Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Configuración de la Autorización y Revocación de Certificados en un PKI
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 373 KB | Inglés (31 Marzo 2011) | Comentarios

Contenidos

Configuración de la Autorización y Revocación de Certificados en un PKI

Encontrar la información de la característica

Contenido

Prerrequisitos de Autorización y Revocación de Certificados

Restricciones para la autorización y la revocación de los Certificados

Información sobre la Autorización y la Revocación de Certificados

Autorización PKI

Integración de PKI y el Servidor AAA para el Estado de Certificados

RADIUS o TACACS+: Elegir un protocolo del servidor de AAA

Pares de valor-atributo para la Integración de PKI y AAA Server

CRLs o Servidor OCSP: Elección de un Mecanismo de Revocación de Certificados

¿Qué es una CRL?

¿Qué es OCSP?

Cuándo Utilizar los ACLs Basados en Certificados para Autorización o Revocación

Omitir las Verificaciones de Revocación Utilizando una ACL Basada en Certificados

Validación de la Cadena de Certificados PKI

Soporte de gran disponibilidad

Cómo configurar la Autorización y Revocación de Certificados para su PKI

Configuración de PKI Integration with a AAA Server

Restricciones al usar los asuntos enteros para la autorización PKI

Consejos de Troubleshooting

Configuración de un Mecanismo de Revocación para la Verificación del Estado del Certificado PKI

El comando de revocación-control

Nonces y comunicaciones del par con los servidores OCSP

Prerrequisitos

Restricciones

Configuración de la Autorización y Revocación de Certificados

Configuración de ACLs Basadas en Certificados para Ignorar las Verificaciones de Revocación

Invalidación Manual de CDPs en un Certificado

Manualmente reemplazar el servidor establezca OCSP en un certificado

Configuración del Control de la Memoria Caché de CRL

Configuración del Control de Sesión del Número de Serie del Certificado

Prerrequisitos

Ejemplos

Consejos de Troubleshooting

Cómo Configurar la Validación de la Cadena de Certificados

Prerrequisitos

Restricciones

Configurar los servidores de certificados para la Alta disponibilidad

Prerrequisitos

Configurar el SCTP en los servidores de certificados activos y espera

Determinación del modo de redundancia en los servidores de certificados a ACTIVE/STANDBY

Sincronización de los servidores de certificados activos y espera

Ejemplos de Configuración de la Autorización y Revocación de Certificados

Configuración y Verificación de la Autorización AAA PKI: Ejemplos

Configuración del Router: Ejemplo:

Debug de una Autorización AAA PKI Exitosa: Ejemplo:

Debug de una Autorización AAA PKI Fallida: Ejemplo:

Configuración de un Mecanismo de Revocación: Ejemplos

Configuración de un servidor OCSP: Ejemplo:

Especificación de una CRL y después de un Servidor OCSP: Ejemplo:

Especificación de un Servidor OCSP: Ejemplo:

Inhabilitación de Nonces en las Comunicaciones con el Servidor OCSP: Ejemplo:

Configuración de un Router Hub en un Sitio Central para Verificaciones de Revocación de Certificados: Ejemplo:

Configuración de la Autorización y Revocación de Certificados: Ejemplos

Configuración del Control de la Memoria Caché de CRL

Configuración del Control de Sesión del Número de Serie del Certificado

Cómo Configurar la Validación de la Cadena de Certificados: Ejemplos

Configuración de la Validación de la Cadena de Certificados del peer al CA Root

Configuración de la Validación de la Cadena de Certificados del Peer a la CA Subordinada

Configuración de la Validación de la Cadena de Certificados a través de un Análisis de Deficiencias

Configurar los servidores de certificados para la Alta disponibilidad: Ejemplo:

Referencias adicionales

Documentos Relacionados

Asistencia Técnica

Información sobre Funciones para la Autorización y Revocación de Certificados


Configuración de la Autorización y Revocación de Certificados en un PKI


Primera publicación: 2 de mayo de 2005
Última actualización: De marzo el 31 de 2011

Este módulo describe cómo configurar la autorización y la revocación de los Certificados en un Public Key Infrastructure (PKI). Incluye la información sobre el soporte de gran disponibilidad para el servidor de certificados.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección de la autorización y de la revocación del certificado”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Contenido

Prerrequisitos de Autorización y Revocación de Certificados

Restricciones para la autorización y la revocación de los Certificados

Información sobre la Autorización y la Revocación de Certificados

Cómo configurar la Autorización y Revocación de Certificados para su PKI

Ejemplos de Configuración de la Autorización y Revocación de Certificados

Referencias adicionales

Información sobre Funciones para la Autorización y Revocación de Certificados

Prerrequisitos de Autorización y Revocación de Certificados

Planee su estrategia PKI


Extremidadse recomienda fuertemente que usted planea su estrategia entera PKI antes de que usted comience a desplegar los Certificados reales.


La autorización y la revocación pueden ocurrir sólo después de usted o un administrador de la red ha completado las tareas siguientes:

Configuró el Certificate Authority (CA).

Dispositivos de peer alistados con CA.

Identificado y configurado el protocolo (tal como [IPsec] de la seguridad IP o [SSL] de la Secure Socket Layer) que debe ser utilizado para la comunicación entre iguales.

Usted debe decidir qué estrategia de la autorización y de la revocación usted va a configurar antes de alistar los dispositivos de peer porque los Certificados del dispositivo de peer pudieron tener que contener la autorización y la información revocación-específica.

Cambio de CLI de "crypto ca" a "crypto pki"

Desde Cisco IOS Release 12.3(7)T, todos los comandos que comienzan con "crypto ca" han cambiado para comenzar con "crypto pki". Aunque el router seguirá aceptando comandos crypto ca, toda la salida se releerá como crypto pki.

Alta disponibilidad

Para la Alta disponibilidad, el Stream Control Transmission Protocol (SCTP) IPSec-asegurado se debe configurar en el active y los routeres en espera. Para que la sincronización trabaje, el modo de redundancia en los servidores de certificados debe ser fijado a ACTIVE/STANDBY después de que usted configure el SCTP.

Restricciones para la autorización y la revocación de los Certificados

El soporte de gran disponibilidad PKI (HA) de la Redundancia del Stateful Switchover del intra-chasis (SSO) no se soporta actualmente en todo el Switches que funciona con el software del Cisco IOS Release 12.2 S. Vea el bug Cisco CSCtb59872 para más información.

Información sobre la Autorización y la Revocación de Certificados

Antes de configurar la autorización y la revocación del certificado, usted debe entender los conceptos siguientes:

Autorización PKI

Integración de PKI y el Servidor AAA para el Estado de Certificados

CRLs o Servidor OCSP: Elección de un Mecanismo de Revocación de Certificados

Cuándo Utilizar los ACLs Basados en Certificados para Autorización o Revocación

Validación de la Cadena de Certificados PKI

Soporte de gran disponibilidad

Autorización PKI

La autenticación PKI no proporciona la autorización. Las Soluciones actuales para la autorización son específicas al router se está configurando que, aunque una solución centralmente manejada se requiera a menudo.

No hay un mecanismo estándar por el cual los Certificados son definidos como autorizado para algunas tareas y no para otras. Esta información de autorización se puede capturar en el certificado sí mismo si la aplicación es consciente de la información de autorización basada en el certificado. Pero esta solución no proporciona un mecanismo simple para las actualizaciones en tiempo real a la información de autorización y fuerza cada aplicación para ser consciente de la información de autorización específica integrada en el certificado.

Cuando el mecanismo basado en el certificado ACL se configura como parte de la autenticación del trustpoint, la aplicación es no más responsable de determinar esta información de autorización, y es no más posible especificar para qué aplicación se autoriza el certificado. En algunos casos, el ACL basado en el certificado en el router consigue tan grande que no pueda ser manejado. Además, es beneficioso extraer las indicaciones basadas en el certificado ACL de un servidor externo. (Para más información sobre usar los ACL basados en el certificado para la autenticación, vea la sección “cuándo utilizar los ACL basados en el certificado para la autorización o Revocation.")

Las Soluciones actuales al problema en tiempo real de la autorización implican el especificar de un nuevo protocolo y el construir de un nuevo servidor (con las tareas asociadas, tales como Administración y distribución de los datos).

Integración de PKI y el Servidor AAA para el Estado de Certificados

La integración de su PKI con un servidor del Authentication, Authorization, and Accounting (AAA) proporciona una solución en línea alternativa del estatus del certificado que leverages la infraestructura existente AAA. Los Certificados se pueden enumerar en las bases de datos de AAA con los niveles adecuados de autorización. Para los componentes que no soportan explícitamente PKI-AAA, una escritura de la etiqueta predeterminada de “todos” del servidor de AAA proporciona la autorización. Asimismo, una escritura de la etiqueta de “ningunos” de las bases de datos de AAA indica que el certificado especificado es inválido. (La ausencia de cualquier escritura de la etiqueta de la aplicación es equivalente, pero “ninguna” es incluida para lo completo y la claridad). Si el componente de la aplicación soporta PKI-AAA, el componente se puede especificar directamente; por ejemplo, el componente de la aplicación podía ser “IPSec,” “SSL,” o “osp.” (la Seguridad del ipsec=IP, los socketes del ssl=Secure acoda, y osp=Open el protocolo del acuerdo.)


NotaActualmente, ningún componente de la aplicación soporta la especificación de la escritura de la etiqueta de la aplicación.

Puede haber un retardo al acceder el servidor de AAA. Si el servidor de AAA no está disponible, la autorización falla.

RADIUS o TACACS+: Elegir un protocolo del servidor de AAA

El servidor de AAA se puede configurar para trabajar con el protocolo RADIUS o TACACS+. Cuando usted está configurando el servidor de AAA para la integración PKI, usted debe fijar los atributos del radius or tacacs que se requieren para la autorización.

Si se utiliza el protocolo RADIUS, la contraseña que se configura para el nombre de usuario en el servidor de AAA se debe fijar a “Cisco,” que es aceptable porque la validación de certificado proporciona la autenticación y las bases de datos de AAA se están utilizando solamente para la autorización. Cuando se utiliza el protocolo TACACS, la contraseña que se configura para el nombre de usuario en el servidor de AAA es inútil porque el TACACS soporta la autorización sin requerir la autenticación (la contraseña se utiliza para la autenticación).

Además, si usted está utilizando el TACACS, usted debe agregar un servicio PKI al servidor de AAA. El atributo personalizado “cert-application=all” se agrega bajo servicio PKI para que al usuario determinado o al grupo de usuarios autorice el nombre de usuario específico.

Pares de valor-atributo para la Integración de PKI y AAA Server

El cuadro 1 enumera los pares del valor de atributo (AV) que deben ser utilizados al configurar la integración PKI con un servidor de AAA. (Observe los valores mostrados en la tabla son valores posibles.) Las pares AV deben hacer juego la configuración del cliente. Si no hacen juego, el certificado de peer no se autoriza.


Los usuariosde la nota pueden a veces tener pares AV que sean diferentes de las de cada otro usuario. Como consecuencia, un nombre de usuario único se requiere para cada usuario. allEl parámetro (dentroauthorization usernamedel comando) especifica que los asuntos enteros del certificado serán utilizados como el nombre de usuario de la autorización.


Cuadro 1 par AV que deben hacer juego 

Pares AV
Valor

cisco-avpair=pki: cert-application=all

Los valores válidos son “todos” y “ningunos.”

cisco-avpair=pki: cert-trustpoint=msca

El valor es una escritura de la etiqueta del trustpoint de la configuración del comando line interface(cli) del Cisco IOS.

Observelas pares AV del CERT-trustpoint es normalmente opcional. Si se especifica, la consulta del router de Cisco IOS debe venir de un punto de confianza de certificados que tenga una etiqueta coincidente, y el certificado que se autentica debe tener el número de serie del certificado especificado.

cisco-avpair=pki:cert-serial=16318DB7000100001671

El valor es un número de serie del certificado.

Observelas pares AV CERT-seriales es normalmente opcional. Si se especifica, la consulta del router de Cisco IOS debe venir de un punto de confianza de certificados que tenga una etiqueta coincidente, y el certificado que se autentica debe tener el número de serie del certificado especificado.

1 de enero de 2003 cisco-avpair=pki:cert-lifetime-end=1:00

Las pares AV del CERT-curso de la vida-fin están disponibles prolongar artificial un curso de la vida del certificado más allá del período de tiempo que se indica en el certificado sí mismo. Si se utilizan las pares AV del CERT-curso de la vida-fin, el CERT-trustpoint y las pares AV CERT-seriales deben también ser especificados. El valor debe hacer juego la forma siguiente: horas: anota el día del mes, año.

Se utilizala nota solamente los primeros tres caracteres de un mes: Enero, febrero, marcha, abril, puede, junio, julio, agosto, sept, oct, nov, DEC. Si más de tres caracteres se ingresan para el mes, se ignoran los caracteres restantes (por ejemplo Janxxxx).


CRLs o Servidor OCSP: Elección de un Mecanismo de Revocación de Certificados

Después de que un certificado se valide como correctamente certificado firmado, un método de la revocación de certificado se realiza para asegurarse de que el certificado no ha sido revocado por los soportes de publicación del Cisco IOS Software CA dos mecanismos de la revocación — los Lista de revocación de certificados (CRL) (CRL) y el protocolo status en línea del certificado (OCSP). (El Cisco IOS Software también soporta la integración AAA para marcar del certificado; sin embargo, las funciones adicionales de la autorización son incluidas. Para más información sobre la autorización y la revisión de estado del certificado PKI y AAA, consideran la sección “PKI e integración del servidor de AAA para el certificado Status.")

Las secciones siguientes explican cómo cada mecanismo de la revocación trabaja:

¿Qué es una CRL?

¿Qué es OCSP?

¿Qué es una CRL?

Un Listas de revocación de certificados (CRL) es una lista de Certificados revocados. La CA que originalmente emitió los certificados crea y firma digitalmente la CRL. El CRL contiene las fechas para cuando cada certificado fue publicado y cuando expira.

Los CA publican los nuevos CRL periódicamente o cuando se ha revocado un certificado del cual CA es responsable. De forma predeterminada, se descargará un nuevo CRL después de que expire el CRL almacenado en la memoria caché actualmente. Un administrador puede también configurar la duración para la cual los CRL se ocultan en la memoria del router o inhabilitan el CRL que oculta totalmente. La configuración de guardado en memoria caché CRL se aplicará a todos los CRL asociados a un trustpoint.

