Sécurité et VPN : Infrastructure à clés publiques (PKI)

Auto-enroll, auto-rollover, et temporisateurs de PKI IOS

30 juillet 2013 - Traduction automatique
Autres versions: PDFpdf | Anglais (6 juin 2013) | Commentaires

Introduction

Les Certificats ont réparé des vies et expirent à un certain point. Si les Certificats sont utilisés pour l'authentification pour une solution VPN (par exemple), l'échéance de ces Certificats mène aux échecs d'authentification possibles qui ont comme conséquence la perte de connectivité VPN entre les points finaux. Afin d'éviter cette question, ces deux mécanismes sont disponibles pour le renouvellement automatique de certificat :

  • Auto-inscription pour le client/routeurs en étoile
  • Auto-rollover pour le routeur de serveur de l'autorité de certification (CA)

Ce document décrit comment les exécutions d'Infrastructure à clés publiques (PKI) de Cisco IOS® de l'Auto-inscription et de l'auto-rollover fonctionnent et comment les temporisateurs respectifs de PKI sont calculés pour ces exécutions.

Contribué par Hamzah Kardame et Atri Basu, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Infrastructure à clés publiques (PKI) et le concept de la confiance.
  • Configuration de base de l'autorité de certification (CA) sur des Routeurs.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques dans un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Terminologie

Auto-inscription

Quand un certificat sur un périphérique d'extrémité est sur le point d'expirer, l'Auto-inscription obtient un nouveau certificat sans interruption. Quand l'Auto-inscription est configurée, le client/routeur en étoile peut demander un nouveau certificat à un moment donné avant que son propres moyens certificat (connu sous le nom de son identité ou certificat d'ID) expire.

auto-rollover

Ce paramètre décide quand le serveur de certificat (CS) génère son certificat inversé (de shadow) ; si la commande est sélectionnée sous la configuration de CS sans n'importe quel argument, le délai par défaut est de 30 jours.

Remarque: Dans les exemples dans ce document, la valeur de ce paramètre est de 10 minutes.

Quand un certificat sur le serveur CA est sur le point d'expirer, l'auto-rollover permet au CA d'obtenir un nouveau certificat sans interruption. Quand l'auto-rollover est configuré, le routeur CA peut générer un nouveau certificat à un moment donné avant que son propre certificat expire. Le nouveau certificat, qui s'appelle le shadow ou le certificat inversé, devient actif au moment précis que le certificat de CA en cours expire.

Utilisant les deux caractéristiques mentionnées ci-dessus, le déploiement de PKI devient automatisé, permettant au rai ou au périphérique de client pour obtenir un shadow/certificat d'identité inversé et ombrager/certificat de CA inversé avant l'échéance en cours de certificat de CA, de sorte qu'il puisse transition sans interruption aux nouveaux Certificats d'ID et CA quand ses Certificats en cours d'ID et CA expirent.

Ca-certificat de vie

Ce paramètre spécifie la vie du certificat de CA. La valeur de ce paramètre peut être spécifiée en quelques jours/heures/minutes.

Remarque: Dans les exemples dans ce document, la valeur de ce paramètre est de 30 minutes.

certificat de vie

Ce paramètre spécifie la vie du certificat d'identité qui est délivré par le routeur CA. La valeur de ce paramètre peut être spécifiée en quelques jours/heures/minutes.

Remarque: Dans les exemples dans ce document, la valeur de ce paramètre est de 20 minutes.

Configurez

Remarque: De plus petites valeurs de temporisateur de PKI pour la vie, l'auto-rollover, et l'auto-enroll sont utilisées dans ce document afin d'illustrer les concepts principaux d'auto-enroll et d'auto-rollover. Dans un environnement de réseau vivant, Cisco recommande que vous utilisiez les vies par défaut pour ces paramètres. 

Configuration du serveur du Cisco IOS CA

RootCA#show ip interface brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 10.1.1.1 YES manual up up
crypto pki server ios-ca
issuer-name CN=Root-CA,OU=TAC,C=IN
grant auto
hash sha512
lifetime certificate 0 0 20
lifetime ca-certificate 0 0 30
cdp-url http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
auto-rollover 0 0 10
database url flash:

Remarque: La valeur spécifique avec la commande d'auto-rollover est le nombre de jours/d'heures/de minutes avant la date de fin du certificat de CA en cours que le certificat inversé est généré. Par conséquent, si un certificat de CA est valide de 12:00 à 12:30, puis l'auto-rollover 0 0 10 implique que le certificat de CA inversé est généré autour de 12:20.

