Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
IOS Cisco - Serveur de Certificat
ccnp_cch
2
Sommaire ● Introduction - Contenu certificat
● Prérequis pour l'IOS Cisco Serveur de Certificat ● Restrictions pour l'IOS Cisco Serveur de Certificat ● Information sur l'IOS Cisco Serveur de Certificat - Paire de clés, Certificat et Point de confiance du serveur de certificat - Archivage automatique du Serveur de certificat Liste de révocation de certificats Etats du serveur de certificat Demandes de certificat Mode RA Messages d'information au démarrage ● Comment configurer la fonctionnalité serveur de certificat - Génération et exportation de clés RSA du serveur de certificat Valider le serveur de certificat Configurer la fonctionnalité serveur de certificat Spécification des paramètres du traitement de la demande de certificat Retirer des requêtes de la base de données des requêtes de certificat Vérifier et résoudre les problèmes du Serveur de certificat, du certificat et d'état de la CA Restauration d'un serveur de certificat à partir des fichiers de sauvegarde du serveur de certificat Configurer un serveur de certificat en mode RA - Retirer un serveur de certificat ccnp_cch
3
● Exemples de configuration pour valider un serveur de certificat
- Serveur de certificat validé sur un routeur Configuration de base d'un serveur de certificat Retirer les requêtes de certificat de la base de données des requêtes Auto-archivage des clés du Serveur de certificat racine Restauration d'un serveur de certificat à partir des fichiers de sauvegarde d'un serveur de certificat Serveur de certificat en mode RA ● Références additionnelles - Documents liés - Standards - MIBs - RFCs ccnp_cch
4
Introduction La fonctionnalité Cisco IOS Certificate Server embarque un serveur de certificat simple avec des fonctions d'autorité de certification limitées (CA) dans le logiciel de l'IOS Cisco. Ainsi les avantages suivants sont fournis à l'utilisateur. ● Déploiement plus aisé d'une infrastructure PKI (Public Key Infrastructure) en défi nissant un comportement par défaut. L'interface utilisateur est plus simple car les comportements par défaut sont prédéfinis. Cela veut dire que vous bénéficiez des avantages de l'évolutivité de PKI sans toutes les extensions de certificat que fournit une CA (Certificate Authority) et par la même vous permettent de valider aisément un réseau sécurisé PKI de base. ● Intégration directe dans le logiciel IOS Cisco. Historique de la fonctionnalité IOS Cisco Serveur de certificat Release Modification 12.3(4)T Cette fonctionnalité a été introduite. 12.3 (7)T Le mode Certificate server Registration Authority (RA) a été ajouté. 12.3(11)T Les améliorations Certificate Server Auto Archive et Clear Certificate Server Enrollment Request Database ont été ajoutées. Contenu ● Prérequis pour l'IOS Cisco Serveur de Certificat ● Restrictions pour l'IOS Cisco Serveur de Certificat ● Information sur l'IOS Cisco Serveur de Certificat ● Comment configurer la fonctionnalité serveur de certificat ● Exemples de configuration pour valider un serveur de certificat ● Références additionnelles Prérequis pour l'IOS Cisco Serveur de Certificat ● Le serveur de certificat supporte SCEP (Simple Certificate Enrollment Protocol) sur HTTP. Le serveur HTTP doit être validé sur le routeur pour que le serveur de certifi- cat utilise SCEP. (Pour valider le serveur HTTP, utilisez la commande ip http server). Le serveur de certificat validera ou dévalidera automatiquement les services SCEP après validation ou dévalidation du serveur HTTP. Si le serveur HTTP n'est pas vali- dé, seul un enrôlement manuel PKCS10 est supporté. ● Les services de temps doivent être opérationnels sur le routeur car le serveur de certificat doit avoir une connaissance fiable du temps. Si une horloge matérielle n'est pas disponible, le serveur de certificat dépendra de paramètres d'horloge con- figurés manuellement, tels que NTP (Network Time Protocol). S'il n'y a pas d'horloge ccnp_cch
5
ccnp_cch matérielle, le message suivant est affiché au démarrage:
% Time has not been set. Cannot start the Certificate server. Après que l'horloge ait été fixée, le serveur de certificat passera automatiquement à l'état opérationnel. (voir l'exemple de sortie de la commande show crypto pki server dans la section "Exemple : Serveur de certificat validé sur un routeur") Pour plus d'information sur la configuration des paramètres d'horloge voir la section "Setting Time and Calendar Services" dans le chapitre "Performing Basic System Management” of the Cisco IOS Configuration Fundamentals and Network Manage ment Configuration Guide. Restrictions pour l'IOS Cisco Serveur de Certificat ● Le serveur de certificat ne fournit pas de mécanisme pour modifier la requête de certificat qui est reçue du client; ce qui veut dire que le certificat qui est issu du serveur de certificat correspond à la requête de certificat sans modification. Si une politique, telle une contrainte de nom, doit être gérée, la politique doit être comprise dans la requête du certificat. ● Quand l'IOS Cisco serveur de certificat agit comme une RA, la CA d'origine doit être un IOS Cisco serveur de certificat. ● Un seul serveur de certificat est supporté dans la hiérarchie Le serveur de certificat génère automatiquement une paire de clés RSA (Rivest Shamir -Aldeman) de 1024 bits. Vous devez générer manuellement une paire de clés RSA si vous préférez des clés plus grandes. (Pour plus d'informations sur cette tâche, voir la section "Générer et Exporter une paire de clés RSA de Serveur de Certificate" plus dans ce document.) ● L'auto-archivage ne se produit pas si vous générez manuellement la clé de la CA et que vous la marquez "no exportable". Information sur l'IOS Cisco Serveur de Certificat Pour configurer un serveur de certificat, vous devez comprendre les concepts suivants: ● Paire de clés, Certificat et Point de confiance du serveur de certificat ● Auto-archivage du Serveur de certificat ● Liste de révocation de certificats ● Etats du serveur de certificat ● Demandes de certificat ● Mode RA ● Messages d'information au démarrage ccnp_cch
6
Paire de clés, Certificat et Point de confiance du serveur de certificat Le serveur de certificat utilisera une paire de clés IOS Cisco comme clé de la CA. Cette paire de clés doit avoir le même nom que le serveur de certificat. Si vous ne gé- nérez pas la paire de clés avant la création du serveur de certificat sur le routeur, une paire de clés à usage général sera automatiquement générée pendant la configuration du serveur de certificat. Si la paire de clés est générée automatiquement, elle ne sera pas marquée comme exportable. Ainsi, vous devez générer manuellement la paire de clés comme exportable si vous voulez sauvegarder la clé de la CA. (Pour plus d'infor- mation, voir la section "Générer et exporter une paire de clés RSA d'un serveur de certificat".) Note: L'amélioration "Certificate Server Auto Archive" a été introduite dans l'IOS Cisco Release 12.3(11)T. avec cette amélioration, le certificat de la CA et les clés de la CA seront sauvegardés automatiquement dès leur génération par le serveur de certificat. Le résultat est qu'il n'est pas nécessaire de générer une clé de CA exportable si une sauvegarde de la CA est désirée. Pour plus d'information voir la section "Autoarchiva- ge du serveur de certificat". Le serveur de certificat aura également un point de confiance généré automatique- ment avec le même nom; le point de confiance (trustpoint) stockera le certificat du ser- veur de certificat. Une fois que le routeur a détecté qu'un point de confiance est utili- sé pour stocker le certificat du serveur de certificat, le point de confiance est verrouil- lé ainsi il ne pourra pas être modifié. (Avant de configurer le serveur de certificat, vous pouvez créer manuellement et paramétrer ce point de confiance ce qui vous per- met