Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Almacenamiento de Credenciales PKI
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 287 KB | Inglés (31 Marzo 2011) | Comentarios

Contenidos

Almacenamiento de Credenciales PKI

Encontrar la información de la característica

Contenido

Prerrequisitos de Almacenamiento de Credenciales PKI

Restricciones de Almacenamiento de Credenciales PKI

Información sobre el Almacenamiento de Credenciales PKI

Almacenamiento de Certificados en una Ubicación de Almacenamiento Local

Credenciales PKI y Tokens USB

Cómo Funciona un Token USB

Ventajas de los Tokens USB

Cómo Configurar el Almacenamiento PKI

Especificación de una Ubicación de Almacenamiento Local para los Certificados

Configuración y Uso de Tokens USB en Routers de Cisco

Almacenamiento de la Configuración en un Token USB

Login y Configuración del Token USB

Configuración del Token USB

Determinación de las Funciones Administrativas en el Token USB

Troubleshooting de los Tokens USB

Comando show file systems

Comando show usb device

Comando show usb controllers

El comando dir

Ejemplos de Configuración del Almacenamiento PKI

Almacenamiento de Certificados en una Ubicación de Almacenamiento Local Específica: Ejemplo:

Registro en un Token USB y Guardado de Claves RSA en el Token USB: Ejemplo:

Referencias adicionales

Documentos Relacionados

Asistencia Técnica

Información de sobre Funciones de Almacenamiento de Credenciales PKI


Almacenamiento de Credenciales PKI


Primera publicación: 2 de mayo de 2005
Última actualización: De marzo el 11 de 2011

Este módulo explica cómo salvar las credenciales del Public Key Infrastructure (PKI), tales como Rivest, Shamir, y las claves y los Certificados del Adelman (RSA) en una ubicación específica.

Un ejemplo de una ubicación de almacenamiento del certificado incluye el NVRAM, que es la ubicación predeterminada, y otras ubicaciones de almacenamiento local, tales como flash, según lo soportado por su plataforma.

Un ejemplo de una clave RSA y de una ubicación de almacenamiento del certificado incluye un Token USB. Tecnología seleccionada de la placa inteligente del soporte de Plataformas de Cisco en llave USB un factor de forma (tal como un Aladdin el USB eToken la clave). Los Token USB proporcionan la distribución segura de la configuración, proporcionan las operaciones RSA tales como generación de claves, firma, y autenticación del en-token, y permiten que los usuarios salven las credenciales del Red privada virtual (VPN) para el despliegue.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para salvar la sección de las credenciales PKI”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Contenido

Prerrequisitos de Almacenamiento de Credenciales PKI

Restricciones de Almacenamiento de Credenciales PKI

Información sobre el Almacenamiento de Credenciales PKI

Cómo Configurar el Almacenamiento PKI

Ejemplos de Configuración del Almacenamiento PKI

Referencias adicionales

Información de sobre Funciones de Almacenamiento de Credenciales PKI

Prerrequisitos de Almacenamiento de Credenciales PKI

Requisitos previos para especificar una ubicación de almacenamiento local del certificado

Antes de que usted pueda especificar la ubicación de almacenamiento local del certificado, su sistema debe cumplir los requisitos siguientes:

Una imagen habilitado para PKI del Cisco IOS Release 12.4(2)T o una imagen posterior

Una plataforma que soporta salvar las credenciales PKI como archivos distintos

Una configuración que contiene por lo menos un certificado

Un sistema de archivo local accesible

Requisitos previos para especificar el almacenamiento del Token USB para las credenciales PKI

Antes de que usted pueda utilizar un Token USB, su sistema debe cumplir los requisitos siguientes:

Un Cisco 871 Router, Cisco 1800 Series, Cisco 2800 Series, un Cisco 3800 Series Router, o una plataforma del Cisco 7200VXR NPE-G2

Por lo menos una imagen del Cisco IOS Release 12.3(14)T que se ejecuta en las plataformas admitidas unas de los

Cisco soportó el Token USB

Una imagen del k9

Restricciones de Almacenamiento de Credenciales PKI

Restricciones para especificar una ubicación de almacenamiento local del certificado

Al salvar los Certificados a una ubicación de almacenamiento local, las restricciones siguientes son aplicables:

Solamente los sistemas de archivo local pueden ser utilizados. Un mensaje de error será visualizado si se selecciona un sistema de archivos remotos, y el comando no tomará el efecto.

Un sub-directório puede ser especificado si es soportado por el sistema de archivo local. El NVRAM no soporta los sub-directórios.

Restricciones para especificar el almacenamiento del Token USB

Al usar un Token USB para salvar los datos PKI, las restricciones siguientes son aplicables:

El soporte del Token USB requiere una imagen del Cisco IOS Software 3DES (k9), que proporciona el almacenamiento de archivo seguro.

Usted no puede iniciar una imagen de un Token USB. (Sin embargo, usted puede iniciar una configuración de un Token USB.)

Actualmente no se soportan los hubs USB. Así, el número de dispositivos admitidos se limita al número de puertos USB disponibles.

Información sobre el Almacenamiento de Credenciales PKI

Para determinar donde salvar las credenciales PKI, usted debe entender los conceptos siguientes:

Almacenamiento de Certificados en una Ubicación de Almacenamiento Local

Credenciales PKI y Tokens USB

Almacenamiento de Certificados en una Ubicación de Almacenamiento Local

Los Certificados se salvan al NVRAM por abandono, no obstante un poco de Routers no tiene la cantidad necesaria de NVRAM para salvar con éxito los Certificados. Se introduce en el Cisco IOS Release 12.4(2)T la capacidad de especificar donde los Certificados se salvan en un sistema de archivo local.

Todo el NVRAM del soporte de Plataformas de Cisco y almacenamiento local de destello. Es posible que, en función de la plataforma, cuente con otras opciones de almacenamiento local soportadas, como bootflash, slot, disco, memoria Flash USB o token USB.

Durante el tiempo de ejecución, usted puede especificar qué dispositivo de almacenamiento local activo usted quisiera utilizar para salvar los Certificados.

Credenciales PKI y Tokens USB

Para utilizar un Token USB seguro en su router, usted debe entender los conceptos siguientes:

Cómo Funciona un Token USB

Ventajas de los Tokens USB

Cómo Funciona un Token USB

Una placa inteligente es un pequeño indicador luminoso LED amarillo de la placa muestra gravedad menor plástico, conteniendo un microprocesador y una memoria que permita que usted salve y que procese los datos. Un Token USB es una placa inteligente con una interfaz USB. El token puede salvar con seguridad cualquier tipo de archivo dentro de su espacio para almacenar disponible (32 KB). Los archivos de configuración que se salvan en el Token USB se pueden cifrar y acceder solamente vía un PIN del usuario. El router no cargará el archivo de configuración a menos que se haya configurado el PIN apropiado para la implementación segura de los archivos de configuración del router.

