Story Transcript
Configuración de la Autorización y Revocación de Certificados en un PKI Descargue este capítulo Configuración de la Autorización y Revocación de Certificados en un PKI Descargue el libro completo Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR (PDF - 5 MB) Feedback
Contenidos Configuración de la Autorización y Revocación de Certificados en un PKI Encontrar la información de la característica Contenido Prerrequisitos de Autorización y Revocación de Certificados Restricciones para la autorización y la revocación de los Certificados Información sobre la Autorización y la Revocación de Certificados Autorización PKI Integración de PKI y el Servidor AAA para el Estado de Certificados RADIUS o TACACS+: Elegir un protocolo del servidor de AAA Pares de valor-atributo para la Integración de PKI y AAA Server CRLs o Servidor OCSP: Elección de un Mecanismo de Revocación de Certificados ¿Qué es una CRL? ¿Qué es OCSP? Cuándo Utilizar los ACLs Basados en Certificados para Autorización o Revocación Omitir las Verificaciones de Revocación Utilizando una ACL Basada en Certificados Validación de la Cadena de Certificados PKI Soporte de gran disponibilidad Cómo configurar la Autorización y Revocación de Certificados para su PKI Configuración de PKI Integration with a AAA Server Restricciones al usar los asuntos enteros para la autorización PKI Consejos de Troubleshooting Configuración de un Mecanismo de Revocación para la Verificación del Estado del Certificado PKI El comando de revocación-control Nonces y comunicaciones del par con los servidores OCSP Prerrequisitos Restricciones Configuración de la Autorización y Revocación de Certificados Configuración de ACLs Basadas en Certificados para Ignorar las Verificaciones de Revocación Invalidación Manual de CDPs en un Certificado Manualmente reemplazar el servidor establezca OCSP en un certificado Configuración del Control de la Memoria Caché de CRL Configuración del Control de Sesión del Número de Serie del Certificado Prerrequisitos Ejemplos Consejos de Troubleshooting Cómo Configurar la Validación de la Cadena de Certificados Prerrequisitos Restricciones Configurar los servidores de certificados para la Alta disponibilidad Prerrequisitos Configurar el SCTP en los servidores de certificados activos y espera Determinación del modo de redundancia en los servidores de certificados a ACTIVE/STANDBY Sincronización de los servidores de certificados activos y espera Ejemplos de Configuración de la Autorización y Revocación de Certificados Configuración y Verificación de la Autorización AAA PKI: Ejemplos Configuración del Router: Ejemplo: Debug de una Autorización AAA PKI Exitosa: Ejemplo: Debug de una Autorización AAA PKI Fallida: Ejemplo: Configuración de un Mecanismo de Revocación: Ejemplos Configuración de un servidor OCSP: Ejemplo: Especificación de una CRL y después de un Servidor OCSP: Ejemplo: Especificación de un Servidor OCSP: Ejemplo: Inhabilitación de Nonces en las Comunicaciones con el Servidor OCSP: Ejemplo: Configuración de un Router Hub en un Sitio Central para Verificaciones de Revocación de Certificados: Ejemplo: Configuración de la Autorización y Revocación de Certificados: Ejemplos
Configuración del Control de la Memoria Caché de CRL Configuración del Control de Sesión del Número de Serie del Certificado Cómo Configurar la Validación de la Cadena de Certificados: Ejemplos Configuración de la Validación de la Cadena de Certificados del peer al CA Root Configuración de la Validación de la Cadena de Certificados del Peer a la CA Subordinada Configuración de la Validación de la Cadena de Certificados a través de un Análisis de Deficiencias Configurar los servidores de certificados para la Alta disponibilidad: Ejemplo: Referencias adicionales Documentos Relacionados Asistencia Técnica Información sobre Funciones para la Autorización y Revocación de Certificados
Configuración de la Autorización y Revocación de Certificados en un PKI Primera publicación: 2 de mayo de 2005 Última actualización: De marzo el 31 de 2011 Este módulo describe cómo configurar la autorización y la revocación de los Certificados en un Public Key Infrastructure (PKI). Incluye la información sobre el soporte de gran disponibilidad para el servidor de certificados.
Encontrar la información de la característica Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección de la autorización y de la revocación del certificado”. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.
Contenido •
Prerrequisitos de Autorización y Revocación de Certificados
•
Restricciones para la autorización y la revocación de los Certificados
•
Información sobre la Autorización y la Revocación de Certificados
•
Cómo configurar la Autorización y Revocación de Certificados para su PKI
•
Ejemplos de Configuración de la Autorización y Revocación de Certificados
•
Referencias adicionales
•
Información sobre Funciones para la Autorización y Revocación de Certificados
Prerrequisitos de Autorización y Revocación de Certificados Planee su estrategia PKI
Extremidad se recomienda fuertemente que usted planea su estrategia entera PKI antes de que usted comience a desplegar los Certificados reales. La autorización y la revocación pueden ocurrir sólo después de usted o un administrador de la red ha completado las tareas siguientes: •
Configuró el Certificate Authority (CA).
•
Dispositivos de peer alistados con CA.
• Identificado y configurado el protocolo (tal como [IPsec] de la seguridad IP o [SSL] de la Secure Socket Layer) que debe ser utilizado para la comunicación entre iguales. Usted debe decidir qué estrategia de la autorización y de la revocación usted va a configurar antes de alistar los dispositivos de peer porque los Certificados del dispositivo de peer pudieron tener que contener la autorización y la información revocaciónespecífica. Cambio de CLI de "crypto ca" a "crypto pki" Desde Cisco IOS Release 12.3(7)T, todos los comandos que comienzan con "crypto ca" han cambiado para comenzar con "crypto pki". Aunque el router seguirá aceptando comandos crypto ca, toda la salida se releerá como crypto pki. Alta disponibilidad Para la Alta disponibilidad, el Stream Control Transmission Protocol (SCTP) IPSec-asegurado se debe configurar en el active y los routeres en espera. Para que la sincronización trabaje, el modo de redundancia en los servidores de certificados debe ser fijado a ACTIVE/STANDBY después de que usted configure el SCTP.
Restricciones para la autorización y la revocación de los Certificados El soporte de gran disponibilidad PKI (HA) de la Redundancia del Stateful Switchover del intra-chasis (SSO) no se soporta actualmente en todo el Switches que funciona con el software del Cisco IOS Release 12.2 S. Vea el bug Cisco CSCtb59872
para más información.
Información sobre la Autorización y la Revocación de Certificados Antes de configurar la autorización y la revocación del certificado, usted debe entender los conceptos siguientes: •
Autorización PKI
•
Integración de PKI y el Servidor AAA para el Estado de Certificados
•
CRLs o Servidor OCSP: Elección de un Mecanismo de Revocación de Certificados
•
Cuándo Utilizar los ACLs Basados en Certificados para Autorización o Revocación
•
Validación de la Cadena de Certificados PKI
•
Soporte de gran disponibilidad
Autorización PKI La autenticación PKI no proporciona la autorización. Las Soluciones actuales para la autorización son específicas al router se está configurando que, aunque una solución centralmente manejada se requiera a menudo. No hay un mecanismo estándar por el cual los Certificados son definidos como autorizado para algunas tareas y no para otras. Esta información de autorización se puede capturar en el certificado sí mismo si la aplicación es consciente de la información de autorización basada en el certificado. Pero esta solución no proporciona un mecanismo simple para las actualizaciones en tiempo real a la información de autorización y fuerza cada aplicación para ser consciente de la información de autorización específica integrada en el certificado. Cuando el mecanismo basado en el certificado ACL se configura como parte de la autenticación del trustpoint, la aplicación es no más responsable de determinar esta información de autorización, y es no más posible especificar para qué aplicación se autoriza el certificado. En algunos casos, el ACL basado en el certificado en el router consigue tan grande que no pueda ser manejado. Además, es beneficioso extraer las indicaciones basadas en el certificado ACL de un servidor externo. (Para más información sobre usar los ACL basados en el certificado para la autenticación, vea la sección “cuándo utilizar los ACL basados en el certificado para la autorización o Revocation.") Las Soluciones actuales al problema en tiempo real de la autorización implican el especificar de un nuevo protocolo y el construir de un nuevo servidor (con las tareas asociadas, tales como Administración y distribución de los datos).
Integración de PKI y el Servidor AAA para el Estado de Certificados La integración de su PKI con un servidor del Authentication, Authorization, and Accounting (AAA) proporciona una solución en línea alternativa del estatus del certificado que leverages la infraestructura existente AAA. Los Certificados se pueden enumerar en las bases de datos de AAA con los niveles adecuados de autorización. Para los componentes que no soportan explícitamente PKI-AAA, una escritura de la etiqueta predeterminada de “todos” del servidor de AAA proporciona la autorización. Asimismo, una escritura de la etiqueta de “ningunos” de las bases de datos de AAA indica que el certificado especificado es inválido. (La ausencia de cualquier escritura de la etiqueta de la aplicación es equivalente, pero “ninguna” es incluida para lo completo y la claridad). Si el componente de la aplicación soporta PKI-AAA, el componente se puede especificar directamente; por ejemplo, el componente de la aplicación podía ser “IPSec,” “SSL,” o “osp.” (la Seguridad del ipsec=IP, los socketes del ssl=Secure acoda, y osp=Open el protocolo del acuerdo.)
Nota • Actualmente, ningún componente de la aplicación soporta la especificación de la escritura de la etiqueta de la aplicación. •
Puede haber un retardo al acceder el servidor de AAA. Si el servidor de AAA no está disponible, la autorización falla.
RADIUS o TACACS+: Elegir un protocolo del servidor de AAA El servidor de AAA se puede configurar para trabajar con el protocolo RADIUS o TACACS+. Cuando usted está configurando el servidor de AAA para la integración PKI, usted debe fijar los atributos del radius or tacacs que se requieren para la autorización. Si se utiliza el protocolo RADIUS, la contraseña que se configura para el nombre de usuario en el servidor de AAA se debe fijar a “Cisco,” que es aceptable porque la validación de certificado proporciona la autenticación y las bases de datos de AAA se están utilizando solamente para la autorización. Cuando se utiliza el protocolo TACACS, la contraseña que se configura para el nombre de usuario en el servidor de AAA es inútil porque el TACACS soporta la autorización sin requerir la autenticación (la contraseña se utiliza para la autenticación). Además, si usted está utilizando el TACACS, usted debe agregar un servicio PKI al servidor de AAA. El atributo personalizado “cert-application=all” se agrega bajo servicio PKI para que al usuario determinado o al grupo de usuarios autorice el nombre de usuario específico.
Pares de valor-atributo para la Integración de PKI y AAA Server El cuadro 1 enumera los pares del valor de atributo (AV) que deben ser utilizados al configurar la integración PKI con un servidor de AAA. (Observe los valores mostrados en la tabla son valores posibles.) Las pares AV deben hacer juego la configuración del cliente. Si no hacen juego, el certificado de peer no se autoriza.
Los usuariosde la nota pueden a veces tener pares AV que sean diferentes de las de cada otro usuario. Como consecuencia, un nombre de usuario único se requiere para cada usuario. allEl parámetro (dentroauthorization usernamedel comando)
especifica que los asuntos enteros del certificado serán utilizados como el nombre de usuario de la autorización.
Pares AV
Valor
cisco-avpair=pki: certapplication=all
Los valores válidos son “todos” y “ningunos.”
cisco-avpair=pki: certtrustpoint=msca
El valor es una escritura de la etiqueta del trustpoint de la configuración del comando line interface(cli) del Cisco IOS. Observelas pares AV del CERT-trustpoint es normalmente opcional. Si se especifica, la consulta del router de Cisco IOS debe venir de un punto de confianza de certificados que tenga una etiqueta coincidente, y el certificado que se autentica debe tener el número de serie del certificado especificado.
cisco-avpair=pki:certserial=16318DB7000100001671
El valor es un número de serie del certificado.
1 de enero de 2003 ciscoavpair=pki:cert-lifetime-end=1:00
Las pares AV del CERT-curso de la vida-fin están disponibles prolongar artificial un curso de la vida del certificado más allá del período de tiempo que se indica en el certificado sí mismo. Si se utilizan las pares AV del CERT-curso de la vida-fin, el CERTtrustpoint y las pares AV CERT-seriales deben también ser especificados. El valor debe hacer juego la forma siguiente: horas: anota el día del mes, año.
Observelas pares AV CERT-seriales es normalmente opcional. Si se especifica, la consulta del router de Cisco IOS debe venir de un punto de confianza de certificados que tenga una etiqueta coincidente, y el certificado que se autentica debe tener el número de serie del certificado especificado.
Se utilizala nota solamente los primeros tres caracteres de un mes: Enero, febrero, marcha, abril, puede, junio, julio, agosto, sept, oct, nov, DEC. Si más de tres caracteres se ingresan para el mes, se ignoran los caracteres restantes (por ejemplo Janxxxx).
CRLs o Servidor OCSP: Elección de un Mecanismo de Revocación de Certificados Después de que un certificado se valide como correctamente certificado firmado, un método de la revocación de certificado se realiza para asegurarse de que el certificado no ha sido revocado por los soportes de publicación del Cisco IOS Software CA dos mecanismos de la revocación — los Lista de revocación de certificados (CRL) (CRL) y el protocolo status en línea del certificado (OCSP). (El Cisco IOS Software también soporta la integración AAA para marcar del certificado; sin embargo, las funciones adicionales de la autorización son incluidas. Para más información sobre la autorización y la revisión de estado del certificado PKI y AAA, consideran la sección “PKI e integración del servidor de AAA para el certificado Status.") Las secciones siguientes explican cómo cada mecanismo de la revocación trabaja: •
¿Qué es una CRL?
•
¿Qué es OCSP?
