Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Implementación y Administración del Mapa de Ruta de Funciones PKI
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 151 KB | Inglés (31 Marzo 2011) | Comentarios

Contenidos

Implementación y Administración del Mapa de Ruta de Funciones PKI

Encontrar la información de la característica

Característica PKI y soporte de la versión


Implementación y Administración del Mapa de Ruta de Funciones PKI


Primera publicación: 2 de mayo de 2005
Última actualización: De marzo el 31 de 2011

Este mapa de ruta enumera las características del Public Key Infrastructure (PKI) que se documentan en Cisco IOS Security Configuration Guide: Secure Connectivity y lo asocia a los módulos en los cuales él aparece. Para cualquier característica, haga clic el link en “donde” la columna documentada ver el módulo que contiene la información sobre la característica.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para el <Phrase basado en la sección de Title> del módulo” en la página 7.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de Cisco IOS Software que introdujo el soporte para una característica dada en un tren de versión del Cisco IOS Software dado. A menos que se indique lo contrario, las versiones posteriores de dicha serie de versiones de software de Cisco IOS también soportan esa función.


Característica PKI y soporte de la versión

El cuadro 1 enumera el soporte de característica PKI para los trenes de versión del Cisco IOS Software siguientes: Cisco IOS Release 12.2T, 12,3, y 12.3T.

En la tabla sólo se incluyen las funciones que fueron insertadas o modificadas en Cisco IOS Release 12.2(1) o posterior. Es posible que esta versión de Cisco IOS Software no soporte todas las funciones..

Características soportadas del cuadro 1 PKI 

Versión
Nombre de la función
Descripción de la Función
Más Información

12.3(14)T

Administrativo asegure el presentador de disposición del dispositivo

Esta característica le deja actuar como presentador administrativo para introducir un dispositivo en una red PKI y después para proporcionar un nombre de usuario como el localizador del Nombre del dispositivo a título de indicación en las bases de datos de AAA.

Configurando asegure el dispositivo Provisioning (SDP) para la inscripción en módulo PKI

12.3(14)T

Persistent Self-Signed Certificates

Esta característica permite que los usuarios del servidor HTTPS generen y que salven los certificados autofirmados en la configuración de inicio del router. Por tanto, las entradas en contacto SSL futuras entre el cliente y el servidor HTTPS pueden utilizar el mismo certificado auto-firmado sin la intervención del usuario.

Configurando la inscripción del certificado para módulo PKI

12.3(14)T

Asegure el dispositivo Provisioning la autorización basada en el certificado

Esta característica permite los Certificados publicados por otros servidores de la autoridad (CA) que se utilizarán para las introducciones SDP.

Configurando asegure el dispositivo Provisioning (SDP) para la inscripción en módulo PKI

12.3(14)T

Servidor de Certificados Subordinado

Esta mejora le deja configurar un servidor de certificados subordinado para conceder todos o cierto SCEP o los pedidos de certificado manuales.

Configurando y manejando un servidor de certificados del Cisco IOS para módulo del despliegue PKI

12.3(14)T

Almacenamiento USB

Esta característica le deja salvar las claves RSA en un externo del dispositivo al router vía un USB eToken. La tecnología del Smartcard (que es poseída por los sistemas del conocimiento de Aladdin) en llave USB un factor de forma (también llamado un USB eToken) proporciona la distribución segura de la configuración y deja a los usuarios salvar las credenciales PKI, tales como claves RSA, para el despliegue.

Salvando las credenciales PKI

12.3(11)T

Archivo del auto del servidor de certificados

Esta mejora habilita el certificado de CA y la clave de CA que se sostendrán automáticamente apenas una vez después de que sean generados por el servidor de certificados. Como consecuencia, usted no necesita generar una clave exportable de CA si el respaldo de CA es deseable.

Configurando y manejando un servidor de certificados del Cisco IOS para módulo del despliegue PKI

12.3(11)T

Autorización AAA PKI con el Nombre de Asunto Completo

Esta característica deja a los usuarios preguntar el servidor de AAA usando los asuntos enteros del certificado como nombre de usuario único AAA.

Configurando la autorización y la revocación de los Certificados en módulo PKI

12.3(11)T

Estatus PKI

Esta característica agrega status la palabra clave show crypto pki trustpointsal comando, que le deja ver el estado actual del trustpoint. Antes de esta característica, usted tuvo que publicar losshow crypto pki certificatesyshow crypto pki timerscomandos para el estado actual.