Después de que usted conecte el Token USB en el router, usted debe registrar en el Token USB; después de eso, puede cambiar la configuración predeterminada, como el PIN del usuario (valor predeterminado: 1234567890) y el número permitido de intentos fallidos de ingreso al sistema (valor por defecto: 15 tentativas) antes de los logines futuros se rechazan. Para más información sobre acceder y configurar el Token USB, vea la sección “registro en y configurar el Token USB.”

Después de que usted haya registrado con éxito en el Token USB, usted puede copiar los archivos del router encendido al Token USB vía copy el comando. Las claves del Token USB RSA y los túneles IPsec asociados siguen siendo disponibles hasta que recarguen al router. Para especificar la longitud del tiempo antes de que se quiten las claves y se derriban los túneles IPsec, publique crypto pki token removal timeout el comando. El tiempo de espera predeterminado es cero, que hace las claves RSA ser quitado automáticamente después de que el eToken se quite del router. El valor por defecto aparece en la configuración corriente como:

crypto pki token default removal timeout 0

El cuadro 1 resalta las capacidades del Token USB.

Resaltados de las funciones del cuadro 1 para los Token USB 

Función
Token USB
Accesibilidad

Utilizado para salvar y para transferir con seguridad los Certificados digitales, las claves del preshared, y las configuraciones del router del Token USB al router.

Tamaño de Almacenamiento

32 KB

Tipos de archivo

Utilizado típicamente para salvar los Certificados digitales, las claves del preshared, y las configuraciones del router para el IPSec VPN.

Los Token USB no pueden salvar las imágenes del Cisco IOS.

Seguridad

El encriptado y acceso a los archivos solamente puede hacerse con un PIN de usuario.

Los archivos también se pueden almacenar en un formato no seguro.

Configuraciones de Boot

El router puede utilizar la configuración salvada en el Token USB durante el tiempo del inicio.

El router puede utilizar la configuración secundaria salvada en el Token USB durante el tiempo del inicio. (La configuración secundaria A permite que los usuarios carguen su configuración IPSec.)


Ventajas de los Tokens USB

El soporte del Token USB en un router Cisco proporciona las ventajas siguientes de la aplicación:

Credenciales extraíbles: Proporcione o Almacene Credenciales de VPN en un Dispositivo Externo para su Implementación

Un Token USB puede utilizar la tecnología de la placa inteligente para salvar un certificado digital y una configuración para el despliegue del IPSec VPN. Esta capacidad aumenta la capacidad del router para generar los claves públicas RSA para autenticar por lo menos un túnel IPsec. (Porque un router puede iniciar los túneles IPsec múltiples, el Token USB puede contener varios Certificados, como apropiado.)

El almacenamiento de las credenciales VPN en un dispositivo externo reduce la posibilidad de poner en peligro la seguridad de los datos.

Configuración de PIN para una Implementación Segura de Archivos

Un Token USB puede salvar un archivo de configuración que se pueda utilizar para habilitar el cifrado en el router vía un PIN del usuario configurado. (Es decir, no se utilizan certificados digitales, llaves previamente compartidas o VPNs.)

Configuración Touchless o Low Touch

El Token USB puede proporcionar la configuración del software remota y el aprovisionamiento con poco o nada de interacción humana. La configuración se configura como un proceso automatizado. Es decir, el Token USB puede salvar una configuración de la carga inicial de la cual el router pueda utilizar para iniciar después de que el Token USB se haya insertado en el router. La configuración de bootstrap conecta el router con un servidor TFTP que contiene una configuración que configura totalmente el router.

Operaciones RSA

A partir de las versiones del Cisco IOS Release 12.4(11)T y Posterior, un Token USB se puede utilizar como dispositivo criptográfico además de un dispositivo de almacenamiento. El uso de un token USB como dispositivo criptográfico permite que operaciones RSA como generación de llaves, firma y autenticación se realicen en el token.

De fines generales, especial-uso, cifrado, o los pares claves de la firma RSA con un módulo de 2048 bits o menos puede ser generado de las credenciales situadas en su dispositivo de almacenamiento simbólico. Sigue habiendo las claves privadas no se distribuyen y en el token por abandono, no obstante usted puede configurar la ubicación de almacenamiento de la clave privada.

Las claves que residen en un Token USB se guardan al almacenamiento simbólico persistente cuando se generan. La cancelacíon dominante quitará las claves salvadas en el token del almacenamiento persistente inmediatamente. (Las claves que no residen en un token se guardan a o se borran de nontoken las ubicaciones de almacenamiento cuando el write memory o se publica comando similar.)

Configuración y aprovisionamiento de dispositivo remoto en un entorno de disposición del dispositivo seguro (SDP)

A partir de las versiones del Cisco IOS Release 12.4(15)T y Posterior, el SDP se puede utilizar para configurar un Token USB. El Token USB configurado se puede transportar para provision un dispositivo en un lugar remoto. Es decir, un Token USB se puede utilizar para transferir la información criptográfica a partir de un dispositivo de red a otro dispositivo de red remota que proporciona a una solución para un despliegue efectuado del Token USB.

Para la información sobre usar los Token USB con el SDP, vea que los títulos del documento en “relacionó la sección de los documentos”.

Cómo Configurar el Almacenamiento PKI

Especificación de una Ubicación de Almacenamiento Local para los Certificados

Configuración y Uso de Tokens USB en Routers de Cisco

Troubleshooting de los Tokens USB

Especificación de una Ubicación de Almacenamiento Local para los Certificados

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto pki certificate storage location-name

4. exit

5. copy source-url destination-url

6. show crypto pki certificates storage

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto pki certificate storage location-name

Example:

Router(config)# crypto pki certificate storage flash:/certs

Especifica la ubicación de almacenamiento local para los Certificados.

Paso 4 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 5 

copy source-url destination-url

Example:

Router# copy system:running-config nvram:startup-config

(Opcional) guarda la configuración corriente a la configuración de inicio.

Las configuracionesde la nota tomarán solamente el efecto cuando la configuración corriente se guarda a la configuración de inicio.

Paso 6 

show crypto pki certificates storage

Example:

Router# show crypto pki certificates storage

(Opcional) visualiza la configuración actual para la ubicación de almacenamiento del certificado PKI.