Employez la crypto commande de certificat de PKI d'exposition afin de vérifier la configuration sur le serveur du Cisco IOS CA :

RootCA#show crypto pki certificate
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:16:05 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012

Associated Trustpoints: ios-ca

Basé sur cette sortie, le routeur inclut un certificat de CA qui est valide de 9:16 à IST nov. 25, 2012 de 9:46. Puisque l'auto-rollover est configuré pendant 10 minutes, on s'attend à ce que le shadow/certificat inversé soit généré par 9,36 IST nov. 25, 2012.

Afin de confirmer, utilisez la crypto commande de temporisateur de PKI d'exposition :

RootCA#show crypto pki timer
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:19:22.283 IST Sun Nov 25 2012
PKI Timers
| 12:50.930
| 12:50.930 SESSION CLEANUP
CS Timers
| 16:43.558
| 16:43.558 CS SHADOW CERT GENERATION
| 26:43.532 CS CERT EXPIRE
| 26:43.558 CS CRL UPDATE

Basé sur cette sortie, la crypto commande de temporisateur de PKI d'exposition a été émise à 9,19 IST, et on s'attend à ce que le shadow/certificat inversé soit généré dans un délai de 16,43 minutes :

[09:19:22 + 00:16:43] = 09:36:05, qui est :
[end-date_of_current_CA_cert - auto_rollover_timer] ; c'est-à-dire, [09:46:05 - 00:10:00] = 09:36:05.

Configuration de client/routeur en étoile

Client-1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 172.16.1.1 YES manual up up
crypto pki trustpoint client1
enrollment url http://10.1.1.1:80
subject-name CN=Client-1,OU=TAC,c=IN
revocation-check crl
auto-enroll 70 regenerate

Remarque: l'auto-enroll active la caractéristique d'Auto-inscription sur le routeur.

La syntaxe de commande est la suivante : auto-enroll [val%] [régénéré].

Dans la sortie précédente, l'auto-enroll est spécifié en tant que 70% ; c'est-à-dire, à 70% de [vie de current_ID_cert], le routeur re-s'inscrit automatiquement avec le CA.

Conseil : Cisco recommande que vous placiez la valeur d'auto-enroll à 60% ou plus afin d'assurer les temporisateurs de PKI fonctionnez correctement.

L'option régénérée mène à la création d'une nouvelle clé RSA pour des buts de re-inscription/renouvellement de certificat. Si cette option n'est pas spécifiée, la clé RSA existante est utilisée.

Auto-inscription dans l'action

  1. Employez la commande de crypto pki authenticate afin d'authentifier manuellement le point de confiance sur le routeur client :
    Client-1(config)#crypto pki authenticate client1 

    Pour plus d'informations sur cette commande, référez-vous à la référence de commandes de Cisco IOS Security.

    Une fois que vous exécutez la commande, un résultat semblable à celui ci-dessous devrait apparaître :

    Certificate has the following attributes:
    Fingerprint MD5: 006B2E44 37FBC3F1 AA14F32B CDC4462E
    Fingerprint SHA1: 2999CC53 8BF65247 C0D704E9 FDC73002 A33910D4

    % Do you accept this certificate? [yes/no]:
  2. Type oui afin de recevoir le certificat de CA sur le routeur client.

    Débuts d'un temporisateur de RENOUVELER sur le routeur :

    Client-1#show crypto pki timer
    PKI Timers
    | 0.086
    | 0.086 RENEW cvo-pki
    | 9:51.366 SESSION CLEANUP
  3. Une fois le temporisateur de RENOUVELER compte vers le bas à zéro, le routeur client s'inscrit automatiquement avec le CA afin d'obtenir son certificat d'identité. Une fois le certificat est reçu, vous peut employer la crypto commande de certificat de PKI d'exposition afin de la visualiser :
    Client-1#show crypto pki certificate
    Certificate
    Status: Available
    Certificate Serial Number (hex): 02
    Certificate Usage: General Purpose
    Issuer:
    cn=Root-CA
    ou=TAC
    c=IN
    Subject:
    Name: Client-1
    hostname=Client-1
    cn=Client-1
    ou=TAC
    c=IN
    CRL Distribution Points:
    http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
    Validity Date:
    start date: 09:16:57 IST Nov 25 2012
    end date: 09:36:57 IST Nov 25 2012
    renew date: 09:30:08 IST Nov 25 2012
    Associated Trustpoints: client1
    CA Certificate
    Status: Available
    Certificate Serial Number (hex): 01
    Certificate Usage: Signature
    Issuer:
    cn=Root-CA
    ou=TAC
    c=IN
    Subject:
    cn=Root-CA
    ou=TAC
    c=IN
    Validity Date:
    start date: 09:16:05 IST Nov 25 2012
    end date: 09:46:05 IST Nov 25 2012
    Associated Trustpoints: client1

    renouvelez la date = 09:30:08 est calculé en tant que :
    start-time + (%renewal d'ID_cert_lifetime)
    09:16:57 + (70% * 20 minutes) = 09:30:08

