Сертифициращ орган на рутер Cisco

Материал от Xgu.ru

Ако смятате, че си струва да финализирате възможно най-скоро, моля, кажете го.

Тази страница описва как да конфигурирате вашия рутер Cisco:

  • да действа като сертифициращ орган (CA);
  • да получите сертификати от:
    • Сертификационен орган на Windows Server 2003,
    • CA на рутер Cisco,
    • себе си, ако самият рутер е сертифициращ орган.

Съдържание

[редактиране] Основни понятия

Основни понятия, свързани със сертифициращите органи и инфраструктурата на публичния ключ на страницата за криптография

[редактиране] Конфигуриране на CA сървър на рутер

[редактиране] Първоначална конфигурация на рутера

Когато настройвате CA сървър, трябва да обърнете внимание на времето на самия сървър, както и на времето, конфигурирано на клиентите, които ще се свържат с него. Времето трябва да е същото. Най-простата опция е да използвате командата:

Можете да вдигнете NTP сървър.

Настройки на клиентски рутери за синхронизиране на времето с CA

Задайте име на рутер и име на домейн:

Cisco IOS CA Server използва прост протокол за регистрация на сертификати (SCEP) за издаване на сертификати. За да работи този протокол, трябва да активирате вградения IOS HTTP сървър:

[редактиране] Генериране на двойка RSA ключове

Първо, трябва да генерирате двойка ключове, които CA сървърът ще използва:

Името r3ca (етикет на двойка ключове) трябва да съвпада с името на сървъра (използва се при изпълнение на командата cs-label на крипто pki сървъра, което е обсъдено по-долу)

Експортиране на ключове в NVRAM памет:

  • r3ca - името на по-рано генерираната двойка ключове
  • pem - поверителна поща (PEM). Файлов формат за прехвърляне и заявяване на сертификати
  • cisco123 е паролата, използвана за защита на частния ключ

Можете да видите генерираната двойка ключове, като изпълните командата:

[редактиране] Задължителни настройки и настройки по подразбиране

За да стартирате CA сървъра с настройките по подразбиране, просто отидете в режима за настройки на сървъра и го активирайте:

Името на сървъра трябва да съвпада с името на двойката ключове, генерирана по-рано.

Конфигурация по подразбиране:

След включване на сървъра, точката на доверие със същото име се създава автоматично:

Настройки, приложими за CA сървъра:

  • cdp-url - позволява да посочите URL адреса, където ще бъде налице CRL.

По подразбиране тази команда не е конфигурирана и клиентите на Cisco IOS PKI автоматично ще използват SCEP за извличане на CRL от сървъра.

  • URL адрес на базата данни - указва къде ще се съхраняват записите от базата данни на сървъра за сертификати. По подразбиране - NVRAM
  • ниво на базата данни - контролира какъв вид информация ще се съхранява в базата данни за издаване на сертификати. По подразбиране - минимално.
  • име на издателя - тъй като името на сървъра, издал сертификата, ще бъде посочено в сертификата. Име на сървъра по подразбиране.
  • сертификат за цял живот Е животът (в дни) на сертификата на сървъра. По подразбиране е 3 години. Възможен диапазон от стойности от 1 ден до 1825 дни.
  • удостоверение за цял живот - живот (в дни) на сертификати, издадени на клиенти. По подразбиране е 1 година.
  • доживотен крл - продължителност на живота (в часове) CRL. По подразбиране е 168 часа (1 седмица). Максимална стойност 336 часа (2 седмици).
  • безвъзмездна помощ - режимът на издаване на сертификати.