Ejemplos

Lo que sigue es salida de muestra para show crypto pki certificates storage el comando where que los Certificados se salvan en el sub-directório de los certs del disk0:

Router# show crypto pki certificates storage

Certificates will be stored in disk0:/certs/

Configuración y Uso de Tokens USB en Routers de Cisco

Esta sección contiene los siguientes procedimientos que permiten que usted configure a un router para soportar los Token USB:

Almacenamiento de la Configuración en un Token USB

Login y Configuración del Token USB

Configuración del Token USB

Determinación de las Funciones Administrativas en el Token USB

Almacenamiento de la Configuración en un Token USB

PASOS SUMARIOS

1. enable

2. configure terminal

3.config usbtoken[0-9]:filename del inicio

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

boot config usbtoken[0-9]:filename

Example:

Router(config)# boot config usbtoken0:file

Especifica que el archivo de configuración de inicio está salvado en un Token USB seguro.

Login y Configuración del Token USB

Realice esta tarea de registrar en y de realizar la configuración inicial de un Token USB.

Uso de las claves RSA con un Token USB

Se cargan las claves RSA después de que el Token USB se registre con éxito en el router.

Por abandono, las claves nuevamente generadas RSA se salvan en el Token USB recientemente insertado. Las claves regeneradas se deben salvar en la misma ubicación en donde la clave original RSA fue generada.

Login Automático

El login automático permite que el router se reinicie totalmente sin la intervención de ningún usuario u operador. El PIN se salva en el NVRAM privado, así que no es visible en el lanzamiento o la configuración corriente.


Observela configuración de inicio mano-generada A puede contener el comando login automático para los propósitos del despliegue, pero copy system:running-config nvram: startup-config el comando se debe publicar para poner la configuración mano-generada en la configuración privada.


Login manual

A diferencia del login automático, el login manual requiere que el usuario conozca el PIN real del Token USB.

El login manual se puede utilizar cuando no es deseable almacenar un PIN en el router. El login manual puede también ser adecuado en algunos escenarios de la implementación inicial o de reemplazo de hardware desde los que se obtiene el router del proveedor local o se envían directamente al sitio remoto. El login manual se puede ejecutar con o sin los privilegios, y hará los archivos y las claves RSA en el Token USB disponible para el Cisco IOS Software. Si se configura un archivo de configuración secundario, será ejecutado solamente con los privilegios del usuario que está realizando el login. Así, si usted quiere utilizar el login manual y configurar la configuración secundaria en el Token USB para realizar cualquier cosa útil, usted necesita habilitar los privilegios.

El login manual también se puede utilizar en escenarios de recuperación para los cuales se ha perdido la configuración del router. Si el escenario contiene un sitio remoto que conecte normalmente con la red del núcleo con un VPN, la pérdida de la configuración y de claves RSA requiere los servicios fuera de banda que el Token USB puede proporcionar. El Token USB puede contener una configuración de arranque, una configuración secundaria, o ambas, y las claves RSA para autenticar la conexión.

PASOS SUMARIOS

1. enable

2.crypto pki token token-name []adminlogindel []pin

       o

      configure terminal

3.crypto pki token token-name []del usuario-pinpin

4.salida

5.show usbtoken[]0-9:filename

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

crypto pki token token-name [admin] login [pin]

Example:

Router# crypto pki token usbtoken0 admin login 5678


o

configure terminal

Example:

Router# configure terminal

Manualmente registros en el Token USB.

Usted debe especificar admin la palabra clave si usted quiere más adelante cambiar el PIN del usuario.

o

Pone al router en el modo de configuración global, que permite que usted configure el login automático del Token USB.

Paso 3 

crypto pki token token-name user-pin [pin]

Example:

Router(config)# crypto pki token usbtoken0 user-pin 1234

(Opcional) configura al router para registrar en el token automáticamente, usando el PIN especificado en el inicio del router o cuando el Token USB se inserta en un slot USB.

El PIN se cifra y se salva en el NVRAM.

Notale pedirán ingresar su passphrase.

Paso 4 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 5 

show usbtoken[0-9]:filename

Example:

Router# show usbtoken0:usbfile

(Opcional) verifica si el Token USB se haya registrado sobre el router.

Pasos Siguientes

Después de que usted haya registrado en el Token USB, está disponible para el uso.

Para configurar más lejos el Token USB, vea “configurando la sección del Token USB”.

Para realizar tareas administrativas de token USB, como por ejemplo cambiar el PIN de usuario, copiar archivos del router en la ubicación de almacenamiento clave del token USB y cambiar los tokens USB, vea la sección "Determinación de las Funciones Administrativas en el Token USB".

Para utilizar el token USB como un dispositivo criptográfico para realizar operaciones RSA, vea los títulos de los documento de la sección "Documentos Relacionados".

Para especificar que se utilice el token USB en operaciones RSA durante la inscripción automática inicial, vea los títulos de documento de la sección "Documentos Relacionados".

Configuración del Token USB

Después de que usted haya configurado el login automático, usted puede realizar esta tarea de configurar más lejos el Token USB.

Contactos y frases de contraseña

Para la Seguridad adicional del PIN con el login automático, usted puede cifrar su PIN salvado en el NVRAM y configurar un passphrase para su Token USB. El establecimiento de un passphrase permite que usted guarde su PIN asegura; otras necesidades de usuario de conocer solamente el passphrase, no el PIN.

Cuando el Token USB se inserta en el router, el passphrase es necesario desencriptar el PIN. El PIN se desencripta una vez, el router puede entonces utilizar el PIN para iniciar sesión el Token USB.


Observeal usuario tiene solamente el acceso que ellos tendrían normalmente y el nivel de privilegio 1 de las necesidades solamente a iniciar sesión.


Desbloqueando y bloqueando el Token USB

El Token USB sí mismo puede ser bloqueado (cifrado) o desbloqueado (desencriptado).

Desbloquear el Token USB permite que sea utilizado. Una vez que está desbloqueado, el Cisco IOS trata el token como si fuera abierto una sesión automáticamente. Cualquier clave en el Token USB se carga, y si un archivo de configuración secundario está en el token, se ejecuta con la independiente llena de los privilegios del usuario (nivel de privilegio 15) del nivel de privilegio del usuario conectado al sistema.

Bloqueando el token, a diferencia del token de los del registro, borra cualquier clave RSA cargada del token y funciona con el archivo secundario del unconfiguration, si está configurado.

