Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Configuración y Administración de Cisco IOS Certificate Server para la Implementación de PKI
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 394 KB | Inglés (31 Marzo 2011) | Comentarios

Contenidos

Configuración y Administración de Cisco IOS Certificate Server para la Implementación de PKI

Encontrar la información de la característica

Contenido

Prerrequisitos de Configuración de Cisco IOS Certificate Server

Restricciones de Configuración de Cisco IOS Certificate Server

Información sobre los Servidores de Certificados de Cisco IOS

Par clave RSA y certificado del servidor de certificados

Cómo el certificado de CA y la clave de CA están archivados automáticamente

Base de Datos del Servidor de Certificados

Almacenamiento de archivo de base de datos del servidor de certificados

Publicación del archivo de base de datos del servidor de certificados

Punto de Confianza del Servidor de Certificados

Lista de Revocación de Certificados (CRLs)

Condiciones de Error del Servidor de Certificados

Inscripción de Certificados Usando un Servidor de Certificados

Inscripción SCEP

Tipos de Servidores CA: Autoridades Subordinadas y de Registro (RAs)

Certificado de CA Automático y Renovación de Llave

Renovación automática del certificado de CA: Cómo funciona

Soporte SHA-2 para especificar una función de troceo criptográfica

Cómo Configurar e Implementar Cisco IOS Certificate Server

Generación de un Par de Llaves RSA del Servidor de Certificados

Configuración de los Servidores de Certificados

Requisitos previos para la renovación automática del certificado de CA

Restricciones para la renovación automática del certificado de CA

Configuración de un Servidor de Certificados

Configuración de un Servidor de Certificados Subordinado

Configuración de un Servidor de Certificados para Ejecutarse en el Modo RA

Configuración del Servidor de Certificado Root para Delegar las Tareas de Inscripción al Servidor de Certificados de Modo RA

Pasos Siguientes

Configuración de la Funcionalidad del Servidor de Certificados

Valores predeterminados y valores recomendados del servidor de certificados

Ubicaciones del almacenamiento y de la publicación de archivo del servidor de certificados

Trabajo con la Renovación Automática del Certificado de la CA

Inicio Inmediato de la Renovación Automatizada de Certificado de CA

Solicitud de Certificado de Renovación de un Cliente de Servidor de Certificados

Exportación de un Certificado de Renovación CA

Mantenimiento, Verificación y Troubleshooting del Servidor de Certificados, Certificados y CA

Administración de la Base de Datos de Solicitudes de Inscripción

Eliminación de las peticiones de la base de datos de la petición de la inscripción

Eliminación de un Servidor de Certificados

Verificación y Troubleshooting del Servidor de Certificados y el Estado CA

Verificación de la Información del Certificado CA

Ejemplos de Configuración del Uso de un Servidor de Certificados

Configuración de Ubicaciones Específicas de Almacenamiento y Publicación: Ejemplos

Remoción de Solicitudes de Inscripción de la Base de Datos de Solicitudes de Inscripción: Ejemplos

Archivado Automático de las Llaves Root del Servidor de Certificados: Ejemplos

Restauración de un Servidor de Certificados a partir de las Copias de Seguridad del Servidor de Certificados: Ejemplos

Servidor de Certificados Subordinado: Ejemplo:

Diferenciación del servidor del certificado raíz: Ejemplo:

Muestre la salida para un servidor de certificados subordinado: Ejemplo:

Servidor de Certificados de Modo RA: Ejemplo:

Habilitación de la Renovación del certificado CA para Iniciar Inmediatamente: Ejemplo:

Adonde ir después

Referencias adicionales

Documentos Relacionados

Asistencia Técnica

Información sobre la Función Cisco IOS Certificate Server


Configuración y Administración de Cisco IOS Certificate Server para la Implementación de PKI


Primera publicación: 2 de mayo de 2005
Última actualización: 5 de octubre de 2011

Este módulo describe cómo configurar y manejar un servidor de certificados del Cisco IOS para el despliegue del Public Key Infrastructure (PKI). Un servidor de certificados integra un servidor de certificados simple, con las funciones limitadas del Certification Authority (CA), en el Cisco IOS Software. Así, las siguientes ventajas se proporcionan al usuario:

Un despliegue más fácil PKI definiendo el comportamiento predeterminado. La interfaz de usuario es más simple porque se predefinen los comportamientos predeterminados. Es decir, usted puede leverage las ventajas del escalamiento del PKI sin todas las Extensiones del certificado que CA proporcione, de tal modo permitiendo que usted habilite fácilmente una red PKI-asegurada básica.

Integración directa con el Cisco IOS Software.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección del servidor de certificados del Cisco IOS”.

Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software Cisco IOS y Catalyst OS. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere.

Contenido

Prerrequisitos de Configuración de Cisco IOS Certificate Server

Restricciones de Configuración de Cisco IOS Certificate Server

Información sobre los Servidores de Certificados de Cisco IOS

Cómo Configurar e Implementar Cisco IOS Certificate Server

Ejemplos de Configuración del Uso de un Servidor de Certificados

Adonde ir después

Referencias adicionales

Información sobre la Función Cisco IOS Certificate Server

Prerrequisitos de Configuración de Cisco IOS Certificate Server

Planeando su PKI antes de configurar el servidor de certificados

Antes de configurar un servidor de certificados del Cisco IOS, es valores apropiados importantes que usted ha planeado para y elegidos para las configuraciones que usted se prepone utilizar dentro de su PKI (tal como cursos de la vida del certificado y cursos de la vida del Listas de revocación de certificados (CRL)). Después de que las configuraciones se hayan configurado en el servidor de certificados y se han concedido los Certificados, las configuraciones no pueden ser cambiadas sin tener que configurar de nuevo el servidor de certificados y reenrolling a los pares. Para la información sobre las configuraciones predeterminadas y las configuraciones recomendadas del servidor de certificados, vea la sección “valores predeterminados y valores recomendados del servidor de certificados.”

Habilitar un servidor HTTP

El servidor de certificados soporta el protocolo simple certificate enrollment (SCEP) sobre el HTTP. El servidor HTTP se debe habilitar en el router para que el servidor de certificados utilice el SCEP. (Para habilitar el servidor HTTP, utilice ip http server el comando.) El servidor de certificados habilita automáticamente o habilitan o se inhabilitan a los servicios de las neutralizaciones SCEP después del servidor HTTP. Si el servidor HTTP no se habilita, sólo se soporta la inscripción manual PKCS10.


Observepara aprovecharse del certificado de CA automático y las funciones de la renovación del par clave para todos los tipos de servidores de certificados, de Cisco IOS Release 12.4(4)T o de una versión posterior deben ser utilizadas y el SCEP se debe utilizar como el método de la inscripción.


Configurar los Servicios de tiempo confiables

Los Servicios de tiempo deben ejecutarse en el router porque el servidor de certificados debe tener conocimiento confiable del tiempo. Si un reloj de hardware es inasequible, el servidor de certificados depende manualmente de las configuraciones del reloj configurado, tales como Network Time Protocol (NTP). Si no hay un reloj de hardware o el reloj es inválido, el siguiente mensaje se visualiza en el bootup:

% Time has not been set. Cannot start the Certificate server.

Después de que se haya fijado el reloj, del servidor de certificados el Switches automáticamente al estatus corriente.

Para la información sobre manualmente configurar los ajustes de reloj, vea la sección “los servicios del tiempo y del calendario de la configuración” en el capítulo la “que realiza administración del sistema básico” de la guía de configuración de la administración del Cisco IOS Network.

Cambio de CLI de "crypto ca" a "crypto pki"

Desde Cisco IOS Release 12.3(7)T, todos los comandos que comienzan con "crypto ca" han cambiado para comenzar con "crypto pki". Aunque el router continúe validando los comandos crypto Ca, toda la salida se relee como pki crypto.

Restricciones de Configuración de Cisco IOS Certificate Server

El servidor de certificados no proporciona un mecanismo para modificar el pedido de certificado que se recibe del cliente; es decir, el certificado que se publica del servidor de certificados hace juego el certificado pedido sin las modificaciones. Si una póliza específica del certificado, tal como apremios de nombre, debe ser extendida, la directiva se debe reflejar en el pedido de certificado.

Información sobre los Servidores de Certificados de Cisco IOS

Par clave RSA y certificado del servidor de certificados

Base de Datos del Servidor de Certificados

Punto de Confianza del Servidor de Certificados

Lista de Revocación de Certificados (CRLs)

Condiciones de Error del Servidor de Certificados

Inscripción de Certificados Usando un Servidor de Certificados

Tipos de Servidores CA: Autoridades Subordinadas y de Registro (RAs)

Certificado de CA Automático y Renovación de Llave

Soporte SHA-2 para especificar una función de troceo criptográfica

Par clave RSA y certificado del servidor de certificados

El servidor de certificados genera automáticamente un par clave del Rivest 1024-bit, del Shamir, y del Adelman (RSA). Usted debe generar manualmente un par clave RSA si usted prefiere un diverso módulo del par clave. Para la información sobre completar esta tarea, vea la sección el “generar de un par clave del servidor de certificados RSA.”


Observeel módulo recomendado para un par clave del servidor de certificados es 2048 bits.


El servidor de certificados utiliza un par clave regular del Cisco IOS RSA como su clave de CA. Este par clave debe tener el mismo nombre que el servidor de certificados. Si usted no genera el par clave antes de que el servidor de certificados se cree en el router, un par clave de fines generales se genera automáticamente durante la configuración del servidor de certificados.

A partir de las versiones del Cisco IOS Release 12.3(11)T y Posterior, el certificado de CA y la clave de CA pueden ser sostenidos automáticamente una vez después de que son generados por el servidor de certificados. Como consecuencia, no es necesario generar una clave exportable de CA para los objetivos de backup.

Qué a hacer con los pares claves automáticamente generados en Cisco IOS Software antes de la versión 12.3(11)T

Si el par clave se genera automáticamente, no se marca como exportable. Así, usted debe generar manualmente el par clave mientras que exportable si usted quiere sostener la clave de CA. Para la información sobre cómo completar esta tarea, vea la sección el “generar de un par clave del servidor de certificados RSA.”

Cómo el certificado de CA y la clave de CA están archivados automáticamente

En la configuración inicial del servidor de certificados, usted puede habilitar el certificado de CA y la clave de CA que se archivará automáticamente para poderlos restablecer más adelante si se pierde la copia original o la configuración de origen.

Cuando se gira el servidor de certificados la primera vez, se genera el certificado de CA y la clave de CA. Si el archivo automático también se habilita, el certificado de CA y la clave de CA se exporta (archivado) a las bases de datos del servidor. El archivo puede estar en el PKCS12 o el formato del Privacy Enhanced Mail (PEM).


NotaEste archivo de backup de la clave de CA es extremadamente importante y se debe mover inmediatamente a otro lugar asegurado.

Esta acción que archiva ocurre solamente una vez. Solamente la clave de CA que es (1) exportable manualmente generada y marcada o (2) generado automáticamente por el servidor de certificados está archivada (esta clave es nonexportable marcado).

Autoarchiving no ocurre si usted genera la clave de CA manualmente y la marca “nonexportable.”

Además del certificado de CA y del archivo dominante de CA, usted debe sostener también regularmente el archivo del número de serie (.ser) y el archivo CRL (.crl). El archivo serial y el archivo CRL son críticos para el funcionamiento de CA si se necesita restablecer el servidor de certificados.

No es posible sostener manualmente un servidor que las aplicaciones RSA nonexportable cierren o generaron manualmente, las claves nonexportable RSA. Aunque las claves automáticamente generadas RSA se marquen como nonexportable, están archivadas automáticamente una vez.

Base de Datos del Servidor de Certificados

Los archivos de los almacenes del servidor de certificados del Cisco IOS para su propio uso y pueden publicar los archivos para que otros procesos utilicen. Los archivos críticos generados por el servidor de certificados que son necesarios para su operación en curso se salvan a solamente una ubicación por el tipo de archivo para su uso exclusivo. El servidor de certificados lee en y escribe a estos archivos. Los archivos críticos del servidor de certificados son el archivo del número de serie (.ser) y el archivo de la ubicación de almacenamiento CRL (.crl). Los archivos a los cuales el servidor de certificados escribe, pero no leen en otra vez, pueden estar publicados y disponibles para uso de otros procesos. Un ejemplo de un archivo que pueda ser publicado es el archivo de Certificados publicado (.crt).

El funcionamiento de su servidor de certificados se puede afectar por los factores siguientes, que deben ser considerados cuando usted elige la opción de almacenamiento y las opciones de la publicación para sus archivos del servidor de certificados.

El almacenamiento o publica las ubicaciones que usted elige puede afectar a su funcionamiento del servidor de certificados. La lectura en una ubicación de la red tarda más tiempo que leyendo directamente en el dispositivo del almacenamiento local de un router.

El número de archivos que usted elige salvar o publicar a una ubicación específica puede afectar a su funcionamiento del servidor de certificados. El archivo de sistema de IOS del Cisco local puede siempre no ser conveniente para un gran número de archivos.

Los tipos de archivo que usted elige salvar o publicar puede afectar a su funcionamiento del servidor de certificados. Ciertos archivos, tales como el .crl clasifían, pueden llegar a ser muy grandes.


Notase recomienda que usted salva los archivos .ser y .crl a su archivo de sistema de IOS del Cisco local y publica sus archivos .crt a un sistema de archivos remotos.


Almacenamiento de archivo de base de datos del servidor de certificados

El servidor de certificados permite la flexibilidad para salvar diversos tipos de archivo críticos a diversas ubicaciones de almacenamiento dependiendo del conjunto del nivel de la base de datos (véase database level el comando para más información). Al elegir las ubicaciones de almacenamiento, considere la Seguridad de archivo necesitada y rendimiento del servidor. Por ejemplo, los archivos del número de serie y los archivos (.p12 o .pem) pudieron tener mayores restricciones de seguridad que la ubicación de almacenamiento publicada del archivo de Certificados (.crt) o la ubicación de almacenamiento del archivo de nombre (.cnm).

El cuadro 1 muestra los tipos de archivo críticos del servidor de certificados por la extensión de archivo que se puede salvar a una ubicación específica.

Tabla 1

Extensión de Archivo
Tipo de Archivo

.ser

El archivo de base de datos principal del servidor de certificados.

.crl

La ubicación de almacenamiento CRL.

.crt

La ubicación de almacenamiento publicada de los Certificados.

.cnm

La ubicación de almacenamiento del archivo del nombre y de la expiración del certificado.

.p12

La ubicación del archivo del certificado de servidor de certificados en el formato del PKCS12.

.pem

La ubicación del archivo del certificado de servidor de certificados en el formato PEM.


Tipos de archivo críticos del almacenamiento del servidor de certificados

Los archivos del servidor de certificados del Cisco IOS se pueden salvar a tres niveles de especificidad:

Ubicación predeterminada, NVRAM

Ubicación de almacenamiento primario especificada para todos los archivos críticos

Ubicación de almacenamiento especificada para los archivos críticos específicos.

Una configuración más específica de la ubicación de almacenamiento reemplaza una configuración más general de la ubicación de almacenamiento. Por ejemplo, si usted no ha especificado ninguna ubicaciones de almacenamiento del archivo del servidor de certificados, todos los archivos del servidor de certificados se salvan al NVRAM. Si usted especifica una ubicación de almacenamiento para el archivo de nombre, sólo el archivo de nombre se salva allí; el resto de los archivos continúan siendo salvados al NVRAM. Si usted entonces especifica una ubicación primaria, todos los archivos a menos que el archivo de nombre ahora se salve a esta ubicación, en vez del NVRAM.


Notausted puede especificar .p12 o el .pem; usted no puede especificar ambos tipos de archivos.


