Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Configuración de Inscripción de Certificados para un PKI
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 340 KB | Inglés (31 Marzo 2011) | Comentarios

Contenidos

Configuración de Inscripción de Certificados para un PKI

Cómo Encontrar Información sobre Funciones en Este Módulo

Contenido

Prerrequisitos para la Inscripción de Certificado PKI

Información sobre la Inscripción de Certificados para un PKI

¿Qué Son las CAs?

Marco para los CA múltiples

Autenticación de CA

Métodos de Inscripción de Certificados Soportados

Soporte de la habitación-B del Cisco IOS para la inscripción del certificado para un PKI

Autoridades de registro

Inscripción Automática del Certificado

Perfiles de Inscripción de Certificados

Cómo Configurar la Inscripción del Certificado para una PKI

Configuración de la Inscripción de Certificado o la Inscripción Automática

Requisitos previos para Autoenrollment

Restricciones para Autoenrollment

Configuración de la Inscripción de Certificado Manual

Archivos PEM-formatados para la petición de la inscripción del certificado

Restricciones para la inscripción del certificado manual

Configuración de la Inscripción de Certificados de Cortar y Pegar

Configuración de la Inscripción del Certificado TFTP

Certificar un link URL para la comunicación segura con un servidor de Trend Micro

Configuración de un Certificado Autofirmado Persistente para la Inscripción vía SSL

Descripción persistente de los certificados autofirmados

Restricciones

Configuración de un Punto de Confianza y Especificación de los Parámetros del Certificado Autofirmado

Habilitación del Servidor HTTPS

Prerrequisitos

Configuración de un Perfil de Inscripción de Certificado para la Inscripción o la Reinscripción

Prerrequisitos

Restricciones

Pasos Siguientes

Ejemplos de configuración para Solicitudes de Inscripción de Certificado PKI

Configurar la inscripción del certificado o Autoenrollment: Ejemplo:

Configuración de la Inscripción Automática: Ejemplo:

Configuración de la Inscripción Automática de Certificado con Regeneración de Clave: Ejemplo:

Configuración de la Inscripción de Certificados de Cortar y Pegar: Ejemplo:

Configuración de la Inscripción Manual de Certificado con Regeneración de Llave: Ejemplo:

Creación y Verificación de un Certificado Auto-firmado Persistente: Ejemplo:

Habilitar el servidor HTTPS: Ejemplo:

Verificar la configuración del certificado autofirmado: Ejemplo:

Configuración de la Inscripción HTTP Directa: Ejemplo:

Referencias adicionales

Documentos Relacionados

MIB

Asistencia Técnica

Información de la Función PKI Certificate Enrollment


Configuración de Inscripción de Certificados para un PKI


Primera publicación: 2 de mayo de 2005
Última actualización: De marzo el 31 de 2011

Este módulo describe los métodos distintos disponibles para la inscripción del certificado y cómo configurar cada método para un par participante PKI. La inscripción del certificado, que es el proceso de obtener un certificado de un Certification Authority (CA), ocurre entre el host extremo que pide el certificado y CA. Cada par que participa en el Public Key Infrastructure (PKI) debe alistar con CA.

Cómo Encontrar Información sobre Funciones en Este Módulo

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección de la inscripción del certificado PKI”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere.

Contenido

Prerrequisitos para la Inscripción de Certificado PKI

Información sobre la Inscripción de Certificados para un PKI

Cómo Configurar la Inscripción del Certificado para una PKI

Ejemplos de configuración para Solicitudes de Inscripción de Certificado PKI

Referencias adicionales

Información de la Función PKI Certificate Enrollment

Prerrequisitos para la Inscripción de Certificado PKI

Antes de configurar a los pares para la inscripción del certificado, usted debe tener los elementos siguientes:

Un par clave generado del Rivest, del Shamir, y del Adelman (RSA) a alistar y un PKI en los cuales a alistar.

CA autenticado.

Familiaridad con descripción del Cisco IOS PKI del módulo “: Entendiendo y planeando un PKI.”


Observea partir del Cisco IOS Release 12.3(7)T, los comandos all con quienes comience “crypto ca“se han cambiado para comenzar con “crypto pki.” Aunque el router todavía valide crypto ca los comandos, se visualice toda la salida será crypto pki.


Información sobre la Inscripción de Certificados para un PKI

Antes de configurar a los pares para pedir un certificado y para alistar en el PKI, usted debe entender los conceptos siguientes:

¿Qué Son las CAs?

Autenticación de CA

Métodos de Inscripción de Certificados Soportados

Autoridades de registro

Inscripción Automática del Certificado

Perfiles de Inscripción de Certificados

¿Qué Son las CAs?

CA es una entidad esa los Certificados digitales de los problemas que otros partidos pueden utilizar. Es un ejemplo de otro vendedor de confianza. Los CA son característicos de muchos esquemas PKI.

CA maneja los pedidos de certificado y publica los Certificados a los dispositivos de la red participante. Estos servicios proporcionan la administración de claves centralizada para los dispositivos participantes para validar las identidades y para crear los Certificados digitales. Antes de que comience cualquier operación PKI, el CA genera su propio par de llaves públicas y crea un certificado de CA auto-firmado; a continuación, el CA puede firmar las solicitudes de certificados y comenzar la inscripción del peer para el PKI.

Usted puede utilizar el servidor de certificados del Cisco IOS o CA proporcionado por un vendedor de tercera persona de CA.

Marco para los CA múltiples

Un PKI se puede configurar en un marco jerárquico para soportar los CA múltiples. Arriba de la jerarquía está una CA root, que posee un certificado autofirmado. La confianza dentro de toda la jerarquía se deriva del par de llaves RSA de la CA raíz. El subordinado CA dentro de la jerarquía puede ser alistado con o raíz CA o con otro subordinado CA las gradas múltiples de los CA son configuradas por raíz CA o con otro CA subordinado. Dentro de un PKI jerárquico, todos los pares alistados pueden validar el certificado de uno otro si los pares comparten un certificado de CA o a un subordinado CA de la Raíz confiable del campo común.

Cuándo Utilizar Múltiples CAs

Las diversas CAs proporcionan a los usuarios un mayor grado de flexibilidad y confiabilidad. Por ejemplo, las CAs subordinadas se pueden colocar en sucursales, mientras que la CA raíz está en la oficina principal. También, se pueden implementar políticas de concesión diferentes para cada CA, de modo que se pueda configurar una CA para que conceda automáticamente solicitudes de certificado mientras que otra CA dentro de la jerarquía requiere que se conceda manualmente cada solicitud de certificado.

Los escenarios en los que se recomienda por lo menos una CA de dos niveles son los siguientes:

Las redes grandes y muy activas en las que se revocan y se reeditan una gran cantidad de certificados. Ayudas de CA de una grada del múltiplo para controlar los tamaños de los Lista de revocación de certificados (CRL) (CRL).

Cuando se utilizan los protocolos en línea de la inscripción, raíz CA puede ser mantenido offline excepto para publicar los Certificados de CA subordinados. Esta situación aumenta la seguridad para la CA root.

Autenticación de CA

El certificado de CA debe ser autenticado antes de que el dispositivo sea publicado su propio certificado y antes de que la inscripción del certificado puede ocurrir. La autenticación de CA ocurre típicamente solamente cuando usted configura inicialmente el soporte PKI en su router. Para autenticar CA, publique crypto pki authenticate el comando, que autentica CA a su router obteniendo el certificado autofirmado de CA que contiene el clave pública de CA.

Autenticación vía el comando de la huella dactilar

Las versiones del Cisco IOS Release 12.3(12) y Posterior permiten que usted publiquefingerprint el comando al preenter una huella dactilar que se pueda corresponder con contra la huella dactilar de un certificado de CA durante la autenticación.

Si una huella dactilar no preentered para un trustpoint, y si el pedido de autenticación es interactivo, usted debe verificar la huella dactilar que se visualiza durante la autenticación del certificado de CA. Si el pedido de autenticación es no interactivo, el certificado será rechazado sin una huella dactilar preentered.


Observesi el pedido de autenticación se hace usando el comando line interface(cli), la petición es una petición interactiva. Si el pedido de autenticación se hace usando el HTTP u otra herramienta de administración, la petición es una petición no interactiva.


Métodos de Inscripción de Certificados Soportados

El Cisco IOS Software soporta los métodos siguientes para obtener un certificado de CA:

Protocolo simple certificate enrollment (SCEP) — Un Enrollment Protocol desarrollado por Cisco que utiliza el HTTP para comunicar con CA o el registration authority (RA). El SCEP es el método más de uso general para enviar y recibir las peticiones y los Certificados.


Observepara aprovecharse del certificado automatizado y de las funciones de la renovación de clave, usted debe ejecutar CA que soporta la renovación y el SCEP se debe utilizar como su método de la inscripción del cliente.

Si usted es el ejecutarse Cisco IOS CA, usted debe ser Cisco IOS Release 12.4(2)T corriente o una versión posterior para el soporte de la renovación.


PKCS12 — Los Certificados de importaciones del router en el PKCS12 formatan de un servidor externo.

Archivo de sistema de IOS (IF) — El router utiliza cualquier sistema de archivos que sea soportado por el Cisco IOS Software (tal como TFTP, FTP, flash, y NVRAM) para enviar un pedido de certificado y para recibir el certificado publicado. Los usuarios pueden habilitar la inscripción del certificado IF cuando su CA no soporta el SCEP.


Observeantes del Cisco IOS Release 12.3(4)T, sólo el sistema de archivos TFTP fue soportado dentro de los IF.


Cortar y pegar del manual — El router visualiza el pedido de certificado en la terminal de la consola, permitiendo que el usuario ingrese el certificado publicado en la terminal de la consola. Un usuario puede cortar y pegar manualmente los pedidos de certificado y los Certificados cuando no hay conexión de red entre el router y CA.

Perfiles de la inscripción — El router envía las peticiones basado en HTTP de la inscripción directamente al servidor de CA en vez al servidor de certificados RA-MODE (CS). Los perfiles de la inscripción pueden ser utilizados si un servidor de CA no soporta el SCEP.

Inscripción del certificado autofirmado para un trustpoint — El servidor seguro HTTP (HTTPS) genera un certificado autofirmado que deba ser utilizado durante el apretón de manos del Secure Socket Layer (SSL), estableciendo una conexión segura entre el servidor HTTPS y el cliente. El certificado autofirmado entonces se guarda en la configuración de inicio del router (NVRAM). Haber guardado, certificado autofirmado se puede entonces utilizar para los contactos SSL futuros, eliminando la intervención del usuario que era necesaria validar el certificado cada vez el router recargado.