Configuración y archivos secundarios de Unconfiguration

Los archivos de configuración que existen en un Token USB se llaman los archivos de configuración secundarios. Si usted crea y configura un archivo de configuración secundario, se ejecuta después de que se abra una sesión el token. La existencia de un archivo de configuración secundario es determinada por la presencia de una opción secundaria del archivo de configuración en la configuración del Cisco IOS salvada en el NVRAM. Cuando se quita el token o terminado la sesión y expira el temporizador del retiro, un archivo secundario separado del unconfiguration se procesa para quitar todos los elementos de configuración secundarios de la configuración corriente. La configuración secundaria y los archivos secundarios del unconfiguration se ejecutan en el nivel de privilegio 15 y no son dependientes en el nivel del usuario abierto una sesión.

PASOS SUMARIOS

1. enable

2.crypto pki token token-name unlock []pin

3. configure terminal

4.crypto pki token token-name encrypted-user-pin []write

5. crypto pki token token-name secondary unconfig file

6. exit

7.crypto pki token token-name lock []pin

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

crypto pki token token-name unlock [pin]

Example:

Router# crypto pki token mytoken unlock mypin

(Opcional) permite que el token sea utilizado si el Token USB ha estado bloqueado.

Una vez que está desbloqueado, el Cisco IOS trata el token como si se haya abierto una sesión automáticamente. Cualquier clave en el token se carga y si existe un archivo de configuración secundario, se ejecuta.

Paso 3 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 4 

crypto pki token token-name encrypted-user-pin [write]

Example:

Router(config)# crypto pki token mytoken encrypted-user-pin write

(Opcional) cifra el PIN salvado en el NVRAM.

Paso 5 

crypto pki token token-name secondary unconfig file

Example:

Router(config)# crypto pki token mytoken secondary unconfig configs/myunconfigfile.cfg

(Opcional) especifica el archivo de configuración secundario y su ubicación.

Paso 6 

exit

Example:

Router(config)# exit

Ingresa al modo EXEC privilegiado.

Paso 7 

crypto pki token token-name lock [pin]

Example:

Router# crypto pki token mytoken lock mypin

(Opcional) borra cualquier clave RSA cargada del token y funciona con el archivo secundario del unconfiguration, si existe.

Ejemplos

El siguiente ejemplo muestra la configuración y cifrado de un PIN del usuario y entonces el recargar del router y el PIN del usuario que es desbloqueado:

¡! Configurar el PIN del usuario

Ingrese los comandos de configuración, uno por línea. Finalizar con CNTL/Z.

Router(config)# crypto pki token usbtoken0: user-pin

     Ingrese la contraseña:

¡! Cifre el PIN del usuario

Router (config) # crypto pki token usbtoken0: encrypted-user-pin

     Ingrese la frase de paso:

Router(config)# exit

Router-

20 de septiembre 21:51:38.076: %SYS-5-CONFIG_I: Configured from console by console

¡!

Router- show running config

.

.

.

*encrypted* simbólico del usuario-pin usbtoken0 del pki crypto

.

.

.

¡! Recargar al router.

¡!

Router> enable

 Contraseña

¡!

¡! Desencriptar el pin del usuario.

¡!

Token crypto usbtoken0 del pki del Router-: desbloquee

 El token eToken es usbtoken0

¡!

Ingrese la frase de paso:

Login simbólico usbtoken0(eToken) a acertado

Router-

20 de septiembre 22:31:13.128: %CRYPTO-6-TOKENLOGIN: El token criptográfico eToken

Login acertado

El siguiente ejemplo muestra a cómo un archivo secundario del unconfiguration se pudo utilizar para quitar los elementos de configuración secundarios de la configuración corriente. Por ejemplo, un archivo de configuración secundario se pudo utilizar para configurar un trustpoint PKI. Un archivo correspondiente del unconfiguration, mysecondaryunconfigfile.cfg Nombrado, pudo contener esta línea de comando:

     ningún trustpoint crypto token-TP del pki

Si el token fuera quitado y los siguientes comandos ejecutaran, el trustpoint y los Certificados asociados serían quitados de la configuración corriente del router:

Router- configure terminal

Router(config)# no crypto pki token mytoken secondary unconfig mysecondaryunconfigfile.cfg

Pasos Siguientes

Después de que usted haya registrado en y haya configurado el Token USB, está disponible para el uso.

Para realizar tareas administrativas de token USB, como por ejemplo cambiar el PIN de usuario, copiar archivos del router en la ubicación de almacenamiento clave del token USB y cambiar los tokens USB, vea la sección "Determinación de las Funciones Administrativas en el Token USB".

Para utilizar el token USB como un dispositivo criptográfico para realizar operaciones RSA, vea los títulos de los documento de la sección "Documentos Relacionados".

Para especificar que se utilice el token USB en operaciones RSA durante la inscripción automática inicial, vea los títulos de documento de la sección "Documentos Relacionados".

Determinación de las Funciones Administrativas en el Token USB

Realice esta tarea de cambiar las configuraciones predeterminadas, tales como el PIN del usuario, el número máximo de intentos fallidos en el Token USB, o la ubicación de almacenamiento de credenciales.

PASOS SUMARIOS

1. enable

2.crypto pki token token-name []adminchange-pin del []pin

3. crypto pki token token-name device: label token-label

4. configure terminal

5.crypto key storage device:

6.crypto key generate rsa [general-keys | usage-keys | signature | encryption] []labelkey-labeldel []exportable del []modulus modulus-sizedel []storage devicename:del []on devicename:

7.crypto key move rsa keylabel []non-exportable [on | storage] location

8.crypto pki token {token-name | default} []del descanso del retiroseconds

9.crypto pki token {token-name | default} []de los Reintento máximosnumber

10. exit

11copy usbflash[0-9]:filename destination-url

12. show usbtoken[0-9]:filename

13. crypto pki token token-name logout

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

crypto pki token token-name [admin] change-pin [pin]

Example:

Router# crypto pki token usbtoken0 admin change-pin

(Opcional) cambia el número de pin del usuario en el Token USB.

Si no se cambia el PIN, se utilizará el PIN predeterminado (1234567890).

Observedespués de que el PIN se ha cambiado, usted debe reajustar la cuenta de la falla de registro a cero (vía crypto pki token max-retries el comando). El número máximo de fallas de login permitidas se establece (de forma predeterminada) en 15.

Paso 3 

crypto pki token token-name device: label token-label

Example:

Router# crypto pki token my token usb0: label newlabel

(Opcional) fija o cambia el nombre del Token USB.

El valor token-label del argumento puede ser hasta 31 caracteres alfanuméricos de largo incluyendo las rociadas y los caracteres de subrayado.

Inclineeste comando es útil al configurar los Token USB múltiples para el login automático, los archivos de configuración secundarios, u otras configuraciones específicas simbólicas.

Paso 4 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 5 

crypto key storage device:

Example:

Router(config)# crypto key storage usbtoken0:

(Opcional) fija la ubicación de almacenamiento de la clave del valor por defecto RSA para las claves creadas recientemente.