Configurando la inscripción del certificado para módulo PKI

12.3(11)T

Re-aliste con los certificados existentes

Esta característica deja a los usuarios re-alistar a un router con Cisco IOS CA vía los certificados existentes de un proveedor externo CA.

Configurando la inscripción del certificado para módulo PKI

12.3(8)T

Fácil asegure el despliegue del dispositivo

Esta característica introduce el soporte para el SDP (antes llamado EzSDD), que ofrece una interfaz basada en web de la inscripción que deje a los administradores de la red desplegar los nuevos dispositivos en las Redes grandes.

Configurando asegure el dispositivo Provisioning (SDP) para la inscripción en módulo PKI

12.3(8)T

Fácil asegure la integración del despliegue AAA del dispositivo

Esta característica integra las bases de datos de AAA externas, que permite que el presentador sea autenticado contra las bases de datos de AAA en vez de usar la contraseña habilitada del servidor de certificados del Cisco local.

Configurando asegure el dispositivo Provisioning (SDP) para la inscripción en módulo PKI

12.3(7)T

Modo del registration authority (RA) del servidor de certificados

Un servidor de certificados se puede configurar para ejecutarse en el modo RA.

Configurando y manejando un servidor de certificados del Cisco IOS para módulo del despliegue PKI

12.3(7)T

crypto pki Los comandos deben ser un sinónimo para crypto ca los comandos

Esta mejora cambia los comandos all en cuanto a quienes comience crypto ca crypto pki. Aunque el router todavía valide crypto ca los comandos, toda la salida se relee como crypto pki comandos.

Todos los módulos que contienen crypto ca los comandos.

12.3(7)T

Renovación de Claves para la Renovación de Certificados

Esta característica permite que el pedido de renovación del certificado sea hecho antes de que expire un certificado. Se conserva la clave y el certificado viejos hasta que el nuevo certificado esté disponible.

Configurando la inscripción del certificado para módulo PKI

12.3(7)T

PKI: Query Multiple Servers During Certificate Revocation Check

Esta característica deja el Cisco IOS Software hacer las tentativas múltiples de extraer el CRL, que permite que las operaciones continúen cuando un servidor determinado no está disponible. También, esta característica le deja reemplazar los CDP en un certificado con un CDP manualmente configurado.

Manualmente reemplazar los CDP en un certificado puede ser ventajoso cuando un servidor determinado es inasequible durante un largo periodo del tiempo. Los CDPs del certificado se pueden sustituir por una URL o especificación del directorio sin volver a emitir todos los certificados que contengan el CDP original.

Configurando la autorización y la revocación de los Certificados en módulo PKI

12.3(7)T

Protected Private Key Storage

Esta característica deja a un usuario cifrar y bloquear las claves privadas RSA que se utilizan en un router del Cisco IOS, que previene el uso no autorizado de las claves privadas.

Claves RSA que despliegan dentro módulo de un PKI

‘12.3(4)T’

Importación de los pares claves y de los Certificados RSA en el formato PEM

Esta característica deja a los usuarios utilizar los archivos PEM-formatados para importar o para exportar los pares claves RSA. los archivos PEM-formatados dejaron a los clientes directamente utilizar los pares claves existentes RSA en su Routers del Cisco IOS en vez de generar las nuevas claves. También, los usuarios pueden publicar los pedidos de certificado y recibir los Certificados publicados en los archivos PEM-formatados.

Claves RSA que despliegan dentro módulo de un PKI” yinscripción del certificado el configurar para módulo PKI

‘12.3(4)T’

Uso de ACLs de Certificado para Ignorar la Verificación de Revocación y los Certificados Vencidos

Esta función permite que un certificado que cumple criterios especificados se acepte independientemente de su período de validez o bien, si el certificado cumple los criterios especificados, no es necesario realizar la verificación de revocación.

Las ACLs de certificado se utilizan para especificar los criterios que debe cumplir el certificado para ser aceptado o evitar la comprobación de revocación. Además, si la comunicación AAA es protegida por un certificado, esta característica permite que el marcar AAA del certificado sea ignorado.

