Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Implementación de Llaves RSA Dentro de un PKI
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 279 KB | Inglés (31 Marzo 2011) | Comentarios

Contenidos

Implementación de Llaves RSA Dentro de un PKI

Encontrar la información de la característica

Contenido

Prerrequisitos para Configurar una PKI RSA de Marcado de Salida

Información sobre la Configuración de las Llaves RSA

Descripción General de las Llaves RSA

Claves del uso RSA contra las claves de fines generales RSA

Cómo los pares claves RSA se asocian a un trustpoint

Razones para Almacenar Múltiples Llaves RSA en un Router

Beneficios de las Llaves RSA Exportables

Protección de la Frase de Contraseña al Importar y Exportar Llaves RSA

Cómo Configurar e Implementar Llaves RSA en una PKI

Generación de un Par de Llaves RSA

Pasos Siguientes

Manejo de los pares claves RSA y de los Certificados del trustpoint

Prerrequisitos

Ejemplo:

Exporting and Importing RSA Keys

Exporting and Importing RSA Keys en Archivos PKCS12

Exportación e Importación de Llaves RSA en Archivos con Formato PEM

Encripción y Bloqueo de Llaves Privadas en un Router

Prerrequisitos

Restricciones para cifrar y bloquear las claves privadas

Remoción de las Configuraciones del Par de Llaves RSA

Ejemplos de Configuración de la Implementación del Par de Llaves RSA

Generación y Especificación de Llaves RSA: Ejemplo:

Exporting and Importing RSA Keys: Ejemplos

Exportación e Importación de Llaves RSA en Archivos PKCS12: Ejemplo:

Generación, Exportación, Importación y Verificación de Llaves RSA en Archivos PEM: Ejemplo:

Exportación de Certificados y Pares de Llaves RSA del Router desde Archivos PEM: Ejemplo:

Importación de los Pares de Llaves y del Certificado RSA del Router desde Archivos PEM: Ejemplo:

Encripción y Bloqueo de Llaves Privadas en un Router: Ejemplos

Configuración y Verificación de una Llave Encriptada: Ejemplo:

Configuración y Verificación de una Llave Bloqueada: Ejemplo:

Adonde ir después

Referencias adicionales

Documentos Relacionados

MIB

RFC

Asistencia Técnica

Información sobre la Función Llaves RSA dentro de una PKI


Implementación de Llaves RSA Dentro de un PKI


Primera publicación: 2 de mayo de 2005
Última actualización: De marzo el 31 de 2011

Este módulo explica cómo configurar y desplegar las claves del Rivest, del Shamir, y del Adelman (RSA) dentro de un Public Key Infrastructure (PKI). Se requiere un par clave RSA (un público y una clave privada) antes de que usted pueda obtener un certificado para su router; es decir, el host de extremo debe generar un par de claves RSA e intercambiar el clave pública por la autoridad certificadora (CA) para obtener un certificado y entrar en un PKI.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para las claves RSA dentro la sección de un PKI”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Contenido

Prerrequisitos para Configurar una PKI RSA de Marcado de Salida

Información sobre la Configuración de las Llaves RSA

Cómo Configurar e Implementar Llaves RSA en una PKI

Ejemplos de Configuración de la Implementación del Par de Llaves RSA

Adonde ir después

Referencias adicionales

Información sobre la Función Llaves RSA dentro de una PKI

Prerrequisitos para Configurar una PKI RSA de Marcado de Salida

Antes de las claves RSA que configuran y que despliegan para un PKI, usted debe ser familiar con la descripción del Cisco IOS PKI del módulo: Entendiendo y planeando un PKI.

Desde Cisco IOS Release 12.3(7)T, todos los comandos que comienzan con "crypto ca" han cambiado para comenzar con "crypto pki". Aunque el router seguirá aceptando comandos crypto ca, toda la salida se releerá como crypto pki.

Información sobre la Configuración de las Llaves RSA

Descripción General de las Llaves RSA

Razones para Almacenar Múltiples Llaves RSA en un Router

Beneficios de las Llaves RSA Exportables

Protección de la Frase de Contraseña al Importar y Exportar Llaves RSA

Descripción General de las Llaves RSA

Un par de llaves RSA se compone de una llave pública y una llave privada. Al configurar su PKI, debe incluir la llave pública en la solicitud de inscripción del certificado. Una vez concedido el certificado, la clave pública se incluirá en el mismo para que los homólogos la puedan utilizar con el fin de cifrar los datos que se envían al router. La llave privada se conserva en el router y se utiliza para desencriptar los datos enviados por los peers y para firmar digitalmente las transacciones durante las negociaciones con ellos.

Los pares de llaves RSA contienen un valor de módulo de la llave. El módulo determina el tamaño de la llave RSA. Cuanto más grande es el módulo, más segura es la llave RSA. Sin embargo, las llaves con valores de módulo grandes tardan más en generarse, y las operaciones de encripción y desencripción tardan más con llaves más grandes.


Observea partir del Cisco IOS Release 12.4(11)T, par que los valores públicos del módulo de la clave RSA hasta 4096 bits se soportan automáticamente.

El módulo más grande de la clave del soldado RSA es 4096 bits. Por lo tanto, la clave privada más grande RSA que un router puede generar o la importación es 4096 bits. Sin embargo, el RFC 2409 restringe los tamaños de la clave privada a 2048 bits o menos para la encripción RSA.

El valor recomendado del módulo para CA es 2048 bits; el valor recomendado del módulo para un cliente es 1024 bits.


Claves del uso RSA contra las claves de fines generales RSA

Hay dos mutuamente - los tipos exclusivos de pares claves RSA — claves del uso y claves de fines generales. Cuando usted genera los pares claves RSA (vía crypto key generate rsa el comando), a le indicarán que seleccione las claves del uso o las claves de fines generales.

Claves del uso RSA

Las claves del uso consisten en dos pares claves RSA — se genera un par clave RSA y utilizado para el cifrado y un par clave RSA se genera y se utiliza para las firmas. Con las claves del uso, cada clave no se expone innecesariamente. (Sin las claves del uso, una clave se utiliza para ambos métodos de autentificación, aumentando la exposición de esa clave.)

Claves de fines generales RSA

Las claves de fines generales consisten en solamente un par clave RSA que utilizó para el cifrado y las firmas. Los pares claves de fines generales se utilizan más con frecuencia que los pares claves del uso.

