La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

- Enrôlement pour des Certificats numériques

Publié parCécile Latour Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "- Enrôlement pour des Certificats numériques"— Transcription de la présentation:

1 - Enrôlement pour des Certificats numériques
Sécurité - ASA - Enrôlement pour des Certificats numériques ccnp_cch

2 Sommaire ● Introduction ● Générer une paire de clés RSA ccnp_cch
● Présentation de la procédure de configuration ● Comprendre les paires de clés ● Générer une paire de clés RSA ● Créer un point de confiance ● Obtenir les certificats avec SCEP ● Enrôlement auprès de l'autorité de certification ● Gérer les certificats ccnp_cch

3 Introduction Ce document décrit comment s'enrôler pour un certificat numérique avec l'ASDM. Une fois enrôlé, vous pouvez utiliser le certificat pour authentifier les tunnel VPN LAN à LAN et les tunnels d'accès distants. Si vous avez l'intention d'utiliser uniquement des clés pré-partagées alors vous n'avez pas besoin de ce document. Ce document comprend les sections suivantes: Présentation de la procédure de configuration - Comprendre les paires de clés - Générer une paire de clés RSA - Créer un point de confiance Obtenir les certificats avec SCEP - Enrôlement auprès de l'autorité de certification Gérer les certificats Note: lorsque vous suivez les instructions de document, cliquez sur Help pour plus d'information sur les attributs affichés dans les fenêtres de l'ASDM. Présentation de la procédure de configuration Pour s'enrôler avec une CA et obtenir un certificat d'identité pour l'authentification des tunnels, exécutez les tâches suivantes: Note: Cet exemple montre un enregistrement automatique (SCEP) Créez une paire de clés pour le certificat d'identité. La paire de clés peut être RSA ou DSA. Toutefois pour un enrôlement automatique vous devez utiliser des clés RSA. Les instructions dans les sections qui suivent montrent comment générer une paire de clés RSA Créez un point de confiance. Le nom du point de confiance de cet exemple est newmsroot. 3. Configurez une URL d'enrôlement. L'URL de cet exemple est certsrv/mscep/mscep.dll Authentifiez la CA Enrôlez-vous avec la CA qui échange le certificat d'identité avec l'ASA. ccnp_cch

4 Comprendre les paires de clés
Chaque extrémité a une paire de clés contenant une clé publique et une clé privée. Ces clés sont complémentaires, toute communication cryptée avec l'une d'elles peut être décryptée avec l'autre. Les paires de clés peuvent être des clés RSA ou DSA. Le support pour ces deux types de clés diffère comme suit:  Les clés DSA ne peuvent pas être utilisées pour SSH ou SSL. Pour valider l'accès SSL ou SSH sur une appliance de sécurité, utilisez des clés RSA.  L'enrôlement SCEP supporte uniquement la certification de clés RSA. Si vous utili sez des clés DSA, vous devez utiliser un enrôlement manuel.  Pour les besoins de génération de clés, le modulo maximum pour les clés RSA est et le modulo de clé maximum pour DSA est La taille par défaut est pour les deux.  Pour les opérations de signature, les tailles maximum de clés sont 4096 bits pour des clés RSA et 1024 bits pour des clés DSA.  Vous pouvez générer une paire de clés RSA à usage général pour la signature et le cryptage ou des paires de clés à usages séparés pour chaque besoin respectif, ceci requérant deux certificats pour les identités correspondantes. La valeur par défaut est usage général. Ce thème ne s'applique pas aux paires de clés DSA car elles sont utilisées uniquement pour la signature. Pour configurer une paire de clés pour un certificat, vous spécifiez les étiquettes pour identifier la paire de clés à générer. Les sections suivantes montrent comment générer une paire de clés RSA avec une étiquette particulière et en utilisant l'ASDM et des va- leurs par défaut pour les autres paramètres. Générer une paire de clés RSA Pour générer une paire de clés RSA, exécutez les étapes suivantes: Dans la fenêtre Configuration > Properties > Certificate > Key Pair, cliquez sur Add. 2. Configurez les informations dans la boite de dialogue Add Key Pair: a. Name - Cliquez pour utiliser le nom par défaut ou entrez le nom de la paire de clés. Cet exemple utilise la clé RSA par défaut mais vous pouvez entrer un nom tel que key1. b. Size list - Pour une paire de clés RSA, Size list affiche les options: 512, 768, 1024 ou La taille par défaut est Cet exemple prend les valeurs par défaut. ccnp_cch

