Módulos e interfaces de Cisco : Módulo de servicios Cisco Catalyst SSL de la serie 6500

Configuración backend simple de la encripción de SSL con el módulo SSL del Catalyst 6000

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Se utiliza la configuración backend del Secure Socket Layer (SSL) cuando usted quiere a un cliente que usa HTTP (texto claro) para comunicar con un servidor HTTPS (tráfico encriptado). El módulo SSL actuará como proxy y validará la conexión HTTP del cliente. El módulo SSL entonces conecta vía el SSL con el servidor. Todo el tráfico del cliente es cifrado por el módulo SSL y remitido al servidor. El tráfico del servidor se desencripta antes de ser remitido al cliente.

/image/gif/paws/50061/simple_backend_ssl.jpg

Ésta es la configuración inicial del módulo SSL. Las definiciones de VLAN son incluidas.

ssl-proxy vlan 499 
 ipaddr 192.168.11.197 255.255.254.0
 gateway 192.168.10.1  
 admin
ssl-proxy vlan 500 
 ipaddr 192.168.21.197 255.255.254.0
 gateway 192.168.20.1  
ssl-proxy vlan 501 
 ipaddr 192.168.31.197 255.255.254.0

Antes de comenzar

Requisitos

Antes de intentar esta configuración, asegúrese por favor de que usted cumple estos requisitos:

  • Catalyst 6000 con el módulo SSL

  • El módulo SSL se ha configurado con un VLAN de administración

  • El módulo SSL se ha configurado con los VLA N del cliente y servidor

Componentes Utilizados

La información en este documento se basa en esta versión de software y hardware:

  • Mínimo del 2.1 de la versión del módulo SSL

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

Configuración SSL de extremo posterior

En esta sección encontrará la información para configurar las funciones descritas en este documento.

SSL y Certificados

Un Certificate Authority (CA) de confianza se requiere validar el certificado presentado al módulo SSL por el servidor Web al establecer la conexión SSL. Los CA de confianza múltiples se pueden configurar y alinear así como un pool de CA.

Importación de los Certificados de CA de confianza

Complete estos pasos:

  1. Cree una entrada de confianza de CA que indica el método que se utilizará para importar los Certificados. En este ejemplo, la copia y pega el certificado en una ventana de terminal. También, especifique que CA no tiene ninguna lista de revocación de los Certificados (CRL).

    ssl-proxy(config)#crypto ca trustpoint CA1
    ssl-proxy(ca-trustpoint)#enrollment terminal 
    ssl-proxy(ca-trustpoint)#crl optional 
  2. Una vez que se ha creado la entrada de CA, usted puede importar los Certificados asociados.

    ssl-proxy(config)#crypto ca authenticate CA1
    
    Enter the base 64 encoded CA certificate.
    End with a blank line or the word "quit" on a line by itself
    
    -----BEGIN CERTIFICATE-----
    MIIEDDCCA3WgAwIBAgIBADANBgkqhkiG9w0BAQQFADCBuzELMAkGA1UEBhMCLS0x
    EjAQBgNVBAgTCVNvbWVTdGF0ZTERMA8GA1UEBxMIU29tZUNpdHkxGTAXBgNVBAoT
    EFNvbWVPcmdhbml6YXRpb24xHzAdBgNVBAsTFlNvbWVPcmdhbml6YXRpb25hbFVu
    aXQxHjAcBgNVBAMTFWxvY2FsaG9zdC5sb2NhbGRvbWFpbjEpMCcGCSqGSIb3DQEJ
    ARYacm9vdEBsb2NhbGhvc3QubG9jYWxkb21haW4wHhcNMDMxMTA3MTAyNTE5WhcN
    MDQxMTA2MTAyNTE5WjCBuzELMAkGA1UEBhMCLS0xEjAQBgNVBAgTCVNvbWVTdGF0
    ZTERMA8GA1UEBxMIU29tZUNpdHkxGTAXBgNVBAoTEFNvbWVPcmdhbml6YXRpb24x
    HzAdBgNVBAsTFlNvbWVPcmdhbml6YXRpb25hbFVuaXQxHjAcBgNVBAMTFWxvY2Fs
    aG9zdC5sb2NhbGRvbWFpbjEpMCcGCSqGSIb3DQEJARYacm9vdEBsb2NhbGhvc3Qu
    bG9jYWxkb21haW4wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBALbEc403lMrc
    TwM0MGU1IDe7QWQE5h5NjS/Lf8KX81sNcO7DGrDLxjxKpKEfp2XY9XYbFBXGzDIP
    JdROjujvcUi0ZgQYr2pqP2eYHkWaMKClZ32JX4hOhgo0vr7dAQ7CKDRAVLddwqsC
    YTl1QPQHR27gtI/M74v4kaP1JBf/8Z+jAgMBAAGjggEcMIIBGDAdBgNVHQ4EFgQU
    JKrmeHLjYClfDU3fR7BSQ8ckApQwgegGA1UdIwSB4DCB3YAUJKrmeHLjYClfDU3f
    R7BSQ8ckApShgcGkgb4wgbsxCzAJBgNVBAYTAi0tMRIwEAYDVQQIEwlTb21lU3Rh
    dGUxETAPBgNVBAcTCFNvbWVDaXR5MRkwFwYDVQQKExBTb21lT3JnYW5pemF0aW9u
    MR8wHQYDVQQLExZTb21lT3JnYW5pemF0aW9uYWxVbml0MR4wHAYDVQQDExVsb2Nh
    bGhvc3QubG9jYWxkb21haW4xKTAnBgkqhkiG9w0BCQEWGnJvb3RAbG9jYWxob3N0
    LmxvY2FsZG9tYWluggEAMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEEBQADgYEA
    bVSfbEnrUKijkP5f76pyNFDYCS9Qu4PN8SJu8KXlmFTpcV1oToVAipUGBsgENvKx
    R1aJqpAU8a9iGVFukaco3Q+Gu9TErWauVevflwekcY5sOHXt33jWneveDcNwEQ1J
    JmptCZO2GS8td+PfFJKkc846fqe0LL/BzPPNrkM4C/8=
    -----END CERTIFICATE-----
    
    Certificate has the following attributes:
    Fingerprint: 458E7A60 0845AD98 A1649A8B 040F8E99 
    % Do you accept this certificate? [yes/no]: 
  3. Usted puede relanzar los pasos arriba para tantos CA según las necesidades.