Observesin importar los valores de configuración, las claves existentes se salvan en el dispositivo de donde fueron cargadas originalmente.

Paso 6 

crypto key generate rsa [general-keys | usage-keys | signature | encryption] [label key-label] [exportable] [modulus modulus-size] [storage devicename:] [on devicename:]

Example:

Router(config)# crypto key generate rsa label tokenkey1 storage usbtoken0:

(Opcional) genera el par clave RSA para el servidor de certificados.

storage La palabra clave especifica la ubicación de almacenamiento dominante.

Al especificar un nombre de escritura de la etiqueta especificando key-label el argumento, usted debe utilizar el mismo nombre para la escritura de la etiqueta que usted planea utilizar para el servidor de certificados (con crypto pki server cs-label el comando). Si key-label un argumento no se especifica, se utiliza el valor predeterminado, que es el nombre de dominio completo (FQDN) del router.

Si el par clave exportable RSA se genera manualmente después de que el certificado de CA se haya generado, y antes de publicar no shutdown el comando, después utilice crypto ca export pkcs12 el comando de exportar un archivo del PKCS12 que contenga el certificado de servidor de certificados y la clave privada.

Por abandono, los tamaños del módulo de una clave de CA son 1024 bits. El módulo recomendado para una clave de CA es 2048 bits. El rango para los tamaños del módulo de una clave de CA es a partir 350 a 4096 bits.

on La palabra clave especifica que el par clave RSA está creado en el dispositivo especificado, incluyendo un token del Bus serie universal (USB), un disco local, o un NVRAM. El nombre del dispositivo es seguido por los dos puntos (:).

Las clavesde la nota creadas en un Token USB deben ser 2048 bits o menos.

Paso 7 

crypto key move rsa keylabel [non-exportable] [on | storage] location

Example:

Router(config)# crypto key move rsa keypairname non-exportable on token

(Opcional) mueve las credenciales existentes del Cisco IOS desde la ubicación de almacenamiento actual a la ubicación de almacenamiento especificada.

Por abandono, los restos del par clave RSA salvados en el dispositivo actual.

Generando la clave en el router y moviéndola a las tomas simbólicas menos que un minuto. La generación de una clave en el token, usando on la palabra clave podría tardar cinco a diez minutos, y es dependiente en las rutinas de la generación de clave de hardware disponibles en el Token USB.

Cuando un par clave existente RSA se genera en el Cisco IOS, se salva en un Token USB, y se utiliza para una inscripción, puede ser necesario mover esos pares claves existentes RSA a una ubicación alterna para el almacenamiento permanente.

Este comando es útil al usar el SDP con los Token USB para desplegar las credenciales.

Paso 8 

crypto pki token {token-name | default} removal timeout [seconds]

Example:

Router(config)# crypto pki token usbtoken0 removal timeout 60

(Opcional) fija el intervalo de tiempo, en los segundos, que el router esperará antes de quitar las claves RSA que se salvan en el Token USB después de que el Token USB se haya quitado del router.

Observesi este comando no se publica, todas las claves RSA y túneles IPsec asociados al Token USB se derriban inmediatamente después que el Token USB se quita del router.

Paso 9 

crypto pki token {token-name | default} max-retries [number]

Example:

Router(config)# crypto pki token usbtoken0 max-retries 20

(Opcional) fija el número máximo de intentos fallidos de ingreso al sistema consecutivos permitidos antes de que el acceso al Token USB se niegue.

De forma predeterminada, el valor se establece en 15.

Paso 10 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 11 

copy usbflash[0-9]:filename destination-url

Example:

Router# copy usbflash0:file1 nvram:

Archivos de las copias del Token USB al router.

destination-url — Vea copy la documentación de la página del comando para una lista de opciones soportadas.

Paso 12 

show usbtoken[0-9]:filename

Example:

Router# show usbtoken:usbfile

(Opcional) visualiza la información sobre el Token USB. Usted puede utilizar este comando de verificar si el Token USB se ha registrado sobre el router.

Paso 13 

crypto pki token token-name logout

Example:

Router# crypto pki token usbtoken0 logout

Registra el Token USB de los del router.

Observesi usted quieren salvar algunos datos al Token USB, usted debe registrar nuevamente dentro del token.

Troubleshooting de los Tokens USB

Esta sección contiene las descripciones de los comandos cisco ios siguientes que pueden ser utilizados para ayudar a resolver problemas los Posibles problemas que pueden presentarse mientras que usa un Token USB:

Comando show file systems

Comando show usb device

Comando show usb controllers

El comando dir

The show file systems Command

Utilice show file systems el comando de determinar si el router reconoce que hay un módulo USB conectado en un puerto USB. El módulo USB debe aparecer en la lista de sistemas de archivos. Si el módulo no aparece en la lista, puede indicar cualquiera de los problemas siguientes:

Un Problema de conexión con el módulo USB.

La imagen del Cisco IOS que se ejecuta en el router no soporta un módulo USB.

Un problema de hardware con el módulo USB sí mismo.

PASOS SUMARIOS

1. show file systems

PASOS DETALLADOS


Paso 1La salida de muestra show file systems del comando que muestra un Token USB aparece abajo. El listado del módulo USB aparece en la última línea de los ejemplos.


Router# show file systems

File Systems:

     Size(b)     Free(b)      Type  Flags  Prefixes
           -           -    opaque     rw   archive:
           -           -    opaque     rw   system:
           -           -    opaque     rw   null:
           -           -   network     rw   tftp:
*  129880064    69414912      disk     rw   flash:#
      491512      486395     nvram     rw   nvram:
           -           -    opaque     wo   syslog:
           -           -    opaque     rw   xmodem:
           -           -    opaque     rw   ymodem:
           -           -   network     rw   rcp:
           -           -   network     rw   pram:
           -           -   network     rw   ftp:
           -           -   network     rw   http:
           -           -   network     rw   scp:
           -           -   network     rw   https:
           -           -    opaque     ro   cns:
    63158272    33037312  usbflash     rw   usbflash0:
       32768         858  usbtoken     rw   usbtoken1:

Comando show usb device

Utilice show usb device el comando de determinar si un Token USB es soportado por Cisco.