Publicación del archivo de base de datos del servidor de certificados

Un archivo de la publicación es una copia del archivo original y está disponible para que otros procesos utilicen o para su uso. Si el servidor de certificados no puede publicar un archivo, hace el servidor apagar. Usted puede especificar uno publica la ubicación para el archivo de Certificados publicado y el archivo y el múltiplo de nombre publican las ubicaciones para el archivo CRL. Vea el cuadro 2 para los tipos de archivos disponibles para la publicación. Usted puede publicar los archivos sin importar el nivel de la base de datos se fija que.

Tabla 2

Extensión de Archivo
Tipo de Archivo

.crl

El CRL publica la ubicación.

.crt

Los Certificados publicados publican la ubicación.

.cnm

El archivo del nombre y de la expiración del certificado publica la ubicación.


El servidor de certificados publica los tipos de archivo

Punto de Confianza del Servidor de Certificados

Si el servidor de certificados también tiene un trustpoint automáticamente generado del mismo nombre, después el trustpoint salva el certificado del servidor de certificados. Después de que el router detecte que un trustpoint se está utilizando para salvar el certificado del servidor de certificados, el trustpoint es bloqueado para no poderlo modificarse.

Antes de configurar el servidor de certificados usted puede realizar el siguiente:

Cree y configure manualmente este trustpoint (usando crypto pki trustpoint el comando), que permite que usted especifique un par clave de la alternativa RSA (usando rsakeypair el comando).

Especifique que el par clave inicial del autoenrollment está generado en un dispositivo específico, tal como un Token USB configurado y disponible, usando on el comando.


Observeel trustpoint automáticamente generado y el certificado de servidor de certificados no está disponible para la identidad del dispositivo del servidor de certificados. Así, cualquier comando line interface(cli) (tal como ip http secure-trustpoint el comando) que está utilizado para especificar el trustpoint de CA para obtener los Certificados y para autenticar el certificado de cliente de conexión debe señalar a un trustpoint adicional configurado en el dispositivo del servidor de certificados.


Si el servidor es un servidor del certificado raíz, utiliza los pares claves RSA y varios otros atributos para generar un certificado autofirmado. El certificado de CA asociado tiene las Extensiones dominantes siguientes del uso — firma digital, muestra del certificado, y muestra CRL.

Después de que se genere el certificado de CA, los atributos pueden ser cambiados solamente si se destruye el servidor de certificados.


Observeel trustpoint del servidor de certificados A no debe ser alistado automáticamente usando auto-enroll el comando. La inscripción inicial del servidor de certificados debe ser iniciada manualmente y las funciones automáticas en curso de la renovación se pueden configurar con auto-rollover el comando. Para más información sobre las funciones automáticas de la renovación, vea la sección “certificado de CA y renovación de clave automáticos.”


Lista de Revocación de Certificados (CRLs)

Por abandono, los CRL se publican una vez cada 168 horas (1 semana de calendario). Para especificar un valor con excepción del valor predeterminado para publicar el CRL, ejecute lifetime crl el comando. Después de que se publique el CRL, se escribe a la ubicación de la base de datos especificada como ca-label.crl, donde ca-label está el nombre del servidor de certificados.

Los CRL se pueden distribuir con el SCEP, que es el método predeterminado, o un CRL Distribution Point (CDP), si están configurados y disponible. Si usted configura un CDP, utilice cdp-url el comando de especificar la ubicación CDP. Si cdp-url el comando no se especifica, la Extensión del certificado CDP no se incluye en los Certificados que son publicados por el servidor de certificados. Si la ubicación CDP no se especifica, los clientes del Cisco IOS PKI piden automáticamente un CRL del servidor de certificados con un mensaje SCEP GetCRL. CA entonces vuelve el CRL en un mensaje SCEP CertRep al cliente. Porque se envuelven todos los mensajes SCEP y PKCS-7 firmados los datos, la extracción SCEP del CRL del servidor de certificados es costosa y no no altamente scalable. En mismo las Redes grandes, un HTTP CDP proporciona un mejor scalability y se recomienda si usted tiene muchos dispositivos de peer que marquen los CRL. Usted puede especificar la ubicación CDP por HTTP URL una cadena simple por ejemplo,

cdp-url http://my-cdp.company.com/filename.crl

El servidor de certificados soporta solamente un CDP; así, todos los Certificados se publican que incluyen el mismo CDP.

Si usted tiene los clientes PKI que no están funcionando con el Cisco IOS Software y que no soportan una petición SCEP GetCRL y desean utilizar un CDP usted puede configurar un servidor externo para distribuir los CRL y para configurar el CDP para señalar a ese servidor. O, usted puede especificar una petición NON-SCEP para la extracción del CRL del servidor de certificados especificando cdp-url el comando con el URL en el formato siguiente donde cs-addr está la ubicación del servidor de certificados:

cdp-url http:///cgi-bin/pkiclient.exe?operation=GetCRLcs-addr


Observesi su Cisco IOS que CA también se configura como su servidor HTTP CDP, especifique su CDP con cdp-url la sintaxis de los comandoscs-addr de http:///cgi-bin/pkiclient.exe?operation=GetCRL.


Es la responsabilidad del administrador de la red asegurarse de que el CRL es disponible desde la ubicación que se especifica con cdp-url el comando.

Para obligar al parser a conservar el signo de interrogación incrustado en la ubicación especificada, ingrese Ctrl-v antes del signo de interrogación. Si estas medidas no se toman, la extracción CRL con el HTTP devuelve un mensaje de error.

La ubicación CDP puede ser cambiada después de que el servidor de certificados se esté ejecutando con cdp-url el comando. Los nuevos Certificados contienen la ubicación actualizada CDP, pero los certificados existentes no se reeditan con la ubicación nuevamente especificada CDP. Cuando se publica un nuevo CRL, el servidor de certificados utiliza su CRL ocultado corriente para generar un nuevo CRL. (Cuando se reinicia el servidor de certificados, recarga el CRL actual de la base de datos.) Un nuevo CRL no puede ser publicado a menos que haya expirado el CRL actual. Después de que expire el CRL actual, se publica un nuevo CRL solamente después que un certificado se revoca del CLI.

Condiciones de Error del Servidor de Certificados

En el lanzamiento, el servidor de certificados marca la configuración actual antes de publicar cualesquiera Certificados. Señala las condiciones de error sabidas más recientes a través show crypto pki server de la salida de comando. Los errores del ejemplo pueden incluir un de los después de las condiciones:

Almacenamiento inaccesible

Para servidor HTTP que espera

Para configuración horaria que espera

Si el servidor de certificados experimenta una falla crítica en cualquier momento, por ejemplo no poder publicar un CRL, el servidor de certificados ingresa automáticamente a un estado inhabilitado. Este estado permite que el administrador de la red repare la condición; después de eso, el servidor de certificados vuelve al estado normal anterior.

Inscripción de Certificados Usando un Servidor de Certificados

Funciones de una petición de la inscripción del certificado como sigue:

El servidor de certificados recibe la petición de la inscripción de un usuario final, y las acciones siguientes ocurren:

– Una entrada de la petición se crea en la base de datos de la petición de la inscripción con el estado inicial. (Véase el cuadro 3 para una lista completa de estados de la petición de la inscripción del certificado.)

– El servidor de certificados refiere a la configuración CLI (o al comportamiento predeterminado cualquier momento un parámetro no se especifica) para determinar la autorización de la petición. Después de eso, el estado de la petición de la inscripción se pone al día en la base de datos de la petición de la inscripción.

En cada interrogación SCEP para una respuesta, el servidor de certificados examina la solicitud actual y realiza una de las acciones siguientes:

– Responde al usuario final con “pendiente” o el estado “negado”.

– Genera y firma el certificado apropiado y salva el certificado en la base de datos de la petición de la inscripción.

Si la conexión del cliente se ha cerrado, el servidor de certificados espera al cliente para pedir otro certificado.

Toda la transición de las peticiones de la inscripción a través de los estados de la inscripción del certificado que se definen en el cuadro 3. Para ver las peticiones actuales de la inscripción, utilice crypto pki server request pkcs10 el comando.

Descripciones de estado de la petición de la inscripción del certificado del cuadro 3 

Estado de la inscripción del certificado
Descripción

autorizado

El servidor de certificados ha autorizado la petición.

negado

El servidor de certificados ha negado el pedido las razones de la política.

concedido

La base de CA ha generado el certificado apropiado para el pedido de certificado.

inicial

La petición ha sido creada por el servidor SCEP.

malformado

El servidor de certificados ha determinado que la petición es inválida por las razones criptográficas.

pendiente

La petición de la inscripción se debe validar manualmente por el administrador de la red.


Inscripción SCEP

Se tratan todas las peticiones SCEP mientras que las nuevas peticiones de la inscripción del certificado, incluso si la petición especifica los asuntos o un par clave público duplicados como pedido de certificado anterior.

Tipos de Servidores CA: Autoridades Subordinadas y de Registro (RAs)

Los servidores de CA tienen la flexibilidad para ser configurado como un servidor de certificados subordinado o servidor de certificados RA-MODE.

¿Por qué configure CA subordinado?

Un servidor de certificados subordinado proporciona aun así las características como servidor del certificado raíz. Los pares claves de la raíz RSA son extremadamente importantes en una jerarquía PKI, y es a menudo ventajoso mantenerlos offline o archivados. Para soportar este requisito, las jerarquías PKI permiten el subordinado CA que han sido firmadas por la autoridad de la raíz. De esta manera, la autoridad de la raíz se puede mantener offline (excepto publicar las actualizaciones ocasionales CRL), y CA subordinado se puede utilizar durante el funcionamiento normal.

¿Por qué configure un servidor de certificados RA-MODE?

Un servidor de certificados Cisco IOS se puede configurar para que se ejecute en modo RA. Una RA descarga las responsabilidades de autenticación y autorización de una CA. Cuando la RA recibe una solicitud de inscripción manual o SCEP, el administrador puede rechazarla o concederla en función de la política local. Si se concede la petición, se remite a CA de publicación, y CA genera automáticamente el certificado y lo vuelve al RA. El cliente puede recuperar más adelante el certificado concedido del RA.

Un RA es la autoridad encargada de la grabación o de verificar alguno o todos los datos requeridos para que CA publique los Certificados. En muchos casos CA emprende todo el RA funciona sí mismo, pero donde CA actúa sobre una área geográfica amplia o cuando hay problemas de seguridad sobre exponer CA para dirigir el acceso a la red, puede ser administrativo recomendable delegar algunas de las tareas a un RA y dejar CA para concentrar en sus tareas primarias de los Certificados de firma y de los CRL.

Compatibilidad del servidor de CA

En el Cisco IOS Release 15.1(2)T, las nuevas funciones fueron introducidas que permiten que el servidor IOS CA en el modo RA interopere con más de un tipo de servidor CA. Vea “configurando un servidor de certificados para ejecutarse en la sección del modo RA” para más información.

Certificado de CA Automático y Renovación de Llave

Los CA — raíz CA, CA subordinados, y RA-MODE CA — como sus clientes, tienen los Certificados y pares claves con las fechas de vencimiento que necesitan ser reeditadas cuando el certificado y el par clave actuales están a punto de expirar. Cuando están expirando un certificado y el par clave de CA de la raíz debe generar un certificado y un par clave uno mismo-firmados de la renovación. Si están expirando CA subordinado o un certificado y el par clave RA-MODE CA, pide un certificado y un par clave de la renovación de su CA superior, obteniendo Certificados uno mismo-firmados de la renovación de CA del superior los nuevos al mismo tiempo. CA debe distribuir el nuevos certificado y claves de la renovación de CA demasiado todos sus pares. Este proceso, llamado renovación, permite la operación continua de la red mientras que los CA y sus clientes están conmutando de un certificado de CA y de un par clave de expiración a un nuevos certificado de CA y par clave.

La renovación confía en los requisitos de la infraestructura PKI de las relaciones de confianza y de los relojes sincronizados. Las relaciones de confianza PKI permiten que (1) el nuevo certificado de CA sean autenticados, y (2) la renovación que se logrará automáticamente sin la pérdida de Seguridad. Los relojes sincronizados permiten que la renovación sea coordinada en su red.

Renovación automática del certificado de CA: Cómo funciona

El servidor de CA debe tener renovación configurada. Todos los niveles de CA deben ser alistados y haber habilitado auto-rollover automáticamente. Los clientes de CA soportan la renovación automáticamente cuando están alistados automáticamente. Para más información sobre los clientes y la renovación automática, vea la sección “inscripción del certificado automática” en el módulo la “que configura inscripción del certificado para un PKI” de la guía de configuración de seguridad: Conectividad segura.

Después de que los CA tengan renovación habilitada y alistan a sus clientes automáticamente, hay tres etapas al proceso automático de la renovación del certificado de CA.

Etapa una: Certificado de CA y par clave activos solamente

En la etapa una, hay un certificado de CA y un par clave activos solamente.

Etapa dos: Certificado de CA de la renovación y generación de par clave y distribución

En la etapa dos, se generan y se distribuyen el certificado de CA y el par clave de la renovación. CA superior genera un certificado y un par clave de la renovación. Después de que CA guarde con éxito su configuración activa, CA está listo para responder a los pedidos de cliente para el certificado y el par clave de la renovación. Cuando CA superior recibe una petición el nuevo certificado de CA y el par clave de un cliente, CA responde enviando el nuevos certificado de CA y par clave de la renovación al cliente solicitante. Los clientes salvan el certificado de CA y el par clave de la renovación.


Observecuando CA genera su certificado y par clave de la renovación, debe poder salvar su configuración activa. Si se ha alterado la configuración actual, el guardar del certificado y del par clave de la renovación no sucede automáticamente. En este caso, el administrador debe salvar la configuración manualmente o se pierde la información de la renovación.


Etapa tres: El certificado de CA y el par clave de la renovación se convierten en el certificado de CA y el par clave activos

En la etapa tres, el certificado de CA y el par clave de la renovación se convierten en el certificado de CA y el par clave activos. Se borran todos los dispositivos que han salvado un certificado de CA válido de la renovación retitulan el certificado de la renovación al certificado activo y el certificado y el par clave una vez que-activos.


Observedespués de la renovación del certificado de CA, usted puede observar la desviación siguiente a partir del curso de la vida y del tiempo de renovación usuales del certificado:

El curso de la vida de los Certificados publicados durante la renovación es más bajo que el valor preconfigurado.

En las condiciones específicas, el tiempo de la renovación puede ser inferior al porcentaje configurado del curso de la vida real. La diferencia observada puede estar del hasta 20% en caso de que el curso de la vida del certificado sea menos de una hora.

Estas diferencias son normales, y resultado jitter (fluctuación del tiempo aleatorio) de introducido por el algoritmo en el servidor de certificados. Se realiza esta tarea de evitar a los hosts que participan al PKI sincroniza su temporizador de la inscripción, que podría dar lugar a la congestión en el servidor de certificados.


Observelas fluctuaciones del curso de la vida que ocurren no afectan a funcionamiento apropiado del PKI, puesto que las diferencias dan lugar siempre a un curso de la vida más corto, así sigue habiendo dentro del curso de la vida configurado máximo para los Certificados.


Soporte SHA-2 para especificar una función de troceo criptográfica

Algoritmo de troceo seguro (el soporte SHA)-2 permite que un usuario especifique una función de troceo criptográfica para los servidores de certificados y los clientes del Cisco IOS. Las funciones de troceo criptográficas que pueden ser especificadas son el algoritmo condensado de mensaje 5 (MD5), SHA-1, SHA-256, SHA-384, o SHA-512.

Vea “configurando la sección de un servidor de certificados subordinado” para más información sobre especificar hash (Ca-trustpoint) y hash los comandos (del cs-servidor) que se utilicen para implementar esta característica.

