Seguridad y VPN : Infraestructura de clave pública (PKI)

El IOS PKI Auto-alista, Auto-renovación, y los temporizadores

31 Julio 2013 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (6 Junio 2013) | Comentarios

Introducción

Los Certificados han reparado los cursos de la vida y expiran en algún momento. Si los Certificados se utilizan para los fines de autenticación para una solución de VPN (por ejemplo), el vencimiento de estos Certificados lleva a las fallas de autenticación posibles que dan lugar a la pérdida de conectividad VPN entre los puntos finales. Para evitar este problema, estos dos mecanismos están disponibles para la renovación automática del certificado:

  • Autoregistro para el cliente/los routeres radiales
  • Auto-renovación para el router del servidor del Certification Authority (CA)

Este documento describe cómo las operaciones del Public Key Infrastructure (PKI) del ® del Cisco IOS del Autoregistro y de la auto-renovación trabajan y cómo los temporizadores respectivos PKI se calculan para estas operaciones.

Contribuido por Hamzah Kardame y Atri Basu, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Public Key Infrastructure (PKI) y el concepto de confianza.
  • Configuración básica del Certification Authority (CA) en el Routers.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información de este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Terminología

Autoregistro

Cuando un certificado en un dispositivo extremo está a punto de expirar, el Autoregistro obtiene un nuevo certificado sin la interrupción. Cuando se configura el Autoregistro, el cliente/el router radial puede pedir un nuevo certificado en algún momento antes de que expire su propio certificado (conocido como su identidad o certificado ID).

auto-renovación

Este parámetro decide cuando el servidor de certificados (CS) genera su certificado de la renovación (sombra); si el comando se ingresa bajo configuración CS sin ningún argumento, el tiempo predeterminado es 30 días.

Nota: En los ejemplos en este documento, el valor de este parámetro es 10 minutos.

Cuando un certificado en el servidor de CA está a punto de expirar, la auto-renovación permite a CA para obtener un nuevo certificado sin la interrupción. Cuando se configura la auto-renovación, el router de CA puede generar un nuevo certificado en algún momento antes de que expire su propio certificado. El nuevo certificado, que se llama el certificado de la sombra o de la renovación, llega a ser activo en el momento exacto que expira el certificado de CA actual.

Usando las dos características mencionadas anteriormente, el despliegue PKI se automatiza, permitiendo que el spoke o el dispositivo del cliente consiga un certificado de identidad de la sombra/de la renovación y los sombree/el certificado de CA de la renovación antes del vencimiento actual del certificado de CA, de modo que pueda transición sin la interrupción a los nuevos Certificados ID y de CA cuando expiran sus Certificados actuales ID y de CA.

Ca-certificado del curso de la vida

Este parámetro especifica el curso de la vida del certificado de CA. El valor de este parámetro se puede especificar en los días/las horas/los minutos.

Nota: En los ejemplos en este documento, el valor de este parámetro es 30 minutos.

certificado del curso de la vida

Este parámetro especifica el curso de la vida del certificado de identidad que es publicado por el router de CA. El valor de este parámetro se puede especificar en los días/las horas/los minutos.

Nota: En los ejemplos en este documento, el valor de este parámetro es 20 minutos.

Configurar

Nota: Valores del temporizador más pequeños PKI para el curso de la vida, auto-renovación, y auto-alistan se utilizan en este documento para ilustrar dominante auto-alistan y los conceptos de la auto-renovación. En un entorno de red en funcionamiento, Cisco recomienda que usted utiliza las vidas útiles predeterminadas para estos parámetros. 

Configuración del servidor de CA del Cisco IOS

RootCA#show ip interface brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 10.1.1.1 YES manual up up
crypto pki server ios-ca
issuer-name CN=Root-CA,OU=TAC,C=IN
grant auto
hash sha512
lifetime certificate 0 0 20
lifetime ca-certificate 0 0 30
cdp-url http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
auto-rollover 0 0 10
database url flash:

Nota: El valor especificado con el comando de la auto-renovación es el número de días/de horas/de minutos antes de la fecha de finalización del certificado de CA actual que el certificado de la renovación está generado. Por lo tanto, si un certificado de CA es válido a partir de la 12:00 a 12:30, después la auto-renovación 0 0 10 implica que el certificado de CA de la renovación está generado alrededor de 12:20.

