Crypto pki certificate chain tp self signed что это
Команда crypto pki certificate chain используется для входа в режим настройки цепочки сертификатов СА.
Синтаксис crypto pki certificate chain name
Значение по умолчанию значение по умолчанию отсутствует.
Режимы команды Global configuration.
Рекомендации по использованию
Удаление цепочки сертификатов командами
no crypto pki certificate chain name
no crypto ca certificate chain name
Отличие данной команды от подобной команды Cisco IOS :
· В Cisco по show run в команде crypto pki certificate chain показываются CA сертификаты и локальные сертификаты. В Cisco через эту команду можно посмотреть и удалить СА и локальные сертификаты, а ввести можно только CA сертификаты, локальные сертификаты таким образом ввести нельзя (они будут неработоспособны без секретного ключа). В Продукте в cs_console данная команда используется только для работы с CA сертификатами.
· В Cisco используются только RSA-сертификаты. В Продукте под обозначением RSA могут использоваться RSA, ГОСТ и DSA-сертификаты. Но должно соблюдаться строгое соответствие: RSA CA сертификат подписывает только RSA-сертификаты, ГОСТ CA сертификат подписывает только ГОСТ сертификаты, DSA CA сертификат подписывает только DSA-сертификаты.
· Следует учитывать, что в конфигурации не задается точных критериев выбора локального сертификата (в терминах Native LSP задается USER_SPECIFIC_DATA). В связи с этим возможны ситуации, при которых не установится соединение, если присутствуют больше одного локального сертификата, подписанного разными CA.
Пример подобной ситуации: у партнера не прописана посылка Certificate Request, и партнер ожидает от локального шлюза конкретный сертификат (который действительно присутствует), но шлюз по своим критериям выбирает другой сертификат, который не подходит партнеру.
Как правило, таких проблем не возникает, если соблюдаются следующие условия:
· Не используется Aggressive Mode при работе с сертификатами (экзотический случай).
· У партнера должны быть явно указаны CA-сертификаты, которыми может быть подписан локальный сертификат. В Native LSP – атрибут AcceptCredentialFrom (cs_converter вписывает все CA-сертификаты, лежащие в базе). В Cisco – должен быть прописан подходящий trustpoint.
Crypto pki certificate chain tp self signed что это
Для регистрации СА и локального сертификата в базе продукта, а также списка отозванных сертификатов используется утилита cert_mgr import.
Синтаксис crypto pki trustpoint name
no crypto pki trustpoint name
name имя СА. Если нужно изменить параметры уже объявленного СА, введите имя, которое этому СА было назначено ранее.
Значение по умолчанию Значение по умолчанию отсутствует.
Режимы команды Global configuration. Выполнение этой команды осуществляет вход в режим ca trustpoint configuration.
Рекомендации по использованию
Используйте эту команду для объявления имени корневого СА, который имеет самоподписанный сертификат. Выполнение этой команды также осуществляет вход в режим ca trustpoint configuration, в котором могут выполняться следующие команды:
revocation-check – указывает режим использования CRL;
% Removing an enrolled trustpoint will destroy all certificates
received from the related Certificate Authority.
Are you sure you want to do this? [yes/no]:
Если ввести “yes” (можно сократить до одной буквы “y”), то trustpoint удалится из конфигурации. Если при этом существуют CA-сертификаты, которые привязаны к данному trustpoint, они удаляются как из Cisco-like конфигурации, так и из базы локальных настроек продукта.
Если ввести “no” (можно сократить до одной буквы “n”), то действие команды отменяется.
Отличие данной команды от подобной команды Cisco IOS :
· Подкоманда enrollment игнорируется, производится только задание сертификатов с помощью cert_mgr import.
· Читаются только CA-сертификаты, локальные сертификаты (сертификаты устройств) игнорируются. Локальные сертификаты могут быть зарегистрированы в Продукте только утилитой cert_mgr import.
· Добавление одного trustpoint и перечисление нескольких trustpoints фактически не отличается друг от друга и всегда приводит к перечислению CA-сертификатов:
· единственное отличие – адрес LDAP-сервера и настройки режима получения CRL всегда берутся из первого по счету trustpoint в конфигурации, остальные – игнорируются.
Центр сертификатов на маршрутизаторе Cisco
Материал из Xgu.ru
 |
| Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. |
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.
На этой странице описывается как настроить маршрутизатор Cisco:
Содержание
[править] Основные понятия
Основные понятия относящиеся к центрам сертификатов и инфраструктуре открытого ключа на странице Криптография
[править] Настройка CA-сервера на маршрутизаторе
[править] Начальная настройка маршрутизатора
При настройке CA-сервера необходимо обратить внимание на время на самом сервере, а также на время, настроенное на клиентах, которые будут к нему обращаться. Время должно быть одинаковым. Простейший вариант использовать команду:
Можно поднять NTP сервер.
