Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Selección de la Interfaz de Origen para el Tráfico de Salida con Autoridad de Certificación (CA)
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 195 KB | Inglés (31 Marzo 2011) | Comentarios

Contenidos

Selección de la interfaz de origen para el tráfico saliente con el Certificate Authority

Encontrar la información de la característica

Contenido

Información sobre la Selección de la Interfaz de Origen para el Tráfico de Salida con Autoridad de Certificación

Certificados que Identifican a una Entidad

Interfaz de Origen para las Conexiones TCP de Salida Asociadas a un Trustpoint

Cómo Configurar Source Interface Selection for Outgoing Traffic with Certificate Authority

Configuración de la Interfaz para Todas las Conexiones TCP de Salida Asociadas a un Punto de Confianza

Consejos de Troubleshooting

Ejemplos de Configuración de Source Interface Selection for Outgoing Traffic with Certificate Authority

Ejemplo de Selección de la Interfaz de Origen para el Tráfico de Salida con Autoridad de Certificación

Referencias adicionales

Documentos Relacionados

MIB

Asistencia Técnica

Información de la característica para la selección de la interfaz de origen para el tráfico saliente con el Certificate Authority

Glosario


Selección de la interfaz de origen para el tráfico saliente con el Certificate Authority


Primera publicación: De marzo el 17 de 2003
Última actualización: De marzo el 31 de 2011

La selección de la interfaz de origen para el tráfico saliente con la característica del Certificate Authority permite que utilizaa la dirección IP de una interfaz sea especificada y como la dirección de origen para todas las conexiones TCP salientes asociadas a ese trustpoint cuando se ha configurado un trustpoint señalado.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la selección de la interfaz de origen para el tráfico saliente con la sección del Certificate Authority”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere.

Contenido

Información sobre la Selección de la Interfaz de Origen para el Tráfico de Salida con Autoridad de Certificación

Cómo Configurar Source Interface Selection for Outgoing Traffic with Certificate Authority

Ejemplos de Configuración de Source Interface Selection for Outgoing Traffic with Certificate Authority

Referencias adicionales

Referencia de comandos, página 7

Glosario

Información sobre la Selección de la Interfaz de Origen para el Tráfico de Salida con Autoridad de Certificación

Para configurar la selección de la interfaz de origen para el tráfico saliente con la característica del Certificate Authority, usted debe entender los conceptos siguientes:

Certificados que Identifican a una Entidad

Interfaz de Origen para las Conexiones TCP de Salida Asociadas a un Trustpoint

Certificados que Identifican a una Entidad

Los Certificados se pueden utilizar para identificar una entidad. Un servidor confiado en, conocido como el Certification Authority (CA), publica el certificado a la entidad después de determinar la identidad de la entidad. Un router que es Cisco IOS Software corriente obtiene su certificado haciendo una conexión de red a CA. Usando el protocolo simple certificate enrollment (SCEP), el router transmite su pedido de certificado a CA y recibe el certificado concedido. El router obtiene el certificado de CA de manera semejante usando el SCEP. Al validar un certificado de un dispositivo remoto, el router puede entrar en contacto otra vez el CA o un Lightweight Directory Access Protocol (LDAP) o un servidor HTTP para determinar si el certificado del dispositivo remoto se ha revocado. (Este proceso se conoce como marcar el [CRL] del Lista de revocación de certificados (CRL).)

En algunas configuraciones, el router puede hacer la conexión TCP saliente usando una interfaz que no tenga un válido o la dirección IP que puede ser ruteada. El usuario debe especificar que el direccionamiento de una diversa interfaz esté utilizado como la dirección IP de origen para la conexión saliente. El Cable módems es un ejemplo específico de este requisito porque la interfaz del cable saliente (la interfaz RF) no tiene generalmente una dirección IP que pueda ser ruteada. Sin embargo, la interfaz de usuario (generalmente Ethernet) tiene un IP Address válido.

Interfaz de Origen para las Conexiones TCP de Salida Asociadas a un Trustpoint

Utilizan al comando crypto ca trustpoint de especificar un trustpoint. source interface El comando se utiliza junto con el comando crypto ca trustpoint de especificar el direccionamiento de la interfaz que debe ser utilizada como la dirección de origen para todas las conexiones TCP salientes asociadas a ese trustpoint.


Observesi el direccionamiento de la interfaz no se especifica usando source interface el comando, el direccionamiento de la interfaz saliente se utiliza.


