Segurança e VPN : Public Key Infrastructure (PKI)

OS IO PKI Auto-registram-se, Auto-derrubamento, e temporizadores

29 Julho 2013 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (6 Junho 2013) | Feedback

Introdução

Os Certificados fixaram vidas e expiram em algum momento. Se os Certificados estão usados para propósitos de autenticação para uma solução de VPN (por exemplo), a expiração destes Certificados conduz às falhas de autenticação possíveis que conduzem à perda de conectividade de VPN entre os valores-limite. A fim evitar esta edição, estes dois mecanismos estão disponíveis para a renovação automática do certificado:

  • Inscrição automática para o cliente/Roteadores do spoke
  • Auto-derrubamento para o roteador de servidor do Certification Authority (CA)

Este documento descreve como as operações do Public Key Infrastructure (PKI) do ® do Cisco IOS da inscrição automática e do auto-derrubamento trabalham e como os temporizadores respetivos PKI são calculados para estas operações.

Contribuído por Hamzah Kardame e por Atri Basu, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Public Key Infrastructure (PKI) e o conceito da confiança.
  • Configuração básica do Certification Authority (CA) no Roteadores.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações apresentadas neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Terminologia

inscrição automática

Quando um certificado em um dispositivo final está a ponto de expirar, a inscrição automática obtem um certificado novo sem rompimento. Quando a inscrição automática é configurada, o cliente/roteador do spoke pode pedir um certificado novo em algum dia antes que seu próprio certificado (conhecido como sua identidade ou certificado ID) expire.

auto-derrubamento

Este parâmetro decide quando o servidor certificado (CS) gera seu certificado do derrubamento (sombra); se o comando é incorporado sob a configuração CS sem nenhum argumento, o tempo padrão é 30 dias.

Nota: Nos exemplos neste documento, o valor deste parâmetro é os minutos 10.

Quando um certificado no server de CA está a ponto de expirar, o auto-derrubamento permite CA de obter um certificado novo sem rompimento. Quando o auto-derrubamento é configurado, o roteador de CA pode gerar um certificado novo em algum dia antes que seu próprio certificado expire. O certificado novo, que é chamado a sombra ou o certificado do derrubamento, torna-se ativo no momento onde preciso o certificado de CA atual expira.

Usando as duas características mencionadas acima, o desenvolvimento PKI torna-se automatizado, permitindo que o spoke ou o dispositivo do cliente obtenham uma sombra/certificado de identidade do derrubamento e sombreiem-nos/certificado de CA do derrubamento antes da expiração atual do certificado de CA, de modo que possa transição sem interrupção ao ID novo e certificados de CA quando seus ID e certificados de CA atuais expiram.

Ca-certificado da vida

Este parâmetro especifica a vida do certificado de CA. O valor deste parâmetro pode ser especificado nos dias/horas/minutos.

Nota: Nos exemplos neste documento, o valor deste parâmetro é 30 minutos.

certificado da vida

Este parâmetro especifica a vida do certificado de identidade que é emitido pelo roteador de CA. O valor deste parâmetro pode ser especificado nos dias/horas/minutos.

Nota: Nos exemplos neste documento, o valor deste parâmetro é 20 minutos.

Configurar

Nota: Os valores de temporizador menores PKI para a vida, auto-derrubamento, e auto-registram-se são usados neste documento a fim ilustrar chave auto-registram-se e conceitos do auto-derrubamento. Em um ambiente de rede viva, Cisco recomenda que você usa as durações padrão para estes parâmetros. 

Configuração do servidor de CA do Cisco IOS

RootCA#show ip interface brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 10.1.1.1 YES manual up up
crypto pki server ios-ca
issuer-name CN=Root-CA,OU=TAC,C=IN
grant auto
hash sha512
lifetime certificate 0 0 20
lifetime ca-certificate 0 0 30
cdp-url http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
auto-rollover 0 0 10
database url flash:

Nota: O valor especificado com o comando do auto-derrubamento é o número de dias/horas/minutos antes da data final do certificado de CA atual que o certificado do derrubamento está gerado. Conseqüentemente, se um certificado de CA é válido de 12:00 a 12:30, a seguir o auto-derrubamento 0 0 10 implica que o certificado de CA do derrubamento está gerado em torno de 12:20.