Cómo los pares claves RSA se asocian a un trustpoint

Un trustpoint, también conocido como el Certificate Authority (CA), maneja los pedidos de certificado y publica los Certificados a los dispositivos de la red participante. Estos servicios proporcionan la administración de claves centralizada para los dispositivos participantes y son confiados en explícitamente por el receptor para validar las identidades y para crear los Certificados digitales. Antes de que comience cualquier operación PKI, el CA genera su propio par de llaves públicas y crea un certificado de CA auto-firmado; a continuación, el CA puede firmar las solicitudes de certificados y comenzar la inscripción del peer para el PKI.

Razones para Almacenar Múltiples Llaves RSA en un Router

Configurar los pares claves múltiples RSA permite que el Cisco IOS Software mantenga un diverso par clave para cada CA de las cuales esté tratando o el software puede mantener los pares claves y los Certificados múltiples con mismo CA. Así, el Cisco IOS Software puede hacer juego los requisitos de política para cada CA sin el compromiso de los requisitos especificados por los otros CA, tales como longitud de clave, vida útil de la clave, y de fines generales contra las claves del uso.

Los pares claves Nombrados (que se especifican vía label key-label la opción) permiten que usted tenga pares claves múltiples RSA, habilitando el Cisco IOS Software para mantener un diverso par clave para cada certificado de identidad.

Beneficios de las Llaves RSA Exportables


Las clavesexportables de la precaución RSA deben ser evaluadas cuidadosamente antes de usar porque usar las claves exportables RSA introduce el riesgo que estas claves pudieron ser expuestas.

Ninguna claves existente RSA no son exportable. Las nuevas claves se generan como nonexportable por abandono. No es posible convertir una clave nonexportable existente a una clave exportable.

A partir del Cisco IOS Release 12.2(15)T, los usuarios pueden compartir al par clave del soldado RSA de un router con los routeres en espera, por lo tanto transfiriendo los credenciales de seguridad entre los dispositivos de interconexión de redes. El par clave que se comparte entre dos Routers permitirá a un router a inmediatamente y transparente asume el control las funciones del otro router. Si el router principal era fallar, el router en espera se podría caer en la red para substituir el router defectuoso sin la necesidad de regenerar las claves, reenroll con CA, o redistribuya manualmente las claves.

La exportación y la importación de un par clave RSA también permite a los usuarios para poner el mismo par clave RSA en los routeres múltiples para poder configurar todas las estaciones de administración usando el Secure Shell (SSH) con una sola clave del público RSA.

Claves exportables RSA en los archivos PEM-formatados

Usando el Privacy Enhanced Mail (PEM) - los archivos formatados a importar o las claves de la exportación RSA pueden ser útiles para los clientes que están funcionando con el Cisco IOS Software Release 12.3(4)T o Posterior y que están utilizando el Secure Socket Layer (SSL) o las aplicaciones del Secure Shell (SSH) para generar manualmente los pares claves RSA y para importar las claves nuevamente dentro de sus aplicaciones PKI. Los archivos con formato PEM permiten a los clientes utilizar directamente pares de llaves RSA existentes en sus routers Cisco IOS en lugar de generar nuevas llaves.

Protección de la Frase de Contraseña al Importar y Exportar Llaves RSA

Usted tiene que incluir un passphrase para cifrar el archivo del PKCS12 o el archivo PEM que serán exportados, y cuando se importa el archivo del PKCS12 o PEM, el mismo passphrase tiene que ser ingresado para desencriptarlo. Cifrando el PKCS12 o el PEM clasifíe cuando se está exportando, borrado, o importado protege el archivo contra el acceso no autorizado y el uso mientras que se está transportando o se está salvando en un dispositivo externo.

El passphrase puede ser cualquier frase que sea por lo menos ocho caracteres de largo; puede incluir los espacios y la puntuación, excepto el signo de interrogación (?), que tiene significado especial al analizador de sintaxis del Cisco IOS.

Cómo convertir un par clave exportable RSA a un par clave de Nonexportable RSA

La protección del passphrase protege el archivo externo del PKCS12 o PEM contra el acceso no autorizado y el uso. Para evitar que un par clave RSA sea exportado, debe ser etiquetada “nonexportable.” Para convertir un par clave exportable RSA en un par clave nonexportable, el par clave debe ser exportado y después ser reimportado sin especificar la palabra clave “exportable”.

Cómo Configurar e Implementar Llaves RSA en una PKI

Generación de un Par de Llaves RSA

Manejo de los pares claves RSA y de los Certificados del trustpoint

Exporting and Importing RSA Keys

Encripción y Bloqueo de Llaves Privadas en un Router

Remoción de las Configuraciones del Par de Llaves RSA

Generación de un Par de Llaves RSA

Realice esta tarea de generar manualmente un par clave RSA.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto key generate rsa [general-keys | usage-keys | signature | encryption] []labelkey-labeldel []exportable del []modulus modulus-sizedel []storage devicename:del []on devicename:

4. exit

5. show crypto key mypubkey rsa

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto key generate rsa [general-keys | usage-keys | signature | encryption] [label key-label] [exportable] [modulus modulus-size] [storage devicename:] [on devicename:]

Example:

Router(config)# crypto key generate rsa general-keys modulus 360

(Opcional) genera el par clave RSA para el servidor de certificados.

storage La palabra clave especifica la ubicación de almacenamiento dominante.

Al especificar un nombre de escritura de la etiqueta especificando key-label el argumento, usted debe utilizar el mismo nombre para la escritura de la etiqueta que usted planea utilizar para el servidor de certificados (con crypto pki server cs-label el comando). Si key-label un argumento no se especifica, se utiliza el valor predeterminado, que es el nombre de dominio completo (FQDN) del router.

Si el par clave exportable RSA se genera manualmente después de que el certificado de CA se haya generado, y antes de publicar no shutdown el comando, después utilice crypto ca export pkcs12 el comando de exportar un archivo del PKCS12 que contenga el certificado de servidor de certificados y la clave privada.

Por abandono, los tamaños del módulo de una clave de CA son 1024 bits. El módulo recomendado para una clave de CA es 2048 bits. El rango para los tamaños del módulo de una clave de CA es a partir 350 a 4096 bits.

on La palabra clave especifica que el par clave RSA está creado en el dispositivo especificado, incluyendo un token del Bus serie universal (USB), un disco local, o un NVRAM. El nombre del dispositivo es seguido por los dos puntos (:).

Las clavesde la nota creadas en un Token USB deben ser 2048 bits o menos.

Paso 4 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 5 

show crypto key mypubkey rsa

Example:

Router# show crypto key mypubkey rsa

(Opcional) Visualiza los llaves públicas RSA del router.