Настройки на маршрутизаторах-клиентах для синхронизации времени с СА
Задайте имя маршрутизатора и имя домена:
Cisco IOS CA Server для выдачи сертификатов использует протокол SCEP (Simple Certificate Enrollment Protocol). Для того чтобы этот протокол работал, необходимо включить встроенный в IOS HTTP server:
[править] Создание пары RSA ключей
Сначала необходимо сгенерировать пару ключей, которую будет использовать CA-сервер:
Имя r3ca (метка пары ключей) должно соответствовать имени сервера (используется при выполнении команды crypto pki server cs-label, которая рассматривается далее)
Экспорт ключей в NVRAM память:
Увидеть сгенерированную пару ключей можно выполнив команду:
[править] Обязательные настройки и значения по умолчанию
Для того чтобы запустить CA-сервер с настройками по умолчанию достаточно зайти в режим настройки сервера и включить его:
Имя сервера должно соответствовать имени пары ключей, сгенерированных ранее.
Конфигурация по умолчанию:
После включения сервера одноименная trustpoint создается автоматически:
Настройки применимые к CA-серверу:
По умолчанию эта команда не настроена и клиенты Cisco IOS PKI будут автоматически использовать SCEP для получения CRL с сервера.
[править] Выдача сертификатов
По умолчанию сервер требует ручного подтверждения запросов на сертификаты (режим manual). В этом случае для того чтобы ответить на все текущие запросы необходимо в режиме enable выполнить команду:
Можно выбрать конкретный запрос и ответить только на него. Для это необходимо сначала посмотреть какие запросы сейчас есть (в некоторых IOS для этого используется команда crypto pki server r3ca info requests):
И выполнить команду (где 2 — это номер запроса, на который необходимо ответить):
[править] Опциональные настройки
В качестве базового места для хранения данных СА-сервера укажите flash (по умолчанию — NVRAM, также может использоваться TFTP-сервер):
Можно указать расположение различных типов файлов с помощью команды «database url
Установите какой тип данных будет храниться в базе данных выдачи сертификатов:
Задайте параметры для идентификации сервера в сети:
Задайте время обновления списка отозванных сертификатов (crl), время (первый в часах, второй и третий — в сутках), в течение которого сертификат клиента и сертификат сервера будут действительны:
Настройка сервера для автоматической генерации ответов на запросы сертификатов:
Данная команда приведет к тому, что любой запрос на получение сертификата будет выполнен автоматически и злоумышленник сможет получить себе полноценный сертификат от вашего CA-сервера.
[править] Настройка trustpoint
Настройки генерируются автоматически при поднятии СА-сервера. Они могут быть изменены, но до включения сервера сертификатов (до выполнения команды no shutdown в контексте настройки сервера).
Выйдите из режима настройки СА-сервера и задайте необходимые параметры:
[править] Настройка маршрутизаторов для получения сертификатов от CA-сервера на маршрутизаторе
Задайте имя маршрутизатора и имя домена:
Создание статической записи хост-ip address:
Необходимо сгенерировать пару ключей:
Необходимо создать trustpoint и зайти в режим настройки:
Указать url для запроса сертификатов:
Получить сертификат CA-сервера:
Запросите собственный сертификат:
В зависимости от настроек сервера запрос будет подтвержден автоматически или администратором.
[править] Настройка маршрутизатора, на котором находится CA, для получения сертификата
Создаем статическую запись хост-ip address:
Для того чтобы сервер мог получить сертификат необходимо создать на нем еще одну trustpoint, так как trustpoint созданная автоматически при создании CA-сервера не может использоваться для выдачи сертификата сервером самому себе:
Получить сертификат CA-сервера:
Теперь сервер может участвовать в работе PKI и в качестве клиента.
[править] Настройка маршрутизатора для получения сертификата от MS CA
В качестве корневого CA используется Windows Server 2003.
Задайте имя маршрутизатора и имя домена:
Создание статической записи соответствия имени хоста IP-адресу:
Необходимо сгенерировать пару ключей:
Необходимо создать trustpoint и зайти в режим настройки:
Указать url для запроса сертификатов:
Получить сертификат CA-сервера:
Запросить собственный сертификат:
[править] Настройка CA на маршрутизаторе для работы в режиме RA
Если сервер сертификатов Cisco IOS на маршрутизаторе работает в режиме RA, то CA выдающий сертификаты должен быть сервером сертификатов Cisco IOS.
Cisco Study Notes
A blog detailing my adventures of preparing for the CCNP and beyond.