Use o comando certificate cripto do pki da mostra a fim verificar a configuração no server de CA do Cisco IOS:

RootCA#show crypto pki certificate
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:16:05 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012

Associated Trustpoints: ios-ca

Baseado nesta saída, o roteador inclui um certificado de CA que seja válido de 9:16 a 9:46 IST novembro 25, 2012. Desde que o auto-derrubamento é configurado pelos minutos 10, a sombra/certificado do derrubamento é esperada ser gerada por 9,36 IST novembro 25, 2012.

A fim confirmar, use o comando cripto do temporizador do pki da mostra:

RootCA#show crypto pki timer
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:19:22.283 IST Sun Nov 25 2012
PKI Timers
| 12:50.930
| 12:50.930 SESSION CLEANUP
CS Timers
| 16:43.558
| 16:43.558 CS SHADOW CERT GENERATION
| 26:43.532 CS CERT EXPIRE
| 26:43.558 CS CRL UPDATE

Baseado nesta saída, o comando cripto do temporizador do pki da mostra foi emitido em 9,19 IST, e a sombra/certificado do derrubamento é esperada ser gerada dentro de 16,43 minutos:

[09:19:22 + 00:16:43] = 09:36:05, que é:
[end-date_of_current_CA_cert - auto_rollover_timer]; isto é, [09:46:05 - 00:10:00] = 09:36:05.

Configuração do cliente/Spoke Router

Client-1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 172.16.1.1 YES manual up up
crypto pki trustpoint client1
enrollment url http://10.1.1.1:80
subject-name CN=Client-1,OU=TAC,c=IN
revocation-check crl
auto-enroll 70 regenerate

Nota: auto-registre permite a característica Auto-inscrição no roteador.

A sintaxe do comando é: auto-registre o [regenerate] do [val%].

Na saída precedente, auto-registre é especificado como 70%; isto é, em 70% do [lifetime of current_ID_cert], o roteador re-registra-se automaticamente com CA.

Dica: Cisco recomenda que você ajusta o valor auto-se registrar a 60% ou mais a fim assegurar os temporizadores PKI trabalhe corretamente.

A opção regenerada conduz à criação de uma chave nova RSA para finalidades da nova inscrição/renovação do certificado. Se esta opção não é especificada, a chave existente RSA está usada.

Inscrição automática na ação

  1. Use o pki cripto autenticam o comando a fim autenticar manualmente o ponto confiável no roteador cliente:
    Client-1(config)#crypto pki authenticate client1 

    Para obter mais informações sobre deste comando, refira a referência de comandos do Cisco IOS Security.

    Uma vez que você executa o comando, uma saída similar a essa abaixo deve aparecer:

    Certificate has the following attributes:
    Fingerprint MD5: 006B2E44 37FBC3F1 AA14F32B CDC4462E
    Fingerprint SHA1: 2999CC53 8BF65247 C0D704E9 FDC73002 A33910D4

    % Do you accept this certificate? [yes/no]:
  2. Tipo sim a fim aceitar o certificado de CA no roteador cliente.

    Começos de um temporizador da RENOVAÇÃO no roteador:

    Client-1#show crypto pki timer
    PKI Timers
    | 0.086
    | 0.086 RENEW cvo-pki
    | 9:51.366 SESSION CLEANUP
  3. Uma vez o temporizador da RENOVAÇÃO conta para baixo a zero, o roteador cliente registra-se automaticamente com CA a fim obter seu certificado de identidade. Uma vez que o certificado é recebido, você pode usar o comando certificate cripto do pki da mostra a fim vê-lo:
    Client-1#show crypto pki certificate
    Certificate
    Status: Available
    Certificate Serial Number (hex): 02
    Certificate Usage: General Purpose
    Issuer:
    cn=Root-CA
    ou=TAC
    c=IN
    Subject:
    Name: Client-1
    hostname=Client-1
    cn=Client-1
    ou=TAC
    c=IN
    CRL Distribution Points:
    http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
    Validity Date:
    start date: 09:16:57 IST Nov 25 2012
    end date: 09:36:57 IST Nov 25 2012
    renew date: 09:30:08 IST Nov 25 2012
    Associated Trustpoints: client1
    CA Certificate
    Status: Available
    Certificate Serial Number (hex): 01
    Certificate Usage: Signature
    Issuer:
    cn=Root-CA
    ou=TAC
    c=IN
    Subject:
    cn=Root-CA
    ou=TAC
    c=IN
    Validity Date:
    start date: 09:16:05 IST Nov 25 2012
    end date: 09:46:05 IST Nov 25 2012
    Associated Trustpoints: client1

    renove a data = 09:30:08 é calculado como:
    horas inicial + (%renewal de ID_cert_lifetime)
    09:16:57 + (70% * 20 minutos) = 09:30:08