Este paso permite verificar que el par de llaves RSA se ha generado con éxito.

Pasos Siguientes

Después de que usted haya generado con éxito un par clave RSA, usted puede proceder a las tareas adicionales unas de los en este módulo de generar los pares claves adicionales RSA, realizar la exportación y la importación de los pares claves RSA, o de los parámetros de seguridad complementaria de la configuración para el par clave RSA (tal como cifrar o bloquear la clave privada).

Manejo de los pares claves RSA y de los Certificados del trustpoint

Realice esta tarea de configurar el router para generar y los pares claves del almacenar múltiples RSA, asocie los pares claves a un trustpoint, y consiga los Certificados para el router del trustpoint.

Prerrequisitos

Usted debe haber generado ya un par clave RSA tal y como se muestra en de la tarea “que genera un par clave RSA.”

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto pki trustpoint name

4.rsakeypairkey-label [[]key-sizeencryption-key-size]

5.enrollment selfsigned (opcional)

6.subject-alt-name name (opcional)

7. exit

8. cypto pki enroll name

9. exit

10. show crypto key mypubkey rsa

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto pki trustpoint name

Example:

Router(config)# crypto pki trustpoint TESTCA

Crea un trustpoint y ingresa al modo de configuración del Ca-trustpoint.

Paso 4 

rsakeypair key-label [key-size [encryption-key-size]]

Example:

Router(ca-trustpoint)# rsakeypair fancy-keys

(Opcional) key-label el argumento especifica el nombre del par clave RSA generado durante la inscripción (si no existe ya o si auto-enroll regenerate se configura el comando) que se utilizará con el certificado del trustpoint. Por abandono, se utiliza la clave del nombre de dominio completo (FQDN).

(Opcional)key-size el argumento especifica los tamaños del par clave RSA.

(Opcional)encryption-key-size el argumento especifica los tamaños de la segunda clave, que se utiliza para pedir el cifrado, las claves de la firma, y los Certificados separados.

Paso 5 

enrollment selfsigned

Example:

Router(ca-trustpoint)# enrollment selfsigned

Specifies (opcional) uno mismo-firmó la inscripción para un trustpoint.

Paso 6 

subject-alt-name name

Example:

Router(ca-trustpoint)# subject-alt-name TESTCA

(Opcional) name el argumento especifica el nombre de los trustpoint en el campo alternativo sujeto del nombre (subjectAltName) en el certificado X.509, que se contiene en el certificado del trustpoint. Por abandono, el campo de nombre alternativo sujeto no se incluye en el certificado.

Observeeste campo del certificado X.509 se define en el RFC 2511.

Esta opción se utiliza para crear un certificado uno mismo-firmado del trustpoint para el router que contiene el nombre del trustpoint en el campo alternativo sujeto del nombre (subjectAltName). Este nombre alternativo sujeto puede ser utilizado solamente cuando enrollment selfsigned el comando se especifica para la inscripción uno mismo-firmada en la directiva del trustpoint.

Paso 7 

exit

Example:

Router(ca-trustpoint)# exit

Sale del modo de configuración de ca-trustpoint.

Paso 8 

cypto pki enroll name

Example:

Router(config)# cypto pki enroll TESTCA

% Include the router serial number in the subject name? [yes/no]: no

% Include an IP address in the subject name? [no]:

Generate Self Signed Router Certificate? [yes/no]: yes


Router Self Signed Certificate successfully created

Pide los Certificados para el router del trustpoint.

name El argumento especifica el nombre del trustpoint. Una vez que se ingresa este comando, conteste a los prompts.

Observeel uso el mismo nombre del trustpoint ingresado con crypto pki trustpoint el comando.

Paso 9 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 10 

show crypto key mypubkey rsa

Example:

Router# show crypto key mypubkey rsa

(Opcional) Visualiza los llaves públicas RSA del router.

Este paso permite verificar que el par de llaves RSA se ha generado con éxito.

Ejemplo:

El siguiente ejemplo muestra cómo crear un certificado uno mismo-firmado del trustpoint para el router que contiene el nombre del trustpoint en el campo alternativo sujeto del nombre (subjectAltName):

Router> enable
Router# configure terminal
Router(config)# crypto pki trustpoint TESTCA
Router(ca-trustpoint)# enrollment selfsigned
Router(ca-trustpoint)# subject-alt-name TESTCA
Router(ca-trustpoint)# exit
Router(config)# cypto pki enroll TESTCA
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]:
Generate Self Signed Router Certificate? [yes/no]: yes

Router Self Signed Certificate successfully created
Router(config)# exit

Se crea el certificado siguiente:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 2 (0x2)
        Signature Algorithm: md5WithRSAEncryption
        Issuer: CN=TESTCA/unstructuredName=r1.cisco.com
        Validity
            Not Before: Mar 22 20:26:20 2010 GMT
            Not After : Jan  1 00:00:00 2020 GMT
        Subject: CN=TESTCA/unstructuredName=r1.cisco.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (512 bit)
                Modulus (512 bit):
                    00:8d:71:2e:3b:eb:a2:e2:f3:44:d9:bc:a9:85:88:
                    f4:a9:bd:c9:7f:f0:69:f5:e7:75:8f:00:f2:8e:3e:
                    2f:ca:5e:c5:08:43:95:8c:a2:6a:ae:ce:a0:ae:82:
                    61:61:ff:4e:8c:8f:89:d1:56:d8:35:34:b7:95:93:
                    1a:72:03:71:fb
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
            CA:TRUE
            X509v3 Subject Alternative Name:
            DNS:TESTCA
            X509v3 Authority Key Identifier:
            keyid:F9:A4:95:87:5F:A4:CA:7D:65:FA:BE:38:20:55:18:F9:4C:6C:D5:F3

            X509v3 Subject Key Identifier:
            F9:A4:95:87:5F:A4:CA:7D:65:FA:BE:38:20:55:18:F9:4C:6C:D5:F3
    Signature Algorithm: md5WithRSAEncryption
        6d:92:e7:a8:a5:1a:5a:ef:13:58:02:1b:79:17:93:41:37:c9:
        2d:9f:1a:a3:f5:3a:73:05:cd:d1:02:84:43:7e:e0:84:07:46:
        55:f9:45:59:51:ba:25:48:6f:d8:e1:0d:35:44:07:5c:16:17:
        35:45:99:e2:80:6e:53:e5:35:76
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Exporting and Importing RSA Keys

Esta sección contiene las tareas siguientes que se pueden utilizar para exportar e importar las claves RSA. Si usted está utilizando los archivos del PKCS12 o los archivos PEM, las claves exportables RSA permiten que usted utilice las claves existentes RSA en el Routers del Cisco IOS en vez de tener que generar las nuevas claves RSA si el router principal era fallar.