Observepara aprovecharse del autoenrollment y el autoreenrollment, no utiliza el TFTP o la inscripción cortar y pegar del manual como su método de la inscripción. El TFTP y los métodos cortares y pegares de la inscripción del manual son procesos del Registro manual, requiriendo la entrada de usuario.


Soporte de la habitación-B del Cisco IOS para la inscripción del certificado para un PKI

Los requisitos de la habitación-B comprenden de cuatro habitaciones de la interfaz de usuario de los algoritmos criptográficos para el uso con el IKE y el IPSec que se describen en el RFC 4869. Cada habitación consiste en un algoritmo de encripción, un Digital Signature Algorithm, un Algoritmo de acuerdo dominante, y un hash o un algoritmo condensado de mensaje.

La habitación-B agrega el soporte siguiente para la inscripción del certificado para un PKI:

El Digital Signature Algorithm elíptico de la curva (ECDSA) (256-bit y las curvas del 384-bit) se utiliza para la operación de la firma dentro de los Certificados X.509.

Soporte PKI para la validación para de los Certificados X.509 usando las firmas ECDSA.

Soporte PKI para generar los pedidos de certificado usando las firmas ECDSA y para importar los Certificados publicados en el IOS.

Vea Configurar directivo de seguridad para los VPN con el módulo de función del IPSec para información más detallada sobre el soporte de la habitación-B del Cisco IOS.

Autoridades de registro

Un servidor de certificados Cisco IOS se puede configurar para que se ejecute en modo RA. Una RA descarga las responsabilidades de autenticación y autorización de una CA. Cuando la RA recibe una solicitud de inscripción manual o SCEP, el administrador puede rechazarla o concederla en función de la política local. Si se concede la petición, será remitida a CA de publicación, y CA se puede configurar para generar automáticamente el certificado y para volverlo al RA. El cliente puede recuperar más adelante el certificado concedido del RA.

Inscripción Automática del Certificado

La inscripción del certificado automática permite que el cliente de CA pida automáticamente un certificado de su CA separa. Este pedido de router automático elimina la necesidad de la intervención del operador cuando la petición de la inscripción se envía al servidor de CA. El enlistamiento automático se realiza en el lanzamiento para cualquier trustpoint CA se configura que y que no tiene un certificado del cliente válido. Cuando expira el certificado, un nuevo certificado se pide automáticamente.


Observecuando enlistamiento automático se configura, los clientes piden automáticamente los certificados del cliente. El servidor de CA realiza sus propias comprobaciones de autorización; si estos controles incluyen una directiva para publicar automáticamente los Certificados, todos los clientes recibirán automáticamente los Certificados, que no es muy segura. Así, la inscripción del certificado automática se debe combinar con los mecanismos de autenticación y autorización adicionales (por ejemplo asegure la disposición del dispositivo (SDP), los certificados existentes leveraging, y las contraseñas de USO único).


Certificado del cliente automatizado y renovación de clave

Por abandono, la función automática de la inscripción del certificado pide un nuevo certificado del cliente y las claves del CS antes de que expire el certificado actual del cliente. El certificado y la renovación de clave permite que la solicitud de la renovación del renewal del certificado sea hecha antes de que el certificado expire conservando la clave y el certificado actuales hasta el nuevo, o la renovación, certificado está disponible. Después de una determinada cantidad de hora, el certificado y las claves de la renovación se convertirán en el certificado y las claves activos. El certificado vencido y las claves se borran inmediatamente sobre la renovación y se quitan de la Cadena de certificados y del CRL.

La configuración para la renovación automática es doble: Los clientes de CA deben ser alistados automáticamente y los CA del cliente deben automáticamente ser alistados y tener auto-rolloverel comando enabled. Para más información sobre configurar sus servidores de CA para la renovación automática del certificado vea la sección “certificado de CA y renovación de clave automáticos” en el capítulo “que configura y que maneja un servidor de certificados del Cisco IOS para el despliegue PKI” de la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura.

Un parámetro opcional del porcentaje de la renovación se puede utilizar con auto-enroll el comando de permitir que un nuevo certificado sea pedido cuando un porcentaje especificado del curso de la vida del certificado ha pasado. Por ejemplo, si se configura el porcentaje de la renovación pues 90 y el certificado tiene un curso de la vida de un año, se pide un nuevo certificado 36,5 días antes de que expira el certificado viejo. Para que la renovación automática ocurra, el porcentaje de la renovación debe ser menos que el valor especificado 100.The del por ciento no debe ser menos de 10. Si un certificado del cliente se publica para menos que el período de validez configurado debido a la expiración inminente del certificado de CA, el certificado de la renovación será publicado para el equilibrio de ese período. Un mínimo del 10 por ciento del período de validez configurado, con un mínimo absoluto de 3 minutos, se requiere para no prohibir a renovación bastante tiempo de funcionar.


Inclinesi autoenrollment de CA no se habilita, usted puede iniciar manualmente la renovación en un cliente existente con crypto pki enroll el comando si el vencimiento del certificado de cliente actual es igual o mayor que al vencimiento del certificado de CA correspondiente.

El cliente iniciará el proceso de la renovación, que ocurre solamente si el servidor se configura para la renovación automatizada y tiene un certificado de servidor disponible de la renovación.



Observeel par clave A también se envía si es configurado por auto-enroll re-generate el comando y la palabra clave. Se recomienda que un nuevo par clave esté publicado por razones de seguridad.


Perfiles de Inscripción de Certificados

Los perfiles de la inscripción del certificado permiten que los usuarios especifiquen la autenticación certificada, la inscripción, y los parámetros del reenrollment cuando están indicados. Los valores para estos parámetros son referidos por dos plantillas que compongan el perfil. Una plantilla contiene los parámetros para el pedido de HTTP que se envía al servidor de CA para obtener el certificado de CA (también conocido como autenticación certificada); la otra plantilla contiene los parámetros para el pedido de HTTP que se envía a CA para la inscripción del certificado.

Configurar a dos usuarios de los permisos de las plantillas para especificar diversos URL o los métodos para la autenticación certificada y la inscripción; por ejemplo, la autenticación (que consigue el certificado de CA) se puede realizar vía el TFTP (usando authentication url el comando) y la inscripción puede ser realizada manualmente (usando enrollment terminal el comando).

Antes del Cisco IOS Release 12.3(11)T, los pedidos de certificado se podían enviar solamente en un formato PKCS10; sin embargo, un parámetro adicional fue agregado al perfil, permitiendo que los usuarios especifiquen el formato PKCS7 para los pedidos de renovación del certificado.


ObserveA que el solo perfil de la inscripción puede tener hasta tres secciones aparte para cada tarea — autenticación certificada, la inscripción, y el reenrollment.


Cómo Configurar la Inscripción del Certificado para una PKI

Esta sección contiene los procedimientos siguientes de la opción de la inscripción. Si usted configura la inscripción o el autoenrollment (la primera tarea), usted no puede configurar la inscripción del certificado manual. También, si usted configura el TFTP o la inscripción del certificado cortar y pegar del manual, usted no puede configurar el autoenrollment, autoreenrollment, un perfil de la inscripción, ni puede usted utilizar la capacidad automatizada de la renovación del certificado de CA.

Configuración de la Inscripción de Certificado o la Inscripción Automática

Configuración de la Inscripción de Certificado Manual

Configuración de un Certificado Autofirmado Persistente para la Inscripción vía SSL

Configuración de un Perfil de Inscripción de Certificado para la Inscripción o la Reinscripción

Configuración de la Inscripción de Certificado o la Inscripción Automática

Realice esta tarea de configurar la inscripción del certificado o el autoenrollment para los clientes que participan en su PKI.

Requisitos previos para Autoenrollment

Antes de configurar las peticiones automáticas de la inscripción del certificado, usted debe asegurarse de que toda la información necesaria de la inscripción está configurada.

Requisitos previos para habilitar el certificado del cliente automatizado y la renovación de clave

El soporte de cliente de CA para la renovación del certificado se habilita automáticamente al usar el autoenrollment. Para que la renovación automática del certificado de CA se ejecute con éxito, los requisitos previos siguientes son aplicables:

Sus dispositivos de red deben soportar la sombra PKI.

Sus clientes deben ser Cisco IOS Release 12.4(2)T corriente o una versión posterior.

El CS del cliente debe soportar la renovación automática. Vea la sección “certificado de CA y renovación de clave automáticos” en el capítulo “que configura y que maneja un servidor de certificados del Cisco IOS para el despliegue PKI” de la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura para más información sobre la configuración automática de la renovación del servidor de CA.

Requisitos previos para especificar la ubicación de la generación de claves de la inicial de Autoenrollment

Para especificar la ubicación de la generación de claves de la inicial del autoenrollment, usted debe ser Cisco IOS Release 12.4(11)T corriente o una versión posterior.

Restricciones para Autoenrollment

Restricción del par clave RSA para Autoenrollment

El trustpoints configurado para generar un nuevo par clave usando regenerate el comando o regenerate la palabra clave auto-enroll del comando no debe compartir los pares claves con el otro trustpoints. Para dar a cada trustpoint su propio par clave, utilice rsakeypair el comando en el modo de configuración del Ca-trustpoint. La distribución de los pares claves entre el trustpoints de la regeneración no se soporta y causará la pérdida de servicio en algo del trustpoints debido a las discordancías de la clave y del certificado.

Restricciones para el certificado del cliente automatizado y la renovación de clave

Para que los clientes ejecuten la renovación automática del certificado de CA con éxito, las restricciones siguientes son aplicables:

Se debe utilizar SCEP para soportar la renovación. Cualquier dispositivo que se use con el PKI utilizando una alternativa al SCEP como mecanismo o protocolo de administración de certificados (tal como perfiles de la inscripción, inscripción manual, o inscripción TFTP) no podrá aprovechar la función de renovación proporcionada por SCEP.

Si la configuración no se puede guardar a la configuración de inicio después de que se genere un certificado de la sombra, la renovación no ocurrirá.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto pki trustpointname[sign | verify]

4.enrollmentdel []mode[]retry minutesdel []retrycount numberurlurl[period]pem

5. eckeypair label

6.subject-name[]x.500-name

7.ip address {ip-address | interface | none}

8.serial-number[]none

9.auto-enroll []percentdel []regenerate

10.usagemethod1[[]method2method3]

11. password string

12. rsakeypair key-label [[]key-size encryption-key-size]

13. fingerprint ca-fingerprint

14. on devicename:

15. exit

16. crypto pki authenticate name

17. exit

18. copy system:running-config nvram:startup-config

19. show crypto pki certificates

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto pki trustpoint name

Example:

Router(config)# crypto pki trustpoint mytp

Declara el punto de confianza y un nombre determinado e ingresa al modo de configuración de ca-trustpoint.

