Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Descripción General de la PKI de Cisco IOS: Comprensión y Planificación de una PKI
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 205 KB | Inglés (31 Marzo 2011) | Comentarios

Contenidos

Descripción General de la PKI de Cisco IOS: Comprensión y Planificación de una PKI

Contenido

Información sobre Cisco IOS PKI

¿Qué es la PKI de Cisco IOS?

Descripción General de las Llaves RSA

¿Qué Son las CAs?

PKI Jerárquico: Múltiples CAs

Inscripción del Certificado: Cómo funciona

La inscripción del certificado vía asegura la disposición del dispositivo

Revocación de Certificados: Por qué Ocurre

Planificación para una PKI

Adonde ir después

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información de la característica para la descripción del Cisco IOS PKI: Comprensión y Planificación de una PKI

Glosario


Descripción General de la PKI de Cisco IOS: Comprensión y Planificación de una PKI


Primera publicación: 2 de mayo de 2005
Última actualización: De marzo el 31 de 2011

El Public Key Infrastructure (PKI) del Cisco IOS proporciona la administración de certificados para soportar los protocolos de Seguridad tales como seguridad IP (IPSec), Secure Shell (SSH), y Secure Socket Layer (SSL). Este módulo identifica y describe los conceptos para los cuales sea necesario entender, planear, y implementar un PKI.

Contenido

Información sobre Cisco IOS PKI

Planificación para una PKI

Adonde ir después

Referencias adicionales

Glosario

Información sobre Cisco IOS PKI

Antes de implementar un PKI básico, usted debe entender los conceptos siguientes:

¿Qué es la PKI de Cisco IOS?

Descripción General de las Llaves RSA

¿Qué Son las CAs?

Inscripción del Certificado: Cómo funciona

Revocación de Certificados: Por qué Ocurre

¿Qué es la PKI de Cisco IOS?

Un PKI se compone de las entidades siguientes:

Pares que comunican en una red segura

Por lo menos un Certification Authority (CA) que concede y mantiene los Certificados

Certificados digitales, que contienen la información tal como el período de la validez del certificado, información de identidad del par, claves de cifrados que se utilicen para las comunicaciones seguras, y la firma de CA de publicación

Un registration authority (RA) opcional para descargar CA procesando las peticiones de la inscripción

Un mecanismo de distribución (tal como [LDAP] del protocolo lightweight directory access o HTTP) para los Lista de revocación de certificados (CRL) (CRL)

El PKI proporciona a los clientes con un mecanismo scalable, seguro para distribuir, manejar, y revocar el cifrado y la información de identidad en una red de datos seguras. Cada entidad (una persona o un dispositivo) que participa en asegurado comunicado se alista en el PKI en un proceso donde la entidad genera un par clave del Rivest, del Shamir, y del Adelman (RSA) (una clave privada y un clave pública) y tiene su identidad validada por una entidad confiable (también conocida como CA o trustpoint).

Después de que cada entidad aliste en un PKI, conceden cada par (también conocido como host extremo) en un PKI un certificado digital que ha sido publicado por CA. Cuando los pares deben negociar a una sesión de comunicación asegurada, intercambian los Certificados digitales. De acuerdo con la información en el certificado, un par puede validar la identidad de otro par y establecer a una sesión encriptada con los claves públicas contenidos en el certificado.

Aunque usted pueda planear para y configurar su PKI en varias maneras diferentes, el cuadro 1 muestra los componentes importantes que componen un PKI y sugiere una orden en la cual cada decisión dentro de un PKI pueda ser tomada. El cuadro 1 es un acercamiento sugerido; usted puede elegir configurar su PKI de una perspectiva distinta.

Cuadro 1 que decide cómo configurar su PKI

Descripción General de las Llaves RSA

Un par de llaves RSA se compone de una llave pública y una llave privada. Al configurar su PKI, debe incluir la llave pública en la solicitud de inscripción del certificado. Una vez concedido el certificado, la clave pública se incluirá en el mismo para que los homólogos la puedan utilizar con el fin de cifrar los datos que se envían al router. La llave privada se conserva en el router y se utiliza para desencriptar los datos enviados por los peers y para firmar digitalmente las transacciones durante las negociaciones con ellos.