    Os temporizadores PKI refletem o mesmos:

    Client-1#show crypto pki timer
    Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
    Time source is NTP, 09:19:01.714 IST Sun Nov 25 2012
    PKI Timers
    | 1:21.790
    | 1:21.790 SESSION CLEANUP
    | 11:06.894 RENEW client1
  4. Uma vez os fogos do temporizador da RENOVAÇÃO, o roteador re-registram-se com CA a fim obter um certificado novo ID. Depois que uma renovação do certificado ocorreu, você pode usar o comando cripto CERT do pki da mostra a fim ver o certificado novo ID:
    Client-1#show crypto pki cert
    Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
    Time source is NTP, 09:34:55.063 IST Sun Nov 25 2012
    Certificate
    Status: Available
    Certificate Serial Number (hex): 03
    Certificate Usage: General Purpose
    Issuer:
    cn=Root-CA
    ou=TAC
    c=IN
    Subject:
    Name: Client-1
    hostname=Client-1
    cn=Client-1
    ou=TAC
    c=IN
    CRL Distribution Points:
    http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
    Validity Date:
    start date: 09:30:09 IST Nov 25 2012
    end date: 09:46:05 IST Nov 25 2012

    Associated Trustpoints: client1
    CA Certificate
    Status: Available
    Certificate Serial Number (hex): 01
    Certificate Usage: Signature
    Issuer:
    cn=Root-CA
    ou=TAC
    c=IN
    Subject:
    cn=Root-CA
    ou=TAC
    c=IN
    Validity Date:
    start date: 09:16:05 IST Nov 25 2012
    end date: 09:46:05 IST Nov 25 2012
    Associated Trustpoints: client1

    Note que há já não uma data da renovação; em lugar de, um temporizador da SOMBRA é começado:

    Client-1#show crypto pki timer
    Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
    Time source is NTP, 09:34:57.922IST Sun Nov 25 2012
    PKI Timers
    | 25.582
    | 25.582 SESSION CLEANUP
    | 6:20.618 SHADOW client1

    A lógica é como segue:

      • Se a data final do certificado ID não é = data final do certificado de CA:

        Calcule a renovar-data baseada sobre auto-registram a porcentagem e o começo RENOVA o temporizador.

      • Se data final do certificado ID = da data final do certificado de CA:

    Nenhum processo de renovação é necessário desde que o certificado atual ID é válido somente enquanto o certificado de CA atual é válido. Em lugar de, um temporizador da SOMBRA é começado.

Este temporizador é calculado igualmente com base na porcentagem mencionada no comando auto-enroll. Por exemplo, considere as datas de validez do certificado renovado ID mostrado no exemplo anterior:

Validity Date of current ID cert: 
start date: 09:30:09 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012

A vida deste certificado é 16 minutos. Conseqüentemente, o temporizador do derrubamento (isto é, temporizador da SOMBRA) é 70% de 16 minutos, que iguala aproximadamente 11 minutos. Este cálculo implica que o roteador começará pedidos para seus sombra/Certificados do derrubamento em [09:30:09 + 00:11:00] = 09:41:09, que corresponde ao temporizador da SOMBRA PKI mostrado previamente neste documento:

Client-1#show crypto pki timer
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:34:57.922 IST Sun Nov 25 2012
PKI Timers
| 25.582
| 25.582 SESSION CLEANUP
| 6:20.618 SHADOW client1

Auto-derrubamento na ação

No server de CA do Cisco IOS

Quando os fogos do temporizador da SOMBRA, o certificado do derrubamento aparecerem no roteador de CA:

RootCA#show crypto pki certificate
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:36:28.184 IST Sun Nov 25 2012
CA Certificate (Rollover)
Status: Available
Certificate Serial Number (hex): 04
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Root-CA
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:46:05 IST Nov 25 2012
end date: 10:16:05 IST Nov 25 2012
Associated Trustpoints: ios-ca
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:16:05 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: ios-ca