¿Qué es una CRL? Un Listas de revocación de certificados (CRL) es una lista de Certificados revocados. La CA que originalmente emitió los certificados crea y firma digitalmente la CRL. El CRL contiene las fechas para cuando cada certificado fue publicado y cuando expira. Los CA publican los nuevos CRL periódicamente o cuando se ha revocado un certificado del cual CA es responsable. De forma predeterminada, se descargará un nuevo CRL después de que expire el CRL almacenado en la memoria caché actualmente. Un administrador puede también configurar la duración para la cual los CRL se ocultan en la memoria del router o inhabilitan el CRL que oculta totalmente. La configuración de guardado en memoria caché CRL se aplicará a todos los CRL asociados a un trustpoint. Cuando expira el CRL, el router lo borra de su caché. Se descarga un nuevo CRL cuando un certificado se presenta para la verificación; sin embargo, si una versión más reciente del CRL que enumera el certificado bajo examen está en el servidor pero el router todavía está utilizando el CRL en su caché, el router no sabrá que se ha revocado el certificado. El certificado pasará el control de la revocación aunque debe haber sido negado. Cuando CA publica un certificado, CA puede incluir en el certificado el CRL Distribution Point (CDP) para ese certificado. Los dispositivos del cliente del Cisco IOS utilizan los CDP para localizar y para cargar el CRL correcto. Los soportes de cliente CDP múltiples del Cisco IOS, pero el Cisco IOS CA soporta actualmente solamente un CDP; sin embargo, el proveedor externo CA puede soportar los CDP múltiples o diversos CDP por el certificado. Si un CDP no se especifica en el certificado, el dispositivo del cliente utilizará el método predeterminado del protocolo simple certificate enrollment (SCEP) para extraer el CRL. (La ubicación CDP se puede especificar vía cdp-url el comando.)
Al implementar CRLs, usted debe considerar los aspectos del diseño siguientes: •
Vidas útiles de CRL y la asociación de seguridad (SA) y cursos de la vida del Internet Key Exchange (IKE)
La vida útil de CRL determina la longitud del tiempo entre las actualizaciones CA-publicadas al CRL. (El valor predeterminado de la vida útil de CRL, que es 168 horas de semana [1], puede ser cambiado vía lifetime crl el comando.) •
El método y la ubicación del CDP – El método determina cómo se extrae el CRL; algunas opciones posibles incluyen el HTTP, el Lightweight Directory Access Protocol (LDAP), el SCEP, o el TFTP. El HTTP, el TFTP, y el LDAP son los métodos más de uso general. Aunque el Cisco IOS Software omita el SCEP, un HTTP CDP se recomienda para las instalaciones grandes usando los CRL porque el HTTP se puede hacer altamente scalable. – La ubicación determina de donde se extrae el CRL; por ejemplo, usted puede especificar el servidor y el trayecto del archivo de los cuales extraer el CRL.
Consulta de todos los CDPs durante la Verificación de la Revocación Cuando un servidor CDP no responde a una petición, el Cisco IOS Software señala un error, que puede dar lugar al certificado del par que es rechazado. Para prevenir un rechazo posible del certificado y si hay CDP múltiples en un certificado, el Cisco IOS Software intentará utilizar los CDP en la orden en la cual aparecen en el certificado. El router intentará extraer un CRL usando cada CDP URL o la especificación del directorio. Si un error ocurre usando un CDP, una tentativa será hecha usando el CDP siguiente.
Observeantes del Cisco IOS Release 12.3(7)T, el Cisco IOS Software hace solamente una tentativa de extraer el CRL, incluso cuando el certificado contiene más de un CDP.
Incline aunque el Cisco IOS Software hará cada tentativa de obtener el CRL a partir del uno de los CDP indicados, se recomienda que usted utiliza un servidor HTTP CDP con los servidores HTTP redundantes de alta velocidad para evitar los descansos de la aplicación debido a las respuestas lentas CDP.
¿Qué es OCSP? OCSP es un mecanismo en línea que se utiliza para determinar la validez del certificado y proporciona la flexibilidad siguiente como mecanismo de la revocación: •
OCSP puede proporcionar marcar en tiempo real del estatus del certificado.
• OCSP permite que el administrador de la red especifique un servidor central OCSP, que puede mantener todos los dispositivos dentro de una red. • OCSP también no prohibe a administrador de la red la flexibilidad para especificar los servidores múltiples OCSP, por el certificado del cliente o por el grupo de certificados del cliente. • La validación del servidor OCSP se basa generalmente en certificado raíz CA o un certificado de CA subordinado válido, pero puede también ser configurada para poder utilizar los Certificados o los certificados autofirmados externos de CA. Usando los Certificados o los certificados autofirmados externos de CA permite que validan el certificado de servidores OCSP sea publicado y de una jerarquía de la alternativa PKI. Un administrador de la red puede configurar un servidor OCSP para recoger y para poner al día los CRL de diversos servidores de CA. Los dispositivos dentro de la red pueden confiar en el servidor OCSP para marcar el estatus del certificado sin extraer y el almacenamiento en memoria inmediata de cada CRL para cada par. Cuando los pares tienen que marcar el estado de anulación de un certificado, envían una interrogación al servidor OCSP que incluye el número de serie del certificado en la pregunta y de un Identificador único opcional para la petición OCSP, o a un nonce. El servidor OCSP lleva a cabo una copia del CRL para determinar si el CA ha enumerado el certificado como siendo revocado; el servidor entonces responde al par incluyendo el nonce. Si el nonce en la respuesta del servidor OCSP no hace juego el nonce original enviado por el par, la respuesta se considera inválida y la verificación del certificado falla. El diálogo entre el servidor OCSP y el par consume menos ancho de banda que la mayoría de las descargas CRL. Si el servidor OCSP está utilizando un CRL, las limitaciones de tiempo CRL serán aplicables; es decir, un CRL que es todavía válido se pudo utilizar por el servidor OCSP aunque un nuevo CRL haya sido publicado por el CRL que contenía la información adicional de la revocación de certificado. Porque menos dispositivos están descargando la información CRL sobre las bases normales, usted puede disminuir el valor de la vida útil de CRL o configurar el servidor OCSP para no ocultar el CRL. Para más información, verifique la documentación de su servidor OCSP. Cuándo utilizar un servidor OCSP OCSP puede ser más apropiado que los CRL si su PKI tiene siguientes características unas de los: • El estatus en tiempo real de la revocación de certificado es necesario. Los CRL se ponen al día solamente periódicamente y el último CRL no se puede ocultar siempre por el dispositivo del cliente. Por ejemplo, si un cliente todavía no tiene el último CRL ocultado y un certificado nuevamente revocado se está marcando, que revocaron el certificado pasarán con éxito el control de la revocación. • Hay un gran número de Certificados revocados o de CRL múltiples. El almacenamiento en memoria inmediata de un CRL grande consume las porciones grandes de memoria del Cisco IOS y puede reducir los recursos disponibles a otros
procesos. •
Los CRL expiran con frecuencia, haciendo el CDP manejar una carga más grande de los CRL.
Observea partir del Cisco IOS Release 12.4(9)T o Posterior, un administrador puede configurar el CRL que oculta, inhabilitando el CRL que oculta totalmente o que fija un curso de la vida máximo para un CRL ocultado por el trustpoint.
Cuándo Utilizar los ACLs Basados en Certificados para Autorización o Revocación Los Certificados contienen varios campos que se utilicen para determinar si autorizan un dispositivo o a un usuario para realizar una acción especificada. Porque los ACL basados en el certificado se configuran en el dispositivo, no escalan bien para un gran número de ACL; sin embargo, los ACL basados en el certificado proporcionan el control muy granular del comportamiento específico del dispositivo. Los ACL basados en el certificado también leveraged por las características adicionales para ayudar a determinar cuando los componentes PKI tales como revocación, autorización, o un trustpoint deben ser utilizados. Proporcionan un mecanismo general permitiendo que los usuarios seleccionen un certificado específico o un grupo de Certificados que se estén validando para la autorización o el proceso adicional. Los ACL basados en el certificado especifican uno o más campos dentro del certificado y un valor aceptable para cada campo especificado. Usted puede especificar qué campos dentro de un certificado deben ser marcados y qué valores pueden o no pueden tener esos campos. Hay seis pruebas lógicas para comparar el campo con el valor — el igual, no iguala, contiene, no contiene, menos que, y mayor que o igual. Si más de un campo se especifica dentro de un solo ACL basado en el certificado, las pruebas de todos los campos dentro del ACL deben tener éxito para hacer juego el ACL. El mismo campo se puede especificar las épocas múltiples dentro del mismo ACL. Más de un ACL puede ser especificado, y el ACL será procesado a su vez hasta que se encuentre una coincidencia o se han procesado todos los ACL.
Omitir las Verificaciones de Revocación Utilizando una ACL Basada en Certificados Los ACL basados en el certificado se pueden configurar para dar instrucciones a su router para ignorar el control de la revocación y los certificados vencidos de un peer válido. Así, un certificado que cumple los criterios especificados se puede validar sin importar el período de validez del certificado, o si el certificado cumple los criterios especificados, el marcar de la revocación no tiene que ser realizado. Usted puede también utilizar un ACL basado en el certificado para ignorar el control de la revocación cuando la comunicación con un servidor de AAA se protege con un certificado. Negligencia de las listas de revocación Para permitir que un trustpoint haga cumplir CRLs a excepción de los Certificados específicos, ingrese match certificate el comando con skip revocation-check la palabra clave. Este tipo de aplicación es el más útil de una configuración de red radial en la cual usted también quiera permitir las conexiones directas del spoke al spoke. En las configuraciones de red radiales puras, todo el spokes conecta solamente con el concentrador, así que la verificación de CRL es necesaria solamente en el concentrador. Para uno habló para comunicar directamente con otro spoke, match certificate el comando con skip revocation-check la palabra clave puede ser utilizado para los Certificados del peer vecino en vez de requerir un CRL en cada spoke. Negligencia de los certificados vencidos Para configurar a su router para ignorar los certificados vencidos, ingrese match certificate el comando con allow expiredcertificate la palabra clave. Este comando tiene los propósitos siguientes: • Si ha expirado el certificado de un par, este comando se puede utilizar “permite” el certificado vencido hasta que el par pueda obtener un nuevo certificado. • Si su reloj del router todavía no se ha fijado a la hora correcta, el certificado de un par aparecerá ser no todavía válido hasta que se fije el reloj. Este comando se puede utilizar para permitir el certificado del par aunque su reloj del router no se fija.
Nota • Si el Network Time Protocol (NTP) está disponible solamente vía conexión IPSec (generalmente vía el concentrador en una configuración de red radial), el reloj del router puede nunca ser fijado. El túnel al concentrador no se puede “traer para arriba” porque el certificado del concentrador no es todavía válido. • “Expiró” es un término genérico para un certificado se expira que o que no es todavía válido. El certificado tiene un rato del comienzo y del final. Un certificado vencido, con objeto del ACL, es uno para el cual la hora actual del router es fuera de los tiempos del comienzo y del final especificados en el certificado. Saltar el control AAA del certificado Si la comunicación con un servidor de AAA se protege con un certificado, y usted quiere saltar el control AAA del certificado, utilice match certificate el comando con skip authorization-check la palabra clave. Por ejemplo, si se configura un túnel del Red privada virtual (VPN) de modo que todo el tráfico AAA pase ese túnel, y el túnel se protege con un certificado, usted puede utilizar match certificate el comando con skip authorization-check la palabra clave de saltar el control del certificado para poder establecer el túnel. match certificate El comando y skip authorization-check la palabra clave deben ser configurados después de que la integración PKI con un servidor de AAA se configure.
Observesi el servidor de AAA está disponible solamente vía conexión IPSec, el servidor de AAA no puede ser entrado en contacto hasta después de que conexión IPSec se establezca. Conexión IPSec no puede “ser traído para arriba” porque el certificado del servidor de AAA no es todavía válido.
Validación de la Cadena de Certificados PKI Una Cadena de certificados establece una secuencia de certificados confiables — de un certificado de peer al certificado raíz CA. Dentro de una jerarquía PKI, todos los pares alistados pueden validar el certificado de uno otro si los pares comparten un certificado de CA o a un subordinado CA de la Raíz confiable del campo común. Cada CA corresponde a un punto de confianza. Cuando una Cadena de certificados se recibe de un par, el proceso predeterminado de una trayectoria de la Cadena de certificados continúa hasta el primer certificado confiable, o se alcanza el trustpoint. En las versiones del Cisco IOS Release 12.4(6)T y Posterior, un administrador puede configurar el nivel al cual una Cadena de certificados se procesa en todos los Certificados incluyendo los Certificados de CA del subordinado. Configurar el nivel al cual se procesa una Cadena de certificados permite el reauthentication de los certificados confiables, la extensión de un encadenamiento de certificado confiable, y la realización de una Cadena de certificados que contenga un intervalo. Reauthentication de los certificados confiables El comportamiento predeterminado está para que el router quite cualquier certificado confiable de la Cadena de certificados enviada por el par antes de que se valide el encadenamiento. Un administrador puede configurar la trayectoria de la Cadena de certificados que procesa de modo que el router no quite los Certificados CA que se confían en ya antes de la validación de cadena, para reautentificar todos los Certificados en el encadenamiento para la sesión en curso. Extender el encadenamiento de certificado confiable El comportamiento predeterminado está para que el router utilice sus certificados confiables para ampliar la Cadena de certificados si hay algunos Certificados que falta en la Cadena de certificados enviada por el par. El router validará solamente los Certificados en el encadenamiento enviado por el par. Un administrador puede configurar la trayectoria de la Cadena de certificados que procesa para validar los Certificados en la Cadena de certificados del par y los certificados confiables del router a una punta especificada. Completar los intervalos en una Cadena de certificados Un administrador puede configurar la Cadena de certificados que procesa para si hay un intervalo en la jerarquía configurada del trustpoint del Cisco IOS, poder utilizar los Certificados enviados por el par para completar el conjunto de los Certificados que se validarán.
Observesi el trustpoint se configura para requerir la validación del padre y el par no proporciona la Cadena de certificados llena, el intervalo no puede ser completado y la Cadena de certificados es rechazada e inválida.
Notaes un Error de configuración si el trustpoint se configura para requerir la validación del padre y no hay trustpoint del padre configurado. El intervalo resultante de la Cadena de certificados no puede ser completado y el certificado de CA subordinado no puede ser validado. La Cadena de certificados es inválida.
Soporte de gran disponibilidad El soporte de gran disponibilidad para el servidor de certificados se proporciona por: •
La sincronización revoca los comandos con el servidor de certificados espera
•
Envío de los comandos serial-number cuando se publican los nuevos Certificados
Significa que el servidor de certificados espera está listo para publicar los Certificados y los Lista de revocación de certificados (CRL) (CRL) si llega a ser activo. El soporte de gran disponibilidad adicional es proporcionado por las sincronizaciones siguientes del recurso seguro: •
Configuración de servidor de certificados
•
Hasta que finalicen las peticiones
•
Grant y comandos reject
• Para la Alta disponibilidad del cuadro-a-cuadro, que no soporta la sincronización de la configuración, un mecanismo de sincronización de la configuración básica se acoda sobre un recurso de la Redundancia. •
Soporte de la sincronización de la configuración del trustpoint.