Utilice el comando certificate crypto del pki de la demostración para verificar la configuración en el servidor de CA del Cisco IOS:

RootCA#show crypto pki certificate
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:16:05 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012

Associated Trustpoints: ios-ca

De acuerdo con esta salida, el router incluye un certificado de CA que es válido a partir de la 9:16 a 9:46 IST de nov el 25 de 2012. Puesto que la auto-renovación se configura por 10 minutos, se espera que el certificado de la sombra/de la renovación sea generado por 9,36 IST de nov el 25 de 2012.

Para confirmar, utilice el comando crypto del temporizador del pki de la demostración:

RootCA#show crypto pki timer
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:19:22.283 IST Sun Nov 25 2012
PKI Timers
| 12:50.930
| 12:50.930 SESSION CLEANUP
CS Timers
| 16:43.558
| 16:43.558 CS SHADOW CERT GENERATION
| 26:43.532 CS CERT EXPIRE
| 26:43.558 CS CRL UPDATE

De acuerdo con esta salida, el comando crypto del temporizador del pki de la demostración fue publicado en 9,19 IST, y se espera que el certificado de la sombra/de la renovación sea generado en el plazo de 16,43 minutos:

[09:19:22 + 00:16:43] = 09:36:05, que es:
[end-date_of_current_CA_cert - auto_rollover_timer]; es decir, [09:46:05 - 00:10:00] = 09:36:05.

Configuración del cliente/del router radial

Client-1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 172.16.1.1 YES manual up up
crypto pki trustpoint client1
enrollment url http://10.1.1.1:80
subject-name CN=Client-1,OU=TAC,c=IN
revocation-check crl
auto-enroll 70 regenerate

Nota: auto-aliste los permisos la característica del Autoregistro en el router.

La sintaxis del comando es la siguiente: auto-aliste el [regenerate] del [val%].

En la salida anterior, auto-aliste se especifica como 70%; es decir, en el 70% de [lifetime of current_ID_cert], el router re-alista automáticamente con CA.

Consejo: Cisco recomienda que usted fija el valor del auto-alistar hasta el 60% o más para asegurar los temporizadores PKI trabaje correctamente.

La opción regenerada lleva a la creación de una nueva clave RSA para los propósitos de la reinscripción/de la renovación del certificado. Si esta opción no se especifica, se utiliza la clave existente RSA.

Autoregistro en la acción

  1. Utilice el pki crypto autentican el comando para autenticar manualmente el trustpoint en el router de cliente:
    Client-1(config)#crypto pki authenticate client1 

    Para más información sobre este comando, refiera a la referencia de comandos de la Seguridad de Cisco IOS.

    Una vez que usted funciona con el comando, una salida similar a la abajo debe aparecer:

    Certificate has the following attributes:
    Fingerprint MD5: 006B2E44 37FBC3F1 AA14F32B CDC4462E
    Fingerprint SHA1: 2999CC53 8BF65247 C0D704E9 FDC73002 A33910D4

    % Do you accept this certificate? [yes/no]:
  2. Tipo para validar el certificado de CA en el router de cliente.

    Comienzo de un temporizador de la RENOVACIÓN en el router:

    Client-1#show crypto pki timer
    PKI Timers
    | 0.086
    | 0.086 RENEW cvo-pki
    | 9:51.366 SESSION CLEANUP
  3. El temporizador de la RENOVACIÓN cuenta una vez abajo a cero, el router de cliente se alista automáticamente con CA para obtener su certificado de identidad. Una vez que se recibe el certificado, usted puede utilizar el comando certificate crypto del pki de la demostración para verlo:
    Client-1#show crypto pki certificate
    Certificate
    Status: Available
    Certificate Serial Number (hex): 02
    Certificate Usage: General Purpose
    Issuer:
    cn=Root-CA
    ou=TAC
    c=IN
    Subject:
    Name: Client-1
    hostname=Client-1
    cn=Client-1
    ou=TAC
    c=IN
    CRL Distribution Points:
    http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
    Validity Date:
    start date: 09:16:57 IST Nov 25 2012
    end date: 09:36:57 IST Nov 25 2012
    renew date: 09:30:08 IST Nov 25 2012
    Associated Trustpoints: client1
    CA Certificate
    Status: Available
    Certificate Serial Number (hex): 01
    Certificate Usage: Signature
    Issuer:
    cn=Root-CA
    ou=TAC
    c=IN
    Subject:
    cn=Root-CA
    ou=TAC
    c=IN
    Validity Date:
    start date: 09:16:05 IST Nov 25 2012
    end date: 09:46:05 IST Nov 25 2012
    Associated Trustpoints: client1

    renueve la fecha = 09:30:08 se calcula como:
    hora de inicio + (%renewal de ID_cert_lifetime)
    09:16:57 + (70% * 20 minutos) = 09:30:08