Paso 4 

enrollment [mode] [retry period minutes] [retry count number] url url [pem]

Example:

Router(ca-trustpoint)# enrollment url http://cat.example.com

Especifica el URL de CA en las cuales su router debe enviar los pedidos de certificado.

mode — Especifica el modo RA si su sistema de CA proporciona un RA.

retry period minutes — Especifica el período de la espera entre las recomprobaciones del pedido de certificado. El valor por defecto es 1 minuto entre las recomprobaciones.

retry count number — Especifica la cantidad de veces que un router volverá a enviar un pedido de certificado cuando no recibe una respuesta del pedido anterior. (Especifique a partir 1 a 100 recomprobaciones.)

url url — URL del sistema de archivos donde su router debe enviar los pedidos de certificado. Para la opción de método de la inscripción, veaenrollment el comando en la referencia de comandos de la Seguridad de Cisco IOS.

pem — Agrega los límites del Privacy Enhanced Mail (PEM) al pedido de certificado.

Observeun método de la inscripción con excepción del TFTP o del cortar y pegar del manual debe ser configurado para soportar el autoenrollment.

Paso 5 

eckeypair label

Example:

Router(ca-trustpoint)# eckeypair Router_1_Key

(Opcional) configura el trustpoint para utilizar una clave elíptica de la curva (EC) en la cual los pedidos de certificado se generen usando las firmas ECDSA. label El argumento especifica la escritura de la etiqueta de la clave EC que se configura usando crypto key generate rsa o crypto key generate ec keysize el comando en el modo de configuración global. Vea el intercambio de claves de Internet que configura para el módulo de función del IPSec VPN para más información.

Observesi un certificado firmado ECDSA se importa sin una configuración del trustpoint, después la escritura de la etiqueta omite el valor FQDN.

Paso 6 

subject-name [x.500-name]

Example:

Router(ca-trustpoint)# subject-name cat

(Opcional) especifica los asuntos pedidos que serán utilizados en el pedido de certificado.

x.500-name — Si no se especifica, el nombre de dominio completo (FQDN), que es los asuntos predeterminados, será utilizado.

Paso 7 

ip address {ip-address | interface | none}

Example:

Router(ca-trustpoint)# ip address 192.168.1.66

(Opcional) incluye la dirección IP de la interfaz especificada en el pedido de certificado.

Publique none la palabra clave si no hay dirección IP incluida.

Observesi este comando se habilita, le no indican para una dirección IP durante la inscripción para este trustpoint.

Paso 8 

serial-number [none]

Example:

Router(ca-trustpoint)# serial-number

(Opcional) especifica el número de serie del router en el pedido de certificado, a menos que none se publique la palabra clave.

Publique none la palabra clave para especificar que un número de serie no será incluido en el pedido de certificado.

Paso 9 

auto-enroll [percent] [regenerate]

Example:

Router(ca-trustpoint)# auto-enroll regenerate

(Opcional) habilita el autoenrollment, permitiendo que el cliente pida automáticamente un certificado de la renovación de CA.

Si el autoenrollment no se habilita, el cliente debe reenrolled manualmente en su PKI sobre el vencimiento del certificado.

Por abandono, solamente el nombre del Sistema de nombres de dominio (DNS) del router se incluye en el certificado.

Utilice percent el argumento para especificar que un nuevo certificado será pedido después de que el porcentaje del curso de la vida del certificado actual se alcance.

Utilice regenerate la palabra clave para generar una nueva clave para el certificado incluso si existe una clave Nombrada ya.

Observesi el par clave que es rodado encima es exportable, el nuevo par clave también es exportable. El comentario siguiente aparecerá en la configuración del trustpoint indicar si el par clave es exportable:
¡“! El par clave RSA asociado al trustpoint es exportable.”

Notase recomienda que un nuevo par clave esté generado por razones de seguridad.

Paso 10 

usage method1 [method2 [method3]]

Example:

Router(ca-trustpoint)# usage ssl-client

(Opcional) especifica el uso previsto para el certificado.

Las opciones disponibles son ikessl-client, y ssl-server; el valor por defecto es ike.

Paso 11 

password string

Example:

Router(ca-trustpoint)# password string1

(Opcional) especifica la contraseña de revocación para el certificado.

Si se habilita este comando, le no indicarán para una contraseña durante la inscripción para este trustpoint.

Observecuando SCEP se utiliza, esta contraseña se puede utilizar para autorizar el pedido de certificado — a menudo vía una contraseña de USO único o un mecanismo similar.

Paso 12 

rsakeypair key-label [key-size [encryption-key-size]]

Example:

Router(ca-trustpoint)# rsakeypair cat

(Opcional) Especifica qué par de llaves se debe asociar al certificado.

Un par clave conkey-label el argumento será generado durante la inscripción si no existe ya o si auto-enroll regenerate el comando fue publicado.

Especifique key-size el argumento para generar la clave, y especifique encryption-key-size el argumento para pedir el cifrado, las claves de la firma, y los Certificados separados.

Observesi este comando no se habilita, se utiliza el par clave FQDN.

Paso 13 

fingerprint ca-fingerprint

Example:

Router(ca-trustpoint)# fingerprint 12EF53FA 355CD23E 12EF53FA 355CD23E

(Opcional) Especifica una huella dactilar que se puede comparar con la de un certificado de CA durante la autenticación.

Observesi la huella dactilar no se proporciona y la autenticación del certificado de CA es interactiva, la huella dactilar es visualizada para la verificación.

Paso 14 

on devicename:

Example:

Router(ca-trustpoint)# on usbtoken0:

(Opcional) especifica que las claves RSA serán creadas en el dispositivo especificado sobre la generación de claves de la inicial del autoenrollment.

Los dispositivos que pueden ser especificados incluyen el NVRAM, los discos locales, y los tokens del Bus serie universal (USB). Los Token USB se pueden utilizar como dispositivos criptográficos además de un dispositivo de almacenamiento. El uso de un token USB como dispositivo criptográfico permite que operaciones RSA como generación de llaves, firma y autenticación se realicen en el token.

Paso 15 

exit

Example:

Router(ca-trustpoint)# exit

Sale del modo de configuración de CA-trustpoint y vuelve al modo de configuración global.

Paso 16 

crypto pki authenticate name

Example:

Router(config)# crypto pki authenticate mytp

Recupera el certificado de CA y lo autentica.

Marque la huella dactilar del certificado si está indicado.

Observeeste comando es opcional si el certificado de CA se carga ya en la configuración.

Paso 17 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 18 

copy system:running-config nvram:startup-config

Example:

Router# copy system:running-config nvram:startup-config

(Opcional) copia la configuración corriente a la configuración de inicio del NVRAM.

La notaAutoenrollment no pondrá al día el NVRAM si se ha modificado pero no se ha escrito la configuración corriente al NVRAM.

Paso 19 

show crypto pki certificates

Example:

Router# show crypto pki certificates

(Opcional) visualiza la información sobre sus Certificados, incluyendo cualquier Certificados de la renovación.

Configuración de la Inscripción de Certificado Manual

La inscripción del certificado manual se puede configurar vía el TFTP o el método cortar y pegar manual. Ambas opciones pueden ser utilizadas si su CA no soporta el SCEP o si una conexión de red entre el router y CA no es posible. Realice una de las tareas siguientes de configurar la inscripción del certificado manual:

Configuración de la Inscripción de Certificados de Cortar y Pegar

Configuración de la Inscripción del Certificado TFTP

Certificar un link URL para la comunicación segura con un servidor de Trend Micro

Archivos PEM-formatados para la petición de la inscripción del certificado

Usando los archivos PEM-formatados para los pedidos de certificado puede ser útil para los clientes que están utilizando inscripción terminal o basada en el perfil para pedir los Certificados de su servidor de CA. Los clientes que usan los archivos PEM-formatados pueden utilizar directamente los certificados existentes en su Routers del Cisco IOS.

Restricciones para la inscripción del certificado manual

Restricción SCEP

No recomendamos el conmutar de los URL si se utiliza el SCEP; es decir, si la inscripción URL es “http://myca,” no cambie la inscripción URL después de conseguir el certificado de CA y antes de alistar el certificado. Un usuario puede conmutar entre el TFTP y el cortar y pegar del manual.

Restricción dominante de la regeneración

No regenere las claves manualmente usando crypto key generate el comando; la regeneración dominante ocurrirá cuando crypto pki enroll se publica el comando si regenerate se especifica la palabra clave.

Configuración de la Inscripción de Certificados de Cortar y Pegar

Realice esta tarea de configurar la inscripción del certificado cortar y pegar. Esta tarea le ayuda a configurar la inscripción del certificado manual vía el método cortar y pegar para los pares que participan en su PKI.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto pki trustpoint name

4.enrollment terminal []pem

5. fingerprint ca-fingerprint

6. exit

7. crypto pki authenticate name

8. crypto pki enroll name

9. crypto pki import name certificate

10. exit

11. show crypto pki certificates

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto pki trustpoint name

Example:

Router(config)# crypto pki trustpoint mytp

Declara el punto de confianza y un nombre determinado e ingresa al modo de configuración de ca-trustpoint.

Paso 4 

enrollment terminal [pem]

Example:

Router(ca-trustpoint)# enrollment terminal

Especifica el método cortar y pegar manual de la inscripción del certificado.

El pedido de certificado será visualizado en la terminal de la consola para poderlo copiar manualmente (o corte).

pem — Configura el trustpoint para generar los pedidos de certificado PEM-formatados a la terminal de la consola.

Paso 5 

fingerprint ca-fingerprint

Example:

Router(ca-trustpoint)# fingerprint 12EF53FA 355CD23E 12EF53FA 355CD23E

(Opcional) Especifica una huella dactilar que se puede comparar con la de un certificado de CA durante la autenticación.

Observesi la huella dactilar no se proporciona, es visualizada para la verificación.

Paso 6 

exit

Example:

Router(ca-trustpoint)# exit

Sale del modo de configuración de CA-trustpoint y vuelve al modo de configuración global.

Paso 7 

crypto pki authenticate name

Example:

Router(config)# crypto pki authenticate mytp

Recupera el certificado de CA y lo autentica.