Tuesday, June 11, 2013
Clearing Cisco Self Signed Certificates and Keys
Quick post here, for future reference for myself and anyone else with this issue. As you know (or will find out), if you copy a config from one device to another, you’ll need to generate new keys or certificates for both your SSH connection and HTTPS. Another issue is if you are using CCP and accidentally happen to deny the use of one of your managed devices because you didn’t trust the self signed cert with the CCP pop up window (I did this accidentally) If you don’t want to hunt for the cert in IE, and are using lab equipment, here are the quick and easy fixes for removing existing self signed RSA keys for both HTTPS and for SSH/general purpose keys:
First, launch a show run to find out the name of your self signed certificate. This is for the example of regnerating your HTTPS certificate. Then when you find the name, you can append a «no» in front of it. If you need to generate a new SSH key, I recommend doing this over a console connection so you don’t lose your SSH connection. Afterwhich you can regenerate the new keys.
My show run displayed this for the name, along with the beginning of key used for SSH
!
crypto pki trustpoint TP-self-signed-815397456
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-815397456
revocation-check none
rsakeypair TP-self-signed-815397456
!
!
crypto pki certificate chain TP-self-signed-815397456
certificate self-signed 01
30820243 308201AC A0030201 02020101 300D0609 2A864886 F70D0101 04050030
I then used the following commands to wipe my existing self signed certificate and generate new RSA keys
Про PKI «на пальцах» за 10 минут
Предложил коллегам провести внутреннюю мини-лекцию по сабжу — идея зашла. Сел писать план лекции и… чот психанул — в итоге очнулся, дописывая небольшой гайд. Подумал, что будет полезно добавить сюда что-то для быстрого понимания, что такое PKI, зачем она нужна и как работает, так как пока готовился, чтобы освежить память, искал информацию в том числе на полюбившемся «Хабрахабре», но статей в таком формате не нашел.
Пишу на примере наших повседневных задач, которые знакомы многим: беспарольный доступ к серверам OpenVPN и защита доступа к ресурсам с помощью HTTPS.
Без теории не обойтись
PKI (Public Key Infrastructure, инфраструктура открытых ключей) — это про безопасность. Подразумевается, что у каждой сущности в инфраструктуре есть свой ключ, которым она однозначно идентифицируется. То есть, если ключ украден, пострадавшей сущностью может представиться укравший. PKI нужна для того, чтобы оперативно минимизировать последствия такой кражи. Ключ представлен двумя частями: публичной и приватной.
Аналог — это RSA ключи для SSH, но инфраструктурой их назвать сложно, так как отсутствует централизованный механизм управления ими. Также разница в том, что публичная часть ключа в паре ключей для SSH неизменна, а сертификат (публичную часть ключа участника PKI) можно перевыпустить в любой момент.
В PKI существует один (на самом деле, должно быть минимум два) или несколько Certification Authority — центров сертификации (удостоверяющих центров), отдающих публичные части своих ключей клиентам, которым выдают подписанные ими сертификаты. Таким образом, участники инфраструктуры «понимают», кто ими управляет, и действителен ли сертификат, выданный им или их «товарищам», в настоящий момент времени (одним из важнейших атрибутов сертификатов является срок их действия). Либо же сервер, у которого есть публичная часть ключа CA инфраструктуры, в которой он и его клиенты работают, понимает, что к нему пришел клиент с действительным сертификатом, и разрешает ему что-то, или запрещает в противном случае.
OpenVPN: как это бывает
На самом деле во многих компаниях на этот случай уже есть «PKI» и у него есть имя, потому что это кто-то из сотрудников. Назовем такого человека, к примеру, Полуэкт (с) и расскажем, как обычно это работает, а потом я расскажу, как это должно быть в идеале.
При появлении в компании нового сотрудника Полуэкт создает и присылает ему архив, в котором, помимо конфигурации собственно OpenVPN клиента, находятся файлы (на примере сотрудника Иванова А.А.):
В компании Acme все эти файлы генерирует Полуэкт…
А теперь как должно быть
На моем примере, упрощенно:
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
(пароль в конце лучше не указывать, а то придется его вводить каждый раз при подключении, а VPN у нас по сертификатам как раз, чтобы этого не было; тем более у нас в Pixonic есть OTP от Google);
Нужна ли вам эта фишка — вопрос для обсуждения. Соответственно, то, как ее внедрить, пока что выходит за рамки этой статьи.
И про срок действия клиентского сертификата: если предположить, что я устроился в Pixonic по временному контракту на 3 месяца, и мы его не продлили, то в описанной ситуации мой доступ к VPN автоматически отключится через 90 дней с момента выпуска сертификата. Чего не случится с SSH-доступом, если коллеги забудут отключить аккаунт во FreeIPA или удалить строчку из authorized_keys руками. C — сесуриту.
Теперь по Борщеву HTTPS
Предположим, вы хотите «включить SSL» для вашего сайта, чтобы у посетителей появился красивый замочек в браузере. Тут, собственно, все то же самое, но с некоторыми нюансами:
