L'objectif de ce document est de vous montrer comment générer une demande de signature de certificat (CSR) ainsi que importer et exporter des certificats sur les routeurs des gammes RV160 et RV260.
Les certificats numériques sont importants dans le processus de communication. Il fournit une identification numérique pour l'authentification. Un certificat numérique inclut des informations qui identifient un périphérique ou un utilisateur, telles que le nom, le numéro de série, la société, le service ou l'adresse IP.
Les autorités de certification sont des autorités de confiance qui “ signer ” certificats pour vérifier leur authenticité, ce qui garantit l'identité du périphérique ou de l'utilisateur. Il s'assure que le titulaire du certificat est vraiment celui qu'il prétend être. Sans certificat signé de confiance, les données peuvent être chiffrées, mais la personne avec laquelle vous communiquez n'est peut-être pas celle à qui vous pensez. L'autorité de certification utilise l'infrastructure à clé publique (PKI) lors de la délivrance de certificats numériques, qui utilise le chiffrement à clé publique ou privée pour assurer la sécurité. Les CA sont responsables de la gestion des demandes de certificat et de la délivrance des certificats numériques. Voici quelques exemples de CA : IdenTrust, Comodo, GoDaddy, GlobalSign, GeoTrust, Verisign et bien d'autres encore.
Les certificats sont utilisés pour les connexions SSL (Secure Socket Layer), TLS (Transport Layer Security), DTLS (Datagram TLS), telles que HTTPS (Hypertext Transfer Protocol) et LDAPS (Secure Lightweight Directory Access Protocol).
· RV160
· RV260
·1.0.00.15
Dans cet article, vous allez :
5. Conclusion
Étape 1. Connectez-vous à la page de configuration Web.
Étape 2. Accédez à Administration > Certificate.
Étape 3. Dans la page Certificate, cliquez sur Generate CSR/Certificate... button.
Étape 4. Sélectionnez le type de certificat à générer dans l'une des options suivantes de la liste déroulante.
· Certificat auto-signé - Il s'agit d'un certificat SSL (Secure Socket Layer) signé par son propre créateur. Ce certificat est moins fiable, car il ne peut pas être annulé si la clé privée est compromise d'une manière ou d'une autre par un pirate. Vous devez indiquer la durée valide en jours.
· certificat CA - Sélectionnez ce type de certificat pour faire de votre routeur une autorité de certification interne et émettre des certificats. Du point de vue de la sécurité, il est similaire à un certificat auto-signé. Ceci peut être utilisé pour OpenVPN.
· Demande de signature de certificat - Il s'agit d'une infrastructure à clé publique (ICP) qui est envoyée à l'autorité de certification pour demander un certificat d'identité numérique. Il est plus sécurisé que autosigné car la clé privée est gardée secrète. Cette option est recommandée.
· certificat signé par un certificat CA - Sélectionnez ce type de certificat et fournissez les détails pertinents pour obtenir le certificat signé par votre autorité de certification interne.
Dans cet exemple, nous allons sélectionner Demande de signature de certificat.
Étape 5. Entrez le nom du certificat. Dans cet exemple, nous allons entrer CertificateTest.
Étape 6. Dans le champ Nom alternatif du sujet, sélectionnez l'une des options suivantes : Adresse IP, FQDN (Fully Qualified Domain Name) ou E-mail et entrez le nom approprié à partir de ce que vous avez sélectionné. Ce champ vous permet de spécifier des noms d'hôtes supplémentaires.
Dans cet exemple, nous allons sélectionner FQDN et entrer ciscoesupport.com.
Étape 7. Sélectionnez un pays dans la liste déroulante Nom du pays (C).
Étape 8. Entrez un nom d'état ou de province dans le champ Nom de l'état ou de la province.
Étape 9. Dans le nom de la localité, saisissez un nom de ville.
Étape 10. Entrez le nom de l'organisation dans le champ Nom de l'organisation.
Étape 11. Entrez le nom de l'unité d'organisation (formation, assistance, etc.).
Dans cet exemple, nous allons entrer eSupport comme nom d'unité de l'organisation.
Étape 12. Entrez un nom commun. C'est le nom de domaine complet du serveur Web qui recevra ce certificat.
Dans cet exemple, ciscosmbsupport.com a été utilisé comme nom commun.
Étape 13. Entrez une adresse e-mail.
Étape 14. Sélectionnez Key Encryption Length dans le menu déroulant. Les options sont les suivantes : 512, 1024 ou 2048. Plus la taille de la clé est grande, plus le certificat est sécurisé. Plus la taille de la clé est grande, plus le temps de traitement est important.
