciones para el respondedor y el iniciador, show command verificar de la salida que los asuntos de la correspondencia del certificado se han configurado, y debug la demostración de la salida de comando que el certificado ha pasado a través de la correspondencia del certificado que correspondía con y ha correspondido con al perfil ISAKMP. Configuración del respondedor crypto pki certificate map cert_map 10 ! The above line is the certificate map definition. subject-name co ou = green ! The above line shows that the subject name must have "ou = green." ! crypto isakmp profile certpro ! The above line shows that this is the ISAKMP profile that will match if the certificate of the peer matches cert_map (shown on third line below). ca trust-point 2315 ca trust-point LaBcA match certificate cert_map initiate mode aggressive
Configuración del Iniciador crypto ca trustpoint LaBcA enrollment url http://10.76.82.20:80/cgi-bin/openscep subject-name ou=green,c=IN ! The above line ensures that the subject name "ou = green" is set. revocation-check none
comando show crypto ca certificates hecho salir para el iniciador Router# show crypto ca certificates
Certificate Status: Available Certificate Serial Number: 21 Certificate Usage: General Purpose Issuer: cn=blue-lab CA o=CISCO c=IN Subject: Name: Router1.cisco.com c=IN ou=green ! The above line is a double check that "ou = green" has been set as the subject name. hostname=Router1.cisco.com Validity Date: start date: 14:34:30 UTC Mar 31 2004 end
date: 14:34:30 UTC Apr 1 2009
renew date: 00:00:00 UTC Jan 1 1970 Associated Trustpoints: LaBcA
comando debug crypto isakmp hecho salir para el respondedor Router# debug crypto isakmp
6d23h: ISAKMP (0:268435460): received packet from 192.0.0.2 dport 500 sport 500 Global (R) MM_KEY_EXCH 6d23h: ISAKMP: Main Mode packet contents (flags 1, len 892): 6d23h:
ID payload
6d23h:
FQDN port 500 protocol 17
6d23h:
CERT payload
6d23h:
SIG payload
6d23h:
KEEPALIVE payload
6d23h:
NOTIFY payload
6d23h: ISAKMP:(0:4:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH 6d23h: ISAKMP:(0:4:HW:2):Old State = IKE_R_MM4
New State = IKE_R_MM5
6d23h: ISAKMP:(0:4:HW:2): processing ID payload. message ID = 0 6d23h: ISAKMP (0:268435460): ID payload next-payload : 6 type
: 2
FQDN name
: Router1.cisco.com
protocol
: 17
port
: 500
length
: 28
6d23h: ISAKMP:(0:4:HW:2):: peer matches *none* of the profiles 6d23h: ISAKMP:(0:4:HW:2): processing CERT payload. message ID = 0 6d23h: ISAKMP:(0:4:HW:2): processing a CT_X509_SIGNATURE cert 6d23h: ISAKMP:(0:4:HW:2): peer's pubkey isn't cached 6d23h: ISAKMP:(0:4:HW:2): OU = green 6d23h: ISAKMP:(0:4:HW:2): certificate map matches certpro profile ! The above line shows that the certificate has gone through certificate map matching and that it matches the "certpro" profile. 6d23h: ISAKMP:(0:4:HW:2): Trying to re-validate CERT using new profile 6d23h: ISAKMP:(0:4:HW:2): Creating CERT validation list: 2315, LaBcA, 6d23h: ISAKMP:(0:4:HW:2): CERT validity confirmed.
