A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como as operações do Public Key Infrastructure (PKI) do ® do Cisco IOS da inscrição automática e do auto-derrubamento trabalham e como os temporizadores respectivos PKI são calculados para estas operações.
Os Certificados fixaram vidas e expiram em algum momento. Se os Certificados estão usados para propósitos de autenticação para uma solução de VPN (por exemplo), a expiração destes Certificados conduz às falhas de autenticação possíveis que conduzem à perda de conectividade de VPN entre os valores-limite. A fim evitar esta edição, estes dois mecanismos estão disponíveis para a renovação automática do certificado:
A Cisco recomenda que você tenha conhecimento destes tópicos:
Este documento não se restringe a versões de software e hardware específicas.
As informações apresentadas neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
inscrição automática
Quando um certificado em um dispositivo final está a ponto de expirar, a inscrição automática obtém um certificado novo sem rompimento. Quando a inscrição automática é configurada, o cliente/roteador do spoke pode pedir um certificado novo em algum dia antes que seu próprio certificado (conhecido como sua identidade ou certificado ID) expire.
auto-derrubamento
Este parâmetro decide quando o servidor certificado (CS) gerencie seu certificado do derrubamento (sombra); se o comando é incorporado sob a configuração CS sem nenhum argumento, o tempo padrão é 30 dias.
Nota: Para os exemplos neste documento, o valor deste parâmetro é os minutos 10.
Quando um certificado no server de CA está a ponto de expirar, o auto-derrubamento permite CA de obter um certificado novo sem rompimento. Quando o auto-derrubamento é configurado, o roteador de CA pode gerar um certificado novo em algum dia antes que seu próprio certificado expire. O certificado novo, que é chamado a sombra ou o certificado do derrubamento, torna-se ativo no momento preciso que o certificado de CA atual expira.
Com o uso das duas características que são mencionadas na seção da introdução deste documento, o desenvolvimento PKI torna-se automatizado e permite-se que o spoke ou o dispositivo do cliente obtenham uma sombra/certificado de identidade do derrubamento e sombreiem-nos/certificado de CA do derrubamento antes da expiração atual do certificado de CA. Esta maneira, pode transição sem interrupção ao ID novo e certificados de CA quando seus ID e certificados de CA atuais expiram.
Ca-certificado da vida
Este parâmetro especifica a vida do certificado de CA. O valor deste parâmetro pode ser especificado nos dias/horas/minutos.
Nota: Para os exemplos neste documento, o valor deste parâmetro é 30 minutos.
certificado da vida
Este parâmetro especifica a vida do certificado de identidade que é emitido pelo roteador de CA. O valor deste parâmetro pode ser especificado nos dias/horas/minutos.
Nota: Para os exemplos neste documento, o valor deste parâmetro é 20 minutos
Nota: Os valores de temporizador menores PKI para a vida, auto-derrubamento, e auto-registram-se são usados neste documento a fim ilustrar chave auto-registram-se e conceitos do auto-derrubamento. Em um ambiente de rede viva, Cisco recomenda que você usa as durações padrão para estes parâmetros.
Dica: Todo o PKI temporizador-baseou eventos, tais como o derrubamento e o reenrollment, pode ser afetado se não há nenhuma fonte de tempo autoritária. Por este motivo, Cisco recomenda que você configura o Network Time Protocol (NTP) em todo o Roteadores esse peform PKI.
Esta seção fornece um configuratinon do exemplo para o server de CA do Cisco IOS.
RootCA#show ip interface brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 10.1.1.1 YES manual up up
crypto pki server ios-ca
issuer-name CN=Root-CA,OU=TAC,C=IN
grant auto
hash sha512
lifetime certificate 0 0 20
lifetime ca-certificate 0 0 30
cdp-url http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
auto-rollover 0 0 10
database url flash:
Nota: O valor que é especificado com o comando do auto-derrubamento é o número de dias/horas/minutos antes da data final do certificatethat que atual de CA o certificado do derrubamento é gerado. Consequentemente, se um certificado de CA é válido de 12:00 a 12:30, a seguir o auto-derrubamento 0 0 10 implica que o certificado de CA do derrubamento está gerado em torno de 12:20.
