La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sauvegarde & Restauration Serveur CA IOS Cisco

Présentations similaires


Présentation au sujet: "Sauvegarde & Restauration Serveur CA IOS Cisco"— Transcription de la présentation:

1 Sauvegarde & Restauration Serveur CA IOS Cisco
ccnp_cch

2 Sommaire ● Introduction - Prérequis - Composants utilisés
● Configuration - Sauvegarde du serveur CA IOS - Restauration du serveur CA IOS ● Vérification ccnp_cch

3 Introduction Ce document décrit comment sauvegarder et restaurer un serveur CA (Certificate Au- thority) pour le logiciel IOS Cisco. Prérequis Planifier votre PKI avant de configurer le serveur de certificat Avant de configurer un IOS Cisco en serveur de certificat, il est important que vous ayez planifié et choisi les valeurs appropriées pour les paramètres que vous projetez d'utiliser dans votre PKI (tels que durée de vie des certificats et liste de révocation des certificats (CRL)). Après que les paramètres aient été configurés dans le serveur de cer- tificat et que les certificats sont délivrés, les paramètres ne peuvent pas être changés sans avoir reconfiguré le serveur de certificat et réenrôler les extrémités. Pour des in- formations sur les paramètres par défaut et les paramètres recommandés du serveur de certificat, référez-vous à Certificate Server Default Values and Recommended Va- lues. Valider le serveur HTTP Le serveur de certificat supporte SCEP (Simple Certificate Enrollment Protocol) sur HTTP. Le serveur HTTP doit être validé sur le routeur pour que le serveur utilise SCEP. (Pour valider le serveur HTTP, utilisez la commande ip http server). Le serveur de cer- tificat valide ou dévalide automatiquement les services SCEP après que le serveur HTTP ait été validé ou dévalidé. Si le serveur HTTP n'est pas validé, seul l'enrôlement manuel PKCS10 est supporté. Services de temps fiables Les services de temps doivent opérer sur le routeur car le serveur de certificat doit avoir une connaissance fiable du temps. Si une horloge matérielle est indisponible, le serveur de certificat dépend des paramètres d'horloge configurés manuellement tel NTP (Network Time Protocol). Référez-vous à la section "Setting Time and Calendar Services" dans "Cisco IOS Configuration Guide" pour plus d'information sur NTP. S'il n'y a pas d'horloge matérielle ou si l'horloge est invalide, ce message s'affiche au dé- marrage: % Time has not been set. Cannot start the Certificate server. Une fois que l'horloge est fixée, le serveur de certificat passe à l'état opérationnel. Composants utilisés Les informations présentées dans ce document sont basées sur un routeur Cisco Série avec l'IOS release 12.4(8). ccnp_cch

4 Configuration ccnp_cch
Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Sauvegarde du serveur CA IOS A la configuration initiale du serveur, vous pouvez valider l'archivage automatique du Certificat de la CA et de la clé de la CA, ainsi ils peuvent être restaurés plus tard si la copie originale a été corrompue ou la configuration originale a été perdue. Quand le serveur de certificat est opérationnel la première fois, le certificat de la CA et la clé de la CA sont générés. Si l'archivage automatique est validé, le certificat de la CA et la clé de la CA sont exportés (archivés) vers la base de données du serveur. L'archive peut être au format PKCS12 ou PEM (Privacy -Enhanced Mail). Note: ● Ce fichier de sauvegarde de clé de CA est extrêmement important et doit être immé diatement déplacé vers un autre emplacement sécurisé. ● L'action d'archivage se produit une seule fois. Seule la clé de la CA qui a été générée manuellement et marquée exportable ou générée automatiquement par le serveur de certificat sont archivés (cette clé est marquée "non-exportable"). ● L'auto-archivage ne se produit pas si vous générez la clé de la CA manuellement et si vous la marquez "non-exportable". ● En plus des fichiers archive du certificat de la CA et de la clé de la CA, vous devez sauvegarder régulièrement le fichier de série (.ser) et le fichier CRL (.crl). Les fichiers de série et de CRL sont tous les deux des fichiers critiques pour le fonctionnement de la CA si vous avez besoin de restaurer votre serveur de certificat. Note: Il n'est pas possible de sauvegarder manuellement un serveur qui utilise des clés RSA non-exportables générées manuellement . Bien que les clés RSA générées automatiquement soient marquées comme non-exportables, elles sont archivées auto- matiquement une seule fois. ccnp_cch