    Les temporisateurs de PKI reflètent la même chose :

    Client-1#show crypto pki timer
    Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
    Time source is NTP, 09:19:01.714 IST Sun Nov 25 2012
    PKI Timers
    | 1:21.790
    | 1:21.790 SESSION CLEANUP
    | 11:06.894 RENEW client1
  4. Une fois le temporisateur de RENOUVELER se déclenche, le routeur re-s'inscrit avec le CA afin d'obtenir un nouveau certificat d'ID. Après qu'un renouvellement de certificat se soit produit, vous pouvez employer la crypto commande de CERT de PKI d'exposition afin de visualiser le nouveau certificat d'ID :
    Client-1#show crypto pki cert
    Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
    Time source is NTP, 09:34:55.063 IST Sun Nov 25 2012
    Certificate
    Status: Available
    Certificate Serial Number (hex): 03
    Certificate Usage: General Purpose
    Issuer:
    cn=Root-CA
    ou=TAC
    c=IN
    Subject:
    Name: Client-1
    hostname=Client-1
    cn=Client-1
    ou=TAC
    c=IN
    CRL Distribution Points:
    http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
    Validity Date:
    start date: 09:30:09 IST Nov 25 2012
    end date: 09:46:05 IST Nov 25 2012

    Associated Trustpoints: client1
    CA Certificate
    Status: Available
    Certificate Serial Number (hex): 01
    Certificate Usage: Signature
    Issuer:
    cn=Root-CA
    ou=TAC
    c=IN
    Subject:
    cn=Root-CA
    ou=TAC
    c=IN
    Validity Date:
    start date: 09:16:05 IST Nov 25 2012
    end date: 09:46:05 IST Nov 25 2012
    Associated Trustpoints: client1

    Notez qu'il n'y a plus une date de renouveler ; au lieu de cela, un temporisateur de SHADOW est démarré :

    Client-1#show crypto pki timer
    Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
    Time source is NTP, 09:34:57.922IST Sun Nov 25 2012
    PKI Timers
    | 25.582
    | 25.582 SESSION CLEANUP
    | 6:20.618 SHADOW client1

    La logique est comme suit :

      • Si la date de fin du certificat d'ID n'est pas = date de fin de certificat de CA :

        Calculez la renouveler-date basée sur le pourcentage d'auto-enroll et le début RENOUVELLENT le temporisateur.

      • Si date de fin de certificat d'ID = de date de fin de certificat de CA :

    Aucun processus de renouvellement n'est nécessaire puisque le certificat en cours d'ID est valide seulement tant que le certificat de CA en cours est valide. Au lieu de cela, un temporisateur de SHADOW est démarré.

Ce temporisateur est également calculé basé sur le pourcentage mentionné dans la commande d'auto-enroll. Par exemple, considérez les dates de validité du certificat renouvelé d'ID affiché dans l'exemple précédent :

Validity Date of current ID cert: 
start date: 09:30:09 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012

La vie de ce certificat est de 16 minutes. Par conséquent, le temporisateur inversé (c'est-à-dire, temporisateur de SHADOW) est 70% de 16 minutes, qui égale approximativement 11 minutes. Ce calcul implique que le routeur commencera des demandes de son shadow/Certificats inversés à [09:30:09 + 00:11:00] = 09:41:09, qui correspond au temporisateur de SHADOW de PKI affiché précédemment dans ce document :

Client-1#show crypto pki timer
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:34:57.922 IST Sun Nov 25 2012
PKI Timers
| 25.582
| 25.582 SESSION CLEANUP
| 6:20.618 SHADOW client1

Auto-rollover dans l'action

Sur le serveur du Cisco IOS CA

Quand le temporisateur de SHADOW se déclenche, le certificat inversé apparaît sur le routeur CA :

RootCA#show crypto pki certificate
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:36:28.184 IST Sun Nov 25 2012
CA Certificate (Rollover)
Status: Available
Certificate Serial Number (hex): 04
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Root-CA
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:46:05 IST Nov 25 2012
end date: 10:16:05 IST Nov 25 2012
Associated Trustpoints: ios-ca
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:16:05 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: ios-ca