PASOS SUMARIOS

1. show usb device

PASOS DETALLADOS


Paso 1La salida de muestra siguiente para show usb device el comando indica independientemente de si el módulo está soportado es intrépido en la salida de muestra abajo:

Router# show usb device

Host Controller:1
Address:0x11
Device Configured:YES
Device Supported:YES
Description:eToken Pro 4254
Manufacturer:AKS
Version:1.0
Serial Number:
Device Handle:0x1010000
USB Version Compliance:1.0
Class Code:0xFF
Subclass Code:0x0
Protocol:0x0
Vendor ID:0x529
Product ID:0x514
Max. Packet Size of Endpoint Zero:8
Number of Configurations:1
Speed:Low
Selected Configuration:1
Selected Interface:0

Configuration:
    Number:1
    Number of Interfaces:1
    Description:
    Attributes:None
    Max Power:60 mA

    Interface:
        Number:0
        Description:
        Class Code:255
        Subclass:0
        Protocol:0
        Number of Endpoints:0

Comando show usb controllers

Utilice show usb controllers el comando de determinar si hay un problema de hardware con un módulo del flash USB. Si show usb controllers el comando visualiza un error, el error indica un problema de hardware en el módulo USB.

Usted puede también utilizar show usb controllers el comando de verificar que están ocurriendo las operaciones de copiado sobre un módulo del flash USB con éxito. La publicación show usb controllers del comando después de realizar una copia de archivo debe visualizar las Transferencias de datos acertadas.

PASOS SUMARIOS

1. show usb controllers

PASOS DETALLADOS


Paso 1La salida de muestra siguiente para show usb controllers el comando visualiza un módulo de destello de trabajo USB:

Router# show usb controllers 

Name:1362HCD
Controller ID:1
Controller Specific Information:
    Revision:0x11
    Control:0x80
    Command Status:0x0
    Hardware Interrupt Status:0x24
    Hardware Interrupt Enable:0x80000040
    Hardware Interrupt Disable:0x80000040
    Frame Interval:0x27782EDF
    Frame Remaining:0x13C1
    Frame Number:0xDA4C
    LSThreshold:0x628
    RhDescriptorA:0x19000202
    RhDescriptorB:0x0
    RhStatus:0x0
    RhPort1Status:0x100103
    RhPort2Status:0x100303
    Hardware Configuration:0x3029
    DMA Configuration:0x0
    Transfer Counter:0x1
    Interrupt:0x9
    Interrupt Enable:0x196
    Chip ID:0x3630
    Buffer Status:0x0
    Direct Address Length:0x80A00
    ATL Buffer Size:0x600
    ATL Buffer Port:0x0
    ATL Block Size:0x100
    ATL PTD Skip Map:0xFFFFFFFF
    ATL PTD Last:0x20
    ATL Current Active PTD:0x0
    ATL Threshold Count:0x1
    ATL Threshold Timeout:0xFF

Int Level:1
Transfer Completion Codes:
         Success              :920              CRC             :0       
         Bit Stuff            :0                Stall           :0       
         No Response          :0                Overrun         :0       
         Underrun             :0                Other           :0       
         Buffer Overrun       :0                Buffer Underrun :0       
Transfer Errors:
         Canceled Transfers   :2                Control Timeout :0       
Transfer Failures:
         Interrupt Transfer   :0                Bulk Transfer   :0       
         Isochronous Transfer :0                Control Transfer:0       
Transfer Successes:
         Interrupt Transfer   :0                Bulk Transfer   :26      
         Isochronous Transfer :0                Control Transfer:894     

USBD Failures:
         Enumeration Failures :0                No Class Driver Found:0       
         Power Budget Exceeded:0       

USB MSCD SCSI Class Driver Counters:
         Good Status Failures :3                Command Fail    :0       
         Good Status Timed out:0                Device not Found:0       
         Device Never Opened  :0                Drive Init Fail :0       
         Illegal App Handle   :0                Bad API Command :0       
         Invalid Unit Number  :0                Invalid Argument:0       
         Application Overflow :0                Device in use   :0       
         Control Pipe Stall   :0                Malloc Error    :0       
         Device Stalled       :0                Bad Command Code:0       
         Device Detached      :0                Unknown Error   :0       
         Invalid Logic Unit Num:0       

USB Aladdin Token Driver Counters:
         Token Inserted       :1                Token Removed   :0       
         Send Insert Msg Fail :0                Response Txns   :434     
         Dev Entry Add Fail   :0                Request Txns    :434     
         Dev Entry Remove Fail:0                Request Txn Fail:0       
         Response Txn Fail    :0                Command Txn Fail:0       
         Txn Invalid Dev Handle:0       

USB Flash File System Counters:
         Flash Disconnected   :0                Flash Connected :1       
         Flash Device Fail    :0                Flash Ok        :1       
         Flash startstop Fail :0                Flash FS Fail   :0       

USB Secure Token File System Counters:
         Token Inserted       :1                Token Detached  :0       
         Token FS success     :1                Token FS Fail   :0       
         Token Max Inserted   :0                Create Talker Failures:0       
         Token Event          :0                Destroy Talker Failures:0       
         Watched Boolean Create Failures:0 

El comando dir

Utilice dir el comando con filesystem el [-] usbtokende la opción de palabra clave09: de visualizar todos los archivos, los directorios, y sus cadenas del permiso en el Token USB.

PASOS SUMARIOS

1.dir [filesystem: ]

PASOS DETALLADOS


Paso 1La información del directorio siguiente de las visualizaciones del ejemplo de resultado para el Token USB:

Router# dir usbtoken1:

Directory of usbtoken1:/

    2  d---          64  Dec 22 2032 05:23:40 +00:00  1000
    5  d---        4096  Dec 22 2032 05:23:40 +00:00  1001
    8  d---           0  Dec 22 2032 05:23:40 +00:00  1002
   10  d---         512  Dec 22 2032 05:23:42 +00:00  1003
   12  d---           0  Dec 22 2032 05:23:42 +00:00  5000
   13  d---           0  Dec 22 2032 05:23:42 +00:00  6000
   14  d---           0  Dec 22 2032 05:23:42 +00:00  7000
   15  ----         940  Jun 27 1992 12:50:42 +00:00  mystartup-config
   16  ----        1423  Jun 27 1992 12:51:14 +00:00  myrunning-config

32768 bytes total (858 bytes free)

El siguiente ejemplo de salida muestra información del directorio de todos los dispositivos que reconoce el router:

Router# dir all-filesystems

Directory of archive:/

No files in directory

No space information available
Directory of system:/

    2  drwx           0                    <no date>  its
  115  dr-x           0                    <no date>  lib
  144  dr-x           0                    <no date>  memory
    1  -rw-        1906                    <no date>  running-config
  114  dr-x           0                    <no date>  vfiles

No space information available
Directory of flash:/

    1  -rw-    30125020  Dec 22 2032 03:06:04 +00:00  c3825-entservicesk9-mz.123-14.T

