La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

(Certificate Revocation List)

Présentations similaires


Présentation au sujet: "(Certificate Revocation List)"— Transcription de la présentation:

1 (Certificate Revocation List)
Configuration de la distribution de la CRL (Certificate Revocation List) avec SCEP ccnp_cch

2 Sommaire ● Introduction - prérequis - Composants utilisés
● Configuration du serveur CA de l'IOS Cisco ● Configuration du routeur VPN d'extrémité ● Vérification ccnp_cch

3 Configurer le serveur CA de l'IOS Cisco
Introduction Ce document explique les procédures utilisées pour révoquer un certificat numérique qui a été généré par un serveur autorité de certificat IOS Cisco. Prérequis Ce document est une extension du document "Enrollment over SCEP to a Cisco IOS CA (Headend Aggregation VPN Router) configuration example). Composants utilisés Les informations présentées dans ce document sont basées sur des routeurs opérant avec une image IOS Cisco cxxxx-advsecurityk9-mz T pour les plateformes res- pectives. Configurer le serveur CA de l'IOS Cisco Suivre cette procédure : Déterminer le numéro de série du certificat que vous voulez révoquer en utilisant une de ces opérations: ● Connectez-vous avec Telnet ou SSH au routeur sur lequel vous voulez révoquer le certificat et lister la configuration en NVRAM (Non-volatile RAM) ou la sortie de la commande show running-config ● Sur le serveur CA IOS Cisco regarder dans les fichiers <N° Série>.cnm pour trou- ver le nom de host de l'équipement pour lequel vous voulez faire la révocation Quand vous avez trouvé le nom de fichier qui contient le nom de host, le nom de fichier de ce fichier vous donne le numéro de série du certificat qui a été généré Dans cet exemple l'équipement ese-branch.ese.cisco.com a reçu un certificat avec le numéro de série 3. dir nvram: Directory of nvram:/ 50 −rw− startup−config 51 −−−− private−config 1 −rw− ifIndex−table 2 −−−− persistent−data 3 −rw− ese−ios−ca.pub 4 −rw− ese−ios−ca.prv 5 −rw− cnm 6 −rw− ese−ios−ca.ser 7 −rw− ese−ios−ca.crl 8 −rw− ese−ios−ca#6101CA.cer 9 −rw− cnm 10 −rw− cnm 57336 bytes total (42550 bytes free) more nvram:3.cnm subjectname_str = hostname=ese−branch.ese.cisco.com expiration = 17:10:10 EDT Oct ccnp_cch

4 Configuration du routeur VPN d'extrémité
2. Optionnellement vous désirez voir si le certificat n'a pas déjà été révoqué. Dans ce cas la CRL (Certificate Revocation List) est vide. show crypto pki server ese−ios−ca info crl Certificate Revocation List: Issuer: cn=ese−ios−ca,ou=ESE,o=Cisco Systems Inc,l=Raleigh,st=NC This Update: 09:58:36 EST Feb Next Update: 09:58:36 EST Feb Number of CRL en0tries: CRL size: 300 bytes 3. Révoquez le le numéro de série du certificat sur le serveur CA IOS Cisco (utilisez 0x avant le numéro de série) Note: le numéro de série est un nombre hexadécimal crypto pki server ese−ios−ca revoke 0x3 4. Vérifiez la CRL du serveur CA IOS Cisco pour voir si la révocation a été effectuée show crypto pki server ese−ios−ca info crl This Update: 14:31:24 EST Feb Next Update: 14:31:24 EST Feb Number of CRL entries: 1 CRL size: 322 bytes Revoked Certificates: Serial Number: 0x03 Revocation Date: 14:31:24 EST Feb Configuration du routeur VPN d'extrémité Suivre cette procédure: Sur l'équipement VPN d'extrémité (routeur) forcer manuellement la recherche de la CRL du point de distribution de certificat. Router(config)# crypto ca crl request ese−ios−ca 2. Sur l'équipement VPN d'extrémité, vérifiez l'horodatage de la CRL Note: La commande show crypto ca crls ne montre pas les items actuels dans la CRL (comme le fait la commande show du serveur CA IOS Cisco) show crypto ca crls CRL Issuer Name: cn=ese−ios−ca,ou=ESE,o=Cisco Systems Inc,l=Raleigh,st=NC LastUpdate: 14:31:24 EST Feb NextUpdate: 14:31:24 EST Feb Retrieved from CRL Distribution Point: ** CDP Not Published − Retrieved via SCEP ccnp_cch