Paso 8 

crypto pki enroll name

Example:

Router(config)# crypto pki enroll mytp

Genera el pedido de certificado y visualiza la petición para copiar y pegar en el servidor de certificados.

Se le pide información de inscripción, como si se debe incluir el FQDN del router y la dirección IP en la solicitud de certificado. También le dan la opción sobre visualizar el pedido de certificado a la terminal de la consola.

El certificado codificado base 64 con o sin las encabezados PEM por requerimiento se visualiza.

Paso 9 

crypto pki import name certificate

Example:

Router(config)# crypto pki import mytp certificate

Importa un certificado manualmente en la terminal de la consola (el pegar).

El certificado codificado base 64 se valida de la terminal de la consola y se inserta en la base de datos interna del certificado.

Notausted debe ingresar este comando dos veces si se utilizan las claves del uso, una clave de la firma, y una clave de encripción. La primera vez que se ingresa el comando, uno de los Certificados se pega en el router. La segunda vez que se ingresa el comando, el otro certificado se pega en el router. No importa qué certificado se pega primero.

Observealgunos CA ignoran la información fundamental del uso en el pedido de certificado y publican los Certificados de fines generales del uso. Si esto se aplica al Certificate Authority que usted está utilizando, importe el certificado de fines generales. El router no utilizará uno de los dos pares claves generados.

Paso 10 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 11 

show crypto pki certificates

Example:

Router# show crypto pki certificates

(Opcional) Visualiza información sobre sus certificados, los certificados de los certificados CA, y los certificados RA.

Configuración de la Inscripción del Certificado TFTP

Realice esta tarea de configurar la inscripción del certificado TFTP. Esta tarea le ayuda a configurar la inscripción del certificado manual usando un servidor TFTP.

Requisitos previos para la inscripción del certificado TFTP

Usted debe conocer el URL correcto para utilizar si usted está configurando la inscripción del certificado vía el TFTP.

El router debe poder escribir un archivo al servidor TFTP para crypto pki enroll el comando.

Si usted está utilizando una especificación de archivo con enrollment el comando, el archivo debe contener el certificado de CA en el formato binario o ser base 64 codificado.

Usted debe saber si su CA ignora la información de uso dominante en un pedido de certificado y los problemas solamente un certificado de fines generales del uso.


Adviertaalgunos servidores TFTP requieren que el archivo debe existir en el servidor antes de que pueda ser escrito.

La mayoría de los servidores TFTP requieren los archivos que se pueden escribir encima. Este requisito puede plantear un riesgo porque cualquier router o otro dispositivo puede escribir o sobregrabar el pedido de certificado; así, el pedido de certificado del reemplazo no será utilizado por el administrador de CA, que debe en primer lugar controle la huella dactilar de la petición de la inscripción antes de conceder el pedido de certificado.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto pki trustpoint name

4.enrollmentdel []mode[]retry minutesdel []retrycount numberurlurl[period]pem

5. fingerprint ca-fingerprint

6. exit

7. crypto pki authenticate name

8. crypto pki enroll name

9. crypto pki import name certificate

10. exit

11. show crypto pki certificates

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto pki trustpoint name

Example:

Router(config)# crypto pki trustpoint mytp

Declara el punto de confianza y un nombre determinado e ingresa al modo de configuración de ca-trustpoint.

Paso 4 

enrollment [mode] [retry period minutes] [retry count number] url url [pem]

Example:

Router(ca-trustpoint)# enrollment url tftp://certserver/file_specification

Especifica el TFTP como el método de la inscripción para enviar la petición de la inscripción y para extraer el certificado de CA y el certificado del router y cualquier parámetro optativo.

Observepara la inscripción TFTP, el URL debe ser configurado como TFTP URL, tftp://example_tftp_url.

Un nombre de fichero de la especificación de archivo opcional se puede incluir en el TFTP URL. Si la especificación de archivo no es incluida, el FQDN será utilizado. Si la especificación de archivo es incluida, el router añadirá la extensión al final del fichero “.ca” al nombre de fichero especificado.

Paso 5 

fingerprint ca-fingerprint

Example:

Router(ca-trustpoint)# fingerprint 12EF53FA 355CD23E 12EF53FA 355CD23E

(Opcional) especifica la huella dactilar del certificado de CA recibido vía un método fuera de banda del administrador de CA.

Observesi la huella dactilar no se proporciona, es visualizada para la verificación.

Paso 6 

exit

Example:

Router(ca-trustpoint)# exit

Sale del modo de configuración de CA-trustpoint y vuelve al modo de configuración global.

Paso 7 

crypto pki authenticate name

Example:

Router(config)# crypto pki authenticate mytp

Extrae el certificado de CA y lo autentica del servidor TFTP especificado.

Paso 8 

crypto pki enroll name

Example:

Router(config)# crypto pki enroll mytp

Genera el pedido de certificado y escribe la petición al servidor TFTP.

Se le pide información de inscripción, como si se debe incluir el FQDN del router y la dirección IP en la solicitud de certificado. Le preguntan sobre si visualizar el pedido de certificado a la terminal de la consola.

El nombre de fichero que se escribirá se añade al final del fichero con la extensión “.req”. Para las claves del uso, se generan y se envían una clave de la firma y una clave de encripción, dos peticiones. Los nombres de fichero de la petición de la clave del uso se añaden al final del fichero con las Extensiones “- sign.req” y “- encr.req”, respectivamente.

Paso 9 

crypto pki import name certificate

Example:

Router(config)# crypto pki import mytp certificate

Importa un certificado vía el TFTP en la terminal de la consola, que extrae el certificado concedido.

El router intentará extraer el certificado concedido vía el TFTP usando el mismo nombre de fichero usado para enviar la petición, a menos que la extensión se cambie de “.req” a “.crt”. Para los Certificados de la clave del uso, se utilizan las Extensiones “- sign.crt” y “- encr.crt”.

El router analizará los archivos recibidos, verificará los Certificados, e insertará los Certificados en la base de datos interna del certificado en el router.

Observealgunos CA ignoran la información fundamental del uso en el pedido de certificado y publican los Certificados de fines generales del uso. Si su CA ignora la información fundamental del uso en el pedido de certificado, sólo importación el certificado de fines generales. El router no utilizará uno de los dos pares claves generados.

Paso 10 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 11 

show crypto pki certificates

Example:

Router# show crypto pki certificates

(Opcional) Visualiza información sobre sus certificados, los certificados de los certificados CA, y los certificados RA.

Certificar un link URL para la comunicación segura con un servidor de Trend Micro

Realice esta tarea de certificar un link usado en el Filtrado de URL que permite la comunicación segura con un servidor de Trend Micro.

PASOS SUMARIOS

1. enable

2.clock set hh:mm:ss date month year

3. configure terminal

4.clock timezone [minutes-offset] del hora-desplazamiento de la zona

5. ip http server

6.nombre de host name

7. ip domain-name name

8.crypto key generate rsa general-keys modulus módulo-tamaños

9. crypto pki trustpoint name

10. enrollment terminal

11. crypto ca authenticate name

12. Copie el bloque de texto siguiente que contiene el certificado de CA codificado base 64 y pegúelo en el prompt.

13. Ingrese yes para validar este certificado.

14. serial-number

15. revocation-check none

16. end

17. trm register

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

clock set hh:mm:ss date month year

Example:

Router# clock set 23:22:00 22 Dec 2009

Fija el reloj en el router.

Paso 3 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 4 

clock timezone zone hours-offset [minutes-offset]

Example:

Router(config)# clock timezone PST -08


Fija el huso horario.

zone El argumento es el nombre del huso horario (típicamente siglas estándar). hours-offset El argumento es el número de horas que el huso horario es diferente del Universal Time Coordinated (UTC). minutes-offset El argumento es el número de minutos que el huso horario es diferente del UTC.

Observe minutes-offset el argumento clock timezone del comando está disponible para esos casos donde está un porcentaje un huso horario local de una hora diferente a partir de UTC o de la hora media de Greenwich (GMT). Por ejemplo, el huso horario para algunas secciones de Canadá atlántico (AST) es UTC-3.5. En este caso, el comando necesario sería clock timezone AST -3 30.

Paso 5 

ip http server

Example:
Router(config)# ip http server

Habilita el servidor HTTP.

Paso 6 

hostname name

Example:

Router(config)# hostname hostname1

Configura el nombre de host del router.

Paso 7 

ip domain-name name

Example:

Router(config)# ip domain-name example.com

Define el Domain Name para el router.

Paso 8 

crypto key generate rsa general-keys modulus modulus-size

Example:

Router(config)# crypto key generate rsa general-keys modulus general


Genera los crypto key.

general-keys La palabra clave especifica que un par clave de fines generales está generado, que es el valor por defecto.

modulus La palabra clave y modulus-size el argumento especifican los tamaños IP del módulo dominante. Por abandono, el módulo de una clave de CA es 1024 bits. Elija los tamaños del módulo dominante en el rango de 360 a 2048 para sus claves de fines generales. Si usted elige un valor dominante del módulo mayor de 512, el router puede requerir algunos minutos para procesar el comando.

Observeel nombre para las claves generales se generan que se basan en el Domain Name que se configura en el paso 7. por ejemplo, las claves serán llamadas “example.com.”

Paso 9 

crypto pki trustpoint name

Example:

Router(config)# crypto pki trustpoint mytp

Declara el CA que su router debe utilizar y ingresa al modo de configuración del Ca-trustpoint.

Observeeficaz con el Cisco IOS Release 12.3(8)T, crypto pki trustpoint el comando substituyó crypto ca trustpoint el comando.

Paso 10 

enrollment terminal

Example:

Router(ca-trustpoint)# enrollment terminal

Especifica el método cortar y pegar manual de la inscripción del certificado.

El pedido de certificado será visualizado en la terminal de la consola de modo que usted pueda copiar manualmente (o corte).

Paso 11 

crypto ca authenticate name

Example:

Router(ca-trustpoint)# crypto ca authenticate mytp



Toma el nombre de CA como el argumento y lo autentica.

Las visualizaciones de la salida del siguiente comando:

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on 
a line by itself.

Paso 12 

Copie el bloque de texto siguiente que contiene el certificado de CA codificado base 64 y pegúelo en el prompt.