Configurando la autorización y la revocación de los Certificados en módulo PKI

‘12.3(4)T’

Servidor de Certificados de Cisco IOS

Esta característica introduce el soporte para el Cisco IOS CS, que ofrece a usuarios CA que se integra directamente con el Cisco IOS Software para desplegar las redes básicas PKI más fácilmente.

Configurando y manejando un servidor de certificados del Cisco IOS para módulo del despliegue PKI

‘12.3(4)T’

Inscripción HTTP Directa con Servidores CA

Esta característica deja a los usuarios configurar un perfil de la inscripción si su servidor de CA no soporta el SCEP y no quieren utilizar un RA como proxy. El perfil de la inscripción deja a los usuarios enviar los pedidos de HTTP directamente al servidor de CA en vez del proxy RA.

Configurando la inscripción del certificado para módulo PKI

12,3(2)T

Online Certificate Status Protocol (OCSP)

Esta característica deja a los usuarios permitir a OCSP en vez de los CRL para marcar el estatus del certificado. A diferencia de las CRLs, que solamente proporcionan el estado del certificado de forma periódica, OCSP puede proporcionar información al instante sobre el estado de un certificado.

Configurando la autorización y la revocación de los Certificados en módulo PKI

12.3(1)

Integración de PKI con el Servidor AAA

Esta función proporciona escalabilidad adicional para la autorización mediante la generación de un nombre de usuario de AAA del certificado que presenta el peer. Se consulta un servidor AAA para determinar si el certificado está autorizado para su uso por parte del componente interno. La autorización se indica por medio de una etiqueta especificada por el componente que debe estar presente en el par AV para el usuario.

Configurando la autorización y la revocación de los Certificados en módulo PKI

12.2(15)T

Control de Acceso Basado en Atributos de Seguridad de Certificados

Conforme al Protocolo IPSec, la Interoperabilidad de CA permite que un dispositivo Cisco IOS y CA comuniquen de modo que el dispositivo pueda obtener y utilizar los Certificados digitales de CA.

Los Certificados contienen varios campos que se utilicen para determinar si autorizan un dispositivo o a un usuario para realizar una acción especificada. Esta característica agrega los campos al certificado que permiten el especificar de un ACL para crear un ACL basado en el certificado.

Configurando la autorización y la revocación de los Certificados en módulo PKI

12.2(15)T

Exporting and Importing RSA Keys

Esta característica le deja los credenciales de seguridad de la transferencia entre los dispositivos exportando e importando las claves RSA. El par clave que se comparte entre dos dispositivos permite un dispositivo a inmediatamente y transparente asume el control las funciones del otro router.

Claves RSA que despliegan dentro módulo de un PKI

12.2(15)T

Multiple-Tier CA Hierarchy

Esta mejora deja a los usuarios configurar un PKI en un marco jerárquico para soportar los CA múltiples. Dentro de un PKI jerárquico, todos los peers inscritos pueden validar el certificado mutuamente si los peers comparten un certificado root CA de confianza o un CA subordinado común.

Configurando la inscripción del certificado para módulo PKI

12.2(13)T

Manual Certificate Enrollment (TFTP Cut-and-Paste)

Esta característica deja a los usuarios generar un pedido de certificado y validar los Certificados de CA así como los Certificados del router vía un servidor TFTP o las operaciones cortares y pegares manuales.

Configurando la inscripción del certificado para módulo PKI

12.2(8)T

Certificado Autoenrollment

Esta característica introduce el autoenrollment del certificado, que deja al router automáticamente pedir un certificado de CA que esté utilizando los parámetros en la configuración.

Configurando la inscripción del certificado para módulo PKI

12.2(8)T

Mejoras de Inscripción del Certificado

Esta característica introduce cinco nuevos crypto pki trustpoint submandatos que proporcionen las nuevas opciones para los pedidos de certificado y dejen a los usuarios especificar los campos en la configuración en vez de pasar con los prompts.

Configurando la inscripción del certificado para módulo PKI

12.2(8)T

Soporte múltiple del par clave RSA

Esta característica deja a los usuarios configurar a un router para tener pares claves múltiples RSA. Así, Cisco IOS Software puede mantener un par de llaves diferente para cada certificado de identidad.

Claves RSA que despliegan dentro módulo de un PKI

12.2(8)T

Trustpoint CLI

Esta característica introducecrypto pki trustpointel comando, que agrega el soporte para el trustpoint CA.

Configurando la inscripción del certificado para módulo PKI