Los pares de llaves RSA contienen un valor de módulo de la llave. El módulo determina el tamaño de la llave RSA. Cuanto más grande es el módulo, más segura es la llave RSA. Sin embargo, las llaves con valores de módulo grandes tardan más en generarse, y las operaciones de encripción y desencripción tardan más con llaves más grandes.

¿Qué Son las CAs?

CA, también conocido como trustpoint, maneja los pedidos de certificado y publica los Certificados a los dispositivos de la red participante. Estos servicios (manejo de los pedidos de certificado y publicación de los Certificados) proporcionan la administración de claves centralizada para los dispositivos participantes y son confiados en explícitamente por el receptor para validar las identidades y para crear los Certificados digitales. Antes de que comience cualquier operación PKI, el CA genera su propio par de llaves públicas y crea un certificado de CA auto-firmado; a continuación, el CA puede firmar las solicitudes de certificados y comenzar la inscripción del peer para el PKI.

Usted puede utilizar CA proporcionado por un vendedor de tercera persona de CA, o usted puede utilizar CA “interno”, que es el servidor de certificados del Cisco IOS.

PKI Jerárquico: Múltiples CAs

El PKI se puede configurar en un marco jerárquico para soportar los CA múltiples. Arriba de la jerarquía está una CA root, que posee un certificado autofirmado. La confianza dentro de toda la jerarquía se deriva del par de llaves RSA de la CA raíz. El subordinado CA dentro de la jerarquía puede ser alistado con raíz CA o con otro CA subordinado. Estas opciones de la inscripción son cómo las gradas múltiples de los CA se configuran. Dentro de un PKI jerárquico, todos los peers inscritos pueden validar el certificado mutuamente si los peers comparten un certificado root CA de confianza o un CA subordinado común.

El cuadro 2 muestra las relaciones de la inscripción entre los CA dentro de una jerarquía tres-con gradas.

Cuadro 2 topología de ejemplo Tres-con gradas de la jerarquía de CA


Cada CA corresponde a un punto de confianza. Por ejemplo, CA11 y CA12 son CA subordinados, sosteniendo los Certificados de CA que han sido publicados por CA1; CA111, CA112, y CA113 son CA también subordinados, solamente sus Certificados de CA han sido publicados por CA11.

Cuándo Utilizar Múltiples CAs

Las diversas CAs proporcionan a los usuarios un mayor grado de flexibilidad y confiabilidad. Por ejemplo, las CAs subordinadas se pueden colocar en sucursales, mientras que la CA raíz está en la oficina principal. También, se pueden implementar políticas de concesión diferentes para cada CA, de modo que se pueda configurar una CA para que conceda automáticamente solicitudes de certificado mientras que otra CA dentro de la jerarquía requiere que se conceda manualmente cada solicitud de certificado.

Los escenarios en los que se recomienda por lo menos una CA de dos niveles son los siguientes:

Las redes grandes y muy activas en las que se revocan y se reeditan una gran cantidad de certificados. Ayudas de CA de una grada del múltiplo para controlar los tamaños de los CRL.

Cuando se utilizan los protocolos en línea de la inscripción, raíz CA puede ser mantenido offline a excepción de publicar los Certificados de CA del subordinado. Esta situación aumenta la seguridad para la CA root.

Inscripción del Certificado: Cómo funciona

La inscripción del certificado es el proceso de obtener un certificado de CA. Cada host extremo que quiere participar en el PKI debe obtener un certificado. La inscripción del certificado ocurre entre el host extremo que pide el certificado y el cuadro 3 CA y los pasos siguientes describen el proceso de la inscripción del certificado.