MIIDIDCCAomgAwIBAgIENd70zzANBgkqhkiG9w0BAQUFADBOMQs
wCQYDVQQGEwJV
UzEQMA4GA1UEChMHRXF1aWZheDEtMCsGA1UECxMkRXF1aWZheCB
TZWN1cmUgQ2Vy
dGlmaWNhdGUgQXV0aG9yaXR5MB4XDTk4MDgyMjE2NDE1MVoXDTE
4MDgyMjE2NDE1
MVowTjELMAkGA1UEBhMCVVMxEDAOBgNVBAoTB0VxdWlmYXgxLTA
rBgNVBAsTJEVx
dWlmYXggU2VjdXJlIENlcnRpZmljYXRlIEF1dGhvcml0eTCBnzA
NBgkqhkiG9w0B
AQEFAAOBjQAwgYkCgYEAwV2xWGcIYu6gmi0fCG2RFGiYCh7+2gR
vE4RiIcPRfM6f
BeC4AfBONOziipUEZKzxa1NfBbPLZ4C/QgKO/t0BCezhABRP/Pv
wDN1Dulsr4R+A
cJkVV5MW8Q+XarfCaCMczE1ZMKxRHjuvK9buY0V7xdlfUNLjUA8
6iOe/FP3gx7kC
AwEAAaOCAQkwggEFMHAGA1UdHwRpMGcwZaBjoGGkXzBdMQswCQY
DVQQGEwJVUzEQ
MA4GA1UEChMHRXF1aWZheDEtMCsGA1UECxMkRXF1aWZheCBTZWN
1cmUgQ2VydGlm
aWNhdGUgQXV0aG9yaXR5MQ0wCwYDVQQDEwRDUkwxMBoGA1UdEAQ
TMBGBDzIwMTgw
ODIyMTY0MTUxWjALBgNVHQ8EBAMCAQYwHwYDVR0jBBgwFoAUSOZ
o+SvSspXXR9gj
IBBPM5iQn9QwHQYDVR0OBBYEFEjmaPkr0rKV10fYIyAQTzOYkJ/
UMAwGA1UdEwQF
MAMBAf8wGgYJKoZIhvZ9B0EABA0wCxsFVjMuMGMDAgbAMA0GCSq
GSIb3DQEBBQUA
A4GBAFjOKer89961zgK5F7WF0bnj4JXMJTENAKaSbn+2kmOeUJX
Rmm/kEd5jhW6Y
7qj/WsjTVbJmcVfewCHrPSqnI0kBBIZCe/zuf6IWUrVnZ9NA2zs
mWLIodz2uFHdh

1voqZiegDfqnc1zqcPGUIWVEX/r87yloqaKHee9570+sB3c4


Las visualizaciones de la salida del siguiente comando:

Certificate has the following attributes:
       Fingerprint MD5: 67CB9DC0 13248A82 9BB2171E 
D11BECD4 
      Fingerprint SHA1: D23209AD 23D31423 2174E40D 
7F9D6213 9786633A 

Paso 13 

Ingrese para validar este certificado.

% Do you accept this certificate? [yes/no]: yes

Las visualizaciones de la salida del siguiente comando:

Trustpoint CA certificate accepted.
% Certificate successfully imported

Paso 14 

serial-number

Example:

hostname1(ca-trustpoint)# serial-number

Especifica el número de serie del router en el pedido de certificado.

Paso 15 

revocation-check none

Example:

hostname1(ca-trustpoint)# revocation-check none


Especifica que el marcar del certificado está ignorado.

Paso 16 

end

Example:

hostname1(ca-trustpoint)# end

Modo de configuración y devoluciones del Ca-trustpoint de las salidas al modo EXEC privilegiado.

Paso 17 

trm register

Example:

hostname1# trm register

Comienza manualmente el proceso de Registro del servidor de Trend Micro.

Configuración de un Certificado Autofirmado Persistente para la Inscripción vía SSL

Esta sección contiene las siguientes tareas:

Configuración de un Punto de Confianza y Especificación de los Parámetros del Certificado Autofirmado

Habilitación del Servidor HTTPS


Observeestas tareas son opcional porque si usted habilita el servidor HTTPS, genera un certificado autofirmado automáticamente usando los valores predeterminados.


Descripción persistente de los certificados autofirmados

El Protocolo SSL se puede utilizar para establecer una conexión segura entre un servidor HTTPS y un cliente (buscador Web). Durante el contacto SSL, el cliente espera que el certificado de servidor SSL a ser comprobable usando un certificado que el cliente posee ya.

Si el Cisco IOS Software no tiene un certificado que el servidor HTTPS pueda utilizar, el servidor genera un certificado autofirmado llamando una interfaz de programación de aplicaciones PKI (API). Cuando el cliente recibe este certificado autofirmado y no puede verificarlo, la intervención es necesaria. El cliente le pregunta si el certificado se valida y se guarda para uso futuro. Si usted valida el certificado, el contacto SSL continúa.

Los contactos SSL futuros entre el mismo cliente y el servidor utilizan el mismo certificado. Sin embargo, si recargan al router, se pierde el certificado autofirmado. El servidor HTTPS debe entonces crear un nuevo certificado autofirmado. Este nuevo certificado autofirmado no hace juego el certificado anterior, así que le piden de nuevo validarlo.

Pidiendo la aceptación del certificado del router cada vez que las recargas de router puedan presentar una oportunidad para que un atacante substituya un certificado desautorizado cuando le están pidiendo validar el certificado. Los certificados autofirmados persistentes superan todas estas limitaciones guardando un certificado en la configuración de inicio del router.

Restricciones

Usted puede configurar solamente un trustpoint para un certificado autofirmado persistente.


La notano cambia el Domain Name IP o el nombre de host del router después de crear el certificado autofirmado. El cambio de cualquier nombre acciona la regeneración del certificado autofirmado y reemplaza el trustpoint configurado. El WebVPN une el nombre de trustpoint SSL a la configuración de gateway de WebVPN. Si se acciona un nuevo certificado autofirmado, después el nuevo nombre del trustpoint no hace juego la configuración del WebVPN, haciendo las conexiones WebVPN fallar.


Configuración de un Punto de Confianza y Especificación de los Parámetros del Certificado Autofirmado

Realice la tarea siguiente de configurar un trustpoint y de especificar los parámetros del certificado autofirmado.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto pki trustpoint nombre

4. enrollment selfsigned

5.subject-name []x.500-name

6.rsakeypair key-label [[]key-size encryption-key-size]

7.crypto pki enroll nombre

8. end

9.show crypto pki certificates[[]trustpoint-name verbose]

10.show crypto pki trustpoints[status | label []status]

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto pki trustpoint name

Example:

Router(config)# crypto pki trustpoint local

Declara el CA que su router debe utilizar y ingresa al modo de configuración del Ca-trustpoint.

Observeeficaz con el Cisco IOS Release 12.3(8)T, crypto pki trustpoint el comando substituyó crypto ca trustpoint el comando.

Paso 4 

enrollment selfsigned

Example:

Router(ca-trustpoint)# enrollment selfsigned

Specifies uno mismo-firmó la inscripción.

Paso 5 

subject-name [x.500-name]
Example:
Router(ca-trustpoint)# subject-name 

(Opcional) especifica los asuntos pedidos que se utilizarán en el pedido de certificado.

Si no se especifica ningún valor para x-500-name el argumento, se utiliza el FQDN, que es los asuntos predeterminados.

Paso 6 

rsakeypair key-label [key-size 
[encryption-key-size]]
Example:
Router(ca-trustpoint)# rsakeypair examplekeys 
1024 1024 

(Opcional) Especifica qué par de llaves se debe asociar al certificado.

El valor parakey-label el argumento será generado durante la inscripción si no existe ya o si auto-enroll regenerate el comando fue publicado.

Especifique un valor para key-size el argumento para generar la clave, y especifique un valor para encryption-key-size el argumento para pedir el cifrado, las claves de la firma, y los Certificados separados.

Observesi este comando no se habilita, se utiliza el par clave FQDN.

Paso 7 

crypto pki enroll name
Example:
Router(ca-trustpoint)# crypto pki enroll local

Dice al router generar el certificado autofirmado persistente.

Paso 8 

end

Example:
Router(ca-trustpoint)# end

Modo de configuración (opcional) del Ca-trustpoint de las salidas.

Ingrese este comando a la por segunda vez de dar salida al modo de configuración global.

Paso 9 

show crypto pki certificates [trustpoint-name [verbose]]

Example:

Router# show crypto pki certificates local verbose

Visualiza la información sobre su certificado, el certificado de la autoridad de certificación, y cualquier Certificados de las autoridades de registro.

Paso 10 

show crypto pki trustpoints [status | label [status]]

Example:

Router# show crypto pki trustpoints status

Visualiza el trustpoints que se configura en el router.

Habilitación del Servidor HTTPS

Realice la tarea siguiente de habilitar el servidor HTTPS.

Prerrequisitos

Para especificar los parámetros, usted debe crear un trustpoint y configurarlo. Para utilizar los valores predeterminados, borre cualquier trustpoints uno mismo-firmado existente. Borrar todo el trustpoints uno mismo-firmado hace el servidor HTTPS generar un certificado autofirmado persistente usando los valores predeterminados tan pronto como se habilite el servidor.

PASOS SUMARIOS

1. enable

2. configure terminal

3. ip http secure-server

4. end

5. copy system:running-config nvram: startup-config

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip http secure-server
Example:

Router(config)# ip http secure-server

Habilita el servidor Web HTTPS.

Observeel par clave A (módulo 1024) y se genera un certificado.

Paso 4 

end

Example:

Router(config)# end

Sale del modo de configuración global.

Paso 5 

copy system:running-config nvram: startup-config

Example:

Router# copy system:running-config nvram: startup-config

Guarda el certificado autofirmado y el servidor HTTPS en el modo habilitado.

Configuración de un Perfil de Inscripción de Certificado para la Inscripción o la Reinscripción

Realice esta tarea de configurar un perfil de la inscripción del certificado para la inscripción o el reenrollment. Esta tarea le ayuda a configurar un perfil de la inscripción para la inscripción del certificado o el reenrollment de un router con Cisco IOS CA que se alista ya con un proveedor externo CA.

Habilite a un router que se aliste con un proveedor externo CA para utilizar su certificado existente para alistar con el servidor de certificados del Cisco IOS así que la petición de la inscripción se concede automáticamente. Para habilitar estas funciones, usted debe publicar enrollment credential el comando. También, usted no puede configurar la inscripción del certificado manual.

Prerrequisitos

Realice las tareas siguientes en el router de cliente antes de configurar un perfil de la inscripción del certificado para el router de cliente que se alista ya con un proveedor externo CA de modo que pueda el router reenroll con un servidor de certificados del Cisco IOS:

Definió un trustpoint esas puntas al proveedor externo CA.