Cuando expira el CRL, el router lo borra de su caché. Se descarga un nuevo CRL cuando un certificado se presenta para la verificación; sin embargo, si una versión más reciente del CRL que enumera el certificado bajo examen está en el servidor pero el router todavía está utilizando el CRL en su caché, el router no sabrá que se ha revocado el certificado. El certificado pasará el control de la revocación aunque debe haber sido negado.

Cuando CA publica un certificado, CA puede incluir en el certificado el CRL Distribution Point (CDP) para ese certificado. Los dispositivos del cliente del Cisco IOS utilizan los CDP para localizar y para cargar el CRL correcto. Los soportes de cliente CDP múltiples del Cisco IOS, pero el Cisco IOS CA soporta actualmente solamente un CDP; sin embargo, el proveedor externo CA puede soportar los CDP múltiples o diversos CDP por el certificado. Si un CDP no se especifica en el certificado, el dispositivo del cliente utilizará el método predeterminado del protocolo simple certificate enrollment (SCEP) para extraer el CRL. (La ubicación CDP se puede especificar vía cdp-url el comando.)

Al implementar CRLs, usted debe considerar los aspectos del diseño siguientes:

Vidas útiles de CRL y la asociación de seguridad (SA) y cursos de la vida del Internet Key Exchange (IKE)

La vida útil de CRL determina la longitud del tiempo entre las actualizaciones CA-publicadas al CRL. (El valor predeterminado de la vida útil de CRL, que es 168 horas de semana [1], puede ser cambiado vía lifetime crl el comando.)

El método y la ubicación del CDP

– El método determina cómo se extrae el CRL; algunas opciones posibles incluyen el HTTP, el Lightweight Directory Access Protocol (LDAP), el SCEP, o el TFTP.

El HTTP, el TFTP, y el LDAP son los métodos más de uso general. Aunque el Cisco IOS Software omita el SCEP, un HTTP CDP se recomienda para las instalaciones grandes usando los CRL porque el HTTP se puede hacer altamente scalable.

– La ubicación determina de donde se extrae el CRL; por ejemplo, usted puede especificar el servidor y el trayecto del archivo de los cuales extraer el CRL.

Consulta de todos los CDPs durante la Verificación de la Revocación

Cuando un servidor CDP no responde a una petición, el Cisco IOS Software señala un error, que puede dar lugar al certificado del par que es rechazado. Para prevenir un rechazo posible del certificado y si hay CDP múltiples en un certificado, el Cisco IOS Software intentará utilizar los CDP en la orden en la cual aparecen en el certificado. El router intentará extraer un CRL usando cada CDP URL o la especificación del directorio. Si un error ocurre usando un CDP, una tentativa será hecha usando el CDP siguiente.


Observeantes del Cisco IOS Release 12.3(7)T, el Cisco IOS Software hace solamente una tentativa de extraer el CRL, incluso cuando el certificado contiene más de un CDP.



Inclineaunque el Cisco IOS Software hará cada tentativa de obtener el CRL a partir del uno de los CDP indicados, se recomienda que usted utiliza un servidor HTTP CDP con los servidores HTTP redundantes de alta velocidad para evitar los descansos de la aplicación debido a las respuestas lentas CDP.


¿Qué es OCSP?

OCSP es un mecanismo en línea que se utiliza para determinar la validez del certificado y proporciona la flexibilidad siguiente como mecanismo de la revocación:

OCSP puede proporcionar marcar en tiempo real del estatus del certificado.

OCSP permite que el administrador de la red especifique un servidor central OCSP, que puede mantener todos los dispositivos dentro de una red.

OCSP también no prohibe a administrador de la red la flexibilidad para especificar los servidores múltiples OCSP, por el certificado del cliente o por el grupo de certificados del cliente.

La validación del servidor OCSP se basa generalmente en certificado raíz CA o un certificado de CA subordinado válido, pero puede también ser configurada para poder utilizar los Certificados o los certificados autofirmados externos de CA. Usando los Certificados o los certificados autofirmados externos de CA permite que validan el certificado de servidores OCSP sea publicado y de una jerarquía de la alternativa PKI.

Un administrador de la red puede configurar un servidor OCSP para recoger y para poner al día los CRL de diversos servidores de CA. Los dispositivos dentro de la red pueden confiar en el servidor OCSP para marcar el estatus del certificado sin extraer y el almacenamiento en memoria inmediata de cada CRL para cada par. Cuando los pares tienen que marcar el estado de anulación de un certificado, envían una interrogación al servidor OCSP que incluye el número de serie del certificado en la pregunta y de un Identificador único opcional para la petición OCSP, o a un nonce. El servidor OCSP lleva a cabo una copia del CRL para determinar si el CA ha enumerado el certificado como siendo revocado; el servidor entonces responde al par incluyendo el nonce. Si el nonce en la respuesta del servidor OCSP no hace juego el nonce original enviado por el par, la respuesta se considera inválida y la verificación del certificado falla. El diálogo entre el servidor OCSP y el par consume menos ancho de banda que la mayoría de las descargas CRL.

Si el servidor OCSP está utilizando un CRL, las limitaciones de tiempo CRL serán aplicables; es decir, un CRL que es todavía válido se pudo utilizar por el servidor OCSP aunque un nuevo CRL haya sido publicado por el CRL que contenía la información adicional de la revocación de certificado. Porque menos dispositivos están descargando la información CRL sobre las bases normales, usted puede disminuir el valor de la vida útil de CRL o configurar el servidor OCSP para no ocultar el CRL. Para más información, verifique la documentación de su servidor OCSP.

Cuándo utilizar un servidor OCSP

OCSP puede ser más apropiado que los CRL si su PKI tiene siguientes características unas de los:

El estatus en tiempo real de la revocación de certificado es necesario. Los CRL se ponen al día solamente periódicamente y el último CRL no se puede ocultar siempre por el dispositivo del cliente. Por ejemplo, si un cliente todavía no tiene el último CRL ocultado y un certificado nuevamente revocado se está marcando, que revocaron el certificado pasarán con éxito el control de la revocación.

Hay un gran número de Certificados revocados o de CRL múltiples. El almacenamiento en memoria inmediata de un CRL grande consume las porciones grandes de memoria del Cisco IOS y puede reducir los recursos disponibles a otros procesos.

Los CRL expiran con frecuencia, haciendo el CDP manejar una carga más grande de los CRL.


Observea partir del Cisco IOS Release 12.4(9)T o Posterior, un administrador puede configurar el CRL que oculta, inhabilitando el CRL que oculta totalmente o que fija un curso de la vida máximo para un CRL ocultado por el trustpoint.


Cuándo Utilizar los ACLs Basados en Certificados para Autorización o Revocación

Los Certificados contienen varios campos que se utilicen para determinar si autorizan un dispositivo o a un usuario para realizar una acción especificada.

Porque los ACL basados en el certificado se configuran en el dispositivo, no escalan bien para un gran número de ACL; sin embargo, los ACL basados en el certificado proporcionan el control muy granular del comportamiento específico del dispositivo. Los ACL basados en el certificado también leveraged por las características adicionales para ayudar a determinar cuando los componentes PKI tales como revocación, autorización, o un trustpoint deben ser utilizados. Proporcionan un mecanismo general permitiendo que los usuarios seleccionen un certificado específico o un grupo de Certificados que se estén validando para la autorización o el proceso adicional.

Los ACL basados en el certificado especifican uno o más campos dentro del certificado y un valor aceptable para cada campo especificado. Usted puede especificar qué campos dentro de un certificado deben ser marcados y qué valores pueden o no pueden tener esos campos.

Hay seis pruebas lógicas para comparar el campo con el valor — el igual, no iguala, contiene, no contiene, menos que, y mayor que o igual. Si más de un campo se especifica dentro de un solo ACL basado en el certificado, las pruebas de todos los campos dentro del ACL deben tener éxito para hacer juego el ACL. El mismo campo se puede especificar las épocas múltiples dentro del mismo ACL. Más de un ACL puede ser especificado, y el ACL será procesado a su vez hasta que se encuentre una coincidencia o se han procesado todos los ACL.

Omitir las Verificaciones de Revocación Utilizando una ACL Basada en Certificados

Los ACL basados en el certificado se pueden configurar para dar instrucciones a su router para ignorar el control de la revocación y los certificados vencidos de un peer válido. Así, un certificado que cumple los criterios especificados se puede validar sin importar el período de validez del certificado, o si el certificado cumple los criterios especificados, el marcar de la revocación no tiene que ser realizado. Usted puede también utilizar un ACL basado en el certificado para ignorar el control de la revocación cuando la comunicación con un servidor de AAA se protege con un certificado.

Negligencia de las listas de revocación

Para permitir que un trustpoint haga cumplir CRLs a excepción de los Certificados específicos, ingrese match certificate el comando con skip revocation-check la palabra clave. Este tipo de aplicación es el más útil de una configuración de red radial en la cual usted también quiera permitir las conexiones directas del spoke al spoke. En las configuraciones de red radiales puras, todo el spokes conecta solamente con el concentrador, así que la verificación de CRL es necesaria solamente en el concentrador. Para uno habló para comunicar directamente con otro spoke, match certificate el comando con skip revocation-check la palabra clave puede ser utilizado para los Certificados del peer vecino en vez de requerir un CRL en cada spoke.

Negligencia de los certificados vencidos

Para configurar a su router para ignorar los certificados vencidos, ingrese match certificate el comando con allow expired-certificate la palabra clave. Este comando tiene los propósitos siguientes:

Si ha expirado el certificado de un par, este comando se puede utilizar “permite” el certificado vencido hasta que el par pueda obtener un nuevo certificado.

Si su reloj del router todavía no se ha fijado a la hora correcta, el certificado de un par aparecerá ser no todavía válido hasta que se fije el reloj. Este comando se puede utilizar para permitir el certificado del par aunque su reloj del router no se fija.


NotaSi el Network Time Protocol (NTP) está disponible solamente vía conexión IPSec (generalmente vía el concentrador en una configuración de red radial), el reloj del router puede nunca ser fijado. El túnel al concentrador no se puede “traer para arriba” porque el certificado del concentrador no es todavía válido.

“Expiró” es un término genérico para un certificado se expira que o que no es todavía válido. El certificado tiene un rato del comienzo y del final. Un certificado vencido, con objeto del ACL, es uno para el cual la hora actual del router es fuera de los tiempos del comienzo y del final especificados en el certificado.


Saltar el control AAA del certificado

Si la comunicación con un servidor de AAA se protege con un certificado, y usted quiere saltar el control AAA del certificado, utilice match certificate el comando con skip authorization-check la palabra clave. Por ejemplo, si se configura un túnel del Red privada virtual (VPN) de modo que todo el tráfico AAA pase ese túnel, y el túnel se protege con un certificado, usted puede utilizar match certificate el comando con skip authorization-check la palabra clave de saltar el control del certificado para poder establecer el túnel.

match certificate El comando y skip authorization-check la palabra clave deben ser configurados después de que la integración PKI con un servidor de AAA se configure.


Observesi el servidor de AAA está disponible solamente vía conexión IPSec, el servidor de AAA no puede ser entrado en contacto hasta después de que conexión IPSec se establezca. Conexión IPSec no puede “ser traído para arriba” porque el certificado del servidor de AAA no es todavía válido.


Validación de la Cadena de Certificados PKI

Una Cadena de certificados establece una secuencia de certificados confiables — de un certificado de peer al certificado raíz CA. Dentro de una jerarquía PKI, todos los pares alistados pueden validar el certificado de uno otro si los pares comparten un certificado de CA o a un subordinado CA de la Raíz confiable del campo común. Cada CA corresponde a un punto de confianza.

Cuando una Cadena de certificados se recibe de un par, el proceso predeterminado de una trayectoria de la Cadena de certificados continúa hasta el primer certificado confiable, o se alcanza el trustpoint. En las versiones del Cisco IOS Release 12.4(6)T y Posterior, un administrador puede configurar el nivel al cual una Cadena de certificados se procesa en todos los Certificados incluyendo los Certificados de CA del subordinado.

Configurar el nivel al cual se procesa una Cadena de certificados permite el reauthentication de los certificados confiables, la extensión de un encadenamiento de certificado confiable, y la realización de una Cadena de certificados que contenga un intervalo.

Reauthentication de los certificados confiables

El comportamiento predeterminado está para que el router quite cualquier certificado confiable de la Cadena de certificados enviada por el par antes de que se valide el encadenamiento. Un administrador puede configurar la trayectoria de la Cadena de certificados que procesa de modo que el router no quite los Certificados CA que se confían en ya antes de la validación de cadena, para reautentificar todos los Certificados en el encadenamiento para la sesión en curso.

Extender el encadenamiento de certificado confiable

El comportamiento predeterminado está para que el router utilice sus certificados confiables para ampliar la Cadena de certificados si hay algunos Certificados que falta en la Cadena de certificados enviada por el par. El router validará solamente los Certificados en el encadenamiento enviado por el par. Un administrador puede configurar la trayectoria de la Cadena de certificados que procesa para validar los Certificados en la Cadena de certificados del par y los certificados confiables del router a una punta especificada.

Completar los intervalos en una Cadena de certificados

Un administrador puede configurar la Cadena de certificados que procesa para si hay un intervalo en la jerarquía configurada del trustpoint del Cisco IOS, poder utilizar los Certificados enviados por el par para completar el conjunto de los Certificados que se validarán.


Observesi el trustpoint se configura para requerir la validación del padre y el par no proporciona la Cadena de certificados llena, el intervalo no puede ser completado y la Cadena de certificados es rechazada e inválida.



Notaes un Error de configuración si el trustpoint se configura para requerir la validación del padre y no hay trustpoint del padre configurado. El intervalo resultante de la Cadena de certificados no puede ser completado y el certificado de CA subordinado no puede ser validado. La Cadena de certificados es inválida.


Soporte de gran disponibilidad

El soporte de gran disponibilidad para el servidor de certificados se proporciona por:

La sincronización revoca los comandos con el servidor de certificados espera

Envío de los comandos serial-number cuando se publican los nuevos Certificados

Significa que el servidor de certificados espera está listo para publicar los Certificados y los Lista de revocación de certificados (CRL) (CRL) si llega a ser activo.