129880064 bytes total (99753984 bytes free)
Directory of nvram:/

  476  -rw-        1947                    <no date>  startup-config
  477  ----          46                    <no date>  private-config
  478  -rw-        1947                    <no date>  underlying-config
    1  -rw-           0                    <no date>  ifIndex-table
    2  ----           4                    <no date>  rf_cold_starts
    3  ----          14                    <no date>  persistent-data

491512 bytes total (486395 bytes free)
Directory of usbflash0:/

    1  -rw-    30125020  Dec 22 2032 05:31:32 +00:00  c3825-entservicesk9-mz.123-14.T

63158272 bytes total (33033216 bytes free)
Directory of usbtoken1:/

    2  d---          64  Dec 22 2032 05:23:40 +00:00  1000
    5  d---        4096  Dec 22 2032 05:23:40 +00:00  1001
    8  d---           0  Dec 22 2032 05:23:40 +00:00  1002
   10  d---         512  Dec 22 2032 05:23:42 +00:00  1003
   12  d---           0  Dec 22 2032 05:23:42 +00:00  5000
   13  d---           0  Dec 22 2032 05:23:42 +00:00  6000
   14  d---           0  Dec 22 2032 05:23:42 +00:00  7000
   15  ----         940  Jun 27 1992 12:50:42 +00:00  mystartup-config
   16  ----        1423  Jun 27 1992 12:51:14 +00:00  myrunning-config

32768 bytes total (858 bytes free)

Ejemplos de Configuración del Almacenamiento PKI

Esta sección contiene los ejemplos de configuración siguientes:

Almacenamiento de Certificados en una Ubicación de Almacenamiento Local Específica: Ejemplo:

Registro en un Token USB y Guardado de Claves RSA en el Token USB: Ejemplo:

Almacenamiento de Certificados en una Ubicación de Almacenamiento Local Específica: Ejemplo:

Las demostraciones siguientes del ejemplo de configuración cómo salvar los Certificados al sub-directório de los certs. El sub-directório de los certs no existe y se crea automáticamente.

Router# dir nvram:

 114  -rw-        4687                    <no date>  startup-config
 115  ----        5545                    <no date>  private-config
 116  -rw-        4687                    <no date>  underlying-config
   1  ----          34                    <no date>  persistent-data
   3  -rw-         707                    <no date>  ioscaroot#7401CA.cer
   9  -rw-         863                    <no date>  msca-root#826E.cer
  10  -rw-         759                    <no date>  msca-root#1BA8CA.cer
  11  -rw-         863                    <no date>  msca-root#75B8.cer
  24  -rw-        1149                    <no date>  storagename#6500CA.cer
  26  -rw-         863                    <no date>  msca-root#83EE.cer

129016 bytes total (92108 bytes free)

Router# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)# crypto pki certificate storage disk0:/certs
Requested directory does not exist -- created
Certificates will be stored in disk0:/certs/

Router(config)# end
Router# write
*May 27 02:09:00:%SYS-5-CONFIG_I:Configured from console by consolemem
Building configuration...
[OK]

Router# directory disk0:/certs

Directory of disk0:/certs/

  14  -rw-         707  May 27 2005 02:09:02 +00:00  ioscaroot#7401CA.cer
  15  -rw-         863  May 27 2005 02:09:02 +00:00  msca-root#826E.cer
  16  -rw-         759  May 27 2005 02:09:02 +00:00  msca-root#1BA8CA.cer
  17  -rw-         863  May 27 2005 02:09:02 +00:00  msca-root#75B8.cer
  18  -rw-        1149  May 27 2005 02:09:02 +00:00  storagename#6500CA.cer
  19  -rw-         863  May 27 2005 02:09:02 +00:00  msca-root#83EE.cer

47894528 bytes total (20934656 bytes free)


! The certificate files are now on disk0/certs:

Registro en un Token USB y Guardado de Claves RSA en el Token USB: Ejemplo:

Las demostraciones siguientes del ejemplo de configuración a cómo el registro en el Token USB, genera las claves RSA, y salvan las claves RSA sobre el Token USB:

! Configure the router to automatically log into the eToken
configure terminal
 crypto pki token default user-pin 0 1234567890
! Generate RSA keys and enroll certificates with the CA.
crypto pki trustpoint IOSCA
 enrollment url http://10.23.2.2
 exit
crypto ca authenticate IOSCA
Certificate has the following attributes:
       Fingerprint MD5:23272BD4 37E3D9A4 236F7E1A F534444E
      Fingerprint SHA1:D1B4D9F8 D603249A 793B3CAF 8342E1FE 3934EB7A

% Do you accept this certificate? [yes/no]:yes
Trustpoint CA certificate accepted.
crypto pki enroll
crypto pki enroll IOSCA
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
   password to the CA Administrator in order to revoke your certificate.
   For security reasons your password will not be saved in the configuration.
   Please make a note of it.

Password:
Re-enter password:

% The subject name in the certificate will include:c2851-27.cisco.com
% Include the router serial number in the subject name? [yes/no]:no
% Include an IP address in the subject name? [no]:no
Request certificate from CA? [yes/no]:yes
% Certificate request sent to Certificate Authority
% The 'show crypto ca certificate IOSCA verbose' command will show the fingerprint.


*Jan 13 06:47:19.413:CRYPTO_PKI: Certificate Request Fingerprint MD5:E6DDAB1B
 0E30EFE6 54529D8A DA787DBA
*Jan 13 06:47:19.413:CRYPTO_PKI: Certificate Request Fingerprint SHA1:3B0F33B
7 57C02A10 3935042B C4B6CD3D 61039251
*Jan 13 06:47:21.021:%PKI-6-CERTRET:Certificate received from Certificate Authority
! Issue the write memory command, which will automatically save the RSA keys to the eToken 
! instead of private NVRAM.
Router# write memory
Building configuration...
[OK]

*Jan 13 06:47:29.481:%CRYPTO-6-TOKENSTOREKEY:Key c2851-27.cisco.com stored on
Cryptographic Token eToken Successfully

La salida de muestra siguiente show crypto key mypubkey rsa del comando visualiza las credenciales salvadas después de que se carguen con éxito del Token USB. Las credenciales que se salvan en el Token USB están en el área protegida. Al salvar las credenciales en el Token USB, los archivos se salvan en un directorio llamado /keystore. Sin embargo, los archivos claves se ocultan del comando line interface(cli).