Autenticado y alistado el router de cliente con el proveedor externo CA.

Restricciones

Para utilizar los perfiles del certificado, su red debe tener una interfaz HTTP a CA.

Si se especifica un perfil de la inscripción, una inscripción URL no se puede especificar en la configuración del trustpoint. Aunque soporten a los comandos both, sólo un comando puede ser en un momento usado en un trustpoint.

Porque hay no estándar para los comandos HTTP usados por los diversos CA, requieren al usuario ingresar el comando que es apropiado al CA se está utilizando que.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto pki trustpoint name

4. enrollment profile label

5. exit

6. crypto pki profile enrollment label

7. authentication url url

o

authentication terminal

8. authentication command

9. enrollment url url

o

enrollment terminal

10. enrollment credential label

11. enrollment command

12. parameter number {value value | prompt string}

13. exit

14. show crypto pki certificates

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto pki trustpoint name

Example:

Router(config)# crypto pki trustpoint Entrust

Declara el punto de confianza y un nombre determinado e ingresa al modo de configuración de ca-trustpoint.

Paso 4 

enrollment profile label

Example:

Router(ca-trustpoint)# enrollment profile E

Especifica que un perfil de la inscripción debe ser utilizado para la autenticación certificada y la inscripción.

Paso 5 

exit

Example:

Router(ca-trustpoint)# exit

Sale del modo de configuración de ca-trustpoint.

Paso 6 

crypto pki profile enrollment label

Example:

Router(config)# crypto pki profile enrollment E

Define un perfil de la inscripción y ingresa Ca-perfil-alistan al modo de configuración.

label — Nombre para el perfil de la inscripción; el nombre del perfil de la inscripción debe hacer juego el nombre especificado en enrollment profile el comando.

Paso 7 

authentication url url

o

authentication terminal

Example:

Router(ca-profile-enroll)# authentication url http://entrust:81

o

Router(ca-profile-enroll)# authentication terminal

Especifica el URL del servidor de CA al cual enviar las peticiones de la autenticación certificada.

url — URL del servidor de CA al cual su router debe enviar los pedidos de autenticación.

Si usted está utilizando el HTTP, el URL debe leer “http://CA_name,” donde está el nombre DNS del host o la dirección IP CA_name de CA.

Si usted está utilizando el TFTP, el URL debe leer “tftp://certserver/file_specification.” (Si el URL no incluye una especificación de archivo, el FQDN del router será utilizado.)

Especifica la autenticación certificada cortar y pegar del manual.

Paso 8 

authentication command

Example:

Router(ca-profile-enroll)# authentication command

(Opcional) especifica el comando HTTP que se envía a CA para la autenticación.

Paso 9 

enrollment url url

o

enrollment terminal

Example:

Router(ca-profile-enroll)# enrollment url http://entrust:81/cda-cgi/clientcgi.exe

o

Router(ca-profile-enroll)# enrollment terminal

Especifica el URL del servidor de CA al cual enviar las peticiones de la inscripción del certificado vía el HTTP o el TFTP.



Especifica la inscripción del certificado cortar y pegar del manual.

Paso 10 

enrollment credential label

Example:

Router(ca-profile-enroll)# enrollment credential Entrust

(Opcional) especifica el trustpoint de CA del proveedor externo que debe para ser alistado con el Cisco IOS CA.

Observeeste comando no puede ser publicado si se está utilizando la inscripción del certificado manual.

Paso 11 

enrollment command

Example:

Router(ca-profile-enroll)# enrollment command

(Opcional) especifica el comando HTTP que se envía a CA para la inscripción.

Paso 12 

parameter number {value value | prompt string}

Example:

Router(ca-profile-enroll)# parameter 1 value aaaa-bbbb-cccc

(Opcional) especifica los parámetros para un perfil de la inscripción.

Este comando se puede utilizar las épocas múltiples de especificar los valores múltiples.

Paso 13 

exit

Example:

Router(ca-profile-enroll)# exit

Las salidas (opcionales) Ca-perfil-alistan al modo de configuración.

Ingrese este comando a la por segunda vez de dar salida al modo de configuración global.

Paso 14 

show crypto pki certificates

Example:

Router# show crypto pki certificates

(Opcional) Visualiza información sobre sus certificados, los certificados de los certificados CA, y los certificados RA.

Pasos Siguientes

Si usted configuró al router al reenroll con Cisco IOS CA, usted debe configurar el servidor de certificados del Cisco IOS para validar las peticiones de la inscripción solamente de los clientes alistados ya con el trustpoint especificado de CA del proveedor externo para aprovecharse de estas funciones. Para más información, vea el módulo el “configurar y el manejar de un servidor de certificados del Cisco IOS para el despliegue PKI.”

Ejemplos de configuración para Solicitudes de Inscripción de Certificado PKI

Esta sección contiene los ejemplos de configuración siguientes:

Configurar la inscripción del certificado o Autoenrollment: Ejemplo:

Configuración de la Inscripción Automática: Ejemplo:

Configuración de la Inscripción Automática de Certificado con Regeneración de Clave: Ejemplo:

Configuración de la Inscripción de Certificados de Cortar y Pegar: Ejemplo:

Configuración de la Inscripción Manual de Certificado con Regeneración de Llave: Ejemplo:

Creación y Verificación de un Certificado Auto-firmado Persistente: Ejemplo:

Configuración de la Inscripción HTTP Directa: Ejemplo:

Configurar la inscripción del certificado o Autoenrollment: Ejemplo:

El siguiente ejemplo muestra la configuración para el servidor de certificados del “mytp-A” y su trustpoint asociado, donde las claves RSA generadas por el autoenrollment inicial para el trustpoint serán salvadas en un Token USB, el "usbtoken0":

crypto pki server mytp-A
   database level complete
   issuer-name CN=company, L=city, C=country
   grant auto
! Specifies that certificate requests will be granted automatically.
!

crypto pki trustpoint mytp-A
   revocation-check none
   rsakeypair myTP-A
   storage usbtoken0:
! Specifies that keys will be stored on usbtoken0:.
   on usbtoken0:

¡! ¡Especifica que las claves generadas en el auto inicial alistan serán generadas encendido y salvadas encendido! usbtoken0:

Configuración de la Inscripción Automática: Ejemplo:

Las demostraciones del siguiente ejemplo cómo configurar al router para alistar automáticamente con CA en el lanzamiento, habilitando la renovación automática, y cómo especificar toda la información necesaria de la inscripción en la configuración:

crypto pki trustpoint trustpt1 
 enrollment url http://trustpt1.example.com// 
 subject-name OU=Spiral Dept., O=example.com 
 ip-address ethernet-0 
 serial-number none 
 usage ike 
 auto-enroll regenerate 
 password password1 
 rsa-key trustpt1 2048 
! 
crypto pki certificate chain trustpt1 
certificate pki 0B 
30820293 3082023D A0030201 0202010B 300D0609 2A864886 F70D0101 04050030 
79310B30 09060355 04061302 5553310B 30090603 55040813 02434131 15301306 
0355040A 130C4369 73636F20 53797374 656D3120 301E0603 55040B13 17737562 
6F726420 746F206B 6168756C 75692049 50495355 31243022 06035504 03131B79 
6E692D75 31302043 65727469 66696361 7465204D 616E6167 6572301E 170D3030 
30373134 32303536 32355A17 0D303130 37313430 31323834 335A3032 310E300C 
06035504 0A130543 6973636F 3120301E 06092A86 4886F70D 01090216 11706B69 
2D343562 2E636973 636F2E63 6F6D305C 300D0609 2A864886 F70D0101 01050003 
4B003048 024100B3 0512A201 3B4243E1 378A9703 8AC5E3CE F77AF987 B5A422C4 
15E947F6 70997393 70CF34D6 63A86B9C 4347A81A 0551FC02 ABA62360 01EF7DD2 
6C136AEB 3C6C3902 03010001 A381F630 81F3300B 0603551D 0F040403 02052030 
1C060355 1D110415 30138211 706B692D 3435622E 63697363 6F2E636F 6D301D06 
03551D0E 04160414 247D9558 169B9A21 23D289CC 2DDA2A9A 4F77C616 301F0603 
551D2304 18301680 14BD742C E892E819 1D551D91 683F6DB2 D8847A6C 73308185 
0603551D 1F047E30 7C307AA0 3CA03AA4 38303631 0E300C06 0355040A 13054369 
73636F31 24302206 03550403 131B796E 692D7531 30204365 72746966 69636174 
65204D61 6E616765 72A23AA4 38303631 0E300C06 0355040A 13054369 73636F31 
24302206 03550403 131B796E 692D7531 30204365 72746966 69636174 65204D61 
6E616765 72300D06 092A8648 86F70D01 01040500 03410015 BC7CECF9 696697DF 
E887007F 7A8DA24F 1ED5A785 C5C60452 47860061 0C18093D 08958A77 5737246B 
0A25550A 25910E27 8B8B428E 32F8D948 3DD1784F 954C70 
quit  


Observeen este ejemplo, las claves ni se regeneran ni se ruedan encima.


Configuración de la Inscripción Automática de Certificado con Regeneración de Clave: Ejemplo:

Las demostraciones del siguiente ejemplo cómo configurar al router para alistar automáticamente con CA nombrado el "trustme1" en el lanzamiento y para habilitar la renovación automática. regenerate Se publica la palabra clave, así que una nueva clave será generada para el certificado y reeditada cuando se inicia el proceso automático de la renovación. Se pide el porcentaje de la renovación se configura como 90 tan si el certificado tiene un curso de la vida de un año, un nuevo certificado 36,5 días antes de que expira el certificado viejo. Los cambios realizados a la configuración corriente se guardan a la configuración de inicio del NVRAM porque el autoenrollment no pondrá al día el NVRAM si se ha modificado pero no se ha escrito la configuración corriente al NVRAM.

crypto pki trustpoint trustme1
 enrollment url http://trustme1.example.com/
 subject-name OU=Spiral Dept., O=example.com
 ip-address ethernet0
 serial-number none
 auto-enroll 90 regenerate
 password password1
 rsakeypair trustme1 2048
 exit
crypto pki authenticate trustme1
copy system:running-config nvram:startup-config

Configuración de la Inscripción de Certificados de Cortar y Pegar: Ejemplo:

Las demostraciones del siguiente ejemplo cómo configurar la inscripción del certificado usando el método cortar y pegar manual de la inscripción:

Router(config)# crypto pki trustpoint TP
Router(ca-trustpoint)# enrollment terminal
Router(ca-trustpoint)# crypto pki authenticate TP

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificate has the following attributes:
Fingerprint: D6C12961 CD78808A 4E02193C 0790082A
% Do you accept this certificate? [yes/no]: y
Trustpoint CA certificate accepted.
% Certificate successfully imported

Router(config)# crypto pki enroll TP
% Start certificate enrollment..