de spécifier une paire de clés RSA alternative ( avec la commande rsakeypair). Si le serveur est un serveur de certificat racine, il utilisera des paires de clés RSA et plusieurs autres attributs pour générer un certificat auto-signé. Le certificat associé à la clé de la CA aura les extensions d'utilisation de clés suivantes: Signature numé- rique, Signature de certificat, signature de CRL (Certificate Revocation List). Note: Une fois que le certificat de la CA est généré, les attributs peuvent être changés uniquement si le serveur de certificat est détruit. Auto-archivage du Serveur de certificat L'amélioration d'archivage automatique du serveur de certificat vous permet, au dé- marrage initial, d'archiver le certificat de la CA et la clé de la CA qui pourront être restaurés si la copie originale ou la configuration originale est perdue. Quand le ser- veur de certificat est mis en service la première fois, le certificat de la CA et la clé de la CA seront générés. Si l'amélioration "Certificate Server Auto Archive" est validée, ils seront exportés (archivés) dans la base de données du serveur. L'archive peut être au format PKCS12 ou PEM (Privacy-Enhanced Mail). Note: ● Cette action d'archivage se produit une seule fois. Seule la clé de la CA qui a été générée manuellement et marquée exportable ou générée automatiquement par le serveur sera archivée (cette clé sera marquée non-exportable). ccnp_cch
7
● En plus du fichier d'archive du certificat de la CA et de la clé de la CA, vous devez
aussi sauvegarder régulièrement le fichier de série (.ser) et le fichier de CRL (.crl) Le fichier de série et le fichier CRL sont tous les deux critiques pour le fonctionne- ment de la CA si vous avez besoin de restaurer vote serveur de certificat Si vous voulez plus tard sauvegarder votre serveur de certificat vous ne pourrez peut-être pas exporter la clé de la CA qui est nécessaire pour réaliser la sauvegarde si celle-ci n'est pas marquée "exportable" (ce qui est le cas lorsque la clé a été géné- rée automatiquement. Listes de révocation de certificat Les CRLs sont générées une fois à chaque période via la commande lifetime crl. Par la suite, la CRL est écrite dans la base de données spécifiée comme ca-label.crl (dans lequel ca-label est le nom du serveur de certificat). Il est de la responsabilité de l'ad- ministrateur réseau de s'assurer que la CRL est disponible depuis le lieu qui est spé- cifié via la commande cdp-url. Si la commande cdp-url n'est pas spécifiée, l'extension du point de distribution de certificat (CDP) ne sera pas incluse dans les certificats qui seront générés par le serveur. Ainsi, les clients Cisco IOS PKI utiliseront automatique- ment SCEP pour retrouver une CRL depuis le serveur de certificat ce qui donne une charge additionnelle au serveur de certificat car il faut fournir le support de serveur SCEP pour chaque requête CRL. Note: ● La CRL sera toujours disponible via SCEP qui est validé par défaut si le serveur HTTP est validé. ● Pour de larges déploiements de PKI, il est recommandé de configurer un CDP basé sur HTTP. Par exemple l'URL CDP L'URL CDP peut être changée après que le serveur de certificat soit opérationnel mais les certificats existants be seront pas resservis avec la nouvelle CDP spécifiée via la commande cdp-url Quand une nouvelle CRL est créée, le serveur de certificat obtient la CRL précédente fait les changements appropriés et révoque la nouvelle CRL. Une nouvelle CRL est gé- nérée après une révocation par la CLI. Si ce processus affecte de manière négative les performances du routeur, la commande crypto pki server revoke peut être utilisée pour révoquer une liste ou un intervalle de certificats. Note: Une nouvelle CRL ne peut pas être générée sauf si la CRL courante est révoquée ou changée. Le serveur de certificat supporte uniquement un seul CDP; aussi tous les certificats qui sont générés ont la même CDP. ccnp_cch
8
Etats du serveur de certificat Au démarrage, le serveur de certificat doit vérifier la configuration courante avant de générer des certificats. Lorsqu'il démarre, le serveur de certificat passe dans les états définis par le tableau suivant. Pour voir l'état du serveur de certificat, utilisez la com- mande show crypto pki server. Etat du Serveur de Certificat Description configured Le serveur est disponible et a généré les certificats du serveur de certificat. storage configuration incomplete Le serveur est en train de vérifier que le lieu de stockage est disponible. waiting for HTTP server Le serveur est en train de vérifier que le serveur HTTP est opérationnel. waiting for time setting Le serveur est en train de vérifier que le temps a bien été configuré. Le serveur de certificat est validé après être passé avec succès dans tous les états du démarrage. Si le serveur de certificat subit une défaillance critique à tout moment telle que l'impossibilité de publier une CRL, le serveur de certificat entre automatique- ment dans l'état dévalidé. Cet état permet à l'administrateur de résoudre le problème; après cela le serveur de certificat retourne à l'état normal précédent. Demande de certificat Une requête de demande de certificat fonctionne comme suit: ● Le serveur de certificat reçoit la requête d'enrôlement venant de l'utilisateur final, les actions suivantes sont réalisées: - Une entrée de requête est créée dans la base de données des requêtes d'enrôle ment avec l'état initial (Voir tableau pour avoir la liste complète des états de l'en rôlement de certificat) ● Le serveur de certificat se réfère à la configuration CLI (ou au comportement par défaut pour tout paramètre non spécifié) pour déterminer l'autorisation de la re quête. Après cela, l'état de la requête d'enrôlement est mis à jour dans la base de données de requête d'enrôlement ● A chaque requête SCEP pour une réponse, le serveur de certificat examine la re quête en cours et exécute une des actions suivantes: Répond à l'utilisateur final avec un état "pending" ou "denied" Achemine la requête vers le cœur de la CA dans lequel il génère et signe le certi ficat approprié, stocke le certificat dans la base de données des requêtes d'enrô lement et retourne la requête au serveur de certificat serveur SCEP embarqué qui va répondre à l'utilisateur final avec le certificat sur la prochaine requête SCEP. ccnp_cch
9
Si la connexion du client est fermée, le serveur de certificat attendra que le client fasse
une autre requête de certificat. Tout enrôlement demande des transitions par les états qui sont définis dans le tableau précédent. Pour voir les requêtes d'enrôlement courantes, utilisez la commande crypto pki server request pkcs10. Etat de l'enrôlement du Certificat Description authorized Le serveur de certificat a autorisé la requête. denied Le serveur de certificat refusé la requête sur la base d'une politique. granted Le cœur de la CA a généré le certificat appro- prié pour la requête de certificate. initial La requête a été créée par le serveur SCEP. malformed Le serveur de certificat a déterminé que la requête est invalide pour des raisons de cryptage. pending La requête d'enrôlement doit être acceptée manuellement par l'administrateur réseau. Réenrôlement SCEP Toutes les requêtes SCEP sont traitées comme de nouvelles requêtes de demande de certificat même si la requête spécifie un "subject-name" ou une paire de clés dupli- qués par rapport à la requête précédente. Quand une requête d'enrôlement est servie, il n'y a pas de recherche étendue dans la base de données. Effacement de la base de données d'enrôlement de serveur de certificat Après que le serveur de certificat ait reçu une requête d'enrôlement, le serveur peut laisser la requête en état d'attente, la rejeter ou la servir. La requête reste dans la base de données d'enrôlement pendant une semaine en attendant que le client interroge le serveur de certificat pour le résultat de la requête. L'amélioration de l'effacement de la base de données des requêtes d'enrôlement vous permet de retirer une ou toutes les requêtes de la base de données, ceci est très utile dans le cas ou le client n'interroge pas le serveur de certificat. De plus cette amélioration qui utilise la commande crypto pki server remove permet au serveur de revenir à un état plus net par rapport aux clés et aux IDs de transac- tions. Egalement la commande crypto pki server remove est une commande très utile durant la résolution de problèmes avec un client SCEP qui n'aurait pas un com- portement approprié. Mode RA RA est l'autorité chargée de l'enregistrement ou de la vérification de tout ou partie des données requises pour la CA afin de générer des certificats. Dans beaucoup de cas la CA prendra toutes les fonctions de la RA elle-même mais lorsque la CA opère sur une grande zone géographique ou quand il y a des problèmes de sécurité sur l'exposition ccnp_cch