5 Exemple: ● Format PEM - Créez la CA et les fichiers de sauvegarde à partir de la NVRAM (vers le serveur TFTP dans ce cas). !−−− Crée un serveur nommé CA. Router(config)#crypto pki server CA !−−− Archive au format PEM avec clé de cryptage cisco123. Router(cs−server)#database archive pem password cisco123 !−−− Durée de vie des certificates générés par le serveur de certificate !--- en jours. Router(cs−server)#lifetime certificate 1095 !−−− Durée de vie du serveur de certificat signant le certificat en !--- jours. Router(cs−server)#lifetime ca−certificate 1825 !−−− Durée de vie des CRLs publiées par ce serveur de certificat en !--- heures. Router(cs−server)#lifetime crl 24 Router(cs−server)#no shutdown %Some server settings cannot be changed after CA certificate generation. % Generating 1024 bit RSA keys, keys will be non−exportable... Feb 21 17:39:36.916: crypto_engine: generate public/private keypair [OK] Feb 21 17:39:48.808: crypto_engine: generate public/private keypair Feb 21 17:39:48.812: %SSH−5−ENABLED: SSH 1.99 has been enabled Feb 21 17:39:48.812: crypto_engine: public key sign % Exporting Certificate Server signite and keys... % Certificate Server enabled. Router(cs−server)# Feb 21 17:39:54.064: crypto_engine: public key verify Router#dir nvram: Directory of nvram:/ !−−− Partie supprimée. 6 −rw− 32 <no date> CA.ser 7 −rw− 212 <no date> CA.crl 8 −rw− 1702 <no date> CA.pem bytes total ( bytes free) !−−− Sauvegarde des trois fichiers vers le serveur TFTP. Router#copy nvram:CA.ser tftp:// /backup.ser Router#copy nvram:CA.crl tftp:// /backup.crl Router#copy nvram:CA.pem tftp:// /backup.pem ccnp_cch

6 ● Format PKCS12 - Créez la CA et les fichiers de sauvegarde à partir de la NVRAM
(vers le serveur TFTP dans ce cas). Router (config)#crypto pki server CA Router (cs−server)#database archive pkcs12 password cisco123 Router(cs−server)#lifetime certificate 1095 Router(cs−server)#lifetime ca−certificate 1825 Router(cs−server)#lifetime crl 24 Router(cs−server)#no shutdown % Generating 1024 bit RSA keys ...[OK] % Ready to generate the CA certificate. % Some server settings cannot be changed after CA certificate generation. Are you sure you want to do this? [yes/no]: y % Exporting Certificate Server signing certificate and keys... ! Note that you are not being prompted for a password. % Certificate Server enabled. Router (cs−server)# end Router#dir nvram: Directory of nvram:/ 125 −rw− 1693 <no date> startup−config 126 −−−− 5 <no date> private−config 1 −rw− 32 <no date> CA.ser 2 −rw− 214 <no date> CA.crl !−−− Notez que la ligne suivante indique que le format est PKCS12. 3 −rw− 1499 <no date> CA.p12 Router#copy nvram:CA.ser tftp:// /backup.ser Router#copy nvram:CA.crl tftp:// /backup.crl Router#copy nvram:CA.p12 tftp:// /backup.p12 Restauration du serveur CA IOS Pour restaurer le serveur CA, vous devez restaurer les fichiers .ser et .crl, recréer le serveur et importer les données à partir du fichier pem (format PEM) ou du fichier p12 (format PKCS12). Dans ce scénario, la commande no crypto pki server CA a été utilisée pour retirer le serveur de certificat de la configuration du routeur. ccnp_cch