Crear un pool del Certificate Authority

Complete estos pasos:

Ahora que usted ha creado todos los CA de confianza y ha importado sus Certificados asociados, usted necesita conectar estos CA juntos.

ssl-proxy(config)#ssl-proxy pool ca pool1
ssl-proxy(config-ca-pool)#ca trustpoint CA1

Configurar el servicio backend SSL

Complete estos pasos:

  1. Cree el servicio del proxy SSL. Especifique que esto es un servicio backend SSL usando la palabra clave cliente después del nombre del servicio.

    ssl-proxy(config)#ssl-proxy service MyHTTPS client
     
    ssl-proxy(config-ssl-proxy)#
    
  2. Defina IP virtual el direccionamiento (VIP) y vire hacia el lado de babor en cuál escuchará el módulo SSL. La dirección IP debe ser parte de que la subred IP definió en uno de los VLA N del módulo SSL.

    ssl-proxy(config-ssl-proxy)#virtual ipaddr 192.168.21.241 protocol tcp port 80
    
  3. Defina el servidor HTTPS con el cual conectaremos

    ssl-proxy(config-ssl-proxy)#server ipaddr 192.168.30.195 protocol tcp port 443
    
  4. Conecte el pool de CA, que se ha definido ya.

    ssl-proxy(config-ssl-proxy)#trusted-ca mentone-pool
    
  5. Defina qué parte de quisiera el certificado usted que el módulo SSL verificara durante la negociación SSL. Este paso es opcional.

    ssl-proxy(config-ssl-proxy)#authenticate verify signature-only
    
  6. Active el servicio.

    ssl-proxy(config-ssl-proxy)#inservice
    

Verificación

En esta sección encontrará información que puede utilizar para confirmar que su configuración esté funcionando correctamente.

Marque que su servicio del proxy SSL es activo y de trabajo correctamente:

ssl-proxy#sho ssl-proxy service MyHTTPS
Service id: 260, bound_service_id: 4
Virtual IP: 192.168.21.241, port: 80  
Server IP: 192.168.30.195, port: 443
Certificate authority pool: mentone-pool 
  CA pool complete 
Certificate authentication type: only signature verification
Admin Status: up
Operation Status: up
ssl-proxy#

La salida está correcta.

Este ejemplo muestra un Posible problema:

ssl-proxy#sho ssl-proxy service gduf 
Service id: 259, bound_service_id: 3
Virtual IP: 192.168.31.241, port: 80  
Server IP: 192.168.21.3, port: 443
Certificate authority pool: C2knica (not configured)
Certificate authentication type: only signature verification
Admin Status: up
Operation Status: down
Proxy status: CA pool incomplete

Marque las estadísticas. Marque que las conexiones se están recibiendo del cliente, y que las conexiones están abiertas con el servidor.

ssl-proxy#sho ssl-proxy stats
TCP Statistics:
    Conns initiated     : 7             Conns accepted       : 7         
    Conns established   : 14            Conns dropped        : 6         
    Conns Allocated     : 22            Conns Deallocated    : 22        
    Conns closed        : 14            SYN timeouts         : 0         
    Idle timeouts       : 0             Total pkts sent      : 54        
    Data packets sent   : 18            Data bytes sent      : 1227      
    Total Pkts rcvd     : 54            Pkts rcvd in seq     : 24        
    Bytes rcvd in seq   : 9967      

SSL Statistics: 
    conns attempted     : 7             conns completed     : 7         
    full handshakes     : 1             resumed handshakes  : 0         
    active conns        : 0             active sessions     : 0         
    renegs attempted    : 0             conns in reneg      : 0         
    handshake failures  : 6             data failures       : 0         
    fatal alerts rcvd   : 0             fatal alerts sent   : 6         
    no-cipher alerts    : 0             ver mismatch alerts : 0         
    no-compress alerts  : 0             bad macs received   : 0         
    pad errors          : 0             session fails       : 0         

FDU Statistics:
    IP Frag Drops       : 0             IP Version Drops    : 0         
    IP Addr Discards    : 0             Serv_Id Drops       : 0         
    Conn Id Drops       : 0             Bound Conn Drops    : 0         
    Vlan Id Drops       : 0             TCP Checksum Drops  : 0         
    Hash Full Drops     : 0             Hash Alloc Fails    : 0         
    Flow Creates        : 44            Flow Deletes        : 44        
    Conn Id allocs      : 22            Conn Id deallocs    : 22        
    Tagged Pkts Drops   : 0             Non-Tagg Pkts Drops : 0         
    Add ipcs            : 1             Delete ipcs         : 0         
    Disable ipcs        : 1             Enable ipcs         : 0         
    Unsolicited ipcs    : 0             Duplicate Add ipcs  : 0         
    IOS Broadcast Pkts  : 36624         IOS Unicast Pkts    : 1310      
    IOS Multicast Pkts  : 0             IOS Total Pkts      : 37934     
    IOS Congest Drops   : 0             SYN Discards        : 0       

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 50061