Cómo Configurar e Implementar Cisco IOS Certificate Server

Generación de un Par de Llaves RSA del Servidor de Certificados

Configuración de los Servidores de Certificados

Configuración de la Funcionalidad del Servidor de Certificados

Trabajo con la Renovación Automática del Certificado de la CA

Mantenimiento, Verificación y Troubleshooting del Servidor de Certificados, Certificados y CA

Generación de un Par de Llaves RSA del Servidor de Certificados

Realice esta tarea de generar manualmente un par clave RSA para el servidor de certificados. Manualmente la generación de un par clave del servidor de certificados RSA permite que usted especifique el tipo de par clave que usted quiere generar, que cree un par clave exportable para los objetivos de backup, que especifique la ubicación de almacenamiento del par clave, o que especifique la ubicación de la generación de claves.

Si usted está funcionando con las versiones del Cisco IOS Release 12.3(8)T o Anterior, usted puede querer crear un par clave exportable del servidor de certificados para el respaldo, o el archivo purposes. Si esta tarea no se realiza, el servidor de certificados genera automáticamente un par clave, que no se marca como exportable. El archivar automático del certificado de CA fue introducido en el Cisco IOS Release 12.3(11)T.

A partir de las versiones del Cisco IOS Release 12.4(11)T y Posterior, si su router tiene un Token USB configurado y disponible, el Token USB se puede utilizar como dispositivo criptográfico además de un dispositivo de almacenamiento. Usando un Token USB como dispositivo criptográfico permite las operaciones RSA tales como generación de claves, firma, y autenticación de las credenciales que se realizará en un Token USB. La clave privada nunca sale del Token USB y no es exportable. El clave pública es exportable. Para los títulos de los documentos específicos sobre configurar un Token USB y la fabricación de él disponible para utilizar como dispositivo criptográfico, vea que “relacionó la sección de los documentos”.


Notase recomienda que la clave privada esté mantenida una ubicación segura y que usted archiva regularmente la base de datos de servidor de certificados.


PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto key generate rsa [general-keys | usage-keys | signature | encryption] []labelkey-labeldel []exportable del []modulus modulus-sizedel []storage devicename:del []on devicename:

4.crypto key export rsa PEM de la clave-escritura de la etiqueta {terminal | url URL} {3des | des} passphrase

5.crypto key import rsakey-labelpem[usage-keys | signature | encryption] {terminal | url url} []exportabledel []on devicename: passphrase

6. exit

7. show crypto key mypubkey rsa

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto key generate rsa [general-keys | usage-keys | signature | encryption] [label key-label] [exportable] [modulus modulus-size] [storage devicename:] [on devicename:]

Example:

Router (config)# crypto key generate rsa label mycs exportable modulus 2048

Genera el par clave RSA para el servidor de certificados.

storage La palabra clave especifica la ubicación de almacenamiento dominante.

Al especificar un nombre de escritura de la etiqueta especificando key-label el argumento, usted debe utilizar el mismo nombre para la escritura de la etiqueta que usted planea utilizar para el servidor de certificados (con crypto pki server cs-label el comando). Si key-label un argumento no se especifica, se utiliza el valor predeterminado, que es el nombre de dominio completo (FQDN) del router.

Si el par clave exportable RSA se genera manualmente después de que el certificado de CA se haya generado, y antes de publicar no shutdown el comando, después utilice crypto ca export pkcs12 el comando de exportar un archivo del PKCS12 que contenga el certificado de servidor de certificados y la clave privada.

Por abandono, los tamaños del módulo de una clave de CA son 1024 bits. El módulo recomendado para una clave de CA es 2048 bits. El rango para los tamaños del módulo de una clave de CA es a partir 350 a 4096 bits.

on La palabra clave especifica que el par clave RSA está creado en el dispositivo especificado, incluyendo un token del Bus serie universal (USB), un disco local, o un NVRAM. El nombre del dispositivo es seguido por los dos puntos (:).

Las clavesde la nota creadas en un Token USB deben ser 2048 bits o menos.

Paso 4 

crypto key export rsa key-label pem {terminal | url url} {3des | des} passphrase

Example:

Router (config)# crypto key export rsa mycs pem url nvram: 3des PASSWORD

(Opcional) exporta el par clave generado RSA.

Permite que usted exporte las claves generadas.

Paso 5 

crypto key import rsa key-label pem [usage-keys | signature | encryption] {terminal | url url} [exportable] [on devicename:] passphrase

Example:

Router (config)# crypto key import rsa mycs2 pem url nvram:mycs PASSWORD

Par clave (opcional) de las importaciones RSA.

Para crear las claves importadas en un Token USB, utilice on la palabra clave y especifique la ubicación del dispositivo apropiada.

Si usted exportó las claves RSA usando exportable la palabra clave y usted quiere cambiar el par clave RSA a nonexportable, importe la clave de nuevo al servidor de certificados sinexportable la palabra clave. La clave no se puede exportar otra vez.

Paso 6 

exit

Example:

Router (config)# exit

Sale de la configuración global.

Paso 7 

show crypto key mypubkey rsa

Example:

Router# show crypto key mypubkey rsa

Visualiza los claves públicas RSA de su router.

Ejemplos

El siguiente ejemplo genera un par clave general del uso 1024-bit RSA en un Token USB con la escritura de la etiqueta el "ms2" con los mensajes de debugging del motor de criptografía mostrados:

Router(config)# crypto key generate rsa on usbtoken0 label ms2 modulus 1024
The name for the keys will be: ms2 
% The key modulus size is 1024 bits 
% Generating 1024 bit RSA keys, keys will be on-token, non-exportable... 
Jan 7 02:41:40.895: crypto_engine: Generate public/private keypair [OK] 
Jan 7 02:44:09.623: crypto_engine: Create signature 
Jan 7 02:44:10.467: crypto_engine: Verify signature 
Jan 7 02:44:10.467: CryptoEngine0: CRYPTO_ISA_RSA_CREATE_PUBKEY(hw)(ipsec) 
Jan 7 02:44:10.467: CryptoEngine0: CRYPTO_ISA_RSA_PUB_DECRYPT(hw)(ipsec) 

Ahora, las claves del en-token etiquetadas el "ms2" se pueden utilizar para la inscripción.

El siguiente ejemplo muestra la importación acertada de una clave de encripción a los Token USB configurados y disponibles:

Router# configure terminal 
Enter configuration commands, one per line. End with CNTL/Z. 
Router(config)# crypto key import rsa encryption on usbtoken0 url nvram:e password 
% Importing public Encryption key or certificate PEM file... 
filename [e-encr.pub]? 
Reading file from nvram:e-encr.pub 
% Importing private Encryption key PEM file... 
Source filename [e-encr.prv]? 
Reading file from nvram:e-encr.prv 
% Key pair import succeeded.

Configuración de los Servidores de Certificados

Configuración de un Servidor de Certificados

Configuración de un Servidor de Certificados Subordinado

Configuración de un Servidor de Certificados para Ejecutarse en el Modo RA

Configuración del Servidor de Certificado Root para Delegar las Tareas de Inscripción al Servidor de Certificados de Modo RA

Requisitos previos para la renovación automática del certificado de CA

Al configurar un servidor de certificados, para que la renovación automática del certificado de CA se ejecute con éxito, los requisitos previos siguientes son aplicables para sus servidores de CA:

Usted debe ser Cisco IOS Release 12.4(2)T corriente o una versión posterior en sus servidores de CA.

Su servidor de CA debe ser habilitado y de configuración completa con un Time Of Day confiable, un par clave disponible, un certificado de CA uno mismo-firmado, válido asociado al par clave, un CRL, un dispositivo de almacenamiento accesible, y un servidor activo HTTP/SCEP.

Los clientes de CA deben haber completado con éxito el enlistamiento automático y tener autoenrollment habilitado con el mismo servidor de certificados.


Observesi usted es el Cisco IOS corriente 12.4(2)T o versiones anteriores, sólo su raíz CA soporta las funciones automáticas de la renovación del certificado de CA. El Cisco IOS 12.4(4)T o versiones posteriores soporta todos los CA — arraigue los CA, los CA subordinados, y RA-MODE CA.


Restricciones para la renovación automática del certificado de CA

Al configurar un servidor de certificados, para que la renovación automática del certificado de CA se ejecute con éxito, las restricciones siguientes son aplicables:

Se debe utilizar SCEP para soportar la renovación. Cualquier dispositivo que aliste con el PKI usando una alternativa al SCEP pues el protocolo o el mecanismo de la administración de certificados (tal como perfiles de la inscripción, Registro manual, o inscripción TFTP) no es poder aprovecharse de las funciones de la renovación proporcionadas por el SCEP.

Si usted tiene archivo automático configurado en su red y el archivo falla, la renovación no ocurre porque el servidor de certificados no ingresa el estado de la renovación, y el certificado y el par clave de la renovación no se guarda automáticamente.

Configuración de un Servidor de Certificados

Realice esta tarea de configurar un servidor de certificados del Cisco IOS y de habilitar la renovación automática.

PASOS SUMARIOS

1. enable

2. configure terminal

3. ip http server

4. crypto pki server cs-label

5. no shutdown

6.auto-rollover []time-period

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip http server

Example:

Router(config)# ip http server

Habilita el servidor HTTP en su sistema.

Paso 4 

crypto pki server cs-label

Example:

Router(config)# crypto pki server server-pki

Define una escritura de la etiqueta para el servidor de certificados y ingresa al modo de configuración del servidor de certificados.

Observesi usted generó manualmente un par clave RSA, cs-label el argumento debe hacer juego el nombre del par clave.

Paso 5 

no shutdown

Example:

Router(cs-server)# no shutdown

(Opcional) habilita el servidor de certificados.

Observesolamente el uso este comando en este momento si usted quiere utilizar las funciones predeterminadas preconfiguradas. Es decir, no publique este comando apenas con todo si usted planea cambiar las configuraciones predeterminadas unas de los tal y como se muestra en de la tarea las “que configura funciones del servidor de certificados.”

Paso 6 

auto-rollover [time-period]

Example:

Router(cs-server)# auto-rollover 90

(Opcional) Habilita la función de renovación automática de certificados de CA.

time-period - el valor predeterminado son 30 días.

Ejemplos

El siguiente ejemplo muestra cómo configurar el servidor de certificados “Ca”:

Router(config)# crypto pki server ca
Router(cs-server)# no shutdown
% Once you start the server, you can no longer change some of 
% the configuration.
Are you sure you want to do this? [yes/no]: yes
% Generating 1024 bit RSA keys ...[OK]
% Certificate Server enabled.
Router(cs-server)# end
!
Router# show crypto pki server
Certificate Server ca:
    Status: enabled, configured
    CA cert fingerprint: 5A856122 4051347F 55E8C246 866D0AC3 
    Granting mode is: manual
    Last certificate issued serial number: 0x1
    CA certificate expiration timer: 19:44:57 GMT Oct 14 2006
    CRL NextUpdate timer: 19:45:25 GMT Oct 22 2003
    Current storage dir: nvram:
    Database Level: Complete - all issued certs written as <serialnum>.cer

El siguiente ejemplo muestra cómo habilitar la renovación automatizada del certificado de CA en los mycs del servidor con auto-rollover el comando. show crypto pki server El comando muestra que la renovación automática se ha configurado en los mycs del servidor con un período de la coincidencia de 25 días.

Router(config)# crypto pki server mycs
Router(cs-server)# auto-rollover 25
Router(cs-server)# no shut
%Some server settings cannot be changed after CA certificate generation.
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
% Exporting Certificate Server signing certificate and keys...
% Certificate Server enabled.
Router(cs-server)#
Router# show crypto pki server 
Certificate Server mycs:
    Status:enabled
    Server's configuration is locked  (enter "shut" to unlock it)
    Issuer name:CN=mycs
    CA cert fingerprint:70AFECA9 211CDDCC 6AA9D7FF 3ADB03AE 
    Granting mode is:manual
    Last certificate issued serial number:0x1
    CA certificate expiration timer:00:49:26 PDT Jun 20 2008
    CRL NextUpdate timer:00:49:29 PDT Jun 28 2005
    Current storage dir:nvram:
    Database Level:Minimum - no cert data written to storage
    Auto-Rollover configured, overlap period 25 days
    Autorollover timer:00:49:26 PDT May 26 2008

Configuración de un Servidor de Certificados Subordinado

Realice esta tarea de configurar un servidor de certificados subordinado para conceder todos o cierto SCEP o los pedidos de certificado manuales y para habilitar la renovación automática.

Restricciones

Usted debe ser Cisco IOS Release 12.3(14)T corriente o una versión posterior. (Las versiones antes del Cisco IOS Software Release 12.3(14)T soportan solamente un servidor de certificados y ninguna jerarquía; es decir, los servidores de certificados subordinados no se soportan.)

El servidor del certificado raíz debe ser servidor de certificados del Cisco IOS.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto pki trustpoint nombre

4.enrollment url URL

5.hash {md5 | sha1 | sha256 | sha384 | sha512}

6. exit

7.crypto pki server escritura de la etiqueta del cs

8. issuer name DN-string

9. mode sub-cs

10.auto-rollover []time-period

11grant auto rollover {ca-cert | ra-cert}

12. hash {md5 | sha1 | sha256 | sha384 | sha512}

13. no shutdown

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto pki trustpoint name

Example:

Enter configuration commands, one per line. End with CNTL/Z.

Declara el trustpoint que su servidor de certificados subordinado debe utilizar y ingresa al modo de configuración del Ca-trustpoint.

Paso 4 

enrollment url url

Example:

Router (ca-trustpoint)# enrollment url http://192.0.2.6

Especifica la URL de inscripción del servidor de emisión de certificados CA (servidor de certificados raíz).

Paso 5 

hash {md5 | sha1 | sha256 | sha384 | sha512}

Example:

Router (ca-trustpoint)# hash sha384

(Opcional) especifica la función de troceo para la firma que el cliente del Cisco IOS utiliza para firmar sus certificados autofirmados.

md5 — Especifica ese MD5, la función de troceo predeterminada, se utiliza.

sha1 — Especifica que la función de troceo SHA-1 está utilizada.

sha256 — Especifica que la función de troceo del SHA-256 está utilizada.

sha384 — Especifica que la función de troceo del SHA-384 está utilizada.

sha512 — Especifica que la función de troceo del SHA-512 está utilizada.

Paso 6 

exit

Example:

Router(config)# 

Sale del modo de configuración de ca-trustpoint.

Paso 7 

crypto pki server cs-label

Example:

% Importing public Encryption key or certificate PEM file...

Habilita un servidor de certificados de Cisco IOS e ingresa en el modo de configuración de cs-server.

Observeel servidor subordinado debe tener el mismo nombre que el trustpoint que fue creado en el paso 3 antedicho.

Paso 8 

issuer name DN-string

Example:

filename [e-encr.pub]? # issuer-name CN=sub CA, O=Cisco, C=us

(Opcional) especifica el DN como el nombre del emisor de CA para el servidor de certificados.

Paso 9 

mode sub-cs

Example:

Reading file from nvram:e-encr.pub

Coloca el servidor pki en el modo de servidor del sub-certificado.

Paso 10 

auto-rollover [time-period]

Example:

Router(cs-server)# auto-rollover 90

(Opcional) Habilita la función de renovación automática de certificados de CA.

time-period - el valor predeterminado son 30 días.

Paso 11 

grant auto rollover {ca-cert | ra-cert}

Example:

Router(cs-server)# grant auto rollover ca-cert

(Opcional) Concede automáticamente las solicitudes de reinscripción a las CAs y CAs del modo RA subordinadas sin intervención del operador.

ca-cert — Especifica que el certificado subordinado de la renovación de CA está concedido automáticamente.

ra-cert — Especifica que el certificado de la renovación RA-MODE CA está concedido automáticamente.