El soporte de gran disponibilidad adicional es proporcionado por las sincronizaciones siguientes del recurso seguro:

Configuración de servidor de certificados

Hasta que finalicen las peticiones

Grant y comandos reject

Para la Alta disponibilidad del cuadro-a-cuadro, que no soporta la sincronización de la configuración, un mecanismo de sincronización de la configuración básica se acoda sobre un recurso de la Redundancia.

Soporte de la sincronización de la configuración del trustpoint.

Cómo configurar la Autorización y Revocación de Certificados para su PKI

Esta sección contiene los siguientes procedimientos:

Configurando la integración PKI con un servidor de AAA (requerido)

Configurando un mecanismo de la revocación para marcar del estatus del certificado PKI (requerido)

Configurando las configuraciones de la autorización y de la revocación del certificado (requeridas)

Configurando la validación de la Cadena de certificados (requerida)

Configurar los servidores de certificados para la Alta disponibilidad

Configuración de PKI Integration with a AAA Server

Realice esta tarea de generar un nombre de usuario AAA del certificado presentado por el par y de especificar qué campos dentro de un certificado se deben utilizar para construir el nombre de usuario de las bases de datos de AAA.

Restricciones al usar los asuntos enteros para la autorización PKI

Las restricciones siguientes deben ser consideradas al usar all la palabra clave como los asuntos para authorization usernameel comando:

Algunos servidores de AAA limitan la longitud del nombre de usuario (por ejemplo, a 64 caracteres). Como consecuencia, los asuntos enteros del certificado no pueden ser más largos que la limitación del servidor.

Algunos servidores de AAA limitan el juego de caracteres disponible que se puede utilizar para el nombre de usuario (por ejemplo, un [] del espacio y un [=] del signo igual pueden no ser aceptables). Usted no puede utilizar all la palabra clave para un servidor de AAA que tiene tal limitación del juego de caracteres.

subject-name El comando en la configuración del trustpoint puede siempre no ser los asuntos finales AAA. Si el nombre de dominio completo (FQDN), el número de serie, o la dirección IP del router se incluyen en un pedido de certificado, el campo de asuntos del certificado publicado también tendrá estos componentes. Para apagar los componentes, utilice fqdn serial-number, y ip-address los comandos con none la palabra clave.

Los servidores de CA cambian a veces el campo de asuntos pedido cuando publican un certificado. Por ejemplo, los servidores de CA de algunos vendedores conmutan los nombres distintivos relativos (RDN) en los asuntos pedidos al siguiente orden: CN, OU, O, L, ST, y C. Sin embargo, otro servidor de CA pudo añadir la raíz configurada del directorio LDAP al final del fichero (por ejemplo, o=cisco.com) al final de los asuntos pedidos.

Dependiendo de las herramientas que usted elige para visualizar un certificado, la orden impresa de los RDN en los asuntos podría ser diferente. El Cisco IOS Software visualiza siempre el menos RDN significativo primero, pero el otro software, tal como código abierto Secure Socket Layer (OpenSSL), hace el contrario. Por lo tanto, si usted está configurando un servidor de AAA con un Nombre distintivo (DN) completo (asuntos) como el nombre de usuario correspondiente, asegúrese de que el estilo del Cisco IOS Software (es decir, con el menos RDN significativo primero) esté utilizado.

PASOS SUMARIOS

1. enable

2. configure terminal

3. aaa new-model

4.aaa authorization network listname[]method

5.crypto pki trustpoint nombre

6.enrollment url URL

7. revocation-check method

8. exit

9.authorization username {subjectname subjectname}

10. authorization list listname

11tacacs-server host hostname[]key string

       o

       radius-server host hostname []key string

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

aaa new-model

Example:

Router(config)# aaa new-model

Habilita el modelo del control de acceso AAA.

Paso 4 

aaa authorization network listname [method]

Example:

Router (config)# aaa authorization network maxaaa group tacacs+

Fija los parámetros que restringen el acceso del usuario a una red.

method — Puede ser group radius group tacacs+, o group group-name.

Paso 5 

crypto pki trustpoint name

Example:

Route (config)# crypto pki trustpoint msca

Declara el punto de confianza y un nombre determinado e ingresa al modo de configuración de ca-trustpoint.

Paso 6 

enrollment url url

Example:

Router (ca-trustpoint)# enrollment url http://caserver.myexample.com

Especifica los parámetros de inscripción de su CA.

El argumento URL es el URL de CA a las cuales su router debe enviar los pedidos de certificado.

Paso 7 

revocation-check method

Example:

Router (ca-trustpoint)# revocation-check crl

(Opcional) marca el estado de anulación de un certificado.

Paso 8 

exit

Example:

Router (ca-trustpoint)# exit

Sale del modo de configuración de CA-trustpoint y vuelve al modo de configuración global.

Paso 9 

authorization username {subjectname subjectname}

Example:

Router (config)# authorization username subjectname serialnumber

Fija los parámetros para los diversos campos del certificado que se utilizan para construir el nombre de usuario AAA.

subjectname El argumento puede ser siguiente un de los:

all — Nombre distintivo entero (asuntos) del certificado.

commonname — Common Name de la certificación.

country — País del certificado.

email — Email del certificado.

ipaddress — Dirección IP del certificado.

locality — Lugar del certificado.

organization — Organización del certificado.

organizationalunit — Unidad organizativa del certificado.

postalcode — Código postal del certificado.

serialnumber — Número de serie del certificado.

state — Campo de estado del certificado.

streetaddress — Dirección de la calle del certificado.

title — Título del certificado.

unstructuredname — Nombre no estructurado del certificado.

Paso 10 

authorization list listname

Example:

Route (config)# authorization list maxaaa

Especifica la lista de la autorización AAA.

Paso 11 

tacacs-server host hostname [key string]

Example:

Router(config)# tacacs-server host 192.0.2.2 key a_secret_key


o

radius-server host hostname [key string]

Example:

Router(config)# radius-server host 192.0.2.1 key another_secret_key

Especifica un host TACACS+.

o


Especifica un host RADIUS.

Consejos de Troubleshooting

Para visualizar los mensajes del debug para la traza de la interacción (Tipo de mensaje) entre CA y el router, utilice debug crypto pki transactions el comando. (Véase la salida de muestra, que muestra una integración acertada PKI con el intercambio del servidor de AAA y una integración fallada PKI con el intercambio del servidor de AAA.)

Intercambio satisfactorio

Router# debug crypto pki transactions

Apr 22 23:15:03.695: CRYPTO_PKI: Found a issuer match
Apr 22 23:15:03.955: CRYPTO_PKI: cert revocation status unknown.
Apr 22 23:15:03.955: CRYPTO_PKI: Certificate validated without revocation check

Cada línea que muestra “CRYPTO_PKI_AAA” indica el estado de los controles de autorización AAA. Cada uno de las pares AV AAA se indica, y entonces los resultados de la comprobación de autorización se muestran.

Apr 22 23:15:04.019: CRYPTO_PKI_AAA: checking AAA authorization (ipsecca_script_aaalist, 
PKIAAA-L, <all>)
Apr 22 23:15:04.503: CRYPTO_PKI_AAA: reply attribute ("cert-application" = "all")
Apr 22 23:15:04.503: CRYPTO_PKI_AAA: reply attribute ("cert-trustpoint" = "CA1")
Apr 22 23:15:04.503: CRYPTO_PKI_AAA: reply attribute ("cert-serial" = "15DE")
Apr 22 23:15:04.503: CRYPTO_PKI_AAA: authorization passed
Apr 22 23:12:30.327: CRYPTO_PKI: Found a issuer match

Intercambio fallado

Router# debug crypto pki transactions

Apr 22 23:11:13.703: CRYPTO_PKI_AAA: checking AAA authorization =
Apr 22 23:11:14.203: CRYPTO_PKI_AAA: reply attribute ("cert-application" = "all")
Apr 22 23:11:14.203: CRYPTO_PKI_AAA: reply attribute ("cert-trustpoint"= "CA1")
Apr 22 23:11:14.203: CRYPTO_PKI_AAA: reply attribute ("cert-serial" = "233D")
Apr 22 23:11:14.203: CRYPTO_PKI_AAA: parsed cert-lifetime-end as: 21:30:00
Apr 22 23:11:14.203: CRYPTO_PKI_AAA: timezone specific extended
Apr 22 23:11:14.203: CRYPTO_PKI_AAA: cert-lifetime-end is expired
Apr 22 23:11:14.203: CRYPTO_PKI_AAA: cert-lifetime-end check failed.
Apr 22 23:11:14.203: CRYPTO_PKI_AAA: authorization failed

En el intercambio arriba fallado, el certificado ha expirado.

Configuración de un Mecanismo de Revocación para la Verificación del Estado del Certificado PKI

Realice esta tarea de configurar un CRL como el mecanismo de la revocación de certificado — los CRL u OCSP — que se utilizan para marcar el estatus de los Certificados en un PKI.

El comando de revocación-control

Utilice revocation-checkel comando de especificar por lo menos un método (OCSP, CRL, o saltan el control de la revocación) que deba ser utilizado para asegurarse de que el certificado de un par no se ha revocado. Para los métodos múltiples, la orden en la cual los métodos son aplicados es determinada por la orden especificada vía este comando.

Si su router no tiene el CRL aplicable y no puede obtener uno o si el servidor OCSP vuelve un error, su router rechazará el certificado del par — a menos que usted incluya none la palabra clave en su configuración. Si none se configura la palabra clave, un control de la revocación no será realizado y el certificado será validado siempre.

Nonces y comunicaciones del par con los servidores OCSP

Al usar OCSP, el nonces, los Identificadores únicos para OCSP piden, se envía por abandono durante las comunicaciones del par con su servidor OCSP. El uso del nonces ofrece un canal más seguro y comunicaciones confiables entre el par y el servidor OCSP.

Si su servidor OCSP no soporta el nonces, usted puede inhabilitar el envío del nonces. Para más información, verifique la documentación de su servidor OCSP.

Prerrequisitos

Antes de publicar cualesquiera certificados del cliente, las configuraciones apropiadas en el servidor (tal como determinación del CDP) deben ser configuradas.

Al configurar un servidor OCSP para volver el estado de anulación para un servidor de CA, el servidor OCSP se debe configurar con un certificado de firma de la respuesta OCSP que sea publicado por ese servidor de CA. Asegúrese de que el certificado de firma esté en el formato correcto, o el router no validará la respuesta OCSP. Vea su manual OCSP para la información adicional.

Restricciones

OCSP transporta los mensajes sobre el HTTP, tan allí puede ser un retardo en que usted accede el servidor OCSP.

Si el servidor OCSP depende del CRL normal que procesa para marcar el estado de anulación, el mismo retardo que afecta a los CRL también se aplicará a OCSP.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto pki trustpoint name

4. ocsp url url

5.revocation-checkmethod1[[]method2 method3]

6. ocsp disable-nonce

7. exit

8. exit

9. show crypto pki certificates

10.show crypto pki trustpoints[status | label []status]

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto pki trustpoint name

Example:

Router(config)# crypto pki trustpoint hazel

Declara el punto de confianza y un nombre determinado e ingresa al modo de configuración de ca-trustpoint.

Paso 4 

ocsp url url

Example:

Router(ca-trustpoint)# ocsp url http://ocsp-server

(Opcional) especifica el URL de un servidor OCSP de modo que el trustpoint pueda marcar el estatus del certificado. Este URL reemplazará el URL del servidor OCSP (si existe uno) en la extensión del acceso a la información de la autoridad (AYA) del certificado.

Paso 5 

revocation-check method1 [method2 [method3]]

Example:

Router(ca-trustpoint)# revocation-check ocsp none

Verifica el estado de revocación de un certificado.

crl — El marcar del certificado es realizado por un CRL. Ésta es la opción predeterminada.

none — Se ignora el marcar del certificado.

ocsp — El marcar del certificado es realizado por un servidor OCSP.

Si se especifica un segundo y tercer método, cada método será utilizado solamente si el método anterior vuelve un error, tal como un servidor que está abajo.

Paso 6 

ocsp disable-nonce

Example:

Router(ca-trustpoint)# ocsp disable-nonce

(Opcional) especifica que un nonce, o un Identificador único de la petición OCSP, no será enviado durante las comunicaciones del par con el servidor OCSP.

Paso 7 

exit

Example:

Router(ca-trustpoint)# exit

Vuelve al modo de configuración global.

Paso 8 

exit

Example:

Router(config)# exit

Vuelve al modo EXEC privilegiado.

Paso 9 

show crypto pki certificates

Example:

Router# show crypto pki certificates

(Opcional) visualiza la información sobre sus Certificados.

Paso 10 

show crypto pki trustpoints [status | label [status]]

Example:

Router# show crypto pki trustpoints

Visualiza la información sobre el trustpoint configurado en el router.

Configuración de la Autorización y Revocación de Certificados

Realice esta tarea de especificar un ACL basado en el certificado, de ignorar los controles de la revocación o los certificados vencidos, de reemplazar manualmente la ubicación del valor por defecto CDP, para reemplazar manualmente el servidor establezca OCSP, para configurar el CRL que oculta, o para fijar la aceptación o el rechazo de la sesión basado en un número de serie del certificado, como apropiado.

Configuración de ACLs Basadas en Certificados para Ignorar las Verificaciones de Revocación

Para configurar a su router para utilizar los ACL basados en el certificado para ignorar los controles y los certificados vencidos de la revocación, realice los pasos siguientes:

Identifique un trustpoint existente o cree un nuevo trustpoint que se utilizará al verificar el certificado del par. Autentique el trustpoint si no se ha autenticado ya. El router puede alistar con este trustpoint si usted quiere. No fije los CRL opcionales para el trustpoint si usted planea utilizar match certificate el comando y skip revocation-check la palabra clave.

Determine las características únicas de los Certificados que no deben tener su CRL marcado y de los certificados vencidos que deben ser permitidos.

Defina una correspondencia del certificado para hacer juego las características identificadas en el paso previo.

Usted puede agregar match certificate el comando y skip revocation-check la palabra clave y match certificate command y allow expired-certificate la palabra clave al trustpoint que fue creada o identificada en el primer paso.


Se marcanlas correspondencias del certificado de la nota incluso si se oculta el clave pública del par. Por ejemplo, cuando el clave pública es ocultado por el par, y una correspondencia del certificado se agrega al trustpoint para prohibir un certificado, la correspondencia del certificado es eficaz. Esto evita que un cliente con el certificado prohibido, que fue conectado una vez en el pasado, vuelva a conectar.