Inscreva o comando certificate cripto do pki da mostra a fim verificar a configuração no server de CA do Cisco IOS:
RootCA#show crypto pki certificate
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:16:05 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: ios-ca
Baseado nesta saída, o roteador inclui um certificado de CA que seja válido de 9:16 a 9:46 IST novembro 25, 2012. Desde que o auto-derrubamento é configurado pelos minutos 10, a sombra/certificado do derrubamento é esperada ser gerada por 9.36 IST novembro 25, 2012.
A fim confirmar, incorpore o comando cripto do temporizador do pki da mostra:
RootCA#show crypto pki timer
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:19:22.283 IST Sun Nov 25 2012
PKI Timers
| 12:50.930
| 12:50.930 SESSION CLEANUP
CS Timers
| 16:43.558
| 16:43.558 CS SHADOW CERT GENERATION
| 26:43.532 CS CERT EXPIRE
| 26:43.558 CS CRL UPDATE
Baseado nesta saída, o comando cripto do temporizador do pki da mostra foi emitido em 9.19 IST, e a sombra/certificado do derrubamento é esperada ser gerada dentro de 16.43 minutos:
[09:19:22 + 00:16:43] = 09:36:05, que é o [end-date_of_current_CA_cert - auto_rollover_timer]; isto é, [09:46:05 - 00:10:00] = 09:36:05.
Esta seção fornece um exemplo de configuração para o cliente/roteador do spoke.
Client-1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 172.16.1.1 YES manual up up
crypto pki trustpoint client1
enrollment url http://10.1.1.1:80
subject-name CN=Client-1,OU=TAC,c=IN
revocation-check crl
auto-enroll 70 regenerate
Nota: O comando auto-enroll permite a característica Auto-inscrição no roteador. A sintaxe do comando é: auto-registre o [regenerate] do [val%].
Na saída precedente, a característica auto-registrar-se é especificada como 70%; isto é, em 70% do [lifetime of current_ID_cert], do roteador os reenrolls automaticamente com CA.
Dica: Cisco recomenda que você ajusta o valor auto-se registrar a 60% ou mais a fim se assegurar de que os temporizadores PKI trabalhem corretamente.
A opção regenerada conduz à criação de uma chave nova de Rivest-Shamir-Addleman (RSA) para finalidades do reenrollment/renovação do certificado. Se esta opção não é especificada, a chave atual RSA está usada.
Termine estas etapas a fim verificar a característica Auto-inscrição:
Client-1(config)#crypto pki authenticate client1
Nota: Para obter mais informações sobre deste comando, refira a referência de comandos do Cisco IOS Security.
Uma vez que você incorpora o comando, uma saída similar a esta deve aparecer:
Certificate has the following attributes:
Fingerprint MD5: 006B2E44 37FBC3F1 AA14F32B CDC4462E
Fingerprint SHA1: 2999CC53 8BF65247 C0D704E9 FDC73002 A33910D4
% Do you accept this certificate? [yes/no]:
Client-1#show crypto pki timer
PKI Timers
| 0.086
| 0.086 RENEW cvo-pki
| 9:51.366 SESSION CLEANUP
Client-1#show crypto pki certificate
Certificate
Status: Available
Certificate Serial Number (hex): 02
Certificate Usage: General Purpose
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Client-1
hostname=Client-1
cn=Client-1
ou=TAC
c=IN
CRL Distribution Points:
http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
Validity Date:
start date: 09:16:57 IST Nov 25 2012
end date: 09:36:57 IST Nov 25 2012
renew date: 09:30:08 IST Nov 25 2012
Associated Trustpoints: client1
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:16:05 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: client1
Client-1#show crypto pki timer
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:19:01.714 IST Sun Nov 25 2012
PKI Timers
| 1:21.790
| 1:21.790 SESSION CLEANUP
| 11:06.894 RENEW client1
Client-1#show crypto pki cert
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:34:55.063 IST Sun Nov 25 2012
Certificate
Status: Available
Certificate Serial Number (hex): 03
Certificate Usage: General Purpose
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Client-1
hostname=Client-1
cn=Client-1
ou=TAC
c=IN
CRL Distribution Points:
http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
Validity Date:
start date: 09:30:09 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: client1
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:16:05 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: client1
Client-1#show crypto pki timer
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:34:57.922IST Sun Nov 25 2012
PKI Timers