Cómo Configurar Source Interface Selection for Outgoing Traffic with Certificate Authority

Esta sección incluye el siguiente procedimiento:

Configuración de la Interfaz para Todas las Conexiones TCP de Salida Asociadas a un Punto de Confianza

Configuración de la Interfaz para Todas las Conexiones TCP de Salida Asociadas a un Punto de Confianza

Realice esta tarea de configurar la interfaz que usted quiere utilizar como la dirección de origen para todas las conexiones TCP salientes asociadas a un trustpoint.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto ca trustpoint name

4.enrollment url URL

5.source interfaceinterfaz-direccionamiento

6.interface/port del slot del tipo

7.description cadena

8.ip address máscara del IP address

9.interface/port del slot del tipo

10.description cadena

11ip address máscara del IP address

12. crypto map nombre de asignación

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto ca trustpoint name

Example:

Router (config)# crypto ca trustpoint ms-ca

Declara el Certificate Authority (CA) que su router debe utilizar y ingresa al modo de configuración del Ca-trustpoint.

Paso 4 

enrollment url url

Example:

Router (ca-trustpoint)# enrollment url http://yourname:80/certsrv/mscep/mscep.dll

Especifica los parámetros de inscripción de su CA.

Paso 5 

source interface interface-address

Example:

Router (ca-trustpoint)# interface ethernet 0

Interconecte para ser utilizado como la dirección de origen para todas las conexiones TCP salientes asociadas a ese trustpoint.

Paso 6 

interface type slot/port

Example:

Router (ca-trustpoint)# interface ethernet 1

Configura un tipo de interfaz e ingresa en el modo de configuración de la interfaz.

Paso 7 

description string

Example:

Router (config-if)# description inside interface

Añade una descripción a una configuración de interfaz.

Paso 8 

ip address ip-address mask

Example:

Router (config-if)# ip address 10.1.1.1 255.255.255.0

Fija una dirección IP primaria o secundaria para una interfaz.

Paso 9 

interface type slot/port

Example:

Router (config-if)# interface ethernet1/0

Configura un tipo de interfaz.

Paso 10 

description string

Example:

Router (config-if)# description outside interface 10.1.1.205 255.255.255.0

Añade una descripción a una configuración de interfaz.

Paso 11 

ip address ip-address mask

Example:

Router (config-if)# ip address 10.2.2.205 255.255.255.0

Fija una dirección IP primaria o secundaria para una interfaz.

Paso 12 

crypto map map-name

Example:

Router (config-if)# crypto map mymap

Aplica un conjunto de crypto maps previamente definido a una interfaz.

Consejos de Troubleshooting

Asegúrese de que la interfaz especificada en el comando tenga una dirección válida. Intente hacer ping al router que usa el direccionamiento de la interfaz especificada de otro dispositivo (posiblemente el HTTP o el servidor LDAP que están sirviendo el CRL). Usted puede hacer la misma cosa usando un traceroute al router del dispositivo externo.

Usted puede también probar la Conectividad entre el router y CA o el servidor LDAP usando el comando line interface(cli) del Cisco IOS. Ingrese ping ip el comando y responda a los prompts. Si usted contesta al Sí a los “Comandos extendidos n:: ” indique, usted puede especificar a la dirección de origen o interconectar.

Además, usted puede utilizar el Cisco IOS CLI para entrar traceroute un comando. Si usted ingresa traceroute ip el comando (en el modo EXEC), le indican para la dirección de origen y destino. Usted debe especificar CA o el servidor LDAP como el destino y el direccionamiento de la interfaz que usted especificó en la “interfaz de origen” como la dirección de origen.

Ejemplos de Configuración de Source Interface Selection for Outgoing Traffic with Certificate Authority

Esta sección incluye el siguiente ejemplo:

Ejemplo de Selección de la Interfaz de Origen para el Tráfico de Salida con Autoridad de Certificación

Ejemplo de Selección de la Interfaz de Origen para el Tráfico de Salida con Autoridad de Certificación

En el siguiente ejemplo, el router está situado en una sucursal. El router utiliza la seguridad IP (IPSec) para comunicar con la oficina principal. El Ethernet1 es la interfaz del “exterior” que conecta con el Proveedor de servicios de Internet (ISP). El ethernet0 es la interfaz conectada con el LAN de la sucursal. Para acceder el servidor de CA situado en la oficina principal, el router debe mandar sus interfaces Ethernet 1 (direccionamiento 10.2.2.205) de los datagramas IP usando el túnel IPsec. El direccionamiento 10.2.2.205 es asignado por el ISP. El direccionamiento 10.2.2.205 no es una parte de la sucursal o la oficina principal.