Exporting and Importing RSA Keys en Archivos PKCS12

Exportación e Importación de Llaves RSA en Archivos con Formato PEM

Exporting and Importing RSA Keys en Archivos PKCS12

La exportación y la importación de los pares claves RSA permite a los usuarios para transferir los credenciales de seguridad entre los dispositivos. El par clave que se comparte entre dos dispositivos permite un dispositivo a inmediatamente y transparente asume el control las funciones del otro router.

Requisitos previos para exportar e importar la clave RSA en los archivos del PKCS12

Debe generar un par de llaves RSA y marcarlo como “exportable” según se especifica en la tarea "Generación de un Par de LlavesRSA".

Restricciones para exportar e importar las claves RSA en los archivos del PKCS12

Usted no puede exportar las claves RSA que existieron en el router antes de que su sistema fuera actualizado al Cisco IOS Release 12.2(15)T o Posterior. Usted tiene que generar las nuevas claves RSA y etiquetarlas como “exportable” después de que usted actualice el Cisco IOS Software.

Cuando usted importa un archivo del PKCS12 que fue generado por una aplicación de terceros, el archivo del PKCS12 debe incluir un certificado de CA.

Si usted quiere la reexportación al par clave RSA después de que usted haya exportado el par clave y los haya importado ya a un router objetivo, usted debe especificar exportable la palabra clave cuando usted está importando el par clave RSA.

La clave más grande RSA que un router puede importar es 2048-bits.

PASOS SUMARIOS

1. crypto pki trustpoint name

2.rsakeypairkey-label [[]key-sizeencryption-key-size]

3. exit

4. crypto pki export trustpointname pkcs12 destination-url passphrase

5. crypto pki import trustpointname pkcs12 source-url passphrase

6. exit

7. show crypto key mypubkey rsa

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

crypto pki trustpoint name

Example:

Router(config)# crypto pki trustpoint my-ca

Crea el nombre del trustpoint que debe ser asociado al par clave RSA y ingresa al modo de configuración del Ca-trustpoint.

Paso 2 

rsakeypair key-label [key-size [encryption-key-size]]

Example:

Router(ca-trustpoint)# rsakeypair my-keys

Especifica el par de llaves que se va a utilizar con el punto de confianza.

Paso 3 

exit

Example:

Router(ca-trustpoint)# exit

Sale del modo de configuración de ca-trustpoint.

Paso 4 

crypto pki export trustpointname pkcs12 destination-url passphrase

Example:

Router(config)# crypto pki export my-ca pkcs12 tftp://tftpserver/my-keys PASSWORD

Exporta las claves RSA vía el nombre del trustpoint.

Notausted puede exportar el trustpoint usando los tipos uces de los del sistema del archivo siguiente: flash, FTP, falta de información, NVRAM, (RCP) de copiado del archivo remoto, SCP, sistema, TFTP, Webflash, XMODEM, o YMODEM.

Paso 5 

crypto pki import trustpointname pkcs12 source-url passphrase

Example:

Router(config)# crypto pki import my-ca pkcs12 tftp://tftpserver/my-keys PASSWORD

Importa las claves RSA al router objetivo.

Paso 6 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 7 

show crypto key mypubkey rsa

Example:

Router# show crypto key mypubkey rsa

(Opcional) Visualiza los llaves públicas RSA del router.

Exportación e Importación de Llaves RSA en Archivos con Formato PEM

Realice esta tarea de exportar o de importar los pares claves RSA en los archivos PEM.

Requisitos previos para exportar e importar las claves RSA en los archivos PEM-formatados

Debe generar un par de llaves RSA y marcarlo como “exportable” según se especifica en la tarea "Generación de un Par de LlavesRSA".

Restricciones para exportar e importar las claves RSA en los archivos formatados PEM

Usted no puede exportar e importar las claves RSA que fueron generadas sin un indicador exportable antes de que su sistema fuera actualizado al Cisco IOS Release 12.3(4)T o a una versión posterior. Usted tiene que generar las nuevas claves RSA después de que usted actualice el Cisco IOS Software.

La clave más grande RSA que un router puede importar es 2048 bits.

PASOS SUMARIOS

1.crypto key generate rsa{usage-keys | general-keys}labelkey-label []exportable

2.crypto key export rsakey-labelpem{terminal | url url} {3des | des} passphrase

3.crypto key import rsakey-labelpem[]usage-keys{terminal | url url} []exportable passphrase

4. exit

5. show crypto key mypubkey rsa

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

crypto key generate rsa {usage-keys | general-keys} label key-label [exportable]

Example:

Router(config)# crypto key generate rsa general-keys label mykey exportable

Genera pares de llaves RSA.

Para utilizar los archivos PEM, el par clave RSA se debe etiquetar exportable.

Paso 2 

crypto key export rsa key-label pem {terminal | url url} {3des | des} passphrase

Example:

Router(config)# crypto key export rsa mycs pem url nvram: 3des PASSWORD

Exporta el par clave generado RSA.

La extremidadesté segura de mantener el archivo PEM seguro. Por ejemplo, usted puede querer salvarla en otro router de backup.

Paso 3 

crypto key import rsa key-label pem [usage-keys] {terminal | url url} [exportable] passphrase

Example:

Router(config)# crypto key import rsa mycs2 pem url nvram: PASSWORD

Importa el par clave generado RSA.

Observesi usted no quisieran que la clave fuera exportable de su CA, impórtelo de nuevo a CA después de que se haya exportado como par clave nonexportable. Así, la clave no se puede sacar otra vez.

Paso 4 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 5 

show crypto key mypubkey rsa

Example:

Router# show crypto key mypubkey rsa

(Opcional) Visualiza los llaves públicas RSA del router.

Encripción y Bloqueo de Llaves Privadas en un Router

Las firmas digitales se utilizan para autenticar un dispositivo a otro dispositivo. Para utilizar las firmas digitales, la información privada (la clave privada) se debe salvar en el dispositivo que está proporcionando a la firma. La información privada salvada puede ayudar a un atacante que robe el dispositivo de hardware que contiene la clave privada; por ejemplo, un ladrón pudo poder utilizar al router robado para iniciar una conexión segura a otro sitio usando las claves privadas RSA salvadas en el router.