7 Exemple: ● Format PEM - Vous permet de voir le fichier PEM ainsi vous pouvez copier et coller le certificat et la clé plus tard en utilisant la commande more CA.pem. Cet exemple montre la restauration à partir de l'archive PEM et que la base de données est la NVRAM. Router#copy tftp:// /backup.ser nvram:CA.ser Destination filename [CA.ser]? 32 bytes copied in secs (24 bytes/sec) Router#copy tftp:// /backup.crl nvram:CA.crl Destination filename [CA.crl]? 214 bytes copied in secs (162 bytes/sec) Router#configure terminal !−−− Comme le certificat de la CA a une signature numérique d'usage, !−−− vous devez l'importer avec le mot-clé "usage−keys". !−−− C'est la commande que vous utilisez pour importer le certificat !−−− via le terminal avec la clé de cryptage cisco123. Router (config)#crypto ca import CA pem usage−keys terminal cisco123 % Enter PEM−formatted CA certificate. % End with a blank line or "quit" on a line by itself. !−−− Copier et coller le CERTIFICAT à partir du fichier pem, !−−− suivi de quit. −−−−−BEGIN CERTIFICATE−−−−− MIIB9zCCAWCgAwIBAgIBATANBgkqhkiG9w0BAQQFADAPMQ0wCwYDVQQDEwRteWNz MB4XDTA0MDkwMjIxMDI1NloXDTA3MDkwMjIxMDI1NlowDzENMAsGA1UEAxMEbXlj czCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAuGnnDXJbpDDQwCuKGs5Zg2rc K7ZJauSUotTmWYQvNx+ZmWrUs5/j9Ee5FV2YonirGBQ9mc6u163kNlrIPFck062L GpahBhNmKDgod1o2PHTnRlZpEZNDIqU2D3hACgByxPjrY4vUnccV36ewLnQnYpp8 szEu7PYTJr5dU5ltAekCAwEAAaNjMGEwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8B Af8EBAMCAYYwHwYDVR0jBBgwFoAUaEEQwYKCQ1dm9+wLYBKRTlzxaDIwHQYDVR0O BBYEFGhBEMGCgkNXZvfsC2ASkU5c8WgyMA0GCSqGSIb3DQEBBAUAA4GBAHyhiv2C mH+vswkBjRA1Fzzk8ttu9s5kwqG0dXp25QRUWsGlr9nsKPNdVKt3P7p0A/KochHe eNiygiv+hDQ3FVnzsNv983le6O5jvAPxc17RO1BbfNhqvEWMsXdnjHOcUy7XerCo +bdPcUf/eCiZueH/BEy/SZhD7yovzn2cdzBN −−−−−END CERTIFICATE−−−−− quit ccnp_cch

8 ccnp_cch !−−− Copiez et collez la PRIVATE KEY à partir du fichier pem,
!−−− suivi de quit. −−−−−BEGIN RSA PRIVATE KEY−−−−− Proc−Type: 4,ENCRYPTED DEK−Info: DES−EDE3−CBC,5053DC842B04612A 1CnlF5Pqvd0zp2NLZ7iosxzTy6nDeXPpNyJpxB5q+V29IuY8Apb6TlJCU7YrsEB/ nBTK7K76DCeGPlLpcuyEI171QmkQJ2gA0QhC0LrRo09WrINVH+b4So/y7nffZkVb p2yDpZwqoJ8cmRH94Tie0YmzBtEh6ayOud11z53qbrsCnfSEwszt1xrW1MKrFZrk /fTy6loHzGFzl3BDj4r5gBecExwcPp74ldHO+Ld4Nc9egG8BYkeBCsZZOQNVhXLN I0tODOs6hP915zb6OrZFYv0NK6grTBO9D8hjNZ3U79jJzsSP7UNzIYHNTzRJiAyu i56Oy/iHvkCSNUIK6zeIJQnW4bSoM1BqrbVPwHU6QaXUqlNzZ8SDtw7ZRZ/rHuiD RTJMPbKquAzeuBss1132OaAUJRStjPXgyZTUbc+cWb6zATNws2yijPDTR6sRHoQL 47wHMr2Yj80VZGgkCSLAkL88ACz9TfUiVFhtfl6xMC2yuFl+WRk1XfF5VtWe5Zer 3Fn1DcBmlF7O86XUkiSHP4EV0cI6n5ZMzVLx0XAUtdAl1gD94y1V+6p9PcQHLyQA pGRmj5IlSFw90aLafgCTbRbmC0ChIqHy91UFa1ub0130+yu7LsLGRlPmJ9NE61JR bjRhlUXItRYWY7C4M3m/0wz6fmVQNSumJM08RHq6lUB3olzIgGIZlZkoaESrLG0p qq2AENFemCPF0uhyVS2humMHjWuRr+jedfc/IMl7sLEgAdqCVCfV3RZVEaNXBud1 4QjkuTrwaTcRXVFbtrVioT/puyVUlpA7+k7w+F5TZwUV08mwvUEqDw== −−−−−END RSA PRIVATE KEY−−−−− quit !−−− Copiez et collez de nouveau le CERTIFICATE à partir du fichier pem, !−−− suivi de quit. −−−−−BEGIN CERTIFICATE−−−−− MIIB9zCCAWCgAwIBAgIBATANBgkqhkiG9w0BAQQFADAPMQ0wCwYDVQQDEwRteWNz MB4XDTA0MDkwMjIxMDI1NloXDTA3MDkwMjIxMDI1NlowDzENMAsGA1UEAxMEbXlj czCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAuGnnDXJbpDDQwCuKGs5Zg2rc K7ZJauSUotTmWYQvNx+ZmWrUs5/j9Ee5FV2YonirGBQ9mc6u163kNlrIPFck062L GpahBhNmKDgod1o2PHTnRlZpEZNDIqU2D3hACgByxPjrY4vUnccV36ewLnQnYpp8 szEu7PYTJr5dU5ltAekCAwEAAaNjMGEwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8B Af8EBAMCAYYwHwYDVR0jBBgwFoAUaEEQwYKCQ1dm9+wLYBKRTlzxaDIwHQYDVR0O BBYEFGhBEMGCgkNXZvfsC2ASkU5c8WgyMA0GCSqGSIb3DQEBBAUAA4GBAHyhiv2C mH+vswkBjRA1Fzzk8ttu9s5kwqG0dXp25QRUWsGlr9nsKPNdVKt3P7p0A/KochHe eNiygiv+hDQ3FVnzsNv983le6O5jvAPxc17RO1BbfNhqvEWMsXdnjHOcUy7XerCo +bdPcUf/eCiZueH/BEy/SZhD7yovzn2cdzBN −−−−−END CERTIFICATE−−−−− !−−− Quand vous avez l'invite pour la clé de cryptage, !−−− entrez quit pour sauter cette étape. ccnp_cch