Cómo configurar la Autorización y Revocación de Certificados para su PKI Esta sección contiene los siguientes procedimientos: •
Configurando la integración PKI con un servidor de AAA (requerido)
•
Configurando un mecanismo de la revocación para marcar del estatus del certificado PKI (requerido)
•
Configurando las configuraciones de la autorización y de la revocación del certificado (requeridas)
•
Configurando la validación de la Cadena de certificados (requerida)
•
Configurar los servidores de certificados para la Alta disponibilidad
Configuración de PKI Integration with a AAA Server Realice esta tarea de generar un nombre de usuario AAA del certificado presentado por el par y de especificar qué campos dentro de un certificado se deben utilizar para construir el nombre de usuario de las bases de datos de AAA.
Restricciones al usar los asuntos enteros para la autorización PKI Las restricciones siguientes deben ser consideradas al usar all la palabra clave como los asuntos para authorization usernameel comando: • Algunos servidores de AAA limitan la longitud del nombre de usuario (por ejemplo, a 64 caracteres). Como consecuencia, los asuntos enteros del certificado no pueden ser más largos que la limitación del servidor. • Algunos servidores de AAA limitan el juego de caracteres disponible que se puede utilizar para el nombre de usuario (por ejemplo, un [] del espacio y un [=] del signo igual pueden no ser aceptables). Usted no puede utilizar all la palabra clave para un servidor de AAA que tiene tal limitación del juego de caracteres. • subject-name El comando en la configuración del trustpoint puede siempre no ser los asuntos finales AAA. Si el nombre de dominio completo (FQDN), el número de serie, o la dirección IP del router se incluyen en un pedido de certificado, el campo de asuntos del certificado publicado también tendrá estos componentes. Para apagar los componentes, utilice fqdn serial-number, y ip-address los comandos con none la palabra clave. • Los servidores de CA cambian a veces el campo de asuntos pedido cuando publican un certificado. Por ejemplo, los servidores de CA de algunos vendedores conmutan los nombres distintivos relativos (RDN) en los asuntos pedidos al siguiente orden: CN, OU, O, L, ST, y C. Sin embargo, otro servidor de CA pudo añadir la raíz configurada del directorio LDAP al final del fichero (por ejemplo, o=cisco.com) al final de los asuntos pedidos. • Dependiendo de las herramientas que usted elige para visualizar un certificado, la orden impresa de los RDN en los asuntos podría ser diferente. El Cisco IOS Software visualiza siempre el menos RDN significativo primero, pero el otro software, tal como código abierto Secure Socket Layer (OpenSSL), hace el contrario. Por lo tanto, si usted está configurando un servidor de AAA con un Nombre distintivo (DN) completo (asuntos) como el nombre de usuario correspondiente, asegúrese de que el estilo del Cisco IOS Software (es decir, con el menos RDN significativo primero) esté utilizado. PASOS SUMARIOS 1. enable 2. configure terminal 3. aaa new-model 4. aaa authorization network listname[]method 5. crypto pki trustpoint nombre 6. enrollment url URL 7. revocation-check method 8. exit 9. authorization username {subjectname subjectname} 10. authorization list listname 11 tacacs-server host hostname[]key string o radius-server host hostname []key string PASOS DETALLADOS
Comando o acción
Propósito
Paso enable 1
Habilita el modo EXEC privilegiado.
Paso configure terminal 2
Ingresa en el modo de configuración global.
Paso aaa new-model 3
Habilita el modelo del control de acceso AAA.
Example: Router> enable
Example: Router# configure terminal Example: Router(config)# aaa new-model
• Ingrese su contraseña si se le pide que lo haga.
Paso aaa authorization network listname Fija los parámetros que restringen el [method] 4 acceso del usuario a una red. Example: Router (config)# aaa authorization
• method — Puede ser group radius group tacacs+, o group
network maxaaa group tacacs+
group-name.
Paso crypto pki trustpoint name 5
Declara el punto de confianza y un nombre determinado e ingresa al modo de configuración de ca-trustpoint.
Paso enrollment url url 6
Especifica los parámetros de inscripción de su CA.
Example: Route (config)# crypto pki trustpoint msca
Example: Router (ca-trustpoint)# enrollment url http://caserver.myexample.com
• El argumento URL es el URL de CA a las cuales su router debe enviar los pedidos de certificado.
Paso revocation-check method 7
(Opcional) marca el estado de anulación de un certificado.
Paso exit 8
Sale del modo de configuración de CAtrustpoint y vuelve al modo de configuración global.
Paso authorization username { subjectname subjectname} 9
Fija los parámetros para los diversos campos del certificado que se utilizan para construir el nombre de usuario AAA.
Example: Router (catrustpoint)# revocation-check crl Example: Router (ca-trustpoint)# exit
Example: Router (config)# authorization username subjectname serialnumber
subjectname El argumento puede ser siguiente un de los: • all — Nombre distintivo entero (asuntos) del certificado. • commonname — Common Name de la certificación. • country — País del certificado. • email — Email del certificado. • ipaddress — Dirección IP del certificado. • locality — Lugar del certificado. • organization — Organización del certificado. • organizationalunit — Unidad organizativa del certificado. • postalcode — Código postal del certificado. • serialnumber — Número de serie del certificado. • state — Campo de estado del certificado. • streetaddress — Dirección de la calle del certificado. •
title — Título del certificado.
• unstructuredname — Nombre no estructurado del certificado. Paso authorization list listname 10
Especifica la lista de la autorización AAA.
Paso tacacs-server host hostname [key string] 11
Especifica un host TACACS+.
Example: Route (config)# authorization list maxaaa
o
Example: Router(config)# tacacs-server host Especifica un host RADIUS. 192.0.2.2 key a_secret_key
o radius-server host hostname [key string] Example: Router(config)# radius-server host 192.0.2.1 key another_secret_key
Consejos de Troubleshooting Para visualizar los mensajes del debug para la traza de la interacción (Tipo de mensaje) entre CA y el router, utilice debug crypto pki transactions el comando. (Véase la salida de muestra, que muestra una integración acertada PKI con el intercambio del servidor de AAA y una integración fallada PKI con el intercambio del servidor de AAA.) Intercambio satisfactorio Router# debug crypto pki transactions
Apr 22 23:15:03.695: CRYPTO_PKI: Found a issuer match Apr 22 23:15:03.955: CRYPTO_PKI: cert revocation status unknown. Apr 22 23:15:03.955: CRYPTO_PKI: Certificate validated without revocation check
Cada línea que muestra “CRYPTO_PKI_AAA” indica el estado de los controles de autorización AAA. Cada uno de las pares AV AAA se indica, y entonces los resultados de la comprobación de autorización se muestran. Apr 22 23:15:04.019: CRYPTO_PKI_AAA: checking AAA authorization (ipsecca_script_aaalist, PKIAAA-L, ) Apr 22 23:15:04.503: CRYPTO_PKI_AAA: reply attribute ("cert-application" = "all") Apr 22 23:15:04.503: CRYPTO_PKI_AAA: reply attribute ("cert-trustpoint" = "CA1") Apr 22 23:15:04.503: CRYPTO_PKI_AAA: reply attribute ("cert-serial" = "15DE") Apr 22 23:15:04.503: CRYPTO_PKI_AAA: authorization passed Apr 22 23:12:30.327: CRYPTO_PKI: Found a issuer match
Intercambio fallado Router# debug crypto pki transactions
Apr 22 23:11:13.703: CRYPTO_PKI_AAA: checking AAA authorization = Apr 22 23:11:14.203: CRYPTO_PKI_AAA: reply attribute ("cert-application" = "all") Apr 22 23:11:14.203: CRYPTO_PKI_AAA: reply attribute ("cert-trustpoint"= "CA1") Apr 22 23:11:14.203: CRYPTO_PKI_AAA: reply attribute ("cert-serial" = "233D") Apr 22 23:11:14.203: CRYPTO_PKI_AAA: parsed cert-lifetime-end as: 21:30:00 Apr 22 23:11:14.203: CRYPTO_PKI_AAA: timezone specific extended Apr 22 23:11:14.203: CRYPTO_PKI_AAA: cert-lifetime-end is expired Apr 22 23:11:14.203: CRYPTO_PKI_AAA: cert-lifetime-end check failed. Apr 22 23:11:14.203: CRYPTO_PKI_AAA: authorization failed
En el intercambio arriba fallado, el certificado ha expirado.
Configuración de un Mecanismo de Revocación para la Verificación del Estado del Certificado PKI Realice esta tarea de configurar un CRL como el mecanismo de la revocación de certificado — los CRL u OCSP — que se utilizan para marcar el estatus de los Certificados en un PKI.
El comando de revocación-control Utilice revocation-checkel comando de especificar por lo menos un método (OCSP, CRL, o saltan el control de la revocación) que deba ser utilizado para asegurarse de que el certificado de un par no se ha revocado. Para los métodos múltiples, la orden en la cual los métodos son aplicados es determinada por la orden especificada vía este comando. Si su router no tiene el CRL aplicable y no puede obtener uno o si el servidor OCSP vuelve un error, su router rechazará el certificado del par — a menos que usted incluya none la palabra clave en su configuración. Si none se configura la palabra clave, un control de la revocación no será realizado y el certificado será validado siempre.
Nonces y comunicaciones del par con los servidores OCSP Al usar OCSP, el nonces, los Identificadores únicos para OCSP piden, se envía por abandono durante las comunicaciones del par con su servidor OCSP. El uso del nonces ofrece un canal más seguro y comunicaciones confiables entre el par y el servidor OCSP. Si su servidor OCSP no soporta el nonces, usted puede inhabilitar el envío del nonces. Para más información, verifique la documentación de su servidor OCSP.
Prerrequisitos • Antes de publicar cualesquiera certificados del cliente, las configuraciones apropiadas en el servidor (tal como determinación del CDP) deben ser configuradas. • Al configurar un servidor OCSP para volver el estado de anulación para un servidor de CA, el servidor OCSP se debe configurar con un certificado de firma de la respuesta OCSP que sea publicado por ese servidor de CA. Asegúrese de que el certificado de firma esté en el formato correcto, o el router no validará la respuesta OCSP. Vea su manual OCSP para la información adicional.
Restricciones •
OCSP transporta los mensajes sobre el HTTP, tan allí puede ser un retardo en que usted accede el servidor OCSP.
• Si el servidor OCSP depende del CRL normal que procesa para marcar el estado de anulación, el mismo retardo que afecta a los CRL también se aplicará a OCSP. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto pki trustpoint name 4. ocsp url url 5. revocation-checkmethod1[[]method2 method3] 6. ocsp disable-nonce 7. exit 8. exit 9. show crypto pki certificates 10. show crypto pki trustpoints[status | label []status] PASOS DETALLADOS
Comando o acción Paso enable 1
Example: Router> enable
Propósito Habilita el modo EXEC privilegiado. • Ingrese su contraseña si se le pide que lo haga.
Paso configure terminal 2
Ingresa en el modo de configuración global.
Paso crypto pki trustpoint name 3
Declara el punto de confianza y un nombre determinado e ingresa al modo de configuración de ca-trustpoint.
Example: Router# configure terminal Example: Router(config)# crypto pki trustpoint hazel
Paso ocsp url url 4
(Opcional) especifica el URL de un servidor OCSP de modo que el trustpoint pueda marcar el estatus Example: Router(ca-trustpoint)# ocsp del certificado. Este URL reemplazará el URL del
url http://ocsp-server
Paso revocation-check method1 [ method2 [method3]] 5
servidor OCSP (si existe uno) en la extensión del acceso a la información de la autoridad (AYA) del certificado. Verifica el estado de revocación de un certificado. • crl — El marcar del certificado es realizado por un CRL. Ésta es la opción predeterminada.
Example: Router(catrustpoint)# revocationcheck ocsp none
• none — Se ignora el marcar del certificado. • ocsp — El marcar del certificado es realizado por un servidor OCSP. Si se especifica un segundo y tercer método, cada método será utilizado solamente si el método anterior vuelve un error, tal como un servidor que está abajo.
Paso ocsp disable-nonce 6
(Opcional) especifica que un nonce, o un Identificador único de la petición OCSP, no será Example: Router(ca-trustpoint)# ocsp enviado durante las comunicaciones del par con el servidor OCSP. disable-nonce
Paso exit 7
Vuelve al modo de configuración global.
Paso exit 8
Vuelve al modo EXEC privilegiado.
Paso show crypto pki certificates 9
(Opcional) visualiza la información sobre sus Certificados.
Example: Router(ca-trustpoint)# exit Example: Router(config)# exit
Example: Router# show crypto pki certificates
Paso show crypto pki trustpoints Visualiza la información sobre el trustpoint [status | label [status]] 10 configurado en el router. Example: Router# show crypto pki trustpoints
Configuración de la Autorización y Revocación de Certificados Realice esta tarea de especificar un ACL basado en el certificado, de ignorar los controles de la revocación o los certificados vencidos, de reemplazar manualmente la ubicación del valor por defecto CDP, para reemplazar manualmente el servidor establezca OCSP, para configurar el CRL que oculta, o para fijar la aceptación o el rechazo de la sesión basado en un número de serie del certificado, como apropiado.
Configuración de ACLs Basadas en Certificados para Ignorar las Verificaciones de Revocación Para configurar a su router para utilizar los ACL basados en el certificado para ignorar los controles y los certificados vencidos de la revocación, realice los pasos siguientes: • Identifique un trustpoint existente o cree un nuevo trustpoint que se utilizará al verificar el certificado del par. Autentique el trustpoint si no se ha autenticado ya. El router puede alistar con este trustpoint si usted quiere. No fije los CRL opcionales para el trustpoint si usted planea utilizar match certificate el comando y skip revocation-check la palabra clave. • Determine las características únicas de los Certificados que no deben tener su CRL marcado y de los certificados vencidos que deben ser permitidos. •
Defina una correspondencia del certificado para hacer juego las características identificadas en el paso previo.