| 25.582
| 25.582 SESSION CLEANUP
| 6:20.618 SHADOW client1
Está aqui a lógica do processo:
Este temporizador é calculado igualmente com base na porcentagem mencionada no comando auto-enroll. Por exemplo, considere as datas de validez do certificado renovado ID que são mostradas no exemplo anterior:
Validity Date of current ID cert:
start date: 09:30:09 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
A vida deste certificado é 16 minutos. Consequentemente, o temporizador do derrubamento (isto é, o temporizador da SOMBRA) é 70% de 16 minutos, que iguala aproximadamente 11 minutos. Este cálculo implica que o roteador começa pedidos para seus sombra/Certificados do derrubamento em [09:30:09 + 00:11:00] = 09:41:09, que corresponde ao temporizador da SOMBRA PKI mostrado previamente neste documento:
Client-1#show crypto pki timer
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:34:57.922 IST Sun Nov 25 2012
PKI Timers
| 25.582
| 25.582 SESSION CLEANUP
| 6:20.618 SHADOW client1
Esta seção descreve a característica do auto-derrubamento na ação.
Quando o temporizador da SOMBRA expira, o certificado do derrubamento aparece no roteador de CA:
RootCA#show crypto pki certificate
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:36:28.184 IST Sun Nov 25 2012
CA Certificate (Rollover)
Status: Available
Certificate Serial Number (hex): 04
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Root-CA
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:46:05 IST Nov 25 2012
end date: 10:16:05 IST Nov 25 2012
Associated Trustpoints: ios-ca
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:16:05 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: ios-ca
Como descrito previamente neste documento, a característica Auto-inscrição começou um temporizador da SOMBRA no roteador cliente. Quando o temporizador da SOMBRA expira, a característica Auto-inscrição permite o roteador de pedir o server de CA para o derrubamento/certificado de CA da sombra. Uma vez que recebida, pergunta para seu certificado do derrubamento/sombra ID também. Em consequência, o roteador tem dois pares de Certificados: um par que é atual e o outro par que contém os Certificados do derrubamento/sombra:
Client-1#show crypto pki certificate
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:41:42.983 IST Sun Nov 25 2012
Router Certificate (Rollover)
Status: Available
Certificate Serial Number (hex): 05
Certificate Usage: General Purpose
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Client-1
hostname=Client-1
cn=Client-1
ou=TAC
c=IN
CRL Distribution Points:
http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
Validity Date:
start date: 09:46:05 IST Nov 25 2012
end date: 09:50:09 IST Nov 25 2012
Associated Trustpoints: client1
CA Certificate (Rollover)
Status: Available
Certificate Serial Number (hex): 04
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Root-CA
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:46:05 IST Nov 25 2012
end date: 10:16:05 IST Nov 25 2012
Associated Trustpoints: client1
Certificate
Status: Available
Certificate Serial Number (hex): 03
Certificate Usage: General Purpose
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Client-1
hostname=Client-1
cn=Client-1
ou=TAC
c=IN
CRL Distribution Points:
http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
Validity Date:
start date: 09:30:09 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: client1
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:16:05 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: client1
Observe a validez do certificado do derrubamento ID:
Validity Date:
start date: 09:46:05 IST Nov 25 2012
end date: 09:50:09 IST Nov 25 2012
A vida do certificado é apenas quatro minutos (em vez dos 20 minutos previstos, como configurados no server de CA do Cisco IOS). Pelo server de CA do Cisco IOS, a vida absoluta do certificado ID deve ser 20 minutos (que significa, para um roteador cliente dado, a soma das vidas dos Certificados ID (corrente + sombra) emitidos a ela não deve ser maior de 20 minutos).
Este processo é descrito mais aqui:
start date: 09:30:09 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
start date: 09:46:05 IST Nov 25 2012
end date: 09:50:09 IST Nov 25 2012
(tempo restante) * (%auto-enroll) = (100-60) * 80% = 32 dias.
Consequentemente, o reenrollment ocorre no [60 + 32] = 92nd dia.