Observesi éste es la primera vez que un servidor de certificados subordinado está habilitado y alistado, el pedido de certificado debe ser concedido manualmente.

Paso 12 

hash {md5 | sha1 | sha256 | sha384 | sha512}

Example:

Router(cs-server)# hash sha384

(Opcional) fija la función de troceo para la firma que el Certificate Authority (CA) del Cisco IOS utiliza para firmar todos los Certificados publicados por el servidor.

md5 — Especifica ese MD5, la función de troceo predeterminada, se utiliza.

sha1 — Especifica que la función de troceo SHA-1 está utilizada.

sha256 — Especifica que la función de troceo del SHA-256 está utilizada.

sha384 — Especifica que la función de troceo del SHA-384 está utilizada.

sha512 — Especifica que la función de troceo del SHA-512 está utilizada.

Paso 13 

no shutdown

Example:

Router(cs-server)# no shutdown

Los permisos o vuelven a permitir el servidor de certificados.

Si éste es la primera vez que un servidor de certificados subordinado está habilitado, el servidor de certificados genera la clave y obtiene su certificado de firma del servidor del certificado raíz.

Ejemplos

Si el servidor de certificados no puede habilitar o si el servidor de certificados tiene problema que maneja la petición se ha configurado que, usted puede utilizar debug crypto pki server el comando de resolver problemas su configuración tal y como se muestra en de los siguientes ejemplos (reloj no fijado y trustpoint no configurado):

Router# debug crypto pki server

Reloj no fijado

Router(config)# crypto pki server sub
Router(cs-server)# mode sub-cs
Router(cs-server)# no shutdown
%Some server settings cannot be changed after CA certificate generation.
% Please enter a passphrase to protect the private key % or type Return to exit
Password: 
*Jan  6 20:57:37.667: CRYPTO_CS: enter FSM: input state initial, input signal no shut
Re-enter password: 
% Generating 1024 bit RSA keys ...
*Jan  6 20:57:45.303: CRYPTO_CS: starting enabling checks
*Jan  6 20:57:45.303: CRYPTO_CS: key 'sub' does not exist; generated automatically[OK]
% Time has not been set. Cannot start the Certificate server

Trustpoint no configurado

Router(config)# crypto pki server sub
Router(cs-server)# mode sub-cs
Router(cs-server)# no shutdown
%Some server settings cannot be changed after CA certificate generation.
% Please enter a passphrase to protect the private key or type Return to exit 
Password: 
Jan  6 21:00:15.961: CRYPTO_CS: enter FSM: input state initial, input signal no shut. 
Jan  6 21:03:34.309: CRYPTO_CS: enter FSM: input state initial, input signal time set. 
Jan  6 21:03:34.313: CRYPTO_CS: exit FSM: new state initial.
Jan  6 21:03:34.313: CRYPTO_CS: cs config has been unlocked 
Re-enter password:
% Generating 1024 bit RSA keys ...
Jan  6 21:03:44.413: CRYPTO_CS: starting enabling checks
Jan  6 21:03:44.413: CRYPTO_CS: associated trust point 'sub' does not exist; generated 
automatically
Jan  6 21:03:44.417: CRYPTO_CS: key 'sub' does not exist; generated automatically[OK]
Jan  6 21:04:03.993: CRYPTO_CS: nvram filesystem
Jan  6 21:04:04.077: CRYPTO_CS: serial number 0x1 written.
You must specify an enrollment URL for this CA before you can authenticate it.
% Failed to authenticate the Certificate Authority

Si el servidor de certificados no puede obtener su certificado de firma del servidor del certificado raíz, usted puede utilizar debug crypto pki transactions el comando de resolver problemas su configuración tal y como se muestra en del siguiente ejemplo:

Router# debug crypto pki transactions
Jan  6 21:07:00.311: CRYPTO_CS: enter FSM: input state initial, input signal time set 
Jan  6 21:07:00.311: CRYPTO_CS: exit FSM: new state initial
Jan  6 21:07:00.311: CRYPTO_CS: cs config has been unlocked no sh
%Some server settings cannot be changed after CA certificate generation.
% Please enter a passphrase to protect the private key % or type Return to exit 
Password: 
Jan  6 21:07:03.535: CRYPTO_CS: enter FSM: input state initial, input signal no shut
Re-enter password:
% Generating 1024 bit RSA keys ...
Jan  6 21:07:10.619: CRYPTO_CS: starting enabling checks
Jan  6 21:07:10.619: CRYPTO_CS: key 'sub' does not exist; generated automatically[OK]
Jan  6 21:07:20.535: %SSH-5-ENABLED: SSH 1.99 has been enabled
Jan  6 21:07:25.883: CRYPTO_CS: nvram filesystem
Jan  6 21:07:25.991: CRYPTO_CS: serial number 0x1 written.
Jan  6 21:07:27.863: CRYPTO_CS: created a new serial file.
Jan  6 21:07:27.863: CRYPTO_CS: authenticating the CA 'sub'
Jan  6 21:07:27.867: CRYPTO_PKI: Sending CA Certificate Request:
GET /cgi-bin/pkiclient.exe?operation=GetCACert&message=sub HTTP/1.0
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Cisco PKI)
Jan 6 21:07:27.867: CRYPTO_PKI: can not resolve server name/IP address
Jan 6 21:07:27.871: CRYPTO_PKI: Using unresolved IP Address 192.0.2.6 Certificate has the 
following attributes:
     Fingerprint MD5: 328ACC02 52B25DB8 22F8F104 B6055B5B 
     Fingerprint SHA1: 02FD799D DD40C7A8 61DC53AB 1E89A3EA 2A729EE2
% Do you accept this certificate? [yes/no]: 
Jan  6 21:07:30.879: CRYPTO_PKI: http connection opened
Jan 6 21:07:30.903: CRYPTO_PKI: HTTP response header:
  HTTP/1.1 200 OK
Date: Thu, 06 Jan 2005 21:07:30 GMT
Server: server-IOS
Content-Type: application/x-x509-ca-cert
Expires: Thu, 06 Jan 2005 21:07:30 GMT
Last-Modified: Thu, 06 Jan 2005 21:07:30 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Accept-Ranges: none
Content-Type indicates we have received a CA certificate.
Jan  6 21:07:30.903: Received 507 bytes from server as CA certificate:
Jan  6 21:07:30.907: CRYPTO_PKI: transaction GetCACert completed
Jan  6 21:07:30.907: CRYPTO_PKI: CA certificate received.
Jan  6 21:07:30.907: CRYPTO_PKI: CA certificate received.
Jan  6 21:07:30.927: CRYPTO_PKI: crypto_pki_authenticate_tp_cert()
Jan  6 21:07:30.927: CRYPTO_PKI: trustpoint sub authentication status = 0 y Trustpoint CA 
certificate accepted.%
% Certificate request sent to Certificate Authority
% Enrollment in progress...
Router (cs-server)#
Jan 6 21:07:51.772: CRYPTO_CA: certificate not found
Jan 6 21:07:51.772: CRYPTO_CA: certificate not found
Jan 6 21:07:52.460: CRYPTO_CS: Publishing 213 bytes to crl file nvram:sub.crl
Jan 6 21:07:54.348: CRYPTO_CS: enrolling the server's trustpoint 'sub'
Jan 6 21:07:54.352: CRYPTO_CS: exit FSM: new state check failed
Jan 6 21:07:54.352: CRYPTO_CS: cs config has been locked
Jan 6 21:07:54.356: CRYPTO_PKI: transaction PKCSReq completed
Jan 6 21:07:54.356: CRYPTO_PKI: status: 
Jan 6 21:07:55.016: CRYPTO_PKI:  Certificate Request Fingerprint MD5: 1BA027DB 1C7860C7 
EC188F65 64356C80
Jan 6 21:07:55.016: CRYPTO_PKI:  Certificate Request Fingerprint SHA1: 840DB52C E17614CB 
0C7BE187 0DFC884D D32CAA75
Jan 6 21:07:56.508: CRYPTO_PKI: can not resolve server name/IP address
Jan 6 21:07:56.508: CRYPTO_PKI: Using unresolved IP Address 192.0.2.6
Jan 6 21:07:56.516: CRYPTO_PKI: http connection opened
Jan 6 21:07:59.136: CRYPTO_PKI: received msg of 776 bytes
Jan 6 21:07:59.136: CRYPTO_PKI: HTTP response header:
  HTTP/1.1 200 OK
  Date: Thu, 06 Jan 2005 21:07:57 GMT
  Server: server-IOS
  Content-Type: application/x-pki-message
  Expires: Thu, 06 Jan 2005 21:07:57 GMT
  Last-Modified: Thu, 06 Jan 2005 21:07:57 GMT
  Cache-Control: no-store, no-cache, must-revalidate
  Pragma: no-cache
  Accept-Ranges: none
Jan 6 21:07:59.324: The PKCS #7 message has 1 verified signers.
Jan 6 21:07:59.324: signing cert: issuer=cn=root1
Jan 6 21:07:59.324: Signed Attributes:
Jan 6 21:07:59.328: CRYPTO_PKI: status = 102: certificate request pending
Jan 6 21:08:00.788: CRYPTO_PKI: can not resolve server name/IP address
Jan 6 21:08:00.788: CRYPTO_PKI: Using unresolved IP Address 192.0.2.6
Jan 6 21:08:00.796: CRYPTO_PKI: http connection opened
Jan 6 21:08:11.804: CRYPTO_PKI: received msg of 776 bytes
Jan 6 21:08:11.804: CRYPTO_PKI: HTTP response header: HTTP/1.1 200 OK
  Date: Thu, 06 Jan 2005 21:08:01 GMT
  Server: server-IOS
  Content-Type: application/x-pki-message
  Expires: Thu, 06 Jan 2005 21:08:01 GMT
  Last-Modified: Thu, 06 Jan 2005 21:08:01 GMT
  Cache-Control: no-store, no-cache, must-revalidate
  Pragma: no-cache
  Accept-Ranges: none
Jan  6 21:08:11.992: The PKCS #7 message has 1 verified signers.
Jan  6 21:08:11.992: signing cert: issuer=cn=root1
Jan  6 21:08:11.996: Signed Attributes:
Jan  6 21:08:11.996: CRYPTO_PKI: status = 102: certificate request pending
Jan  6 21:08:21.996: CRYPTO_PKI: All sockets are closed for trustpoint sub.
Jan  6 21:08:31.996: CRYPTO_PKI: All sockets are closed for trustpoint sub.
Jan  6 21:08:41.996: CRYPTO_PKI: All sockets are closed for trustpoint sub.
Jan  6 21:08:51.996: CRYPTO_PKI: All sockets are closed for trustpoint sub.
Jan  6 21:09:01.996: CRYPTO_PKI: All sockets are closed for trustpoint sub.
Jan  6 21:09:11.996: CRYPTO_PKI: resend GetCertInitial, 1 
Jan  6 21:09:11.996: CRYPTO_PKI: All sockets are closed for trustpoint sub. 
Jan  6 21:09:11.996: CRYPTO_PKI: resend GetCertInitial for session: 0 
Jan  6 21:09:11.996: CRYPTO_PKI: can not resolve server name/IP address
Jan  6 21:09:11.996: CRYPTO_PKI: Using unresolved IP Address 192.0.2.6
Jan  6 21:09:12.024: CRYPTO_PKI: http connection opened% Exporting Certificate Server 
signing certificate and keys...
Jan  6 21:09:14.784: CRYPTO_PKI: received msg of 1611 bytes
Jan  6 21:09:14.784: CRYPTO_PKI: HTTP response header:
  HTTP/1.1 200 OK
  Date: Thu, 06 Jan 2005 21:09:13 GMT
  Server: server-IOS
  Content-Type: application/x-pki-message
  Expires: Thu, 06 Jan 2005 21:09:13 GMT
  Last-Modified: Thu, 06 Jan 2005 21:09:13 GMT
  Cache-Control: no-store, no-cache, must-revalidate
  Pragma: no-cache
  Accept-Ranges: none
Jan  6 21:09:14.972: The PKCS #7 message has 1 verified signers.
Jan  6 21:09:14.972: signing cert: issuer=cn=root1
Jan  6 21:09:14.972: Signed Attributes:
Jan  6 21:09:14.976: CRYPTO_PKI: status = 100: certificate is granted 
Jan  6 21:09:15.668: The PKCS #7 message contains 1 certs and 0 crls. 
Jan  6 21:09:15.688: Newly-issued Router Cert: issuer=cn=root serial=2
Jan  6 21:09:15.688: start date: 21:08:03 GMT Jan 6 2005
Jan  6 21:09:15.688: end date: 21:08:03 GMT Jan 6 2006
Jan  6 21:09:15.688: Router date: 21:09:15 GMT Jan 6 2005
Jan  6 21:09:15.692: Received router cert from CA
Jan  6 21:09:15.740: CRYPTO_CA: certificate not found
Jan  6 21:09:15.744: CRYPTO_PKI: All enrollment requests completed for trustpoint sub. 
Jan  6 21:09:15.744: %PKI-6-CERTRET: Certificate received from Certificate Authority 
Jan  6 21:09:15.744: CRYPTO_PKI: All enrollment requests completed for trustpoint sub. 
Jan  6 21:09:15.744: CRYPTO_PKI: All enrollment requests completed for trustpoint sub. 
Jan  6 21:09:15.748: CRYPTO_CS: enter FSM: input state check failed, input signal cert 
configured
Jan  6 21:09:15.748: CRYPTO_CS: starting enabling checks
Jan  6 21:09:15.748: CRYPTO_CS: nvram filesystem 
Jan  6 21:09:15.796: CRYPTO_CS: found existing serial file.
Jan  6 21:09:15.820: CRYPTO_CS: old router cert flag 0x4
Jan  6 21:09:15.820: CRYPTO_CS: new router cert flag 0x44
Jan  6 21:09:18.432: CRYPTO_CS: DB version 1
Jan  6 21:09:18.432: CRYPTO_CS: last issued serial number is 0x1
Jan  6 21:09:18.480: CRYPTO_CS: CRL file sub.crl exists.
Jan  6 21:09:18.480: CRYPTO_CS: Read 213 bytes from crl file sub.crl.
Jan  6 21:09:18.532: CRYPTO_CS: SCEP server started
Jan  6 21:09:18.532: CRYPTO_CS: exit FSM: new state enabled
Jan  6 21:09:18.536: CRYPTO_CS: cs config has been locked
Jan  6 21:09:18.536: CRYPTO_PKI: All enrollment requests completed for trustpoint sub.

Si el servidor de certificados no puede habilitar o si el servidor de certificados tiene problema que maneja la petición se ha configurado que, usted puede utilizar debug crypto pki server el comando de resolver problemas el progreso de una inscripción. Este comando se puede también utilizar para hacer el debug de raíz CA (vuelta él encendido en raíz CA).

Configuración de un Servidor de Certificados para Ejecutarse en el Modo RA

El servidor de certificados del Cisco IOS puede actuar como RA para Cisco IOS CA u otro otro vendedor CA leyó los detalles en el paso 8 para más información sobre transparent la opción de palabra clave si se utiliza CA de tercera persona.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto pki trustpoint nombre

4.enrollment url URL

5. subject-name x.500-name

6. exit

7. crypto pki server cs-label

8.mode ra[]transparent

9.auto-rollover []time-period

10.grant auto rollover {ca-cert | ra-cert}

11. no shutdown

12. no shutdown

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

% Importing private Encryption key PEM file... configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto pki trustpoint name

Example:

Source filename [e-encr.prv]?

Declara el trustpoint que su servidor de certificados del modo RA debe utilizar y ingresa al modo de configuración del Ca-trustpoint.