• Usted puede agregar match certificate el comando y skip revocation-check la palabra clave y match certificate command y allow expired-certificate la palabra clave al trustpoint que fue creada o identificada en el primer paso.
Se marcanlas correspondencias del certificado de la nota incluso si se oculta el clave pública del par. Por ejemplo, cuando el clave pública es ocultado por el par, y una correspondencia del certificado se agrega al trustpoint para prohibir un certificado, la correspondencia del certificado es eficaz. Esto evita que un cliente con el certificado prohibido, que fue conectado una vez en el pasado, vuelva a conectar.
Invalidación Manual de CDPs en un Certificado Los usuarios pueden reemplazar los CDP en un certificado con un CDP manualmente configurado. La anulación manual de CDP en un certificado puede ser ventajosa cuando un servidor determinado no está disponibles durante un largo período de
tiempo. Los CDPs del certificado se pueden sustituir por una URL o especificación del directorio sin volver a emitir todos los certificados que contengan el CDP original.
Manualmente reemplazar el servidor establezca OCSP en un certificado Los administradores pueden reemplazar el servidor establezca OCSP especificado en el campo del acceso a la información de la autoridad (AYA) del certificado del cliente o fijar por la publicación ocsp url del comando. Uno o más servidores OCSP se pueden especificar manualmente, por el certificado del cliente o por el grupo de certificados del cliente por match certificate override ocsp el comando. match certificate override ocsp El comando reemplaza el campo de AYA del certificado del cliente o ocsp url la configuración de comandos si un certificado del cliente se corresponde con con éxito a una correspondencia del certificado durante el control de la revocación.
La notasolamente un servidor OCSP se puede especificar por el certificado del cliente.
Configuración del Control de la Memoria Caché de CRL De forma predeterminada, se descargará un nuevo CRL después de que expire el CRL almacenado en la memoria caché actualmente. Los administradores pueden configurar la cantidad máxima de tiempo en anotan un CRL permanecen en el caché publicando crl cache delete-after el comando o la neutralización CRL que oculta publicando crl cache none el comando. Solamente crl-cache delete-after el comando o crl-cache none el comando puede ser especificado. Si ingresan a los comandos both para un trustpoint, el comando más reciente ejecutado tomará el efecto y un mensaje será visualizado. Ni crl-cache none el comando ni crl-cache delete-after el comando afecta al CRL actualmente ocultado. Si usted configura crl-cache none el comando, todos los CRL descargados después de que se publique este comando no serán ocultados. Si usted configura crl-cache delete-after el comando, el curso de la vida configurado afectará solamente a los CRL descargados después de que se publique este comando. Estas funciones son útiles son cuando CA publica los CRL sin la fecha de vencimiento o con los días o las semanas de las fechas de vencimiento a continuación.
Configuración del Control de Sesión del Número de Serie del Certificado Un número de serie del certificado se puede especificar para permitir que una petición de la validación de certificado sea validada o rechaza el trustpoint para una sesión. Una sesión se puede rechazar, dependiendo del control de sesión del número de serie del certificado, incluso si un certificado es todavía válido. El control de sesión del número de serie del certificado se puede configurar usando una correspondencia del certificado con serial-number el campo o un atributo AAA, con cert-serialnot el comando. Usando las correspondencias del certificado para el control de sesión permite que un administrador especifique un solo número de serie del certificado. Usando el atributo AAA permite que un administrador especifique uno o más números de serie del certificado para el control de sesión.
Prerrequisitos •
El trustpoint debe ser definido y ser autenticado antes de asociar las correspondencias del certificado al trustpoint.
• La correspondencia del certificado debe ser configurada antes de que la característica de la invalidación CDP pueda ser habilitada oserial-number se publica el comando. • La integración PKI y del servidor de AAA se debe completar con éxito para utilizar los atributos AAA según lo descrito en el “PKI y la integración del servidor de AAA para el estatus del certificado.” PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto pki certificate map label sequence-number 4. field-name match-criteria match-value 5. exit 6. crypto pki trustpoint name 7. crl-cache none o crl-cache delete-after time 8. match certificatecertificate-map-label [allow expired-certificate | skip revocation-check | skip authorization-check] 9. match certificate certificate-map-label invalidación cdp {url | directory} string 10. match certificate certificate-map-label[]del ocsp de la invalidacióntrustpoint trustpoint-label sequence-number url ocsp-url 11. exit 12. aaa new-model 13. aaa attribute list list-name 14. attribute type {name} {label}
15. exit 16. exit 17. show crypto pki certificates PASOS DETALLADOS Paso 1
Comando o acción
Propósito
enable
Habilita el modo EXEC privilegiado.
Example: Router> enable
Paso 2
configure terminal
• Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global.
Example: Router# configure terminal
Paso 3
crypto pki certificate map Define los valores en un certificado que deba ser label sequence-number correspondido con o no ser correspondido con y
ingresa al modo de configuración del CaExample: Router(config)# crypto pki certificado-mapa. certificate map Group 10 Paso 4
field-name match-criteria match-value Example: Router(ca-certificatemap)# subject-name co MyExample
Especifica uno o más campos del certificado así como sus criterios concordantes y el valor para hacer juego. field-name Es uno de los names string sin diferenciación entre mayúsculas y minúsculas siguientes o de una fecha: •
alt-subject-name
•
expires-on
•
issuer-name
•
name
•
número de serie
•
subject-name
•
unstructured-subject-name
•
valid-start El formato de campode la fecha de la nota es hh del yyyy DD milímetro: milímetro: ss o mmm hh del yyyy DD: milímetro: ss.
match-criteria Es uno de los operadores lógicos siguientes: • co — contiene (válido solamente para los campos de nombre y el campo del número de serie) • eq — igual (válido para el nombre, el número de serie, y los campos de la fecha) • ge — mayor que o igual (válido solamente para los campos de la fecha) • lt — menos que (válido solamente para los campos de la fecha) • nc — no contiene (válido solamente para los campos de nombre y el campo del número de serie) • ne — no igual (válido para el nombre, el número de serie, y los campos de la fecha) match-value Es el nombre o la fecha a probar con el operador lógico asignado por los criterios de concordancia. Observeel uso este comando solamente al configurar un ACL basado en el certificado — no al configurar un ACL basado en el certificado para ignorar los controles o los certificados vencidos de la revocación. Paso 5
exit
Vuelve al modo de configuración global.
Example: Router(ca-certificatemap)# exit
Paso 6
crypto pki trustpoint name Declara el trustpoint, nombre determinado y
Paso 7
crl-cache none
ingresa al modo de configuración del CaExample: Router(config)# crypto pki trustpoint. trustpoint Access2 Example: Router(catrustpoint)# crl-cache none
o
crl-cache delete-after time Example: Router(catrustpoint)# crl-cache delete-after 20
Paso 8
match certificate certificate-map-label [ allow expired-certificate | skip revocation-check | skip authorization-check] Example: Router(catrustpoint)# match certificate Group skip revocation-check
(Opcional) inhabilita el CRL que oculta totalmente para todos los CRL asociados al trustpoint. crl-cache none El comando no afecta a ninguna CRL actualmente ocultada. Todos los CRL descargados después de que se configure este comando no serán ocultados. (Opcional) especifica el tiempo máximo CRL permanecerá en el caché para todos los CRL asociados al trustpoint. • time — La cantidad de tiempo en los minutos antes del CRL se borra. crl-cache delete-after El comando no afecta a ninguna CRL actualmente ocultada. El curso de la vida configurado afectará solamente a los CRL descargados después de que se configure este comando.
(Opcional) asocia el ACL basado en el certificado (que fue definido vía crypto pki certificate map el comando) a un trustpoint. • certificate-map-label — Debe hacer juego label el argumento especificado vía crypto pki certificate map el comando. • allow expired-certificate — Ignora los certificados vencidos. • skip revocation-check — Permite que un trustpoint aplique los CRL a excepción de los Certificados específicos. • skip authorization-check — Salta el control AAA de un certificado cuando la integración PKI con un servidor de AAA se configura.
Paso 9
match certificate certificate-map-label override cdp {url | directory} string Example: Router(catrustpoint)# match certificate Group1 override cdp url http://server.cisco.com
(Opcional) reemplaza manualmente las entradas CDP existentes para un certificado con una especificación URL o del directorio. • certificate-map-label — Una escritura de la etiqueta definida por el usuario que debe hacer juego label el argumento especificado en un comando previamente crypto pki certificate map definido. • url — Especifica que los CDP del certificado serán reemplazados con un HTTP o un LDAP URL. • directory — Especifica que los CDP del certificado serán reemplazados con una especificación del directorio LDAP. • string — La especificación URL o del directorio. Observealgunas aplicaciones puede medir el tiempo hacia fuera antes de que todos los CDP se hayan intentado y señalen un mensaje de error. El mensaje de error no afectará al router, y el Cisco IOS Software continuará intentando extraer un CRL hasta que se hayan intentado todos los CDP.
Paso 10 match certificate
(Opcional) especifica un servidor OCSP, por el
certificate-map-label override ocsp [trustpoint trustpoint-label] sequence-number url ocspurl
Example: Router(catrustpoint)# match certificate mycertmapname override ocsp trustpoint mytp 15 url http://192.0.2.2
certificado del cliente o por el grupo de certificados del cliente, y puede ser publicado más de una vez para especificar los servidores OCSP y las configuraciones adicionales del certificado del cliente incluyendo las jerarquías alternativas PKI. • certificate-map-label — El nombre de una correspondencia del certificado existente. • trustpoint — El trustpoint que se utilizará al validar el certificado de servidor OCSP. • sequence-number — La orden que match certificate override ocsp los enunciados de comando se aplican al certificado que es verificado. Las coincidencias se realizan del número de secuencia más bajo al número de secuencia más alto. Si más de un comando se publica con el mismo número de secuencia, sobregraba la configuración de anulación anterior del servidor OCSP. •
url — El URL del servidor OCSP.
Cuando el certificado hace juego una correspondencia configurada del certificado, el campo de AYA del certificado del cliente y cualquier configuración de comandos previamente ocsp url publicada están sobregrabados con el servidor especificado OCSP. Si ocurre ninguna coincidencia de la correspondencia basada, uno de los dos casos siguientes continuará aplicándose al certificado del cliente. • Si OCSP se especifica como el método de la revocación, el valor de campo de AYA continuará aplicándose al certificado del cliente. • Si ocsp url existe la configuración, ocsp url los valores de configuración continuarán aplicándose a los certificados del cliente. Paso 11 exit
Vuelve al modo de configuración global.
Example: Router(catrustpoint)# exit
Paso 12 aaa new-model Example: Router(config)# aaa newmodel
Paso 13 aaa attribute list listname
Example: Router(config)# aaa attribute list crl
Paso 14 attribute type {name}{ value}
Example: Router(config-attrlist)# attribute type cert-serial-not 6C4A
(Opcional) habilita el modelo del control de acceso AAA.
(Opcional) define una lista de atribución AAA localmente en un router y ingresa al modo de configuración de la config-attr-lista.
(Opcional) define un tipo del atributo AAA que deba ser agregado a una lista de atribución AAA localmente en un router. Para configurar el control de sesión del número de serie del certificado, un administrador puede especificar un certificado específico en value el campo que se validará o rechazado basado en su número de serie al donde name se fija certserial-not. Si el número de serie del certificado hace juego el número de serie especificado por la configuración de tipo del atributo, el certificado será rechazado. Para una lista completa de tipos disponibles del atributo AAA, ejecute show aaa attributes el comando.
Paso 15 exit
Vuelve al modo de configuración global.
Example: Router(catrustpoint)# exit Example: Router(config-attrlist)# exit
Paso 16 exit
Vuelve al modo EXEC privilegiado.
Example: Router(config)# exit
Paso 17 show crypto pki certificates
Example: Router# show crypto pki certificates
(Opcional) visualiza los componentes de los Certificados instalados en el router si se ha autenticado el certificado de CA.
Ejemplos Lo que sigue es un ejemplo de certificado. Las Extensiones OCSP-relacionadas se muestran usando los signos de exclamación. Certificate: Data: Version: v3 Serial Number:0x14 Signature Algorithm:MD5withRSA - 1.2.840.113549.1.1.4 Issuer:CN=CA server,OU=PKI,O=Cisco Systems Validity: Not Before:Thursday, August 8, 2002 4:38:05 PM PST Not After:Tuesday, August 7, 2003 4:38:05 PM PST Subject:CN=OCSP server,OU=PKI,O=Cisco Systems Subject Public Key Info: Algorithm:RSA - 1.2.840.113549.1.1.1 Public Key: Exponent:65537 Public Key Modulus:(1024 bits) :
Extensions: Identifier:Subject Key Identifier - 2.5.29.14 Critical:no Key Identifier: Identifier:Authority Key Identifier - 2.5.29.35 Critical:no Key Identifier:
!
Identifier:OCSP NoCheck:- 1.3.6.1.5.5.7.48.1.5 Critical:no Identifier:Extended Key Usage:- 2.5.29.37 Critical:no Extended Key Usage: OCSPSigning
! Identifier:CRL Distribution Points - 2.5.29.31 Critical:no Number of Points:1 Point 0 Distribution Point: [URIName:ldap://CA-server/CN=CA server,OU=PKI,O=Cisco Systems] Signature: Algorithm:MD5withRSA - 1.2.840.113549.1.1.4 Signature:
El siguiente ejemplo muestra un extracto del resultado de la configuración corriente al agregarmatch certificate override ocsp un comando al principio de una secuencia existente: match certificate map3 override ocsp 5 url http://192.0.2.3/ show running-configuration . . . match certificate map3 override ocsp 5 url http://192.0.2.3/ match certificate map1 override ocsp 10 url http://192.0.2.1/ match certificate map2 override ocsp 15 url http://192.0.2.2/
El siguiente ejemplo muestra un extracto del resultado de la configuración corriente cuando se substituyematch certificate override ocspun comando existente y un trustpoint se especifica para utilizar una jerarquía de la alternativa PKI:
match certificate map4 override ocsp trustpoint tp4 10 url http://192.0.2.4/newvalue show running-configuration . .