Invalidación Manual de CDPs en un Certificado

Los usuarios pueden reemplazar los CDP en un certificado con un CDP manualmente configurado. La anulación manual de CDP en un certificado puede ser ventajosa cuando un servidor determinado no está disponibles durante un largo período de tiempo. Los CDPs del certificado se pueden sustituir por una URL o especificación del directorio sin volver a emitir todos los certificados que contengan el CDP original.

Manualmente reemplazar el servidor establezca OCSP en un certificado

Los administradores pueden reemplazar el servidor establezca OCSP especificado en el campo del acceso a la información de la autoridad (AYA) del certificado del cliente o fijar por la publicación ocsp url del comando. Uno o más servidores OCSP se pueden especificar manualmente, por el certificado del cliente o por el grupo de certificados del cliente por match certificate override ocsp el comando. match certificate override ocsp El comando reemplaza el campo de AYA del certificado del cliente o ocsp url la configuración de comandos si un certificado del cliente se corresponde con con éxito a una correspondencia del certificado durante el control de la revocación.


La notasolamente un servidor OCSP se puede especificar por el certificado del cliente.


Configuración del Control de la Memoria Caché de CRL

De forma predeterminada, se descargará un nuevo CRL después de que expire el CRL almacenado en la memoria caché actualmente. Los administradores pueden configurar la cantidad máxima de tiempo en anotan un CRL permanecen en el caché publicando crl cache delete-after el comando o la neutralización CRL que oculta publicando crl cache none el comando. Solamente crl-cache delete-after el comando o crl-cache none el comando puede ser especificado. Si ingresan a los comandos both para un trustpoint, el comando más reciente ejecutado tomará el efecto y un mensaje será visualizado.

Ni crl-cache none el comando ni crl-cache delete-after el comando afecta al CRL actualmente ocultado. Si usted configura crl-cache none el comando, todos los CRL descargados después de que se publique este comando no serán ocultados. Si usted configura crl-cache delete-after el comando, el curso de la vida configurado afectará solamente a los CRL descargados después de que se publique este comando.

Estas funciones son útiles son cuando CA publica los CRL sin la fecha de vencimiento o con los días o las semanas de las fechas de vencimiento a continuación.

Configuración del Control de Sesión del Número de Serie del Certificado

Un número de serie del certificado se puede especificar para permitir que una petición de la validación de certificado sea validada o rechaza el trustpoint para una sesión. Una sesión se puede rechazar, dependiendo del control de sesión del número de serie del certificado, incluso si un certificado es todavía válido. El control de sesión del número de serie del certificado se puede configurar usando una correspondencia del certificado con serial-number el campo o un atributo AAA, con cert-serial-not el comando.

Usando las correspondencias del certificado para el control de sesión permite que un administrador especifique un solo número de serie del certificado. Usando el atributo AAA permite que un administrador especifique uno o más números de serie del certificado para el control de sesión.

Prerrequisitos

El trustpoint debe ser definido y ser autenticado antes de asociar las correspondencias del certificado al trustpoint.

La correspondencia del certificado debe ser configurada antes de que la característica de la invalidación CDP pueda ser habilitada oserial-number se publica el comando.

La integración PKI y del servidor de AAA se debe completar con éxito para utilizar los atributos AAA según lo descrito en el “PKI y la integración del servidor de AAA para el estatus del certificado.”

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto pki certificate map label sequence-number

4. field-name match-criteria match-value

5. exit

6. crypto pki trustpoint name

7. crl-cache none

o

crl-cache delete-after time

8.match certificatecertificate-map-label [allow expired-certificate | skip revocation-check | skip authorization-check]

9.match certificate certificate-map-label invalidación cdp {url | directory} string

10.match certificate certificate-map-label[]del ocsp de la invalidacióntrustpoint trustpoint-label sequence-number url ocsp-url

11. exit

12. aaa new-model

13. aaa attribute list list-name

14. attribute type {name} {label}

15. exit

16. exit

17. show crypto pki certificates

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto pki certificate map label sequence-number

Example:

Router(config)# crypto pki certificate map Group 10

Define los valores en un certificado que deba ser correspondido con o no ser correspondido con y ingresa al modo de configuración del Ca-certificado-mapa.

Paso 4 

field-name match-criteria match-value

Example:

Router(ca-certificate-map)# subject-name co MyExample

Especifica uno o más campos del certificado así como sus criterios concordantes y el valor para hacer juego.

field-name Es uno de los names string sin diferenciación entre mayúsculas y minúsculas siguientes o de una fecha:

alt-subject-name

expires-on

issuer-name

name

número de serie

subject-name

unstructured-subject-name

valid-start

El formato de campode la fecha de la nota es hh del yyyy DD milímetro: milímetro: ss o mmm hh del yyyy DD: milímetro: ss.

match-criteria Es uno de los operadores lógicos siguientes:

co — contiene (válido solamente para los campos de nombre y el campo del número de serie)

eq — igual (válido para el nombre, el número de serie, y los campos de la fecha)

ge — mayor que o igual (válido solamente para los campos de la fecha)

lt — menos que (válido solamente para los campos de la fecha)

nc — no contiene (válido solamente para los campos de nombre y el campo del número de serie)

ne — no igual (válido para el nombre, el número de serie, y los campos de la fecha)

match-value Es el nombre o la fecha a probar con el operador lógico asignado por los criterios de concordancia.

Observeel uso este comando solamente al configurar un ACL basado en el certificado — no al configurar un ACL basado en el certificado para ignorar los controles o los certificados vencidos de la revocación.

Paso 5 

exit

Example:

Router(ca-certificate-map)# exit

Vuelve al modo de configuración global.

Paso 6 

crypto pki trustpoint name

Example:

Router(config)# crypto pki trustpoint Access2

Declara el trustpoint, nombre determinado y ingresa al modo de configuración del Ca-trustpoint.

Paso 7 

crl-cache none

Example:

Router(ca-trustpoint)# crl-cache none


o


crl-cache delete-after time

Example:

Router(ca-trustpoint)# crl-cache delete-after 20


(Opcional) inhabilita el CRL que oculta totalmente para todos los CRL asociados al trustpoint.

crl-cache none El comando no afecta a ninguna CRL actualmente ocultada. Todos los CRL descargados después de que se configure este comando no serán ocultados.

(Opcional) especifica el tiempo máximo CRL permanecerá en el caché para todos los CRL asociados al trustpoint.

time — La cantidad de tiempo en los minutos antes del CRL se borra.

crl-cache delete-after El comando no afecta a ninguna CRL actualmente ocultada. El curso de la vida configurado afectará solamente a los CRL descargados después de que se configure este comando.

Paso 8 

match certificate certificate-map-label [allow expired-certificate | skip revocation-check | skip authorization-check]

Example:

Router(ca-trustpoint)# match certificate Group skip revocation-check

(Opcional) asocia el ACL basado en el certificado (que fue definido vía crypto pki certificate map el comando) a un trustpoint.

certificate-map-label — Debe hacer juego label el argumento especificado vía crypto pki certificate map el comando.

allow expired-certificate — Ignora los certificados vencidos.

skip revocation-check — Permite que un trustpoint aplique los CRL a excepción de los Certificados específicos.

skip authorization-check — Salta el control AAA de un certificado cuando la integración PKI con un servidor de AAA se configura.

Paso 9 

match certificate certificate-map-label override cdp {url | directory} string

Example:

Router(ca-trustpoint)# match certificate Group1 override cdp url http://server.cisco.com

(Opcional) reemplaza manualmente las entradas CDP existentes para un certificado con una especificación URL o del directorio.

certificate-map-label — Una escritura de la etiqueta definida por el usuario que debe hacer juego label el argumento especificado en un comando previamente crypto pki certificate map definido.

url — Especifica que los CDP del certificado serán reemplazados con un HTTP o un LDAP URL.

directory — Especifica que los CDP del certificado serán reemplazados con una especificación del directorio LDAP.

string — La especificación URL o del directorio.

Observealgunas aplicaciones puede medir el tiempo hacia fuera antes de que todos los CDP se hayan intentado y señalen un mensaje de error. El mensaje de error no afectará al router, y el Cisco IOS Software continuará intentando extraer un CRL hasta que se hayan intentado todos los CDP.

Paso 10 

match certificate certificate-map-label override ocsp [trustpoint trustpoint-label] sequence-number url ocsp-url


Example:

Router(ca-trustpoint)# match certificate mycertmapname override ocsp trustpoint mytp 15 url http://192.0.2.2

(Opcional) especifica un servidor OCSP, por el certificado del cliente o por el grupo de certificados del cliente, y puede ser publicado más de una vez para especificar los servidores OCSP y las configuraciones adicionales del certificado del cliente incluyendo las jerarquías alternativas PKI.

certificate-map-label — El nombre de una correspondencia del certificado existente.

trustpoint — El trustpoint que se utilizará al validar el certificado de servidor OCSP.

sequence-number — La orden que match certificate override ocsp los enunciados de comando se aplican al certificado que es verificado. Las coincidencias se realizan del número de secuencia más bajo al número de secuencia más alto. Si más de un comando se publica con el mismo número de secuencia, sobregraba la configuración de anulación anterior del servidor OCSP.

url — El URL del servidor OCSP.

Cuando el certificado hace juego una correspondencia configurada del certificado, el campo de AYA del certificado del cliente y cualquier configuración de comandos previamente ocsp url publicada están sobregrabados con el servidor especificado OCSP.

Si ocurre ninguna coincidencia de la correspondencia basada, uno de los dos casos siguientes continuará aplicándose al certificado del cliente.

Si OCSP se especifica como el método de la revocación, el valor de campo de AYA continuará aplicándose al certificado del cliente.

Si ocsp url existe la configuración, ocsp url los valores de configuración continuarán aplicándose a los certificados del cliente.

Paso 11 

exit

Example:

Router(ca-trustpoint)# exit

Vuelve al modo de configuración global.

Paso 12 

aaa new-model

Example:

Router(config)# aaa new-model

(Opcional) habilita el modelo del control de acceso AAA.

Paso 13 

aaa attribute list list-name

Example:

Router(config)# aaa attribute list crl

(Opcional) define una lista de atribución AAA localmente en un router y ingresa al modo de configuración de la config-attr-lista.

Paso 14 

attribute type {name}{value}

Example:

Router(config-attr-list)# attribute type cert-serial-not 6C4A

(Opcional) define un tipo del atributo AAA que deba ser agregado a una lista de atribución AAA localmente en un router.

Para configurar el control de sesión del número de serie del certificado, un administrador puede especificar un certificado específico en value el campo que se validará o rechazado basado en su número de serie al donde name se fija cert-serial-not. Si el número de serie del certificado hace juego el número de serie especificado por la configuración de tipo del atributo, el certificado será rechazado.

Para una lista completa de tipos disponibles del atributo AAA, ejecute show aaa attributes el comando.

Paso 15 

exit

Example:

Router(ca-trustpoint)# exit

Example:

Router(config-attr-list)# exit

Vuelve al modo de configuración global.

Paso 16 

exit

Example:

Router(config)# exit

Vuelve al modo EXEC privilegiado.

Paso 17 

show crypto pki certificates

Example:

Router# show crypto pki certificates

(Opcional) visualiza los componentes de los Certificados instalados en el router si se ha autenticado el certificado de CA.

Ejemplos

Lo que sigue es un ejemplo de certificado. Las Extensiones OCSP-relacionadas se muestran usando los signos de exclamación.

Certificate:
        Data:
            Version: v3
            Serial Number:0x14
            Signature Algorithm:MD5withRSA - 1.2.840.113549.1.1.4
            Issuer:CN=CA server,OU=PKI,O=Cisco Systems
            Validity:
                Not Before:Thursday, August 8, 2002 4:38:05 PM PST
                Not After:Tuesday, August 7, 2003 4:38:05 PM PST
            Subject:CN=OCSP server,OU=PKI,O=Cisco Systems
            Subject Public Key Info:
                Algorithm:RSA - 1.2.840.113549.1.1.1
                Public Key:
                    Exponent:65537
                    Public Key Modulus:(1024 bits) :
                        <snip>

            Extensions:
                Identifier:Subject Key Identifier - 2.5.29.14
                    Critical:no 
                    Key Identifier:
                        <snip>
                Identifier:Authority Key Identifier - 2.5.29.35
                    Critical:no 
                    Key Identifier:
                        <snip>

!                Identifier:OCSP NoCheck:- 1.3.6.1.5.5.7.48.1.5
                     Critical:no 
                Identifier:Extended Key Usage:- 2.5.29.37
                     Critical:no 
                     Extended Key Usage:
                     OCSPSigning
!
                Identifier:CRL Distribution Points - 2.5.29.31
                    Critical:no 
                    Number of Points:1
                    Point 0
                        Distribution Point:
[URIName:ldap://CA-server/CN=CA server,OU=PKI,O=Cisco Systems]
        Signature:
            Algorithm:MD5withRSA - 1.2.840.113549.1.1.4
            Signature:
            <snip>

El siguiente ejemplo muestra un extracto del resultado de la configuración corriente al agregarmatch certificate override ocspun comando al principio de una secuencia existente:

match certificate map3 override ocsp 5 url http://192.0.2.3/
show running-configuration 
.
.
.
        match certificate map3 override ocsp 5 url http://192.0.2.3/ 
        match certificate map1 override ocsp 10 url http://192.0.2.1/ 
        match certificate map2 override ocsp 15 url http://192.0.2.2/

El siguiente ejemplo muestra un extracto del resultado de la configuración corriente cuando se substituyematch certificate override ocspun comando existente y un trustpoint se especifica para utilizar una jerarquía de la alternativa PKI:


match certificate map4 override ocsp trustpoint tp4 10 url http://192.0.2.4/newvalue
show running-configuration
.
.
.
        match certificate map3 override ocsp trustpoint tp3 5 url http://192.0.2.3/ 
        match certificate map1 override ocsp trustpoint tp1 10 url http://192.0.2.1/ 
        match certificate map4 override ocsp trustpoint tp4 10 url 
              http://192.0.2.4/newvalue 
        match certificate map2 override ocsp trustpoint tp2 15 url http://192.0.2.2/ 

Consejos de Troubleshooting

Si usted ignoró el control o los certificados vencidos de la revocación, usted debe marcar cuidadosamente su configuración. Verifique que la correspondencia del certificado haga juego correctamente el certificado o los Certificados que deben ser permitidos o los controles AAA que debe ser saltado. En un entorno controlado, intente modificar la correspondencia del certificado y determine qué no está trabajando según lo esperado.