9 Router (config)#crypto pki server CA
Router (cs−server)#database url nvram: !−−− Entrez toute configuration du serveur ici. Router (cs−server)#no shutdown % Certificate Server enabled. Router (cs−server)#end Router#show crypto pki server Certificate Server CA: Status: enabled Server's current state: enabled Issuer name: CN=CA CA cert fingerprint: F04C2B75 E0243FBC B1D77412 Granting mode is: manual Last certificate issued serial number: 0x2 CA certificate expiration timer: 21:02:55 GMT Sep CRL NextUpdate timer: 21:02:58 GMT Sep Current storage dir: nvram: Database Level: Minimum − no cert data written to storage ● Format PKCS12 - Cet exemple montre que la restauration est faite à partir de l'ar chive PKCS12 et que la base de données est la NVRAM (par défaut). Router#copy tftp:// /backup.ser nvram:CA.ser Destination filename [CA.ser]? 32 bytes copied in secs (24 bytes/sec) Router#copy tftp:// /backup.crl nvram:CA.crl Destination filename [CA.crl]? 214 bytes copied in secs (162 bytes/sec) Router#configure terminal Router (config)#crypto pki import CA pkcs12 tftp:// /backup.p12 cisco123 Source filename [backup.p12]? CRYPTO_PKI: Imported PKCS12 file successfully. CA cert fingerprint: B13EAD45 196DA461 B43E813F Last certificate issued serial number: 0x1 CA certificate expiration timer: 01:49:13 GMT Aug CRL NextUpdate timer: 01:49:16 GMT Sep ccnp_cch

10 Vérification La commande show crypto pki server affiche des informations concernant le serveur de certificat. Router#show crypto pki server Certificate Server CA: Status: enabled Server's current state: enabled Issuer name: CN=CA CA cert fingerprint: F04C2B75 E0243FBC B1D77412 Granting mode is: manual Last certificate issued serial number: 0x2 CA certificate expiration timer: 21:02:55 GMT Sep CRL NextUpdate timer: 21:02:58 GMT Sep Current storage dir: nvram: Database Level: Minimum − no cert data written to storage ccnp_cch


Télécharger ppt "Sauvegarde & Restauration Serveur CA IOS Cisco"

Présentations similaires


Annonces Google