. match certificate map3 override ocsp trustpoint tp3 5 url http://192.0.2.3/ match certificate map1 override ocsp trustpoint tp1 10 url http://192.0.2.1/ match certificate map4 override ocsp trustpoint tp4 10 url http://192.0.2.4/newvalue match certificate map2 override ocsp trustpoint tp2 15 url http://192.0.2.2/
Consejos de Troubleshooting Si usted ignoró el control o los certificados vencidos de la revocación, usted debe marcar cuidadosamente su configuración. Verifique que la correspondencia del certificado haga juego correctamente el certificado o los Certificados que deben ser permitidos o los controles AAA que debe ser saltado. En un entorno controlado, intente modificar la correspondencia del certificado y determine qué no está trabajando según lo esperado.
Cómo Configurar la Validación de la Cadena de Certificados Realice esta tarea de configurar el nivel de proceso para la trayectoria de la Cadena de certificados de sus certificados de peer.
Prerrequisitos •
El dispositivo se debe alistar en su jerarquía PKI.
•
El par clave apropiado se debe asociar al certificado.
Restricciones •
Un trustpoint se asoció al raíz CA no se puede configurar para ser validado al nivel siguiente.
chain-validation El comando se configura con continue la palabra clave para el trustpoint asociado al raíz CA, un mensaje de error será visualizado y la validación de cadena invertirá a la configuración chain-validation del comando default. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto pki trustpoint name 4. chain-validation [{stop | continue} []parent-trustpoint] 5. exit PASOS DETALLADOS
Comando o acción Paso enable 1
Example: Router> enable
Propósito Habilita el modo EXEC privilegiado. • Ingrese su contraseña si se le pide que lo haga.
Paso configure terminal 2
Ingresa en el modo de configuración global.
Paso crypto pki trustpoint name 3
Declara el punto de confianza y un nombre determinado e ingresa al modo de configuración de ca-trustpoint.
Paso chain-validation [{stop | continue} [parent-trustpoint 4
Configura el nivel al cual una Cadena de certificados se procesa en todos los Certificados incluyendo los Certificados de CA del subordinado.
Example: Router# configure terminal Example: Router(config)# crypto pki trustpoint ca-sub1
]]
Example: Router(ca-trustpoint)# chainvalidation continue ca-sub1
• Utilice stop la palabra clave para especificar que el certificado está confiado en ya. Ésta es la configuración predeterminada. • Utilice continue la palabra clave para especificar que el certificado de CA subordinado asociado al trustpoint debe ser validado.
• parent-trustpoint El argumento especifica el nombre del trustpoint del padre que el certificado se debe validar contra. Paso exit 5
Devoluciones al modo de configuración global
Example: Router(ca-trustpoint)# exit
Configurar los servidores de certificados para la Alta disponibilidad Usted puede configurar los servidores de certificados para sincronizar revoca los comandos y envía los comandos serialnumber cuando se publican los nuevos Certificados, preparando el servidor de certificados espera para publicar los Certificados y los CRL si llega a ser activo.
Prerrequisitos Las condiciones siguientes se deben cumplir para la Alta disponibilidad en los servidores de certificados: •
el SCTP IPSec-asegurado se debe configurar en el active y los routeres en espera.
• Para que la sincronización trabaje, el modo de redundancia en los servidores de certificados debe ser fijado a ACTIVE/STANDBY después de que usted configure el SCTP. Esta sección contiene las siguientes subsecciones: •
Configurando el SCTP en los servidores de certificados activos y espera (requeridos)
•
Fijando al modo de redundancia en los servidores de certificados a ACTIVE/STANDBY (requerido)
•
Sincronizando los servidores de certificados activos y espera (requeridos)
Configurar el SCTP en los servidores de certificados activos y espera Realice esta tarea en el router activo de configurar el SCTP en el servidor de certificados activo y espera. PASOS SUMARIOS 1. configure terminal 2. ipc zone default 3. association association-ID 4. no shutdown 5. protocol sctp 6. local-port local-port-number 7. local-ip device-real-ip-address [device-real-ip-address2] 8. exit 9. puerto remoto remote-port-number 10. remote-ip peer-real-ip-address 11 Relance los pasos 1 a 10 en el router en espera, invirtiendo los IP Addresses del local y de los peeres remotos especificados en los pasos 7 y 10. PASOS DETALLADOS
Comando o acción
Propósito
Paso configure terminal 1
Ingresa en el modo de configuración global.
Paso ipc zone default 2
Configura el Communication Protocol del interdevice, el Inter-Process Communication (IPC), y ingresa al modo de configuración de la zona IPC.
Example: Router# configure terminal Example: Router(config)# ipc zone default
Utilice este comando de iniciar el link de comunicación entre el router activo y el router en espera. Paso association association-ID 3
Configura una asociación entre los dos dispositivos y ingresa al modo de configuración de la asociación IPC.
Paso no shutdown 4
Se asegura de que la asociación del servidor esté en el estado (habilitado) predeterminado.
Example: Router(configipczone)# association 1
Example: Router(config-ipczone-assoc)# no shutdown
Paso protocol sctp 5
Las configuraciones SCTP como el Transport Protocol y ingresan el modo de la configuración del protocolo SCTP.
Paso local-port local-port-number 6
Define el número del puerto local SCTP que se utiliza para comunicar con el par redundante y ingresa el modo de la configuración local del transporte SCTP IPC.
Example: Router(config-ipczoneassoc)# protocol sctp Example: Router(config-ipc-protocolsctp)# local-port 5000
• local-port-number — No hay un valor predeterminado. Este argumento se debe configurar para que el puerto local habilite la Redundancia del interdevice. Valores de puerto válidos: 1 a 65535. El numbershould del puerto local sea lo mismo que el número del puerto remoto en el router del par. Paso local-ip device-real-ipaddress [device-real-ip7 address2]
Example: Router(config-ipc-localsctp)# local-ip 10.0.0.1
Paso exit 8
Example: Router(config-ipc-localsctp)# exit
Define por lo menos un IP Address local que se utilice para comunicar con el par redundante. • Los IP Address locales deben hacer juego los IP Address remotos en el router del par. Puede haber cualquier uno o dos IP Addresses, que deben estar en el VPN Routing and Forwarding global (VRF). Una dirección IP virtual no puede ser utilizada. Transporte de IPC de las salidas - Modo de la configuración local SCTP.
Paso remote-port remote-port-number Define el número del puerto alejado SCTP que 9 se utiliza para comunicar con el par Example: redundante y ingresa el modo de la Router(config-ipc-protocolconfiguración remota del transporte SCTP IPC. sctp)# remote-port 5000 Notaremote-port-number— No hay un valor predeterminado. Este argumento se debe configurar para que el puerto remoto habilite la Redundancia del interdevice. Valores de puerto válidos: 1 a 65535. El número del puerto remoto debe ser lo mismo que el número del puerto local en el router del par. Paso remote-ip peer-real-ip-address Define un IP Address remoto del par 10 redundante que se utiliza para comunicar con Example: el dispositivo local. Router(config-ipc-remotesctp)# remote-ip 10.0.0.2
Todos los IP Address remotos deben referir al mismo dispositivo. Una dirección IP virtual no puede ser utilizada.
Paso Relance los pasos 1 a 10 en el router La dirección IP virtual (10.0.0.3) será lo mismo 11 en espera, invirtiendo los IP en ambo Routers. Addresses del local y de los peeres remotos especificados en los pasos 7 y 10.
Determinación del modo de redundancia en los servidores de certificados a ACTIVE/STANDBY Realice esta tarea en el router activo de habilitar la sincronización fijando al modo de redundancia en los servidores de certificados a ACTIVE/STANDBY. 1. configure terminal 2. redundancy inter-device 3. scheme standby standby-group-name 4. exit 5. interface interface-name 6. ip address ip-address mask
7. no ip route-cache cef 8. no ip route-cache 9. standby ip ip-address 10. standby priority priority 11. standby name group-name 12. standby delay minimum []min-secondsreloaddel []reload-seconds 13. Relance los pasos 1-12 en el router en espera, r, configurando la interfaz con una diversa dirección IP del del router activo (paso 6). 14. exit 15. exit 16. show crypto key mypubkey rsa PASOS DETALLADOS Paso 1
Comando o acción
Propósito
configure terminal
Ingresa en el modo de configuración global.
Example: Router# configure terminal
Paso 2
redundancy inter-device Example: Router(config)# redundancy interdevice
Paso 3
scheme standby standby-group-name Example: Router(config-redinterdevice)# scheme standby SB
Configura la Redundancia y ingresa al modo de configuración del interdevice.
Define el plan de redundancia que debe ser utilizado. • El único esquema soportado es “recurso seguro.” • standby-group-name — Debe hacer juego el nombre espera especificado en standby name el comando interface configuration. También, el nombre espera debe ser lo mismo en ambo Routers.
Paso 4
exit Example: Router(config-redinterdevice)# exit
Paso 5
interface interface-name Example: Router(config)# interface gigabitethernet0/1
Paso 6
ip address ip-address mask
Modo de configuración y devoluciones del interdevice de las salidas al modo de configuración global. Configura un tipo de interfaz para el router y ingresa al modo de configuración de la interfaz. Fija el IP Address local para la interfaz.
Example: Router(config-if) ip address 10.0.0.1 255.255.255.0
Paso 7
no ip route-cache cef Example: Router(config-if)# no ip route cache cef
Paso 8
no ip route-cache Example: Router(config-if)# no ip route cache
Paso 9
standby ip ip-address Example: Router(config-if)# standby ip 10.0.0.3
Paso 10 standby priority priority Example: Router(config-if)# standby priority 50
Operación del Cisco Express Forwarding de las neutralizaciones en la interfaz. Las neutralizaciones ayunan transferencia en la interfaz.
Activa el Hot Standby Router Protocol (HSRP), Observela configuración el mismo direccionamiento en el active y los routeres en espera. Establece la prioridad HSRP a 50. El rango de la prioridad es a partir la 1 a 255, donde 1 denota la prioridad más baja y 255 el más alto. El router en el
grupo del HSRP con el valor más prioritario hace el router activo. Paso 11 standby name group-name Example: Router(config-if)# standby name SB
Configura el nombre del grupo en espera. • El nombre especifica al grupo del HSRP usado. El nombre del grupo del HSRP debe ser único en el router.
Paso 12 standby delay minimum [min-seconds] Fija un retardo para la inicialización del reload [reload-seconds] grupo del HSRP como sigue: • El retraso mínimo después de que la interfaz suba antes de inicializar a los grupos del HSRP es 30 segundos.
Example: Router(config-if)# standby delay minimum 30 reload 60
• El retardo después del router ha recargado es 60 segundos. Paso 13 Relance los pasos 1-12 en el router en — espera, configurando la interfaz con una diversa dirección IP del de la interfaz en el router activo (paso 6). Paso 14 exit Example: Router(config-if)# exit
Paso 15 exit
Vuelve al modo de configuración global. Vuelve al modo EXEC privilegiado.
Example: Router(config)# exit
Paso 16 show redundancy states Example: Router# show redundancy states
(Opcional) verifica al estado de redundancia: recurso seguro o active.
Sincronización de los servidores de certificados activos y espera Realice esta tarea de sincronizar el active y los servidores en espera. PASOS SUMARIOS 1. configure terminal 2. crypto key generate rsa general-keys redundancy label key-label modulus modulus-size 3. exit 4. show crypto key mypubkey rsa 5. configure terminal 6. ip http server 7. crypto pki server cs-label 8. redundancy 9. no shutdown PASOS DETALLADOS
Comando o acción Paso configure terminal 1
Propósito Ingresa en el modo de configuración global.
Example: Router# configure terminal
Paso crypto key generate rsa general- Genera un par clave RSA nombrado HA para keys redundancy label key-label el servidor de certificados. 2 modulus modulus-size
Example: Router (config)# crypto key generate rsa general-keys redundancy label HA modulus 1024
Paso exit 3
Example:
Observeespecificar redundancy la palabra clave significa que las claves serán NON-exportables.
Vuelve al modo EXEC privilegiado.
Router(config)# exit
Paso show crypto key mypubkey rsa 4
Verifica que la Redundancia esté habilitada.
Paso configure terminal 5
Ingresa en el modo de configuración global.
Paso ip http server 6
Habilita el servidor HTTP en su sistema.
Paso crypto pki server cs-label 7
Especifica el par clave RSA generado en el paso 2 como la escritura de la etiqueta para el servidor de certificados.
Paso crypto pki server cs-label redundancy 8
Se asegura de que el servidor esté sincronizado al servidor en espera.
Example: Router# show crypto key mypubkey rsa
Example: Router# configure terminal Example: Router(config)# ip http server Example: Router(config)# crypto pki server HA
Example: Router (config)# redundancy
Paso no shutdown 9
Habilita el servidor de certificados.
Example: Router(cs-server)# no shutdown
Observesi la interfaz del router con el tráfico SCTP no es seguro, usted se asegura de que el tráfico SCTP entre los dispositivos de gran disponibilidad esté asegurado con el IPSec.