Cómo Configurar la Validación de la Cadena de Certificados

Realice esta tarea de configurar el nivel de proceso para la trayectoria de la Cadena de certificados de sus certificados de peer.

Prerrequisitos

El dispositivo se debe alistar en su jerarquía PKI.

El par clave apropiado se debe asociar al certificado.

Restricciones

Un trustpoint se asoció al raíz CA no se puede configurar para ser validado al nivel siguiente.

chain-validation El comando se configura con continue la palabra clave para el trustpoint asociado al raíz CA, un mensaje de error será visualizado y la validación de cadena invertirá a la configuración chain-validation del comando default.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto pki trustpoint name

4.chain-validation [{stop | continue} []parent-trustpoint]

5. exit

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto pki trustpoint name

Example:

Router(config)# crypto pki trustpoint ca-sub1

Declara el punto de confianza y un nombre determinado e ingresa al modo de configuración de ca-trustpoint.

Paso 4 

chain-validation [{stop | continue} [parent-trustpoint]]

Example:

Router(ca-trustpoint)# chain-validation continue ca-sub1

Configura el nivel al cual una Cadena de certificados se procesa en todos los Certificados incluyendo los Certificados de CA del subordinado.

Utilice stop la palabra clave para especificar que el certificado está confiado en ya. Ésta es la configuración predeterminada.

Utilice continue la palabra clave para especificar que el certificado de CA subordinado asociado al trustpoint debe ser validado.

parent-trustpoint El argumento especifica el nombre del trustpoint del padre que el certificado se debe validar contra.

Paso 5 

exit

Example:

Router(ca-trustpoint)# exit

Devoluciones al modo de configuración global

Configurar los servidores de certificados para la Alta disponibilidad

Usted puede configurar los servidores de certificados para sincronizar revoca los comandos y envía los comandos serial-number cuando se publican los nuevos Certificados, preparando el servidor de certificados espera para publicar los Certificados y los CRL si llega a ser activo.

Prerrequisitos

Las condiciones siguientes se deben cumplir para la Alta disponibilidad en los servidores de certificados:

el SCTP IPSec-asegurado se debe configurar en el active y los routeres en espera.

Para que la sincronización trabaje, el modo de redundancia en los servidores de certificados debe ser fijado a ACTIVE/STANDBY después de que usted configure el SCTP.

Esta sección contiene las siguientes subsecciones:

Configurando el SCTP en los servidores de certificados activos y espera (requeridos)

Fijando al modo de redundancia en los servidores de certificados a ACTIVE/STANDBY (requerido)

Sincronizando los servidores de certificados activos y espera (requeridos)

Configurar el SCTP en los servidores de certificados activos y espera

Realice esta tarea en el router activo de configurar el SCTP en el servidor de certificados activo y espera.

PASOS SUMARIOS

1. configure terminal

2. ipc zone default

3. association association-ID

4. no shutdown

5. protocol sctp

6. local-port local-port-number

7. local-ip device-real-ip-address [device-real-ip-address2]

8. exit

9.puerto remoto remote-port-number

10. remote-ip peer-real-ip-address

11Relance los pasos 1 a 10 en el router en espera, invirtiendo los IP Addresses del local y de los peeres remotos especificados en los pasos 7 y 10.

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 2 

ipc zone default

Example:

Router(config)# ipc zone default

Configura el Communication Protocol del interdevice, el Inter-Process Communication (IPC), y ingresa al modo de configuración de la zona IPC.

Utilice este comando de iniciar el link de comunicación entre el router activo y el router en espera.

Paso 3 

association association-ID

Example:

Router(config-ipczone)# association 1

Configura una asociación entre los dos dispositivos y ingresa al modo de configuración de la asociación IPC.

Paso 4 

no shutdown

Example:

Router(config-ipczone-assoc)# no shutdown

Se asegura de que la asociación del servidor esté en el estado (habilitado) predeterminado.

Paso 5 

protocol sctp

Example:

Router(config-ipczone-assoc)# protocol sctp

Las configuraciones SCTP como el Transport Protocol y ingresan el modo de la configuración del protocolo SCTP.

Paso 6 

local-port local-port-number

Example:

Router(config-ipc-protocol-sctp)# local-port 5000

Define el número del puerto local SCTP que se utiliza para comunicar con el par redundante y ingresa el modo de la configuración local del transporte SCTP IPC.

local-port-number — No hay un valor predeterminado. Este argumento se debe configurar para que el puerto local habilite la Redundancia del interdevice. Valores de puerto válidos: 1 a 65535.
El numbershould del puerto local sea lo mismo que el número del puerto remoto en el router del par.

Paso 7 

local-ip device-real-ip-address [device-real-ip-address2]

Example:

Router(config-ipc-local-sctp)# local-ip 10.0.0.1

Define por lo menos un IP Address local que se utilice para comunicar con el par redundante.

Los IP Address locales deben hacer juego los IP Address remotos en el router del par. Puede haber cualquier uno o dos IP Addresses, que deben estar en el VPN Routing and Forwarding global (VRF). Una dirección IP virtual no puede ser utilizada.

Paso 8 

exit

Example:

Router(config-ipc-local-sctp)# exit

Transporte de IPC de las salidas - Modo de la configuración local SCTP.

Paso 9 

remote-port remote-port-number

Example:

Router(config-ipc-protocol-sctp)# remote-port 5000

Define el número del puerto alejado SCTP que se utiliza para comunicar con el par redundante y ingresa el modo de la configuración remota del transporte SCTP IPC.

Notaremote-port-number— No hay un valor predeterminado. Este argumento se debe configurar para que el puerto remoto habilite la Redundancia del interdevice. Valores de puerto válidos: 1 a 65535.
El número del puerto remoto debe ser lo mismo que el número del puerto local en el router del par.

Paso 10 

remote-ip peer-real-ip-address

Example:

Router(config-ipc-remote-sctp)# remote-ip 10.0.0.2

Define un IP Address remoto del par redundante que se utiliza para comunicar con el dispositivo local.

Todos los IP Address remotos deben referir al mismo dispositivo.

Una dirección IP virtual no puede ser utilizada.

Paso 11 

Relance los pasos 1 a 10 en el router en espera, invirtiendo los IP Addresses del local y de los peeres remotos especificados en los pasos 7 y 10.

La dirección IP virtual (10.0.0.3) será lo mismo en ambo Routers.

Determinación del modo de redundancia en los servidores de certificados a ACTIVE/STANDBY

Realice esta tarea en el router activo de habilitar la sincronización fijando al modo de redundancia en los servidores de certificados a ACTIVE/STANDBY.

1. configure terminal

2. redundancy inter-device

3. scheme standby standby-group-name

4. exit

5. interface interface-name

6. ip address ip-address mask

7. no ip route-cache cef

8. no ip route-cache

9. standby ip ip-address

10. standby priority priority

11. standby name group-name

12. standby delay minimum []min-secondsreloaddel []reload-seconds

13. Relance los pasos 1-12 en el router en espera, r, configurando la interfaz con una diversa dirección IP del del router activo (paso 6).

14. exit

15. exit

16. show crypto key mypubkey rsa

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 2 

redundancy inter-device

Example:

Router(config)# redundancy inter-device

Configura la Redundancia y ingresa al modo de configuración del interdevice.

Paso 3 

scheme standby standby-group-name

Example:

Router(config-red-interdevice)# scheme standby SB

Define el plan de redundancia que debe ser utilizado.

El único esquema soportado es “recurso seguro.”

standby-group-name — Debe hacer juego el nombre espera especificado en standby name el comando interface configuration. También, el nombre espera debe ser lo mismo en ambo Routers.

Paso 4 

exit

Example:

Router(config-red-interdevice)# exit

Modo de configuración y devoluciones del interdevice de las salidas al modo de configuración global.

Paso 5 

interface interface-name

Example:

Router(config)# interface gigabitethernet0/1

Configura un tipo de interfaz para el router y ingresa al modo de configuración de la interfaz.

Paso 6 

ip address ip-address mask

Example:

Router(config-if) ip address 10.0.0.1 255.255.255.0

Fija el IP Address local para la interfaz.

Paso 7 

no ip route-cache cef

Example:

Router(config-if)# no ip route cache cef

Operación del Cisco Express Forwarding de las neutralizaciones en la interfaz.

Paso 8 

no ip route-cache

Example:

Router(config-if)# no ip route cache

Las neutralizaciones ayunan transferencia en la interfaz.

Paso 9 

standby ip ip-address

Example:

Router(config-if)# standby ip 10.0.0.3

Activa el Hot Standby Router Protocol (HSRP),

Observela configuración el mismo direccionamiento en el active y los routeres en espera.

Paso 10 

standby priority priority

Example:

Router(config-if)# standby priority 50

Establece la prioridad HSRP a 50.

El rango de la prioridad es a partir la 1 a 255, donde 1 denota la prioridad más baja y 255 el más alto. El router en el grupo del HSRP con el valor más prioritario hace el router activo.

Paso 11 

standby name group-name

Example:

Router(config-if)# standby name SB

Configura el nombre del grupo en espera.

El nombre especifica al grupo del HSRP usado. El nombre del grupo del HSRP debe ser único en el router.

Paso 12 

standby delay minimum [min-seconds] reload [reload-seconds]

Example:

Router(config-if)# standby delay minimum 30 reload 60

Fija un retardo para la inicialización del grupo del HSRP como sigue:

El retraso mínimo después de que la interfaz suba antes de inicializar a los grupos del HSRP es 30 segundos.

El retardo después del router ha recargado es 60 segundos.

Paso 13 

Relance los pasos 1-12 en el router en espera, configurando la interfaz con una diversa dirección IP del de la interfaz en el router activo (paso 6).

Paso 14 

exit

Example:

Router(config-if)# exit

Vuelve al modo de configuración global.

Paso 15 

exit

Example:

Router(config)# exit

Vuelve al modo EXEC privilegiado.

Paso 16 

show redundancy states

Example:

Router# show redundancy states

(Opcional) verifica al estado de redundancia: recurso seguro o active.

Sincronización de los servidores de certificados activos y espera

Realice esta tarea de sincronizar el active y los servidores en espera.

PASOS SUMARIOS

1. configure terminal

2. crypto key generate rsa general-keys redundancy label key-label modulus modulus-size

3. exit

4. show crypto key mypubkey rsa

5. configure terminal

6. ip http server

7. crypto pki server cs-label

8. redundancy

9. no shutdown

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 2 

crypto key generate rsa general-keys redundancy label key-labelmodulus modulus-size

Example:

Router (config)# crypto key generate rsa general-keys redundancy label HA modulus 1024

Genera un par clave RSA nombrado HA para el servidor de certificados.

Observeespecificar redundancy la palabra clave significa que las claves serán NON-exportables.

Paso 3 

exit

Example:

Router(config)# exit

Vuelve al modo EXEC privilegiado.

Paso 4 

show crypto key mypubkey rsa

Example:

Router# show crypto key mypubkey rsa

Verifica que la Redundancia esté habilitada.

Paso 5 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 6 

ip http server

Example:

Router(config)# ip http server

Habilita el servidor HTTP en su sistema.

Paso 7 

crypto pki server cs-label

Example:

Router(config)# crypto pki server HA

Especifica el par clave RSA generado en el paso 2 como la escritura de la etiqueta para el servidor de certificados.

Paso 8 

crypto pki server cs-label redundancy

Example:

Router (config)# redundancy

Se asegura de que el servidor esté sincronizado al servidor en espera.

Paso 9 

no shutdown

Example:

Router(cs-server)# no shutdown

Habilita el servidor de certificados.

Observesi la interfaz del router con el tráfico SCTP no es seguro, usted se asegura de que el tráfico SCTP entre los dispositivos de gran disponibilidad esté asegurado con el IPSec.

Ejemplos de Configuración de la Autorización y Revocación de Certificados

Esta sección contiene los ejemplos de configuración siguientes:

Configuración y Verificación de la Autorización AAA PKI: Ejemplos

Configuración de un Mecanismo de Revocación: Ejemplos

Configuración de un Router Hub en un Sitio Central para Verificaciones de Revocación de Certificados: Ejemplo:

Configuración de la Autorización y Revocación de Certificados: Ejemplos

Cómo Configurar la Validación de la Cadena de Certificados: Ejemplos

Configurar los servidores de certificados para la Alta disponibilidad: Ejemplo:

Configuración y Verificación de la Autorización AAA PKI: Ejemplos

Esta sección proporciona los ejemplos de configuración de las autorizaciones AAA PKI:

Configuración del Router: Ejemplo:

Debug de una Autorización AAA PKI Exitosa: Ejemplo:

Debug de una Autorización AAA PKI Fallida: Ejemplo:

Configuración del Router: Ejemplo:

La salida show running-config del siguiente comando muestra la configuración en funcionamiento de un router que se configure para autorizar las conexiones VPN usando la integración PKI con la característica del servidor de AAA:

Router# show running-config 

Building configuration...
!
version 12.3
!
hostname router7200router7200
!
aaa new-model
!
!
aaa authentication login default group tacacs+
aaa authentication login no_tacacs enable
aaa authentication ppp default group tacacs+
aaa authorization exec ACSLab group tacacs+
aaa authorization network ACSLab group tacacs+
aaa accounting exec ACSLab start-stop group tacacs+
aaa accounting network default start-stop group ACSLab
aaa session-id common
!
ip domain name example.com
!
crypto pki trustpoint EM-CERT-SERV
 enrollment url http://192.0.2.33:80
 serial-number
 crl optional
 rsakeypair STOREVPN 1024
 auto-enroll
 authorization list ACSLab
!
crypto pki certificate chain EM-CERT-SERV
 certificate 04
  30820214 3082017D A0030201 02020104 300D0609 2A864886 F70D0101 04050030
  17311530 13060355 0403130C 454D2D43 4552542D 53455256 301E170D 30343031
  31393232 30323535 5A170D30 35303131 38323230 3235355A 3030312E 300E0603
  55040513 07314437 45424434 301C0609 2A864886 F70D0109 02160F37 3230302D
  312E6772 696C2E63 6F6D3081 9F300D06 092A8648 86F70D01 01010500 03818D00
  30818902 818100BD F3B837AA D925F391 2B64DA14 9C2EA031 5A7203C4 92F8D6A8
  7D2357A6 BCC8596F A38A9B10 47435626 D59A8F2A 123195BB BE5A1E74 B1AA5AE0
  5CA162FF 8C3ACA4F B3EE9F27 8B031642 B618AE1B 40F2E3B4 F996BEFE 382C7283
  3792A369 236F8561 8748AA3F BC41F012 B859BD9C DB4F75EE 3CEE2829 704BD68F
  FD904043 0F555702 03010001 A3573055 30250603 551D1F04 1E301C30 1AA018A0
  16861468 7474703A 2F2F3633 2E323437 2E313037 2E393330 0B060355 1D0F0404
  030205A0 301F0603 551D2304 18301680 1420FC4B CF0B1C56 F5BD4C06 0AFD4E67
  341AE612 D1300D06 092A8648 86F70D01 01040500 03818100 79E97018 FB955108
  12F42A56 2A6384BC AC8E22FE F1D6187F DA5D6737 C0E241AC AAAEC75D 3C743F59
  08DEEFF2 0E813A73 D79E0FA9 D62DC20D 8E2798CD 2C1DC3EC 3B2505A1 3897330C
  15A60D5A 8A13F06D 51043D37 E56E45DF A65F43D7 4E836093 9689784D C45FD61D
  EC1F160C 1ABC8D03 49FB11B1 DA0BED6C 463E1090 F34C59E4
  quit
 certificate ca 01
  30820207 30820170 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  17311530 13060355 0403130C 454D2D43 4552542D 53455256 301E170D 30333132
  31363231 34373432 5A170D30 36313231 35323134 3734325A 30173115 30130603
  55040313 0C454D2D 43455254 2D534552 5630819F 300D0609 2A864886 F70D0101
  01050003 818D0030 81890281 8100C14D 833641CF D784F516 DA6B50C0 7B3CB3C9
  589223AB 99A7DC14 04F74EF2 AAEEE8F5 E3BFAE97 F2F980F7 D889E6A1 2C726C69
  54A29870 7E7363FF 3CD1F991 F5A37CFF 3FFDD3D0 9E486C44 A2E34595 C2D078BB
  E9DE981E B733B868 AA8916C0 A8048607 D34B83C0 64BDC101 161FC103 13C06500
  22D6EE75 7D6CF133 7F1B515F 32830203 010001A3 63306130 0F060355 1D130101
  FF040530 030101FF 300E0603 551D0F01 01FF0404 03020186 301D0603 551D0E04
  16041420 FC4BCF0B 1C56F5BD 4C060AFD 4E67341A E612D130 1F060355 1D230418
  30168014 20FC4BCF 0B1C56F5 BD4C060A FD4E6734 1AE612D1 300D0609 2A864886
  F70D0101 04050003 81810085 D2E386F5 4107116B AD3AC990 CBE84063 5FB2A6B5
  BD572026 528E92ED 02F3A0AE 1803F2AE AA4C0ED2 0F59F18D 7B50264F 30442C41
  0AF19C4E 70BD3CB5 0ADD8DE8 8EF636BD 24410DF4 DB62DAFC 67DA6E58 3879AA3E
  12AFB1C3 2E27CB27 EC74E1FC AEE2F5CF AA80B439 615AA8D5 6D6DEDC3 7F9C2C79
  3963E363 F2989FB9 795BA8
  quit
!
!
crypto isakmp policy 10
 encr 3des
 group 2
!
!
crypto ipsec transform-set ISC_TS_1 esp-3des esp-sha-hmac
!
crypto ipsec profile ISC_IPSEC_PROFILE_2
 set security-association lifetime kilobytes 530000000
 set security-association lifetime seconds 14400
 set transform-set ISC_TS_1
!
!
controller ISA 1/1
!
!
interface Tunnel0
 description MGRE Interface provisioned by ISC
 bandwidth 10000
 ip address 192.0.2.172 255.255.255.0
 no ip redirects
 ip mtu 1408
 ip nhrp map multicast dynamic
 ip nhrp network-id 101
 ip nhrp holdtime 500
 ip nhrp server-only
 no ip split-horizon eigrp 101
 tunnel source FastEthernet2/1
 tunnel mode gre multipoint
 tunnel key 101
 tunnel protection ipsec profile ISC_IPSEC_PROFILE_2
!
interface FastEthernet2/0
 ip address 192.0.2.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet2/1
 ip address 192.0.2.2 255.255.255.0
 duplex auto
 speed auto
!
!
tacacs-server host 192.0.2.55 single-connection
tacacs-server directed-request
tacacs-server key company lab
!
ntp master 1
!
end

Debug de una Autorización AAA PKI Exitosa: Ejemplo:

La salida show debugging del siguiente comando muestra una autorización exitosa usando la integración PKI con la característica del servidor de AAA:

Router# show debugging

General OS:
  TACACS access control debugging is on
  AAA Authentication debugging is on
  AAA Authorization debugging is on
Cryptographic Subsystem:
Crypto PKI Trans debugging is on

Router#
May 28 19:36:11.117: CRYPTO_PKI: Trust-Point EM-CERT-SERV picked up
May 28 19:36:12.789: CRYPTO_PKI: Found a issuer match
May 28 19:36:12.805: CRYPTO_PKI: cert revocation status unknown.
May 28 19:36:12.805: CRYPTO_PKI: Certificate validated without revocation check
May 28 19:36:12.813: CRYPTO_PKI_AAA: checking AAA authorization (ACSLab, POD5.example.com, 
<all>)
May 28 19:36:12.813: AAA/BIND(00000042): Bind i/f  
May 28 19:36:12.813: AAA/AUTHOR (0x42): Pick method list 'ACSLab'
May 28 19:36:12.813: TPLUS: Queuing AAA Authorization request 66 for processing
May 28 19:36:12.813: TPLUS: processing authorization request id 66
May 28 19:36:12.813: TPLUS: Protocol set to None .....Skipping
May 28 19:36:12.813: TPLUS: Sending AV service=pki
May 28 19:36:12.813: TPLUS: Authorization request created for 66(POD5.example.com)
May 28 19:36:12.813: TPLUS: Using server 192.0.2.55
May 28 19:36:12.813: TPLUS(00000042)/0/NB_WAIT/203A4628: Started 5 sec timeout
May 28 19:36:12.813: TPLUS(00000042)/0/NB_WAIT: wrote entire 46 bytes request
May 28 19:36:12.813: TPLUS: Would block while reading pak header
May 28 19:36:12.817: TPLUS(00000042)/0/READ: read entire 12 header bytes (expect 27 bytes)
May 28 19:36:12.817: TPLUS(00000042)/0/READ: read entire 39 bytes response
May 28 19:36:12.817: TPLUS(00000042)/0/203A4628: Processing the reply packet
May 28 19:36:12.817: TPLUS: Processed AV cert-application=all
May 28 19:36:12.817: TPLUS: received authorization response for 66: PASS
May 28 19:36:12.817: CRYPTO_PKI_AAA: reply attribute ("cert-application" = "all")
May 28 19:36:12.817: CRYPTO_PKI_AAA: authorization passed
Router#
Router#
May 28 19:36:18.681: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 101: Neighbor 192.0.2.171 (Tunnel0) is 
up: new adjacency
Router#

Router# show crypto isakmp sa

dst             src             state          conn-id slot
192.0.2.22   	 192.0.2.102   QM_IDLE             84    0

Debug de una Autorización AAA PKI Fallida: Ejemplo:

La salida show debugging del siguiente comando muestra que no autorizan al router a conectar usando el VPN. Los mensajes son típicos de ésos eso que usted puede ser que vea en una situación semejante.

En este ejemplo, el nombre de usuario del par fue configurado según lo no autorizado, moviendo el nombre de usuario a un grupo del Cisco Secure ACS llamado VPN_Router_Disabled en el Cisco Secure ACS. Han configurado al router, router7200.example.com, para marcar con un servidor de AAA del Cisco Secure ACS antes de establecer una conexión VPN a cualquier par.

Router# show debugging

General OS:
  TACACS access control debugging is on
  AAA Authentication debugging is on
  AAA Authorization debugging is on
Cryptographic Subsystem:
  Crypto PKI Trans debugging is on
Router#
May 28 19:48:29.837: CRYPTO_PKI: Trust-Point EM-CERT-SERV picked up
May 28 19:48:31.509: CRYPTO_PKI: Found a issuer match
May 28 19:48:31.525: CRYPTO_PKI: cert revocation status unknown.
May 28 19:48:31.525: CRYPTO_PKI: Certificate validated without revocation check
May 28 19:48:31.533: CRYPTO_PKI_AAA: checking AAA authorization (ACSLab, POD5.example.com, 
<all>)
May 28 19:48:31.533: AAA/BIND(00000044): Bind i/f  
May 28 19:48:31.533: AAA/AUTHOR (0x44): Pick method list 'ACSLab'
May 28 19:48:31.533: TPLUS: Queuing AAA Authorization request 68 for processing
May 28 19:48:31.533: TPLUS: processing authorization request id 68
May 28 19:48:31.533: TPLUS: Protocol set to None .....Skipping
May 28 19:48:31.533: TPLUS: Sending AV service=pki
May 28 19:48:31.533: TPLUS: Authorization request created for 68(POD5.example.com)
May 28 19:48:31.533: TPLUS: Using server 192.0.2.55
May 28 19:48:31.533: TPLUS(00000044)/0/NB_WAIT/203A4C50: Started 5 sec timeout
May 28 19:48:31.533: TPLUS(00000044)/0/NB_WAIT: wrote entire 46 bytes request
May 28 19:48:31.533: TPLUS: Would block while reading pak header
May 28 19:48:31.537: TPLUS(00000044)/0/READ: read entire 12 header bytes (expect 6 bytes)
May 28 19:48:31.537: TPLUS(00000044)/0/READ: read entire 18 bytes response
May 28 19:48:31.537: TPLUS(00000044)/0/203A4C50: Processing the reply packet
May 28 19:48:31.537: TPLUS: received authorization response for 68: FAIL
May 28 19:48:31.537: CRYPTO_PKI_AAA: authorization declined by AAA, or AAA server not 
found.
May 28 19:48:31.537: CRYPTO_PKI_AAA: No cert-application attribute found. Failing.
May 28 19:48:31.537: CRYPTO_PKI_AAA: authorization failed
May 28 19:48:31.537: CRYPTO_PKI: AAA authorization for list 'ACSLab', and user 
'POD5.example.com' failed.
May 28 19:48:31.537: %CRYPTO-5-IKMP_INVAL_CERT: Certificate received from 192.0.2.162 is 
bad: certificate invalid
May 28 19:48:39.821: CRYPTO_PKI: Trust-Point EM-CERT-SERV picked up
May 28 19:48:41.481: CRYPTO_PKI: Found a issuer match
May 28 19:48:41.501: CRYPTO_PKI: cert revocation status unknown.
May 28 19:48:41.501: CRYPTO_PKI: Certificate validated without revocation check
May 28 19:48:41.505: CRYPTO_PKI_AAA: checking AAA authorization (ACSLab, POD5.example.com, 
<all>)
May 28 19:48:41.505: AAA/BIND(00000045): Bind i/f  
May 28 19:48:41.505: AAA/AUTHOR (0x45): Pick method list 'ACSLab'
May 28 19:48:41.505: TPLUS: Queuing AAA Authorization request 69 for processing
May 28 19:48:41.505: TPLUS: processing authorization request id 69
May 28 19:48:41.505: TPLUS: Protocol set to None .....Skipping
May 28 19:48:41.505: TPLUS: Sending AV service=pki
May 28 19:48:41.505: TPLUS: Authorization request created for 69(POD5.example.com)
May 28 19:48:41.505: TPLUS: Using server 198.168.244.55
May 28 19:48:41.509: TPLUS(00000045)/0/IDLE/63B22834: got immediate connect on new 0
May 28 19:48:41.509: TPLUS(00000045)/0/WRITE/63B22834: Started 5 sec timeout
May 28 19:48:41.509: TPLUS(00000045)/0/WRITE: wrote entire 46 bytes request
May 28 19:48:41.509: TPLUS(00000045)/0/READ: read entire 12 header bytes (expect 6 bytes)
May 28 19:48:41.509: TPLUS(00000045)/0/READ: read entire 18 bytes response
May 28 19:48:41.509: TPLUS(00000045)/0/63B22834: Processing the reply packet
May 28 19:48:41.509: TPLUS: received authorization response for 69: FAIL
May 28 19:48:41.509: CRYPTO_PKI_AAA: authorization declined by AAA, or AAA server not 
found.
May 28 19:48:41.509: CRYPTO_PKI_AAA: No cert-application attribute found. Failing.
May 28 19:48:41.509: CRYPTO_PKI_AAA: authorization failed
May 28 19:48:41.509: CRYPTO_PKI: AAA authorization for list 'ACSLab', and user 
'POD5.example.com' failed.
May 28 19:48:41.509: %CRYPTO-5-IKMP_INVAL_CERT: Certificate received from 192.0.2.162 is 
bad: certificate invalid
Router#

Router# show crypto iskmp sa

dst             src             state          conn-id slot
192.0.2.2 	      192.0.2.102   MM_KEY_EXCH         95    0

Configuración de un Mecanismo de Revocación: Ejemplos

Esta sección contiene los ejemplos de configuración siguientes que pueden ser utilizados al especificar un mecanismo de la revocación para su PKI:

Configuración de un servidor OCSP: Ejemplo:

Especificación de una CRL y después de un Servidor OCSP: Ejemplo:

Especificación de un Servidor OCSP: Ejemplo:

Inhabilitación de Nonces en las Comunicaciones con el Servidor OCSP: Ejemplo:

Configuración de un servidor OCSP: Ejemplo:

Las demostraciones del siguiente ejemplo cómo configurar al router para utilizar el servidor OCSP que se especifica en la extensión de AYA del certificado:

Router(config)# crypto pki trustpoint mytp
Router(ca-trustpoint)# revocation-check ocsp

Especificación de una CRL y después de un Servidor OCSP: Ejemplo:

Las demostraciones del siguiente ejemplo cómo configurar al router para descargar el CRL del CDP. Si el CRL es inasequible, el servidor OCSP que se especifica en la extensión de AYA del certificado será utilizado. Si ambas opciones fallan, la verificación del certificado también fallará.