10
de la CA à la périphérie du réseau, il est administrativement préférable de déléguer quelques tâches vers une RA et laisser la CA se concentrer sur ses tâches principales de signature de certificat et de CRLs. Un serveur de certificat IOS Cisco peut être configuré pour opérer en mode RA. Quand la RA reçoit une requête d'enrôlement manuel ou SCEP, l'administrateur peut la rejeter ou la servir sur la base de la politique locale. Si la requête est servie, elle sera acheminée jusqu'à la CA et la CA génèrera automatiquement le certificat et le retour- nera à la RA. Le client pourra récupérer le certificat délivré à partir de la RA. Messages d'information au démarrage Si le serveur de certificat fait partie de votre configuration de démarrage, vous pouvez voir ces messages pendant la procédure de démarrage: % Failed to find Certificate Server’s trustpoint at startup % Failed to find Certificate Server’s cert. Les messages ci-dessus sont à titre d'information et indiquent une impossibilité tem- poraire de configurer le serveur de certificat car la configuration de démarrage n'a pas été encore complètement lue. Ces messages sont utiles pour résoudre des problèmes si la configuration de démarrage a été corrompue. Vous pouvez vérifier l'état du serveur de certificat après la procédure de boot en utili- sant la commande show crypto pki server. Comment configurer la fonctionnalité serveur de certificat ● Générer et exporter la paire de clés RSA du serveur de certificat (Optionnel) ● Valider le serveur de certificat (Requis) ● Configurer la fonctionnalité serveur de certificat (Optionnel) ● Spécification des paramètres du traitement de l'enrôlement (Optionnel) ● Retirer des requêtes de la base de données des requêtes d'enrôlement (Optionnel) ● Vérification et résolution de problèmes du serveur de certificat, du certificat et de l'état de la CA (Optionnel) ● Restaurer un serveur de certificat à partir des fichiers de sauvegarde du serveur de certificat (Optionnel) ● Configurer un serveur de certificat pour qu'il opère en mode RA ● Effacer un serveur de certificat ccnp_cch
11
Générer et exporter la paire de clés RSA du serveur de certificat
Exécutez cette tâche pour générer manuellement une paire de clés RSA exportable pour le serveur de certificat. Si cette tâche n'est pas effectuée, le serveur de certificat génèrera une paire de clés qui ne sera pas marquée comme exportable. Note: ● L'amélioration "Server Auto Archive" a été introduite dans l'IOS Cisco Release 12.3(11)T. le résultat est que la tâche "Générer et exporter la paire de clés RSA du serveur de certificat" n'est plus nécessaire si vous gardez le fichier archive en lieu sur ● En plus de garder la clé privée dans un lieu sur, il est recommandé d'archiver ré gulièrement la base de données du serveur de certificat. Résumé des étapes 1. enable 2. configure terminal 3. crypto key generate rsa general-keys label key-label exportable 4. crypto key export rsa key-label pem {terminal | url url} {3des | des} passphrase 5. crypto key import rsa key-label pem [usage-keys] {terminal | url url} [exportable] passphrase 6. exit 7. show crypto key mypubkey rsa Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Entrée en mode EXEC privilégié. • Entrez votre mot de passe si celui-ci est demandé. configure terminal Routeur# configure terminal Entrée en mode de configuration global. crypto key generate rsa general-keys label key-label exportable Routeur(config)# crypto key generate rsa general-keys label mycs exportable Génère la paire de clés RSA pour le serveur de certificat. Note: Vous devez utiliser le même nom pour la paire de clés (key-label) que vous projetez d'utiliser pour le serveur de certificat (via la commande crypto pki server cs-label). Note: Si vous générez manuellement la paire de clés RSA exportable et que vous attendiez jusqu'à ce que le serveur de certificat ait été généré avant l'entrée de la commande no shutdown, vous pouvez utiliser la commande crypto ca export pkcs12 pour exporter un fichier PKCS12 contenant le certificat du ser- veur de certificat ainsi que la clé privée. ccnp_cch
12
Commande ou Action But crypto key export rsa key-label pem {terminal | url url} {3des | des} passphrase Exemple: Routeur(config)# crypto key export rsa mycs pem url nvram: 3des PASSWORD Exports the generated RSA key pair. crypto key import rsa key-label pem [usage-keys] {terminal | url url} [exportable] passphrase Routeur(config)# crypto key import rsa mycs2 pem url nvram: mycs PASSWORD (Optionnel) Importe la paire de clés RSA. Note: Si vous ne voulez pas que la paire de clés soit exportable depuis le serveur de certi- ficat, importez la de nouveau vers le serveur de certificat après qu'elle ait été exporté comme non exportable depuis votre serveur de certificat. Ainsi la clé ne pourra plus être de nouveau exportable. exit Router (config)# exit Retour en mode EXEC privilégié. show crypto key mypubkey rsa Routeur# show crypto key mypubkey rsa Affiche les publiques RSA sur votre routeur. Pour plus d'informations sur l'exportation et l'importation de clés RSA, voir la fonc- tionnalité "Import of RSA Key Pair and Certificates in PEM Format, Cisco IOS Release 12.3(4)T". Exemples L'exemple suivant montre comment générer, exporter, importer et vérifier l'état d'une paire de clés RSA. ! Génère une paire de clés ! Router(config)# crypto key generate rsa general-keys label mycs exportable The name for the keys will be: mycs Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys ...[OK] ccnp_cch
13
! Archive la paire dec clés vers un autre lieu et utilise un mot de passe ! correct.
Router(config)# crypto key export rsa mycs pem url nvram: 3des PASSWORD % Key name: mycs Usage: General Purpose Key Exporting public key... Destination filename [mycs.pub]? Writing file to nvram:mycs.pub Exporting private key... Destination filename [mycs.prv]? Writing file to nvram:mycs.prv ! Importe la clé sous un autre nom. Router(config)# crypto key import rsa mycs2 pem url nvram:mycs PASSWORD % Importing public key or certificate PEM file... Source filename [mycs.pub]? Reading file from nvram:mycs.pub % Importing private key PEM file... Source filename [mycs.prv]? Reading file from nvram:mycs.prv% Key pair import succeeded. ! Une fois que la clé a été importée, elle n'est plus exportable. ! Vérifie l'état de la clé. Router# show crypto key mypubkey rsa % Key pair was generated at: 18:04:56 GMT Jun Key name: mycs Key is exportable. Key Data: 30819F30 0D06092A F7 0D D E65253 9C30C12E 295AB73F B1DF9FAD 86F D4FA4D2 8BA7FB BAB9 373A31CB A6B1B8F4 329F2E7E 8A50997E AADBCFAA 23C29E19 C45F4F05 DBB2FA51 4B7E9F79 A D6BC3 5DFB5D7F BCF655BF 6317DB12 A D8DC6A3 D31B2486 C9C96D2C 2F70B50D 3B4CDDAE F661041A 445AE11D 002EEF08 F2A627A0 5B % Key pair was generated at: 18:17:25 GMT Jun Key name: mycs2 Key is not exportable. ccnp_cch
14
