Segurança e VPN : Negociação IPSec/Protocolos IKE

A expiração do certificado e Auto-registra-se para automático Re-registra-se ao Cisco IOS CA

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Todos os Certificados digitais têm construídos no tempo de expiração no certificado que é atribuído pelo server de emissão do Certificate Authority (CA) durante o registro. Quando um certificado digital é usado para a autenticação do IPSec de VPN do ISAKMP, há uma verificação automática do tempo da expiração do certificado do dispositivo de comunicação e do tempo de sistema no dispositivo (ponto final de VPN). Isto assegura-se de que um certificado usado seja válido e não expirou. É igualmente porque você deve ajustar o relógio interno em cada ponto final de VPN (roteador). Se [SNTP] do Network Time Protocol (NTP) (ou do protocolo de tempo de rede simples) não é possível nos roteadores de criptografia VPN, a seguir use o comando set clock manual.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada em todo o Roteadores que executa a imagem para essa respectiva plataforma.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Quando um certificado digital considerado não expirou nem é expirado?

  • Um certificado está expirado (inválido) se o tempo de sistema se realiza após o tempo da expiração do certificado ou antes da época emitida do certificado.

  • Um certificado não está expirado (válido) se o tempo de sistema está ou entre no certificado emitido tempo e o tempo expirado do certificado.

A finalidade da característica Auto-registrar-se é fornecer o administrador de CA um mecanismo para permitir que um roteador atualmente registrado re-registre-se automaticamente com seu server de CA em um por cento configurado da vida do certificado de roteador. Esta é uma característica importante para a viabilidade/supportability dos Certificados como um mecanismo de controle. Se você usou CA particular para emitir potencialmente Certificados aos milhares de roteadores VPN de filial com um um tempo de vida anual (sem Auto-registre), a seguir em exatamente um ano do tempo emitido, todos os Certificados expiram e todos os ramos perdem a Conectividade com o IPsec. Alternativamente, se a característica Auto-se registrar é ajustada “auto-registre 70", como neste exemplo, a seguir em 70% da vida do certificado emitido (1 ano), cada roteador emite automaticamente um pedido novo do registro ao server de CA do ½ do ¿  de Cisco IOSï alistado no ponto confiável.

Nota: Uma exceção à característica Auto-registrar-se é que se é ajustada a inferior ou igual a 10, a seguir realiza-se nos minutos. Se é maior do que o 10, a seguir é uma porcentagem da vida do certificado.

Há algumas advertências que o administrador de CA do Cisco IOS precisa de estar ciente de com Auto-se registra. O administrador precisa de executar estas ações para que a nova inscrição seja bem sucedido:

  1. Manualmente conceda ou rejeite cada pedido da nova inscrição no server de CA do Cisco IOS (a menos que da “o automóvel concessão” é usado no server de CA do Cisco IOS).

    • O server de CA do Cisco IOS ainda precisa de conceder ou rejeitar cada um destes pedidos (com a suposição que o Cisco IOS CA não tem da “o automóvel concessão” permitido). Contudo, nenhuma ação administrativa no roteador registrando-se é exigida para começar o processo da nova inscrição.

  2. Salvar o certificado re-registrado novo no VPN Router re-registrando-se, se apropriado.

    • Se não há nenhuma alteração de configuração unsaved pendente no roteador, a seguir o certificado novo salvar automaticamente ao RAM não-volátil (NVRAM). O certificado novo é redigido no NVRAM e o certificado precedente é removido.

    • Se há umas alterações de configuração unsaved pendentes, a seguir você deve emitir o comando copy run start no roteador registrando-se a fim salvar as alterações de configuração e o certificado re-registrado novo no NVRAM. Uma vez que o comando copy run start é terminado, a seguir o certificado novo está redigido no NVRAM e o certificado precedente é removido.

      Nota: Quando uma nova inscrição nova é bem sucedida, aquela não revoga o certificado precedente para aquela dispositivo registrado no server de CA. Quando os dispositivos VPN se comunicam, enviam-se o número de série do certificado (um número exclusivo).

      Nota: Por exemplo, se você está em 70% da vida do certificado e um ramo VPN era re-se registrar com CA, esse CA tem dois Certificados para esse hostname. Contudo, o roteador registrando-se tem somente um (mais novo). Se você escolhe a, você pode administrativamente revogar o certificado velho, ou permita que expire normalmente.

      Nota: As versões de código mais novas da característica Auto-registrar-se têm uma opção “para regenerar” os pares de chaves usados para o registro.

      • Esta opção é “não padrão” para regenerar pares de chaves.

      • Se esta opção foi escolhida, esteja ciente da identificação de bug Cisco CSCea90136. Esta correção de bug permite o par de chaves novo ser posta nos arquivos temporário quando o certificado de registro novo ocorrer sobre um túnel de IPsec existente (de que está usando o par de chaves idoso).

        Auto-registre tem a opção para gerar chaves novas no tempo de renovação da certificação. Atualmente isto causa uma perda de serviço durante o tempo onde tome para obter um certificado novo. Isto é porque há uma chave nova mas nenhum certificado que a combina.

        Esta representação retém a chave e o certificado velhos até que o certificado novo esteja disponível.

        A geração chave automática é executada igualmente para a Inscrição manual. As chaves são geradas (como necessário) para automático ou a Inscrição manual.

        • Versão encontrada - 12.3PIH03

        • Versão a ser - 12.3T dentro fixado

        • Versão aplicada a - 12.3PI03

        • Integrado dentro - Nenhuns

    Para a informação adicional, Suporte técnico de Cisco do contato.


Informações Relacionadas


Document ID: 50551