Router(config)# crypto pki trustpoint mytp
Router(ca-trustpoint)# revocation-check crl ocsp

Especificación de un Servidor OCSP: Ejemplo:

Las demostraciones del siguiente ejemplo cómo configurar a su router para utilizar el servidor OCSP en HTTP URL el "http://myocspserver:81." si el servidor está abajo, el control de la revocación serán ignoradas.

Router(config)# crypto pki trustpoint mytp
Router(ca-trustpoint)# ocsp url http://myocspserver:81
Router(ca-trustpoint)# revocation-check ocsp none

Inhabilitación de Nonces en las Comunicaciones con el Servidor OCSP: Ejemplo:

El siguiente ejemplo muestra las comunicaciones cuando un nonce, o un Identificador único para la petición OCSP, se inhabilita para las comunicaciones con el servidor OCSP:

Router(config)# crypto pki trustpoint mytp 
Router(ca-trustpoint)# ocsp url http://myocspserver:81 
Router(ca-trustpoint)# revocation-check ocsp none 
Router(ca-trustpoint)# ocsp disable-nonce

Configuración de un Router Hub en un Sitio Central para Verificaciones de Revocación de Certificados: Ejemplo:

El siguiente ejemplo muestra un router de eje de conexión en un sitio central que esté proporcionando a la Conectividad para varias sucursales al sitio central.

Las sucursales pueden también comunicar directamente con uno a usando los túneles IPsec adicionales entre las sucursales.

CA publica los CRL en un servidor HTTP en el sitio central. El sitio central marca los CRL para cada par al configurar un túnel IPsec con ese par.

El ejemplo no muestra la configuración IPSec — solamente se muestra la configuración PKI-relacionada.

Configuración del hub de la oficina en el hogar

crypto pki trustpoint VPN-GW
 enrollment url http://ca.home-office.com:80/certsrv/mscep/mscep.dll
 serial-number none
 fqdn none
 ip-address none
 subject-name o=Home Office Inc,cn=Central VPN Gateway
 revocation-check crl

Router de eje de conexión del sitio central

Router# show crypto ca certificate

Certificate
  Status: Available
  Certificate Serial Number: 2F62BE14000000000CA0
  Certificate Usage: General Purpose
  Issuer: 
    cn=Central Certificate Authority
    o=Home Office Inc
  Subject:
    Name: Central VPN Gateway
    cn=Central VPN Gateway
    o=Home Office Inc
  CRL Distribution Points: 
    http://ca.home-office.com/CertEnroll/home-office.crl
  Validity Date: 
    start date: 00:43:26 GMT Sep 26 2003
    end   date: 00:53:26 GMT Sep 26 2004
    renew date: 00:00:00 GMT Jan 1 1970
  Associated Trustpoints: VPN-GW
CA Certificate
  Status: Available
  Certificate Serial Number: 1244325DE0369880465F977A18F61CA8
  Certificate Usage: Signature
  Issuer: 
    cn=Central Certificate Authority
    o=Home Office Inc
  Subject: 
    cn=Central Certificate Authority
    o=Home Office Inc
  CRL Distribution Points: 
    http://ca.home-office.com/CertEnroll/home-office.crl
  Validity Date: 
    start date: 22:19:29 GMT Oct 31 2002
    end   date: 22:27:27 GMT Oct 31 2017
  Associated Trustpoints: VPN-GW

Trustpoint en el router de la sucursal

crypto pki trustpoint home-office
 enrollment url http://ca.home-office.com:80/certsrv/mscep/mscep.dll
 serial-number none
 fqdn none
ip-address none
 subject-name o=Home Office Inc,cn=Branch 1
 revocation-check crl

Una correspondencia del certificado se ingresa en el router de la sucursal.

Router# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
branch1(config)# crypto pki certificate map central-site 10
branch1(ca-certificate-map)#

La salida show certificate del comando en el router de eje de conexión del sitio central muestra que el certificado fue publicado por el siguiente:

cn=Central Certificate Authority
o=Home Office Inc

Estas dos líneas se combinan en una línea usando una coma (,) para separarlos, y las líneas originales se agregan como los primeros criterios para una coincidencia.

Router (ca-certificate-map)# issuer-name co cn=Central Certificate Authority, ou=Home 
Office Inc
!The above line wrapped but should be shown on one line with the line above it.

La misma combinación se hace para los asuntos del certificado en el router del sitio central (nota esa la línea que comienza con el “nombre: ” no está la parte de los asuntos y debe ser ignorada al crear los criterios de la correspondencia del certificado). Éste es los asuntos que se utilizarán en la correspondencia del certificado.

gateway de VPN cn=Central

o=Home Office Inc

Router (ca-certificate-map)# subject-name eq cn=central vpn gateway, o=home office inc

Ahora la correspondencia del certificado se agrega al trustpoint que fue configurada anterior.

Router (ca-certificate-map)# crypto pki trustpoint home-office
Router (ca-trustpoint)# match certificate central-site skip revocation-check
Router (ca-trustpoint)# exit
Router (config)# exit

Se marca la configuración (la mayor parte de la configuración no se muestra).

Router# write term
!Many lines left out
.
.
.
crypto pki trustpoint home-office
 enrollment url http://ca.home-office.com:80/certsrv/mscep/mscep.dll
 serial-number none
 fqdn none
 ip-address none
 subject-name o=Home Office Inc,cn=Branch 1
 revocation-check crl
 match certificate central-site skip revocation-check
!
!
crypto pki certificate map central-site 10
 issuer-name co cn = Central Certificate Authority, ou = Home Office Inc
 subject-name eq cn = central vpn gateway, o = home office inc
!many lines left out

Observe que las líneas del nombre del emisor y del tema-nombre se han cambiado formato para hacerlos constantes para más adelante corresponder con con el certificado del par.

Si la sucursal está marcando el AAA, el trustpoint tendrá líneas similares al siguiente:

crypto pki trustpoint home-office
 auth list allow_list
 auth user subj commonname

Después de que la correspondencia del certificado se haya definido como fuera hecha arriba, el siguiente comando se agregue al trustpoint para saltar el AAA que marcaba para saber si hay el concentrador del sitio central.

match certificate central-site skip authorization-check

En ambos casos, el router del sitio secundario tiene que establecer un túnel IPsec al sitio central para marcar los CRL o para entrar en contacto el servidor de AAA. Sin embargo, sin match certificate el comando y central-site skip authorization-check (argument and keyword), la sucursal no puede establecer el túnel hasta que haya marcado el CRL o el servidor de AAA. (El túnel no será establecido a menos que match certificate se utilicen el comando central-site skip authorization-check y el argumento y la palabra clave.)

match certificate El comando y allow expired-certificate la palabra clave serían utilizados en el sitio central si el router en un sitio secundario tenía un certificado vencido y tuvo que establecer un túnel al sitio central para renovar su certificado.

Trustpoint en el router del sitio central

crypto pki trustpoint VPN-GW
 enrollment url http://ca.home-office.com:80/certsrv/mscep/mscep.dll
 serial-number none
 fqdn none
 ip-address none
 subject-name o=Home Office Inc,cn=Central VPN Gateway
 revocation-check crl

Trustpoint en el router del sitio de la bifurcación 1

Router# show crypto ca certificate

Certificate
  Status: Available
  Certificate Serial Number: 2F62BE14000000000CA0
  Certificate Usage: General Purpose
  Issuer: 
    cn=Central Certificate Authority
    o=Home Office Inc
  Subject:
    Name: Branch 1 Site
    cn=Branch 1 Site
    o=Home Office Inc
  CRL Distribution Points: 
    http://ca.home-office.com/CertEnroll/home-office.crl
  Validity Date: 
    start date: 00:43:26 GMT Sep 26 2003
    end   date: 00:53:26 GMT Oct 3 2003
    renew date: 00:00:00 GMT Jan 1 1970
  Associated Trustpoints: home-office 
CA Certificate
  Status: Available
  Certificate Serial Number: 1244325DE0369880465F977A18F61CA8
  Certificate Usage: Signature
  Issuer: 
    cn=Central Certificate Authority
    o=Home Office Inc
  Subject: 
    cn=Central Certificate Authority
    o=Home Office Inc
  CRL Distribution Points: 
    http://ca.home-office.com/CertEnroll/home-office.crl
  Validity Date: 
    start date: 22:19:29 GMT Oct 31 2002
    end   date: 22:27:27 GMT Oct 31 2017
  Associated Trustpoints: home-office

Una correspondencia del certificado se ingresa en el router del sitio central.

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router (config)# crypto pki certificate map branch1 10
Router (ca-certificate-map)# issuer-name co cn=Central Certificate Authority, ou=Home 
Office Inc
!The above line wrapped but should be part of the line above it.
Router (ca-certificate-map)# subject-name eq cn=Brahcn 1 Site,o=home office inc

La correspondencia del certificado se agrega al trustpoint.

Router (ca-certificate-map)# crypto pki trustpoint VPN-GW
Router (ca-trustpoint)# match certificate branch1 allow expired-certificate
Router (ca-trustpoint)# exit
Router (config) #exit

La configuración debe ser marcada (la mayor parte de la configuración no se muestra).

Router# write term

!many lines left out

crypto pki trustpoint VPN-GW
 enrollment url http://ca.home-office.com:80/certsrv/mscep/mscep.dll
 serial-number none
 fqdn none
 ip-address none
 subject-name o=Home Office Inc,cn=Central VPN Gateway
 revocation-check crl
 match certificate branch1 allow expired-certificate
!
!
crypto pki certificate map central-site 10
 issuer-name co cn = Central Certificate Authority, ou = Home Office Inc
 subject-name eq cn = central vpn gateway, o = home office inc
! many lines left out

match certificate El comando y branch1 allow expired-certificate (argumento y palabra clave) y la correspondencia del certificado deben ser quitados tan pronto como el router de rama tenga un nuevo certificado.

Configuración de la Autorización y Revocación de Certificados: Ejemplos

Esta sección contiene los ejemplos de configuración siguientes que pueden ser utilizados al especificar un control de sesión de la configuración o del número de serie del certificado del control del caché CRL:

Configuración del Control de la Memoria Caché de CRL

Configuración del Control de Sesión del Número de Serie del Certificado

Configuración del Control de la Memoria Caché de CRL

Las demostraciones del siguiente ejemplo cómo inhabilitar el CRL que oculta para todos los CRL asociados al trustpoint CA1:

crypto pki trustpoint CA1
 enrollment url http://CA1:80
 ip-address FastEthernet0/0
 crl query ldap://ldap_CA1
 revocation-check crl
 crl-cache none 

El CRL actual es todavía ocultado inmediatamente después ejecución del ejemplo de configuración mostrado arriba:

Router- show crypto pki crls

CRL Issuer Name: 
    cn=name Cert Manager,ou=pki,o=example.com,c=US
    LastUpdate: 18:57:42 GMT Nov 26 2005
    NextUpdate: 22:57:42 GMT Nov 26 2005
    Retrieved from CRL Distribution Point: 
      ldap://ldap.example.com/CN=name Cert Manager,O=example.com

Cuando expira el CRL actual, un nuevo CRL entonces se descarga al router en la actualización siguiente. crl-cache none El comando toma el efecto y todos los CRL para el trustpoint se ocultan no más; se inhabilita el almacenamiento en memoria inmediata. Usted puede verificar que no se oculte ningún CRL ejecutando show crypto pki crls el comando. No se mostrará ninguna salida porque no hay CRL ocultados.

El siguiente ejemplo muestra cómo configurar el curso de la vida máximo de 2 minutos para todos los CRL asociados al trustpoint CA1:

crypto pki trustpoint CA1
 enrollment url http://CA1:80
 ip-address FastEthernet0/0
 crl query ldap://ldap_CA1
 revocation-check crl
 crl-cache delete-after 2

El CRL actual todavía se oculta inmediatamente después de ejecutar el ejemplo de configuración arriba para fijar el curso de la vida máximo de un CRL:

Router- show crypto pki crls

CRL Issuer Name: 
    cn=name Cert Manager,ou=pki,o=example.com,c=US
    LastUpdate: 18:57:42 GMT Nov 26 2005
    NextUpdate: 22:57:42 GMT Nov 26 2005
    Retrieved from CRL Distribution Point: 
      ldap://ldap.example.com/CN=name Cert Manager,O=example.com

When the current CRL expires, a new CRL is downloaded to the router at the next update and 
the crl-cache delete-after command takes effect. This newly cached CRL and all subsequent 
CRLs will be deleted after a maximum lifetime of 2 minutes.

You can verify that the CRL will be cached for 2 minutes by executing the show crypto pki 
crls command. Note that the NextUpdate time is 2 minutes after the LastUpdate time.

Router- show crypto pki crls

CRL Issuer Name: 
    cn=name Cert Manager,ou=pki,o=example.com,c=US
    LastUpdate: 22:57:42 GMT Nov 26 2005
    

    NextUpdate: 22:59:42 GMT Nov 26 2005
    Retrieved from CRL Distribution Point: 

administrador CERT de ldap://ldap.example.com/CN=name, O=example.com

Configuración del Control de Sesión del Número de Serie del Certificado

El siguiente ejemplo muestra la configuración del control de sesión del número de serie del certificado usando una correspondencia del certificado para el trustpoint CA1:

crypto pki trustpoint CA1
 enrollment url http://CA1
 chain-validation stop
 crl query ldap://ldap_server
 revocation-check crl
 match certificate crl
!
crypto pki certificate map crl 10
 serial-number co 279d

Observesi match-criteria el valor se fija a eq (igual) en vez de co (contiene), el número de serie debe hacer juego el número de serie de la correspondencia del certificado exactamente, incluyendo cualquier espacio.


El siguiente ejemplo muestra la configuración del control de sesión del número de serie del certificado usando los atributos AAA. En este caso, todos los certificados válidos serán validados si el certificado no tiene el número de serie el "4ACA."

crypto pki trustpoint CA1
 enrollment url http://CA1
 ip-address FastEthernet0/0
 crl query ldap://ldap_CA1
 revocation-check crl
 aaa new-model
!
aaa attribute list crl
attribute-type aaa-cert-serial-not 4ACA

El registro del servidor muestra que el certificado con el número de serie el "4ACA" fue rechazado. El rechazo del certificado se muestra usando los signos de exclamación.

