Contrôle CRL HTTP sur un concentrateur Cisco VPN 3000

Options de téléchargement

  • PDF     (336.0 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (292.0 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (361.3 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:13 mars 2006
ID du document:26383

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment activer la vérification de la liste de révocation de certificats (CRL) pour les certificats d'autorité de certification installés dans le concentrateur Cisco VPN 3000 en mode HTTP.

Un certificat devrait normalement être valide pendant toute sa durée de validité. Toutefois, si un certificat devient invalide en raison de changements de nom, de changement d'association entre l'objet et l'AC et de compromission de la sécurité, l'AC révoque le certificat. En vertu de la norme X.509, les AC révoquent des certificats en émettant périodiquement une LCR signée, où chaque certificat révoqué est identifié par son numéro de série. L'activation du contrôle CRL signifie que chaque fois que le concentrateur VPN utilise le certificat pour l'authentification, il vérifie également la CRL pour s'assurer que le certificat en cours de vérification n'a pas été révoqué.

Les autorités de certification utilisent des bases de données LDAP (Lightweight Directory Access Protocol)/HTTP pour stocker et distribuer des listes de révocation de certificats. Ils peuvent également utiliser d'autres moyens, mais le concentrateur VPN repose sur l'accès LDAP/HTTP.

Le contrôle CRL HTTP est introduit dans la version 3.6 ou ultérieure du concentrateur VPN. Cependant, le contrôle CRL basé sur LDAP a été introduit dans les versions 3.x précédentes. Ce document traite uniquement de la vérification CRL à l'aide de HTTP.

Remarque : La taille du cache CRL des concentrateurs de la gamme VPN 3000 dépend de la plate-forme et ne peut pas être configurée selon le souhait de l'administrateur.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • Vous avez correctement établi le tunnel IPsec à partir des clients matériels VPN 3.x à l'aide de certificats pour l'authentification IKE (Internet Key Exchange) (sans vérification CRL activée).

  • Votre concentrateur VPN est connecté en permanence au serveur AC.

  • Si votre serveur AC est connecté à l'interface publique, vous avez ouvert les règles nécessaires dans le filtre public (par défaut).

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Concentrateur VPN 3000 version 4.0.1 C

  • Client matériel VPN 3.x

  • Serveur d'autorité de certification Microsoft pour la génération de certificats et la vérification CRL s'exécutant sur un serveur Windows 2000.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

crl-http-vpn3k-1.gif

Configurer le concentrateur VPN 3000

Step-by-Step Instructions

Exécutez les étapes suivantes pour configurer le concentrateur VPN 3000 :

  1. Sélectionnez Administration > Certificate Management pour demander un certificat si vous n'avez pas de certificat.

    Sélectionnez Cliquez ici pour installer un certificat pour installer le certificat racine sur le concentrateur VPN.

    crl-http-26383c.gif

  2. Sélectionnez Installer le certificat d'Autorité de certification.

    crl-http-26383b.gif

  3. Sélectionnez SCEP (Simple Certificate Enrollment Protocol) pour récupérer les certificats CA.

    crl-http-vpn3k-3.gif

  4. Dans la fenêtre SCEP, entrez l'URL complète du serveur AC dans la boîte de dialogue URL.

    Dans cet exemple, l'adresse IP du serveur AC est 172.18.124.96. Puisque cet exemple utilise le serveur AC de Microsoft, l'URL complète est http://172.18.124.96/certsrv/mscep/mscep.dll. Ensuite, entrez un descripteur à un mot dans la boîte de dialogue du descripteur de l'autorité de certification. Cet exemple utilise CA.

    crl-http-vpn3k-4.gif

  5. Cliquez sur Retrieve.

    Votre certificat CA doit apparaître dans la fenêtre Administration > Certificate Management. Si aucun certificat ne s'affiche, revenez à l'étape 1 et suivez à nouveau la procédure.

    crl-http-vpn3k-5.gif

  6. Une fois que vous avez le certificat CA, sélectionnez Administration > Certificate Management > Enroll, puis cliquez sur Identity certificate.

    crl-http-vpn3k-6.gif

  7. Cliquez sur S'inscrire via SCEP à l'adresse ... pour demander le certificat d'identité.

    crl-http-vpn3k-7.gif

  8. Complétez ces étapes pour remplir le formulaire d'inscription :

    1. Saisissez le nom commun du concentrateur VPN à utiliser dans l'infrastructure à clé publique (PKI) dans le champ Nom commun (CN).