! Vérifie l'état de la clé. ! Router# show crypto key mypubkey rsa % Key pair was generated at: 18:04:56 GMT Jun Key name: mycs Usage: General Purpose Key Key is exportable. Key Data: 30819F30 0D06092A F7 0D D E65253 % Key pair was generated at: 18:17:25 GMT Jun Key name: mycs2 Key is not exportable. ! Garde les fichiers PEM en lieu sur. ! Maintenant vous pouvez effacer la clé exportable "mycs" et configurer un ! serveur de certificat "mycs2" pour qu'il utilise la clé non-exportable. Router# configure terminal Router(config)# crypto key zeroize rsa mycs Que faire ensuite Après avoir généré manuellement une paire de clés RSA, vous pouvez valider le ser- veur de certificat en utilisant la paire de clés générée manuellement. Vous allez confi- gurer le serveur e certificat normalement sauf que le serveur de certificat ne génèrera pas de nouvelle paire de clés car vous en avez déjà crée une. Aussi le serveur de cer- tificat devra utiliser le même nom de que la paire de clés que vous venez de créer ma- nuellement. Pour valider le serveur de certificat, voir la section "Valider un serveur de certificat". Valider un serveur de certificat Exécutez cette tâche pour configurer le serveur de certificat IOS Cisco. Résumé des étapes 1. enable 2. configure terminal 3. ip http server 4. crypto pki server cs-label ccnp_cch
15
Commande ou Action But enable Exemple: Routeur> enable Entrée en mode EXEC privilégié. • Entrez votre mot de passe si celui-ci est demandé. configure terminal Routeur# configure terminal Entrée en mode de configuration global. ip http server Routeur (config)# ip http server Valide le serveur HTTP sur votre système. crypto pki server cs-label Routeur (config)# crypto pki server server-pki Valide le serveur de certificat et entre en mode de configuration serveur de certificat. Note: Si vous générez manuellement une paire de clé RSA, l'argument cs-label doit correspon- dre au nom de la paire de clés. Note: Le cs-label ne doit pas excéder 13 carac- tères. Que faire ensuite Après avoir validé le serveur de certificat, vous pouvez utiliser les valeurs par défaut préconfigurées ou spécifier des valeurs via la CLI pour la fonctionnalité serveur de certificat. Si vous choisissez de spécifier des valeurs autres que celles par défaut, voir la section "Configuration de la fonctionnalité serveur de certificat". ccnp_cch
16
Configurer la fonctionnalité serveur de certificat
Exécutez cette tâche pour configurer les valeurs de base de la fonctionnalité serveur de certificat. Résumé des étapes database url root-url 2. database level {minimal | names | complete} 3. database username username [password password] 4. database archive {pkcs12 | pem} [password password] 5. issuer-name DN-string 6. lifetime {ca-certificate | certificate} time 7. lifetime crl time 8. lifetime enrollment-request time 9. cdp-url url 10. no shutdown Etapes détaillées Commande ou Action But database url root-url Exemple: Routeur (cs-server)# database url tftp://mytftp Spécifie l'endroit vers lequel les entrées de la base de données du serveur de certificat sont sauvegardées. Si cette commande n'est pas exécutée, toutes les entrées de la base de données seront sauvegardées en NVRAM. database level {minimal | names | complete} Routeur (cs-server)# database level complete Contrôle le type de données qui est stocké dans la base de données d'enrôlement de certificat. • minimal - Il y a assez d'information de stockée uniquement pour générer de nou- veaux certificats sans conflit; c'est la valeur par défaut. • names - En plus de l'information donnée dans le niveau minimal, il y a le numéro de série et le nom du sujet du certificat. • complete - En plus de l'information donnée aux niveaux minimal et names, chaque certificat généré est inscrit dans la base de données. Note: Le mot-clé complete produit un grand volume d'information; s'il est mentionné vous devez également spécifier un serveur TFTP externe pour stocker les données via la com- mande database url. database username username [password password] Routeur (cs-server)# database username user1 password cisco123 Requiert un username ou un mot de passe pour accéder à un emplacement de stockage de base de données d'enrôlement de certificat. • Si le mot de passe est configuré, il sera crypté. ccnp_cch
17
ccnp_cch Commande ou Action But
database archive {pkcs12 | pem} [password password] Exemple: Routeur(cs-server)# database archive pem password cisco123 (Optionnel) Fixe le format de la clé de la CA et de l'archive du certificat et le mot de passe pour crypter le fichier. • La valeur par défaut est une archive base de données pkcs12. Si cette sous-comman- de n'est pas entrée, l'archivage automatique sera toujours fait et le format de fichier PKCS12 sera utilisé. • Le mot de passe est optionnel. Si celui-ci n'est pas configuré, il vous sera demandé quand le serveur sera démarré la première fois. Note: Il n'est pas recommandé de retirer le mot de passe de la configuration une fois que l'archivage est terminé. issuer-name DN-string Routeur(cs-server)# issuer-name CN=ipsec_cs,L=Santa Cruz,C=US Fixe le nom de génération de la CA pour spécifier le DN-string. La valeur par défaut est la suivante: issuer-name cn={cs-label}. lifetime {ca-certificate | certificate} time Routeur(cs-server)# lifetime ca-certificate 30 (Optionnel) Spécifie la durée de vie, en jours, d'un certificat de ou d'un certificat. L'inter- valle de valeurs valides va de 1 à 1825 jours. La durée de vie par défaut d'un certificat de CA est de 3 ans; La durée de vie par défaut d'un certificat est 1 an. La durée de vie maxi- mum d'un certificat est celle de la durée de vie du certificat de la CA moins un mois. lifetime crl time Routeur(cs-server)# lifetime crl 24 (Optionnel) Définit la durée de vie, en heures, de la CRL qui est utilisée par le serveur de certificat. La durée de vie maximum est de 336 heures (2 semaines). La valeur par défaut est de 168 heures (1 semaine). lifetime enrollment-request time Routeur (cs-server)# lifetime enrollment-request 24 (Optionnel) Spécifie combien de temps une requête d'enrôlement doit rester dans la base de données d'enrôlement avant d'être retirée. cdp-url url Routeur (cs-server)# cdp-url Définit un CDP à utiliser dans les certificats qui sont générées par le serveur de certificat. L'URL doit être une URL HTTP. no shutdown Routeur (cs-server)# no shutdown Valide le serveur de certificat. Vous devez entrer cette commande après avoir configurer complètement votre serveur de certificat. ccnp_cch
18
Spécification des paramètres du traitement de la demande de certificat
SCEP qui est seul protocole d'enrôlement supporté, supporte deux mécanismes d'au- thentification de client: manuel et clés pré-partagées. L'enrôlement manuel requiert que l'administrateur du serveur de la CA autorise de manière spécifique les requêtes d'enrôlement; l'enrôlement utilisant les clés pré-partagées permet à l'administrateur de pré-autoriser les requêtes d'enrôlement en générant un mot de passe à usage uni- que. Choisissez parmi ces étapes optionnelles pour spécifier les paramètres de traite- ment de l'enrôlement qui doivent être utilisé par SCEP. Résumé des étapes 1. enable 2. crypto pki server cs-label grant {all | req-id} 3. crypto pki server cs-label reject {all | req-id} 4. crypto pki server cs-label password generate [minutes] 5. crypto pki server cs-label revoke certificate-serial-number 6. crypto pki server cs-label request pkcs10 {url | terminal} [pem] 7. crypto pki server cs-label info crl 8. crypto pki server cs-label info requests Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Entrée en mode EXEC privilégié. • Entrez votre mot de passe s'il vous est demandé. crypto pki server cs-label grant {all | req-id} Routeur# crypto pki server mycs grant all Sert toutes les requêtes SCEP. crypto pki server cs-label reject {all| req-id} Routeur# crypto pki server mycs reject all Rejette toutes les requêtes SCEP. crypto pki server cs-label password generate [minutes] Routeur# crypto pki server mycs password generate 75 Génère un mot de passe à usage unique (OTP) pour les requêtes SCEP. • minutes - Durée de validité en minutes du mot de passe. L'intervalle de valeurs valides va de 1 à 1440 minutes. La valeur par dé- faut est de 60 minutes. Note: Un seul OTP est valide valid à un mo- ment donné; si un second OTP est généré, le précédent n'est plus valide. ccnp_cch