5 Créer un point de confiance
c. Type - Les options pour Type sont RSA et DSA. Cet exemple prend la valeur par défaut qui est RSA. d. Usage - (Applicable uniquement si Type est RSA.) Les options sont General Pur- pose (une paire pour signature et cryptage) et Special (une paire pour chaque fonction respective). Pour cet exemple, prenez la valeur par défaut (General Purpose). 3. Cliquez sur Generate Now. 4. Pour afficher la paire de clés générée, cliquez sur Show Details. L'ASDM affiche les informations sur la paire de clés. Créer un point de confiance Un point de confiance représente la paire CA/Identité et contient l'identité de la CA, des paramètres de configuration spécifiques à la CA et une association avec un certifi- cat d'identité enrôlée. Pour créer un point de confiance, exécutez les étapes suivantes: 1. Dans la fenêtre Configuration > Properties > Certificate > Trustpoint > Configuration, cliquez sur Add. 2. Configurez les informations de base dans la boite de dialogue Add Trustpoint Configuration. Pour tous les autres paramètres, acceptez les valeurs par défaut. a. Trustpoint Name - Entrez le nom du point de confiance dans le champ Trustpoint Name. Par exemple le nom es newmsroot. ccnp_cch

6 b. Enrollment URL - Dans la fenêtre Enrollment Settings, sous la zone
Enrollment Mode, cliquez sur l'option Use automatic enrollment. Ensuite entrez l'URL d'enrôlement dans le champ. Pour cet exemple, entrez / certsrv/ mscep/mscep.dll. 3. Configurez le nom du sujet en utilisant le nom commun (CN) et le nom de l'unité organisationnelle (OU): a. Dans la fenêtre Enrollment Settings, sélectionnez la paire de clés que vous avez configurée pour ce point de confiance dans la liste Key Pair. Pour cet exemple, la paire de clés est key1. b. Dans la fenêtre Enrollment Settings, cliquez sur Certificate Parameters. c. Pour ajouter les valeurs de noms de sujet (X.500), cliquez sur Edit dans la boite de dialogue Certificate Parameters. d. Dans la zone Edit DN sous DN Attribute to be Added, sélectionnez un attribut dans la liste Attribute et entrez une valeur dans le champ Value. Ensuite cliquez sur Add. Après avoir entré l'information DN, cliquez sur OK. Pour cet exemple, sélectionnez d'abord Common Name (CN), entrez Pat dans le champ Value et cliquez sur Add; ensuite sélectionnez Department (OU) et entrez Techpubs dans le champ Value. La figure suivante montre ce que vous avez entré dans la boite de dialogue Edit DN. 4. Après avoir revu la boite de dialogue, cliquez sur OK puis cliquez sur OK dans les autres boites de dialogue. ccnp_cch

7 Obtenir des certificats avec SCEP
Cette section montre comment configurer des certificats en utilisant SCEP. Répéter les instructions pour chaque point de confiance que vous configurez pour un enrôlement automatique. Une fois que vous avez terminé les instructions pour chaque point de confiance, l'appliance de sécurité reçoit un certificat de la CA pour le point de confian- ce et deux autres certificats pour la signature et le cryptage. Si vous ne suivez pas cet- te procédure, l'appliance de sécurité vous demande de coller le certificat de la CA au format base-64 dans la boite de texte. Si vous utilisez des clés DSA, le certificat reçu est uniquement pour la signature. Si vous utilisez des clés RSA à usage général, le certificat reçu est pour la signature et le cryptage. Si vous utilisez des clés RSA séparées pour la signature et le cryptage, l'application de sécurité reçoit des certificats séparés pour chacun des besoins. Pour obtenir des certificats, exécutez ces étapes: Sélectionnez la fenêtre Configuration >Properties > Certificate > Authentication. 2. Dans la liste Trustpoint Name, sélectionnez le nom du point de confiance. Pour cet exemple, sélectionnez newmsroot. 3. Cliquez sur Authenticate. 4. Cliquez sur Apply. Quand l'ASDM affiche la boite de dialogue Authentication Successful, cliquez sur OK. Enrôlement avec l'autorité de certificat Après avoir configuré le point de confiance et s'être authentifié avec lui, vous pouvez vous enrôler pour un certificat d'identité en exécutant les étapes suivantes: Dans la fenêtre Configuration > Properties > Certificate > Enrollment, sélectio- nez le point de confiance dans la liste Trustpoint Name. Pour cet exemple, vous devrez sélectionner newmsroot. 2. Cliquez sur Enroll. Gérer des certificats Pour gérer des certificats, utilisez la fenêtre Configuration > Properties > Certificate > Manage Certificates. Vous pouvez utiliser cette fenêtre pour ajouter un nouveau certificat et effacer un certi- ficat. Vous pouvez également afficher des informations sur un certificat en cliquant sur Show Details. La boîte de dialogue Certificate Details affiche trois tableaux: General, Subject et Issuer. ccnp_cch