    2. Saisissez votre service dans le champ Unité d'organisation (OU). L'unité d'organisation doit correspondre au nom de groupe IPsec configuré.

    3. Saisissez votre organisation ou société dans le champ Organisation (O).

    4. Saisissez votre ville dans le champ Localité (L).

    5. Saisissez votre état ou votre province dans le champ État/Province (SP).

    6. Saisissez votre pays dans le champ Pays (C).

    7. Saisissez le nom de domaine complet (FQDN) du concentrateur VPN à utiliser dans l'ICP dans le champ Fully Qualified Domain Name (FQDN).

    8. Saisissez l'adresse e-mail du concentrateur VPN à utiliser dans l'ICP dans le champ Subject Alternative Name (email Address).

    9. Saisissez le mot de passe de confirmation de la demande de certificat dans le champ Mot de passe de confirmation.

    10. Saisissez à nouveau le mot de passe de vérification dans le champ Vérifier le mot de passe de vérification.

    11. Sélectionnez la taille de clé de la paire de clés RSA générée dans la liste déroulante Taille de clé.

      crl-http-vpn3k-8.gif

  9. Sélectionnez Inscription et affichez l'état SCEP dans l'état d'interrogation.

  10. Accédez à votre serveur AC pour approuver le certificat d'identité. Une fois approuvé sur le serveur AC, votre état SCEP doit être installé.

    crl-http-vpn3k-9.gif

  11. Sous Gestion des certificats, vous devriez voir votre certificat d'identité.

    Si ce n'est pas le cas, consultez les journaux de votre serveur AC pour plus de dépannage.

    crl-http-vpn3k-10.gif

  12. Sélectionnez Afficher sur votre certificat reçu pour voir si votre certificat a un point de distribution CRL (CDP).

    CDP répertorie tous les points de distribution CRL de l'émetteur de ce certificat. Si vous avez le CDP sur votre certificat et que vous utilisez un nom DNS pour envoyer une requête au serveur AC, assurez-vous que les serveurs DNS sont définis dans votre concentrateur VPN pour résoudre le nom d'hôte avec une adresse IP. Dans ce cas, le nom d'hôte de l'exemple de serveur AC est jazib-pc qui se résout à l'adresse IP 172.18.124.96 sur le serveur DNS.

    crl-http-vpn3k-11.gif

  13. Cliquez sur Configurer sur votre certificat CA pour activer la vérification CRL sur les certificats reçus.

    Si vous avez le CDP sur votre certificat reçu et que vous souhaitez l'utiliser, sélectionnez Utiliser les points de distribution CRL dans le certificat en cours de vérification.

    Puisque le système doit récupérer et examiner la liste de révocation de certificats à partir d'un point de distribution réseau, l'activation de la vérification de liste de révocation de certificats peut ralentir les temps de réponse du système. En outre, si le réseau est lent ou encombré, la vérification CRL peut échouer. Activez la mise en cache CRL pour atténuer ces problèmes potentiels. Cela stocke les listes de révocation de certificats récupérées dans la mémoire volatile locale et permet donc au concentrateur VPN de vérifier plus rapidement l'état de révocation des certificats.

    Lorsque la mise en cache CRL est activée, le concentrateur VPN vérifie d'abord si la CRL requise existe dans le cache et vérifie le numéro de série du certificat par rapport à la liste des numéros de série de la CRL lorsqu'il doit vérifier l'état de révocation d'un certificat. Le certificat est considéré comme révoqué si son numéro de série est trouvé. Le concentrateur VPN récupère une liste de révocation de certificats à partir d'un serveur externe lorsqu'il ne trouve pas la liste de révocation de certificats requise dans le cache, lorsque la période de validité de la liste de révocation de certificats mise en cache a expiré ou lorsque le temps d'actualisation configuré s'est écoulé. Lorsque le concentrateur VPN reçoit une nouvelle LCR d'un serveur externe, il met à jour le cache avec la nouvelle LCR. Le cache peut contenir jusqu'à 64 CRL.

    Remarque : Le cache CRL existe en mémoire. Par conséquent, le redémarrage du concentrateur VPN efface le cache CRL. Le concentrateur VPN reremplit le cache CRL avec des listes de révocation de certificats mises à jour au fur et à mesure qu'il traite de nouvelles demandes d'authentification d'homologue.

    Si vous sélectionnez Utiliser des points de distribution CRL statiques, vous pouvez utiliser jusqu'à cinq points de distribution CRL statiques, comme indiqué dans cette fenêtre. Si vous choisissez cette option, vous devez saisir au moins une URL.