Au routeur client

Comme décrit précédemment dans ce document, la caractéristique d'Auto-inscription est partie d'un temporisateur de SHADOW faire tic tac sur le routeur client. Quand le temporisateur de SHADOW se déclenche, la caractéristique d'Auto-inscription permet au routeur de demander le serveur CA pour le renversement/certificat de CA de shadow. Une fois que reçu, il questionne pour son renversement/certificat ID de shadow aussi bien. En conséquence, le routeur aura deux paires de Certificats : une paire qui est en cours et l'autre paire qui contient le renversement/shadow délivre un certificat :

Client-1#show crypto pki certificate
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 09:41:42.983 IST Sun Nov 25 2012
Router Certificate (Rollover)
Status: Available
Certificate Serial Number (hex): 05
Certificate Usage: General Purpose
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Client-1
hostname=Client-1
cn=Client-1
ou=TAC
c=IN
CRL Distribution Points:
http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
Validity Date:
start date: 09:46:05 IST Nov 25 2012
end date: 09:50:09 IST Nov 25 2012
Associated Trustpoints: client1

CA Certificate (Rollover)
Status: Available
Certificate Serial Number (hex): 04
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Root-CA
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:46:05 IST Nov 25 2012
end date: 10:16:05 IST Nov 25 2012
Associated Trustpoints: client1

Certificate
Status: Available
Certificate Serial Number (hex): 03
Certificate Usage: General Purpose
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
Name: Client-1
hostname=Client-1
cn=Client-1
ou=TAC
c=IN
CRL Distribution Points:
http://10.1.1.1/cgi-bin/pkiclient.exe?operation=GetCRL
Validity Date:
start date: 09:30:09 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: client1

CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=Root-CA
ou=TAC
c=IN
Subject:
cn=Root-CA
ou=TAC
c=IN
Validity Date:
start date: 09:16:05 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012
Associated Trustpoints: client1

Notez la validité du certificat inversé d'ID :

Validity Date: 
start date: 09:46:05 IST Nov 25 2012
end date: 09:50:09 IST Nov 25 2012

La vie de certificat est juste 4 minutes (au lieu des 20 minutes prévues, comme configurées sur le serveur de Cisco IOS CA). Par serveur du Cisco IOS CA, la vie absolue de certificat d'ID devrait être de 20 minutes (qui signifie, pour un routeur client indiqué, la somme des vies des Certificats d'ID (courant + shadow) fournis à elle ne doit pas être plus grande que 20 minutes).

Ce processus est encore décrit ici :

  • Validité du certificat en cours d'ID sur le routeur :
start date: 09:30:09 IST Nov 25 2012
end date: 09:46:05 IST Nov 25 2012

le current_id_cert_lifetime est de 16 minutes.

  • Validité de certificat inversé d'ID :
start date: 09:46:05 IST Nov 25 2012
end date: 09:50:09 IST Nov 25 2012

le rollover_id_cert_lifetime est de 4 minutes.

  • Par Cisco IOS, [current_id_cert_lifetime] + [rollover_id_cert_lifetime] devez = [total_id_cert_lifetime], qui est vrai ici.

Importantes considérations

  • Les temporisateurs de PKI exigent d'une horloge bien fondée de fonctionner correctement. Cisco recommande que vous employiez le NTP afin de synchroniser des horloges entre les routeurs client et le routeur du Cisco IOS CA. Faute de NTP, l'horloge de système/matériel sur le routeur peut être utilisée. Pour les informations sur la façon dont configurer le matériel synchronisez-et rendez-le bien fondé, se rapportent au guide de configuration de base de gestion du système, Cisco IOS version 12.4T.
  • Sur la recharge d'un routeur, la synchronisation du NTP prend souvent quelques minutes. Cependant, les temporisateurs de PKI sont établis presque immédiatement. En date des versions 15.2(3.8)T et 15.2(4)S, les temporisateurs de PKI sont automatiquement réévalués après que le NTP soit synchronisé.
  • Les temporisateurs de PKI ne sont pas absolus ; ils sont basés sur le timeand restant sont donc recalculés après une réinitialisation. Par exemple, supposez que le routeur client a un certificat d'ID valable 100 jours et la caractéristique d'auto-enroll a été placée à 80%. Puis, on s'attend à ce que la re-inscription se produise après le quatre-vingtième jour. Si le routeur est rechargé le soixantième jour, il initialise et recalcule le temporisateur de PKI comme suit :

    (temps restant) * (%auto-enroll) = (100-60) * 80% = 32 jours.  Par conséquent, la re-inscription se produit sur [60 + 32] = le quatre-vingt-douzième jour.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 116094