Cuadro 3 proceso de la inscripción del certificado

1. El host extremo genera un par clave RSA.

2. El host extremo genera un pedido de certificado y adelante lo a CA (o al RA, si procede).

3. CA recibe la petición de la inscripción del certificado, y, dependiendo de su configuración de red, una de las opciones siguientes ocurre:

c.La intervención manual se requiere aprobar la petición.

d. El host extremo se configura para pedir automáticamente un certificado de CA. Así, la intervención del operador se requiere no más cuando la petición de la inscripción se envía al servidor de CA.


Observesi usted configuran el host extremo para pedir automáticamente los Certificados de CA, usted tiene un mecanismo adicional de la autorización.


4. Después de que la petición sea aprobada, CA firma la petición con su clave privada y vuelve el host completado del certificado al final.

5. El host extremo escribe el certificado a una área de almacenamiento tal como NVRAM.

La inscripción del certificado vía asegura la disposición del dispositivo

Asegure el dispositivo Provisioning (SDP) es una interfaz basada en web de la inscripción del certificado que se puede utilizar para desplegar fácilmente el PKI entre los dispositivos del dos extremos, tales como un cliente del Cisco IOS y un servidor de certificados del Cisco IOS.

El SDP (también referido como a [TTI] transitivo de confianza de la introducción) es un Communication Protocol que proporciona una introducción bidireccional entre las entidades del dos extremos, tales como un nuevo dispositivo de red y un Red privada virtual (VPN). El SDP implica las tres entidades siguientes:

Presentador — Mutuamente un dispositivo confiable que presenta al solicitante al secretario. El presentador puede ser usuario del dispositivo, tal como un administrador de sistema.

Solicitante — Un nuevo dispositivo que se une a al dominio seguro.

Secretario — El servidor de certificados o el otro servidor que autoriza al solicitante.

El SDP se implementa sobre un buscador Web en tres fases — recepción, introducción, y realización. Cada fase se muestra al usuario vía un Web page. Para más información sobre cada fase y cómo el SDP trabaja, vea “configurando para asegurar el dispositivo Provisioning (SDP) para la inscripción en el módulo PKI”.

Revocación de Certificados: Por qué Ocurre

Después de que cada participante haya alistado con éxito en el PKI, los pares están listos para comenzar las negociaciones para una conexión segura con uno a. Así, los pares presentan sus Certificados para la validación seguida por un control de la revocación. Después de que el par verifique que el certificado del otro par fuera publicado por CA autenticado, el CRL o el servidor en línea del protocolo status del certificado (OCSP) se marca para asegurarse de que el certificado no ha sido revocado por CA de publicación. El certificado contiene generalmente un punto de distribución del certificado (CDP) bajo la forma de URL. El Cisco IOS Software utiliza el CDP para localizar y para extraer el CRL. Si no responde el servidor CDP, el Cisco IOS Software señala un error, que puede dar lugar al certificado del par que es rechazado.

Planificación para una PKI

La planificación para un PKI requiere la evaluación de los requisitos y del uso previsto para cada uno de los componentes PKI mostrados en el cuadro 1. Se recomienda que usted (o el administrador de la red) planea a conciencia el PKI antes de comenzar cualquier configuración PKI.

Aunque haya varios acercamientos a considerar al planear el PKI, este documento comienza con la comunicación entre iguales y procede tal y como se muestra en del cuadro 1. No obstante usted o el administrador de la red elige planear el PKI, entienda que ciertas decisiones influencian otras decisiones dentro del PKI. Por ejemplo, la inscripción y la Estrategia de implementación podían influenciar la jerarquía prevista de CA. Así, es importante entender cómo cada componente funciona dentro del PKI y cómo ciertas opciones componentes son dependientes sobre las decisiones tomadas anterior en el proceso de planificación.

Adonde ir después

Como se sugiere en el cuadro 1, usted comienza a configurar un PKI por las claves RSA que configuran y que despliegan. Para más información, vea las claves que despliegan del módulo “RSA dentro de un PKI.”