CA no puede acceder ningún direccionamiento fuera de la compañía debido a un Firewall. CA ve un mensaje el venir de 10.2.2.205 y no puede responder (es decir, CA no sabe que el router está situado en una sucursal en el direccionamiento 10.1.1.1, que puede alcanzar).

Agregar source interface el comando dice al router utilizar el direccionamiento 10.1.1.1 como la dirección de origen del IP datagram que envía a CA. CA puede responder a 10.1.1.1.

Este escenario se configura usando source interface el comando y los direccionamientos de la interfaz como se describe anteriormente.

crypto ca trustpoint ms-ca
 enrollment url http://ms-ca:80/certsrv/mscep/mscep.dll
 source interface ethernet0
!
interface ethernet 0
 description inside interface
 ip address 10.1.1.1 255.255.255.0
!
interface ethernet 1
 description outside interface
 ip address 10.2.2.205 255.255.255.0
 crypto map main-office

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Comandos de Cisco IOS

El Cisco IOS domina los comandos list, todos las versiones

Configurar el IPSec y las autoridades de certificación

Seguridad para los VPN con el IPSec

IPSec y comandos de las autoridades de certificación

Referencia de Comandos de Seguridad de Cisco IOS


MIB

MIB
Link del MIB

Ninguno.

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de software de Cisco, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para la selección de la interfaz de origen para el tráfico saliente con el Certificate Authority

La Tabla 1 muestra el historial de versiones de esta función.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para la selección de la interfaz de origen para el tráfico saliente con el Certificate Authority

Nombre de la función
Versiones
Información sobre la Función

Selección de la interfaz de origen para el tráfico saliente con el Certificate Authority

12.2(15)T

Esta característica permite que utilizaa la dirección IP de una interfaz sea especificada y como la dirección de origen para todas las conexiones TCP salientes asociadas a ese trustpoint cuando se ha configurado un trustpoint señalado.

Esta característica fue introducida en el Cisco IOS Release 12.2(15)T.

El siguiente comando fue introducido o modificado: source interface.


Glosario

autentique — Para probar la identidad de una entidad usando el certificado de una identidad y de un secreto que la identidad plantea (generalmente la clave privada correspondiente al clave pública en el certificado).

CA — Certificate Authority. CA es una entidad que publica los Certificados digitales (especialmente Certificados X.509) y atestigua para el atascamiento entre los elementos de datos en un certificado.

Autenticación de CA — El usuario aprueba manualmente un certificado de a raíz CA. Una huella dactilar del certificado se presenta generalmente al usuario, y piden el usuario validar el certificado basado en la huella dactilar. El certificado de a raíz CA se firma en sí mismo (uno mismo-firmado) para no poderlo autenticar automáticamente usando el proceso de verificación del certificado normal.

CRL — Lista de revocación de certificados (CRL). Un CRL es una estructura de datos que enumera los Certificados digitales antes de los cuales han sido invalidados por su emisor cuando fueron programados para expirar.

inscripción — Un router recibe su certificado con el proceso de la inscripción. El router genera una petición un certificado en un formato específico (conocido como PKCS-10). La petición se transmite a CA, que concede la petición y genera un certificado codificado en el mismo formato que la petición. El router recibe el certificado concedido y lo salva en las bases de datos internas para el uso durante los funcionamientos normales.

certificado — Una estructura de datos definida en el International Organization for Standardization (ISO) X.509 estándar para asociar una entidad (máquina o ser humano) al clave pública de esa entidad. El certificado contiene los campos específicos, incluyendo el nombre de la entidad. El certificado es publicado normalmente por CA en nombre de la entidad. En este caso el router actúa como su propio CA que los campos comunes dentro de un certificado incluyen el Nombre distintivo (DN) de la entidad, el DN de la autoridad que publica el certificado, y el clave pública de la entidad.

LDAP — Protocolo lightweight directory access. Un LDAP es un protocolo que proporciona el acceso para la Administración y las aplicaciones del buscador que proporcionan lectura-y-escriben el acceso interactivo al directorio X.500.