Безопасность и VPN : Инфраструктура открытых ключей (PKI)

Автоматическая регистрация PKI IOS, Auto-Rollover, и таймеры

28 июля 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (6 июня 2013) | Отзыв

Введение

Сертификаты установили сроки службы и истекают в некоторый момент. Если сертификаты используются для целей аутентификации для решения для виртуальный частной сети (например), истечение этих сертификатов приводит к возможным ошибкам проверки подлинности, которые приводят к потере возможности VPN - подключения между оконечными устройствами. Во избежание этой проблемы эти два механизма доступны для автоматического обновления сертификата:

  • Автоматическое зачисление для клиента/маршрутизаторов на конце луча
  • Auto-Rollover для сервера - маршрутизатора Центра сертификации (CA)

Этот документ описывает, как Cisco, операции IOS® Public Key Infrastructure (PKI) автоматического зачисления и auto-rollover работают и как соответствующие таймеры PKI вычислены для этих операций.

Внесенный Hamzah Kardame и Atri Basu, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Инфраструктура открытого ключа (PKI) и понятие доверия.
  • Базовая конфигурация центра сертификации (CA) на маршрутизаторах.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Данные для документа были получены в специально созданных лабораторных условиях. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

Терминология

автоматическое зачисление

Когда сертификат на конечном устройстве собирается истечь, автоматическое зачисление получает новый сертификат без сбоя. Когда автоматическое зачисление настроено, клиент/маршрутизатор на конце луча может запросить новый сертификат в некоторое время прежде, чем истечет его собственный сертификат (известный как его идентичность или сертификат ID).

auto-rollover

Когда сервер сертификатов (CS) генерирует свое одновременное нажатие клавиш (тень) сертификат, этот параметр решает; если команда введена под конфигурацией CS без любого аргумента, время по умолчанию составляет 30 дней.

Примечание. В примерах в этом документе значение этого параметра составляет 10 минут.

Когда сертификат на CA сервер собирается истечь, auto-rollover включает CA получить новый сертификат без сбоя. Когда auto-rollover настроен, CA, маршрутизатор может генерировать новый сертификат в некоторое время прежде, чем истечет его собственный сертификат. Новый сертификат, который называют тенью или сертификатом одновременного нажатия клавиш, становится активным в точный момент, текущий сертификат ЦС истекает.

Используя эти две упомянутые выше функции, развертывания PKI становятся автоматизированными, позволяя лучу или устройству клиента получать сертификат идентификации тени/одновременного нажатия клавиш и сертификат ЦС тени/одновременного нажатия клавиш до текущего истечения сертификата ЦС, так, чтобы это могло перейти без прерывания к новому ID и сертификатам ЦС, когда истекают его текущий ID и сертификаты ЦС.

пожизненный приблизительно-сертификат

Этот параметр задает срок действия сертификата ЦС. В днях/часах/минутах может быть задано значение этого параметра.

Примечание. В примерах в этом документе значение этого параметра составляет 30 минут.

пожизненный сертификат

Этот параметр задает срок действия сертификата идентификации, который выполнен CA маршрутизатор. В днях/часах/минутах может быть задано значение этого параметра.

Примечание. В примерах в этом документе значение этого параметра составляет 20 минут.

Настройка

Примечание. Меньшие значения таймера PKI для срока действия, auto-rollover, и автоматической регистрации используются в этом документе, чтобы иллюстрировать ключевую автоматическую регистрацию и понятия auto-rollover. В среде действующей сети Cisco рекомендует использовать стандартные сроки действия для этих параметров. 

Cisco IOS CA конфигурация сервера

RootCA#show ip interface brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 10.1.1.1 YES manual up up
crypto pki server ios-ca
issuer-name CN=Root-CA,OU=TAC,C=IN
grant auto
hash sha512
lifetime certificate 0 0 20
lifetime ca-certificate 0 0 30
cdp-url http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
auto-rollover 0 0 10
database url flash:

Примечание. Значение, заданное с командой auto-rollover, является количеством дней/часов/минут перед датой завершения текущего сертификата ЦС , что генерируется сертификат одновременного нажатия клавиш. Поэтому, если сертификат ЦС допустим от 12:00 до 12:30, то auto-rollover 0 0 10 подразумевает, что сертификат ЦС одновременного нажатия клавиш генерируется вокруг 12:20.