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Comandos PKI: sintaxis, modo de comando, valores por defecto, Pautas para el uso, y ejemplos del comando complete

Referencia de Comandos de Seguridad de Cisco IOS

Inscripción del certificado: métodos aceptados, perfiles de inscripción, tareas de configuración

Configurando la inscripción del certificado para módulo PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura

Revocación de certificado y autorización: tareas de configuración

Configurando la revocación y la autorización de los Certificados en módulo PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura

Descripción general del servidor de certificados del Cisco IOS y tareas de configuración

Configurando y manejando un servidor de certificados del Cisco IOS para módulo del despliegue PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura

Provisión de Dispositivos Seguros: descripción y tareas de configuración de la funcionalidad

Configurando asegure el dispositivo Provisioning (SDP) para la inscripción en módulo PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura

Salvando las claves y los Certificados RSA en un USB eToken

Salvando módulo de las credenciales PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura


Estándares

Estándares
Título

Ninguno


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

RFC 2459

Certificado del Public Key Infrastructure de Internet X.509 y perfil CRL

RFC 2511

Pedido de certificado de Internet X.509 Message format (Formato del mensaje)

RFC 2527

Directiva del certificado del Public Key Infrastructure de Internet X.509 y marco de las prácticas de la certificación

RFC 2528

Public Key Infrastructure de Internet X.509

RFC 2559

Protocolos operativos del Public Key Infrastructure de Internet X.509 - LDAPv2

RFC 2560

Protocolo status en línea del certificado del Public Key Infrastructure de Internet X.509 - OCSP

RFC 2585

Protocolos operativos del Public Key Infrastructure de Internet X.509: FTP y HTTP

RFC 2587

Esquema del Public Key Infrastructure LDAPv2 de Internet X.509

RFC 2875

Algoritmos de la Prueba-de-posesión de Diffie Hellman

RFC 3029

Protocolos del servidor de la validación y de la certificación de datos del Public Key Infrastructure de Internet X.509


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para la descripción del Cisco IOS PKI: Comprensión y Planificación de una PKI

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Glosario

CDP — punto de distribución del certificado. Coloque dentro de un certificado digital que contiene la información que describe cómo extraer el CRL para el certificado. Los CDP mas comunes son HTTP y LDAP URL. Un CDP puede también contener otros tipos de URL o de una especificación del directorio LDAP. Cada CDP contiene una especificación URL o del directorio.

certificates — Documentos electrónicos que atan un nombre del usuario o de dispositivo a su clave pública. Los Certificados son de uso general validar una firma digital.

CRL — Lista de revocación de certificados (CRL). Documento electrónico que contiene una lista de Certificados revocados. La CA que originalmente emitió los certificados crea y firma digitalmente la CRL. El CRL contiene las fechas para cuando el certificado fue publicado y cuando expira. Se publica un nuevo CRL cuando expira el CRL actual.

CA — autoridades de certificación. Mantenga responsable de manejar los pedidos de certificado y de publicar los Certificados a los dispositivos participantes de la red IPsec. Este servicio proporciona la administración de claves centralizada para los dispositivos participantes y es confiado en explícitamente por el receptor para validar las identidades y para crear los Certificados digitales.

peer certificate — Certificado presentado por un par, que contiene el clave pública del par y es firmado por el trustpoint CA.

PKI — Public Key Infrastructure. Sistema que maneja las claves de encripción y la información de identidad para los componentes de una red que participan en las comunicaciones aseguradas.

RA — autoridades de registro. Servidor que actúa como proxy para CA de modo que las funciones de CA puedan continuar cuando CA es offline. Aunque el RA sea a menudo parte del servidor de CA, el RA podría también ser una aplicación adicional, requiriendo un dispositivo adicional ejecutarlo.

RSA keys — El sistema criptográfico del clave pública desarrolló por el Rivest de Ron, el Shamir Adi, y Leonard Adleman. Se requiere un par clave RSA (un público y una clave privada) antes de que usted pueda obtener un certificado para su router.