Router# show crypto key mypubkey rsa

% Key pair was generated at:06:37:26 UTC Jan 13 2005
Key name:c2851-27.cisco.com
 Usage:General Purpose Key
 Key is not exportable.
 Key Data:
  305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00E3C644 43AA7DDD
  732E0F4E 3CA0CDAB 387ABF05 EB8F22F2 2431F1AE 5D51FEE3 FCDEA934 7FBD3603
  7C977854 B8E999BF 7FC93021 7F46ABF8 A4BA2ED6 172D3D09 B5020301 0001
% Key pair was generated at:06:37:27 UTC Jan 13 2005
Key name:c2851-27.cisco.com.server
 Usage:Encryption Key
 Key is not exportable.
 Key Data:
  307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00DD96AE 4BF912EB
  2C261922 4784EF98 2E70E837 774B3778 7F7AEB2D 87F5669B BF5DDFBC F0D521A5
  56AB8FDC 9911968E DE347FB0 A514A856 B30EAFF4 D1F453E1 003CFE65 0CCC6DC7
  21FBE3AC 2F8DEA16 126754BC 1433DEF9 53266D33 E7338C95 BB020301 0001

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Conexión de los módulos USB al router

El módulo del Flash del router de acceso USB y USB de Cisco eToken la guía de instalación del hardware

eToken y hoja de datos del flash USB

El USB eToken y el soporte de las características del Flash USB

Claves RSA

Implementación de Llaves RSA Dentro de un PKI

Administración de archivos (carga, copia y rebooting de archivos)

Guía de configuración de los fundamentales de la configuración del Cisco IOS en el cisco.com

Operaciones RSA de Token USB: Configuración del servidor de certificados

Configurando y manejando un servidor de certificados del Cisco IOS para capítulo del despliegue PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura

Vea la sección "Generación de un Par de Llaves RSA del Servidor de Certificados, la sección "Configuración de un Servidor de Certificados" y los ejemplos relacionados.

Operaciones RSA de Token USB: Usando los Token USB para las operaciones RSA sobre el autoenrollment inicial

Configurando la inscripción del certificado para capítulo PKI en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura.

Vea “configurando la sección de la inscripción del certificado o de Autoenrollment”.

Configuración, configuración y uso SDP con los Token USB

“Configurando asegure el dispositivo Provisioning (SDP) para la inscripción en capítulo PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura.

Vea la sección de información de la característica para los nombres de la función en usar el SDP y los Token USB para desplegar las credenciales PKI.


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de sobre Funciones de Almacenamiento de Credenciales PKI

La tabla 2 muestra el historial de versiones de esta función.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 2 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


.

Información de la característica del cuadro 2 para salvar las credenciales PKI 

Nombre de la función
Versiones
Información sobre la Función

El Token USB y asegura la integración de disposición del dispositivo (SDP)

12.4(15)T

Esta característica proporciona la capacidad de provision los dispositivos remotos con los Token USB usando el SDP.

Las secciones siguientes de este documento proporcionan información sobre esta función:

Ventajas de los Tokens USB

Determinación de las Funciones Administrativas en el Token USB

Los siguientes comandos fueron introducidos por esta función: binary file crypto key move rsa template file.

Observeeste documento introduce las ventajas de usar los Token USB y el SDP para una solución del despliegue. Para otra documentación sobre este tema, vea la sección "Documentos Relacionados".

Mejoras del Token USB PKI del Cisco IOS — Fase 2

12.4(11)T

Esta función aumenta la funcionalidad del token USB utilizando el token USB como dispositivo criptográfico. Los tokens USB se pueden utilizar para operaciones RSA como la generación de llaves, la firma y la autenticación.

Las secciones siguientes de este documento proporcionan información sobre esta función:

Ventajas de los Tokens USB

Login y Configuración del Token USB

Determinación de las Funciones Administrativas en el Token USB

Observeeste documento introduce las ventajas de usar los Token USB y las claves en el token para las operaciones RSA. Para otra documentación sobre este tema, vea la sección "Documentos Relacionados".

Mejoras del almacenamiento PKI USB

12.4(4)T

12.4(11)T

Esta característica aumenta la Seguridad del PIN del Token USB para el login automático y aumenta la flexibilidad de la configuración del Token USB y del almacenamiento de la clave RSA.

Cisco IOS Release 12.4(11)T insertó el soporte para USB Storage en NPE-G2.

Las secciones siguientes proporcionan información acerca de esta función:

Configuración del Token USB

Determinación de las Funciones Administrativas en el Token USB

Los siguientes comandos fueron introducidos o modificados por esta característica: crypto key storage crypto pki generate rsa, crypto pki token encrypted-user-pin crypto pki token label crypto pki token lock crypto pki token secondary unconfig, crypto pki token unlock

Certificate - Storage Location Specification

12.2(33)SXH

12.2(33)SRA

12.4(2)T

Esta característica permite que usted especifique la ubicación de almacenamiento de los Certificados locales para las Plataformas que soportan salvar los Certificados como archivos distintos. Todo el NVRAM del soporte de Plataformas de Cisco, que es la ubicación predeterminada, y almacenamiento local del flash. Es posible que, en función de la plataforma, cuente con otras opciones de almacenamiento local soportadas, como bootflash, slot, disco, memoria Flash USB o token USB.

Las secciones siguientes proporcionan información acerca de esta función:

Almacenamiento de Certificados en una Ubicación de Almacenamiento Local

Especificación de una Ubicación de Almacenamiento Local para los Certificados

Almacenamiento de Certificados en una Ubicación de Almacenamiento Local Específica: Ejemplo:

Los siguientes comandos fueron introducidos por esta función: crypto pki certificate storage, show crypto pki certificates storage

Almacenamiento USB

12.3(14)T

12.4(11)T

Esta característica permite a los determinados modelos de los routeres Cisco para soportar los Token USB. Los Token USB proporcionan la distribución segura de la configuración y permiten a los usuarios a las credenciales VPN para el despliegue.

Cisco IOS Release 12.4(11)T insertó el soporte para USB Storage en NPE-G2.

Las secciones siguientes proporcionan información acerca de esta función:

Credenciales PKI y Tokens USB

Configuración y Uso de Tokens USB en Routers de Cisco

Troubleshooting de los Tokens USB

Registro en un Token USB y Guardado de Claves RSA en el Token USB: Ejemplo:

Los siguientes comandos fueron introducidos o modificados por esta característica: copy crypto pki token change-pin crypto pki token login crypto pki token logout crypto pki token max-retries crypto pki token removal timeout crypto pki token secondary config crypto pki token user-pin debug usb driver dir show usb controllers show usb device show usb driver, show usbtoken

Generación de claves RSA 4096-bit en el soporte de motor de la criptografía de software

15.1(1)T

El valor del rango para modulus el valor de la palabra clave para crypto key generate rsa el comando es extendido a partir del 360 a 2048 bits a 360 a 4096 bits.