Las clavesde la nota RSA se pierden durante las operaciones de la recuperación de contraseña. Si usted pierde su contraseña, las claves RSA serán borradas cuando usted realiza la operación de la recuperación de contraseña. (Esta función previene un atacante de realizar la recuperación de contraseña y entonces usando las claves.)


Para proteger la clave del soldado RSA contra un atacante, un usuario puede cifrar la clave privada que se salva en el NVRAM vía un passphrase. Los usuarios pueden también el “bloqueo” la clave privada, que bloquea las tentativas de la nueva conexión de un router corriente y protege la clave en el router si a un atacante frustrado roba al router.

Realice esta tarea de cifrar y de bloquear la clave privada que se guarda al NVRAM.


Observelas claves RSA debe estar desbloqueado mientras que alista CA. Las claves pueden ser bloqueadas mientras que autentican al router con CA porque la clave privada del router no se utiliza durante la autenticación.


Prerrequisitos

Antes de cifrar o de bloquear una clave privada, usted debe realizar las tareas siguientes:

Genere un par clave RSA tal y como se muestra en de la tarea “que genera un par clave RSA.”

Opcionalmente, usted puede autenticar y alistar a cada router con el servidor de CA.

Restricciones para cifrar y bloquear las claves privadas

Restricción de la compatibilidad descendente

Ninguna imagen antes del Cisco IOS Release 12.3(7)T no soporta las claves cifradas. Para evitar que su router pierda todas las claves cifradas, asegúrese de que solamente las claves unencrypted están escritas al NVRAM antes de iniciar una imagen antes del Cisco IOS Release 12.3(7)T.

Si usted debe descargar una imagen antes del Cisco IOS Release 12.3(7)T, desencripte la clave y salve inmediatamente la configuración así que la imagen descargada no sobregraba la configuración.

Interacción con las aplicaciones

Una clave cifrada no es eficaz después de que el router arranque hasta que usted desbloquee manualmente la clave (vía crypto key unlock rsa el comando). Dependiendo se cifran de qué pares claves, estas funciones pueden afectar al contrario a las aplicaciones tales como seguridad IP (el IPSec), SSH, y SSL; es decir, la Administración del router sobre un canal seguro puede no ser posible hasta que el par clave necesario esté desbloqueado.

PASOS SUMARIOS

1.crypto key encrypt []write rsadel []namekey-name passphrase passphrase

2. exit

3. show crypto key mypubkey rsa

4.crypto key lock rsa[]namekey-name passphrase passphrase

5. show crypto key mypubkey rsa

6.crypto key unlock rsa[]namekey-name passphrase passphrase

7. configure terminal

8.crypto key decrypt []write rsadel []namekey-name passphrase passphrase

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

crypto key encrypt [write] rsa [name key-name] passphrase passphrase

Example:

Router(config)# crypto key encrypt write rsa name pki.example.com passphrase password

Cifra las claves RSA.

Después de que se publique este comando, el router puede continuar utilizando la clave; la clave sigue siendo desbloqueada.

Observesiwrite la palabra clave no se publica, la configuración se debe escribir manualmente al NVRAM; si no, la clave cifrada será perdida la vez próxima que recargan al router.

Paso 2 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 3 

show crypto key mypubkey rsa

Example:

Router# show crypto key mypubkey rsa

(Opcional) muestra que la clave privada está cifrada (protegido) y desbloqueada.

Notausted puede también utilizar este comando de verificar que las aplicaciones tales como Internet Key Exchange (IKE) y SSH están trabajando correctamente después de que se haya cifrado la clave.

Paso 4 

crypto key lock rsa [name key-name] passphrase passphrase

Example:

Router# crypto key lock rsa name pki.example.com passphrase password

(Opcional) bloquea la clave privada cifrada en un router corriente.

Observedespués de que la clave es bloqueado, no puede ser utilizada para autenticar al router a un dispositivo de peer. Este comportamiento inhabilita cualquier IPSec o conexión SSL que utilicen la clave bloqueada.

Cualquier túnel IPsec existente creado en base de la clave bloqueada será cerrado.

Si todas las claves RSA son bloqueadas, SSH será inhabilitado automáticamente.

Paso 5 

show crypto key mypubkey rsa

Example:

Router# show crypto key mypubkey rsa

(Opcional) muestra que la clave privada está protegida y bloqueada.

La salida también mostrará las tentativas de la falla de conexión vía las aplicaciones tales como IKE, SSH, y SSL.

Paso 6 

crypto key unlock rsa [name key-name] passphrase passphrase

Example:

Router# crypto key unlock rsa name pki.example.com passphrase password

(Opcional) desbloquea la clave privada.

Observedespués de que este comando se publica, usted puede continuar estableciendo los túneles IKE.

Paso 7 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 8 

crypto key decrypt [write] rsa [name key-name] passphrase passphrase

Example:

Router(config)# crypto key decrypt write rsa name pki.example.com passphrase password

(Opcional) borra la clave cifrada y deja solamente la clave unencrypted.

Observe write la palabra clave guarda inmediatamente la clave unencrypted al NVRAM. Si write la palabra clave no se publica, la configuración se debe escribir manualmente al NVRAM; si no, la clave seguirá cifrada la próxima vez que recargan al router.

Remoción de las Configuraciones del Par de Llaves RSA

Un par clave RSA puede necesitar ser quitado para una de las razones siguientes:

Durante los mantenimientos y operación manuales PKI, las viejas claves RSA se pueden quitar y substituir por las nuevas claves.

Se substituye CA existente y nuevo CA requiere las claves nuevamente generadas; por ejemplo, los tamaños de clave requeridos pudieron haber cambiado en una organización así que usted tendría que borrar las viejas claves 1024-bit y generar las nuevas claves 2048-bit.

Los claves públicas del router del par se pueden borrar para ayudar a hacer el debug de los problemas de la verificación de firma en IKEv1 e IKEv2. Las claves se ocultan por abandono con el curso de la vida del Listas de revocación de certificados (CRL) asociado al trustpoint.

Realice esta tarea de quitar todas las claves RSA o el par clave especificado RSA que ha sido generado por su router.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto key zeroize rsa[]key-pair-label

4.crypto key zeroize pubkey-chain []index

5. exit

6. show crypto key mypubkey rsa

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto key zeroize rsa [key-pair-label]

Example:

Router(config)# crypto key zeroize rsa fancy-keys

Pares claves de las cancelaciones RSA de su router.

Sikey-pair-label el argumento no se especifica, todas las claves RSA que han sido generadas por su router serán borradas.