8 Le tableau General affiche les informations suivantes:  Type - CA, RA ou Identity  Serial Number - Numéro de série du certificat  Status - Disponible ou en attente Disponible signifie que la CA a accepté la requête d'enrôlement et a généré un certificat d'identité En attente signifie que la requête d'enrôlement est toujours en traitement et que la CA n'a pas encore généré de certificat d'identité.  Usage - Utilisation générale ou spéciale  CDP (CRL Distribution Point) - URL pour obtenir la CRL pour la validation du certificat. Le tableau Subject affiche les informations suivantes:  Name - Nom de la personne ou de l'entité qui possède le certificat.  Serial number - Numéro de série de l'ASA.  Nom des champs de différenciation (X500) pour le sujet du certificat - cn, ou, etc..  Nom de host de celui qui détient le certificat Le tableau Issuer affiche les informations sur les champs de différenciation pour l'entité qui a délivré le certificat:  Common Name (CN)  Organization Unit ou departement (OU)  Organization (o)  Locality (I)  State (st)  Country code (c)  Adresse du générateur (ca) ccnp_cch

Télécharger ppt "- Enrôlement pour des Certificats numériques"

Présentations similaires

SPIP Un logiciel libre pour la gestion d'un site web d'informations SPIP.

SPIP Un logiciel libre pour la gestion d'un site web d'informations SPIP.
SITC 10 rue de la libération Bâtiment C 93330 Neuilly-sur-Marne Processus création et envoi de newsletter changement du mot de passe.

SITC 10 rue de la libération Bâtiment C Neuilly-sur-Marne Processus création et envoi de newsletter changement du mot de passe.
Créer une alerte de recherche dans EBSCOhost Tutoriel support.ebsco.com.

Créer une alerte de recherche dans EBSCOhost Tutoriel support.ebsco.com.
Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
TMS session pratique Session pratique pour utilisateurs des associations.

TMS session pratique Session pratique pour utilisateurs des associations.
TP Sécurité - Sécuriser l’accès d’administration en utilisant

TP Sécurité - Sécuriser l’accès d’administration en utilisant
Terminaux virtuels (VTY)

Terminaux virtuels (VTY)
Catalyst 500E - Réinitialisation avec les Paramètres usine

Catalyst 500E - Réinitialisation avec les Paramètres usine
Authentification EAP-TLS

Authentification EAP-TLS
L’accès au portail en deux étapes Que contient cette fiche?

L’accès au portail en deux étapes Que contient cette fiche?
Client léger VPN SSL avec ASDM

Client léger VPN SSL avec ASDM
Plateforme CountrySTAT Aperçu global des métadonnées dans la nouvelle plateforme CountrySTAT FORMATION DES POINTS FOCAUX SUR LE SYSTEME CountrySTAT.

Plateforme CountrySTAT Aperçu global des métadonnées dans la nouvelle plateforme CountrySTAT FORMATION DES POINTS FOCAUX SUR LE SYSTEME CountrySTAT.
Hot Standby Router Protocol (HSRP) - Partage de charge

Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
Plateforme CountrySTAT Aperçu global de la préparation des tableaux dans la nouvelle plateforme CountrySTAT FORMATION DES POINTS FOCAUX SUR LE SYSTEME.

Plateforme CountrySTAT Aperçu global de la préparation des tableaux dans la nouvelle plateforme CountrySTAT FORMATION DES POINTS FOCAUX SUR LE SYSTEME.
OSPF - Comment OSPF génère les routes par défaut

OSPF - Comment OSPF génère les routes par défaut
Comment tracer un itinéraire

Comment tracer un itinéraire
Sécurité - VPN - Configurer le client VPN SSL

Sécurité - VPN - Configurer le client VPN SSL
TP Sécurité - Configuration de Base d'un Routeur avec SDM

TP Sécurité - Configuration de Base d'un Routeur avec SDM

Présentations similaires

Annonces Google