No roteador cliente

Como descrito previamente neste documento, a característica Auto-inscrição deixada um temporizador da SOMBRA que tiquetaqueia no roteador cliente. Quando os fogos do temporizador da SOMBRA, a característica Auto-inscrição permitirem o roteador de pedir o server de CA para o derrubamento/certificado de CA da sombra. Uma vez que recebida, pergunta para seu certificado do derrubamento/sombra ID também. Em consequência, o roteador terá dois pares de Certificados: um par que é atual e o outro par que contem os Certificados do derrubamento/sombra:

Client-1#show crypto pki certificate
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:41:42.983 IST Sun Nov 25 2012
Router Certificate (Rollover)
Status: Available
Certificate Serial Number (hex): 05
Certificate Usage: General Purpose
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Client-1
hostname=Client-1
cn=Client-1
ou=TAC
c=IN
CRL Distribution Points:
http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
Validity Date:
start date: 09:46:05 IST Nov 25 2012
end date: 09:50:09 IST Nov 25 2012
Associated Trustpoints: client1

CA Certificate (Rollover)
Status: Available
Certificate Serial Number (hex): 04
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Root-CA
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:46:05 IST Nov 25 2012
end date: 10:16:05 IST Nov 25 2012
Associated Trustpoints: client1

Certificate
Status: Available
Certificate Serial Number (hex): 03
Certificate Usage: General Purpose
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Client-1
hostname=Client-1
cn=Client-1
ou=TAC
c=IN
CRL Distribution Points:
http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
Validity Date:
start date: 09:30:09 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: client1

CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:16:05 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: client1

Note a validez do certificado do derrubamento ID:

Validity Date: 
start date: 09:46:05 IST Nov 25 2012
end date: 09:50:09 IST Nov 25 2012

A vida do certificado é apenas 4 minutos (em vez dos 20 minutos previstos, como configurados no server de CA do Cisco IOS). Por o server de CA do Cisco IOS, a vida absoluta do certificado ID deve ser 20 minutos (que significa, para um roteador cliente dado, a soma das vidas dos Certificados ID (corrente + sombra) emitidos a ela não deve ser maior de 20 minutos).

Este processo é descrito mais aqui:

  • Validez do certificado atual ID no roteador:
start date: 09:30:09 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012

o current_id_cert_lifetime é 16 minutos.

  • Validez do certificado do derrubamento ID:
start date: 09:46:05 IST Nov 25 2012
end date: 09:50:09 IST Nov 25 2012

o rollover_id_cert_lifetime é 4 minutos.

  • Por o Cisco IOS, o [current_id_cert_lifetime] + o [rollover_id_cert_lifetime] devem = [total_id_cert_lifetime], que é verdadeiro aqui.

Considerações importantes

  • Os temporizadores PKI exigem um pulso de disparo competente funcionar corretamente. Cisco recomenda que você usa o NTP a fim sincronizar pulsos de disparo entre os roteadores cliente e o roteador de CA do Cisco IOS. Na ausência do NTP, o sistema/relógio de hardware no roteador pode ser usado. Para obter informações sobre de como configurar o relógio de hardware e fazê-lo competente, refira o manual de configuração do gerenciamento básico de sistema, Cisco IOS Release 12.4T.
  • Em cima do reload de um roteador, a sincronização do NTP toma frequentemente alguns minutos. Contudo, os temporizadores PKI são estabelecidos quase imediatamente. Até à data das versões 15.2(3.8)T e 15.2(4)S, os temporizadores PKI são reavaliados automaticamente depois que o NTP é sincronizado.
  • Os temporizadores PKI não são absolutos; são baseados em timeand restante, são voltados a calcular consequentemente após uma repartição. Por exemplo, supor que o roteador cliente tem um certificado ID válido por 100 dias e a característica auto-se registrar estêve ajustada a 80%. Então, a nova inscrição é esperada ocorrer após o 80th dia. Se o roteador é recarregado no 60th dia, carreg acima e volta a calcular o temporizador PKI como segue:

    (tempo restante) * (%auto-enroll) = (100-60) * 80% = 32 dias.  Conseqüentemente, a nova inscrição ocorre no [60 + 32] = 92nd dia.

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116094