Paso 4 

crypto key zeroize pubkey-chain [index]

Example:

Router(config)# crypto key zeroize pubkey-chain

Borra el clave pública del peer remoto del caché.

(Opcional) utilice index el argumento para borrar una entrada de índice determinada de clave pública. Si no se especifica ninguna entrada de índice, después se borran todas las entradas. El intervalo aceptable de las entradas de índice es a partir la 1 a 65535.

Paso 5 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 6 

show crypto key mypubkey rsa

Example:

Router# show crypto key mypubkey rsa

(Opcional) Visualiza los llaves públicas RSA del router.

Este paso permite verificar que el par de llaves RSA se ha generado con éxito.

Ejemplos de Configuración de la Implementación del Par de Llaves RSA

Generación y Especificación de Llaves RSA: Ejemplo:

Exporting and Importing RSA Keys: Ejemplos

Encripción y Bloqueo de Llaves Privadas en un Router: Ejemplos

Generación y Especificación de Llaves RSA: Ejemplo:

El siguiente ejemplo es una configuración del trustpoint de la muestra que muestra cómo generar y especificar el par clave “exampleCAkeys” RSA:

crypto key generate rsa general-purpose exampleCAkeys 
crypto ca trustpoint exampleCAkeys 
 enroll url http://exampleCAkeys/certsrv/mscep/mscep.dll 
 rsakeypair exampleCAkeys 1024 1024 

Exporting and Importing RSA Keys: Ejemplos

Exportación e Importación de Llaves RSA en Archivos PKCS12: Ejemplo:

Generación, Exportación, Importación y Verificación de Llaves RSA en Archivos PEM: Ejemplo:

Exportación de Certificados y Pares de Llaves RSA del Router desde Archivos PEM: Ejemplo:

Importación de los Pares de Llaves y del Certificado RSA del Router desde Archivos PEM: Ejemplo:

Exportación e Importación de Llaves RSA en Archivos PKCS12: Ejemplo:

En el siguiente ejemplo, un par clave “mynewkp” RSA se genera en el router A, y un nombre “mynewtp” del trustpoint se crea y se asocia al par clave RSA. El trustpoint se exporta a un servidor TFTP, para poderlo importar en el router B. Importando el trustpoint “mynewtp” al router B, el usuario ha importado el par clave “mynewkp” RSA al router B.

Router A

crypto key generate rsa general label mykeys exportable 
! The name for the keys will be:mynewkp 
Choose the size of the key modulus in the range of 360 to 2048 for your 
General Purpose Keys. Choosing a key modulus greater than 512 may take 
a few minutes.
How many bits in the modulus [512]:
% Generating 512 bit RSA keys ...[OK]
!
crypto pki trustpoint mynewtp 
 rsakeypair mykeys 
 exit

crypto pki export mytp pkcs12 flash:myexport companyname 
Destination filename [myexport]? 
Writing pkcs12 file to tftp:/mytftpserver/myexport 
CRYPTO_PKI:Exported PKCS12 file successfully. 
Verifying checksum... OK (0x3307) 
!
Feb 18 17:30:09 GMT:%CRYPTO-6-PKCS12EXPORT_SUCCESS:PKCS #12 Successfully Exported.

Router B

crypto pki import mynewtp pkcs12 flash:myexport companyname 
Source filename [myexport]? 
CRYPTO_PKI:Imported PKCS12 file successfully. 

!
Feb 18 18:07:50 GMT:%CRYPTO-6-PKCS12IMPORT_SUCCESS:PKCS #12 Successfully Imported.

Generación, Exportación, Importación y Verificación de Llaves RSA en Archivos PEM: Ejemplo:

Las demostraciones del siguiente ejemplo cómo generar, exportar, traer la clave detrás (importación), y verificar el estatus del par clave “mycs” RSA:

! Generate the key pair 
! 
Router(config)# crypto key generate rsa general-purpose label mycs exportable 
The name for the keys will be: mycs 

Choose the size of the key modulus in the range of 360 to 2048 for your 
General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. 

How many bits in the modulus [512]: 1024 
% Generating 1024 bit RSA keys ...[OK] 
! 
! Archive the key pair to a remote location, and use a good password. 
! 
Router(config)# crypto key export rsa mycs pem url nvram:3des PASSWORD 

% Key name:mycs 
Usage:General Purpose Key 
Exporting public key... 
Destination filename [mycs.pub]? 
Writing file to nvram:mycs.pub 
Exporting private key... 
Destination filename [mycs.prv]? 
Writing file to nvram:mycs.prv 
! 
! Import the key as a different name. 
! 
Router(config)# crypto key import rsa mycs2 pem url nvram:mycs PASSWORD 

% Importing public key or certificate PEM file... 
Source filename [mycs.pub]? 
Reading file from nvram:mycs.pub 
% Importing private key PEM file... 
Source filename [mycs.prv]? 
Reading file from nvram:mycs.prv% Key pair import succeeded. 
! 
! After the key has been imported, it is no longer exportable. 
! 
! Verify the status of the key. 
! 
Router# show crypto key mypubkey rsa 

% Key pair was generated at:18:04:56 GMT Jun 6 2003 
Key name:mycs 
Usage:General Purpose Key 
Key is exportable. 
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00E65253 
9C30C12E 295AB73F B1DF9FAD 86F88192 7D4FA4D2 8BA7FB49 9045BAB9 373A31CB 
A6B1B8F4 329F2E7E 8A50997E AADBCFAA 23C29E19 C45F4F05 DBB2FA51 4B7E9F79 
A1095115 759D6BC3 5DFB5D7F BCF655BF 6317DB12 A8287795 7D8DC6A3 D31B2486 
C9C96D2C 2F70B50D 3B4CDDAE F661041A 445AE11D 002EEF08 F2A627A0 5B020301 0001 
% Key pair was generated at:18:17:25 GMT Jun 6 2003 
Key name:mycs2 
Usage:General Purpose Key 
Key is not exportable. 
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00E65253 
9C30C12E 295AB73F B1DF9FAD 86F88192 7D4FA4D2 8BA7FB49 9045BAB9 373A31CB 
A6B1B8F4 329F2E7E 8A50997E AADBCFAA 23C29E19 C45F4F05 DBB2FA51 4B7E9F79 
A1095115 759D6BC3 5DFB5D7F BCF655BF 6317DB12 A8287795 7D8DC6A3 D31B2486 
C9C96D2C 2F70B50D 3B4CDDAE F661041A 445AE11D 002EEF08 F2A627A0 5B020301 0001 

Exportación de Certificados y Pares de Llaves RSA del Router desde Archivos PEM: Ejemplo:

Las demostraciones del siguiente ejemplo cómo generar y exportar el par clave “aaa” RSA y los Certificados del router en los archivos PEM que se asocian al trustpoint “mycs.” Este ejemplo también muestra los archivos PEM-formatados, que incluyen los límites PEM antes y después de los datos codificado en base64, que son utilizados por otras aplicaciones SSL y de SSH.