Ejemplos de Configuración de la Autorización y Revocación de Certificados Esta sección contiene los ejemplos de configuración siguientes: •
Configuración y Verificación de la Autorización AAA PKI: Ejemplos
•
Configuración de un Mecanismo de Revocación: Ejemplos
•
Configuración de un Router Hub en un Sitio Central para Verificaciones de Revocación de Certificados: Ejemplo:
•
Configuración de la Autorización y Revocación de Certificados: Ejemplos
•
Cómo Configurar la Validación de la Cadena de Certificados: Ejemplos
•
Configurar los servidores de certificados para la Alta disponibilidad: Ejemplo:
Configuración y Verificación de la Autorización AAA PKI: Ejemplos Esta sección proporciona los ejemplos de configuración de las autorizaciones AAA PKI: •
Configuración del Router: Ejemplo:
•
Debug de una Autorización AAA PKI Exitosa: Ejemplo:
•
Debug de una Autorización AAA PKI Fallida: Ejemplo:
Configuración del Router: Ejemplo: La salida show running-config del siguiente comando muestra la configuración en funcionamiento de un router que se configure para autorizar las conexiones VPN usando la integración PKI con la característica del servidor de AAA: Router# show running-config
Building configuration... ! version 12.3 ! hostname router7200router7200 ! aaa new-model
! ! aaa authentication login default group tacacs+ aaa authentication login no_tacacs enable aaa authentication ppp default group tacacs+ aaa authorization exec ACSLab group tacacs+ aaa authorization network ACSLab group tacacs+ aaa accounting exec ACSLab start-stop group tacacs+ aaa accounting network default start-stop group ACSLab aaa session-id common ! ip domain name example.com ! crypto pki trustpoint EM-CERT-SERV enrollment url http://192.0.2.33:80 serial-number crl optional rsakeypair STOREVPN 1024 auto-enroll authorization list ACSLab ! crypto pki certificate chain EM-CERT-SERV certificate 04 30820214 3082017D A0030201 02020104 300D0609 2A864886 F70D0101 04050030 17311530 13060355 0403130C 454D2D43 4552542D 53455256 301E170D 30343031 31393232 30323535 5A170D30 35303131 38323230 3235355A 3030312E 300E0603 55040513 07314437 45424434 301C0609 2A864886 F70D0109 02160F37 3230302D 312E6772 696C2E63 6F6D3081 9F300D06 092A8648 86F70D01 01010500 03818D00 30818902 818100BD F3B837AA D925F391 2B64DA14 9C2EA031 5A7203C4 92F8D6A8 7D2357A6 BCC8596F A38A9B10 47435626 D59A8F2A 123195BB BE5A1E74 B1AA5AE0 5CA162FF 8C3ACA4F B3EE9F27 8B031642 B618AE1B 40F2E3B4 F996BEFE 382C7283 3792A369 236F8561 8748AA3F BC41F012 B859BD9C DB4F75EE 3CEE2829 704BD68F FD904043 0F555702 03010001 A3573055 30250603 551D1F04 1E301C30 1AA018A0 16861468 7474703A 2F2F3633 2E323437 2E313037 2E393330 0B060355 1D0F0404 030205A0 301F0603 551D2304 18301680 1420FC4B CF0B1C56 F5BD4C06 0AFD4E67 341AE612 D1300D06 092A8648 86F70D01 01040500 03818100 79E97018 FB955108 12F42A56 2A6384BC AC8E22FE F1D6187F DA5D6737 C0E241AC AAAEC75D 3C743F59
08DEEFF2 0E813A73 D79E0FA9 D62DC20D 8E2798CD 2C1DC3EC 3B2505A1 3897330C 15A60D5A 8A13F06D 51043D37 E56E45DF A65F43D7 4E836093 9689784D C45FD61D EC1F160C 1ABC8D03 49FB11B1 DA0BED6C 463E1090 F34C59E4 quit certificate ca 01 30820207 30820170 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 17311530 13060355 0403130C 454D2D43 4552542D 53455256 301E170D 30333132 31363231 34373432 5A170D30 36313231 35323134 3734325A 30173115 30130603 55040313 0C454D2D 43455254 2D534552 5630819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 8100C14D 833641CF D784F516 DA6B50C0 7B3CB3C9 589223AB 99A7DC14 04F74EF2 AAEEE8F5 E3BFAE97 F2F980F7 D889E6A1 2C726C69 54A29870 7E7363FF 3CD1F991 F5A37CFF 3FFDD3D0 9E486C44 A2E34595 C2D078BB E9DE981E B733B868 AA8916C0 A8048607 D34B83C0 64BDC101 161FC103 13C06500 22D6EE75 7D6CF133 7F1B515F 32830203 010001A3 63306130 0F060355 1D130101 FF040530 030101FF 300E0603 551D0F01 01FF0404 03020186 301D0603 551D0E04 16041420 FC4BCF0B 1C56F5BD 4C060AFD 4E67341A E612D130 1F060355 1D230418 30168014 20FC4BCF 0B1C56F5 BD4C060A FD4E6734 1AE612D1 300D0609 2A864886 F70D0101 04050003 81810085 D2E386F5 4107116B AD3AC990 CBE84063 5FB2A6B5 BD572026 528E92ED 02F3A0AE 1803F2AE AA4C0ED2 0F59F18D 7B50264F 30442C41 0AF19C4E 70BD3CB5 0ADD8DE8 8EF636BD 24410DF4 DB62DAFC 67DA6E58 3879AA3E 12AFB1C3 2E27CB27 EC74E1FC AEE2F5CF AA80B439 615AA8D5 6D6DEDC3 7F9C2C79 3963E363 F2989FB9 795BA8 quit ! ! crypto isakmp policy 10 encr 3des group 2 ! ! crypto ipsec transform-set ISC_TS_1 esp-3des esp-sha-hmac ! crypto ipsec profile ISC_IPSEC_PROFILE_2 set security-association lifetime kilobytes 530000000 set security-association lifetime seconds 14400 set transform-set ISC_TS_1 ! !
controller ISA 1/1 ! ! interface Tunnel0 description MGRE Interface provisioned by ISC bandwidth 10000 ip address 192.0.2.172 255.255.255.0 no ip redirects ip mtu 1408 ip nhrp map multicast dynamic ip nhrp network-id 101 ip nhrp holdtime 500 ip nhrp server-only no ip split-horizon eigrp 101 tunnel source FastEthernet2/1 tunnel mode gre multipoint tunnel key 101 tunnel protection ipsec profile ISC_IPSEC_PROFILE_2 ! interface FastEthernet2/0 ip address 192.0.2.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet2/1 ip address 192.0.2.2 255.255.255.0 duplex auto speed auto ! ! tacacs-server host 192.0.2.55 single-connection tacacs-server directed-request tacacs-server key company lab ! ntp master 1 ! end
Debug de una Autorización AAA PKI Exitosa: Ejemplo: La salida show debugging del siguiente comando muestra una autorización exitosa usando la integración PKI con la característica del servidor de AAA: Router# show debugging
General OS: TACACS access control debugging is on AAA Authentication debugging is on AAA Authorization debugging is on Cryptographic Subsystem: Crypto PKI Trans debugging is on
Router# May 28 19:36:11.117: CRYPTO_PKI: Trust-Point EM-CERT-SERV picked up May 28 19:36:12.789: CRYPTO_PKI: Found a issuer match May 28 19:36:12.805: CRYPTO_PKI: cert revocation status unknown. May 28 19:36:12.805: CRYPTO_PKI: Certificate validated without revocation check May 28 19:36:12.813: CRYPTO_PKI_AAA: checking AAA authorization (ACSLab, POD5.example.com, ) May 28 19:36:12.813: AAA/BIND(00000042): Bind i/f May 28 19:36:12.813: AAA/AUTHOR (0x42): Pick method list 'ACSLab' May 28 19:36:12.813: TPLUS: Queuing AAA Authorization request 66 for processing May 28 19:36:12.813: TPLUS: processing authorization request id 66 May 28 19:36:12.813: TPLUS: Protocol set to None .....Skipping May 28 19:36:12.813: TPLUS: Sending AV service=pki May 28 19:36:12.813: TPLUS: Authorization request created for 66(POD5.example.com) May 28 19:36:12.813: TPLUS: Using server 192.0.2.55 May 28 19:36:12.813: TPLUS(00000042)/0/NB_WAIT/203A4628: Started 5 sec timeout May 28 19:36:12.813: TPLUS(00000042)/0/NB_WAIT: wrote entire 46 bytes request May 28 19:36:12.813: TPLUS: Would block while reading pak header May 28 19:36:12.817: TPLUS(00000042)/0/READ: read entire 12 header bytes (expect 27 bytes) May 28 19:36:12.817: TPLUS(00000042)/0/READ: read entire 39 bytes response May 28 19:36:12.817: TPLUS(00000042)/0/203A4628: Processing the reply packet May 28 19:36:12.817: TPLUS: Processed AV cert-application=all May 28 19:36:12.817: TPLUS: received authorization response for 66: PASS May 28 19:36:12.817: CRYPTO_PKI_AAA: reply attribute ("cert-application" = "all") May 28 19:36:12.817: CRYPTO_PKI_AAA: authorization passed Router#
Router# May 28 19:36:18.681: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 101: Neighbor 192.0.2.171 (Tunnel0) is up: new adjacency Router#
Router# show crypto isakmp sa
dst 192.0.2.22
src 192.0.2.102
state
conn-id slot
QM_IDLE
84
0
Debug de una Autorización AAA PKI Fallida: Ejemplo: La salida show debugging del siguiente comando muestra que no autorizan al router a conectar usando el VPN. Los mensajes son típicos de ésos eso que usted puede ser que vea en una situación semejante. En este ejemplo, el nombre de usuario del par fue configurado según lo no autorizado, moviendo el nombre de usuario a un grupo del Cisco Secure ACS llamado VPN_Router_Disabled en el Cisco Secure ACS. Han configurado al router, router7200.example.com, para marcar con un servidor de AAA del Cisco Secure ACS antes de establecer una conexión VPN a cualquier par. Router# show debugging
General OS: TACACS access control debugging is on AAA Authentication debugging is on AAA Authorization debugging is on Cryptographic Subsystem: Crypto PKI Trans debugging is on Router# May 28 19:48:29.837: CRYPTO_PKI: Trust-Point EM-CERT-SERV picked up May 28 19:48:31.509: CRYPTO_PKI: Found a issuer match May 28 19:48:31.525: CRYPTO_PKI: cert revocation status unknown. May 28 19:48:31.525: CRYPTO_PKI: Certificate validated without revocation check May 28 19:48:31.533: CRYPTO_PKI_AAA: checking AAA authorization (ACSLab, POD5.example.com, ) May 28 19:48:31.533: AAA/BIND(00000044): Bind i/f May 28 19:48:31.533: AAA/AUTHOR (0x44): Pick method list 'ACSLab' May 28 19:48:31.533: TPLUS: Queuing AAA Authorization request 68 for processing May 28 19:48:31.533: TPLUS: processing authorization request id 68 May 28 19:48:31.533: TPLUS: Protocol set to None .....Skipping May 28 19:48:31.533: TPLUS: Sending AV service=pki May 28 19:48:31.533: TPLUS: Authorization request created for 68(POD5.example.com) May 28 19:48:31.533: TPLUS: Using server 192.0.2.55 May 28 19:48:31.533: TPLUS(00000044)/0/NB_WAIT/203A4C50: Started 5 sec timeout
May 28 19:48:31.533: TPLUS(00000044)/0/NB_WAIT: wrote entire 46 bytes request May 28 19:48:31.533: TPLUS: Would block while reading pak header May 28 19:48:31.537: TPLUS(00000044)/0/READ: read entire 12 header bytes (expect 6 bytes) May 28 19:48:31.537: TPLUS(00000044)/0/READ: read entire 18 bytes response May 28 19:48:31.537: TPLUS(00000044)/0/203A4C50: Processing the reply packet May 28 19:48:31.537: TPLUS: received authorization response for 68: FAIL May 28 19:48:31.537: CRYPTO_PKI_AAA: authorization declined by AAA, or AAA server not found. May 28 19:48:31.537: CRYPTO_PKI_AAA: No cert-application attribute found. Failing. May 28 19:48:31.537: CRYPTO_PKI_AAA: authorization failed May 28 19:48:31.537: CRYPTO_PKI: AAA authorization for list 'ACSLab', and user 'POD5.example.com' failed. May 28 19:48:31.537: %CRYPTO-5-IKMP_INVAL_CERT: Certificate received from 192.0.2.162 is bad: certificate invalid May 28 19:48:39.821: CRYPTO_PKI: Trust-Point EM-CERT-SERV picked up May 28 19:48:41.481: CRYPTO_PKI: Found a issuer match May 28 19:48:41.501: CRYPTO_PKI: cert revocation status unknown. May 28 19:48:41.501: CRYPTO_PKI: Certificate validated without revocation check May 28 19:48:41.505: CRYPTO_PKI_AAA: checking AAA authorization (ACSLab, POD5.example.com, ) May 28 19:48:41.505: AAA/BIND(00000045): Bind i/f May 28 19:48:41.505: AAA/AUTHOR (0x45): Pick method list 'ACSLab' May 28 19:48:41.505: TPLUS: Queuing AAA Authorization request 69 for processing May 28 19:48:41.505: TPLUS: processing authorization request id 69 May 28 19:48:41.505: TPLUS: Protocol set to None .....Skipping May 28 19:48:41.505: TPLUS: Sending AV service=pki May 28 19:48:41.505: TPLUS: Authorization request created for 69(POD5.example.com) May 28 19:48:41.505: TPLUS: Using server 198.168.244.55 May 28 19:48:41.509: TPLUS(00000045)/0/IDLE/63B22834: got immediate connect on new 0 May 28 19:48:41.509: TPLUS(00000045)/0/WRITE/63B22834: Started 5 sec timeout May 28 19:48:41.509: TPLUS(00000045)/0/WRITE: wrote entire 46 bytes request May 28 19:48:41.509: TPLUS(00000045)/0/READ: read entire 12 header bytes (expect 6 bytes) May 28 19:48:41.509: TPLUS(00000045)/0/READ: read entire 18 bytes response May 28 19:48:41.509: TPLUS(00000045)/0/63B22834: Processing the reply packet May 28 19:48:41.509: TPLUS: received authorization response for 69: FAIL May 28 19:48:41.509: CRYPTO_PKI_AAA: authorization declined by AAA, or AAA server not found. May 28 19:48:41.509: CRYPTO_PKI_AAA: No cert-application attribute found. Failing. May 28 19:48:41.509: CRYPTO_PKI_AAA: authorization failed May 28 19:48:41.509: CRYPTO_PKI: AAA authorization for list 'ACSLab', and user 'POD5.example.com' failed.