Meilleure pratique : Il est recommandé de choisir la longueur de cryptage de clé la plus élevée, ce qui permet un cryptage plus strict.
Étape 15. Cliquez sur Generate.
Étape 16. Une fenêtre contextuelle Informations s'affiche avec un certificat “ Générer ! ” message. Cliquez sur OK pour continuer.
Étape 17. Exporter le CSR à partir de la table de certificats.
Étape 18. Une fenêtre Export Certificate apparaît. Sélectionnez PC pour l'exportation vers, puis cliquez sur Exporter.
Étape 19. Une autre fenêtre doit apparaître pour vous demander si vous voulez ouvrir ou enregistrer le fichier.
Dans cet exemple, nous allons sélectionner Enregistrer le fichier puis cliquez sur OK.
Étape 20. Rechercher l'emplacement d'enregistrement du fichier .pem. Cliquez avec le bouton droit sur le fichier .pem et ouvrez-le avec votre éditeur de texte préféré.
Dans cet exemple, nous allons ouvrir le fichier .pem avec Notepad++.
Note: N'hésitez pas à l'ouvrir avec le Bloc-notes.
Étape 21. Assurez-vous que la — DEMANDE DE CERTIFICAT DE DÉBUT— et — DEMANDE DE CERTIFICAT DE FIN— se trouve sur sa propre ligne.
Note: Certaines parties du certificat ont été brouillées.
Étape 22. Lorsque vous avez votre CSR, vous devez vous rendre sur votre site d'hébergement ou sur un site d'autorité de certification (GoDaddy, Verisign, etc.) et demander un certificat. Une fois que vous avez envoyé une demande, il communiquera avec le serveur de certificats pour s'assurer qu'il n'y a aucune raison de ne pas émettre le certificat.
Note: Contactez l'autorité de certification ou le support du site d'hébergement si vous ne savez pas où se trouve la demande de certificat sur leur site.
Étape 23. Téléchargez le certificat une fois qu'il est terminé. Il doit s'agir d'un fichier .cer ou .crt. Dans cet exemple, nous avons reçu les deux fichiers.
Étape 24. Revenez à la page Certificate de votre routeur et importez le fichier de certificat en cliquant sur la flèche pointant vers l'icône du périphérique.
Étape 25. Dans le champ Nom du certificat, saisissez le nom du certificat. Il ne peut pas être du même nom que la demande de signature de certificat. Dans la section Télécharger le fichier de certificat, sélectionnez Importer à partir du PC et cliquez sur Parcourir... pour télécharger votre fichier de certificat.
Étape 26. Une fenêtre File Upload apparaît. Accédez à l'emplacement du fichier de certificat. Sélectionnez le fichier de certificat que vous voulez télécharger et cliquez sur Ouvrir. Dans cet exemple, CertificateTest.cer a été sélectionné.
Étape 27. Cliquez sur le bouton Upload pour commencer à télécharger votre certificat sur le routeur.
Note: Si vous obtenez une erreur dans laquelle vous ne pouvez pas télécharger votre fichier .cer, c'est peut-être parce que votre routeur nécessite que le certificat soit codé en pem. Vous devez convertir votre codage der (extension de fichier .cer) en codage pem (extension de fichier .crt).
Étape 28. Si l'importation a réussi, une fenêtre d'informations doit apparaître pour vous indiquer qu'elle a réussi. Cliquez sur OK pour continuer.
Étape 29. Votre certificat doit être mis à jour. Vous devriez être en mesure de voir par qui votre certificat a été signé. Dans cet exemple, nous pouvons voir que notre certificat a été signé par CiscoTest-DC1-CA. Pour faire du certificat notre certificat principal, sélectionnez le certificat à l'aide de la case d'option située sur le côté gauche et cliquez sur Sélectionner comme certificat principal... bouton.
Note: La modification du certificat principal peut vous ramener à une page d'avertissement. Si vous utilisez Firefox et qu'il s'agit d'une page blanche grise, vous devez ajuster une certaine configuration sur votre Firefox. Ce document sur Mozilla wiki donne quelques explications à ce sujet : CA/AddRootToFirefox. Pour voir à nouveau la page d'avertissement, suivez ces étapes qui ont été trouvées dans la page de support de la communauté Mozilla.
Étape 30. Dans la page d'avertissement de Firefox, cliquez sur Avancé... puis Acceptez le risque et continuez pour revenir au routeur.
Note: Ces avertissements varient d'un navigateur à l'autre, mais remplissent les mêmes fonctions.
Étape 31. Dans la table des certificats, vous devriez voir que NETCONF, WebServer et RESTCONF a basculé vers votre nouveau certificat au lieu d'utiliser le certificat par défaut.