Router(config)# crypto key generate rsa general-keys label aaa exportable 

The name for the keys will be:aaa 
Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose 
Keys. Choosing a key modulus greater than 512 may take a few minutes. 
! 
How many bits in the modulus [512]:
% Generating 512 bit RSA keys ...[OK] 
! 
Router(config)# crypto pki trustpoint mycs 
Router(ca-trustpoint)# enrollment url http://mycs 
Router(ca-trustpoint)# rsakeypair aaa 
Router(ca-trustpoint)# exit 
Router(config)# crypto pki authenticate mycs 
Certificate has the following attributes:
Fingerprint:C21514AC 12815946 09F635ED FBB6CF31 
% Do you accept this certificate? [yes/no]: y 
Trustpoint CA certificate accepted. 
! 
Router(config)# crypto pki enroll mycs 
% 
% Start certificate enrollment .. 
% Create a challenge password. You will need to verbally provide this password to the CA 
Administrator in order to revoke your certificate. 
For security reasons your password will not be saved in the configuration. 
Please make a note of it. 

Password:
Re-enter password:

% The fully-qualified domain name in the certificate will be: Router 
% The subject name in the certificate will be:host.example.com 
% Include the router serial number in the subject name? [yes/no]: n 
% Include an IP address in the subject name? [no]: n 
Request certificate from CA? [yes/no]: y 
% Certificate request sent to Certificate Authority 
% The certificate request fingerprint will be displayed. 
% The 'show crypto ca certificate' command will also show the fingerprint. 

Router(config)# Fingerprint:8DA777BC 08477073 A5BE2403 812DD157 

00:29:11:%CRYPTO-6-CERTRET:Certificate received from Certificate Authority 

Router(config)# crypto ca export aaa pem terminal 3des password 
% CA certificate:
-----BEGIN CERTIFICATE----- 
MIICAzCCAa2gAwIBAgIBATANBgkqhkiG9w0BAQUFADBOMQswCQYDVQQGEwJVUzES 
<snip> 
waDeNOSI3WlDa0AWq5DkVBkxwgn0TqIJXJOCttjHnWHK1LMcMVGn 
-----END CERTIFICATE----- 

% Key name:aaa 
Usage:General Purpose Key 
-----BEGIN RSA PRIVATE KEY----- 
Proc-Type:4,ENCRYPTED 
DEK-Info:DES-EDE3-CBC,ED6B210B626BC81A 

Urguv0jnjwOgowWVUQ2XR5nbzzYHI2vGLunpH/IxIsJuNjRVjbAAUpGk7VnPCT87 
<snip> 
kLCOtxzEv7JHc72gMku9uUlrLSnFH5slzAtoC0czfU4= 
-----END RSA PRIVATE KEY----- 

% Certificate:
-----BEGIN CERTIFICATE----- 
MIICTjCCAfigAwIBAgICIQUwDQYJKoZIhvcNAQEFBQAwTjELMAkGA1UEBhMCVVMx 
<snip> 
6xlBaIsuMxnHmr89KkKkYlU6 
-----END CERTIFICATE----- 

Importación de los Pares de Llaves y del Certificado RSA del Router desde Archivos PEM: Ejemplo:

Las demostraciones del siguiente ejemplo cómo importar los pares claves y el certificado RSA al trustpoint “ggg” de los archivos PEM vía el TFTP:

Router(config)# crypto pki import ggg pem url tftp://10.1.1.2/username/msca password 
% Importing CA certificate... 
Address or name of remote host [10.1.1.2]? 
Destination filename [username/msca.ca]? 
Reading file from tftp://10.1.1.2/username/msca.ca 
Loading username/msca.ca from 10.1.1.2 (via Ethernet0):! 
[OK - 1082 bytes] 

% Importing private key PEM file... 
Address or name of remote host [10.1.1.2]? 
Destination filename [username/msca.prv]? 
Reading file from tftp://10.1.1.2/username/msca.prv 
Loading username/msca.prv from 10.1.1.2 (via Ethernet0):! 
[OK - 573 bytes] 

% Importing certificate PEM file... 
Address or name of remote host [10.1.1.2]? 
Destination filename [username/msca.crt]? 
Reading file from tftp://10.1.1.2/username/msca.crt 
Loading username/msca.crt from 10.1.1.2 (via Ethernet0):! 
[OK - 1289 bytes] 
% PEM files import succeeded. 
Router(config)# 

Encripción y Bloqueo de Llaves Privadas en un Router: Ejemplos

Configuración y Verificación de una Llave Encriptada: Ejemplo:

Configuración y Verificación de una Llave Bloqueada: Ejemplo:

Configuración y Verificación de una Llave Encriptada: Ejemplo:

Las demostraciones del siguiente ejemplo cómo cifrar la clave el "pki-123.example.com." RSA después de eso, show crypto key mypubkey rsa el comando se publican para verificar que la clave RSA está cifrada (protegido) y desbloqueada.

Router(config)# crypto key encrypt rsa name pki-123.example.com passphrase password
Router(config)# exit
Router# show crypto key mypubkey rsa

% del par clave fue generado GMT el 25 de junio de 2003 at:00:15:32

Clave name:pki-123.example.com

Uso: Clave de fines generales

Se protege y ESTÁ DESBLOQUEADO el *** la clave. ***

La clave no es exportable.

Datos clave:

305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00E0CC9A 1D23B52C

CD00910C ABD392AE BA6D0E3F FC47A0EF 8AFEE340 0EC1E62B D40E7DCC

23C4D09E

03018B98 E0C07B42 3CFD1A32 2A3A13C0 1FF919C5 8DE9565F 1F020301 0001

% del par clave fue generado GMT el 25 de junio de 2003 at:00:15:33

Clave name:pki-123.example.com.server

Uso: Clave de encripción

La clave es exportable.