% The subject name in the certificate will be: Router.example.com
% Include the router serial number in the subject name? [yes/no]: n
% Include an IP address in the subject name? [no]: n
Display Certificate Request to terminal? [yes/no]: y
Signature key certificate request -
Certificate Request follows:
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!
!
!
Redisplay enrollment request? [yes/no]: 
Encryption key certificate request -
Certificate Request follows:

MIIBhTCB7wIBADAlMSMwIQYJKoZIhvcNAQkCFhRTYW5kQmFnZ2VyLmNpc2NvLmNv
bTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAwG60QojpDbzbKnyj8FyTiOcv
THkDP7XD4vLT1XaJ409z0gSIoGnIcdFtXhVlBWtpq3/O9zYFXr1tH+BMCRQi3Lts
0IpxYa3D9iFPqev7SPXpsAIsY8a6FMq7TiwLObqiQjLKL4cbuV0Frjl0Yuv5A/Z+
kqMOm7c+pWNWFdLe9lsCAwEAAaAhMB8GCSqGSIb3DQEJDjESMBAwDgYDVR0PAQH/
BAQDAgUgMA0GCSqGSIb3DQEBBAUAA4GBACF7feURj/fJMojPBlR6fa9BrlMJx+2F
H91YM/CIiz2n4mHTeWTWKhLoT8wUfa9NGOk7yi+nF/F7035twLfq6n2bSCTW4aem
8jLMMaeFxwkrV/ceQKrucmNC1uVx+fBy9rhnKx8j60XE25tnp1U08r6om/pBQABU
eNPFhozcaQ/2
!
!
!
Redisplay enrollment request? [yes/no]: n
Router(config)# crypto pki import TP certificate

Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself
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% Router Certificate successfully imported

Router(config)# crypto pki import TP cert

Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself
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% Router Certificate successfully imported

Usted puede verificar que el certificado fuera importado con éxito publicando show crypto pki certificates el comando:

Router# show crypto pki certificates

Certificate
  Status: Available
  Certificate Serial Number: 14DECE05000000000C48
  Certificate Usage: Encryption
  Issuer:
    CN = TPCA-root
     O = Company
     C = US
  Subject:
    Name: Router.example.com
    OID.1.2.840.113549.1.9.2 = Router.example.com
  CRL Distribution Point:
    http://tpca-root/CertEnroll/tpca-root.crl
  Validity Date:
    start date: 18:16:45 PDT Jun 7 2002
    end   date: 18:26:45 PDT Jun 7 2003
    renew date: 16:00:00 PST Dec 31 1969
  Associated Trustpoints: TP

Certificate
  Status: Available
  Certificate Serial Number: 14DEC2E9000000000C47
  Certificate Usage: Signature
  Issuer:
    CN = tpca-root
     O = company
     C = US
  Subject:
    Name: Router.example.com
    OID.1.2.840.113549.1.9.2 = Router.example.com
  CRL Distribution Point:
    http://tpca-root/CertEnroll/tpca-root.crl
  Validity Date:
    start date: 18:16:42 PDT Jun 7 2002
    end   date: 18:26:42 PDT Jun 7 2003
    renew date: 16:00:00 PST Dec 31 1969
  Associated Trustpoints: TP

CA Certificate
  Status: Available
  Certificate Serial Number: 3AC0A65E9547C2874AAF2468A942D5EE
  Certificate Usage: Signature
  Issuer:
    CN = tpca-root
     O = Company
     C = US
  Subject:
    CN = tpca-root
     O = company
     C = US
  CRL Distribution Point:
    http://tpca-root/CertEnroll/tpca-root.crl
  Validity Date:
    start date: 16:46:01 PST Feb 13 2002
    end   date: 16:54:48 PST Feb 13 2007
  Associated Trustpoints: TP

Configuración de la Inscripción Manual de Certificado con Regeneración de Llave: Ejemplo:

Las demostraciones del siguiente ejemplo cómo regenerar las nuevas claves con una inscripción del certificado manual de CA nombrado el "trustme2":

crypto pki trustpoint trustme2
 enrollment url http://trustme2.example.com/
 subject-name OU=Spiral Dept., O=example.com
 ip-address ethernet0
 serial-number none
 regenerate
 password password1
 rsakeypair trustme2 2048s
 exit
crypto pki authenticate trustme2
crypto pki enroll trustme2

Creación y Verificación de un Certificado Auto-firmado Persistente: Ejemplo:

Las demostraciones del siguiente ejemplo cómo declarar y alistar un trustpoint nombrado “local” y generar un certificado autofirmado con una dirección IP:

crypto pki trustpoint local
 enrollment selfsigned
 end
configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

crypto pki enroll local
Nov 29 20:51:13.067: %SSH-5-ENABLED: SSH 1.99 has been enabled
Nov 29 20:51:13.267: %CRYPTO-6-AUTOGEN: Generated new 512 bit key pair
% Include the router serial number in the subject name? [yes/no]: yes
% Include an IP address in the subject name? [no]: yes
Enter Interface name or IP Address[]: ethernet 0
Generate Self Signed Router Certificate? [yes/no]: yes
Router Self Signed Certificate successfully created

Observeal router A puede tener solamente un certificado autofirmado. Si usted intenta alistar un trustpoint configurado para un certificado autofirmado y existe uno ya, usted recibe una notificación y se pide si usted quiere substituirla. Si es así un nuevo certificado autofirmado se genera para substituir el existencia.


Habilitar el servidor HTTPS: Ejemplo:

Las demostraciones del siguiente ejemplo cómo habilitar el servidor HTTPS y generar un trustpoint predeterminado porque uno no fue configurado previamente:

configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

ip http secure-server
% Generating 1024 bit RSA keys ...[OK]
*Dec 21 19:14:15.421:%PKI-4-NOAUTOSAVE:Configuration was modified.  Issue "write memory" 
to save new certificate
Router(config)#

Nota queusted necesita salvar la configuración al NVRAM si usted quiere guardar el certificado autofirmado y tener el servidor HTTPS habilitado después de las recargas de router.


El siguiente mensaje también aparece:

*Dec 21 19:14:10.441:%SSH-5-ENABLED:SSH 1.99 has been enabled


Observela creación del par clave usado con el certificado autofirmado hace el servidor del Secure Shell (SSH) comenzar. Este comportamiento no puede ser suprimido. Usted puede querer modificar su Listas de control de acceso (ACL) al acceso de SSH del permit or deny al router. Usted puede utilizar ip ssh rsa keypair-name unexisting-key-pair-name el comando de inhabilitar el servidor SSH.


Verificar la configuración del certificado autofirmado: Ejemplo:

El siguiente ejemplo visualiza la información sobre el certificado autofirmado que usted acaba de crear:

Router# show crypto pki certificates

Router Self-Signed Certificate
  Status: Available
  Certificate Serial Number: 01
  Certificate Usage: General Purpose
  Issuer: 
    cn=IOS-Self-Signed-Certificate-3326000105
  Subject:
    Name: IOS-Self-Signed-Certificate-3326000105
    cn=IOS-Self-Signed-Certificate-3326000105
  Validity Date: 
    start date: 19:14:14 GMT Dec 21 2004
    end   date: 00:00:00 GMT Jan 1 2020
  Associated Trustpoints: TP-self-signed-3326000105

Observeel número 3326000105 es el número de serie del router y varía dependiendo del número de serie real del router.


El siguiente ejemplo visualiza la información sobre el par clave correspondiente al certificado autofirmado:

Router# show crypto key mypubkey rsa

% Key pair was generated at: 19:14:10 GMT Dec 21 2004
Key name: TP-self-signed-3326000105
 Usage: General Purpose Key
 Key is not exportable.
 Key Data:
  30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00B88F70 
  6BC78B6D 67D6CFF3 135C1D91 8F360292 CA44A032 5AC1A8FD 095E4865 F8C95A2B 
  BFD1C2B7 E64A3804 9BBD7326 207BD456 19BAB78B D075E78E 00D2560C B09289AE 
  6DECB8B0 6672FB3A 5CDAEE92 9D4C4F71 F3BCB269 214F6293 4BA8FABF 9486BCFC 
  2B941BCA 550999A7 2EFE12A5 6B7B669A 2D88AB77 39B38E0E AA23CB8C B7020301 0001
% Key pair was generated at: 19:14:13 GMT Dec 21 2004
Key name: TP-self-signed-3326000105.server
 Usage: Encryption Key
 Key is not exportable.
 Key Data:
  307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00C5680E 89777B42 
  463E5783 FE96EA9E F446DC7B 70499AF3 EA266651 56EE29F4 5B003D93 2FC9F81D 
  8A46E12F 3FBAC2F3 046ED9DD C5F27C20 1BBA6B9B 08F16E45 C34D6337 F863D605 
  34E30F0E B4921BC5 DAC9EBBA 50C54AA0 BF551BDD 88453F50 61020301 0001


Observeel segundo par clave con el nombre TP-self-signed-3326000105.server es el par clave de SSH y se genera cuando cualquier par clave se crea en el router y SSH empieza para arriba.


El siguiente ejemplo visualiza la información sobre el trustpoint nombrado “local”:

Router# show crypto pki trustpoints

Trustpoint local:
    Subject Name:
    serialNumber=C63EBBE9+ipaddress=10.3.0.18+hostname=test.example.com
          Serial Number: 01
    Persistent self-signed certificate trust point

Configuración de la Inscripción HTTP Directa: Ejemplo:

La demostración del siguiente ejemplo cómo configurar un perfil de la inscripción para la inscripción directa HTTP con un servidor de CA:

crypto pki trustpoint Entrust 
 enrollment profile E 
 serial 

crypto pki profile enrollment E 
 authentication url http://entrust:81 
 authentication command GET /certs/cacert.der 
 enrollment url http://entrust:81/cda-cgi/clientcgi.exe 
 enrollment command POST reference_number=$P2&authcode=$P1 
 &retrievedAs=rawDER&action=getServerCert&pkcs10Request=$REQ 
 parameter 1 value aaaa-bbbb-cccc 
 parameter 2 value 5001 

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Operaciones del Token USB RSA: Beneficios de usar tokens USB

Salvando módulo de las credenciales PKIen la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura

Operaciones del Token USB RSA: Configuración del servidor de certificados

Configurando y manejando un servidor de certificados del Cisco IOS para capítulo del despliegue PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura

Vea la sección "Generación de un Par de Llaves RSA del Servidor de Certificados, la sección "Configuración de un Servidor de Certificados" y los ejemplos relacionados.