Используйте показ крипто-команда сертификата pki, чтобы проверить конфигурацию на Cisco IOS CA сервер:

RootCA#show crypto pki certificate
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:16:05 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012

Associated Trustpoints: ios-ca

На основе этих выходных данных маршрутизатор включает сертификат ЦС, который допустим от 9:16 до 9:46 IST 25 ноября 2012. Так как auto-rollover настроен в течение 10 минут, сертификат тени/одновременного нажатия клавиш, как ожидают, будет генерироваться к 9:36 IST 25 ноября 2012.

Чтобы подтвердить, используйте показ крипто-команда timer pki:

RootCA#show crypto pki timer
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:19:22.283 IST Sun Nov 25 2012
PKI Timers
| 12:50.930
| 12:50.930 SESSION CLEANUP
CS Timers
| 16:43.558
| 16:43.558 CS SHADOW CERT GENERATION
| 26:43.532 CS CERT EXPIRE
| 26:43.558 CS CRL UPDATE

На основе этих выходных данных показ крипто-команда timer pki была выполнена в 9:19 IST, и сертификат тени/одновременного нажатия клавиш, как ожидают, будет генерироваться в течение 16.43 минут:

[9:19:22 + 0:16:43] = 9:36:05, который является:
[конец-date_of_current_CA_cert - auto_rollover_timer]; т.е. [9:46:05 - 0:10:00] = 9:36:05.

Конфигурация Клиента/Маршрутизатора на конце луча

Client-1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 172.16.1.1 YES manual up up
crypto pki trustpoint client1
enrollment url http://10.1.1.1:80
subject-name CN=Client-1,OU=TAC,c=IN
revocation-check crl
auto-enroll 70 regenerate

Примечание. автоматическая регистрация активирует опцию автоматического зачисления на маршрутизаторе.

Синтаксис команды: автоматические регистрации [val %] [восстанавливают].

В предыдущих выходных данных автоматическая регистрация задана как 70%; т.е. в 70% [срок действия current_ID_cert], маршрутизатор автоматически повторно регистрируется с CA.

Совет: Cisco рекомендует установить значение автоматической регистрации в 60% или больше чтобы гарантировать, что таймеры PKI работают должным образом.

Опция regenerate приводит к созданию нового ключа RSA в целях повторного зачисления/обновления сертификата. Если эта опция не задана, существующий ключ RSA используется.

Автоматическое зачисление в действии

  1. Используйте команду crypto pki authenticate, чтобы вручную подтвердить подлинность точки доверия на клиентском маршрутизаторе:
    Client-1(config)#crypto pki authenticate client1 

    Для получения дополнительной информации по этой команде обратитесь к Справочнику по командам Безопасности Cisco IOS.

    Как только вы выполняете команду, выходные данные, подобные тому ниже, должны появиться:

    Certificate has the following attributes:
    Fingerprint MD5: 006B2E44 37FBC3F1 AA14F32B CDC4462E
    Fingerprint SHA1: 2999CC53 8BF65247 C0D704E9 FDC73002 A33910D4

    % Do you accept this certificate? [yes/no]:
  2. Введите да, чтобы принять сертификат ЦС на клиентском маршрутизаторе.

    ВОЗОБНОВИТЬ таймер запускается на маршрутизаторе:

    Client-1#show crypto pki timer
    PKI Timers
    | 0.086
    | 0.086 RENEW cvo-pki
    | 9:51.366 SESSION CLEANUP
  3. Как только ВОЗОБНОВИТЬ таймер считает в обратном порядке к нолю, клиентский маршрутизатор автоматически регистрирует его с CA, чтобы получить его сертификат идентификации. Как только сертификат получен, можно использовать показ крипто-команда сертификата pki, чтобы просмотреть его:
    Client-1#show crypto pki certificate
    Certificate
    Status: Available
    Certificate Serial Number (hex): 02
    Certificate Usage: General Purpose
    Issuer:
    cn=Root-CA
    ou=TAC
    c=IN
    Subject:
    Name: Client-1
    hostname=Client-1
    cn=Client-1
    ou=TAC
    c=IN
    CRL Distribution Points:
    http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
    Validity Date:
    start date: 09:16:57 IST Nov 25 2012
    end date: 09:36:57 IST Nov 25 2012
    renew date: 09:30:08 IST Nov 25 2012
    Associated Trustpoints: client1
    CA Certificate
    Status: Available
    Certificate Serial Number (hex): 01
    Certificate Usage: Signature
    Issuer:
    cn=Root-CA
    ou=TAC
    c=IN
    Subject:
    cn=Root-CA
    ou=TAC
    c=IN
    Validity Date:
    start date: 09:16:05 IST Nov 25 2012
    end date: 09:46:05 IST Nov 25 2012
    Associated Trustpoints: client1