Datos clave:

307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00D3491E 2A21D383

854D7DA8 58AFBDAC 4E11A7DD E6C40AC6 66473A9F 0C845120 7C0C6EC8 1FFF5757

3A41CE04 FDCB40A4 B9C68B4F BC7D624B 470339A3 DE739D3E F7DDB549 91CD4DA4

DF190D26 7033958C 8A61787B D40D28B8 29BCD0ED 4E6275C0 6D020301 0001

Router#

Configuración y Verificación de una Llave Bloqueada: Ejemplo:

Las demostraciones del siguiente ejemplo cómo bloquear el "pki-123.example.com." dominante después de eso, show crypto key mypubkey rsa el comando se publican para verificar que la clave está protegida (cifrado) y bloqueada.

Router# crypto key lock rsa name pki-123.example.com passphrase password
! 
Router# show crypto key mypubkey rsa
% Key pair was generated at:20:29:41 GMT Jun 20 2003
Key name:pki-123.example.com
Usage:General Purpose Key
*** The key is protected and LOCKED. ***
Key is exportable.
Key Data:
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00D7808D C5FF14AC
0D2B55AC 5D199F2F 7CB4B355 C555E07B 6D0DECBE 4519B1F0 75B12D6F 902D6E9F
B6FDAD8D 654EF851 5701D5D7 EDA047ED 9A2A619D 5639DF18 EB020301 0001 

Adonde ir después

Después de que usted haya generado un par clave RSA, usted debe configurar el trustpoint. Si usted ha configurado ya el trustpoint, usted debe autenticar y alistar al Routers en un PKI. Para la información sobre la inscripción, vea el módulo el “configurar de la inscripción del certificado para un PKI.”

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Descripción general del PKI, incluyendo las llaves RSA, la inscripción del certificado y los CAs

Descripción General de la PKI de Cisco IOS: Comprensión y Planificación de una PKI

Comandos PKI: sintaxis, modo de comando, valores por defecto, Pautas para el uso, y ejemplos del comando complete

Referencia de Comandos de Seguridad de Cisco IOS


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

RFC 2409

El Internet Key Exchange (IKE)

RFC 2511

Pedido de certificado de Internet X.509 Message format (Formato del mensaje)


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información sobre la Función Llaves RSA dentro de una PKI

La Tabla 1 muestra el historial de versiones de esta función.

Para información sobre una función de esta tecnología que no se documente aquí, vea "Implementación y Administración del Mapa de Ruta de Funciones PKI."

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para las claves RSA dentro de un PKI 

Nombre de la función
Versiones de Software
Información de la Configuración de la Función

Soporte del clave pública del Cisco IOS 4096-Bit

12.4(12)T

Esta característica introduce el soporte del clave pública del par del Cisco IOS 4096-bit.

La sección siguiente proporciona la información sobre esta característica:

Descripción General de las Llaves RSA

Exporting and Importing RSA Keys

12.2(15)T

Esta función permite transferir las credenciales de seguridad entre los dispositivos mediante la exportación y la importación de las llaves RSA. El par de llaves que se comparte entre dos dispositivos permitirá que uno de ellos asuma de forma inmediata y transparente la funcionalidad del otro.

Las secciones siguientes proporcionan información acerca de esta función:

Beneficios de las Llaves RSA Exportables

Exporting and Importing RSA Keys en Archivos PKCS12

Los siguientes comandos fueron introducidos o modificados por esta característica: crypto ca export pkcs12crypto ca import pkcs12, crypto key generate rsa (IKE)

Import of RSA Key Pair and Certificates in PEM Format

‘12.3(4)T’

Esta función permite a los clientes utilizar los archivos con formato PEM para importar o exportar los pares de llaves RSA. Los archivos con formato PEM permiten a los clientes utilizar directamente pares de llaves RSA existentes en sus routers Cisco IOS en lugar de generar nuevas llaves.

Las secciones siguientes proporcionan información acerca de esta función:

Beneficios de las Llaves RSA Exportables

Exportación e Importación de Llaves RSA en Archivos con Formato PEM

Los siguientes comandos fueron introducidos por esta función: crypto ca export pem crypto ca import pem crypto key export pem, crypto key import pem

Soporte múltiple del par clave RSA

12.2(8)T

Esta función permite al usuario configurar un router para que tenga varios pares de llaves RSA. Así, Cisco IOS Software puede mantener un par de llaves diferente para cada certificado de identidad.

Las secciones siguientes proporcionan información acerca de esta función:

Razones para Almacenar Múltiples Llaves RSA en un Router

Manejo de los pares claves RSA y de los Certificados del trustpoint

Los siguientes comandos fueron introducidos o modificados por esta característica: crypto key generate rsa crypto key zeroize rsa, rsakeypair

Protected Private Key Storage

12.3(7)T

Esta función permite que un usuario encripte y bloquee las llaves privadas RSA que se utilizan en un router de Cisco IOS, con lo que se impide el uso no autorizado de las llaves privadas.

La sección siguiente proporciona la información sobre esta característica:

Encripción y Bloqueo de Llaves Privadas en un Router

Los siguientes comandos fueron introducidos o modificados por esta característica: crypto key decrypt rsacrypto key encrypt rsacrypto key lock rsacrypto key unlock rsa, show crypto key mypubkey rsa

Generación de claves RSA 4096-bit en el soporte de motor de la criptografía de software

15.1(1)T

El valor del rango para modulus el valor de la palabra clave para crypto key generate rsa el comando es extendido a partir del 360 a 2048 bits a 360 a 4096 bits.

Supervisión de rendimiento y optimización IOS PKI

15.1(3)T

La característica de la supervisión de rendimiento y de la optimización IOS proporciona una manera de caracterizar el funcionamiento dentro del subsistema del Public Key Infrastructure (PKI) y de hacer el debug de y de analizar los asuntos relacionados con el rendimiento PKI. Esta característica se discute en el detalle adicional en documento IOS de la característica de la supervisión de rendimiento y de la optimización.

Esta característica también incluye las mejoras siguientes que se pueden encontrar en este documento:

Un certificado uno mismo-firmado del trustpoint se puede crear para el router que contiene el nombre del trustpoint en el campo alternativo sujeto del nombre (subjectAltName).

Los claves públicas de un router del par se pueden borrar para ayudar a hacer el debug de los problemas de la verificación de firma en la versión 1 IKE y la versión 2 IKE y a optimizar el funcionamiento del router del par como resultado de tomar estas medidas.

Estas características se pueden encontrar en las secciones siguientes:

“Generando sección de un par clave RSA”

“Quitando sección de las configuraciones del par clave RSA”

Los siguientes comandos fueron introducidos o modificados por esta característica: crypto key zeroize pubkey-chain, subject-alt-name