May 28 19:48:41.509: %CRYPTO-5-IKMP_INVAL_CERT: Certificate received from 192.0.2.162 is bad: certificate invalid Router#
Router# show crypto iskmp sa
dst
src
192.0.2.2
192.0.2.102
state
conn-id slot
MM_KEY_EXCH
95
0
Configuración de un Mecanismo de Revocación: Ejemplos Esta sección contiene los ejemplos de configuración siguientes que pueden ser utilizados al especificar un mecanismo de la revocación para su PKI: •
Configuración de un servidor OCSP: Ejemplo:
•
Especificación de una CRL y después de un Servidor OCSP: Ejemplo:
•
Especificación de un Servidor OCSP: Ejemplo:
•
Inhabilitación de Nonces en las Comunicaciones con el Servidor OCSP: Ejemplo:
Configuración de un servidor OCSP: Ejemplo: Las demostraciones del siguiente ejemplo cómo configurar al router para utilizar el servidor OCSP que se especifica en la extensión de AYA del certificado: Router(config)# crypto pki trustpoint mytp Router(ca-trustpoint)# revocation-check ocsp
Especificación de una CRL y después de un Servidor OCSP: Ejemplo: Las demostraciones del siguiente ejemplo cómo configurar al router para descargar el CRL del CDP. Si el CRL es inasequible, el servidor OCSP que se especifica en la extensión de AYA del certificado será utilizado. Si ambas opciones fallan, la verificación del certificado también fallará. Router(config)# crypto pki trustpoint mytp Router(ca-trustpoint)# revocation-check crl ocsp
Especificación de un Servidor OCSP: Ejemplo: Las demostraciones del siguiente ejemplo cómo configurar a su router para utilizar el servidor OCSP en HTTP URL el "http://myocspserver:81." si el servidor está abajo, el control de la revocación serán ignoradas. Router(config)# crypto pki trustpoint mytp Router(ca-trustpoint)# ocsp url http://myocspserver:81 Router(ca-trustpoint)# revocation-check ocsp none
Inhabilitación de Nonces en las Comunicaciones con el Servidor OCSP: Ejemplo: El siguiente ejemplo muestra las comunicaciones cuando un nonce, o un Identificador único para la petición OCSP, se inhabilita para las comunicaciones con el servidor OCSP: Router(config)# crypto pki trustpoint mytp Router(ca-trustpoint)# ocsp url http://myocspserver:81 Router(ca-trustpoint)# revocation-check ocsp none Router(ca-trustpoint)# ocsp disable-nonce
Configuración de un Router Hub en un Sitio Central para Verificaciones de Revocación de Certificados: Ejemplo: El siguiente ejemplo muestra un router de eje de conexión en un sitio central que esté proporcionando a la Conectividad para varias sucursales al sitio central. Las sucursales pueden también comunicar directamente con uno a usando los túneles IPsec adicionales entre las sucursales. CA publica los CRL en un servidor HTTP en el sitio central. El sitio central marca los CRL para cada par al configurar un túnel
IPsec con ese par. El ejemplo no muestra la configuración IPSec — solamente se muestra la configuración PKI-relacionada. Configuración del hub de la oficina en el hogar crypto pki trustpoint VPN-GW enrollment url http://ca.home-office.com:80/certsrv/mscep/mscep.dll serial-number none fqdn none ip-address none subject-name o=Home Office Inc,cn=Central VPN Gateway revocation-check crl
Router de eje de conexión del sitio central Router# show crypto ca certificate
Certificate Status: Available Certificate Serial Number: 2F62BE14000000000CA0 Certificate Usage: General Purpose Issuer: cn=Central Certificate Authority o=Home Office Inc Subject: Name: Central VPN Gateway cn=Central VPN Gateway o=Home Office Inc CRL Distribution Points: http://ca.home-office.com/CertEnroll/home-office.crl Validity Date: start date: 00:43:26 GMT Sep 26 2003 end
date: 00:53:26 GMT Sep 26 2004
renew date: 00:00:00 GMT Jan 1 1970 Associated Trustpoints: VPN-GW CA Certificate Status: Available Certificate Serial Number: 1244325DE0369880465F977A18F61CA8 Certificate Usage: Signature Issuer: cn=Central Certificate Authority o=Home Office Inc
Subject: cn=Central Certificate Authority o=Home Office Inc CRL Distribution Points: http://ca.home-office.com/CertEnroll/home-office.crl Validity Date: start date: 22:19:29 GMT Oct 31 2002 end
date: 22:27:27 GMT Oct 31 2017
Associated Trustpoints: VPN-GW
Trustpoint en el router de la sucursal crypto pki trustpoint home-office enrollment url http://ca.home-office.com:80/certsrv/mscep/mscep.dll serial-number none fqdn none ip-address none subject-name o=Home Office Inc,cn=Branch 1 revocation-check crl
Una correspondencia del certificado se ingresa en el router de la sucursal. Router# configure terminal Enter configuration commands, one per line.
End with CNTL/Z.
branch1(config)# crypto pki certificate map central-site 10 branch1(ca-certificate-map)#
La salida show certificate del comando en el router de eje de conexión del sitio central muestra que el certificado fue publicado por el siguiente: cn=Central Certificate Authority o=Home Office Inc
Estas dos líneas se combinan en una línea usando una coma (,) para separarlos, y las líneas originales se agregan como los primeros criterios para una coincidencia. Router (ca-certificate-map)# issuer-name co cn=Central Certificate Authority, ou=Home Office Inc !The above line wrapped but should be shown on one line with the line above it.
La misma combinación se hace para los asuntos del certificado en el router del sitio central (nota esa la línea que comienza con el “nombre: ” no está la parte de los asuntos y debe ser ignorada al crear los criterios de la correspondencia del certificado). Éste es los asuntos que se utilizarán en la correspondencia del certificado. gateway de VPN cn=Central o=Home Office Inc Router (ca-certificate-map)# subject-name eq cn=central vpn gateway, o=home office inc
Ahora la correspondencia del certificado se agrega al trustpoint que fue configurada anterior. Router (ca-certificate-map)# crypto pki trustpoint home-office Router (ca-trustpoint)# match certificate central-site skip revocation-check Router (ca-trustpoint)# exit Router (config)# exit
Se marca la configuración (la mayor parte de la configuración no se muestra). Router# write term !Many lines left out . . . crypto pki trustpoint home-office enrollment url http://ca.home-office.com:80/certsrv/mscep/mscep.dll serial-number none fqdn none ip-address none subject-name o=Home Office Inc,cn=Branch 1 revocation-check crl match certificate central-site skip revocation-check ! ! crypto pki certificate map central-site 10 issuer-name co cn = Central Certificate Authority, ou = Home Office Inc subject-name eq cn = central vpn gateway, o = home office inc !many lines left out
Observe que las líneas del nombre del emisor y del tema-nombre se han cambiado formato para hacerlos constantes para más adelante corresponder con con el certificado del par. Si la sucursal está marcando el AAA, el trustpoint tendrá líneas similares al siguiente: crypto pki trustpoint home-office auth list allow_list auth user subj commonname
Después de que la correspondencia del certificado se haya definido como fuera hecha arriba, el siguiente comando se agregue al trustpoint para saltar el AAA que marcaba para saber si hay el concentrador del sitio central. match certificate central-site skip authorization-check
En ambos casos, el router del sitio secundario tiene que establecer un túnel IPsec al sitio central para marcar los CRL o para
entrar en contacto el servidor de AAA. Sin embargo, sin match certificate el comando y central-site skip authorization-check (argument and keyword), la sucursal no puede establecer el túnel hasta que haya marcado el CRL o el servidor de AAA. (El túnel no será establecido a menos que match certificate se utilicen el comando central-site skip authorization-check y el argumento y la palabra clave.) match certificate El comando y allow expired-certificate la palabra clave serían utilizados en el sitio central si el router en un sitio secundario tenía un certificado vencido y tuvo que establecer un túnel al sitio central para renovar su certificado. Trustpoint en el router del sitio central crypto pki trustpoint VPN-GW enrollment url http://ca.home-office.com:80/certsrv/mscep/mscep.dll serial-number none fqdn none ip-address none subject-name o=Home Office Inc,cn=Central VPN Gateway revocation-check crl
Trustpoint en el router del sitio de la bifurcación 1 Router# show crypto ca certificate
Certificate Status: Available Certificate Serial Number: 2F62BE14000000000CA0 Certificate Usage: General Purpose Issuer: cn=Central Certificate Authority o=Home Office Inc Subject: Name: Branch 1 Site cn=Branch 1 Site o=Home Office Inc CRL Distribution Points: http://ca.home-office.com/CertEnroll/home-office.crl Validity Date: start date: 00:43:26 GMT Sep 26 2003 end
date: 00:53:26 GMT Oct 3 2003
renew date: 00:00:00 GMT Jan 1 1970 Associated Trustpoints: home-office CA Certificate Status: Available Certificate Serial Number: 1244325DE0369880465F977A18F61CA8 Certificate Usage: Signature Issuer:
cn=Central Certificate Authority o=Home Office Inc Subject: cn=Central Certificate Authority o=Home Office Inc CRL Distribution Points: http://ca.home-office.com/CertEnroll/home-office.crl Validity Date: start date: 22:19:29 GMT Oct 31 2002 end
date: 22:27:27 GMT Oct 31 2017
Associated Trustpoints: home-office
Una correspondencia del certificado se ingresa en el router del sitio central. Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router (config)# crypto pki certificate map branch1 10 Router (ca-certificate-map)# issuer-name co cn=Central Certificate Authority, ou=Home Office Inc !The above line wrapped but should be part of the line above it. Router (ca-certificate-map)# subject-name eq cn=Brahcn 1 Site,o=home office inc
La correspondencia del certificado se agrega al trustpoint. Router (ca-certificate-map)# crypto pki trustpoint VPN-GW Router (ca-trustpoint)# match certificate branch1 allow expired-certificate Router (ca-trustpoint)# exit Router (config) #exit
La configuración debe ser marcada (la mayor parte de la configuración no se muestra). Router# write term
!many lines left out
crypto pki trustpoint VPN-GW enrollment url http://ca.home-office.com:80/certsrv/mscep/mscep.dll serial-number none fqdn none ip-address none subject-name o=Home Office Inc,cn=Central VPN Gateway
revocation-check crl match certificate branch1 allow expired-certificate ! ! crypto pki certificate map central-site 10 issuer-name co cn = Central Certificate Authority, ou = Home Office Inc subject-name eq cn = central vpn gateway, o = home office inc ! many lines left out
match certificate El comando y branch1 allow expired-certificate (argumento y palabra clave) y la correspondencia del certificado deben ser quitados tan pronto como el router de rama tenga un nuevo certificado.
Configuración de la Autorización y Revocación de Certificados: Ejemplos Esta sección contiene los ejemplos de configuración siguientes que pueden ser utilizados al especificar un control de sesión de la configuración o del número de serie del certificado del control del caché CRL: •
Configuración del Control de la Memoria Caché de CRL
•
Configuración del Control de Sesión del Número de Serie del Certificado
Configuración del Control de la Memoria Caché de CRL Las demostraciones del siguiente ejemplo cómo inhabilitar el CRL que oculta para todos los CRL asociados al trustpoint CA1: crypto pki trustpoint CA1 enrollment url http://CA1:80 ip-address FastEthernet0/0 crl query ldap://ldap_CA1 revocation-check crl crl-cache none
El CRL actual es todavía ocultado inmediatamente después ejecución del ejemplo de configuración mostrado arriba: Router- show crypto pki crls CRL Issuer Name: cn=name Cert Manager,ou=pki,o=example.com,c=US LastUpdate: 18:57:42 GMT Nov 26 2005 NextUpdate: 22:57:42 GMT Nov 26 2005 Retrieved from CRL Distribution Point: ldap://ldap.example.com/CN=name Cert Manager,O=example.com
Cuando expira el CRL actual, un nuevo CRL entonces se descarga al router en la actualización siguiente. crl-cache none El comando toma el efecto y todos los CRL para el trustpoint se ocultan no más; se inhabilita el almacenamiento en memoria inmediata. Usted puede verificar que no se oculte ningún CRL ejecutando show crypto pki crls el comando. No se mostrará ninguna salida porque no hay CRL ocultados. El siguiente ejemplo muestra cómo configurar el curso de la vida máximo de 2 minutos para todos los CRL asociados al trustpoint CA1: crypto pki trustpoint CA1 enrollment url http://CA1:80
ip-address FastEthernet0/0 crl query ldap://ldap_CA1 revocation-check crl crl-cache delete-after 2
El CRL actual todavía se oculta inmediatamente después de ejecutar el ejemplo de configuración arriba para fijar el curso de la vida máximo de un CRL: Router- show crypto pki crls CRL Issuer Name: cn=name Cert Manager,ou=pki,o=example.com,c=US LastUpdate: 18:57:42 GMT Nov 26 2005 NextUpdate: 22:57:42 GMT Nov 26 2005 Retrieved from CRL Distribution Point: ldap://ldap.example.com/CN=name Cert Manager,O=example.com
When the current CRL expires, a new CRL is downloaded to the router at the next update and the crl-cache delete-after command takes effect. This newly cached CRL and all subsequent CRLs will be deleted after a maximum lifetime of 2 minutes.
You can verify that the CRL will be cached for 2 minutes by executing the show crypto pki crls command. Note that the NextUpdate time is 2 minutes after the LastUpdate time.
Router- show crypto pki crls CRL Issuer Name: cn=name Cert Manager,ou=pki,o=example.com,c=US LastUpdate: 22:57:42 GMT Nov 26 2005
NextUpdate: 22:59:42 GMT Nov 26 2005 Retrieved from CRL Distribution Point:
administrador CERT de ldap://ldap.example.com/CN=name, O=example.com
Configuración del Control de Sesión del Número de Serie del Certificado El siguiente ejemplo muestra la configuración del control de sesión del número de serie del certificado usando una correspondencia del certificado para el trustpoint CA1: crypto pki trustpoint CA1 enrollment url http://CA1 chain-validation stop crl query ldap://ldap_server revocation-check crl match certificate crl
! crypto pki certificate map crl 10 serial-number co 279d
Observesi match-criteria el valor se fija a eq (igual) en vez de co (contiene), el número de serie debe hacer juego el número de serie de la correspondencia del certificado exactamente, incluyendo cualquier espacio. El siguiente ejemplo muestra la configuración del control de sesión del número de serie del certificado usando los atributos AAA. En este caso, todos los certificados válidos serán validados si el certificado no tiene el número de serie el "4ACA." crypto pki trustpoint CA1 enrollment url http://CA1 ip-address FastEthernet0/0 crl query ldap://ldap_CA1 revocation-check crl aaa new-model ! aaa attribute list crl attribute-type aaa-cert-serial-not 4ACA
El registro del servidor muestra que el certificado con el número de serie el "4ACA" fue rechazado. El rechazo del certificado se muestra usando los signos de exclamación. . . . Dec 3 04:24:39.051: CRYPTO_PKI: Trust-Point CA1 picked up Dec 3 04:24:39.051: CRYPTO_PKI: locked trustpoint CA1, refcount is 1 Dec 3 04:24:39.051: CRYPTO_PKI: unlocked trustpoint CA1, refcount is 0 Dec 3 04:24:39.051: CRYPTO_PKI: locked trustpoint CA1, refcount is 1 Dec 3 04:24:39.135: CRYPTO_PKI: validation path has 1 certs Dec 3 04:24:39.135: CRYPTO_PKI: Found a issuer match Dec 3 04:24:39.135: CRYPTO_PKI: Using CA1 to validate certificate Dec 3 04:24:39.135: CRYPTO_PKI: Certificate validated without revocation check Dec 3 04:24:39.135: CRYPTO_PKI: Selected AAA username: 'PKIAAA' Dec 3 04:24:39.135: CRYPTO_PKI: Anticipate checking AAA list:'CRL' Dec 3 04:24:39.135: CRYPTO_PKI_AAA: checking AAA authorization (CRL, PKIAAA-L1, ) Dec 3 04:24:39.135: CRYPTO_PKI_AAA: pre-authorization chain validation status (0x4) Dec 3 04:24:39.135: AAA/BIND(00000021): Bind i/f Dec 3 04:24:39.135: AAA/AUTHOR (0x21): Pick method list 'CRL' . . .