Nombre del grupo asignado a una verificación del par: Ejemplo: La demostración siguiente de la configuración y de la salida de los debugs que han asignado un grupo a un par. Configuración del Iniciador crypto isakmp profile certpro ca trust-point 2315 ca trust-point LaBcA match certificate cert_map client configuration group new_group ! The statement on the above line will assign the group "new_group" to any peer that matches the ISAKMP profile "certpro." initiate mode aggressive
¡! comando profile del isakmp del debug crypto hecho salir para el respondedor El ejemplo siguiente de la salida de los debugs muestra que han correspondido con al par al perfil ISAKMP nombrado “certpro” y que él se ha asignado un grupo nombrado “new_group.” Router# debug crypto isakmp profile 6d23h: ISAKMP (0:268435461): received packet from 192.0.0.2 dport 500 sport 500 Global (R) MM_KEY_EXCH 6d23h: ISAKMP: Main Mode packet contents (flags 1, len 892): 6d23h: 6d23h:
ID payload FQDN port 500 protocol 17
6d23h:
CERT payload
6d23h:
SIG payload
6d23h:
KEEPALIVE payload
6d23h:
NOTIFY payload
6d23h: ISAKMP:(0:5:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
6d23h: ISAKMP:(0:5:HW:2):Old State = IKE_R_MM4
New State = IKE_R_MM5
6d23h: ISAKMP:(0:5:HW:2): processing ID payload. message ID = 0 6d23h: ISAKMP (0:268435461): ID payload next-payload : 6 type
: 2
FQDN name
: Router1.cisco.com
protocol
: 17
port
: 500
length
: 28
6d23h: ISAKMP:(0:5:HW:2):: peer matches *none* of the profiles 6d23h: ISAKMP:(0:5:HW:2): processing CERT payload. message ID = 0 6d23h: ISAKMP:(0:5:HW:2): processing a CT_X509_SIGNATURE cert 6d23h: ISAKMP:(0:5:HW:2): peer's pubkey isn't cached 6d23h: ISAKMP:(0:5:HW:2): OU = green 6d23h: ISAKMP:(0:5:HW:2): certificate map matches certpro profile 6d23h: ISAKMP:(0:5:HW:2): Trying to re-validate CERT using new profile 6d23h: ISAKMP:(0:5:HW:2): Creating CERT validation list: 2315, LaBcA, 6d23h: ISAKMP:(0:5:HW:2): CERT validity confirmed. 6d23h: ISAKMP:(0:5:HW:2):Profile has no keyring, aborting key search 6d23h: ISAKMP:(0:5:HW:2): Profile certpro assigned peer the group named new_group
Referencias adicionales Documentos Relacionados Tema relacionado
Título del documento
Configuración de Perfiles ISAKMP
VRF-Aware Ipsec
Comandos de seguridad
Referencia de Comandos de Seguridad de Cisco IOS
Estándares Estándares
Título
Ninguno
—
MIB MIB
Link del MIB
Ninguno Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente: http://www.cisco.com/cisco/web/LA/support/index.html
RFC RFC
Título
Ninguno
—
Asistencia Técnica Descripción
Link
El sitio Web de soporte técnico de Cisco http://www.cisco.com/cisco/web/LA/support/index.html proporciona los recursos en línea extensos, incluyendo la documentación y las herramientas para localizar averías y resolver los problemas técnicos con los Productos Cisco y las Tecnologías. Para recibir la Seguridad y la información técnica sobre sus Productos, usted puede inscribir a los diversos servicios, tales como la herramienta de alerta del producto (accedida de los Field Notice), el hoja informativa de los servicios técnicos de Cisco, y alimentaciones realmente simples de la sindicación (RSS). El acceso a la mayoría de las herramientas en el sitio Web de soporte técnico de Cisco requiere una identificación del usuario y una contraseña del cisco.com.
Información de la característica para el certificado a la asignación del perfil ISAKMP La Tabla 1 muestra el historial de versiones de esta función. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. Cisco Feature Navigator le permite determinar qué imágenes de Cisco IOS y Catalyst OS Software soportan una versión de software, un conjunto de funciones o una plataforma específica. Para acceder el Cisco Feature Navigator, vaya a http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp. Una cuenta en el cisco.com no se requiere.
Observelas listas del cuadro 1 solamente la versión de Cisco IOS Software que introdujo el soporte para una característica dada en un tren de versión del Cisco IOS Software dado. A menos que se indique lo contrario, las versiones posteriores de dicha serie de versiones de software de Cisco IOS también soportan esa función.
Nombre de la función Certificate to ISAKMP Profile Mapping
Versiones
Información sobre la Función
12.3(8)T
El certificado a la característica de la asignación del perfil ISAKMP le 12.2(33)SRA permite para asignar un perfil del Internet Security Association and Key Management Protocol (ISAKMP) a un par en base del contenido de los 12.2(33)SXH campos arbitrarios en el certificado. Además, esta característica permite que usted asigne un nombre del grupo a esos pares que se asignen un perfil ISAKMP. Esta característica fue introducida en el Cisco IOS Versión 12.3(8)T Esta función se integró en Cisco IOS Versión 12.2(33)SRA. Esta función se integró en Cisco IOS Versión 12.2(33)SXH.
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R) Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any examples, command display output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses or phone numbers in illustrative content is unintentional and coincidental. © 2004-2009 Cisco Systems, Inc. All rights reserved.
© 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 2 Agosto 2013
http://www.cisco.com/cisco/web/support/LA/107/1074/1074055_sec_cert_isakmp_map_ps6922_TSD_Products_Configuration_Guide_Chapter.html