19
Retirer des requêtes de la base de données des requêtes de certificat
Commande ou Action But crypto pki server cs-label revoke certificate-serial-number Exemple: Routeur# crypto pki server mycs revoke 3 Révoque un certificat sur la base de son nu- méro de série. • Le numéro de série peut être un nombre hexadécimal avec un préfixe “0x” (0x4c par exemple) ou un nombre décimal (76 par exemple). crypto pki server cs-label request pkcs10 {url| terminal} [pem] Routeur# crypto pki server mycs request pkcs10 terminal pem Ajoute manuellement une requête d'enrôle- ment PKCS10 formatée soit base64ou PEM PKCS10 à la base de données des requêtes. Une fois que le certificat est servi, il est affiché sur la console du terminal en base64; si le mot-clé pem est spécifié, les en-têtes PEM sont également ajouté au certificat. crypto pki server cs-label info crl Routeur# crypto pki server mycs info crl Affiche les informations concernant l'état de la CRL courante. crypto pki server cs-label info requests Routeur# crypto pki server mycs info requests Affiche les informations concernant les requêtes de certificat en attente. Retirer des requêtes de la base de données des requêtes de certificat Pour retirer des requêtes de la base de données des requêtes d'enrôlement, exécutez les étapes suivantes: Résumé des étapes enable 2. crypto pki server cs-label remove {all | req-id} Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Entrée en mode EXEC privilégié. • Entrez votre mot de passe s'il vous est demandé. crypto pki server cs-label remove {all| req-id} Routeur# crypto pki server mycs remove 15 Retire les requêtes de la base de données des requêtes d'enrôlement. ccnp_cch
20
Vérifier et résoudre les problèmes du Serveur de certificat, du certificat et d'état de la CA
Utilisez n'importe laquelle de ces étapes pour vérifier l'état du serveur de certificat, du certificat ou de la CA. Résumé des étapes enable 2. show crypto pki server 3. show crypto ca certificates 4. debug crypto pki server 5. dir filesystem: Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Entrée en mode EXEC privilégié. • Entrez votre mot de passe s'il vous est demandé. show crypto pki server Routeur# show crypto pki server Affiche l'état et la configuration courante du serveur de certificat. show crypto ca certificates Routeur# show crypto ca certificates Affiche les informations sur votre certificat, le certificat de la CA et toute autorité d'enre- gistrement de certificat. debug crypto pki server Routeur# debug crypto pki server Valide le debugging pour un serveur de certificat PKI. • Cette commande peut être utilisée pour superviser la progression de l'enrôlement et la résolution de problèmes si le serveur de certificat ne répond pas ou si le serveur de certificat a des problèmes pour traiter la requête qui a été configurée. dir filesystem: Routeur# dir slot0: Affiche une list de fichiers sur un système de fichiers. • Cette commande peut être utilisée pour vérifier le fichier auto-archivé du serveur de certificat si la commande database url a été entrée pour pointer vers un système de fichiers local. Vous devez voir au moins les fichiers “cs-label.ser” et “cs-label.crl” dans la base de données. ccnp_cch
21
Exemples L'exemple de sortie suivant de la commande show crypto pki server montre l'état du serveur de certificat et le paramètres du serveur: Router# show crypto pki server Certificate Server status:enabled, configured Granting mode is:manual Last certificate issued serial number:0x1 CA certificate expiration timer:19:31:15 PST Nov CRL NextUpdate timer:19:31:15 PST Nov Current storage dir:nvram: Database Level:Minimum - no cert data written to storage L'exemple de sortie suivant de la commande debug crypto pki server est une sortie typique qui peut être utilisée résoudre les problèmes ou vérifier la progression de l'enrôlement d'un certificat ! Received client "crypto ca authenticate" request. Aug 23 21:25:12.893: CRYPTO_CS: received a SCEP GetCACert request Aug 23 21:25:12.897: CRYPTO_CS: CA certificate sent Aug 23 21:25:25.449: CRYPTO_CS: enter FSM: input state enabled, input signal time set Aug 23 21:25:25.449: CRYPTO_CS: exit FSM: new state enabled ! Received client "crypto ca enroll" request. Aug 23 21:25:35.585: CRYPTO_CS: received a SCEP request Aug 23 21:25:35.589: CRYPTO_CS: read SCEP: registered and bound service SCEP_READ_DB_1 Aug 23 21:25:35.653: CRYPTO_CS: scep msg type - 19 Aug 23 21:25:35.653: CRYPTO_CS: trans id - 080D7BFB739AD103B9C99F1A9BCFD2B7 Aug 23 21:25:36.325: CRYPTO_CS: read SCEP: unregistered and unbound service Aug 23 21:25:36.325: CRYPTO_CS: received an enrollment request ! Pending request ID is 1. Aug 23 21:25:36.329: CRYPTO_CS: reqID = 1 Aug 23 21:25:36.333: CRYPTO_CS: write SCEP: registered and bound service SCEP_WRTE_DB_1 Aug 23 21:25:37.045: CRYPTO_CS: write SCEP: unregistered and unbound service Aug 23 21:25:37.049: CRYPTO_CS: sent SCEP pending reply Aug 23 21:25:38.589: CRYPTO_CS: received a SCEP request Aug 23 21:25:38.593: CRYPTO_CS: read SCEP: registered and bound service SCEP_READ_DB_2 Aug 23 21:25:38.653: CRYPTO_CS: scep msg type - 20 Aug 23 21:25:38.653: CRYPTO_CS: trans id - 080D7BFB739AD103B9C99F1A9BCFD2B7 Aug 23 21:25:39.325: CRYPTO_CS: read SCEP: unregistered and unbound service Aug 23 21:25:39.325: CRYPTO_CS: received an enrollment request Aug 23 21:25:39.325: CRYPTO_CS: reqID = 1 Aug 23 21:25:39.329: CRYPTO_CS: write SCEP: registered and bound service SCEP_WRTE_DB_2 Aug 23 21:25:40.037: CRYPTO_CS: write SCEP: unregistered and unbound service Aug 23 21:25:40.041: CRYPTO_CS: sent SCEP pending reply ccnp_cch
22
Router# ! Manually grant the request. Router# crypto pki server sub grant 1 Aug 23 21:25:53.833: CRYPTO_CS: Granting enrollment request 1 Aug 23 21:25:53.837: CRYPTO_CS: added key usage extension Aug 23 21:25:54.533: CRYPTO_CS: serial number 0x2 written. Aug 23 21:25:56.725: CRYPTO_CS: reqID=1 granted, fingerprint=919929D8C9B89607AB8FF53876F8E770 Aug 23 21:26:49.761: CRYPTO_CS: received a SCEP request Aug 23 21:26:49.765: CRYPTO_CS: read SCEP: registered and bound service SCEP_READ_DB_3 Aug 23 21:26:49.825: CRYPTO_CS: scep msg type - 20 Aug 23 21:26:49.829: CRYPTO_CS: trans id - 080D7BFB739AD103B9C99F1A9BCFD2B7 Aug 23 21:26:50.497: CRYPTO_CS: read SCEP: unregistered and unbound service ! Received client polling. Aug 23 21:26:50.497: CRYPTO_CS: received an enrollment request Aug 23 21:26:50.501: CRYPTO_CS: write SCEP: registered and bound service SCEP_WRTE_DB_3 Aug 23 21:26:51.293: CRYPTO_CS: write SCEP: unregistered and unbound service ! The granted certificate is returned to the client. Aug 23 21:26:51.305: CRYPTO_CS: Certificate sent to requestor. Restauration d'un serveur de certificat à partir des fichiers de sauvegarde du serveur de certificat Si la configuration de votre serveur de certificat est corrompue pour quelque raison que ce soit, vous pouvez restaurer le serveur de certificat en utilisant les fichiers de sauvegarde. Vous aurez besoin du fichier de série (.ser), du fichier CRL (.crl), du cer- tificat du serveur et de l'archive de clé de la CA (.p12 ou .pem). Vous aurez besoin éga- lement du mot de passe crypté pour le fichier archive. Si pour une raison quelconque ces fichiers ont été perdus ou le mot de passe est oublié, vous ne pourrez pas récupé- rer la configuration du serveur de certificat. (Pour des exemples de sortie dans les- quels des serveurs de certificat ont été restaurés en utilisant des fichiers de sauvegar- de, voir la section "Exemples : Restauration d'un serveur de certificat à partir des fichiers de sauvegarde"). ccnp_cch