    Los temporizadores PKI reflejan lo mismo:

    Client-1#show crypto pki timer
    Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
    Time source is NTP, 09:19:01.714 IST Sun Nov 25 2012
    PKI Timers
    | 1:21.790
    | 1:21.790 SESSION CLEANUP
    | 11:06.894 RENEW client1
  4. Una vez los fuegos del temporizador de la RENOVACIÓN, el router re-alistan con CA para obtener un nuevo certificado ID. Después de que haya ocurrido una renovación del certificado, usted puede utilizar el comando crypto CERT del pki de la demostración para ver el nuevo certificado ID:
    Client-1#show crypto pki cert
    Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
    Time source is NTP, 09:34:55.063 IST Sun Nov 25 2012
    Certificate
    Status: Available
    Certificate Serial Number (hex): 03
    Certificate Usage: General Purpose
    Issuer:
    cn=Root-CA
    ou=TAC
    c=IN
    Subject:
    Name: Client-1
    hostname=Client-1
    cn=Client-1
    ou=TAC
    c=IN
    CRL Distribution Points:
    http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
    Validity Date:
    start date: 09:30:09 IST Nov 25 2012
    end date: 09:46:05 IST Nov 25 2012

    Associated Trustpoints: client1
    CA Certificate
    Status: Available
    Certificate Serial Number (hex): 01
    Certificate Usage: Signature
    Issuer:
    cn=Root-CA
    ou=TAC
    c=IN
    Subject:
    cn=Root-CA
    ou=TAC
    c=IN
    Validity Date:
    start date: 09:16:05 IST Nov 25 2012
    end date: 09:46:05 IST Nov 25 2012
    Associated Trustpoints: client1

    Observe que hay no más una fecha de la renovación; en lugar, se comienza un temporizador de la SOMBRA:

    Client-1#show crypto pki timer
    Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
    Time source is NTP, 09:34:57.922IST Sun Nov 25 2012
    PKI Timers
    | 25.582
    | 25.582 SESSION CLEANUP
    | 6:20.618 SHADOW client1

    La lógica es como sigue:

      • Si no es la fecha de finalización del certificado ID = fecha de finalización del certificado de CA:

        Calcule la renovar-fecha basada encendido auto-alistan el porcentaje y el comienzo RENUEVA el temporizador.

      • Si fecha de finalización del certificado ID = de la fecha de finalización del certificado de CA:

    No hay proceso de renovación necesario puesto que el certificado actual ID es válido solamente mientras el certificado de CA actual es válido. En lugar, se comienza un temporizador de la SOMBRA.

Este temporizador también se calcula sobre la base del porcentaje mencionado en el comando auto-enroll. Por ejemplo, considere las fechas de validez del certificado renovado ID mostrado en el ejemplo anterior:

Validity Date of current ID cert: 
start date: 09:30:09 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012

El curso de la vida de este certificado es 16 minutos. Por lo tanto, el temporizador de la renovación (es decir, temporizador de la SOMBRA) es el 70% de 16 minutos, que iguala aproximadamente 11 minutos. Este cálculo implica que el router comenzará las peticiones sus Certificados de la sombra/de la renovación en [09:30:09 + 00:11:00] = 09:41:09, que corresponde al temporizador de la SOMBRA PKI mostrado previamente en este documento:

Client-1#show crypto pki timer
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:34:57.922 IST Sun Nov 25 2012
PKI Timers
| 25.582
| 25.582 SESSION CLEANUP
| 6:20.618 SHADOW client1

Auto-renovación en la acción

En el servidor de CA del Cisco IOS

Cuando los fuegos del temporizador de la SOMBRA, el certificado de la renovación aparecen en el router de CA:

RootCA#show crypto pki certificate
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:36:28.184 IST Sun Nov 25 2012
CA Certificate (Rollover)
Status: Available
Certificate Serial Number (hex): 04
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Root-CA
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:46:05 IST Nov 25 2012
end date: 10:16:05 IST Nov 25 2012
Associated Trustpoints: ios-ca
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:16:05 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: ios-ca