Paso 4 

enrollment url url

Example:

Router (ca-trustpoint)# enrollment url http://ca-server.company.com

Especifica la URL de inscripción del servidor de emisión de certificados CA (servidor de certificados raíz).

Paso 5 

subject-name x.500-name

Example:

Reading file from nvram:e-encr.prv

(Opcional) especifica los asuntos que el RA utiliza.

La notaincluye los “cn=ioscs RA” o los “ou=ioscs RA” en los asuntos de modo que el servidor de publicación del certificado de CA pueda reconocer el RA (véase el paso 7 abajo).

Paso 6 

exit

Example:

% Key pair import succeeded.

Sale del modo de configuración de ca-trustpoint.

Paso 7 

crypto pki server cs-label

Example:

Router(config)# 

Habilita un servidor de certificados de Cisco IOS e ingresa en el modo de configuración de cs-server.

Observeel servidor de certificados debe tener el mismo nombre que el trustpoint que fue creado en el paso 3 antedicho.

Paso 8 

mode ra [transparent]

Example:

Router(cs-server)# 

Coloca el servidor pki en el modo de servidor de certificados RA.

Utilice transparent la palabra clave para permitir que el servidor CA en el modo RA interopere con más de un tipo de servidor CA. Cuando transparent se utiliza la palabra clave, el mensaje de la inscripción de la original PKCS-10 re-no se firma y se remite sin cambiar. Este mensaje de la inscripción hace que el servidor de certificados IOS RA trabaja con los servidores de CA como el Microsoft CA server.

Paso 9 

auto-rollover [time-period]

Example:

Router(cs-server)# auto-rollover 90

(Opcional) habilita las funciones automáticas de la renovación del certificado de CA.

time-period - el valor predeterminado son 30 días.

Paso 10 

grant auto rollover {ca-cert | ra-cert}

Example:

Router(cs-server)# grant auto rollover ra-cert

(Opcional) Concede automáticamente las solicitudes de reinscripción a las CAs y CAs del modo RA subordinadas sin intervención del operador.

ca-cert — Especifica que el certificado subordinado de la renovación de CA está concedido automáticamente.

ra-cert — Especifica que el certificado de la renovación RA-MODE CA está concedido automáticamente.

Si éste es la primera vez que un servidor de certificados subordinado está habilitado y alistado, el pedido de certificado debe ser concedido manualmente.

Paso 11 

no shutdown

Example:

% Once you start the server, you can no longer change some of

Habilita el servidor de certificados.

Observedespués de que este comando se publica, el RA alista automáticamente con el servidor del certificado raíz.

Después de que el certificado RA se haya recibido con éxito, usted debe publicar no shutdown el comando otra vez, que vuelve a permitir el servidor de certificados.

Paso 12 

no shutdown

Example:

Router(cs-server)# no shutdown

Vuelve a permitir el servidor de certificados.

Configuración del Servidor de Certificado Root para Delegar las Tareas de Inscripción al Servidor de Certificados de Modo RA

Realice los pasos siguientes en el router que está funcionando con el servidor de certificados de publicación; es decir, configure el servidor del certificado raíz que está delegando las tareas de la inscripción al servidor de certificados del modo RA.


La notaque concede las peticiones de la inscripción para un RA es esencialmente el mismo proceso que concediendo los pedidos de la inscripción los dispositivos del cliente — salvo que las peticiones de la inscripción para un RA se visualizan en la sección “pedidos de certificado RA” de la salida de comando para crypto pki server info-requests el comando.


PASOS SUMARIOS

1.permiso

2.crypto pki server peticiones de la información de la escritura de la etiqueta del cs

3.crypto pki server req-identificación de la concesión de la escritura de la etiqueta del cs

4. configure terminal

5. crypto pki server cs-label

6. grant ra-auto

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

% the configuration. > enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

crypto pki server cs-label info requests

Example:

Are you sure you want to do this? [yes/no]:

Visualiza el pedido de certificado excepcional RA.

Observeeste comando se publica en el router que está funcionando con el servidor de certificados de publicación.

Paso 3 

crypto pki server cs-label grant req-id

Example:

% Generating 1024 bit RSA keys ...[OK]

Concede el pedido de certificado pendiente RA.

Observeporque el servidor de certificados de publicación delega la tarea de la verificación de la petición de la inscripción al RA, usted debe prestar la atención adicional al pedido de certificado RA antes de concederlo.

Paso 4 

configure terminal

Example:

% Certificate Server enabled.

Ingresa en el modo de configuración global.

Paso 5 

crypto pki server cs-label

Example:

Router(cs-server)#

Habilita un servidor de certificados de Cisco IOS e ingresa en el modo de configuración de cs-server.

Paso 6 

grant ra-auto

Example:

!

(Opcional) especifica que todas las peticiones de la inscripción de un RA deben ser concedidas automáticamente.

Observepara que grant ra-auto el comando trabaje, usted tiene que incluir los “cn=ioscs RA” o los “ou=ioscs RA” en los asuntos del certificado RA. (Véase el paso 2 antedicho.)

Pasos Siguientes

Después de que usted haya configurado un servidor de certificados, usted puede utilizar los valores predeterminados preconfigurados o especificar los valores con el CLI para las funciones del servidor de certificados. Si usted elige especificar los valores con excepción de los valores por defecto, vea la sección siguiente, “configurando las funciones del servidor de certificados.”

Configuración de la Funcionalidad del Servidor de Certificados

Después de que usted haya habilitado un servidor de certificados y esté en el modo de configuración del servidor de certificados, utilice los pasos uces de los en esta tarea de configurar los valores básicos de las funciones del servidor de certificados con excepción de los valores predeterminados.

Valores predeterminados y valores recomendados del servidor de certificados

Los valores predeterminados para un servidor de certificados se piensan para dirigir una red relativamente pequeña (de cerca de diez dispositivos). Por ejemplo, las configuraciones de la base de datos son mínimas (con database level minimal el comando) y el servidor de certificados maneja todas las peticiones CRL con el SCEP. Para redes más grandes, se recomienda que usted utiliza o la configuración de la base de datos “nombra” o “completo” (según lo descrito en database level el comando) para los propósitos posibles de la auditoría y de la revocación. Dependiendo de la directiva de la verificación de CRL, usted debe también utilizar un externo CDP en una red más grande.

Ubicaciones del almacenamiento y de la publicación de archivo del servidor de certificados

Usted tiene la flexibilidad para salvar los tipos de archivo a diversas ubicaciones del almacenamiento y de la publicación.

PASOS SUMARIOS

1. database url root-url

2.database url{cnm | crl | crt | p12 | pem | ser} root-url

3.database url{cnm | crl | crt} publish root-url

4.database level{minimal | names | complete}

5.databaseusernameusername[[]passwordencr-typepassword]

6.database archive {pkcs12 | pem} contraseñapassword encr-typedel [[]]

7. issuer-name DN-string

8.lifetime {ca-certificate | certificate} time

9. lifetime crl time

10.lifetime enrollment-request tiempo

11. cdp-url url

12. no shutdown

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

database url root-url

Example:

Router (cs-server)# database url tftp://cert-svr-db.company.com

Especifica la ubicación primaria donde las entradas de la base de datos para el servidor de certificados se escriben.

Si este comando no se especifica, todas las entradas de la base de datos se escriben al NVRAM.

Paso 2 

database url {cnm | crl | crt | p12 | pem | ser} root-url

Example:

Router (cs-server)# database url ser nvram:

Especifica la ubicación de almacenamiento crítica del archivo del servidor de certificados del tipo de archivo.

Observesi este comando no se especifica, todos los archivos críticos se salvan a la ubicación primaria si están especificados. Si la ubicación primaria no se especifica, todos los archivos críticos se salvan al NVRAM.

Paso 3 

database url {cnm | crl | crt} publish root-url

Example:

Router (cs-server)# database url crl publish tftp://csdb_specific_crl_files.company.com

Especifica el servidor de certificados publican la ubicación del tipo de archivo.

Observesi este comando no se especifica, todos publican los archivos se salvan a la ubicación primaria si están especificados. Si la ubicación primaria no se especifica, toda publica los archivos se salva al NVRAM.

Paso 4 

database level {minimal | names | complete}

Example:

Router (cs-server)# database level complete

Controles salvan a qué tipo de datos en la base de datos de la inscripción del certificado.

minimal — Bastante información se salva para continuar solamente publicando los nuevos Certificados sin el conflicto; el valor predeterminado.

names — Además de la información dada en el nivel mínimo, el número de serie y los asuntos de cada certificado.

complete — Además de la información dada en los niveles mínimos y de los nombres, cada certificado publicado se escribe a la base de datos.

Observe complete la palabra clave presenta una gran cantidad de información; si se publica, usted debe también especificar un servidor TFTP externo en el cual salvar los datos con database url el comando.

Paso 5 

database username username [password Router# encr-type] password]

Example:

Router (cs-server)# database username user password PASSWORD

(Opcional) fija un nombre de usuario y contraseña cuando requieren a un usuario acceder una ubicación de almacenamiento primaria de la base de datos de la inscripción del certificado.

Paso 6 

database archive {pkcs12 | pem} [password [encr-type] password]

Example:

Router (cs-server)# database archive pem

(Opcional) fija la contraseña de la clave de CA y del archivo del certificado de CA formato y para cifrar el archivo.

El valor predeterminado es pkcs12, así que si este submandato no se configura, autoarchiving continúa, y se utiliza el formato del PKCS12.

La contraseña es opcional. Si no se configura, le indican para la contraseña cuando se gira el servidor por primera vez.

Notase recomienda que usted quita la contraseña de la configuración después de que se acabe el archivo.

Paso 7 

issuer-name DN-string

Example:

Router (cs-server)# issuer-name my-server

(Opcional) fija el nombre del emisor de CA al nombre distintivo especificado (DN-string). El valor predeterminado es como sigue: issuer-name cn= {escritura de la etiqueta del cs}.

Paso 8 

lifetime {ca-certificate | certificate} time

Example:

Router (cs-server)# lifetime certificate 888

(Opcional) especifica el curso de la vida, en los días, de un certificado de CA o de un certificado.

Los valores válidos se extienden a partir de 1 día a 1825 días. El curso de la vida predeterminado del certificado de CA es 3 años; el curso de la vida predeterminado del certificado es 1 año. La vida útil máxima del certificado es 1 mes menos que el curso de la vida del certificado de CA.

Paso 9 

lifetime crl time

Example:

Router (cs-server)# lifetime crl 333

(Opcional) define el curso de la vida, en las horas, del CRL que es utilizado por el servidor de certificados.

El valor máximo del curso de la vida es 336 horas (2 semanas). El valor predeterminado es 168 horas (1 semana).

Paso 10 

lifetime enrollment-request time

Example:

Router (cs-server)# lifetime enrollment-request 888

(Opcional) especifica cuánto tiempo una petición de la inscripción debe permanecer en la base de datos de la inscripción antes de ser quitada.

El curso de la vida máximo es 1000 horas.

Paso 11 

cdp-url url

Example:

Router (cs-server)# cdp-url http://my-cdp.company.com

(Opcional) define la ubicación CDP que se utilizará en los Certificados que son publicados por el servidor de certificados.

El URL debe ser HTTP URL.

Si usted tiene los clientes PKI que no están funcionando con el Cisco IOS Software y que no soportan una petición SCEP GetCRL, utilice el formato siguiente URL:

http://server.company.com/certEnroll/filename.crl

O, si su servidor de certificados del Cisco IOS también se configura como su CDP, utilice el formato siguiente URL

http://cs-addr/cgi-bin/pkiclient.exe?operation=GetCRL

donde cs-addr está la ubicación del servidor de certificados.

Para obligar al parser a conservar el signo de interrogación incrustado en la ubicación especificada, ingrese Ctrl-v antes del signo de interrogación. Si estas medidas no se toman, la extracción CRL con el HTTP devuelve un mensaje de error.

Observeaunque este comando es opcional, se recomienda fuertemente para cualquier escenario de instrumentación.

Paso 12 

no shutdown

Example:

Router (cs-server)# no shutdown

Habilita el servidor de certificados.

Usted debe publicar este comando solamente después que usted ha configurado totalmente su servidor de certificados.

Ejemplos

El siguiente ejemplo muestra cómo configurar una ubicación CDP en donde los clientes PKI no soportan las peticiones SCEP GetCRL:

Router(config)# crypto pki server aaa
Router(cs-server)# database level minimum
Router(cs-server)# database url tftp://10.1.1.1/username1/
Router(cs-server)# issuer-name CN=aaa

Router (cs-servidor) # cdp-url http://server.company.com/certEnroll/aaa.crl

Después de que un servidor de certificados se haya habilitado en un router, show crypto pki server el comando visualiza el producto siguiente:

Router# show crypto pki server 
    Certificate Server status:enabled, configured
    Granting mode is:manual
    Last certificate issued serial number:0x1
    CA certificate expiration timer:19:31:15 PST Nov 17 2006
    CRL NextUpdate timer:19:31:15 PST Nov 25 2003
    Current storage dir:nvram:
    Database Level:Minimum - no cert data written to storage

Trabajo con la Renovación Automática del Certificado de la CA

Inicio Inmediato de la Renovación Automatizada de Certificado de CA

Solicitud de Certificado de Renovación de un Cliente de Servidor de Certificados

Exportación de un Certificado de Renovación CA

Inicio Inmediato de la Renovación Automatizada de Certificado de CA

Utilice esta tarea de iniciar el proceso automatizado de la renovación del certificado de CA inmediatamente en su raíz CA servidor.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto pki server cs-label [[]rollover cancel]

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto pki server cs-label [rollover [cancel]]

Example:

Router(config)# crypto pki server mycs rollover

Comienza inmediatamente el proceso de la renovación del certificado de CA generando un certificado de CA de la sombra.

Para borrar el certificado y las claves de la renovación del certificado de CA, utilice cancel la palabra clave.

Solicitud de Certificado de Renovación de un Cliente de Servidor de Certificados

Utilice esta tarea de pedir el certificado de la renovación de un cliente del servidor de certificados.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto pki server cs-label []rollover request pkcs10 terminal

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto pki server cs-label [rollover request pkcs10 terminal]

Example:

Router(config)# crypto pki server mycs rollover request pkcs10 terminal

Pide un certificado de la renovación del cliente del servidor.

PASOS DETALLADOS

Ejemplos

El siguiente ejemplo muestra un pedido de certificado de la renovación que es entrado en el servidor:

Router# crypto pki server mycs rollover request pkcs10 terminal 
% Enter Base64 encoded or PEM formatted PKCS10 enrollment request.
% End with a blank line or "quit" on a line by itself.
-----BEGIN CERTIFICATE REQUEST-----
MIIBUTCBuwIBADASMRAwDgYDVQQDEwdOZXdSb290MIGfMA0GCSqGSIb3DQEBAQUA
A4GNADCBiQKBgQDMHeev1ERSs320zbLQQk+3lhV/R2HpYQ/iM6uT1jkJf5iy0UPR
wF/X16yUNmG+ObiGiW9fsASF0nxZw+fO7d2X2yh1PakfvF2wbP27C/sgJNOw9uPf
sBxEc40Xe0d5FMh0YKOSAShfZYKOflnyQR2Drmm2x/33QGol5QyRvjkeWQIDAQAB
oAAwDQYJKoZIhvcNAQEEBQADgYEALM90r4d79X6vxhD0qjuYJXfBCOvv4FNyFsjr
aBS/y6CnNVYySF8UBUohXYIGTWf4I4+sj6i8gYfoFUW1/L82djS18TLrUr6wpCOs
RqfAfps7HW1e4cizOfjAUU+C7lNcobCAhwF1o6q2nIEjpQ/2yfK9O7sb3SCJZBfe
eW3tyCo=
-----END CERTIFICATE REQUEST-----

Exportación de un Certificado de Renovación CA

Utilice esta tarea de exportar un certificado de la renovación de CA.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto pki export trustpoint PEM {terminal | url url} []rollover

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto pki export trustpoint pem {terminal | url url} [rollover]

Example:

Router(config)# crypto pki export mycs pem terminal rollover

Exporta un certificado de la sombra de CA.

Mantenimiento, Verificación y Troubleshooting del Servidor de Certificados, Certificados y CA

Administración de la Base de Datos de Solicitudes de Inscripción

Remoción de Solicitudes de Inscripción de la Base de Datos de Solicitudes de Inscripción: Ejemplos

Eliminación de un Servidor de Certificados

Verificación y Troubleshooting del Servidor de Certificados y el Estado CA

Verificación de la Información del Certificado CA

Administración de la Base de Datos de Solicitudes de Inscripción

El SCEP soporta dos mecanismos de autenticación de cliente — clave del manual y del preshared. El Registro manual requiere al administrador en el servidor de CA autorizar específicamente las peticiones de la inscripción; la inscripción usando las claves del preshared permite que el administrador preauthorize las peticiones de la inscripción generando un contraseña que se puede utilizar una sola vez (OTP).

Los pasos opcionales uces de los del uso dentro de esta tarea de ayudar a manejar la base de datos de la petición de la inscripción realizándose funcionan por ejemplo especificar los parámetros de proceso de la inscripción que deben ser utilizados por el SCEP y controlando el comportamiento en tiempo de ejecución o el servidor de certificados.

PASOS SUMARIOS

1. enable

2.crypto pki servercs-labelgrant{all | req-id}

3.crypto pki servercs-labelreject{all | req-id}

4.crypto pki servercs-labelpasswordgenerate[]minutes

5. crypto pki server cs-label revoke certificate-serial-number

6.crypto pki server cs-label peticiónpkcs10 {url | terminal} [base64 | pem]

7. crypto pki server cs-label info crl

8.crypto pki server cs-label peticiones de la información

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

crypto pki server cs-label grant {all | req-id}

Example:

Router# crypto pki server mycs grant all

Concede todos o las peticiones específicas SCEP.

Paso 3 

crypto pki server cs-label reject Certificate Server ca: all | req-id}

Router# crypto pki server mycs reject all

Rechaza todos o las peticiones específicas SCEP.

Paso 4 

crypto pki server cs-label password generate [minutes]

Example:

Router# crypto pki server mycs password generate 75

Genera un OTP para las peticiones SCEP.

minutes — Longitud del tiempo, en los minutos, que la contraseña es válida. Rango de los valores válidos a partir de la 1 a 1440 minutos. El valor por defecto es 60 minutos.

La notasolamente un OTP es en un momento válido; si se genera un segundo OTP, el OTP anterior es no más válido.

Paso 5 

crypto pki server cs-label revoke certificate-serial-number

Example:

Router# crypto pki server mycs revoke 3

Revoca un certificado en base de su número de serie.

certificate-serial-number — Una de las opciones siguientes:

– Una cadena con un 0x principal, que se trata como valor hexadecimal

– Una cadena con un 0 principal y ningún x, que se trata como octal

– El resto de las cadenas, que se tratan como decimal

Paso 6 

crypto pki server cs-label request pkcs10 Status: enabled, configured url CA cert fingerprint: 5A856122 4051347F 55E8C246 866D0AC3 terminal} [base64 | pem]

Example:

Router# crypto pki server mycs request pkcs10 terminal pem

Agrega manualmente una petición codificado en base64 o PEM-formatada de la inscripción del certificado PKCS10 a la base de datos de la petición.

Después de que se conceda el certificado, se visualiza en la terminal de la consola usando la codificación del base64.

pem — Especifica el certificado que se devuelve con las encabezados PEM agregadas automáticamente al certificado después de que se conceda el certificado, sin importar si las encabezados PEM fueron utilizadas en la petición.

base64 — Especifica el certificado que se devuelve sin las encabezados del Privacy Enhanced Mail (PEM), sin importar si las encabezados PEM fueron utilizadas en la petición.

Paso 7 

crypto pki server cs-label info crl

Example:

Granting mode is: manual

Visualiza la información con respecto al estatus del CRL actual.

Paso 8 

crypto pki server cs-label info requests

Example:

Last certificate issued serial number: 0x1

Visualiza todas las peticiones excepcionales de la inscripción del certificado.

Quitando las peticiones de la inscripción pida la base de datos

Después de que el servidor de certificados reciba una petición de la inscripción, el servidor puede dejar la petición en un estado pendiente, lo rechaza, o lo concede. Las estancias de la petición en la inscripción piden la base de datos para 1 semana hasta que el cliente sondee el servidor de certificados para el resultado de la petición. Si el cliente sale y nunca sondea el servidor de certificados, usted puede quitar las peticiones individuales o todas las peticiones de la base de datos.

Utilice esta tarea de quitar las peticiones de la base de datos y de permitir que el servidor sea vuelto a una cuenta nueva en cuanto a las claves y a los ID de transacciones. También, usted puede utilizar esta tarea de ayudar a resolver problemas a un cliente SCEP que pueda no comportarse correctamente.

PASOS SUMARIOS

1. enable

2.crypto pki server la escritura de la etiqueta del cs quita {all | la req-identificación}

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

crypto pki server cs-label remove {all | req-id}

Example:

CA certificate expiration timer: 19:44:57 GMT Oct 14 2006 crypto pki server mycs remove 15

Quita las peticiones de la inscripción de la base de datos de la petición de la inscripción.

Eliminación de un Servidor de Certificados

Los usuarios pueden borrar un servidor de certificados de la configuración PKI si la quieren no más en la configuración. Típicamente, se está borrando un servidor de certificados subordinado o un RA. Sin embargo, los usuarios pueden borrar un servidor del certificado raíz si lo están moviendo a otro dispositivo con las claves archivadas RSA.

Realice esta tarea de borrar un servidor de certificados de su configuración PKI.


Observecuando un servidor de certificados se borra, el trustpoint y la clave asociados también se borran.


PASOS SUMARIOS

1.permiso

2.configuró terminal

3.ninguna escritura de la etiqueta del cs crypto del servidor pki

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

CRL NextUpdate timer: 19:45:25 GMT Oct 22 2003 > enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Current storage dir: nvram: # configure terminal

Ingresa en el modo de configuración global.

Paso 3 

no crypto pki server cs-label

Example:

Database Level: Complete - all issued certs written as <serialnum>.cer

Borra un servidor de certificados y un trustpoint y una clave asociados.

Verificación y Troubleshooting del Servidor de Certificados y el Estado CA

Utilice los pasos opcionales de siguiente uces de los para verificar el estatus del servidor de certificados o de CA.

PASOS SUMARIOS

1. enable

2. debug crypto pki server

3.dir filesystem:

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

debug crypto pki server

Example:

Router# 

Permisos que hacen el debug de para un servidor de certificados crypto PKI.

Este comando se puede utilizar para monitorear el progreso de una inscripción y para localizar averías si el servidor de certificados no puede responder o si el servidor de certificados tiene problema que maneja la petición se ha configurado que.

Paso 3 

dir filesystem:

Example:

Router (config)# crypto pki trustpoint sub

Visualiza una lista de archivos en un sistema de archivos.

Este comando se puede utilizar para verificar el archivo archivado automáticamente del servidor de certificados si ingresaron al comando url de base de datos de señalar a un sistema de archivo local. Usted debe poder por lo menos ver los archivos “cs-label.ser” y “cs-label.crl en la base de datos.

Verificación de la Información del Certificado CA

Para obtener la información referente a los Certificados de CA incluyendo el proceso de la renovación del servidor de certificados, los Certificados de la renovación, y los temporizadores, usted puede utilizar los siguientes comandos uces de los.


Observeestos comandos no son exclusivo sombrear la información del certificado. Si existe ningún certificado de la sombra, los siguientes comandos visualizan la información activa del certificado.


PASOS SUMARIOS

1. crypto pki certificate chain name

2.crypto pki server cs-label peticiones de la información

3. show crypto pki certificates

4. show crypto pki server

5. show crypto pki trustpoints

PASOS DETALLADOS


crypto pki certificate chain Paso 1El comando se puede utilizar para ver los detalles de la Cadena de certificados y para distinguir el certificado activo actual del certificado de la renovación en la Cadena de certificados. El siguiente ejemplo muestra una Cadena de certificados con un certificado de CA activo y una sombra, o la renovación, certificado:

Router(config)# crypto pki certificate chain mica
certificate 06
certificate ca 01
! This is the peer's shadow PKI certificate.
certificate rollover 0B 
! This is the CA shadow PKI certificate
certificate rollover ca 0A

crypto pki server info requests Paso 2El comando visualiza toda la inscripción del certificado excepcional pide el siguiente ejemplo muestra la salida para las peticiones de la información del certificado de la sombra PKI:

Router# crypto pki server myca info requests
Enrollment Request Database:
RA certificate requests:
  ReqID  State      Fingerprint                      SubjectName
--------------------------------------------------------------
RA rollover certificate requests:
  ReqID  State      Fingerprint                      SubjectName
  --------------------------------------------------------------
Router certificates requests:
  ReqID  State      Fingerprint                      SubjectName
--------------------------------------------------------------
1      pending    A426AF07FE3A4BB69062E0E47198E5BF hostname=client
  Router rollover certificates requests:
  ReqID  State      Fingerprint                      SubjectName
  --------------------------------------------------------------
  2      pending    B69062E0E47198E5BFA426AF07FE3A4B hostname=client

show crypto pki certificates Paso 3El comando visualiza la información sobre su certificado, el certificado de la autoridad de certificación, los Certificados de la sombra, y cualquier Certificados de las autoridades de registro. El siguiente ejemplo visualiza el certificado del router y el certificado de CA. No hay certificado de la sombra disponible. Un par clave solo, de fines generales RSA fue generado previamente, y un certificado fue pedido pero no recibido para ese par clave. Observe que el estatus del certificado del router muestra “pendiente.” Después de que el router reciba su certificado de CA, el campo de estatus cambia a “disponible” en show la salida.

Router# show crypto pki certificates
Certificate
  Subject Name
    Name: myrouter.example.com
    IP Address: 192.0.2.1
    Serial Number: 04806682
  Status: Pending
  Key Usage: General Purpose
    Fingerprint: 428125BD A3419600 3F6C7831 6CD8FA95 00000000
CA Certificate
  Status: Available
  Certificate Serial Number: 3051DF7123BEE31B8341DFE4B3A338E5F
  Key Usage: Not Set

show crypto pki server Paso 4El comando visualiza el estado actual y la configuración del servidor de certificados. El siguiente ejemplo muestra que el servidor de certificados “routercs” tiene renovación configurada. El tiempo de la auto-renovación de CA ha ocurrido y la renovación, o la sombra, certificado PKI está disponible. El estatus muestra la información del temporizador de vencimiento del certificado de CA de la huella dactilar y de la renovación del certificado de la renovación.

Router# show crypto pki server 
Certificate Server routercs:
   Status: enabled, configured
   Issuer name: CN=walnutcs
   CA cert fingerprint: 800F5944 74337E5B C2DF6C52 9A7B1BDB 
   Granting mode is: auto
   Last certificate issued serial number: 0x7
   CA certificate expiration timer: 22:10:29 GMT Jan 29 2007
   CRL NextUpdate timer: 21:50:56 GMT Mar 5 2004
   Current storage dir: nvram:
   Database Level: Minimum - no cert data written to storage
Rollover status: available for rollover
    Rollover CA cert fingerprint: 6AAF5944 74227A5B 23DF3E52 9A7F1FEF
    Rollover CA certificate expiration timer: 22:10:29 GMT Jan 29 2017

show crypto pki trustpoints Paso 5El comando visualiza el trustpoints que se configura en el router. El producto siguiente muestra que un certificado de CA de la sombra está disponible y muestra las capacidades SCEP señaladas durante la operación más reciente de la inscripción:

Router# show crypto pki trustpoints
Trustpoint vpn:
   Subject Name: 
   cn=Cisco SSL CA
   o=Cisco Systems
   Serial Number: 0FFEBBDC1B6F6D9D0EA7875875E4C695
   Certificate configured.
   Rollover certificate configured.
   Enrollment Protocol:
   SCEPv1, PKI Rollover

Ejemplos de Configuración del Uso de un Servidor de Certificados

Configuración de Ubicaciones Específicas de Almacenamiento y Publicación: Ejemplos

Remoción de Solicitudes de Inscripción de la Base de Datos de Solicitudes de Inscripción: Ejemplos

Archivado Automático de las Llaves Root del Servidor de Certificados: Ejemplos

Restauración de un Servidor de Certificados a partir de las Copias de Seguridad del Servidor de Certificados: Ejemplos

Servidor de Certificados Subordinado: Ejemplo:

Servidor de Certificados de Modo RA: Ejemplo:

Habilitación de la Renovación del certificado CA para Iniciar Inmediatamente: Ejemplo:

Configuración de Ubicaciones Específicas de Almacenamiento y Publicación: Ejemplos

El siguiente ejemplo muestra la configuración de un sistema de archivo local mínimo, de modo que el servidor de certificados pueda responder rápidamente a los pedidos de certificado. Los archivos .ser y .crl se salvan en el archivo de sistema de IOS del Cisco local para el acceso rápido, y una copia de todos los archivos .crt se publica a un lugar remoto para el registro a largo plazo.

crypto pki server myserver
     !Pick your database level.
     database level minimum
     !Specify a location for the .crt files that is different than the default local 
     !Cisco IOS file system.
     database url crt publish http://url username user1 password secret

El espacio librede la nota en el sistema de archivo local debe ser monitoreado, en caso de que el archivo .crl llegue a ser demasiado grande.


El siguiente ejemplo muestra la configuración de una ubicación de almacenamiento primario para los archivos críticos, una ubicación de almacenamiento específica para el archivo crítico del número de serie del fichero, el archivo de base de datos principal del servidor de certificados, y una ubicación protegida contraseña de la publicación del archivo para el archivo CRL:

Router(config)# crypto pki server mycs
Router(cs-server)# database url ftp://cs-db.company.com 
!
% Server database url was changed. You need to move the 
% existing database to the new location.
!
Router(cs-server)# database url ser nvram:
Router(cs-server)# database url crl publish ftp://crl.company.com username myname password 
mypassword 
Router(cs-server)# end 

El producto siguiente visualiza la ubicación de almacenamiento primario especificada y las ubicaciones de almacenamiento críticas del archivo especificadas:

Router# show
Sep  3 20:19:34.216: %SYS-5-CONFIG_I: Configured from console by user on console
Router# show crypto pki server 
Certificate Server mycs:
     Status: disabled
     Server's configuration is unlocked  (enter "no shut" to lock it)
     Issuer name: CN=mycs
     CA cert fingerprint: -Not found-
     Granting mode is: manual
     Last certificate issued serial number: 0x0
     CA certificate expiration timer: 00:00:00 GMT Jan 1 1970
     CRL not present.
     Current primary storage dir: ftp://cs-db.company.com
     Current storage dir for .ser files: nvram:
     Database Level: Minimum - no cert data written to storage The following output 
displays all storage and publication locations. The serial number file (.ser) is stored in 
NVRAM. The CRL file will be published to ftp://crl.company.com with a username and 
password. All other critical files will be stored to the primary location, 
ftp://cs-db.company.com.
Router# show running-config 
   section crypto pki server 
   crypto pki server mycs shutdown database url ftp://cs-db.company.com 
   database url crl publish ftp://crl.company.com username myname password 7 
12141C0713181F13253920 
   database url ser nvram:
Router#

Remoción de Solicitudes de Inscripción de la Base de Datos de Solicitudes de Inscripción: Ejemplos

Los siguientes ejemplos muestran a ambos las peticiones de la inscripción que están actualmente en la base de datos de la petición de la inscripción y el resultado después de que una de las peticiones de la inscripción se haya quitado de la base de datos.

Petición de la inscripción actualmente en la base de datos de la petición de la inscripción

El siguiente ejemplo muestra que crypto pki server info requests se ha utilizado el comando de visualizar las peticiones de la inscripción que están actualmente en la base de datos de la petición de la inscripción:

Router# crypto pki server myserver info requests
Enrollment Request Database:
RA certificate requests:
ReqID    State      Fingerprint                              SubjectName
------------------------------------------------------------------------
Router certificates requests:
ReqID    State      Fingerprint                              SubjectName
------------------------------------------------------------------------
2        pending    1B07F3021DAAB0F19F35DA25D01D8567      hostname=host1.company.com
1        denied     5322459D2DC70B3F8EF3D03A795CF636      hostname=host2.company.com

comando remove crypto del servidor pki usado para quitar una petición de la inscripción

El siguiente ejemplo muestra que crypto pki server remove se ha utilizado el comando de quitar la petición 1 de la inscripción:

Router# crypto pki server myserver remove 1

Base de datos de la petición de la inscripción después del retiro de una petición de la inscripción

El siguiente ejemplo muestra el resultado del retiro de la petición 1 de la inscripción de la base de datos de la petición de la inscripción:

Router# crypto pki server mycs info requests
Enrollment Request Database:
RA certificate requests:
ReqID    State     Fingerprint                        SubjectName
-----------------------------------------------------------------
Router certificates requests:
ReqID    State     Fingerprint                        SubjectName
-----------------------------------------------------------------
2        pending   1B07F3021DAAB0F19F35DA25D01D8567   hostname=host1.company.com

Archivado Automático de las Llaves Root del Servidor de Certificados: Ejemplos

Las configuraciones de producto siguiente y la demostración de los ejemplos qué usted puede ser que vea si database archive el comando no se ha configurado (es decir, configurado usando el valor predeterminado); si database archive se ha configurado el comando de fijar el certificado de CA y el formato dominante del archivo de CA como PEM, sin configurar una contraseña; y si database archive se ha configurado el comando de fijar el certificado de CA y el formato dominante del archivo de CA como PKCS12, con una contraseña configurada. El ejemplo más reciente es contenido de la muestra de un archivo PEM-formatado.

comando archive de la base de datos no configurado


Observeel valor por defecto es PKCS12, y el prompt para la contraseña aparece después de que no shutdown se haya publicado el comando.


Router (config)# crypto pki server myserver
Router (cs-server)# no shutdown
% Generating 1024 bit RSA keys ...[OK]
% Ready to generate the CA certificate.
%Some server settings cannot be changed after CA certificate generation.
Are you sure you want to do this? [yes/no]: y
% Exporting Certificate Server signing certificate and keys...
! Note the next two lines, which are asking for a password.
% Please enter a passphrase to protect the private key.
Password:
% Certificate Server enabled.
Router (cs-server)# end
Router# dir nvram:
Directory of nvram:/
  125  -rw-        1693               <no date>  startup-config
  126  ----           5               <no date>  private-config
    1  -rw-          32               <no date>  myserver.ser
    2  -rw-         214               <no date>  myserver.crl
! Note the next line, which indicates PKCS12 format.
    3  -rw-        1499               <no date>  myserver.p12

comando archive de la base de datos y palabra clave PEM configurada


Observeel prompt para la contraseña aparece después de que no shutdown se haya publicado el comando.


Router (config)# crypto pki server myserver
Router (cs-server)# database archive pem
Router (cs-server)# no shutdown
% Generating 1024 bit RSA keys ...[OK]
% Ready to generate the CA certificate.
%Some server settings cannot be changed after CA certificate generation.
Are you sure you want to do this? [yes/no]: y
% Exporting Certificate Server signing certificate and keys...
!Note the next two lines, which are asking for a password.
% Please enter a passphrase to protect the private key.
Password: 
% Certificate Server enabled.
Router (cs-server)# end
Router# dir nvram
Directory of nvram:/
  125  -rw-        1693            <no date>  startup-config
  126  ----           5            <no date>  private-config
    1  -rw-          32            <no date>  myserver.ser
    2  -rw-         214            <no date>  myserver.crl
! Note the next line showing that the format is PEM.
    3  -rw-        1705            <no date>  myserver.pem

comando archive de la base de datos y palabra clave del pkcs12 (y contraseña) configuradas


Observecuando la contraseña se ingresa, se cifra. Sin embargo, se recomienda que usted quita la contraseña de la configuración después de que el archivo haya acabado.


Router (config)# crypto pki server myserver
Router (cs-server)# database archive pkcs12 password cisco123
Router (cs-server)# no shutdown 
% Generating 1024 bit RSA keys ...[OK]
% Ready to generate the CA certificate.
% Some server settings cannot be changed after CA certificate generation.
Are you sure you want to do this? [yes/no]: y
% Exporting Certificate Server signing certificate and keys...
! Note that you are not being prompted for a password.
% Certificate Server enabled.
Router (cs-server)# end
Router# dir nvram:
Directory of nvram:/
   125   -rw-         1693             <no date>   startup-config
   126   ----            5             <no date>   private-config
     1   -rw-           32             <no date>   myserver.ser
     2   -rw-          214             <no date>   myserver.crl
! Note that the next line indicates that the format is PKCS12.
     3   -rw-         1499             <no date>   myserver.p12

Archivo PEM-formatado

La salida de muestra siguiente muestra que autoarchiving se ha configurado en el formato de archivo PEM. El archivo consiste en el certificado de CA y la clave privada de CA. Para restablecer el servidor de certificados usando el respaldo, usted tendría que importar el certificado de CA y la clave PEM-formatados de CA individualmente.


Observeademás del certificado de CA y los archivos dominantes de CA, usted debe también sostener el archivo serial (.ser) y el archivo CRL (.crl) regularmente. El archivo serial y el archivo CRL son críticos para el funcionamiento de CA si se necesita restablecer el servidor de certificados.


Router# more nvram:mycs.pem
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
!The private key is protected by the password that is 
configured in "database archive pem password pwd" or that 
is entered when you are prompted for the password.
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,106CE91FFD0A075E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-----END RSA PRIVATE KEY-----

Restauración de un Servidor de Certificados a partir de las Copias de Seguridad del Servidor de Certificados: Ejemplos

El siguiente ejemplo muestra que la restauración es de un archivo del PKCS12 y que la base de datos URL es NVRAM (el valor por defecto).

Router# copy tftp://192.0.2.71/backup.ser nvram:mycs.ser
Destination filename [mycs.ser]? 
32 bytes copied in 1.320 secs (24 bytes/sec)
Router# copy tftp://192.0.2.71/backup.crl nvram:mycs.crl
Destination filename [mycs.crl]? 
214 bytes copied in 1.324 secs (162 bytes/sec)
Router# configure terminal
Router (config)# crypto pki import mycs pkcs12 tftp://192.0.2.71/backup.p12 cisco123
Source filename [backup.p12]? 
CRYPTO_PKI: Imported PKCS12 file successfully.
Router (config)# crypto pki server mycs
! fill in any certificate server configuration here
Router (cs-server)# no shutdown
% Certificate Server enabled.
Router (cs-server)# end
Router# show crypto pki server 
Certificate Server mycs:
    Status: enabled
    Server's current state: enabled
    Issuer name: CN=mycs
    CA cert fingerprint: 34885330 B13EAD45 196DA461 B43E813F 
    Granting mode is: manual
    Last certificate issued serial number: 0x1
    CA certificate expiration timer: 01:49:13 GMT Aug 28 2007
    CRL NextUpdate timer: 01:49:16 GMT Sep 4 2004
    Current storage dir: nvram:
    Database Level: Minimum - no cert data written to storage

El siguiente ejemplo muestra que la restauración es de un archivo PEM y que la base de datos URL es flash:

Router# copy tftp://192.0.2.71/backup.ser flash:mycs.ser
Destination filename [mycs.ser]?
32 bytes copied in 1.320 secs (24 bytes/sec)
Router# copy tftp://192.0.2.71/backup.crl flash:mycs.crl
Destination filename [mycs.crl]?
214 bytes copied in 1.324 secs (162 bytes/sec)
Router# configure terminal
! Because CA cert has Digital Signature usage, you need to import using the "usage-keys" 
keyword
Router (config)# crypto ca import mycs pem usage-keys terminal cisco123
% Enter PEM-formatted CA certificate.
% End with a blank line or "quit" on a line by itself.
! Paste the CA cert from .pem archive.
-----BEGIN CERTIFICATE-----
MIIB9zCCAWCgAwIBAgIBATANBgkqhkiG9w0BAQQFADAPMQ0wCwYDVQQDEwRteWNz
MB4XDTA0MDkwMjIxMDI1NloXDTA3MDkwMjIxMDI1NlowDzENMAsGA1UEAxMEbXlj
czCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAuGnnDXJbpDDQwCuKGs5Zg2rc
K7ZJauSUotTmWYQvNx+ZmWrUs5/j9Ee5FV2YonirGBQ9mc6u163kNlrIPFck062L
GpahBhNmKDgod1o2PHTnRlZpEZNDIqU2D3hACgByxPjrY4vUnccV36ewLnQnYpp8
szEu7PYTJr5dU5ltAekCAwEAAaNjMGEwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8B
Af8EBAMCAYYwHwYDVR0jBBgwFoAUaEEQwYKCQ1dm9+wLYBKRTlzxaDIwHQYDVR0O
BBYEFGhBEMGCgkNXZvfsC2ASkU5c8WgyMA0GCSqGSIb3DQEBBAUAA4GBAHyhiv2C
mH+vswkBjRA1Fzzk8ttu9s5kwqG0dXp25QRUWsGlr9nsKPNdVKt3P7p0A/KochHe
eNiygiv+hDQ3FVnzsNv983le6O5jvAPxc17RO1BbfNhqvEWMsXdnjHOcUy7XerCo
+bdPcUf/eCiZueH/BEy/SZhD7yovzn2cdzBN
-----END CERTIFICATE-----
% Enter PEM-formatted encrypted private SIGNATURE key.
% End with "quit" on a line by itself.
! Paste the CA private key from .pem archive.
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,5053DC842B04612A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-----END RSA PRIVATE KEY-----
quit
% Enter PEM-formatted SIGNATURE certificate.
% End with a blank line or "quit" on a line by itself.
! Paste the CA cert from .pem archive again.
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
% Enter PEM-formatted encrypted private ENCRYPTION key.
% End with "quit" on a line by itself.
! Because the CA cert only has Digital Signature usage, skip the encryption part.
quit
% PEM files import succeeded.
Router (config)# crypto pki server mycs
Router (cs-server)# database url flash:
! Fill in any certificate server configuration here.
Router (cs-server)# no shutdown
% Certificate Server enabled.
Router (cs-server)# end
Router # show crypto pki server
Certificate Server mycs:
    Status: enabled
    Server's current state: enabled
    Issuer name: CN=mycs
    CA cert fingerprint: F04C2B75 E0243FBC 19806219 B1D77412 
    Granting mode is: manual
    Last certificate issued serial number: 0x2
    CA certificate expiration timer: 21:02:55 GMT Sep 2 2007
    CRL NextUpdate timer: 21:02:58 GMT Sep 9 2004
    Current storage dir: flash:
    Database Level: Minimum - no cert data written to storage

Servidor de Certificados Subordinado: Ejemplo:

La configuración y la salida siguientes es típicas de lo que usted puede ser que vea después de configurar un servidor de certificados subordinado:

Router (config)# crypto pki trustpoint sub
Router (ca-trustpoint)# enrollment url http://192.0.2.6
Router (ca-trustpoint)# exit
Router (config)# crypto pki server sub
Router (cs-server)# mode sub-cs
Router (ca-server)# no shutdown
%Some server settings cannot be changed after CA certificate generation.
% Please enter a passphrase to protect the private key 
% or type Return to exit 
Password: 
Jan  6 22:32:22.698: CRYPTO_CS: enter FSM: input state initial, input signal no shut
Re-enter password: 
% Generating 1024 bit RSA keys ...
Jan  6 22:32:30.302: CRYPTO_CS: starting enabling checks
Jan  6 22:32:30.306: CRYPTO_CS: key 'sub' does not exist; generated automatically [OK]
Jan  6 22:32:39.810: %SSH-5-ENABLED: SSH 1.99 has been enabled
Certificate has the following attributes:
     Fingerprint MD5: 328ACC02 52B25DB8 22F8F104 B6055B5B 
     Fingerprint SHA1: 02FD799D DD40C7A8 61DC53AB 1E89A3EA 2A729EE2
% Do you accept this certificate? [yes/no]: 
Jan  6 22:32:44.830: CRYPTO_CS: nvram filesystem
Jan  6 22:32:44.922: CRYPTO_CS: serial number 0x1 written.
Jan  6 22:32:46.798: CRYPTO_CS: created a new serial file.
Jan  6 22:32:46.798: CRYPTO_CS: authenticating the CA 'sub'y 
Trustpoint CA certificate accepted.%
% Certificate request sent to Certificate Authority
% Enrollment in progress...
Router (cs-server)#
Jan  6 22:33:30.562: CRYPTO_CS: Publishing 213 bytes to crl file nvram:sub.crl
Jan  6 22:33:32.450: CRYPTO_CS: enrolling the server's trustpoint 'sub'
Jan  6 22:33:32.454: CRYPTO_CS: exit FSM: new state check failed
Jan  6 22:33:32.454: CRYPTO_CS: cs config has been locked
Jan  6 22:33:33.118: CRYPTO_PKI:  Certificate Request Fingerprint MD5: CED89E5F 53B9C60E 
> AA123413 CDDAD964
Jan  6 22:33:33.118: CRYPTO_PKI:  Certificate Request Fingerprint SHA1: 70787C76 ACD7E67F 
7D2C8B23 98CB10E7 718E84B1
% Exporting Certificate Server signing certificate and keys...
Jan  6 22:34:53.839: %PKI-6-CERTRET: Certificate received from Certificate Authority
Jan  6 22:34:53.843: CRYPTO_CS: enter FSM: input state check failed, input signal cert 
configured
Jan  6 22:34:53.843: CRYPTO_CS: starting enabling checks
Jan  6 22:34:53.843: CRYPTO_CS: nvram filesystem
Jan  6 22:34:53.883: CRYPTO_CS: found existing serial file.
Jan  6 22:34:53.907: CRYPTO_CS: old router cert flag 0x4
Jan  6 22:34:53.907: CRYPTO_CS: new router cert flag 0x44
Jan  6 22:34:56.511: CRYPTO_CS: DB version 
Jan  6 22:34:56.511: CRYPTO_CS: last issued serial number is 0x1
Jan  6 22:34:56.551: CRYPTO_CS: CRL file sub.crl exists.
Jan  6 22:34:56.551: CRYPTO_CS: Read 213 bytes from crl file sub.crl.
Jan  6 22:34:56.603: CRYPTO_CS: SCEP server started
Jan  6 22:34:56.603: CRYPTO_CS: exit FSM: new state enabled
Jan  6 22:34:56.603: CRYPTO_CS: cs config has been locked
Jan  6 22:35:02.359: CRYPTO_CS: enter FSM: input state enabled, input signal time set
Jan  6 22:35:02.359: CRYPTO_CS: exit FSM: new state enabled
Jan  6 22:35:02.359: CRYPTO_CS: cs config has been locked

Diferenciación del servidor del certificado raíz: Ejemplo:

Al publicar los Certificados, el servidor del certificado raíz (o el servidor de certificados subordinado del padre) distingue el pedido de certificado de “CA sub,” “RA,” y las solicitudes de peer, tal y como se muestra en de la salida de muestra siguiente:

Router# crypto pki server server1 info req
Enrollment Request Database:
RA certificate requests:
ReqID     State        Fingerprint                               SubjectName
----------------------------------------------------------------------------
Subordinate CS certificate requests:
ReqID     State        Fingerprint                               SubjectName
----------------------------------------------------------------------------
1     pending        CB9977AD8A73B146D3221749999B0F66 hostname=host-subcs.company.com
RA certificate requests:
ReqID     State        Fingerprint                                SubjectName
-----------------------------------------------------------------------------
Router certificate requests:
ReqID     State        Fingerprint                                SubjectName
-----------------------------------------------------------------------------

Muestre la salida para un servidor de certificados subordinado: Ejemplo:

El producto siguiente show crypto pki server command indica que se ha configurado un servidor de certificados subordinado:

Router# show crypto pki server
Certificate Server sub:
  Status: enabled
  Server's configuration is locked  (enter "shut" to unlock it)
  Issuer name: CN=sub
  CA cert fingerprint: 11B586EE 3B354F33 14A25DDD 7BD39187 
  Server configured in subordinate server mode
  Upper CA cert fingerprint: 328ACC02 52B25DB8 22F8F104 B6055B5B 
  Granting mode is: manual
  Last certificate issued serial number: 0x1
  CA certificate expiration timer: 22:33:44 GMT Jan 6 2006
  CRL NextUpdate timer: 22:33:29 GMT Jan 13 2005
  Current storage dir: nvram:
  Database Level: Minimum - no cert data written to storage

Servidor de Certificados de Modo RA: Ejemplo:

El producto siguiente es típico de lo que usted puede ser que vea después configurar un servidor de certificados del modo RA:

Router-ra (config)# crypto pki trustpoint myra
Router-ra (ca-trustpoint)# enrollment url http://192.0.2.17
! Include "cn=ioscs RA" or "ou=ioscs RA" in the subject-name.
Router-ra (ca-trustpoint)# subject-name cn=myra, ou=ioscs RA, o=company, c=us
Router-ra (ca-trustpoint)# exit
Router-ra (config)# crypto pki server myra
Router-ra (cs-server)# mode ra
Router-ra (cs-server)# no shutdown
% Generating 1024 bit RSA keys ...[OK]
Certificate has the following attributes:
Fingerprint MD5: 32661452 0DDA3CE5 8723B469 09AB9E85 
Fingerprint SHA1: 9785BBCD 6C67D27C C950E8D0 718C7A14 C0FE9C38 
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Ready to request the CA certificate.
%Some server settings cannot be changed after the CA certificate has been requested.
Are you sure you want to do this? [yes/no]: yes
%
% Start certificate enrollment .. 
% Create a challenge password. You will need to verbally provide this
   password to the CA administrator in order to revoke your certificate.
   For security reasons your password will not be saved in the configuration.
   Please make a note of it.
Password: 
Re-enter password: 
% The subject name in the certificate will include: cn=myra, ou=ioscs RA, o=company, c=us
% The subject name in the certificate will include: Router-ra.company.com
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]: no
Request certificate from CA? [yes/no]: yes
% Certificate request sent to Certificate Authority
% The certificate request fingerprint will be displayed.
% The 'show crypto pki certificate' command will also show the fingerprint.
% Enrollment in progress...
Router-ra (cs-server)#
Sep 15 22:32:40.197: CRYPTO_PKI:  Certificate Request Fingerprint MD5: 82B41A76 AF4EC87D 
AAF093CD 07747D3A 
Sep 15 22:32:40.201: CRYPTO_PKI:  Certificate Request Fingerprint SHA1: 897CDF40 C6563EAA 
0FED05F7 0115FD3A 4FFC5231 
Sep 15 22:34:00.366: %PKI-6-CERTRET: Certificate received from Certificate Authority
Router-ra (cs-server)#
Router-ra(cs-server)# end
Router-ra# show crypto pki server
Certificate Server myra:
    Status: enabled
    Issuer name: CN=myra
    CA cert fingerprint: 32661452 0DDA3CE5 8723B469 09AB9E85 
    ! Note that the certificate server is running in RA mode   
    Server configured in RA mode
    RA cert fingerprint: C65F5724 0E63B3CC BE7AE016 BE0D34FE 
    Granting mode is: manual
    Current storage dir: nvram:
    Database Level: Minimum - no cert data written to storage

El producto siguiente muestra la base de datos de la petición de la inscripción del servidor de certificados de publicación después de que se haya habilitado el RA:


Observeel pedido de certificado RA es reconocido por el servidor de certificados de publicación porque los “ou=ioscs RA” se enumeran en los asuntos.


Router-ca# crypto pki server mycs info request
Enrollment Request Database:
Subordinate CA certificate requests:
ReqID  State      Fingerprint                      SubjectName
--------------------------------------------------------------
! The request is identified as RA certificate request.
RA certificate requests:
ReqID  State      Fingerprint                      SubjectName
--------------------------------------------------------------
12     pending    88F547A407FA0C90F97CDE8900A30CB0 
hostname=Router-ra.company.com,cn=myra,ou=ioscs RA,o=company,c=us
Router certificates requests:
ReqID   State     Fingerprint                      SubjectName
--------------------------------------------------------------
! Issue the RA certificate.
Router-ca# crypto pki server mycs grant 12

El producto siguiente muestra que el servidor de certificados de publicación está configurado para publicar un certificado automáticamente si la petición viene de un RA:

Router-ca(config)# crypto pki server mycs
Router-ca (cs-server)# grant ra-auto 
% This will cause all certificate requests already authorized by known RAs to be 
automatically granted. 
Are you sure you want to do this? [yes/no]: yes
Router-ca (cs-server)# end
Router-ca# show crypto pki server
Certificate Server mycs:
    Status: enabled
    Server's current state: enabled
    Issuer name: CN=mycs
    CA cert fingerprint: 32661452 0DDA3CE5 8723B469 09AB9E85 
    ! Note that the certificate server will issue certificate for requests from the RA.
    Granting mode is: auto for RA-authorized requests, manual otherwise
    Last certificate issued serial number: 0x2
    CA certificate expiration timer: 22:29:37 GMT Sep 15 2007
    CRL NextUpdate timer: 22:29:39 GMT Sep 22 2004
    Current storage dir: nvram:
    Database Level: Minimum - no cert data written to storage

El siguiente ejemplo muestra la configuración del “myra”, un servidor RA, configurado para soportar la renovación automática del “myca”, CA. Después de que se configure el servidor RA, la concesión automática de las peticiones del reenrollment del certificado se habilita:

crypto pki trustpoint myra
 enrollment url http://myca
 subject-name ou=iosca RA
 rsakeypair myra
crypto pki server myra
 mode ra
 auto-rollover
crypto pki server mycs
 grant auto rollover ra-cert
 auto-rollover 25

Habilitación de la Renovación del certificado CA para Iniciar Inmediatamente: Ejemplo:

Las demostraciones del siguiente ejemplo cómo habilitar la renovación automatizada del certificado de CA en los mycs del servidor con crypto pki server el comando. show crypto pki server El comando entonces muestra al estado actual del servidor de los mycs y que el certificado de la renovación está actualmente disponible para la renovación.

Router(config)# crypto pki server mycs rollover
Jun 20 23:51:21.211:%PKI-4-NOSHADOWAUTOSAVE:Configuration was
modified.  Issue "write memory" to save new IOS CA certificate
! The config has not been automatically saved because the config has been changed.
Router# show crypto pki server
Certificate Server mycs:
    Status:enabled
    Server's configuration is locked  (enter "shut" to unlock it)
    Issuer name:CN=mycs
    CA cert fingerprint:E7A5FABA 5D7AA26C F2A9F7B3 03CE229A 
    Granting mode is:manual
    Last certificate issued serial number:0x2
    CA certificate expiration timer:00:49:26 PDT Jun 20 2008
    CRL NextUpdate timer:00:49:29 PDT Jun 28 2005
    Current storage dir:nvram:
    Database Level:Minimum - no cert data written to storage
    Rollover status:available for rollover
    ! Rollover certificate is available for rollover.
    Rollover CA certificate fingerprint:9BD7A443 00A6DD74 E4D9ED5F B7931BE0 
    Rollover CA certificate expiration time:00:49:26 PDT Jun 20 2011
    Auto-Rollover configured, overlap period 25 days

Adonde ir después

Después de que el servidor de certificados se esté ejecutando con éxito, usted puede o comenzar a alistar a los clientes a través de los mecanismos manuales (como se explica en el módulo la “que configura inscripción del certificado para un PKI” de la guía de configuración de seguridad: La conectividad segura) o comienza a configurar el SDP, que es una interfaz basada en web de la inscripción, (como se explica en el módulo “que configura asegura el dispositivo Provisioning (SDP) para la inscripción en un PKI” de la guía de configuración de seguridad: Conectividad segura).

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Comandos de Cisco IOS

El Cisco IOS domina los comandos list, todos las versiones

PKI y comandos security

Referencia de Comandos de Seguridad de Cisco IOS

Operaciones RSA de Token USB: Usando las claves RSA en un Token USB para el autoenrollment inicial

“Configurando la inscripción del certificado para capítulo PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura. Vea “configurando la sección de los servidores de certificados”.

Operaciones RSA de Token USB: Beneficios de usar tokens USB

“Salvando módulo de las credenciales PKIen la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura.

Inscripción del certificado del cliente del servidor de certificados, autoenrollment, y renovación automática

Configurando la inscripción del certificado para módulo PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura.

El configurar y registración en un Token USB

“Salvando módulo de las credenciales PKIen la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura.

Inscripción del certificado basada en web

Configurando asegure el dispositivo Provisioning (SDP) para la inscripción en módulo PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura.

Claves RSA en los archivos formatados PEM

“Claves RSA que despliegan dentro módulo de un PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura.

Elegir un mecanismo de la revocación de certificado

“Configurando la autorización y la revocación de los Certificados en módulo PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura.


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información sobre la Función Cisco IOS Certificate Server

El cuadro 4 enumera el historial de la versión para esta característica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 4 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 4 para el servidor de certificados del Cisco IOS 

Nombre de la función
Versiones
Información sobre la Función

Mejoras del Token USB PKI del Cisco IOS — Fase 2

12.4(11)T

Esta función aumenta la funcionalidad del token USB utilizando el token USB como dispositivo criptográfico. Los tokens USB se pueden utilizar para operaciones RSA como la generación de llaves, la firma y la autenticación.

Las secciones siguientes de este documento proporcionan información sobre esta función:

Par clave RSA y certificado del servidor de certificados

Punto de Confianza del Servidor de Certificados

Generación de un Par de Llaves RSA del Servidor de Certificados

Observeeste el documento abarca el uso de usar los Token USB para las operaciones RSA durante la configuración de servidor de certificados.

El servidor de certificados IOS (CS) partió la base de datos

12.4(4)T

Esta característica permite que el usuario fije las ubicaciones de almacenamiento y publique las ubicaciones para los tipos de archivo específicos del servidor de certificados.

Las secciones siguientes proporcionan información acerca de esta función:

Base de Datos del Servidor de Certificados

Configuración de la Funcionalidad del Servidor de Certificados

Configuración de Ubicaciones Específicas de Almacenamiento y Publicación: Ejemplos

Esta función ha modificado los siguientes comandos: database url

Renovación del servidor de certificados IOS del modo Subordinate/RA (CS)

12.4(4)T

Esta característica se amplía en la renovación de clave del Certificate Authority (CA) introducida en 12.4(2)T para permitir la renovación del certificado de CA para el subordinado CA y RA-MODE CA. Estas funciones permiten los Certificados de CA de expiración de la renovación y las claves y tener estos cambios propagan a través de la red PKI sin la intervención manual.

Las secciones siguientes proporcionan información acerca de esta función:

Certificado de CA Automático y Renovación de Llave

Configuración de los Servidores de Certificados

Servidor de Certificados de Modo RA: Ejemplo:

Esta función ha modificado los siguientes comandos: grant auto rollover

Renovación de Clave de la Autoridad Certificadora (CA)

12.4(2)T

Esta característica introduce la capacidad para la raíz o el subordinado CA de rodar los Certificados y las claves de CA encima de expiración y de tener propagación de estos cambios a través de la red PKI sin la intervención manual.

Las secciones siguientes proporcionan información acerca de esta función:

Certificado de CA Automático y Renovación de Llave

Configuración de los Servidores de Certificados

Trabajo con la Renovación Automática del Certificado de la CA

Habilitación de la Renovación del certificado CA para Iniciar Inmediatamente: Ejemplo:

Los siguientes comandos fueron introducidos o modificados por esta característica: auto-rollover crypto pki certificate chain, crypto pki export pem, crypto pki server info request, crypto pki server show crypto pki certificates, show crypto pki server, y show crypto pki trustpoint

Servidor de Certificados de Cisco IOS

12.3(8)T

Esta característica introduce el soporte para el servidor de certificados del Cisco IOS, que ofrece a usuarios CA a que se integra directamente con el Cisco IOS Software despliegan más fácilmente las redes básicas PKI.

Las secciones siguientes proporcionan información acerca de esta función:

Información sobre los Servidores de Certificados de Cisco IOS

Cómo Configurar e Implementar Cisco IOS Certificate Server

La mejora auto1 del archivo del servidor de certificados

12.3(11)T

Esta mejora habilita el certificado de CA y la clave de CA que se sostendrán automáticamente apenas una vez después de que sean generados por el servidor de certificados. Como consecuencia, no es necesario generar una clave exportable de CA si el respaldo de CA es deseable.

Las secciones siguientes proporcionan información acerca de esta función:

Inscripción de Certificados Usando un Servidor de Certificados

Configuración de la Funcionalidad del Servidor de Certificados

Los siguientes comandos fueron introducidos por esta función: crypto pki server remote, database archive

La mejora del modo del registration authority (RA) del servidor de certificados

12.3(7)T

Un servidor de certificados se puede configurar para ejecutarse en el modo RA.

La sección siguiente proporciona la información sobre esta característica:

Configuración de un Servidor de Certificados para Ejecutarse en el Modo RA

Los siguientes comandos fueron introducidos por esta función: grant ra-auto, lifetime enrollment-requests

Estatus1 PKI

12.3(11)T

Esta mejora proporciona una instantánea rápida del estatus actual del trustpoint.

La siguiente sección proporciona información sobre esta mejora:

Mantenimiento, Verificación y Troubleshooting del Servidor de Certificados, Certificados y CA

El siguiente comando fue modificado por esta mejora: show crypto pki trustpoints

Servidor de certificados subordinado1

12.3(14)T

Esta mejora permite configurar un servidor de certificados subordinado para conceder algunas o todas las solicitudes de certificados SCEP o manuales.

La siguiente sección proporciona información sobre esta mejora:

Configuración de un Servidor de Certificados Subordinado

El siguiente comando fue introducido por esta mejora: mode sub-cs

Generación de claves RSA 4096-bit en el soporte de motor de la criptografía de software

15.1(1)T

El valor del rango para modulus el valor de la palabra clave para crypto key generate rsa el comando es extendido a partir del 360 a 2048 bits a 360 a 4096 bits.

Soporte del modo del servidor pki RA IOS para los servidores de CA del no IOS

15.1(2)T

Esta mejora permite que el servidor IOS CA en el modo RA interopere con más de un tipo de servidor CA.

La sección siguiente proporciona la información sobre esta característica:

Configuración de un Servidor de Certificados para Ejecutarse en el Modo RA

transparent La palabra clave fue agregada mode ra al comando de permitir que el servidor CA en el modo RA interopere con más de un tipo de servidor CA.

1 esto es una mejora de menor importancia. Las mejoras de menor importancia no se suelen enumerar en Feature Navigator.