5 Vérification ccnp_cch
3. Effacer les associations de sécurité (SA) de ISAKMP pour toutes les connexions cou- rantes pour ce routeur ou attendre un évènement de renouvellement de clé dans la durée de vie de la SA IPSec et regardez s'il y a une SA ISAKMP pour ce routeur show crypto isa sa conn−id slot QM_IDLE 5 0 !−−− Si une SA ISAKMP SA existe, effacez cette SA ISAKMP !−−− particulière avec le "connection ID". clear crypto isa 5 !−−− Regardez si la SA IPSec est toujours active. show crypto engine connection active ID Interface IP−Address State Algorithm Encrypt Decrypt 5141 FastEthernet0/ set HMAC_SHA+3DES_56_C 5142 FastEthernet0/ set HMAC_SHA+3DES_56_C !−−− Si une SA IPSec est toujours présente pour ce routeur, !--- Effacer cette SA spécifique. clear crypto sa peer !−−− Note: Attendez 30 secondes ou plus pour la détection d'inactivité !−−− de l'extrémité (Dead Peer Detection (DPD)) pour fermer le tunnel !−−− IPSec (SAs IPSec) sur le routeur VPN d'extrémité. Vérification Cette section fournit des informations que vous pouvez utiliser pour confirmer que vo- tre configuration fonctionne correctement. Les notifications fournies par les routeurs VPN quand un routeur avec une révocation tente de se connecter sont les suivantes. les deux points importants à se rappeler quand on utilise les CRL pour bloquer un routeur révoqué sont: ● La CRL est recherchée dans le CDP (Certificate Distribution Point) dans trois cir- constances déjà mentionnées (redémarrage, requête manuelle ou expiration). ● La CRL est consultée uniquement par les équipements avec revocation-check crl validée et uniquement durant la phase ISAKMP/IKE. Cela n'affecte pas un tunnel VPN IPSec déjà établi sauf s'il est phase de négociation ISAKMP ( pendant le renou- vellement de clé ou la négociation initiale du tunnel). A ce point, vous avez réalisé ceci: Révoqué le certificat d'un routeur VPN d'accès sur un serveur CA IOS Cisco Forcé l'extrémité VPN à rechercher la CRL du point de distribution de certificat Soit effacé tout tunnel IPSec en cours ou autorisé le renouvellement de clé du tunnel (SA lifetime) à générer un évènement de renouvellement de clé. ccnp_cch

6 Routeur VPN d'extrémité distante
Note : Si l'administrateur valide la commande debug crypto pki trans et la commande terminal monitor, il y aura un message explicite statuant que le certificat a été révoqué. Dans cet exemple, La SA ISAKMP ( connection ID 5) est effacée ainsi que les Sas IPSec associées. Ensuite la détection d'inactivité de l'extrémité (30 secondes ou plus) retirera la SA IPSec. Les entrées de log du routeur peuvent être stockées sur le routeur et transmises simultanément vers un serveur de log pour le stockage permanent (si né- cessaire). Sur le routeur VPN d'extrémité, exécutez la commande logging buffered debug et ten- tez d'initier une nouveau tunnel IPSec en générant du trafic pour le site central. Routeur VPN d'extrémité distante ese−crybranch#show log Syslog logging: enabled (0 messages dropped, 1 messages rate−limited, 0 flushes, 0 overruns, xml disabled, filtering disabled) Console logging: level debugging, 5692 messages logged, xml disabled, filtering disabled Monitor logging: level debugging, 0 messages logged, xml disabled, Buffer logging: level debugging, 5692 messages logged, xml disabled, Logging Exception size (4096 bytes) Count and timestamp logging messages: disabled Trap logging: level informational, 5676 message lines logged Log Buffer (4096 bytes): Feb 2 20:25:53.923: %CRYPTO−5−IKMP_INVAL_CERT: Certificate received from is bad: certificate invalid !−−− Note: Vous pourrez voir, via la commande show crypto isakmp sa !−−− le routeur d'extrémité se connecte et la SA ISAKMP va à MM_KEY_EXCH. !−−− Cependant elle ne passera jamais à QM_IDLE. !−−− Note: En caractères gras ci-dessus, c'est le message de log qu'un !−−− administrateur peut s'attendre à voir quand un routeur avec !−−− certificat révoqué tente de se connecter au site central qui trouve !−−− le numéro de série du certificat du routeur dans la CRL, dans cette !--- version de code de l'IOS Cisco. !−−− Note: Notez que la commande ping échoue et que le routeur distant !−−− ne peut pas obtenir QM_IDLE in ISAKMP et n'est pas capable de monter !−−− un tunnel IPSec (IPSec SAs) vers le routeur VPN central. !−−− Il n'y a plus de tunnel possible pour ce routeur d'extrémité !--- maintenant que le certificat a été révoqué. ccnp_cch

7 ccnp_cch Routeur VPN central ese−cryagg#show log
Syslog logging: enabled (0 messages dropped, 1 messages rate−limited, 0 flushes, 0 overruns, xml disabled, filtering disabled) Console logging: level debugging, 5692 messages logged, xml disabled, filtering disabled Monitor logging: level debugging, 0 messages logged, xml disabled, Buffer logging: level debugging, 5692 messages logged, xml disabled, Logging Exception size (4096 bytes) Count and timestamp logging messages: disabled Trap logging: level informational, 5676 message lines logged Log Buffer (4096 bytes): Feb 2 20:25:53.923: %CRYPTO−5−IKMP_INVAL_CERT: Certificate received from is bad: certificate invalid !−−− Note: Vous pourrez voir, via la commande show crypto isakmp sa !−−− le routeur d'extrémité se connecte et la SA ISAKMP va à MM_KEY_EXCH. !−−− Cependant elle ne passera jamais à QM_IDLE. !−−− Note: En caractères gras ci-dessus, c'est le message de log qu'un !−−− administrateur peut s'attendre à voir quand un routeur avec !−−− certificat révoqué tente de se connecter au site central qui trouve !−−− le numéro de série du certificat du routeur dans la CRL, dans cette !--- version de code de l'IOS Cisco. ccnp_cch


Télécharger ppt "(Certificate Revocation List)"

Présentations similaires


Annonces Google