En el router de cliente

Según lo descrito previamente en este documento, la característica del Autoregistro dejada un temporizador de la SOMBRA que hace tictac en el router de cliente. Cuando los fuegos del temporizador de la SOMBRA, la característica del Autoregistro permiten al router para pedir el servidor de CA para la renovación/el certificado de CA de la sombra. Una vez que está recibido, pregunta para su renovación/certificado de la sombra ID también. Como consecuencia, el router tendrá dos pares de Certificados: el un par que es actual y el otro par que contiene la renovación/la sombra certifica:

Client-1#show crypto pki certificate
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:41:42.983 IST Sun Nov 25 2012
Router Certificate (Rollover)
Status: Available
Certificate Serial Number (hex): 05
Certificate Usage: General Purpose
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Client-1
hostname=Client-1
cn=Client-1
ou=TAC
c=IN
CRL Distribution Points:
http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
Validity Date:
start date: 09:46:05 IST Nov 25 2012
end date: 09:50:09 IST Nov 25 2012
Associated Trustpoints: client1

CA Certificate (Rollover)
Status: Available
Certificate Serial Number (hex): 04
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Root-CA
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:46:05 IST Nov 25 2012
end date: 10:16:05 IST Nov 25 2012
Associated Trustpoints: client1

Certificate
Status: Available
Certificate Serial Number (hex): 03
Certificate Usage: General Purpose
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Client-1
hostname=Client-1
cn=Client-1
ou=TAC
c=IN
CRL Distribution Points:
http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
Validity Date:
start date: 09:30:09 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: client1

CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:16:05 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: client1

Observe la validez del certificado de la renovación ID:

Validity Date: 
start date: 09:46:05 IST Nov 25 2012
end date: 09:50:09 IST Nov 25 2012

El curso de la vida del certificado es apenas 4 minutos (en vez de los 20 minutos previstos, según lo configurado en el servidor de CA del Cisco IOS). Por el servidor de CA del Cisco IOS, el curso de la vida absoluto del certificado ID debe ser 20 minutos (que significa, para un router de cliente dado, la suma de los cursos de la vida de los Certificados ID (corriente + sombra) publicados a ella no debe ser mayor de 20 minutos).

Este proceso se describe más a fondo aquí:

  • Validez del certificado actual ID en el router:
start date: 09:30:09 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012

el current_id_cert_lifetime es 16 minutos.

  • Validez del certificado de la renovación ID:
start date: 09:46:05 IST Nov 25 2012
end date: 09:50:09 IST Nov 25 2012

el rollover_id_cert_lifetime es 4 minutos.

  • Por el Cisco IOS, el [current_id_cert_lifetime] + el [rollover_id_cert_lifetime] deben = [total_id_cert_lifetime], que es verdad aquí.

Consideraciones importantes

  • Los temporizadores PKI requieren un reloj autoritario funcionar correctamente. Cisco recomienda que usted utiliza el NTP para sincronizar los relojes entre los routeres de cliente y el router de CA del Cisco IOS. En ausencia del NTP, el sistema/el reloj de hardware en el router puede ser utilizado. Para la información sobre cómo configurar el reloj de hardware y hacerlo autoritario, refiera a la guía de configuración de la administración del sistema básico, Cisco IOS Release 12.4T.
  • Sobre la recarga de un router, la sincronización del NTP tarda a menudo algunos minutos. Sin embargo, los temporizadores PKI se establecen casi inmediatamente. A partir de las versiones 15.2(3.8)T y 15.2(4)S, los temporizadores PKI se evalúan de nuevo automáticamente después de que se sincronice el NTP.
  • Los temporizadores PKI no son absolutos; se basan en el timeand restante, por lo tanto, se recalculan después de una reinicialización. Por ejemplo, asuma que el router de cliente tiene un certificado ID válido por 100 días y la característica del auto-alistar se ha fijado hasta el 80%. Entonces, se espera que la reinscripción ocurra después del 80.o día. Si recargan al router en el 60.o día, arranca y recalcula el temporizador PKI como sigue:

    (tiempo restante) * (%auto-enroll) = (100-60) * 80% = 32 días.  Por lo tanto, la reinscripción ocurre en [60 + 32] = 92.o día.

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 116094