Dec 3 04:24:39.175: CRYPTO_PKI_AAA: reply attribute ("cert-application" = "all") Dec 3 04:24:39.175: CRYPTO_PKI_AAA: reply attribute ("cert-trustpoint" = "CA1") ! Dec 3 04:24:39.175: CRYPTO_PKI_AAA: reply attribute ("cert-serial-not" = "4ACA") Dec 3 04:24:39.175: CRYPTO_PKI_AAA: cert-serial doesn't match ("4ACA" != "4ACA") ! Dec 3 04:24:39.175: CRYPTO_PKI_AAA: post-authorization chain validation status (0x7) ! Dec 3 04:24:39.175: CRYPTO_PKI: AAA authorization for list 'CRL', and user 'PKIAAA' failed. Dec 3 04:24:39.175: CRYPTO_PKI: chain cert was anchored to trustpoint CA1, and chain validation result was: CRYPTO_PKI_CERT_NOT_AUTHORIZED ! Dec 3 04:24:39.175: %CRYPTO-5-IKMP_INVAL_CERT: Certificate received from 192.0.2.43 is bad: certificate invalid Dec 3 04:24:39.175: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Main mode failed with peer at 192.0.2.43 . . .
Cómo Configurar la Validación de la Cadena de Certificados: Ejemplos Esta sección contiene los ejemplos de configuración siguientes que se pueden utilizar para especificar el nivel de Cadena de certificados que procesa para sus Certificados del dispositivo: •
Configuración de la Validación de la Cadena de Certificados del peer al CA Root
•
Configuración de la Validación de la Cadena de Certificados del Peer a la CA Subordinada
•
Configuración de la Validación de la Cadena de Certificados a través de un Análisis de Deficiencias
Configuración de la Validación de la Cadena de Certificados del peer al CA Root En el ejemplo de configuración siguiente, todos los Certificados serán validados — el par, los Certificados SubCA11, SubCA1, y de RootCA. crypto pki trustpoint RootCA enrollment terminal chain-validation stop revocation-check none rsakeypair RootCA
crypto pki trustpoint SubCA1 enrollment terminal chain-validation continue RootCA revocation-check none rsakeypair SubCA1
crypto pki trustpoint SubCA11 enrollment terminal chain-validation continue SubCA1 revocation-check none rsakeypair SubCA11
Configuración de la Validación de la Cadena de Certificados del Peer a la CA Subordinada En el ejemplo de configuración siguiente, los Certificados siguientes serán validados — el par y los Certificados SubCA1. crypto pki trustpoint RootCA enrollment terminal chain-validation stop revocation-check none rsakeypair RootCA
crypto pki trustpoint SubCA1 enrollment terminal chain-validation continue RootCA revocation-check none rsakeypair SubCA1
crypto pki trustpoint SubCA11 enrollment terminal chain-validation continue SubCA1 revocation-check none rsakeypair SubCA11
Configuración de la Validación de la Cadena de Certificados a través de un Análisis de Deficiencias En el ejemplo de configuración siguiente, se espera que SubCA1 no está en la jerarquía configurada del Cisco IOS sino sea proveído en la Cadena de certificados presentada por el par. Si el par suministra el certificado SubCA1 en la actual Cadena de certificados, los Certificados siguientes serán validados — el par, los Certificados SubCA11, y SubCA1. Si el par no suministra el certificado SubCA1 en la actual Cadena de certificados, la validación de cadena fallará. crypto pki trustpoint RootCA enrollment terminal chain-validation stop revocation-check none rsakeypair RootCA
crypto pki trustpoint SubCA11 enrollment terminal
chain-validation continue RootCA revocation-check none rsakeypair SubCA11
Configurar los servidores de certificados para la Alta disponibilidad: Ejemplo: El siguiente ejemplo muestra la configuración del SCTP y de la Redundancia en el servidor de certificados activo y espera, y la activación de la sincronización entre ellas: En el router activo ipc zone default association 1 no shutdown protocol sctp local-port 5000 local-ip 10.0.0.1 exit remote-port 5000 remote-ip 10.0.0.2
En el router en espera ipc zone default association 1 no shutdown protocol sctp local-port 5000 local-ip 10.0.0.2 exit remote-port 5000 remote-ip 10.0.0.1
En el router activo redundancy inter-device scheme standby SB
interface GigabitEthernet0/1 ip address 10.0.0.1 255.255.255.0 no ip route-cache cef no ip route-cache standby 0 ip 10.0.0.3 standby 0 priority 50 standby 0 name SB standby delay min 30 reload 60
En el router en espera redundancy inter-device scheme standby SB
interface GigabitEthernet0/1 ip address 10.0.0.2 255.255.255.0 no ip route-cache cef no ip route-cache standby 0 ip 10.0.0.3 standby 0 priority 50 standby 0 name SB standby delay min 30 reload 60
En el router activo crypto pki server mycertsaver crypto pki server mycertsaver redundancy
Referencias adicionales Documentos Relacionados Tema relacionado
Título del documento
Comandos PKI: sintaxis, modo de comando, valores por defecto, Pautas para el uso, y ejemplos del comando complete
Referencia de Comandos de Seguridad de Cisco IOS
Descripción general del PKI, incluyendo las llaves RSA, la inscripción del certificado y los CAs
“Descripción del Cisco IOS PKI: Entendiendo y planeando módulo PKI”
Generación e implementación de llaves RSA
“Claves RSA que despliegan dentro módulo de un PKI”
Inscripción del certificado: métodos aceptados, perfiles de inscripción, tareas de configuración
“Configurando la inscripción del certificado para módulo PKI”
Descripción general del servidor de certificados del Cisco IOS y tareas de configuración
“Configurando y manejando un servidor de certificados del Cisco IOS para módulo del despliegue PKI”
Asistencia Técnica Descripción
Link
El Web site del soporte y de la documentación http://www.cisco.com/cisco/web/LA/support/index.html de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.
Información sobre Funciones para la Autorización y Revocación de Certificados La tabla 2 muestra el historial de versiones de esta función. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.
Observelas listas del cuadro 2 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.
Nombre de la función
Versiones
Mejoras del control 12.4(9)T del caché para las listas de revocación de la certificación
Información sobre la Función Esta característica proporciona a los usuarios la capacidad de inhabilitar el CRL que oculta o de especificar el curso de la vida máximo para el cual un CRL será ocultado en la memoria del router. También proporciona las funciones para configurar el control de sesión del número de serie del certificado. Las secciones siguientes proporcionan información acerca de esta función: •
¿Qué es una CRL?
• Configuración de la Autorización y Revocación de Certificados • Configuración de la Autorización y Revocación de Certificados: Ejemplos Los siguientes comandos fueron introducidos o modificados por esta característica: crl-cache delete-after, crl-cache none, crypto pki certificate map Validación de 12.4(6)T cadena Certificadocompleta
Esta característica proporciona a los usuarios la capacidad de configurar el nivel al cual una Cadena de certificados se procesa en todos los Certificados incluyendo los Certificados de CA del subordinado. Las secciones siguientes proporcionan información acerca de esta función: •
Validación de la Cadena de Certificados PKI
• Cómo Configurar la Validación de la Cadena de Certificados • Cómo Configurar la Validación de la Cadena de Certificados: Ejemplos El siguiente comando fue introducido por esta característica: chain-validation OCSP Certificación del servidor de la jerarquía alterna
12.4(6)T
Esta característica proporciona a los usuarios con la flexibilidad para especificar los servidores múltiples OCSP, por el certificado del cliente o por el grupo de certificados del cliente, y proporciona la capacidad para la validación del servidor OCSP basada en los Certificados o los certificados autofirmados externos de CA. Las secciones siguientes proporcionan información acerca de esta función: •
¿Qué es OCSP?
• Configuración de la Autorización y Revocación de Certificados El siguiente comando fue introducido por esta característica: match certificate override ocsp Optional OCSP Nonce
12.2(33)SR 12.4(4)T
Esta característica proporciona los usuarios con la capacidad de configurar el envío de un nonce, o el Identificador único para una petición OCSP, durante las comunicaciones OCSP. Las secciones siguientes proporcionan información acerca de esta función: •
¿Qué es OCSP?
• Configuración de un Mecanismo de Revocación para la Verificación del Estado del Certificado PKI • Inhabilitación de Nonces en las Comunicaciones con el Servidor OCSP: Ejemplo: Control de Acceso Basado en Atributos de Seguridad de Certificados
12.2(15)T 1
Conforme al Protocolo IPSec, la Interoperabilidad CA permite que los dispositivos Cisco IOS y un CA comuniquen de modo que el dispositivo Cisco IOS pueda obtener y los Certificados digitales del uso de los Certificados CA contenga varios campos que se utilicen para determinar si autorizan un dispositivo o a un usuario para realizar una acción especificada. Esta característica agrega los campos al certificado que permiten el especificar de un ACL, creando un ACL basado en el certificado. Las secciones siguientes proporcionan información acerca de esta función: • Cuándo Utilizar los ACLs Basados en Certificados para Autorización o Revocación • Configuración de la Autorización y Revocación de Certificados Los siguientes comandos fueron introducidos o modificados por esta característica: crypto pki certificate mapcrypto pki trustpoint, match certificate
Online Certificate Status Protocol (OCSP)
12,3(2)T
Esta función permite que los usuarios habiliten OCSP en vez de las CRLs para verificar el estado del certificado. A diferencia de las CRLs, que solamente proporcionan el estado del certificado de forma periódica, OCSP puede proporcionar información al instante sobre el estado de un certificado. Las secciones siguientes proporcionan información acerca de esta función: • CRLs o Servidor OCSP: Elección de un Mecanismo de Revocación de Certificados • Configuración de un Mecanismo de Revocación para la Verificación del Estado del Certificado PKI Los siguientes comandos fueron introducidos por esta función: ocsp url, revocation-check
Autorización AAA 12.3(11)T PKI con el Nombre de Asunto Completo
Esta función proporciona a los usuarios la capacidad de consultar al servidor de AAA usando el nombre de asunto completo del certificado como un nombre de usuario AAA único. Las secciones siguientes proporcionan información acerca de esta función: • Pares de valor-atributo para la Integración de PKI y AAA Server •
Configuración de PKI Integration with a AAA Server
Esta función ha modificado los siguientes comandos: authorization username Integración de PKI 12.3(1) con el Servidor AAA
Esta función proporciona escalabilidad adicional para la autorización mediante la generación de un nombre de usuario de AAA del certificado que presenta el peer. Se consulta un servidor AAA para determinar si el certificado está autorizado para su uso por parte del componente interno. La autorización se indica por medio de una etiqueta especificada por el componente que debe estar presente en el par AV para el usuario. Las secciones siguientes proporcionan información acerca de esta función: • Integración de PKI y el Servidor AAA para el Estado de Certificados •
Configuración de PKI Integration with a AAA Server
Los siguientes comandos fueron introducidos por esta función: authorization list, authorization username PKI: Query Multiple 12.3(7)T Servers During Certificate Revocation Check
Esta función permite que Cisco IOS Software realice varios intentos de recuperar la CRL, permitiendo que continúen las operaciones cuando un servidor determinado no está disponible. Además, se ha insertado la capacidad de invalidar los CDPs en un certificado con un CDP configurado manualmente. La anulación manual de CDP en un certificado puede ser ventajosa
cuando un servidor determinado no está disponibles durante un largo período de tiempo. Los CDPs del certificado se pueden sustituir por una URL o especificación del directorio sin volver a emitir todos los certificados que contengan el CDP original. Las secciones siguientes proporcionan información acerca de esta función: • Consulta de todos los CDPs durante la Verificación de la Revocación •
Invalidación Manual de CDPs en un Certificado
El siguiente comando fue introducido por esta característica: match certificate override cdp Uso de ACLs de Certificado para Ignorar la Verificación de Revocación y los Certificados Vencidos
‘12.3(4)T’
Esta función permite que un certificado que cumple criterios especificados se acepte independientemente de su período de validez o bien, si el certificado cumple los criterios especificados, no es necesario realizar la verificación de revocación. Las ACLs de certificado se utilizan para especificar los criterios que debe cumplir el certificado para ser aceptado o evitar la comprobación de revocación. Además, si la comunicación AAA está protegida mediante un certificado, esta función indica que se ignore la verificación AAA del certificado. Las secciones siguientes proporcionan información acerca de esta función: • Omitir las Verificaciones de Revocación Utilizando una ACL Basada en Certificados • Configuración de ACLs Basadas en Certificados para Ignorar las Verificaciones de Revocación Esta función ha modificado los siguientes comandos: match certificate
Definición del modo Cisco IOS XE Esta característica fue introducida en los 1000 Series Router de de la interrogación Release 2.1 Cisco ASR. por el trustpoint Alta disponibilidad PKI
el 15.0(1)M
Se han insertado o modificado los siguientes comandos: crypto pki server crypto pki server start crypto pki server stop crypto pki trustpoint crypto key generate rsa crypto key import pemcrypto key move rsa show crypto key mypubkey rsa.
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at /go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R) Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any examples, command display output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses or phone numbers in illustrative content is unintentional and coincidental. © 2005-2011 Cisco Systems, Inc. All rights reserved.
© 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 2 Agosto 2013
http://www.cisco.com/cisco/web/support/LA/107/1074/1074080_sec_cfg_auth_rev_cert_ps6922_TSD_Products_Configuration_Guide_Chapter.html