    возобновите дату =, 9:30:08 вычислено как:
    start-time + (%renewal ID_cert_lifetime)
    9:16:57 + (70% * 20 минут) = 9:30:08

    Таймеры PKI отражают то же:

    Client-1#show crypto pki timer
    Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
    Time source is NTP, 09:19:01.714 IST Sun Nov 25 2012
    PKI Timers
    | 1:21.790
    | 1:21.790 SESSION CLEANUP
    | 11:06.894 RENEW client1
  4. Как только ВОЗОБНОВИТЬ таймер стреляет, маршрутизатор повторно регистрируется с CA, чтобы получить новый сертификат ID. После того, как обновление сертификата произошло, можно использовать показ крипто-команда свидетельства pki, чтобы просмотреть новый сертификат ID:
    Client-1#show crypto pki cert
    Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
    Time source is NTP, 09:34:55.063 IST Sun Nov 25 2012
    Certificate
    Status: Available
    Certificate Serial Number (hex): 03
    Certificate Usage: General Purpose
    Issuer:
    cn=Root-CA
    ou=TAC
    c=IN
    Subject:
    Name: Client-1
    hostname=Client-1
    cn=Client-1
    ou=TAC
    c=IN
    CRL Distribution Points:
    http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
    Validity Date:
    start date: 09:30:09 IST Nov 25 2012
    end date: 09:46:05 IST Nov 25 2012

    Associated Trustpoints: client1
    CA Certificate
    Status: Available
    Certificate Serial Number (hex): 01
    Certificate Usage: Signature
    Issuer:
    cn=Root-CA
    ou=TAC
    c=IN
    Subject:
    cn=Root-CA
    ou=TAC
    c=IN
    Validity Date:
    start date: 09:16:05 IST Nov 25 2012
    end date: 09:46:05 IST Nov 25 2012
    Associated Trustpoints: client1

    Обратите внимание на то, что больше нет возобновить даты; вместо этого, таймер SHADOW запущен:

    Client-1#show crypto pki timer
    Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
    Time source is NTP, 09:34:57.922IST Sun Nov 25 2012
    PKI Timers
    | 25.582
    | 25.582 SESSION CLEANUP
    | 6:20.618 SHADOW client1

    Логика следующие:

      • Если дата завершения сертификата ID не = дата завершения сертификата ЦС:

        Вычислите возобновлять-дату на основе процента автоматической регистрации и запуститесь, ВОЗОБНОВЛЯЮТ таймер.

      • Если дата завершения сертификата ID = дата завершения сертификата ЦС:

    Никакой процесс возобновления не необходим, так как текущий сертификат ID допустим только, пока текущий сертификат ЦС допустим. Вместо этого таймер SHADOW запущен.

Этот таймер также вычислен на основе процента, упомянутого в команде auto-enroll. Например, считайте даты законности возобновленного сертификата ID показанными в предыдущем примере:

Validity Date of current ID cert: 
start date: 09:30:09 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012

Срок действия этого сертификата составляет 16 минут. Поэтому, таймер одновременного нажатия клавиш (т.е. таймер SHADOW) составляют 70% 16 минут, которые равняются приблизительно 11 минутам. Это вычисление подразумевает, что маршрутизатор начнется, запрашивает на его сертификаты тени/одновременного нажатия клавиш в [9:30:09 + 0:11:00] = 9:41:09, который соответствует PKI таймер SHADOW, показанный ранее в этом документе:

Client-1#show crypto pki timer
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:34:57.922 IST Sun Nov 25 2012
PKI Timers
| 25.582
| 25.582 SESSION CLEANUP
| 6:20.618 SHADOW client1

Auto-Rollover в действии

На Cisco IOS CA сервер

Когда таймер SHADOW стреляет, сертификат одновременного нажатия клавиш появляется на CA маршрутизатор:

RootCA#show crypto pki certificate
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:36:28.184 IST Sun Nov 25 2012
CA Certificate (Rollover)
Status: Available
Certificate Serial Number (hex): 04
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Root-CA
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:46:05 IST Nov 25 2012
end date: 10:16:05 IST Nov 25 2012
Associated Trustpoints: ios-ca
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:16:05 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: ios-ca