Descripción general del PKI, incluyendo las llaves RSA, la inscripción del certificado y los CAs

Descripción del Cisco IOS PKI: Entendiendo y planeando módulo PKI en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura

Provisión de Dispositivos Seguros: descripción y tareas de configuración de la funcionalidad

Configurando asegure el dispositivo Provisioning (SDP) para la inscripción en módulo PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura

Generación e implementación de llaves RSA

Claves RSA que despliegan dentro módulo de un PKIen la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura

Descripción general del servidor de certificados del Cisco IOS y tareas de configuración

Configurando y manejando un servidor de certificados del Cisco IOS para módulo del despliegue PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura

Configurando y con un Token USB

Salvando módulo de las credenciales PKIen la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura

Comandos de la Seguridad de Cisco IOS

Referencia de Comandos de Seguridad de Cisco IOS

La habitación-B ESP transforma

Configurar directivo de seguridad para los VPN con el módulo de función del IPSec.

Familia de la habitación-B SHA-2 (variante HMAC) y configuración elíptica del par clave de la curva (EC).

Configurar el intercambio de claves de Internet para el módulo de función del IPSec VPN.

El tipo del algoritmo de la integridad de la habitación-B transforma la configuración.

Configurar el módulo de función del intercambio de claves de Internet versión 2 (IKEv2).

Configuración elíptica del método de autentificación de la firma del Digital Signature Algorithm de la curva de la habitación-B (ECDSA) (ECDSA-SIG) para IKEv2.

Configurar el módulo de función del intercambio de claves de Internet versión 2 (IKEv2).

Soporte elíptico de Diffie Hellman de la curva de la habitación-B (ECDH) para la negociación IPSec SA

Configurando el intercambio de claves de Internet para el IPSec VPN y configurar los módulos de función del intercambio de claves de Internet versión 2 (IKEv2).


MIB

MIB
Link del MIB

Ninguno.

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la Función PKI Certificate Enrollment

La Tabla 1 muestra el historial de versiones de esta función.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para la inscripción del certificado PKI 

Nombre de la función
Versiones
Información sobre la Función

Mejoras del Token USB PKI del Cisco IOS — Fase 2

12.4(11)T

Esta función aumenta la funcionalidad del token USB utilizando el token USB como dispositivo criptográfico. Los tokens USB se pueden utilizar para operaciones RSA como la generación de llaves, la firma y la autenticación.

La sección siguiente proporciona la información sobre esta característica:

Configuración de la Inscripción de Certificado o la Inscripción Automática

Observeeste documento describe el uso de utilizar los Token USB para las operaciones RSA durante el autoenrollment inicial para un trustpoint. Para otros documentos en este tema, vea que “relacionó la sección de los documentos”.

Renovación de clave del Certificate Authority

12.4(2)T

Esta característica introduce la capacidad para la raíz CA de rodar los Certificados y las claves de CA encima de expiración y de tener propagación de estos cambios a través de la red PKI sin la intervención manual.

Las secciones siguientes proporcionan información acerca de esta función:

Inscripción Automática del Certificado

Configuración de la Inscripción de Certificado o la Inscripción Automática

Los siguientes comandos fueron introducidos o modificados por esta característica: auto-rollover crypto pki certificate chain crypto pki export pem crypto pki server crypto pki server info request show crypto pki certificates show crypto pki server show crypto pki trustpoint.

Certificado Autoenrollment

12.2(8)T

Esta función introduce la inscripción automática de certificados, que permite al router solicitar automáticamente un certificado del CA que está utilizando los parámetros de la configuración.

Las secciones siguientes proporcionan información acerca de esta función:

Inscripción Automática del Certificado

Configuración de la Inscripción de Certificado o la Inscripción Automática

Los siguientes comandos fueron introducidos por esta función: auto-enroll rsakeypair show crypto ca timers.

Mejoras de Inscripción del Certificado

12.2(8)T

Esta característica presenta a cinco comandos new crypto ca trustpoint que proporcionen las nuevas opciones para los pedidos de certificado y permitan que los usuarios especifiquen los campos en la configuración en vez de tener que pasar con los prompts.

La sección siguiente proporciona la información sobre esta característica:

Configuración de la Inscripción de Certificado o la Inscripción Automática

Los siguientes comandos fueron introducidos por esta función: ip-address (Ca-trustpoint), password (Ca-trustpoint) serial-number subject-name usage.

Inscripción HTTP Directa con Servidores CA

‘12.3(4)T’

Esta característica permite que los usuarios configuren un perfil de la inscripción si su servidor de CA no soporta el SCEP y no quieren utilizar un RA-MODE CS. El perfil de la inscripción permite que los usuarios envíen los pedidos de HTTP directamente al servidor de CA en vez a un RA-MODE CS.

Las secciones siguientes proporcionan información acerca de esta función:

Perfiles de Inscripción de Certificados

Configuración de un Perfil de Inscripción de Certificado para la Inscripción o la Reinscripción

Los siguientes comandos fueron introducidos por esta función: authentication command authentication terminal authentication url crypto ca profile enrollment enrollment command enrollment profile enrollment terminal enrollment url parameter.

Import of RSA Key Pair and Certificates in PEM Format

‘12.3(4)T’

Esta característica permite que los clientes publiquen los pedidos de certificado y que reciban los Certificados publicados en los archivos PEM-formatados.

La sección siguiente proporciona la información sobre esta característica:

Configuración de la Inscripción de Certificado Manual

Los siguientes comandos fueron modificados por esta función: enrollmentenrollment terminal.

Renovación de Claves para la Renovación de Certificados

12.3(7)T

Esta función permite realizar la solicitud de renovación del certificado antes de que expire y conserva la llave y el certificado antiguos hasta que el nuevo certificado esté disponible.

Las secciones siguientes proporcionan información acerca de esta función:

Inscripción Automática del Certificado

Configuración de la Inscripción de Certificado o la Inscripción Automática

Configuración de la Inscripción de Certificado Manual

Los siguientes comandos fueron introducidos o modificados por esta característica: auto-enroll regenerate.

Manual Certificate Enrollment (TFTP Cut-and-Paste)

12.2(13)T

Esta característica permite que los usuarios generen un pedido de certificado y que validen los Certificados de CA y los Certificados del router vía un servidor TFTP o las operaciones cortares y pegares manuales.

Las secciones siguientes proporcionan información acerca de esta función:

Métodos de Inscripción de Certificados Soportados

Configuración de la Inscripción de Certificado Manual

Los siguientes comandos fueron introducidos o modificados por esta característica: crypto ca import enrollment enrollment terminal.

Multiple-Tier CA Hierarchy

12.2(15)T

Esta mejora permite a los usuarios configurar una PKI en un marco jerárquico para soportar varias CAs. Dentro de un PKI jerárquico, todos los peers inscritos pueden validar el certificado mutuamente si los peers comparten un certificado root CA de confianza o un CA subordinado común.

La siguiente sección proporciona información sobre esta mejora:

Marco para los CA múltiples

Observeesto es una mejora de menor importancia. Las mejoras de menor importancia no se suelen enumerar en Feature Navigator.

Persistent Self-Signed Certificates

12.2(33)SXH
12.2(33)SRA
12.3(14)T

Esta característica permite que el servidor HTTPS genere y salve un certificado autofirmado en la configuración del inicio del router. Por tanto, las entradas en contacto SSL futuras entre el cliente y el servidor HTTPS pueden utilizar el mismo certificado auto-firmado sin la intervención del usuario.

Las secciones siguientes proporcionan información acerca de esta función:

Métodos de Inscripción de Certificados Soportados

Configuración de un Certificado Autofirmado Persistente para la Inscripción vía SSL

Los siguientes comandos fueron introducidos o modificados por esta característica: enrollment selfsigned show crypto pki certificates show crypto pki trustpoints.

Estatus PKI

12.3(11)T

Esta mejora agrega status la palabra clave show crypto pki trustpointsal comando, que permite que usted visualice el estado actual del trustpoint. Antes de esta mejora, usted tuvo que publicar losshow crypto pki certificatesyshow crypto pki timerscomandos para el estado actual.

La siguiente sección proporciona información sobre esta mejora:

Cómo Configurar la Inscripción del Certificado para una PKI

Observeesto es una mejora de menor importancia. Las mejoras de menor importancia no se suelen enumerar en Feature Navigator.

Nueva Inscripción Basada en los Certificados Existentes

12.3(11)T

Esta función permite a los usuarios volver a inscribir un router con una CA de Cisco IOS a través de los certificados existentes de un proveedor externo de CA.

La siguiente sección proporciona información sobre esta mejora:

Configuración de un Perfil de Inscripción de Certificado para la Inscripción o la Reinscripción

Los siguientes comandos fueron introducidos por esta función: enrollment credential grant auto trustpoint.

Trustpoint CLI

12.2(8)T

Esta característica introducecrypto pki trustpointel comando, que agrega el soporte para el trustpoint CA.

Soporte de la habitación-B en IOS SW crypto

15.1(2)T

La habitación-B agrega el soporte siguiente para la inscripción del certificado para un PKI:

El Digital Signature Algorithm elíptico de la curva (ECDSA) (el bit 256 y 384 curvas del bit) se utiliza para la operación de la firma dentro de los Certificados X.509.

Soporte PKI para la validación para de los Certificados X.509 usando las firmas ECDSA.

Soporte PKI para generar los pedidos de certificado usando las firmas ECDSA y para importar los Certificados publicados en el IOS.

Los requisitos de la habitación-B comprenden de cuatro habitaciones de la interfaz de usuario de los algoritmos criptográficos para el uso con el IKE y el IPSec que se describen en el RFC 4869. Cada habitación consiste en un algoritmo de encripción, un Digital Signature Algorithm, un Algoritmo de acuerdo dominante, y un hash o un algoritmo condensado de mensaje. Vea Configurar directivo de seguridad para los VPN con el módulo de función del IPSec para información más detallada sobre el soporte de la habitación-B del Cisco IOS.

Las secciones siguientes proporcionan información acerca de esta función:

Soporte de la habitación-B del Cisco IOS para la inscripción del certificado para un PKI

Configuración de la Inscripción de Certificado o la Inscripción Automática

Se han insertado o modificado los siguientes comandos:



Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)