.
.
.
Dec 3 04:24:39.051: CRYPTO_PKI: Trust-Point CA1 picked up
Dec 3 04:24:39.051: CRYPTO_PKI: locked trustpoint CA1, refcount is 1
Dec 3 04:24:39.051: CRYPTO_PKI: unlocked trustpoint CA1, refcount is 0
Dec 3 04:24:39.051: CRYPTO_PKI: locked trustpoint CA1, refcount is 1
Dec 3 04:24:39.135: CRYPTO_PKI: validation path has 1 certs
Dec 3 04:24:39.135: CRYPTO_PKI: Found a issuer match
Dec 3 04:24:39.135: CRYPTO_PKI: Using CA1 to validate certificate
Dec 3 04:24:39.135: CRYPTO_PKI: Certificate validated without revocation check
Dec 3 04:24:39.135: CRYPTO_PKI: Selected AAA username: 'PKIAAA'
Dec 3 04:24:39.135: CRYPTO_PKI: Anticipate checking AAA list:'CRL'
Dec 3 04:24:39.135: CRYPTO_PKI_AAA: checking AAA authorization (CRL, PKIAAA-L1, <all>)
Dec 3 04:24:39.135: CRYPTO_PKI_AAA: pre-authorization chain validation status (0x4)
Dec 3 04:24:39.135: AAA/BIND(00000021): Bind i/f
Dec 3 04:24:39.135: AAA/AUTHOR (0x21): Pick method list 'CRL'
.
.
.

Dec 3 04:24:39.175: CRYPTO_PKI_AAA: reply attribute ("cert-application" = "all")
Dec 3 04:24:39.175: CRYPTO_PKI_AAA: reply attribute ("cert-trustpoint" = "CA1")
!
Dec 3 04:24:39.175: CRYPTO_PKI_AAA: reply attribute ("cert-serial-not" = "4ACA")
Dec 3 04:24:39.175: CRYPTO_PKI_AAA: cert-serial doesn't match ("4ACA" != "4ACA")
!
Dec 3 04:24:39.175: CRYPTO_PKI_AAA: post-authorization chain validation status (0x7)
!
Dec 3 04:24:39.175: CRYPTO_PKI: AAA authorization for list 'CRL', and user 'PKIAAA' 
failed.
Dec 3 04:24:39.175: CRYPTO_PKI: chain cert was anchored to trustpoint CA1, and chain 
validation result was: CRYPTO_PKI_CERT_NOT_AUTHORIZED
!
Dec 3 04:24:39.175: %CRYPTO-5-IKMP_INVAL_CERT: Certificate received from 192.0.2.43 is 
bad: certificate invalid
Dec 3 04:24:39.175: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Main mode failed with peer 
at 192.0.2.43
.
.
.

Cómo Configurar la Validación de la Cadena de Certificados: Ejemplos

Esta sección contiene los ejemplos de configuración siguientes que se pueden utilizar para especificar el nivel de Cadena de certificados que procesa para sus Certificados del dispositivo:

Configuración de la Validación de la Cadena de Certificados del peer al CA Root

Configuración de la Validación de la Cadena de Certificados del Peer a la CA Subordinada

Configuración de la Validación de la Cadena de Certificados a través de un Análisis de Deficiencias

Configuración de la Validación de la Cadena de Certificados del peer al CA Root

En el ejemplo de configuración siguiente, todos los Certificados serán validados — el par, los Certificados SubCA11, SubCA1, y de RootCA.

crypto pki trustpoint RootCA
 enrollment terminal
 chain-validation stop
 revocation-check none
 rsakeypair RootCA

crypto pki trustpoint SubCA1
 enrollment terminal
 chain-validation continue RootCA
 revocation-check none
 rsakeypair SubCA1

crypto pki trustpoint SubCA11
 enrollment terminal
 chain-validation continue SubCA1
 revocation-check none
 rsakeypair SubCA11

Configuración de la Validación de la Cadena de Certificados del Peer a la CA Subordinada

En el ejemplo de configuración siguiente, los Certificados siguientes serán validados — el par y los Certificados SubCA1.

crypto pki trustpoint RootCA
 enrollment terminal
 chain-validation stop
 revocation-check none
 rsakeypair RootCA

crypto pki trustpoint SubCA1
 enrollment terminal
 chain-validation continue RootCA
 revocation-check none
 rsakeypair SubCA1


crypto pki trustpoint SubCA11
 enrollment terminal
 chain-validation continue SubCA1
 revocation-check none
 rsakeypair SubCA11

Configuración de la Validación de la Cadena de Certificados a través de un Análisis de Deficiencias

En el ejemplo de configuración siguiente, se espera que SubCA1 no está en la jerarquía configurada del Cisco IOS sino sea proveído en la Cadena de certificados presentada por el par.

Si el par suministra el certificado SubCA1 en la actual Cadena de certificados, los Certificados siguientes serán validados — el par, los Certificados SubCA11, y SubCA1.

Si el par no suministra el certificado SubCA1 en la actual Cadena de certificados, la validación de cadena fallará.

crypto pki trustpoint RootCA
 enrollment terminal
 chain-validation stop
 revocation-check none
 rsakeypair RootCA

crypto pki trustpoint SubCA11
 enrollment terminal
 chain-validation continue RootCA
 revocation-check none
 rsakeypair SubCA11

Configurar los servidores de certificados para la Alta disponibilidad: Ejemplo:

El siguiente ejemplo muestra la configuración del SCTP y de la Redundancia en el servidor de certificados activo y espera, y la activación de la sincronización entre ellas:

En el router activo

ipc zone default
 association 1
 no shutdown
 protocol sctp
  local-port 5000
   local-ip 10.0.0.1
   exit
  remote-port 5000
   remote-ip 10.0.0.2

En el router en espera

ipc zone default
 association 1
 no shutdown
 protocol sctp
  local-port 5000
   local-ip 10.0.0.2
   exit
  remote-port 5000
   remote-ip 10.0.0.1

En el router activo

redundancy inter-device
 scheme standby SB

interface GigabitEthernet0/1
 ip address 10.0.0.1 255.255.255.0
 no ip route-cache cef
 no ip route-cache
 standby 0 ip 10.0.0.3
 standby 0 priority 50
 standby 0 name SB
 standby delay min 30 reload 60

En el router en espera

redundancy inter-device
 scheme standby SB

interface GigabitEthernet0/1
 ip address 10.0.0.2 255.255.255.0
 no ip route-cache cef
 no ip route-cache
 standby 0 ip 10.0.0.3
 standby 0 priority 50
 standby 0 name SB
 standby delay min 30 reload 60

En el router activo

crypto pki server mycertsaver 
crypto pki server mycertsaver redundancy

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Comandos PKI: sintaxis, modo de comando, valores por defecto, Pautas para el uso, y ejemplos del comando complete

Referencia de Comandos de Seguridad de Cisco IOS

Descripción general del PKI, incluyendo las llaves RSA, la inscripción del certificado y los CAs

“Descripción del Cisco IOS PKI: Entendiendo y planeando módulo PKI

Generación e implementación de llaves RSA

Claves RSA que despliegan dentro módulo de un PKI

Inscripción del certificado: métodos aceptados, perfiles de inscripción, tareas de configuración

“Configurando la inscripción del certificado para módulo PKI

Descripción general del servidor de certificados del Cisco IOS y tareas de configuración

“Configurando y manejando un servidor de certificados del Cisco IOS para módulo del despliegue PKI


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información sobre Funciones para la Autorización y Revocación de Certificados

La tabla 2 muestra el historial de versiones de esta función.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 2 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 2 para la autorización y la revocación del certificado PKI 

Nombre de la función
Versiones
Información sobre la Función

Mejoras del control del caché para las listas de revocación de la certificación

12.4(9)T

Esta característica proporciona a los usuarios la capacidad de inhabilitar el CRL que oculta o de especificar el curso de la vida máximo para el cual un CRL será ocultado en la memoria del router. También proporciona las funciones para configurar el control de sesión del número de serie del certificado.

Las secciones siguientes proporcionan información acerca de esta función:

¿Qué es una CRL?

Configuración de la Autorización y Revocación de Certificados

Configuración de la Autorización y Revocación de Certificados: Ejemplos

Los siguientes comandos fueron introducidos o modificados por esta característica: crl-cache delete-after, crl-cache none, crypto pki certificate map

Validación de cadena Certificado-completa

12.4(6)T

Esta característica proporciona a los usuarios la capacidad de configurar el nivel al cual una Cadena de certificados se procesa en todos los Certificados incluyendo los Certificados de CA del subordinado.

Las secciones siguientes proporcionan información acerca de esta función:

Validación de la Cadena de Certificados PKI

Cómo Configurar la Validación de la Cadena de Certificados

Cómo Configurar la Validación de la Cadena de Certificados: Ejemplos

El siguiente comando fue introducido por esta característica:

chain-validation

OCSP - Certificación del servidor de la jerarquía alterna

12.4(6)T

Esta característica proporciona a los usuarios con la flexibilidad para especificar los servidores múltiples OCSP, por el certificado del cliente o por el grupo de certificados del cliente, y proporciona la capacidad para la validación del servidor OCSP basada en los Certificados o los certificados autofirmados externos de CA.

Las secciones siguientes proporcionan información acerca de esta función:

¿Qué es OCSP?

Configuración de la Autorización y Revocación de Certificados

El siguiente comando fue introducido por esta característica: match certificate override ocsp

Optional OCSP Nonce

12.2(33)SR
12.4(4)T

Esta característica proporciona los usuarios con la capacidad de configurar el envío de un nonce, o el Identificador único para una petición OCSP, durante las comunicaciones OCSP.

Las secciones siguientes proporcionan información acerca de esta función:

¿Qué es OCSP?

Configuración de un Mecanismo de Revocación para la Verificación del Estado del Certificado PKI

Inhabilitación de Nonces en las Comunicaciones con el Servidor OCSP: Ejemplo:

Control de Acceso Basado en Atributos de Seguridad de Certificados

12.2(15)T
1

Conforme al Protocolo IPSec, la Interoperabilidad CA permite que los dispositivos Cisco IOS y un CA comuniquen de modo que el dispositivo Cisco IOS pueda obtener y los Certificados digitales del uso de los Certificados CA contenga varios campos que se utilicen para determinar si autorizan un dispositivo o a un usuario para realizar una acción especificada. Esta característica agrega los campos al certificado que permiten el especificar de un ACL, creando un ACL basado en el certificado.

Las secciones siguientes proporcionan información acerca de esta función:

Cuándo Utilizar los ACLs Basados en Certificados para Autorización o Revocación

Configuración de la Autorización y Revocación de Certificados

Los siguientes comandos fueron introducidos o modificados por esta característica: crypto pki certificate mapcrypto pki trustpoint, match certificate

Online Certificate Status Protocol (OCSP)

12,3(2)T

Esta función permite que los usuarios habiliten OCSP en vez de las CRLs para verificar el estado del certificado. A diferencia de las CRLs, que solamente proporcionan el estado del certificado de forma periódica, OCSP puede proporcionar información al instante sobre el estado de un certificado.

Las secciones siguientes proporcionan información acerca de esta función:

CRLs o Servidor OCSP: Elección de un Mecanismo de Revocación de Certificados

Configuración de un Mecanismo de Revocación para la Verificación del Estado del Certificado PKI

Los siguientes comandos fueron introducidos por esta función: ocsp url, revocation-check

Autorización AAA PKI con el Nombre de Asunto Completo

12.3(11)T

Esta función proporciona a los usuarios la capacidad de consultar al servidor de AAA usando el nombre de asunto completo del certificado como un nombre de usuario AAA único.

Las secciones siguientes proporcionan información acerca de esta función:

Pares de valor-atributo para la Integración de PKI y AAA Server

Configuración de PKI Integration with a AAA Server

Esta función ha modificado los siguientes comandos: authorization username

Integración de PKI con el Servidor AAA

12.3(1)

Esta función proporciona escalabilidad adicional para la autorización mediante la generación de un nombre de usuario de AAA del certificado que presenta el peer. Se consulta un servidor AAA para determinar si el certificado está autorizado para su uso por parte del componente interno. La autorización se indica por medio de una etiqueta especificada por el componente que debe estar presente en el par AV para el usuario.

Las secciones siguientes proporcionan información acerca de esta función:

Integración de PKI y el Servidor AAA para el Estado de Certificados

Configuración de PKI Integration with a AAA Server

Los siguientes comandos fueron introducidos por esta función: authorization list, authorization username

PKI: Query Multiple Servers During Certificate Revocation Check

12.3(7)T

Esta función permite que Cisco IOS Software realice varios intentos de recuperar la CRL, permitiendo que continúen las operaciones cuando un servidor determinado no está disponible. Además, se ha insertado la capacidad de invalidar los CDPs en un certificado con un CDP configurado manualmente. La anulación manual de CDP en un certificado puede ser ventajosa cuando un servidor determinado no está disponibles durante un largo período de tiempo. Los CDPs del certificado se pueden sustituir por una URL o especificación del directorio sin volver a emitir todos los certificados que contengan el CDP original.

Las secciones siguientes proporcionan información acerca de esta función:

Consulta de todos los CDPs durante la Verificación de la Revocación

Invalidación Manual de CDPs en un Certificado

El siguiente comando fue introducido por esta característica: match certificate override cdp

Uso de ACLs de Certificado para Ignorar la Verificación de Revocación y los Certificados Vencidos

‘12.3(4)T’

Esta función permite que un certificado que cumple criterios especificados se acepte independientemente de su período de validez o bien, si el certificado cumple los criterios especificados, no es necesario realizar la verificación de revocación. Las ACLs de certificado se utilizan para especificar los criterios que debe cumplir el certificado para ser aceptado o evitar la comprobación de revocación. Además, si la comunicación AAA está protegida mediante un certificado, esta función indica que se ignore la verificación AAA del certificado.

Las secciones siguientes proporcionan información acerca de esta función:

Omitir las Verificaciones de Revocación Utilizando una ACL Basada en Certificados

Configuración de ACLs Basadas en Certificados para Ignorar las Verificaciones de Revocación

Esta función ha modificado los siguientes comandos: match certificate

Definición del modo de la interrogación por el trustpoint

Cisco IOS XE Release 2.1

Esta característica fue introducida en los 1000 Series Router de Cisco ASR.

Alta disponibilidad PKI

el 15.0(1)M

Se han insertado o modificado los siguientes comandos: crypto pki server crypto pki server start crypto pki server stop crypto pki trustpoint crypto key generate rsa crypto key import pemcrypto key move rsa show crypto key mypubkey rsa.