В клиентском маршрутизаторе

Как описано ранее в этом документе, функция автоматического зачисления оставила таймер SHADOW, отсчитывающий на клиентском маршрутизаторе. Когда таймер SHADOW стреляет, опция автоматического зачисления позволяет маршрутизатору запросить CA сервер для сертификата ЦС одновременного нажатия клавиш/тени. После того, как полученный, это делает запрос для его сертификата ID одновременного нажатия клавиш/тени также. В результате маршрутизатор будет иметь двух пар сертификатов: одна пара, которая является текущей и другая пара, которая содержит сертификаты одновременного нажатия клавиш/тени:

Client-1#show crypto pki certificate
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:41:42.983 IST Sun Nov 25 2012
Router Certificate (Rollover)
Status: Available
Certificate Serial Number (hex): 05
Certificate Usage: General Purpose
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Client-1
hostname=Client-1
cn=Client-1
ou=TAC
c=IN
CRL Distribution Points:
http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
Validity Date:
start date: 09:46:05 IST Nov 25 2012
end date: 09:50:09 IST Nov 25 2012
Associated Trustpoints: client1

CA Certificate (Rollover)
Status: Available
Certificate Serial Number (hex): 04
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Root-CA
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:46:05 IST Nov 25 2012
end date: 10:16:05 IST Nov 25 2012
Associated Trustpoints: client1

Certificate
Status: Available
Certificate Serial Number (hex): 03
Certificate Usage: General Purpose
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Client-1
hostname=Client-1
cn=Client-1
ou=TAC
c=IN
CRL Distribution Points:
http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
Validity Date:
start date: 09:30:09 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: client1

CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:16:05 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: client1

Примечание законность сертификата ID одновременного нажатия клавиш:

Validity Date: 
start date: 09:46:05 IST Nov 25 2012
end date: 09:50:09 IST Nov 25 2012

Срок действия сертификата является всего 4 минутами (вместо ожидаемых 20 минут, согласно конфигурации на Cisco IOS CA сервер). За Cisco IOS CA сервер, абсолютный срок действия сертификата ID должен составить 20 минут (что означает, для данного клиентского маршрутизатора, сумма сроков службы сертификатов ID (текущий + тень) выполненный к нему не должна быть больше, чем 20 минут).

Этот процесс далее описан здесь:

  • Законность текущего сертификата ID на маршрутизаторе:
start date: 09:30:09 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012

current_id_cert_lifetime составляет 16 минут.

  • Законность сертификата ID одновременного нажатия клавиш:
start date: 09:46:05 IST Nov 25 2012
end date: 09:50:09 IST Nov 25 2012

rollover_id_cert_lifetime составляет 4 минуты.

  • За Cisco IOS [current_id_cert_lifetime] + [rollover_id_cert_lifetime] должен = [total_id_cert_lifetime], который истинен здесь.

Важные замечания

  • Таймеры PKI требуют, чтобы авторитетные часы функционировали должным образом. Cisco рекомендует использовать NTP, чтобы синхронизировать часы между клиентскими маршрутизаторами и Cisco IOS CA маршрутизатор. В отсутствие NTP может использоваться система/аппаратные часы на маршрутизаторе. Для получения информации о том, как настроить аппаратные часы и сделать их авторитетными, обращается к Руководству по конфигурации Основ управления системой, Cisco IOS Release 12.4T.
  • На повторную загрузку маршрутизатора синхронизация NTP часто занимает несколько минут. Однако таймеры PKI установлены почти сразу. С версий 15.2 (3.8) T и 15.2 (4) S, автоматически переоценены таймеры PKI после того, как NTP синхронизируется.
  • Таймеры PKI не являются абсолютными; они основываются на остающемся timeand, поэтому, повторно вычислены после перезагрузки. Например, предположите, что клиентский маршрутизатор имеет сертификат ID, допустимый в течение 100 дней, и функция автоматической регистрации была установлена в 80%. Затем, повторное зачисление, как ожидают, произойдет после 80-ого дня. Если маршрутизатор повторно загружен в 60-ый день, он загружает и повторно вычисляет таймер PKI следующим образом:

    (остающееся время), * (%auto-регистрируются) = (100-60) * 80% = 32 дня. Поэтому, повторное зачисление происходит на [60 + 32] = 92-ой день.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 116094