Vous devez maintenant avoir correctement installé un certificat sur votre routeur.
Étape 1. Si vous êtes éloigné de la page Certificat, accédez à Administration > Certificat.
Étape 2. Dans la table des certificats, cliquez sur l'icône Détails située sous la section Détails.
Étape 3. La page Certificate Detail s'affiche. Vous devriez pouvoir voir toutes les informations concernant votre certificat.
Étape 4. Cliquez sur l'icône de verrouillage située sur le côté gauche de la barre URL (Uniform Resource Locator).
Note: Les étapes suivantes sont utilisées dans un navigateur Firefox.
Étape 5. Une liste déroulante de choix s'affiche. Cliquez sur l'icône Flèche en regard du champ Connexion.
Étape 6. Cliquez sur Plus d'informations.
Étape 7. Dans la fenêtre Info page, vous devriez voir une brève information sur votre certificat sous la section Identité du site Web. Vérifiez que vous vous trouvez dans l'onglet Sécurité, puis cliquez sur Afficher le certificat pour afficher plus d'informations sur votre certificat.
Étape 8. La page Visualiseur de certificats doit s'afficher. Vous devriez être en mesure de voir toutes les informations concernant votre certificat, la période de validité, les empreintes digitales et les personnes qui l'ont délivré.
Note: Puisque ce certificat a été émis par notre serveur de certificats de test, l'émetteur est inconnu.
Pour télécharger votre certificat pour l'importer sur un autre routeur, procédez comme suit.
Étape 1. Dans la page Certificat, cliquez sur l'icône Exporter en regard du certificat à exporter.
Étape 2. Un certificat d'exportation apparaît. Sélectionnez un format pour exporter le certificat. Les options sont les suivantes :
· PKCS#12 - Public Key Cryptography Standards (PKCS) #12 est un certificat exporté qui est fourni dans une extension .p12. Un mot de passe est nécessaire pour chiffrer le fichier afin de le protéger lors de son exportation, de son importation et de sa suppression.
· PEM - Privacy Enhanced Mail (PEM) est souvent utilisé pour les serveurs Web pour leur capacité à être facilement traduites en données lisibles à l'aide d'un éditeur de texte simple tel que le bloc-notes.
Sélectionnez Exporter au format PKCS#12 et entrez un mot de passe et confirmez le mot de passe. Sélectionnez ensuite PC comme Exporter vers : champ. Cliquez sur Exporter pour commencer à exporter le certificat vers votre ordinateur.
Note: Rappelez-vous ce mot de passe car vous l'utiliserez lors de son importation sur un routeur.
Étape 3. Une fenêtre s'affiche vous demandant ce que vous devez faire avec ce fichier. Dans cet exemple, nous allons sélectionner Enregistrer le fichier, puis cliquez sur OK.
Étape 4. Le fichier doit être enregistré dans votre emplacement de sauvegarde par défaut.
Dans notre exemple, le fichier a été enregistré dans notre dossier Téléchargements sur notre ordinateur.
Étape 1. Dans la page Certificate, cliquez sur le bouton Import Certificate....
Étape 2. Sélectionnez le type de certificat à importer dans la liste déroulante Type sous Importer un certificat. Les options sont définies comme suit :
Certificat · AC - Certificat certifié par une autorité tierce de confiance qui a confirmé que les renseignements contenus dans le certificat sont exacts.
· Certificat de périphérique local : certificat généré sur le routeur.
· PKCS#12 Encoded File - Public Key Cryptography Standards (PKCS) #12 est un certificat exporté qui se trouve dans une extension .p12.
Dans cet exemple, le type Fichier codé PKCS#12 a été sélectionné. Entrez un nom pour le certificat, puis entrez le mot de passe utilisé.
Étape 3. Dans la section Télécharger le fichier de certificat, sélectionnez Importer à partir du PC ou Importer à partir d'USB. Dans cet exemple, Importer à partir du PC a été sélectionné. Cliquez sur Parcourir... pour choisir un fichier à télécharger.
Étape 4. Dans la fenêtre File Upload, accédez à l'emplacement du fichier codé PKCS#12 (extension de fichier .p12). Sélectionnez le fichier .p12, puis cliquez sur Ouvrir.
Étape 5. Cliquez sur Upload pour commencer à télécharger le certificat.
Étape 6. Une fenêtre Informations s'affiche pour vous indiquer que votre certificat a été importé avec succès. Cliquez sur OK pour continuer.
Étape 7. Vous devriez voir que votre certificat a été téléchargé.
Vous devez avoir appris à générer une demande de service de contact, à importer et à télécharger un certificat sur les routeurs des gammes RV160 et RV260.