23
ccnp_cch Résumé des étapes 1. enable 2. configure terminal
3. crypto pki trustpoint name 4. enrollment url url 5. subject-name x.500-name 6. exit 7. crypto pki server cs-label 8. mode ra 9. no shutdown Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Entrée en mode EXEC privilégié. • Entrez votre mot de passe s'il vous est demandé. configure terminal Routeur# configure terminal Entrée en mode de configuration global. crypto pki trustpoint name Routeur(config)# crypto pki trustpoint myra Déclare le trustpoint que votre serveur de certificat en mode RA doit utiliser et entre en mode de configuration ca-trustpoint. enrollment url url Routeur(ca-trustpoint)# enrollment url Spécifie l'URL d'enrôlement du serveur de certificat générateur. subject-name x.500-name Routeur(ca-trustpoint)# subject-name cn=myra, ou=ioscs RA, o=cisco, c=us Spécifie le subject name que la RA utilisera. Note: Incluez “cn=ioscs RA” or “ou=ioscs RA” dans le subject name ainsi le serveur de certificat générateur peut reconnaître la RA. exit Routeur(ca-trustpoint)# exit Sortie du mode de configuration ca-trustpoint. crypto pki server cs-label Routeur(config)# crypto pki server myra Valide un serveur de certificat IOS Cisco et entre en mode de configuration cs-server. • cs-label - Ne doit pas excéder 13 caractères. Note: Le serveur de certificat doit avoir le mê- me nom que le trustpoint crée précé- demment. ccnp_cch
24
Commande ou Action But mode ra Exemple: Routeur(cs-server)# mode ra Place le serveur PKI en mode serveur de certificat RA. no shutdown Routeur(cs-server)# no shutdown Revalide le serveur de certificat. Les étapes suivantes doivent être exécutées sur le routeur sur lequel opère le serveur générateur de certificat. Résumé des étapes 1. enable 2. crypto pki server cs-label info requests 3. crypto pki server cs-label grant req-id 4. configure terminal 5. crypto pki server cs-label 6. grant ra-auto Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Entrée en mode EXEC privilégié. • Entrez votre mot de passe s'il vous est demandé. crypto pki server cs-label info requests Routeur#crypto pki server mycs info requests Affiche les requêtes de certificat en attente sur la RA. Note: Cette commande est configurée sur le routeur qui opère sur le serveur de certificat générateur. Note: La requête de certificat RA peut unique- ment être identifiée si elle a "cn=ioscs RA" ou "ou=ioscs RA" dans le subject name. crypto pki server cs-label grant req-id Routeur#crypto pki server myc grant 12 Sert la requête RA de certificat en attente. Note: Comme le serveur de certificat généra- teur délègue la tâche de vérification de l'enrô- lement à la RA, vous devez faire très attention à la requête de certificat de la RA avant de la servir. configure terminal Routeur#configure terminal Entre en mode de configuration global. ccnp_cch
25
Commande ou Action But crypto pki server cs-label Exemple: Routeur(config)# crypto pki server mycs Valide un serveur de certificat IOS Cisco et entre en mode de configuration cs-server. cs-label - Ne doit pas excéder 13 caractères. grant ra-auto Routeur(cs-server)# grant ra-auto Spécifie que toutes les requêtes d'enregistre- ment issues de la RA sont automatiquement servies. Note: Pour que la commande grant ra-auto, fonctionne, vous devez inclure "cn=ioscs RA" ou "ou=iosc RA" dans le subject name du certificat de la RA. Effacer un serveur de certificat Pour effacer un serveur de certificat, exécutez les étapes suivantes: Note: Quand un serveur de certificat est effacé, le point de confiance et la clé sont automatiquement effacés. Résumé des étapes enable 2. configure terminal 3. no crypto pki server cs-label Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Entrée en mode EXEC privilégié. • Entrez votre mot de passe s'il vous est demandé. configure terminal Routeur# configure terminal Entrée en mode de configuration global. no crypto pki server cs-label Router(config)# no crypto pki server mycs Efface un serveur de certificat. ccnp_cch
26
Exemples de configuration pour valider un serveur de certificat
Cette section fournit les exemples suivants: ● Serveur de certificat validé sur un routeur ● Configuration de base d'un serveur de certificat ● Retirer les requêtes de certificat de la base de données des requêtes ● Auto-archivage des clés du Serveur de certificat racine ● Restauration d'un serveur de certificat à partir des fichiers de sauvegarde d'un ● serveur de certificat ● Serveur de certificat en mode RA Serveur de certificat validé sur un routeur Après que le serveur de certificat ait été validé sur un routeur, la commande show crypto pki server affiche la sortie suivante: Router# show crypto pki server Certificate Server status:enabled, configured Granting mode is:manual Last certificate issued serial number:0x1 CA certificate expiration timer:19:31:15 PST Nov CRL NextUpdate timer:19:31:15 PST Nov Current storage dir:nvram: Database Level:Minimum - no cert data written to storage Configuration de base d'un serveur de certificat L'exemple suivant montre comment configurer le serveur de certificat "ca": Router(config)# crypto pki server ca Router(cs-server)# no shutdown % Once you start the server, you can no longer change some of % the configuration. Are you sure you want to do this? [yes/no]: yes % Generating 1024 bit RSA keys ...[OK] % Certificate Server enabled. Router(cs-server)# end ! Router# show crypto pki server Certificate Server ca: Status: enabled, configured CA cert fingerprint: 5A F 55E8C D0AC3 Granting mode is: manual Last certificate issued serial number: 0x1 CA certificate expiration timer: 19:44:57 GMT Oct CRL NextUpdate timer: 19:45:25 GMT Oct Current storage dir: nvram: Database Level: Complete - all issued certs written as <serialnum>.cer ccnp_cch
27
Retirer les requêtes de certificat de la base de données des requêtes
Les exemples suivants montrent les requêtes d'enrôlement qui sont dans la base de données des requêtes d'enrôlement et le résultat après qu'une des requêtes d'enrôle- ment ait été retirée de la base de données. Requêtes d'enrôlement dans la base de données L'exemple suivant montre que la commande crypto pki server info requests a été utilisée pour afficher les requêtes d'enrôlement qui sont stockées dans la base de données des requêtes d'enrôlement. Router# crypto pki server myserver info requests Enrollment Request Database: RA certificate requests: ReqID State Fingerprint SubjectName Router certificates requests: pending 1B07F3021DAAB0F19F35DA25D01D hostname=host1.cisco.com denied D2DC70B3F8EF3D03A795CF hostname=host2.cisco.com Commande crypto pki server remove utilisée pour retirer une requête d'enrôle- ment L'exemple suivant montre que la commande crypto pki server remove a été utilisée pour retirer la requête d'enrôlement 1: Router# crypto pki server myserver remove 1 Base de données des requêtes d'enrôlement après le retrait d'une requête d'en- rôlement L'exemple suivant montre le résultat du retrait de la requête d'enrôlement 1 de la base de données des requêtes d'enrôlement: Router# crypto pki server mycs info requests ReqID State Fingerprint SubjectName pending 1B07F3021DAAB0F19F35DA25D01D hostname=host1.cisco.com ccnp_cch
28
ccnp_cch Auto-archivage des clés du Serveur de certificat racine
Les sorties de configurations suivantes et les exemples montrent ce que vous pourrez voir si la commande database archive a été entrée pour fixer le format PEM pour l'ar- chive du certificat de la CA et de la clé de la CA sans configurer de mot de passe et si la commande database archive a été entrée pour fixer le format PKCS12 de l'archive du certificat de la CA et de la clé de la CA avec un mot de passe configuré. Le dernier exemple est un extrait du contenu d'un fichier archive au format PEM. Commande database archive non configurée Note: La valeur par défaut est PKCS12 et l'invite pour le mot de passe est faite après "no shutdown". Router (config)# crypto pki server myserver Router (cs-server)# no shutdown % Generating 1024 bit RSA keys ...[OK] % Ready to generate the CA certificate. %Some server settings cannot be changed after CA certificate generation. Are you sure you want to do this? [yes/no]: y % Exporting Certificate Server signing certificate and keys... ! Notez les deux lignes suivantes pour la demande du mot de passe. % Please enter a passphrase to protect the private key. Password: % Certificate Server enabled. Router (cs-server)# end Router# dir nvram: Directory of nvram:/ 125 -rw <no date> startup-config <no date> private-config 1 -rw <no date> myserver.ser 2 -rw <no date> myserver.crl ! Notez la ligne suivante qui indique le format PKCS12. 3 -rw <no date> myserver.p12 Commande database archive et mot-clé pem configurés Router (cs-server)# database archive pem !Notez les deux lignes suivantes pour la demande du mot de passe. ccnp_cch
29
Router# dir nvram Directory of nvram:/ 125 -rw <no date> startup-config <no date> private-config 1 -rw <no date> myserver.ser 2 -rw <no date> myserver.crl ! Notez la ligne suivante qui indique que le format est PEM. 3 -rw <no date> myserver.pem Commande database archive et mot-clé pkcs12 (et mot de passe) configurés Note: Quand le mot de passe est entré il est crypté. Toutefois il est recommandé que vous retiriez le mot de passe lorsque l'archivage est terminé. Router (config)# crypto pki server myserver Router (cs-server)# database archive pkcs12 password cisco123 Router (cs-server)# no shutdown % Generating 1024 bit RSA keys ...[OK] % Ready to generate the CA certificate. % Some server settings cannot be changed after CA certificate generation. Are you sure you want to do this? [yes/no]: y % Exporting Certificate Server signing certificate and keys... ! Notez qu'il n'y a pas d'invite de mot de passe. % Certificate Server enabled. Router (cs-server)# end Router# dir nvram: 125 -rw <no date> startup-config <no date> private-config 1 -rw <no date> myserver.ser 2 -rw <no date> myserver.crl ! Notez la ligne suivante qui indique que le format est PKCS12. 3 -rw <no date> myserver.p12 Archive au format PEM L'extrait de sortie suivant montre que l'auto-archivage a été configuré au format PEM. L'archive est constituée du certificat de la CA et de la clé privée. Pour restaurer le ser- veur de certificat en utilisant la sauvegarde, vous devez importer le certificat de la CA et la clé formatés au format PEM individuellement. Note: En plus du fichier archive du certificat de la CA et de la clé de la CA, vous devez également sauvegarder régulièrement le fichier de série (.ser) et le fichier CRL (.crl). Le fichier de série et le fichier CRL sont tous les deux des fichiers critiques pour le fonc- tionnement de la CA si vous avez besoin de restaurer votre serveur de certificat. ccnp_cch
30
ccnp_cch Router# more nvram:mycs.pem
-----BEGIN CERTIFICATE----- MIIB9zCCAWCgAwIBAgIBATANBgkqhkiG9w0BAQQFADAPMQ0wCwYDVQQDEwRteWNz MB4XDTA0MDgyNzAyMzI0NloXDTA3MDgyNzAyMzI0NlowDzENMAsGA1UEAxMEbXlj czCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA1lZpKP4nGDJHgPkpYSkix7lD nr23aMlZ9Kz5oo/qTBxeZ8mujpjYcZ0T8AZvoOiCuDnYMl796ZwpkMgjz1aZZbL+ BtuVvllsEOfhC+u/Ol/vxfGG5xpshoz/F5J3xdg5ZZuWWuIDAUYu9+QbI5feuG04 Z/BiPIb4AmGTP4B2MM0CAwEAAaNjMGEwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8B Af8EBAMCAYYwHwYDVR0jBBgwFoAUKi/cuK6wkz+ZswVtb06vUJboEeEwHQYDVR0O BBYEFCov3LiusJM/mbMFbW9Or1CW6BHhMA0GCSqGSIb3DQEBBAUAA4GBAKLOmoE2 4+NeOKEXMCXG1jcohK7O2HrkFfl/vpK0+q92PTnMUFhxLOqI8pWIq5CCgC7heace OrTv2zcUAoH4rzx3Rc2USIxkDokWWQMLujsMm/SLIeHit0G5uj//GCcbgK20MAW6 ymf7+TmblSFljWzstoUXC2hLnsJIMq/KffaD -----END CERTIFICATE----- ! La clé privée est protégée par le mot de passe qui est configuré dans “database archive pem password pwd” ou qui est entré quand vous avez l'invite pour le mot de passe. -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,106CE91FFD0A075E zyiFC8rKv8Cs+IKsQG2QpsVpvDBHqZqBSM4D528bvZv7jzr6WuHj8E6zO+6G8R/A zjsfTALo+e+ZDg7KMzbryHARvjskbqFdOMLlVIYBhCeSElKsskWB6chOuyPHJInW JwC5YzZdZwOqcyLBP/xOYXcvjzzNfPAXZzN12VR8vWDNq/kHT+3Lplc8hY++ABMI M+C9FB3dpNZzu5O1BZCJg46bqbkulaCCmScIDaVt0zDFZwWTSufiemmNxZBG4xS8 t5t+FEhmSfv8DAmwg4f/KVRFTm10phUArcLxQO38Al0W5YHHORdACnuzVUvHgco7 VT4XUTjO7qMhmJgFNWy1pu49fbdS2NnOn5IoiyAq5lk1KUPrz/WABWiCvLMylGnZ kyMCWoaMtgS/vdx74BBCj09yRZJnLMlIi6SDofjCNTDHfmFEVg4LsSWCd4lP9OP8 0MqhP1D5VIx6PbMNwkWW12lpBbCCdesFRGHjZD2dOu96kHD7ItErx34CC8W04aG4 b7DLktUu6WNV6M8g3CAqJiC0V8ATlp+kvdHZVkXovgND5IU0OJpsj0HhGzKAGpOY KTGTUekUboISjVVkI6efp1vO6temVL3Txg3KGhzWMJGrq1snghE0KnV8tkddv/9N d/t1l+we9mrccTq50WNDnkEi/cwHI/0PKXg+NDNH3k3QGpAprsqGQmMPdqc5ut0P 86i4cF9078QwWg4Tpay3uqNH1Zz6UN0tcarVVNmDupFESUxYw10qJrrEYVRadu74 rKAU4Ey4xkAftB2kuqvr21Av/L+jne4kkGIoZYdB+p/M98pQRgkYyg== -----END RSA PRIVATE KEY----- Restauration d'un serveur de certificat à partir des fichiers de sauvegarde du serveur de certificat L'exemple suivant montre que la restauration à partir de l'archive PKCS12 et que l'URL de la base de données est NVRAM (Par défaut). Router# copy tftp:// /backup.ser nvram:mycs.ser Destination filename [mycs.ser]? 32 bytes copied in secs (24 bytes/sec) Router# copy tftp:// /backup.crl nvram:mycs.crl Destination filename [mycs.crl]? 214 bytes copied in secs (162 bytes/sec) Router# configure terminal Router (config)# crypto pki import mycs pkcs12 tftp:// /backup.p12 cisco123 Source filename [backup.p12]? CRYPTO_PKI: Imported PKCS12 file successfully. ccnp_cch
31
ccnp_cch quet URL de la base de données est la flash:
Router (config)# crypto pki server mycs ! remplir la configuration CS ici Router (cs-server)# no shutdown % Certificate Server enabled. Router (cs-server)# end Router# show crypto pki server Certificate Server mycs: Status: enabled Server's current state: enabled Issuer name: CN=mycs CA cert fingerprint: B13EAD45 196DA461 B43E813F Granting mode is: manual Last certificate issued serial number: 0x1 CA certificate expiration timer: 01:49:13 GMT Aug CRL NextUpdate timer: 01:49:16 GMT Sep Current storage dir: nvram: Database Level: Minimum - no cert data written to storage L'exemple suivant montre que la restauration est faite à partir de l'archive PEM et quet URL de la base de données est la flash: Router# copy tftp:// /backup.ser flash:mycs.ser Destination filename [mycs.ser]? 32 bytes copied in secs (24 bytes/sec) Router# copy tftp:// /backup.crl flash:mycs.crl Destination filename [mycs.crl]? 214 bytes copied in secs (162 bytes/sec) Router# configure terminal ! Comme le certificat de la CA a une signature numérique, vous devez l'importer avec le mot-clé "usage-keys" Router (config)# crypto ca import mycs pem usage-keys terminal cisco123 % Enter PEM-formatted CA certificate. % End with a blank line or "quit" on a line by itself. ! Coller le certificat de la CA à partir du fichier archive .pem. -----BEGIN CERTIFICATE----- MIIB9zCCAWCgAwIBAgIBATANBgkqhkiG9w0BAQQFADAPMQ0wCwYDVQQDEwRteWNz MB4XDTA0MDkwMjIxMDI1NloXDTA3MDkwMjIxMDI1NlowDzENMAsGA1UEAxMEbXlj czCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAuGnnDXJbpDDQwCuKGs5Zg2rc K7ZJauSUotTmWYQvNx+ZmWrUs5/j9Ee5FV2YonirGBQ9mc6u163kNlrIPFck062L GpahBhNmKDgod1o2PHTnRlZpEZNDIqU2D3hACgByxPjrY4vUnccV36ewLnQnYpp8 szEu7PYTJr5dU5ltAekCAwEAAaNjMGEwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8B Af8EBAMCAYYwHwYDVR0jBBgwFoAUaEEQwYKCQ1dm9+wLYBKRTlzxaDIwHQYDVR0O BBYEFGhBEMGCgkNXZvfsC2ASkU5c8WgyMA0GCSqGSIb3DQEBBAUAA4GBAHyhiv2C mH+vswkBjRA1Fzzk8ttu9s5kwqG0dXp25QRUWsGlr9nsKPNdVKt3P7p0A/KochHe eNiygiv+hDQ3FVnzsNv983le6O5jvAPxc17RO1BbfNhqvEWMsXdnjHOcUy7XerCo +bdPcUf/eCiZueH/BEy/SZhD7yovzn2cdzBN -----END CERTIFICATE----- % Enter PEM-formatted encrypted private SIGNATURE key. % End with "quit" on a line by itself. ccnp_cch
32
ccnp_cch ! Collez la clé privée de la CA à partir de l'archive .pem.
-----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,5053DC842B04612A 1CnlF5Pqvd0zp2NLZ7iosxzTy6nDeXPpNyJpxB5q+V29IuY8Apb6TlJCU7YrsEB/ nBTK7K76DCeGPlLpcuyEI171QmkQJ2gA0QhC0LrRo09WrINVH+b4So/y7nffZkVb p2yDpZwqoJ8cmRH94Tie0YmzBtEh6ayOud11z53qbrsCnfSEwszt1xrW1MKrFZrk /fTy6loHzGFzl3BDj4r5gBecExwcPp74ldHO+Ld4Nc9egG8BYkeBCsZZOQNVhXLN I0tODOs6hP915zb6OrZFYv0NK6grTBO9D8hjNZ3U79jJzsSP7UNzIYHNTzRJiAyu i56Oy/iHvkCSNUIK6zeIJQnW4bSoM1BqrbVPwHU6QaXUqlNzZ8SDtw7ZRZ/rHuiD RTJMPbKquAzeuBss1132OaAUJRStjPXgyZTUbc+cWb6zATNws2yijPDTR6sRHoQL 47wHMr2Yj80VZGgkCSLAkL88ACz9TfUiVFhtfl6xMC2yuFl+WRk1XfF5VtWe5Zer 3Fn1DcBmlF7O86XUkiSHP4EV0cI6n5ZMzVLx0XAUtdAl1gD94y1V+6p9PcQHLyQA pGRmj5IlSFw90aLafgCTbRbmC0ChIqHy91UFa1ub0130+yu7LsLGRlPmJ9NE61JR bjRhlUXItRYWY7C4M3m/0wz6fmVQNSumJM08RHq6lUB3olzIgGIZlZkoaESrLG0p qq2AENFemCPF0uhyVS2humMHjWuRr+jedfc/IMl7sLEgAdqCVCfV3RZVEaNXBud1 4QjkuTrwaTcRXVFbtrVioT/puyVUlpA7+k7w+F5TZwUV08mwvUEqDw== -----END RSA PRIVATE KEY----- quit % Enter PEM-formatted SIGNATURE certificate. % End with a blank line or "quit" on a line by itself. ! Collez de nouveau le certificat de l'archive au format .pem. -----BEGIN CERTIFICATE----- MIIB9zCCAWCgAwIBAgIBATANBgkqhkiG9w0BAQQFADAPMQ0wCwYDVQQDEwRteWNz MB4XDTA0MDkwMjIxMDI1NloXDTA3MDkwMjIxMDI1NlowDzENMAsGA1UEAxMEbXlj czCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAuGnnDXJbpDDQwCuKGs5Zg2rc K7ZJauSUotTmWYQvNx+ZmWrUs5/j9Ee5FV2YonirGBQ9mc6u163kNlrIPFck062L GpahBhNmKDgod1o2PHTnRlZpEZNDIqU2D3hACgByxPjrY4vUnccV36ewLnQnYpp8 szEu7PYTJr5dU5ltAekCAwEAAaNjMGEwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8B Af8EBAMCAYYwHwYDVR0jBBgwFoAUaEEQwYKCQ1dm9+wLYBKRTlzxaDIwHQYDVR0O BBYEFGhBEMGCgkNXZvfsC2ASkU5c8WgyMA0GCSqGSIb3DQEBBAUAA4GBAHyhiv2C mH+vswkBjRA1Fzzk8ttu9s5kwqG0dXp25QRUWsGlr9nsKPNdVKt3P7p0A/KochHe eNiygiv+hDQ3FVnzsNv983le6O5jvAPxc17RO1BbfNhqvEWMsXdnjHOcUy7XerCo +bdPcUf/eCiZueH/BEy/SZhD7yovzn2cdzBN -----END CERTIFICATE----- % Enter PEM-formatted encrypted private ENCRYPTION key. % End with "quit" on a line by itself. ! Comme le certificat de la CA a une signature numérique d'utilisation passez la partie cryptage. % PEM files import succeeded. Router (config)# crypto pki server mycs Router (cs-server)# database url flash: ! Entrez ici toute configuration du serveur. Router (cs-server)# no shutdown % Certificate Server enabled. Router (cs-server)# end ccnp_cch
33
Router # show crypto pki server
Certificate Server mycs: Status: enabled Server's current state: enabled Issuer name: CN=mycs CA cert fingerprint: F04C2B75 E0243FBC B1D77412 Granting mode is: manual Last certificate issued serial number: 0x2 CA certificate expiration timer: 21:02:55 GMT Sep CRL NextUpdate timer: 21:02:58 GMT Sep Current storage dir: flash: Database Level: Minimum - no cert data written to storage Serveur de certificat en mode RA La sortie suivante est typique de ce vous pourrez voir après avoir configuré un serveur de certificat en mode RA: Router-ra (config)# crypto pki trustpoint myra Router-ra (ca-trustpoint)# enrollment url ! Inclure "cn=ioscs RA" or "ou=ioscs RA" dans subject-name. Router-ra (ca-trustpoint)# subject-name cn=myra, ou=ioscs RA, o=cisco, c=us Router-ra (ca-trustpoint)# exit Router-ra (config)# crypto pki server myra Router-ra (cs-server)# mode ra Router-ra (cs-server)# no shutdown % Generating 1024 bit RSA keys ...[OK] Certificate has the following attributes: Fingerprint MD5: DDA3CE5 8723B469 09AB9E85 Fingerprint SHA1: 9785BBCD 6C67D27C C950E8D0 718C7A14 C0FE9C38 % Do you accept this certificate? [yes/no]: yes Trustpoint CA certificate accepted. % Ready to request the CA certificate. %Some server settings cannot be changed after the CA certificate has been requested. Are you sure you want to do this? [yes/no]: yes % % Start certificate enrollment .. % Create a challenge password. You will need to verbally provide this password to the CA administrator in order to revoke your certificate. For security reasons your password will not be saved in the configuration. Please make a note of it. Password: Re-enter password: % The subject name in the certificate will include: cn=myra, ou=ioscs RA, o=cisco, c=us % The subject name in the certificate will include: Router-ra.cisco.com % Include the router serial number in the subject name? [yes/no]: no % Include an IP address in the subject name? [no]: no Request certificate from CA? [yes/no]: yes % Certificate request sent to Certificate Authority % The certificate request fingerprint will be displayed. % The 'show crypto pki certificate' command will also show the fingerprint. % Enrollment in progress... Router-ra (cs-server)# ccnp_cch
34
Sep 15 22:32:40.197: CRYPTO_PKI: Certificate Request Fingerprint
MD5: 82B41A76 AF4EC87D AAF093CD 07747D3A Sep 15 22:32:40.201: CRYPTO_PKI: Certificate Request Fingerprint SHA1: 897CDF40 C6563EAA 0FED05F7 0115FD3A 4FFC5231 Sep 15 22:34:00.366: %PKI-6-CERTRET: Certificate received from Certificate Authority Router-ra (cs-server)# Router-ra(cs-server)# end Router-ra# show crypto pki server Certificate Server myra: Status: enabled Issuer name: CN=myra CA cert fingerprint: DDA3CE5 8723B469 09AB9E85 ! Notez que le serveur de certificat opère en mode RA RA cert fingerprint: C65F5724 0E63B3CC BE7AE016 BE0D34FE Granting mode is: manual Current storage dir: nvram: Database Level: Minimum - no cert data written to storage La sortie suivante montre la base de données de requêtes d'enrôlement du serveur gé- nérant les certificats après que la RA ait été validée. Note: La requête de certificat de la RA est reconnue par le serveur générateur grâce à la présence de "ou=ioscs RA" dans subject name. Router-ca# crypto pki server mycs info request Enrollment Request Database: Subordinate CA certificate requests: ReqID State Fingerprint SubjectName ! La requête est identifiée comme une requête de certificat RA. RA certificate requests: pending 88F547A407FA0C90F97CDE8900A30CB0 hostname=Router-ra.cisco.com,cn=myra,ou=ioscs RA,o=cisco,c=us Router certificates requests: ReqID State Fingerprint SubjectName ! Génère le certificat RA. Router-ca# crypto pki server mycs grant 12 La sortie suivante montre que le serveur générant le certificat est configuré pour générer automatiquement un certificat si la requête vient d'une RA: Router-ca(config)# crypto pki server mycs Router-ca (cs-server)# grant ra-auto % This will cause all certificate requests already authorized by known RAs to be automatically granted. Are you sure you want to do this? [yes/no]: yes Router-ca (cs-server)# end ccnp_cch
35
Référence additionnelles Documents liés
Router-ca# show crypto pki server Certificate Server mycs: Status: enabled Server's current state: enabled Issuer name: CN=mycs CA cert fingerprint: DDA3CE5 8723B469 09AB9E85 ! Notez que le serveur de certificat va générer un certificat pour les requêtes venant de la RA. Granting mode is: auto for RA-authorized requests, manual otherwise Last certificate issued serial number: 0x2 CA certificate expiration timer: 22:29:37 GMT Sep CRL NextUpdate timer: 22:29:39 GMT Sep Current storage dir: nvram: Database Level: Minimum - no cert data written to storage Référence additionnelles Documents liés Sujet traité Titre du document Additional certificate enrollment commands Cisco IOS Security Command Reference, Release 12.3T Additional certificate enrollment tasks Cisco IOS Security Configuration Guide, Release 12.3 Enabling HTTP servers and configuring time clocks Cisco IOS Configuration Fundamentals and Network Management Configuration Guide, Release 12.3T Restoring a certificate server using backup for a PEM-formatted CA certificate and CA key Import of RSA Key Pair and Certificates in PEM Format, Release 12.3(4)T Standards Standards Titre Aucun ….. MIBs MIBs Lien MIBs Aucun Pour localiser et télécharger les MIBs pour certaines plateformes, les releases de l'IOS Cisco et des ensem- bles de fonctionnalités, utilisez Cisco MIB Locator à l'URL suivante: RFCs RFCs Titre RFC 2459 Internet X.509 Public Key Infrastructure Certificate and CRL Profile ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.