    Vous pouvez également sélectionner Utiliser des points de distribution CRL dans le certificat en cours de vérification, ou sélectionner Utiliser des points de distribution CRL statiques. Si le concentrateur VPN ne trouve pas cinq points de distribution CRL dans le certificat, il ajoute des points de distribution CRL statiques, jusqu'à une limite de cinq. Si vous choisissez cette option, activez au moins un protocole de point de distribution CRL. Vous devez également saisir au moins un (et pas plus de cinq) points de distribution CRL statiques.

    Sélectionnez No CRL Checking si vous souhaitez désactiver la vérification CRL.

    Sous Mise en cache des listes de révocation de certificats, sélectionnez la zone Activé pour permettre au concentrateur VPN de mettre en cache les listes de révocation de certificats récupérées. La valeur par défaut n'est pas d'activer la mise en cache CRL. Lorsque vous désactivez la mise en cache CRL (décochez la case), le cache CRL est effacé.

    Si vous avez configuré une stratégie de récupération de liste de révocation de certificats qui utilise des points de distribution de liste de révocation de certificats à partir du certificat en cours de vérification, choisissez un protocole de point de distribution à utiliser pour récupérer la liste de révocation de certificats. Choisissez HTTP dans ce cas pour récupérer la liste de révocation de certificats. Affectez des règles HTTP au filtre d'interface publique si votre serveur AC est en direction de l'interface publique.

    crl-http-vpn3k-12.gif

Surveillance

Sélectionnez Administration > Certificate Management et cliquez sur View All CRL caches pour voir si votre concentrateur VPN a mis en cache des CRL à partir du serveur AC.

Vérification

Cette section fournit des informations qui vous permettront de vérifier que votre configuration fonctionne correctement.

Journaux du concentrateur

Activez ces événements sur le concentrateur VPN afin de vous assurer que la vérification CRL fonctionne.

  1. Sélectionnez Configuration > System > Events > Classes pour définir les niveaux de journalisation.

  2. Sous Nom de classe, sélectionnez IKE, IKEDBG, IPSEC, IPSECDBG ou CERT.

  3. Cliquez sur Ajouter ou Modifier, puis sélectionnez Gravité à consigner, option 1-13.

  4. Cliquez sur Apply si vous voulez modifier ou Add si vous voulez ajouter une nouvelle entrée.

Journaux du concentrateur réussis

Si votre vérification CRL est réussie, ces messages sont affichés dans les journaux d'événements filtrables. 

1315 08/15/2002 13:11:23.520 SEV=7 CERT/117 RPT=1 
The requested CRL was found in cache.
The CRL Distribution point is: http://jazib-pc/CertEnroll/jazib-ca-ra.crl

1317 08/15/2002 13:11:23.520 SEV=8 CERT/46 RPT=1
CERT_CheckCrl(62f56e8, 0, 0)

1318 08/15/2002 13:11:23.520 SEV=7 CERT/2 RPT=1
Certificate has not been revoked: session = 2

1319 08/15/2002 13:11:23.530 SEV=8 CERT/50 RPT=1 
CERT_Callback(62f56e8, 0, 0)

1320 08/15/2002 13:11:23.530 SEV=5 IKE/79 RPT=2 64.102.60.53 
Group [ipsecgroup]
Validation of certificate successful
(CN=client_cert, SN=61521511000000000086)

Référez-vous à Journaux du concentrateur réussis pour obtenir la sortie complète d'un journal du concentrateur réussi.

Journaux échoués

Si votre enregistrement CRL échoue, ces messages sont affichés dans les journaux d'événements filtrables. 

1332 08/15/2002 18:00:36.730 SEV=7 CERT/6 RPT=2
Failed to retrieve revocation list: session = 5

1333 08/15/2002 18:00:36.730 SEV=7 CERT/114 RPT=2 
CRL retrieval over HTTP has failed. Please make sure that proper filter rules
have been configured.

1335 08/15/2002 18:00:36.730 SEV=7 CERT/8 RPT=2
Error processing revocation list: session = 5, reason = Failed to retrieve CRL 
from the server.

Référez-vous à Journaux du concentrateur révoqués pour obtenir la sortie complète d'un journal du concentrateur défaillant.

Référez-vous à Journaux clients réussis pour obtenir la sortie complète d'un journal client réussi.

Référez-vous à Journaux client révoqués pour obtenir la sortie complète d'un journal client ayant échoué.

Dépannage

Référez-vous à Dépannage des problèmes de connexion sur le concentrateur VPN 3000 pour plus d'informations de dépannage.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
13-Mar-2006
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits