Configuración y Administración de Cisco IOS Certificate Server para
Anuncio
Configuración y Administración de Cisco IOS Certificate Server
para la Implementación de PKI
Descargue este capítulo
Configuración y Administración de Cisco IOS Certificate Server para la Implementación de PKI
Descargue el libro completo
Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR (PDF - 5 MB)
Feedback
Contenidos
Configuración y Administración de Cisco IOS Certificate Server para la Implementación de PKI
Encontrar la información de la característica
Contenido
Prerrequisitos de Configuración de Cisco IOS Certificate Server
Restricciones de Configuración de Cisco IOS Certificate Server
Información sobre los Servidores de Certificados de Cisco IOS
Par clave RSA y certificado del servidor de certificados
Cómo el certificado de CA y la clave de CA están archivados automáticamente
Base de Datos del Servidor de Certificados
Almacenamiento de archivo de base de datos del servidor de certificados
Publicación del archivo de base de datos del servidor de certificados
Punto de Confianza del Servidor de Certificados
Lista de Revocación de Certificados (CRLs)
Condiciones de Error del Servidor de Certificados
Inscripción de Certificados Usando un Servidor de Certificados
Inscripción SCEP
Tipos de Servidores CA: Autoridades Subordinadas y de Registro (RAs)
Certificado de CA Automático y Renovación de Llave
Renovación automática del certificado de CA: Cómo funciona
Soporte SHA-2 para especificar una función de troceo criptográfica
Cómo Configurar e Implementar Cisco IOS Certificate Server
Generación de un Par de Llaves RSA del Servidor de Certificados
Configuración de los Servidores de Certificados
Requisitos previos para la renovación automática del certificado de CA
Restricciones para la renovación automática del certificado de CA
Configuración de un Servidor de Certificados
Configuración de un Servidor de Certificados Subordinado
Configuración de un Servidor de Certificados para Ejecutarse en el Modo RA
Configuración del Servidor de Certificado Root para Delegar las Tareas de Inscripción al Servidor de Certificados
de Modo RA
Pasos Siguientes
Configuración de la Funcionalidad del Servidor de Certificados
Valores predeterminados y valores recomendados del servidor de certificados
Ubicaciones del almacenamiento y de la publicación de archivo del servidor de certificados
Trabajo con la Renovación Automática del Certificado de la CA
Inicio Inmediato de la Renovación Automatizada de Certificado de CA
Solicitud de Certificado de Renovación de un Cliente de Servidor de Certificados
Exportación de un Certificado de Renovación CA
Mantenimiento, Verificación y Troubleshooting del Servidor de Certificados, Certificados y CA
Administración de la Base de Datos de Solicitudes de Inscripción
Eliminación de las peticiones de la base de datos de la petición de la inscripción
Eliminación de un Servidor de Certificados
Verificación y Troubleshooting del Servidor de Certificados y el Estado CA
Verificación de la Información del Certificado CA
Ejemplos de Configuración del Uso de un Servidor de Certificados
Configuración de Ubicaciones Específicas de Almacenamiento y Publicación: Ejemplos
Remoción de Solicitudes de Inscripción de la Base de Datos de Solicitudes de Inscripción: Ejemplos
Archivado Automático de las Llaves Root del Servidor de Certificados: Ejemplos
Restauración de un Servidor de Certificados a partir de las Copias de Seguridad del Servidor de Certificados: Ejemplos
Servidor de Certificados Subordinado: Ejemplo:
Diferenciación del servidor del certificado raíz: Ejemplo:
Muestre la salida para un servidor de certificados subordinado: Ejemplo:
Servidor de Certificados de Modo RA: Ejemplo:
Habilitación de la Renovación del certificado CA para Iniciar Inmediatamente: Ejemplo:
Adonde ir después
Referencias adicionales
Documentos Relacionados
Asistencia Técnica
Información sobre la Función Cisco IOS Certificate Server
Configuración y Administración de Cisco IOS Certificate Server para la Implementación de
PKI
Primera publicación: 2 de mayo de 2005
Última actualización: 5 de octubre de 2011
Este módulo describe cómo configurar y manejar un servidor de certificados del Cisco IOS para el despliegue del Public Key
Infrastructure (PKI). Un servidor de certificados integra un servidor de certificados simple, con las funciones limitadas del
Certification Authority (CA), en el Cisco IOS Software. Así, las siguientes ventajas se proporcionan al usuario:
• Un despliegue más fácil PKI definiendo el comportamiento predeterminado. La interfaz de usuario es más simple porque
se predefinen los comportamientos predeterminados. Es decir, usted puede leverage las ventajas del escalamiento del PKI
sin todas las Extensiones del certificado que CA proporcione, de tal modo permitiendo que usted habilite fácilmente una red
PKI-asegurada básica.
•
Integración directa con el Cisco IOS Software.
Encontrar la información de la característica
Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y
advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información
sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada
característica, vea “información de la característica para la sección del servidor de certificados del Cisco IOS”.
Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software
Cisco IOS y Catalyst OS. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en
Cisco.com no se requiere.
Contenido
•
Prerrequisitos de Configuración de Cisco IOS Certificate Server
•
Restricciones de Configuración de Cisco IOS Certificate Server
•
Información sobre los Servidores de Certificados de Cisco IOS
•
Cómo Configurar e Implementar Cisco IOS Certificate Server
•
Ejemplos de Configuración del Uso de un Servidor de Certificados
•
Adonde ir después
•
Referencias adicionales
•
Información sobre la Función Cisco IOS Certificate Server
Prerrequisitos de Configuración de Cisco IOS Certificate Server
Planeando su PKI antes de configurar el servidor de certificados
Antes de configurar un servidor de certificados del Cisco IOS, es valores apropiados importantes que usted ha planeado para y
elegidos para las configuraciones que usted se prepone utilizar dentro de su PKI (tal como cursos de la vida del certificado y
cursos de la vida del Listas de revocación de certificados (CRL)). Después de que las configuraciones se hayan configurado en
el servidor de certificados y se han concedido los Certificados, las configuraciones no pueden ser cambiadas sin tener que
configurar de nuevo el servidor de certificados y reenrolling a los pares. Para la información sobre las configuraciones
predeterminadas y las configuraciones recomendadas del servidor de certificados, vea la sección “valores predeterminados y
valores recomendados del servidor de certificados.”
Habilitar un servidor HTTP
El servidor de certificados soporta el protocolo simple certificate enrollment (SCEP) sobre el HTTP. El servidor HTTP se debe
habilitar en el router para que el servidor de certificados utilice el SCEP. (Para habilitar el servidor HTTP, utilice ip http server el
comando.) El servidor de certificados habilita automáticamente o habilitan o se inhabilitan a los servicios de las neutralizaciones
SCEP después del servidor HTTP. Si el servidor HTTP no se habilita, sólo se soporta la inscripción manual PKCS10.
Observepara aprovecharse del certificado de CA automático y las funciones de la renovación del par clave para todos los tipos
de servidores de certificados, de Cisco IOS Release 12.4(4)T o de una versión posterior deben ser utilizadas y el SCEP se debe
utilizar como el método de la inscripción.
Configurar los Servicios de tiempo confiables
Los Servicios de tiempo deben ejecutarse en el router porque el servidor de certificados debe tener conocimiento confiable del
tiempo. Si un reloj de hardware es inasequible, el servidor de certificados depende manualmente de las configuraciones del reloj
configurado, tales como Network Time Protocol (NTP). Si no hay un reloj de hardware o el reloj es inválido, el siguiente mensaje
se visualiza en el bootup:
% Time has not been set. Cannot start the Certificate server.
Después de que se haya fijado el reloj, del servidor de certificados el Switches automáticamente al estatus corriente.
Para la información sobre manualmente configurar los ajustes de reloj, vea la sección “los servicios del tiempo y del calendario
de la configuración” en el capítulo la “que realiza administración del sistema básico” de la guía de configuración de la
administración del Cisco IOS Network.
Cambio de CLI de "crypto ca" a "crypto pki"
Desde Cisco IOS Release 12.3(7)T, todos los comandos que comienzan con "crypto ca" han cambiado para comenzar con
"crypto pki". Aunque el router continúe validando los comandos crypto Ca, toda la salida se relee como pki crypto.
Restricciones de Configuración de Cisco IOS Certificate Server
El servidor de certificados no proporciona un mecanismo para modificar el pedido de certificado que se recibe del cliente; es
decir, el certificado que se publica del servidor de certificados hace juego el certificado pedido sin las modificaciones. Si una
póliza específica del certificado, tal como apremios de nombre, debe ser extendida, la directiva se debe reflejar en el pedido de
certificado.
Información sobre los Servidores de Certificados de Cisco IOS
•
Par clave RSA y certificado del servidor de certificados
•
Base de Datos del Servidor de Certificados
•
Punto de Confianza del Servidor de Certificados
•
Lista de Revocación de Certificados (CRLs)
•
Condiciones de Error del Servidor de Certificados
•
Inscripción de Certificados Usando un Servidor de Certificados
•
Tipos de Servidores CA: Autoridades Subordinadas y de Registro (RAs)
•
Certificado de CA Automático y Renovación de Llave
•
Soporte SHA-2 para especificar una función de troceo criptográfica
Par clave RSA y certificado del servidor de certificados
El servidor de certificados genera automáticamente un par clave del Rivest 1024-bit, del Shamir, y del Adelman (RSA). Usted
debe generar manualmente un par clave RSA si usted prefiere un diverso módulo del par clave. Para la información sobre
completar esta tarea, vea la sección el “generar de un par clave del servidor de certificados RSA.”
Observeel módulo recomendado para un par clave del servidor de certificados es 2048 bits.
El servidor de certificados utiliza un par clave regular del Cisco IOS RSA como su clave de CA. Este par clave debe tener el
mismo nombre que el servidor de certificados. Si usted no genera el par clave antes de que el servidor de certificados se cree
en el router, un par clave de fines generales se genera automáticamente durante la configuración del servidor de certificados.
A partir de las versiones del Cisco IOS Release 12.3(11)T y Posterior, el certificado de CA y la clave de CA pueden ser
sostenidos automáticamente una vez después de que son generados por el servidor de certificados. Como consecuencia, no es
necesario generar una clave exportable de CA para los objetivos de backup.
Qué a hacer con los pares claves automáticamente generados en Cisco IOS Software antes de la versión 12.3(11)T
Si el par clave se genera automáticamente, no se marca como exportable. Así, usted debe generar manualmente el par clave
mientras que exportable si usted quiere sostener la clave de CA. Para la información sobre cómo completar esta tarea, vea la
sección el “generar de un par clave del servidor de certificados RSA.”
Cómo el certificado de CA y la clave de CA están archivados automáticamente
En la configuración inicial del servidor de certificados, usted puede habilitar el certificado de CA y la clave de CA que se
archivará automáticamente para poderlos restablecer más adelante si se pierde la copia original o la configuración de origen.
Cuando se gira el servidor de certificados la primera vez, se genera el certificado de CA y la clave de CA. Si el archivo
automático también se habilita, el certificado de CA y la clave de CA se exporta (archivado) a las bases de datos del servidor. El
archivo puede estar en el PKCS12 o el formato del Privacy Enhanced Mail (PEM).
Nota • Este archivo de backup de la clave de CA es extremadamente importante y se debe mover inmediatamente a otro
lugar asegurado.
• Esta acción que archiva ocurre solamente una vez. Solamente la clave de CA que es (1) exportable manualmente
generada y marcada o (2) generado automáticamente por el servidor de certificados está archivada (esta clave es
nonexportable marcado).
•
Autoarchiving no ocurre si usted genera la clave de CA manualmente y la marca “nonexportable.”
• Además del certificado de CA y del archivo dominante de CA, usted debe sostener también regularmente el archivo del
número de serie (.ser) y el archivo CRL (.crl). El archivo serial y el archivo CRL son críticos para el funcionamiento de CA si
se necesita restablecer el servidor de certificados.
• No es posible sostener manualmente un servidor que las aplicaciones RSA nonexportable cierren o generaron
manualmente, las claves nonexportable RSA. Aunque las claves automáticamente generadas RSA se marquen como
nonexportable, están archivadas automáticamente una vez.
Base de Datos del Servidor de Certificados
Los archivos de los almacenes del servidor de certificados del Cisco IOS para su propio uso y pueden publicar los archivos para
que otros procesos utilicen. Los archivos críticos generados por el servidor de certificados que son necesarios para su
operación en curso se salvan a solamente una ubicación por el tipo de archivo para su uso exclusivo. El servidor de certificados
lee en y escribe a estos archivos. Los archivos críticos del servidor de certificados son el archivo del número de serie (.ser) y el
archivo de la ubicación de almacenamiento CRL (.crl). Los archivos a los cuales el servidor de certificados escribe, pero no leen
en otra vez, pueden estar publicados y disponibles para uso de otros procesos. Un ejemplo de un archivo que pueda ser
publicado es el archivo de Certificados publicado (.crt).
El funcionamiento de su servidor de certificados se puede afectar por los factores siguientes, que deben ser considerados
cuando usted elige la opción de almacenamiento y las opciones de la publicación para sus archivos del servidor de certificados.
• El almacenamiento o publica las ubicaciones que usted elige puede afectar a su funcionamiento del servidor de
certificados. La lectura en una ubicación de la red tarda más tiempo que leyendo directamente en el dispositivo del
almacenamiento local de un router.
• El número de archivos que usted elige salvar o publicar a una ubicación específica puede afectar a su funcionamiento
del servidor de certificados. El archivo de sistema de IOS del Cisco local puede siempre no ser conveniente para un gran
número de archivos.
• Los tipos de archivo que usted elige salvar o publicar puede afectar a su funcionamiento del servidor de certificados.
Ciertos archivos, tales como el .crl clasifían, pueden llegar a ser muy grandes.
Notase recomienda que usted salva los archivos .ser y .crl a su archivo de sistema de IOS del Cisco local y publica sus archivos
.crt a un sistema de archivos remotos.
Almacenamiento de archivo de base de datos del servidor de certificados
El servidor de certificados permite la flexibilidad para salvar diversos tipos de archivo críticos a diversas ubicaciones de
almacenamiento dependiendo del conjunto del nivel de la base de datos (véase database level el comando para más
información). Al elegir las ubicaciones de almacenamiento, considere la Seguridad de archivo necesitada y rendimiento del
servidor. Por ejemplo, los archivos del número de serie y los archivos (.p12 o .pem) pudieron tener mayores restricciones de
seguridad que la ubicación de almacenamiento publicada del archivo de Certificados (.crt) o la ubicación de almacenamiento del
archivo de nombre (.cnm).
El cuadro 1 muestra los tipos de archivo críticos del servidor de certificados por la extensión de archivo que se puede salvar a
una ubicación específica.
Tabla 1
Extensión de
Archivo
Tipo de Archivo
.ser
El archivo de base de datos principal del servidor de certificados.
.crl
La ubicación de almacenamiento CRL.
.crt
La ubicación de almacenamiento publicada de los Certificados.
.cnm
La ubicación de almacenamiento del archivo del nombre y de la expiración
del certificado.
.p12
La ubicación del archivo del certificado de servidor de certificados en el
formato del PKCS12.
.pem
La ubicación del archivo del certificado de servidor de certificados en el
formato PEM.
Tipos de archivo críticos del almacenamiento del servidor de certificados
Los archivos del servidor de certificados del Cisco IOS se pueden salvar a tres niveles de especificidad:
•
Ubicación predeterminada, NVRAM
•
Ubicación de almacenamiento primario especificada para todos los archivos críticos
•
Ubicación de almacenamiento especificada para los archivos críticos específicos.
Una configuración más específica de la ubicación de almacenamiento reemplaza una configuración más general de la ubicación
de almacenamiento. Por ejemplo, si usted no ha especificado ninguna ubicaciones de almacenamiento del archivo del servidor
de certificados, todos los archivos del servidor de certificados se salvan al NVRAM. Si usted especifica una ubicación de
almacenamiento para el archivo de nombre, sólo el archivo de nombre se salva allí; el resto de los archivos continúan siendo
salvados al NVRAM. Si usted entonces especifica una ubicación primaria, todos los archivos a menos que el archivo de nombre
ahora se salve a esta ubicación, en vez del NVRAM.
Notausted puede especificar .p12 o el .pem; usted no puede especificar ambos tipos de archivos.
Publicación del archivo de base de datos del servidor de certificados
Un archivo de la publicación es una copia del archivo original y está disponible para que otros procesos utilicen o para su uso.
Si el servidor de certificados no puede publicar un archivo, hace el servidor apagar. Usted puede especificar uno publica la
ubicación para el archivo de Certificados publicado y el archivo y el múltiplo de nombre publican las ubicaciones para el archivo
CRL. Vea el cuadro 2 para los tipos de archivos disponibles para la publicación. Usted puede publicar los archivos sin importar
el nivel de la base de datos se fija que.
Tabla 2
Extensión de Archivo Tipo de Archivo
.crl
El CRL publica la ubicación.
.crt
Los Certificados publicados publican la ubicación.
.cnm
El archivo del nombre y de la expiración del certificado publica la ubicación.
El servidor de certificados publica los tipos de archivo
Punto de Confianza del Servidor de Certificados
Si el servidor de certificados también tiene un trustpoint automáticamente generado del mismo nombre, después el trustpoint
salva el certificado del servidor de certificados. Después de que el router detecte que un trustpoint se está utilizando para salvar
el certificado del servidor de certificados, el trustpoint es bloqueado para no poderlo modificarse.
Antes de configurar el servidor de certificados usted puede realizar el siguiente:
• Cree y configure manualmente este trustpoint (usando crypto pki trustpoint el comando), que permite que usted
especifique un par clave de la alternativa RSA (usando rsakeypair el comando).
• Especifique que el par clave inicial del autoenrollment está generado en un dispositivo específico, tal como un Token
USB configurado y disponible, usando on el comando.
Observeel trustpoint automáticamente generado y el certificado de servidor de certificados no está disponible para la identidad
del dispositivo del servidor de certificados. Así, cualquier comando line interface(cli) (tal como ip http secure-trustpoint el
comando) que está utilizado para especificar el trustpoint de CA para obtener los Certificados y para autenticar el
certificado de cliente de conexión debe señalar a un trustpoint adicional configurado en el dispositivo del servidor de
certificados.
Si el servidor es un servidor del certificado raíz, utiliza los pares claves RSA y varios otros atributos para generar un certificado
autofirmado. El certificado de CA asociado tiene las Extensiones dominantes siguientes del uso — firma digital, muestra del
certificado, y muestra CRL.
Después de que se genere el certificado de CA, los atributos pueden ser cambiados solamente si se destruye el servidor de
certificados.
Observeel trustpoint del servidor de certificados A no debe ser alistado automáticamente usando auto-enroll el comando. La
inscripción inicial del servidor de certificados debe ser iniciada manualmente y las funciones automáticas en curso de
la renovación se pueden configurar con auto-rollover el comando. Para más información sobre las funciones
automáticas de la renovación, vea la sección “certificado de CA y renovación de clave automáticos.”
Lista de Revocación de Certificados (CRLs)
Por abandono, los CRL se publican una vez cada 168 horas (1 semana de calendario). Para especificar un valor con excepción
del valor predeterminado para publicar el CRL, ejecute lifetime crl el comando. Después de que se publique el CRL, se escribe
a la ubicación de la base de datos especificada como ca-label.crl, donde ca-label está el nombre del servidor de certificados.
Los CRL se pueden distribuir con el SCEP, que es el método predeterminado, o un CRL Distribution Point (CDP), si están
configurados y disponible. Si usted configura un CDP, utilice cdp-url el comando de especificar la ubicación CDP. Si cdp-url el
comando no se especifica, la Extensión del certificado CDP no se incluye en los Certificados que son publicados por el servidor
de certificados. Si la ubicación CDP no se especifica, los clientes del Cisco IOS PKI piden automáticamente un CRL del servidor
de certificados con un mensaje SCEP GetCRL. CA entonces vuelve el CRL en un mensaje SCEP CertRep al cliente. Porque se
envuelven todos los mensajes SCEP y PKCS-7 firmados los datos, la extracción SCEP del CRL del servidor de certificados es
costosa y no no altamente scalable. En mismo las Redes grandes, un HTTP CDP proporciona un mejor scalability y se
recomienda si usted tiene muchos dispositivos de peer que marquen los CRL. Usted puede especificar la ubicación CDP por
HTTP URL una cadena simple por ejemplo,
cdp-url http://my-cdp.company.com/filename.crl
El servidor de certificados soporta solamente un CDP; así, todos los Certificados se publican que incluyen el mismo CDP.
Si usted tiene los clientes PKI que no están funcionando con el Cisco IOS Software y que no soportan una petición SCEP
GetCRL y desean utilizar un CDP usted puede configurar un servidor externo para distribuir los CRL y para configurar el CDP
para señalar a ese servidor. O, usted puede especificar una petición NON-SCEP para la extracción del CRL del servidor de
certificados especificando cdp-url el comando con el URL en el formato siguiente donde cs-addr está la ubicación del servidor
de certificados:
cdp-url http:///cgi-bin/pkiclient.exe?operation=GetCRLcs-addr
Observesi su Cisco IOS que CA también se configura como su servidor HTTP CDP, especifique su CDP con cdp-url la sintaxis
de los comandoscs-addr de http:///cgi-bin/pkiclient.exe?operation=GetCRL.
Es la responsabilidad del administrador de la red asegurarse de que el CRL es disponible desde la ubicación que se especifica
con cdp-url el comando.
Para obligar al parser a conservar el signo de interrogación incrustado en la ubicación especificada, ingrese Ctrl-v antes del
signo de interrogación. Si estas medidas no se toman, la extracción CRL con el HTTP devuelve un mensaje de error.
La ubicación CDP puede ser cambiada después de que el servidor de certificados se esté ejecutando con cdp-url el comando.
Los nuevos Certificados contienen la ubicación actualizada CDP, pero los certificados existentes no se reeditan con la ubicación
nuevamente especificada CDP. Cuando se publica un nuevo CRL, el servidor de certificados utiliza su CRL ocultado corriente
para generar un nuevo CRL. (Cuando se reinicia el servidor de certificados, recarga el CRL actual de la base de datos.) Un
nuevo CRL no puede ser publicado a menos que haya expirado el CRL actual. Después de que expire el CRL actual, se publica
un nuevo CRL solamente después que un certificado se revoca del CLI.
Condiciones de Error del Servidor de Certificados
En el lanzamiento, el servidor de certificados marca la configuración actual antes de publicar cualesquiera Certificados. Señala
las condiciones de error sabidas más recientes a través show crypto pki server de la salida de comando. Los errores del
ejemplo pueden incluir un de los después de las condiciones:
•
Almacenamiento inaccesible
•
Para servidor HTTP que espera
•
Para configuración horaria que espera
Si el servidor de certificados experimenta una falla crítica en cualquier momento, por ejemplo no poder publicar un CRL, el
servidor de certificados ingresa automáticamente a un estado inhabilitado. Este estado permite que el administrador de la red
repare la condición; después de eso, el servidor de certificados vuelve al estado normal anterior.
Inscripción de Certificados Usando un Servidor de Certificados
Funciones de una petición de la inscripción del certificado como sigue:
•
El servidor de certificados recibe la petición de la inscripción de un usuario final, y las acciones siguientes ocurren:
– Una entrada de la petición se crea en la base de datos de la petición de la inscripción con el estado inicial. (Véase
el cuadro 3 para una lista completa de estados de la petición de la inscripción del certificado.)
– El servidor de certificados refiere a la configuración CLI (o al comportamiento predeterminado cualquier momento
un parámetro no se especifica) para determinar la autorización de la petición. Después de eso, el estado de la petición
de la inscripción se pone al día en la base de datos de la petición de la inscripción.
• En cada interrogación SCEP para una respuesta, el servidor de certificados examina la solicitud actual y realiza una de
las acciones siguientes:
– Responde al usuario final con “pendiente” o el estado “negado”.
– Genera y firma el certificado apropiado y salva el certificado en la base de datos de la petición de la inscripción.
Si la conexión del cliente se ha cerrado, el servidor de certificados espera al cliente para pedir otro certificado.
Toda la transición de las peticiones de la inscripción a través de los estados de la inscripción del certificado que se definen en el
cuadro 3. Para ver las peticiones actuales de la inscripción, utilice crypto pki server request pkcs10 el comando.
Estado de la inscripción del
certificado
Descripción
autorizado
El servidor de certificados ha autorizado la petición.
negado
El servidor de certificados ha negado el pedido las razones de la
política.
concedido
La base de CA ha generado el certificado apropiado para el pedido
de certificado.
inicial
La petición ha sido creada por el servidor SCEP.
malformado
El servidor de certificados ha determinado que la petición es
inválida por las razones criptográficas.
pendiente
La petición de la inscripción se debe validar manualmente por el
administrador de la red.
Inscripción SCEP
Se tratan todas las peticiones SCEP mientras que las nuevas peticiones de la inscripción del certificado, incluso si la petición
especifica los asuntos o un par clave público duplicados como pedido de certificado anterior.
Tipos de Servidores CA: Autoridades Subordinadas y de Registro (RAs)
Los servidores de CA tienen la flexibilidad para ser configurado como un servidor de certificados subordinado o servidor de
certificados RA-MODE.
¿Por qué configure CA subordinado?
Un servidor de certificados subordinado proporciona aun así las características como servidor del certificado raíz. Los pares
claves de la raíz RSA son extremadamente importantes en una jerarquía PKI, y es a menudo ventajoso mantenerlos offline o
archivados. Para soportar este requisito, las jerarquías PKI permiten el subordinado CA que han sido firmadas por la autoridad
de la raíz. De esta manera, la autoridad de la raíz se puede mantener offline (excepto publicar las actualizaciones ocasionales
CRL), y CA subordinado se puede utilizar durante el funcionamiento normal.
¿Por qué configure un servidor de certificados RA-MODE?
Un servidor de certificados Cisco IOS se puede configurar para que se ejecute en modo RA. Una RA descarga las
responsabilidades de autenticación y autorización de una CA. Cuando la RA recibe una solicitud de inscripción manual o SCEP,
el administrador puede rechazarla o concederla en función de la política local. Si se concede la petición, se remite a CA de
publicación, y CA genera automáticamente el certificado y lo vuelve al RA. El cliente puede recuperar más adelante el
certificado concedido del RA.
Un RA es la autoridad encargada de la grabación o de verificar alguno o todos los datos requeridos para que CA publique los
Certificados. En muchos casos CA emprende todo el RA funciona sí mismo, pero donde CA actúa sobre una área geográfica
amplia o cuando hay problemas de seguridad sobre exponer CA para dirigir el acceso a la red, puede ser administrativo
recomendable delegar algunas de las tareas a un RA y dejar CA para concentrar en sus tareas primarias de los Certificados de
firma y de los CRL.
Compatibilidad del servidor de CA
En el Cisco IOS Release 15.1(2)T, las nuevas funciones fueron introducidas que permiten que el servidor IOS CA en el modo
RA interopere con más de un tipo de servidor CA. Vea “configurando un servidor de certificados para ejecutarse en la sección
del modo RA” para más información.
Certificado de CA Automático y Renovación de Llave
Los CA — raíz CA, CA subordinados, y RA-MODE CA — como sus clientes, tienen los Certificados y pares claves con las
fechas de vencimiento que necesitan ser reeditadas cuando el certificado y el par clave actuales están a punto de expirar.
Cuando están expirando un certificado y el par clave de CA de la raíz debe generar un certificado y un par clave uno mismofirmados de la renovación. Si están expirando CA subordinado o un certificado y el par clave RA-MODE CA, pide un certificado
y un par clave de la renovación de su CA superior, obteniendo Certificados uno mismo-firmados de la renovación de CA del
superior los nuevos al mismo tiempo. CA debe distribuir el nuevos certificado y claves de la renovación de CA demasiado todos
sus pares. Este proceso, llamado renovación, permite la operación continua de la red mientras que los CA y sus clientes están
conmutando de un certificado de CA y de un par clave de expiración a un nuevos certificado de CA y par clave.
La renovación confía en los requisitos de la infraestructura PKI de las relaciones de confianza y de los relojes sincronizados.
Las relaciones de confianza PKI permiten que (1) el nuevo certificado de CA sean autenticados, y (2) la renovación que se
logrará automáticamente sin la pérdida de Seguridad. Los relojes sincronizados permiten que la renovación sea coordinada en
su red.
Renovación automática del certificado de CA: Cómo funciona
El servidor de CA debe tener renovación configurada. Todos los niveles de CA deben ser alistados y haber habilitado autorollover automáticamente. Los clientes de CA soportan la renovación automáticamente cuando están alistados
automáticamente. Para más información sobre los clientes y la renovación automática, vea la sección “inscripción del certificado
automática” en el módulo la “que configura inscripción del certificado para un PKI” de la guía de configuración de seguridad:
Conectividad segura.
Después de que los CA tengan renovación habilitada y alistan a sus clientes automáticamente, hay tres etapas al proceso
automático de la renovación del certificado de CA.
Etapa una: Certificado de CA y par clave activos solamente
En la etapa una, hay un certificado de CA y un par clave activos solamente.
Etapa dos: Certificado de CA de la renovación y generación de par clave y distribución
En la etapa dos, se generan y se distribuyen el certificado de CA y el par clave de la renovación. CA superior genera un
certificado y un par clave de la renovación. Después de que CA guarde con éxito su configuración activa, CA está listo para
responder a los pedidos de cliente para el certificado y el par clave de la renovación. Cuando CA superior recibe una petición el
nuevo certificado de CA y el par clave de un cliente, CA responde enviando el nuevos certificado de CA y par clave de la
renovación al cliente solicitante. Los clientes salvan el certificado de CA y el par clave de la renovación.
Observecuando CA genera su certificado y par clave de la renovación, debe poder salvar su configuración activa. Si se ha
alterado la configuración actual, el guardar del certificado y del par clave de la renovación no sucede automáticamente.
En este caso, el administrador debe salvar la configuración manualmente o se pierde la información de la renovación.
Etapa tres: El certificado de CA y el par clave de la renovación se convierten en el certificado de CA y el par clave
activos
En la etapa tres, el certificado de CA y el par clave de la renovación se convierten en el certificado de CA y el par clave activos.
Se borran todos los dispositivos que han salvado un certificado de CA válido de la renovación retitulan el certificado de la
renovación al certificado activo y el certificado y el par clave una vez que-activos.
Observedespués de la renovación del certificado de CA, usted puede observar la desviación siguiente a partir del curso de
la vida y del tiempo de renovación usuales del certificado:
•
El curso de la vida de los Certificados publicados durante la renovación es más bajo que el valor preconfigurado.
• En las condiciones específicas, el tiempo de la renovación puede ser inferior al porcentaje configurado del curso de la
vida real. La diferencia observada puede estar del hasta 20% en caso de que el curso de la vida del certificado sea menos
de una hora.
Estas diferencias son normales, y resultado jitter (fluctuación del tiempo aleatorio) de introducido por el algoritmo en el servidor
de certificados. Se realiza esta tarea de evitar a los hosts que participan al PKI sincroniza su temporizador de la inscripción, que
podría dar lugar a la congestión en el servidor de certificados.
Observe las fluctuaciones del curso de la vida que ocurren no afectan a funcionamiento apropiado del PKI, puesto
que las diferencias dan lugar siempre a un curso de la vida más corto, así sigue habiendo dentro del curso de la
vida configurado máximo para los Certificados.
Soporte SHA-2 para especificar una función de troceo criptográfica
Algoritmo de troceo seguro (el soporte SHA)-2 permite que un usuario especifique una función de troceo criptográfica para los
servidores de certificados y los clientes del Cisco IOS. Las funciones de troceo criptográficas que pueden ser especificadas son
el algoritmo condensado de mensaje 5 (MD5), SHA-1, SHA-256, SHA-384, o SHA-512.
Vea “configurando la sección de un servidor de certificados subordinado” para más información sobre especificar hash (Catrustpoint) y hash los comandos (del cs-servidor) que se utilicen para implementar esta característica.
Cómo Configurar e Implementar Cisco IOS Certificate Server
•
Generación de un Par de Llaves RSA del Servidor de Certificados
•
Configuración de los Servidores de Certificados
•
Configuración de la Funcionalidad del Servidor de Certificados
•
Trabajo con la Renovación Automática del Certificado de la CA
•
Mantenimiento, Verificación y Troubleshooting del Servidor de Certificados, Certificados y CA
Generación de un Par de Llaves RSA del Servidor de Certificados
Realice esta tarea de generar manualmente un par clave RSA para el servidor de certificados. Manualmente la generación de
un par clave del servidor de certificados RSA permite que usted especifique el tipo de par clave que usted quiere generar, que
cree un par clave exportable para los objetivos de backup, que especifique la ubicación de almacenamiento del par clave, o que
especifique la ubicación de la generación de claves.
Si usted está funcionando con las versiones del Cisco IOS Release 12.3(8)T o Anterior, usted puede querer crear un par clave
exportable del servidor de certificados para el respaldo, o el archivo purposes. Si esta tarea no se realiza, el servidor de
certificados genera automáticamente un par clave, que no se marca como exportable. El archivar automático del certificado de
CA fue introducido en el Cisco IOS Release 12.3(11)T.
A partir de las versiones del Cisco IOS Release 12.4(11)T y Posterior, si su router tiene un Token USB configurado y disponible,
el Token USB se puede utilizar como dispositivo criptográfico además de un dispositivo de almacenamiento. Usando un Token
USB como dispositivo criptográfico permite las operaciones RSA tales como generación de claves, firma, y autenticación de las
credenciales que se realizará en un Token USB. La clave privada nunca sale del Token USB y no es exportable. El clave
pública es exportable. Para los títulos de los documentos específicos sobre configurar un Token USB y la fabricación de él
disponible para utilizar como dispositivo criptográfico, vea que “relacionó la sección de los documentos”.
Notase recomienda que la clave privada esté mantenida una ubicación segura y que usted archiva regularmente la base de
datos de servidor de certificados.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto key generate rsa [general-keys | usage-keys | signature | encryption] []labelkey-labeldel []exportable del []
modulus modulus-sizedel []storage devicename:del []on devicename:
4. crypto key export rsa PEM de la clave-escritura de la etiqueta {terminal | url URL} {3des | des} passphrase
5. crypto key import rsakey-labelpem[usage-keys | signature | encryption] {terminal | url url} []exportabledel []on
devicename: passphrase
6. exit
7. show crypto key mypubkey rsa
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso crypto key generate rsa [
general-keys | usage-keys |
3
Genera el par clave RSA para el servidor de
certificados.
Example:
Router> enable
• Ingrese su contraseña si se le pide que lo
haga.
Example:
Router# configure terminal
signature | encryption] [
label key-label] [exportable
] [modulus modulus-size] [
storage devicename:] [on
devicename:]
Example:
Router (config)# crypto key
generate rsa label mycs
exportable modulus 2048
•
storage La palabra clave especifica la
ubicación de almacenamiento dominante.
• Al especificar un nombre de escritura de la
etiqueta especificando key-label el argumento,
usted debe utilizar el mismo nombre para la
escritura de la etiqueta que usted planea
utilizar para el servidor de certificados (con
crypto pki server cs-label el comando). Si
key-label un argumento no se especifica, se
utiliza el valor predeterminado, que es el
nombre de dominio completo (FQDN) del
router.
Si el par clave exportable RSA se genera
manualmente después de que el certificado de CA
se haya generado, y antes de publicar no
shutdown el comando, después utilice crypto ca
export pkcs12 el comando de exportar un archivo
del PKCS12 que contenga el certificado de
servidor de certificados y la clave privada.
• Por abandono, los tamaños del módulo de
una clave de CA son 1024 bits. El módulo
recomendado para una clave de CA es 2048
bits. El rango para los tamaños del módulo de
una clave de CA es a partir 350 a 4096 bits.
•
on La palabra clave especifica que el par
clave RSA está creado en el dispositivo
especificado, incluyendo un token del Bus
serie universal (USB), un disco local, o un
NVRAM. El nombre del dispositivo es seguido
por los dos puntos (:).
Las clavesde la nota creadas en un Token
USB deben ser 2048 bits o menos.
Paso crypto key export rsa keylabel pem {terminal | url
4
(Opcional) exporta el par clave generado RSA.
url} {3des | des} passphrase Permite que usted exporte las claves generadas.
Example:
Router (config)# crypto key
export rsa mycs pem url
nvram: 3des PASSWORD
Paso crypto key import rsa keylabel pem [usage-keys |
5
signature | encryption] {
terminal | url url} [
exportable] [on devicename:]
passphrase
Example:
Router (config)# crypto key
import rsa mycs2 pem url
nvram:mycs PASSWORD
Par clave (opcional) de las importaciones RSA.
Para crear las claves importadas en un Token
USB, utilice on la palabra clave y especifique la
ubicación del dispositivo apropiada.
Si usted exportó las claves RSA usando
exportable la palabra clave y usted quiere
cambiar el par clave RSA a nonexportable,
importe la clave de nuevo al servidor de
certificados sinexportable la palabra clave. La
clave no se puede exportar otra vez.
Paso exit
6
Sale de la configuración global.
Example:
Router (config)# exit
Paso show crypto key mypubkey rsa Visualiza los claves públicas RSA de su router.
7
Example:
Router# show crypto key
mypubkey rsa
Ejemplos
El siguiente ejemplo genera un par clave general del uso 1024-bit RSA en un Token USB con la escritura de la etiqueta el "ms2"
con los mensajes de debugging del motor de criptografía mostrados:
Router(config)# crypto key generate rsa on usbtoken0 label ms2 modulus 1024
The name for the keys will be: ms2
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be on-token, non-exportable...
Jan 7 02:41:40.895: crypto_engine: Generate public/private keypair [OK]
Jan 7 02:44:09.623: crypto_engine: Create signature
Jan 7 02:44:10.467: crypto_engine: Verify signature
Jan 7 02:44:10.467: CryptoEngine0: CRYPTO_ISA_RSA_CREATE_PUBKEY(hw)(ipsec)
Jan 7 02:44:10.467: CryptoEngine0: CRYPTO_ISA_RSA_PUB_DECRYPT(hw)(ipsec)
Ahora, las claves del en-token etiquetadas el "ms2" se pueden utilizar para la inscripción.
El siguiente ejemplo muestra la importación acertada de una clave de encripción a los Token USB configurados y disponibles:
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# crypto key import rsa encryption on usbtoken0 url nvram:e password
% Importing public Encryption key or certificate PEM file...
filename [e-encr.pub]?
Reading file from nvram:e-encr.pub
% Importing private Encryption key PEM file...
Source filename [e-encr.prv]?
Reading file from nvram:e-encr.prv
% Key pair import succeeded.
Configuración de los Servidores de Certificados
•
Configuración de un Servidor de Certificados
•
Configuración de un Servidor de Certificados Subordinado
•
Configuración de un Servidor de Certificados para Ejecutarse en el Modo RA
• Configuración del Servidor de Certificado Root para Delegar las Tareas de Inscripción al Servidor de Certificados de
Modo RA
Requisitos previos para la renovación automática del certificado de CA
Al configurar un servidor de certificados, para que la renovación automática del certificado de CA se ejecute con éxito, los
requisitos previos siguientes son aplicables para sus servidores de CA:
•
Usted debe ser Cisco IOS Release 12.4(2)T corriente o una versión posterior en sus servidores de CA.
• Su servidor de CA debe ser habilitado y de configuración completa con un Time Of Day confiable, un par clave
disponible, un certificado de CA uno mismo-firmado, válido asociado al par clave, un CRL, un dispositivo de almacenamiento
accesible, y un servidor activo HTTP/SCEP.
• Los clientes de CA deben haber completado con éxito el enlistamiento automático y tener autoenrollment habilitado con
el mismo servidor de certificados.
Observesi usted es el Cisco IOS corriente 12.4(2)T o versiones anteriores, sólo su raíz CA soporta las funciones automáticas
de la renovación del certificado de CA. El Cisco IOS 12.4(4)T o versiones posteriores soporta todos los CA — arraigue los
CA, los CA subordinados, y RA-MODE CA.
Restricciones para la renovación automática del certificado de CA
Al configurar un servidor de certificados, para que la renovación automática del certificado de CA se ejecute con éxito, las
restricciones siguientes son aplicables:
• Se debe utilizar SCEP para soportar la renovación. Cualquier dispositivo que aliste con el PKI usando una alternativa al
SCEP pues el protocolo o el mecanismo de la administración de certificados (tal como perfiles de la inscripción, Registro
manual, o inscripción TFTP) no es poder aprovecharse de las funciones de la renovación proporcionadas por el SCEP.
• Si usted tiene archivo automático configurado en su red y el archivo falla, la renovación no ocurre porque el servidor de
certificados no ingresa el estado de la renovación, y el certificado y el par clave de la renovación no se guarda
automáticamente.
Configuración de un Servidor de Certificados
Realice esta tarea de configurar un servidor de certificados del Cisco IOS y de habilitar la renovación automática.
PASOS SUMARIOS
1. enable
2. configure terminal
3. ip http server
4. crypto pki server cs-label
5. no shutdown
6. auto-rollover []time-period
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso ip http server
3
Habilita el servidor HTTP en su sistema.
Paso crypto pki server cslabel
4
Define una escritura de la etiqueta para el servidor de
certificados y ingresa al modo de configuración del
servidor de certificados.
Example:
Router> enable
•
Ingrese su contraseña si se le pide que lo haga.
Example:
Router# configure
terminal
Example:
Router(config)# ip http
server
Example:
Router(config)# crypto
pki server server-pki
Observesi usted generó manualmente un par
clave RSA, cs-label el argumento debe hacer
juego el nombre del par clave.
Paso no shutdown
5
(Opcional) habilita el servidor de certificados.
Paso auto-rollover [timeperiod]
6
(Opcional) Habilita la función de renovación automática
de certificados de CA.
Example:
Router(cs-server)# no
shutdown
Example:
Router(cs-server)#
Observesolamente el uso este comando en este
momento si usted quiere utilizar las funciones
predeterminadas preconfiguradas. Es decir, no
publique este comando apenas con todo si
usted planea cambiar las configuraciones
predeterminadas unas de los tal y como se
muestra en de la tarea las “que configura
funciones del servidor de certificados.”
• time-period - el valor predeterminado son 30
días.
auto-rollover 90
Ejemplos
El siguiente ejemplo muestra cómo configurar el servidor de certificados “Ca”:
Router(config)# crypto pki server ca
Router(cs-server)# no shutdown
% Once you start the server, you can no longer change some of
% the configuration.
Are you sure you want to do this? [yes/no]: yes
% Generating 1024 bit RSA keys ...[OK]
% Certificate Server enabled.
Router(cs-server)# end
!
Router# show crypto pki server
Certificate Server ca:
Status: enabled, configured
CA cert fingerprint: 5A856122 4051347F 55E8C246 866D0AC3
Granting mode is: manual
Last certificate issued serial number: 0x1
CA certificate expiration timer: 19:44:57 GMT Oct 14 2006
CRL NextUpdate timer: 19:45:25 GMT Oct 22 2003
Current storage dir: nvram:
Database Level: Complete - all issued certs written as <serialnum>.cer
El siguiente ejemplo muestra cómo habilitar la renovación automatizada del certificado de CA en los mycs del servidor con autorollover el comando. show crypto pki server El comando muestra que la renovación automática se ha configurado en los
mycs del servidor con un período de la coincidencia de 25 días.
Router(config)# crypto pki server mycs
Router(cs-server)# auto-rollover 25
Router(cs-server)# no shut
%Some server settings cannot be changed after CA certificate generation.
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
% Exporting Certificate Server signing certificate and keys...
% Certificate Server enabled.
Router(cs-server)#
Router# show crypto pki server
Certificate Server mycs:
Status:enabled
Server's configuration is locked
(enter "shut" to unlock it)
Issuer name:CN=mycs
CA cert fingerprint:70AFECA9 211CDDCC 6AA9D7FF 3ADB03AE
Granting mode is:manual
Last certificate issued serial number:0x1
CA certificate expiration timer:00:49:26 PDT Jun 20 2008
CRL NextUpdate timer:00:49:29 PDT Jun 28 2005
Current storage dir:nvram:
Database Level:Minimum - no cert data written to storage
Auto-Rollover configured, overlap period 25 days
Autorollover timer:00:49:26 PDT May 26 2008
Configuración de un Servidor de Certificados Subordinado
Realice esta tarea de configurar un servidor de certificados subordinado para conceder todos o cierto SCEP o los pedidos de
certificado manuales y para habilitar la renovación automática.
Restricciones
• Usted debe ser Cisco IOS Release 12.3(14)T corriente o una versión posterior. (Las versiones antes del Cisco IOS
Software Release 12.3(14)T soportan solamente un servidor de certificados y ninguna jerarquía; es decir, los servidores de
certificados subordinados no se soportan.)
•
El servidor del certificado raíz debe ser servidor de certificados del Cisco IOS.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto pki trustpoint nombre
4. enrollment url URL
5. hash {md5 | sha1 | sha256 | sha384 | sha512}
6. exit
7. crypto pki server escritura de la etiqueta del cs
8. issuer name DN-string
9. mode sub-cs
10. auto-rollover []time-period
11 grant auto rollover {ca-cert | ra-cert}
12. hash {md5 | sha1 | sha256 | sha384 | sha512}
13. no shutdown
PASOS DETALLADOS
Paso 1
Comando o acción
Propósito
enable
Habilita el modo EXEC privilegiado.
Example:
Router> enable
Paso 2
configure terminal
• Ingrese su contraseña si se le pide que lo
haga.
Ingresa en el modo de configuración global.
Example:
Router# configure
terminal
Paso 3
crypto pki trustpoint
name
Example:
Enter configuration
commands, one per line.
End with CNTL/Z.
Paso 4
enrollment url url
Example:
Router (ca-trustpoint)#
enrollment url
http://192.0.2.6
Declara el trustpoint que su servidor de certificados
subordinado debe utilizar y ingresa al modo de
configuración del Ca-trustpoint.
Especifica la URL de inscripción del servidor de
emisión de certificados CA (servidor de certificados
raíz).
Paso 5
hash {md5 | sha1 |
(Opcional) especifica la función de troceo para la
sha256 | sha384 | sha512 firma que el cliente del Cisco IOS utiliza para firmar
}
sus certificados autofirmados.
Example:
Router (ca-trustpoint)#
hash sha384
• md5 — Especifica ese MD5, la función de
troceo predeterminada, se utiliza.
• sha1 — Especifica que la función de troceo
SHA-1 está utilizada.
• sha256 — Especifica que la función de
troceo del SHA-256 está utilizada.
• sha384 — Especifica que la función de
troceo del SHA-384 está utilizada.
• sha512 — Especifica que la función de
troceo del SHA-512 está utilizada.
Paso 6
exit
Sale del modo de configuración de ca-trustpoint.
Example:
Router(config)#
Paso 7
crypto pki server cslabel
Example:
% Importing public
Encryption key or
certificate PEM file...
Paso 8
issuer name DN-string
Example:
filename [e-encr.pub]? #
issuer-name CN=sub CA,
O=Cisco, C=us
Paso 9
mode sub-cs
Example:
Reading file from
nvram:e-encr.pub
Paso 10 auto-rollover [timeperiod]
Example:
Router(cs-server)# autorollover 90
Habilita un servidor de certificados de Cisco IOS e
ingresa en el modo de configuración de cs-server.
Observeel servidor subordinado debe tener
el mismo nombre que el trustpoint que fue
creado en el paso 3 antedicho.
(Opcional) especifica el DN como el nombre del
emisor de CA para el servidor de certificados.
Coloca el servidor pki en el modo de servidor del
sub-certificado.
(Opcional) Habilita la función de renovación
automática de certificados de CA.
• time-period - el valor predeterminado son 30
días.
Paso 11 grant auto rollover {ca- (Opcional) Concede automáticamente las
cert | ra-cert}
solicitudes de reinscripción a las CAs y CAs del
modo RA subordinadas sin intervención del
Example:
Router(cs-server)# grant operador.
auto rollover ca-cert
• ca-cert — Especifica que el certificado
subordinado de la renovación de CA está
concedido automáticamente.
• ra-cert — Especifica que el certificado de la
renovación RA-MODE CA está concedido
automáticamente.
Observesi éste es la primera vez que un
servidor de certificados subordinado está
habilitado y alistado, el pedido de certificado
debe ser concedido manualmente.
Paso 12 hash {md5 | sha1 |
(Opcional) fija la función de troceo para la firma que
sha256 | sha384 | sha512 el Certificate Authority (CA) del Cisco IOS utiliza
}
para firmar todos los Certificados publicados por el
Example:
Router(cs-server)# hash
sha384
servidor.
• md5 — Especifica ese MD5, la función de
troceo predeterminada, se utiliza.
• sha1 — Especifica que la función de troceo
SHA-1 está utilizada.
• sha256 — Especifica que la función de
troceo del SHA-256 está utilizada.
• sha384 — Especifica que la función de
troceo del SHA-384 está utilizada.
• sha512 — Especifica que la función de
troceo del SHA-512 está utilizada.
Paso 13 no shutdown
Example:
Router(cs-server)# no
shutdown
Los permisos o vuelven a permitir el servidor de
certificados.
Si éste es la primera vez que un servidor de
certificados subordinado está habilitado, el servidor
de certificados genera la clave y obtiene su
certificado de firma del servidor del certificado raíz.
Ejemplos
Si el servidor de certificados no puede habilitar o si el servidor de certificados tiene problema que maneja la petición se ha
configurado que, usted puede utilizar debug crypto pki server el comando de resolver problemas su configuración tal y como
se muestra en de los siguientes ejemplos (reloj no fijado y trustpoint no configurado):
Router# debug crypto pki server
Reloj no fijado
Router(config)# crypto pki server sub
Router(cs-server)# mode sub-cs
Router(cs-server)# no shutdown
%Some server settings cannot be changed after CA certificate generation.
% Please enter a passphrase to protect the private key % or type Return to exit
Password:
*Jan
6 20:57:37.667: CRYPTO_CS: enter FSM: input state initial, input signal no shut
Re-enter password:
% Generating 1024 bit RSA keys ...
*Jan
6 20:57:45.303: CRYPTO_CS: starting enabling checks
*Jan
6 20:57:45.303: CRYPTO_CS: key 'sub' does not exist; generated automatically[OK]
% Time has not been set. Cannot start the Certificate server
Trustpoint no configurado
Router(config)# crypto pki server sub
Router(cs-server)# mode sub-cs
Router(cs-server)# no shutdown
%Some server settings cannot be changed after CA certificate generation.
% Please enter a passphrase to protect the private key or type Return to exit
Password:
Jan
6 21:00:15.961: CRYPTO_CS: enter FSM: input state initial, input signal no shut.
Jan
6 21:03:34.309: CRYPTO_CS: enter FSM: input state initial, input signal time set.
Jan
6 21:03:34.313: CRYPTO_CS: exit FSM: new state initial.
Jan
6 21:03:34.313: CRYPTO_CS: cs config has been unlocked
Re-enter password:
% Generating 1024 bit RSA keys ...
Jan
6 21:03:44.413: CRYPTO_CS: starting enabling checks
Jan 6 21:03:44.413: CRYPTO_CS: associated trust point 'sub' does not exist; generated
automatically
Jan
6 21:03:44.417: CRYPTO_CS: key 'sub' does not exist; generated automatically[OK]
Jan
6 21:04:03.993: CRYPTO_CS: nvram filesystem
Jan
6 21:04:04.077: CRYPTO_CS: serial number 0x1 written.
You must specify an enrollment URL for this CA before you can authenticate it.
% Failed to authenticate the Certificate Authority
Si el servidor de certificados no puede obtener su certificado de firma del servidor del certificado raíz, usted puede utilizar
debug crypto pki transactions el comando de resolver problemas su configuración tal y como se muestra en del siguiente
ejemplo:
Router# debug crypto pki transactions
Jan
6 21:07:00.311: CRYPTO_CS: enter FSM: input state initial, input signal time set
Jan
6 21:07:00.311: CRYPTO_CS: exit FSM: new state initial
Jan
6 21:07:00.311: CRYPTO_CS: cs config has been unlocked no sh
%Some server settings cannot be changed after CA certificate generation.
% Please enter a passphrase to protect the private key % or type Return to exit
Password:
Jan
6 21:07:03.535: CRYPTO_CS: enter FSM: input state initial, input signal no shut
Re-enter password:
% Generating 1024 bit RSA keys ...
Jan
6 21:07:10.619: CRYPTO_CS: starting enabling checks
Jan
6 21:07:10.619: CRYPTO_CS: key 'sub' does not exist; generated automatically[OK]
Jan
6 21:07:20.535: %SSH-5-ENABLED: SSH 1.99 has been enabled
Jan
6 21:07:25.883: CRYPTO_CS: nvram filesystem
Jan
6 21:07:25.991: CRYPTO_CS: serial number 0x1 written.
Jan
6 21:07:27.863: CRYPTO_CS: created a new serial file.
Jan
6 21:07:27.863: CRYPTO_CS: authenticating the CA 'sub'
Jan
6 21:07:27.867: CRYPTO_PKI: Sending CA Certificate Request:
GET /cgi-bin/pkiclient.exe?operation=GetCACert&message=sub HTTP/1.0
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Cisco PKI)
Jan 6 21:07:27.867: CRYPTO_PKI: can not resolve server name/IP address
Jan 6 21:07:27.871: CRYPTO_PKI: Using unresolved IP Address 192.0.2.6 Certificate has the
following attributes:
Fingerprint MD5: 328ACC02 52B25DB8 22F8F104 B6055B5B
Fingerprint SHA1: 02FD799D DD40C7A8 61DC53AB 1E89A3EA 2A729EE2
% Do you accept this certificate? [yes/no]:
Jan
6 21:07:30.879: CRYPTO_PKI: http connection opened
Jan 6 21:07:30.903: CRYPTO_PKI: HTTP response header:
HTTP/1.1 200 OK
Date: Thu, 06 Jan 2005 21:07:30 GMT
Server: server-IOS
Content-Type: application/x-x509-ca-cert
Expires: Thu, 06 Jan 2005 21:07:30 GMT
Last-Modified: Thu, 06 Jan 2005 21:07:30 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Accept-Ranges: none
Content-Type indicates we have received a CA certificate.
Jan
6 21:07:30.903: Received 507 bytes from server as CA certificate:
Jan
6 21:07:30.907: CRYPTO_PKI: transaction GetCACert completed
Jan
6 21:07:30.907: CRYPTO_PKI: CA certificate received.
Jan
6 21:07:30.907: CRYPTO_PKI: CA certificate received.
Jan
6 21:07:30.927: CRYPTO_PKI: crypto_pki_authenticate_tp_cert()
Jan 6 21:07:30.927: CRYPTO_PKI: trustpoint sub authentication status = 0 y Trustpoint CA
certificate accepted.%
% Certificate request sent to Certificate Authority
% Enrollment in progress...
Router (cs-server)#
Jan 6 21:07:51.772: CRYPTO_CA: certificate not found
Jan 6 21:07:51.772: CRYPTO_CA: certificate not found
Jan 6 21:07:52.460: CRYPTO_CS: Publishing 213 bytes to crl file nvram:sub.crl
Jan 6 21:07:54.348: CRYPTO_CS: enrolling the server's trustpoint 'sub'
Jan 6 21:07:54.352: CRYPTO_CS: exit FSM: new state check failed
Jan 6 21:07:54.352: CRYPTO_CS: cs config has been locked
Jan 6 21:07:54.356: CRYPTO_PKI: transaction PKCSReq completed
Jan 6 21:07:54.356: CRYPTO_PKI: status:
Jan 6 21:07:55.016: CRYPTO_PKI:
EC188F65 64356C80
Certificate Request Fingerprint MD5: 1BA027DB 1C7860C7
Jan 6 21:07:55.016: CRYPTO_PKI:
0C7BE187 0DFC884D D32CAA75
Certificate Request Fingerprint SHA1: 840DB52C E17614CB
Jan 6 21:07:56.508: CRYPTO_PKI: can not resolve server name/IP address
Jan 6 21:07:56.508: CRYPTO_PKI: Using unresolved IP Address 192.0.2.6
Jan 6 21:07:56.516: CRYPTO_PKI: http connection opened
Jan 6 21:07:59.136: CRYPTO_PKI: received msg of 776 bytes
Jan 6 21:07:59.136: CRYPTO_PKI: HTTP response header:
HTTP/1.1 200 OK
Date: Thu, 06 Jan 2005 21:07:57 GMT
Server: server-IOS
Content-Type: application/x-pki-message
Expires: Thu, 06 Jan 2005 21:07:57 GMT
Last-Modified: Thu, 06 Jan 2005 21:07:57 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Accept-Ranges: none
Jan 6 21:07:59.324: The PKCS #7 message has 1 verified signers.
Jan 6 21:07:59.324: signing cert: issuer=cn=root1
Jan 6 21:07:59.324: Signed Attributes:
Jan 6 21:07:59.328: CRYPTO_PKI: status = 102: certificate request pending
Jan 6 21:08:00.788: CRYPTO_PKI: can not resolve server name/IP address
Jan 6 21:08:00.788: CRYPTO_PKI: Using unresolved IP Address 192.0.2.6
Jan 6 21:08:00.796: CRYPTO_PKI: http connection opened
Jan 6 21:08:11.804: CRYPTO_PKI: received msg of 776 bytes
Jan 6 21:08:11.804: CRYPTO_PKI: HTTP response header: HTTP/1.1 200 OK
Date: Thu, 06 Jan 2005 21:08:01 GMT
Server: server-IOS
Content-Type: application/x-pki-message
Expires: Thu, 06 Jan 2005 21:08:01 GMT
Last-Modified: Thu, 06 Jan 2005 21:08:01 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Accept-Ranges: none
Jan
6 21:08:11.992: The PKCS #7 message has 1 verified signers.
Jan
6 21:08:11.992: signing cert: issuer=cn=root1
Jan
6 21:08:11.996: Signed Attributes:
Jan
6 21:08:11.996: CRYPTO_PKI: status = 102: certificate request pending
Jan
6 21:08:21.996: CRYPTO_PKI: All sockets are closed for trustpoint sub.
Jan
6 21:08:31.996: CRYPTO_PKI: All sockets are closed for trustpoint sub.
Jan
6 21:08:41.996: CRYPTO_PKI: All sockets are closed for trustpoint sub.
Jan
6 21:08:51.996: CRYPTO_PKI: All sockets are closed for trustpoint sub.
Jan
6 21:09:01.996: CRYPTO_PKI: All sockets are closed for trustpoint sub.
Jan
6 21:09:11.996: CRYPTO_PKI: resend GetCertInitial, 1
Jan
6 21:09:11.996: CRYPTO_PKI: All sockets are closed for trustpoint sub.
Jan
6 21:09:11.996: CRYPTO_PKI: resend GetCertInitial for session: 0
Jan
6 21:09:11.996: CRYPTO_PKI: can not resolve server name/IP address
Jan
6 21:09:11.996: CRYPTO_PKI: Using unresolved IP Address 192.0.2.6
Jan 6 21:09:12.024: CRYPTO_PKI: http connection opened% Exporting Certificate Server
signing certificate and keys...
Jan
6 21:09:14.784: CRYPTO_PKI: received msg of 1611 bytes
Jan
6 21:09:14.784: CRYPTO_PKI: HTTP response header:
HTTP/1.1 200 OK
Date: Thu, 06 Jan 2005 21:09:13 GMT
Server: server-IOS
Content-Type: application/x-pki-message
Expires: Thu, 06 Jan 2005 21:09:13 GMT
Last-Modified: Thu, 06 Jan 2005 21:09:13 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Accept-Ranges: none
Jan
6 21:09:14.972: The PKCS #7 message has 1 verified signers.
Jan
6 21:09:14.972: signing cert: issuer=cn=root1
Jan
6 21:09:14.972: Signed Attributes:
Jan
6 21:09:14.976: CRYPTO_PKI: status = 100: certificate is granted
Jan
6 21:09:15.668: The PKCS #7 message contains 1 certs and 0 crls.
Jan
6 21:09:15.688: Newly-issued Router Cert: issuer=cn=root serial=2
Jan
6 21:09:15.688: start date: 21:08:03 GMT Jan 6 2005
Jan
6 21:09:15.688: end date: 21:08:03 GMT Jan 6 2006
Jan
6 21:09:15.688: Router date: 21:09:15 GMT Jan 6 2005
Jan
6 21:09:15.692: Received router cert from CA
Jan
6 21:09:15.740: CRYPTO_CA: certificate not found
Jan
6 21:09:15.744: CRYPTO_PKI: All enrollment requests completed for trustpoint sub.
Jan
6 21:09:15.744: %PKI-6-CERTRET: Certificate received from Certificate Authority
Jan
6 21:09:15.744: CRYPTO_PKI: All enrollment requests completed for trustpoint sub.
Jan
6 21:09:15.744: CRYPTO_PKI: All enrollment requests completed for trustpoint sub.
Jan 6 21:09:15.748: CRYPTO_CS: enter FSM: input state check failed, input signal cert
configured
Jan
6 21:09:15.748: CRYPTO_CS: starting enabling checks
Jan
6 21:09:15.748: CRYPTO_CS: nvram filesystem
Jan
6 21:09:15.796: CRYPTO_CS: found existing serial file.
Jan
6 21:09:15.820: CRYPTO_CS: old router cert flag 0x4
Jan
6 21:09:15.820: CRYPTO_CS: new router cert flag 0x44
Jan
6 21:09:18.432: CRYPTO_CS: DB version 1
Jan
6 21:09:18.432: CRYPTO_CS: last issued serial number is 0x1
Jan
6 21:09:18.480: CRYPTO_CS: CRL file sub.crl exists.
Jan
6 21:09:18.480: CRYPTO_CS: Read 213 bytes from crl file sub.crl.
Jan
6 21:09:18.532: CRYPTO_CS: SCEP server started
Jan
6 21:09:18.532: CRYPTO_CS: exit FSM: new state enabled
Jan
6 21:09:18.536: CRYPTO_CS: cs config has been locked
Jan
6 21:09:18.536: CRYPTO_PKI: All enrollment requests completed for trustpoint sub.
Si el servidor de certificados no puede habilitar o si el servidor de certificados tiene problema que maneja la petición se ha
configurado que, usted puede utilizar debug crypto pki server el comando de resolver problemas el progreso de una
inscripción. Este comando se puede también utilizar para hacer el debug de raíz CA (vuelta él encendido en raíz CA).
Configuración de un Servidor de Certificados para Ejecutarse en el Modo RA
El servidor de certificados del Cisco IOS puede actuar como RA para Cisco IOS CA u otro otro vendedor CA leyó los detalles en
el paso 8 para más información sobre transparent la opción de palabra clave si se utiliza CA de tercera persona.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto pki trustpoint nombre
4. enrollment url URL
5. subject-name x.500-name
6. exit
7. crypto pki server cs-label
8. mode ra[]transparent
9. auto-rollover []time-period
10. grant auto rollover {ca-cert | ra-cert}
11. no shutdown
12. no shutdown
PASOS DETALLADOS
Paso 1
Comando o acción
Propósito
enable
Habilita el modo EXEC privilegiado.
Example:
Router> enable
Paso 2
configure terminal
• Ingrese su contraseña si se le pide que lo
haga.
Ingresa en el modo de configuración global.
Example:
% Importing private
Encryption key PEM
file... configure
terminal
Paso 3
crypto pki trustpoint
name
Example:
Source filename [eencr.prv]?
Paso 4
enrollment url url
Example:
Router (catrustpoint)#
enrollment url
http://caserver.company.com
Paso 5
subject-name x.500name
Example:
Reading file from
nvram:e-encr.prv
Paso 6
exit
Declara el trustpoint que su servidor de certificados
del modo RA debe utilizar y ingresa al modo de
configuración del Ca-trustpoint.
Especifica la URL de inscripción del servidor de
emisión de certificados CA (servidor de certificados
raíz).
(Opcional) especifica los asuntos que el RA utiliza.
La notaincluye los “cn=ioscs RA” o los
“ou=ioscs RA” en los asuntos de modo que el
servidor de publicación del certificado de CA
pueda reconocer el RA (véase el paso 7 abajo).
Sale del modo de configuración de ca-trustpoint.
Example:
% Key pair import
succeeded.
Paso 7
crypto pki server cslabel
Example:
Router(config)#
Habilita un servidor de certificados de Cisco IOS e
ingresa en el modo de configuración de cs-server.
Observeel servidor de certificados debe tener el
mismo nombre que el trustpoint que fue creado
en el paso 3 antedicho.
Paso 8
mode ra [transparent]
Example:
Router(cs-server)#
Paso 9
Coloca el servidor pki en el modo de servidor de
certificados RA.
Utilice transparent la palabra clave para permitir que
el servidor CA en el modo RA interopere con más de
un tipo de servidor CA. Cuando transparent se utiliza
la palabra clave, el mensaje de la inscripción de la
original PKCS-10 re-no se firma y se remite sin
cambiar. Este mensaje de la inscripción hace que el
servidor de certificados IOS RA trabaja con los
servidores de CA como el Microsoft CA server.
auto-rollover [timeperiod]
(Opcional) habilita las funciones automáticas de la
renovación del certificado de CA.
• time-period - el valor predeterminado son 30
días.
Example:
Router(cs-server)#
auto-rollover 90
Paso 10 grant auto rollover {
ca-cert | ra-cert}
Example:
Router(cs-server)#
grant auto rollover
ra-cert
(Opcional) Concede automáticamente las solicitudes
de reinscripción a las CAs y CAs del modo RA
subordinadas sin intervención del operador.
• ca-cert — Especifica que el certificado
subordinado de la renovación de CA está
concedido automáticamente.
• ra-cert — Especifica que el certificado de la
renovación RA-MODE CA está concedido
automáticamente.
Si éste es la primera vez que un servidor de
certificados subordinado está habilitado y alistado, el
pedido de certificado debe ser concedido
manualmente.
Paso 11 no shutdown
Habilita el servidor de certificados.
Example:
% Once you start the
server, you can no
longer change some of
Observedespués de que este comando se
publica, el RA alista automáticamente con el
servidor del certificado raíz.
Después de que el certificado RA se haya
recibido con éxito, usted debe publicar no
shutdown el comando otra vez, que vuelve a
permitir el servidor de certificados.
Paso 12 no shutdown
Vuelve a permitir el servidor de certificados.
Example:
Router(cs-server)# no
shutdown
Configuración del Servidor de Certificado Root para Delegar las Tareas de Inscripción al Servidor de Certificados
de Modo RA
Realice los pasos siguientes en el router que está funcionando con el servidor de certificados de publicación; es decir, configure
el servidor del certificado raíz que está delegando las tareas de la inscripción al servidor de certificados del modo RA.
La notaque concede las peticiones de la inscripción para un RA es esencialmente el mismo proceso que concediendo los
pedidos de la inscripción los dispositivos del cliente — salvo que las peticiones de la inscripción para un RA se visualizan en la
sección “pedidos de certificado RA” de la salida de comando para crypto pki server info-requests el comando.
PASOS SUMARIOS
1. permiso
2. crypto pki server peticiones de la información de la escritura de la etiqueta del cs
3. crypto pki server req-identificación de la concesión de la escritura de la etiqueta del cs
4. configure terminal
5. crypto pki server cs-label
6. grant ra-auto
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso crypto pki server
cs-label info
2
Visualiza el pedido de certificado excepcional RA.
Example:
% the configuration.
> enable
requests
Example:
Are you sure you
want to do this?
[yes/no]:
Paso crypto pki server
cs-label grant req3
id
Example:
% Generating 1024
bit RSA keys ...[OK]
•
Ingrese su contraseña si se le pide que lo haga.
Observeeste comando se publica en el router que
está funcionando con el servidor de certificados de
publicación.
Concede el pedido de certificado pendiente RA.
Observeporque el servidor de certificados de
publicación delega la tarea de la verificación de la
petición de la inscripción al RA, usted debe prestar la
atención adicional al pedido de certificado RA antes
de concederlo.
Paso configure terminal
4
Ingresa en el modo de configuración global.
Paso crypto pki server
cs-label
5
Habilita un servidor de certificados de Cisco IOS e ingresa
en el modo de configuración de cs-server.
Example:
% Certificate Server
enabled.
Example:
Router(cs-server)#
Paso grant ra-auto
6
Example:
!
(Opcional) especifica que todas las peticiones de la
inscripción de un RA deben ser concedidas
automáticamente.
Observepara que grant ra-auto el comando trabaje,
usted tiene que incluir los “cn=ioscs RA” o los
“ou=ioscs RA” en los asuntos del certificado RA.
(Véase el paso 2 antedicho.)
Pasos Siguientes
Después de que usted haya configurado un servidor de certificados, usted puede utilizar los valores predeterminados
preconfigurados o especificar los valores con el CLI para las funciones del servidor de certificados. Si usted elige especificar los
valores con excepción de los valores por defecto, vea la sección siguiente, “configurando las funciones del servidor de
certificados.”
Configuración de la Funcionalidad del Servidor de Certificados
Después de que usted haya habilitado un servidor de certificados y esté en el modo de configuración del servidor de
certificados, utilice los pasos uces de los en esta tarea de configurar los valores básicos de las funciones del servidor de
certificados con excepción de los valores predeterminados.
Valores predeterminados y valores recomendados del servidor de certificados
Los valores predeterminados para un servidor de certificados se piensan para dirigir una red relativamente pequeña (de cerca
de diez dispositivos). Por ejemplo, las configuraciones de la base de datos son mínimas (con database level minimal el
comando) y el servidor de certificados maneja todas las peticiones CRL con el SCEP. Para redes más grandes, se recomienda
que usted utiliza o la configuración de la base de datos “nombra” o “completo” (según lo descrito en database level el
comando) para los propósitos posibles de la auditoría y de la revocación. Dependiendo de la directiva de la verificación de CRL,
usted debe también utilizar un externo CDP en una red más grande.
Ubicaciones del almacenamiento y de la publicación de archivo del servidor de certificados
Usted tiene la flexibilidad para salvar los tipos de archivo a diversas ubicaciones del almacenamiento y de la publicación.
PASOS SUMARIOS
1. database url root-url
2. database url{cnm | crl | crt | p12 | pem | ser} root-url
3. database url{cnm | crl | crt} publish root-url
4. database level{minimal | names | complete}
5. databaseusernameusername[[]passwordencr-typepassword]
6. database archive {pkcs12 | pem} contraseñapassword encr-typedel [[]]
7. issuer-name DN-string
8. lifetime {ca-certificate | certificate} time
9. lifetime crl time
10. lifetime enrollment-request tiempo
11. cdp-url url
12. no shutdown
PASOS DETALLADOS
Paso 1
Comando o acción
Propósito
database url root-url
Especifica la ubicación primaria donde las entradas
de la base de datos para el servidor de certificados
se escriben.
Example:
Router (cs-server)# database url
tftp://cert-svr-db.company.com
Paso 2
database url {cnm | crl | crt | p12 | pem
| ser} root-url
Example:
Router (cs-server)# database url ser
nvram:
Paso 3
database url {cnm | crl | crt} publish
root-url
Example:
Router (cs-server)# database url crl
publish
tftp://csdb_specific_crl_files.company.com
Paso 4
Si este comando no se especifica, todas las
entradas de la base de datos se escriben al
NVRAM.
Especifica la ubicación de almacenamiento crítica
del archivo del servidor de certificados del tipo de
archivo.
Observesi este comando no se especifica,
todos los archivos críticos se salvan a la
ubicación primaria si están especificados. Si
la ubicación primaria no se especifica,
todos los archivos críticos se salvan al
NVRAM.
Especifica el servidor de certificados publican la
ubicación del tipo de archivo.
Observesi este comando no se especifica,
todos publican los archivos se salvan a la
ubicación primaria si están especificados. Si
la ubicación primaria no se especifica, toda
publica los archivos se salva al NVRAM.
database level {minimal | names | complete Controles salvan a qué tipo de datos en la base de
}
datos de la inscripción del certificado.
Example:
Router (cs-server)# database level
complete
• minimal — Bastante información se salva
para continuar solamente publicando los nuevos
Certificados sin el conflicto; el valor
predeterminado.
• names — Además de la información dada
en el nivel mínimo, el número de serie y los
asuntos de cada certificado.
• complete — Además de la información dada
en los niveles mínimos y de los nombres, cada
certificado publicado se escribe a la base de
datos.
Observe complete la palabra clave presenta
una gran cantidad de información; si se
publica, usted debe también especificar un
servidor TFTP externo en el cual salvar los
datos con database url el comando.
Paso 5
database username username [password
Router# encr-type] password]
(Opcional) fija un nombre de usuario y contraseña
cuando requieren a un usuario acceder una
ubicación de almacenamiento primaria de la base
Example:
Router (cs-server)# database username user de datos de la inscripción del certificado.
password PASSWORD
Paso 6
database archive {pkcs12 | pem} [password [ (Opcional) fija la contraseña de la clave de CA y del
encr-type] password]
archivo del certificado de CA formato y para cifrar el
Example:
Router (cs-server)# database archive pem
archivo.
El valor predeterminado es pkcs12, así que si este
submandato no se configura, autoarchiving
continúa, y se utiliza el formato del PKCS12.
• La contraseña es opcional. Si no se
configura, le indican para la contraseña cuando
se gira el servidor por primera vez.
Notase recomienda que usted quita la
contraseña de la configuración después de
que se acabe el archivo.
Paso 7
Paso 8
Paso 9
issuer-name DN-string
Example:
Router (cs-server)# issuer-name my-server
(Opcional) fija el nombre del emisor de CA al
nombre distintivo especificado (DN-string). El valor
predeterminado es como sigue: issuer-name cn= {
escritura de la etiqueta del cs}.
lifetime {ca-certificate | certificate}
time
(Opcional) especifica el curso de la vida, en los
días, de un certificado de CA o de un certificado.
Example:
Router (cs-server)# lifetime certificate
888
Los valores válidos se extienden a partir de 1 día a
1825 días. El curso de la vida predeterminado del
certificado de CA es 3 años; el curso de la vida
predeterminado del certificado es 1 año. La vida útil
máxima del certificado es 1 mes menos que el curso
de la vida del certificado de CA.
lifetime crl time
(Opcional) define el curso de la vida, en las horas,
del CRL que es utilizado por el servidor de
certificados.
Example:
Router (cs-server)# lifetime crl 333
El valor máximo del curso de la vida es 336 horas (2
semanas). El valor predeterminado es 168 horas (1
semana).
Paso 10 lifetime enrollment-request time
Example:
Router (cs-server)# lifetime enrollmentrequest 888
Paso 11 cdp-url url
Example:
Router (cs-server)# cdp-url http://mycdp.company.com
(Opcional) especifica cuánto tiempo una petición de
la inscripción debe permanecer en la base de datos
de la inscripción antes de ser quitada.
El curso de la vida máximo es 1000 horas.
(Opcional) define la ubicación CDP que se utilizará
en los Certificados que son publicados por el
servidor de certificados.
•
El URL debe ser HTTP URL.
Si usted tiene los clientes PKI que no están
funcionando con el Cisco IOS Software y que no
soportan una petición SCEP GetCRL, utilice el
formato siguiente URL:
http://server.company.com/certEnroll/filename.crl
O, si su servidor de certificados del Cisco IOS
también se configura como su CDP, utilice el
formato siguiente URL
http://cs-addr/cgibin/pkiclient.exe?operation=GetCRL
donde cs-addr está la ubicación del servidor de
certificados.
Para obligar al parser a conservar el signo de
interrogación incrustado en la ubicación
especificada, ingrese Ctrl-v antes del signo de
interrogación. Si estas medidas no se toman, la
extracción CRL con el HTTP devuelve un mensaje
de error.
Observeaunque este comando es opcional,
se recomienda fuertemente para cualquier
escenario de instrumentación.
Paso 12 no shutdown
Example:
Router (cs-server)# no shutdown
Habilita el servidor de certificados.
Usted debe publicar este comando solamente
después que usted ha configurado totalmente su
servidor de certificados.
Ejemplos
El siguiente ejemplo muestra cómo configurar una ubicación CDP en donde los clientes PKI no soportan las peticiones SCEP
GetCRL:
Router(config)# crypto pki server aaa
Router(cs-server)# database level minimum
Router(cs-server)# database url tftp://10.1.1.1/username1/
Router(cs-server)# issuer-name CN=aaa
Router (cs-servidor) # cdp-url http://server.company.com/certEnroll/aaa.crl
Después de que un servidor de certificados se haya habilitado en un router, show crypto pki server el comando visualiza el
producto siguiente:
Router# show crypto pki server
Certificate Server status:enabled, configured
Granting mode is:manual
Last certificate issued serial number:0x1
CA certificate expiration timer:19:31:15 PST Nov 17 2006
CRL NextUpdate timer:19:31:15 PST Nov 25 2003
Current storage dir:nvram:
Database Level:Minimum - no cert data written to storage
Trabajo con la Renovación Automática del Certificado de la CA
•
Inicio Inmediato de la Renovación Automatizada de Certificado de CA
•
Solicitud de Certificado de Renovación de un Cliente de Servidor de Certificados
•
Exportación de un Certificado de Renovación CA
Inicio Inmediato de la Renovación Automatizada de Certificado de CA
Utilice esta tarea de iniciar el proceso automatizado de la renovación del certificado de CA inmediatamente en su raíz CA
servidor.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto pki server cs-label [[]rollover cancel]
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso crypto pki server cslabel [rollover [cancel]]
3
Comienza inmediatamente el proceso de la
renovación del certificado de CA generando un
certificado de CA de la sombra.
Example:
Router> enable
• Ingrese su contraseña si se le pide que lo
haga.
Example:
Router# configure
terminal
Example:
Router(config)# crypto
pki server mycs rollover
Para borrar el certificado y las claves de la
renovación del certificado de CA, utilice cancel la
palabra clave.
Solicitud de Certificado de Renovación de un Cliente de Servidor de Certificados
Utilice esta tarea de pedir el certificado de la renovación de un cliente del servidor de certificados.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto pki server cs-label []rollover request pkcs10 terminal
Comando o acción
Paso
enable
Propósito
1
Example:
Router> enable
Paso
2
configure terminal
Paso
3
crypto pki server cs-label [rollover
request pkcs10 terminal]
Example:
Router# configure terminal
Example:
Router(config)# crypto pki server mycs
rollover request pkcs10 terminal
Habilita el modo EXEC
privilegiado.
• Ingrese su contraseña si
se le pide que lo haga.
Ingresa en el modo de
configuración global.
Pide un certificado de la
renovación del cliente del
servidor.
PASOS DETALLADOS
Ejemplos
El siguiente ejemplo muestra un pedido de certificado de la renovación que es entrado en el servidor:
Router# crypto pki server mycs rollover request pkcs10 terminal
% Enter Base64 encoded or PEM formatted PKCS10 enrollment request.
% End with a blank line or "quit" on a line by itself.
-----BEGIN CERTIFICATE REQUEST----MIIBUTCBuwIBADASMRAwDgYDVQQDEwdOZXdSb290MIGfMA0GCSqGSIb3DQEBAQUA
A4GNADCBiQKBgQDMHeev1ERSs320zbLQQk+3lhV/R2HpYQ/iM6uT1jkJf5iy0UPR
wF/X16yUNmG+ObiGiW9fsASF0nxZw+fO7d2X2yh1PakfvF2wbP27C/sgJNOw9uPf
sBxEc40Xe0d5FMh0YKOSAShfZYKOflnyQR2Drmm2x/33QGol5QyRvjkeWQIDAQAB
oAAwDQYJKoZIhvcNAQEEBQADgYEALM90r4d79X6vxhD0qjuYJXfBCOvv4FNyFsjr
aBS/y6CnNVYySF8UBUohXYIGTWf4I4+sj6i8gYfoFUW1/L82djS18TLrUr6wpCOs
RqfAfps7HW1e4cizOfjAUU+C7lNcobCAhwF1o6q2nIEjpQ/2yfK9O7sb3SCJZBfe
eW3tyCo=
-----END CERTIFICATE REQUEST-----
Exportación de un Certificado de Renovación CA
Utilice esta tarea de exportar un certificado de la renovación de CA.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto pki export trustpoint PEM {terminal | url url} []rollover
PASOS DETALLADOS
Paso
1
Comando o acción
Propósito
enable
Habilita el modo EXEC
privilegiado.
Example:
Router> enable
Paso
2
configure terminal
Paso
3
crypto pki export trustpoint pem {
terminal | url url} [rollover]
Example:
Router# configure terminal
Example:
Router(config)# crypto pki export mycs
pem terminal rollover
• Ingrese su contraseña si se
le pide que lo haga.
Ingresa en el modo de
configuración global.
Exporta un certificado de la
sombra de CA.
Mantenimiento, Verificación y Troubleshooting del Servidor de Certificados, Certificados y CA
•
Administración de la Base de Datos de Solicitudes de Inscripción
•
Remoción de Solicitudes de Inscripción de la Base de Datos de Solicitudes de Inscripción: Ejemplos
•
Eliminación de un Servidor de Certificados
•
Verificación y Troubleshooting del Servidor de Certificados y el Estado CA
•
Verificación de la Información del Certificado CA
Administración de la Base de Datos de Solicitudes de Inscripción
El SCEP soporta dos mecanismos de autenticación de cliente — clave del manual y del preshared. El Registro manual requiere
al administrador en el servidor de CA autorizar específicamente las peticiones de la inscripción; la inscripción usando las claves
del preshared permite que el administrador preauthorize las peticiones de la inscripción generando un contraseña que se puede
utilizar una sola vez (OTP).
Los pasos opcionales uces de los del uso dentro de esta tarea de ayudar a manejar la base de datos de la petición de la
inscripción realizándose funcionan por ejemplo especificar los parámetros de proceso de la inscripción que deben ser utilizados
por el SCEP y controlando el comportamiento en tiempo de ejecución o el servidor de certificados.
PASOS SUMARIOS
1. enable
2. crypto pki servercs-labelgrant{all | req-id}
3. crypto pki servercs-labelreject{all | req-id}
4. crypto pki servercs-labelpasswordgenerate[]minutes
5. crypto pki server cs-label revoke certificate-serial-number
6. crypto pki server cs-label peticiónpkcs10 {url | terminal} [base64 | pem]
7. crypto pki server cs-label info crl
8. crypto pki server cs-label peticiones de la información
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso crypto pki server cs-label
grant {all | req-id}
2
Concede todos o las peticiones específicas
SCEP.
Example:
Router> enable
• Ingrese su contraseña si se le pide que
lo haga.
Example:
Router# crypto pki server mycs
grant all
Paso crypto pki server cs-label
reject Certificate Server ca:
3
Rechaza todos o las peticiones específicas
SCEP.
Paso crypto pki server cs-label
password generate [minutes]
4
Genera un OTP para las peticiones SCEP.
all | req-id}
Router# crypto pki server mycs
reject all
Example:
Router# crypto pki server mycs
password generate 75
• minutes — Longitud del tiempo, en los
minutos, que la contraseña es válida.
Rango de los valores válidos a partir de la 1
a 1440 minutos. El valor por defecto es 60
minutos.
La notasolamente un OTP es en un
momento válido; si se genera un
segundo OTP, el OTP anterior es no
más válido.
Paso crypto pki server cs-label
revoke certificate-serial5
number
Example:
Router# crypto pki server mycs
revoke 3
Revoca un certificado en base de su número
de serie.
• certificate-serial-number — Una de las
opciones siguientes:
– Una cadena con un 0x principal,
que se trata como valor hexadecimal
– Una cadena con un 0 principal y
ningún x, que se trata como octal
– El resto de las cadenas, que se
tratan como decimal
Paso crypto pki server cs-label
request pkcs10 Status:
6
enabled, configured url CA
cert fingerprint: 5A856122
4051347F 55E8C246 866D0AC3
terminal} [base64 | pem]
Example:
Router# crypto pki server mycs
request pkcs10 terminal pem
Agrega manualmente una petición codificado
en base64 o PEM-formatada de la inscripción
del certificado PKCS10 a la base de datos de la
petición.
Después de que se conceda el certificado, se
visualiza en la terminal de la consola usando la
codificación del base64.
• pem — Especifica el certificado que se
devuelve con las encabezados PEM
agregadas automáticamente al certificado
después de que se conceda el certificado,
sin importar si las encabezados PEM fueron
utilizadas en la petición.
• base64 — Especifica el certificado que
se devuelve sin las encabezados del
Privacy Enhanced Mail (PEM), sin importar
si las encabezados PEM fueron utilizadas
en la petición.
Paso crypto pki server cs-label
info crl
7
Visualiza la información con respecto al estatus
del CRL actual.
Example:
Granting mode is: manual
Paso crypto pki server cs-label
info requests
8
Visualiza todas las peticiones excepcionales de
la inscripción del certificado.
Example:
Last certificate issued serial
number: 0x1
Quitando las peticiones de la inscripción pida la base de datos
Después de que el servidor de certificados reciba una petición de la inscripción, el servidor puede dejar la petición en un estado
pendiente, lo rechaza, o lo concede. Las estancias de la petición en la inscripción piden la base de datos para 1 semana hasta
que el cliente sondee el servidor de certificados para el resultado de la petición. Si el cliente sale y nunca sondea el servidor de
certificados, usted puede quitar las peticiones individuales o todas las peticiones de la base de datos.
Utilice esta tarea de quitar las peticiones de la base de datos y de permitir que el servidor sea vuelto a una cuenta nueva en
cuanto a las claves y a los ID de transacciones. También, usted puede utilizar esta tarea de ayudar a resolver problemas a un
cliente SCEP que pueda no comportarse correctamente.
PASOS SUMARIOS
1. enable
2. crypto pki server la escritura de la etiqueta del cs quita {all | la req-identificación}
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso crypto pki server cs-label remove {
all | req-id}
2
Quita las peticiones de la inscripción
de la base de datos de la petición de
la inscripción.
Example:
Router> enable
Example:
CA certificate expiration timer:
19:44:57 GMT Oct 14 2006 crypto pki
server mycs remove 15
• Ingrese su contraseña si se le
pide que lo haga.
Eliminación de un Servidor de Certificados
Los usuarios pueden borrar un servidor de certificados de la configuración PKI si la quieren no más en la configuración.
Típicamente, se está borrando un servidor de certificados subordinado o un RA. Sin embargo, los usuarios pueden borrar un
servidor del certificado raíz si lo están moviendo a otro dispositivo con las claves archivadas RSA.
Realice esta tarea de borrar un servidor de certificados de su configuración PKI.
Observecuando un servidor de certificados se borra, el trustpoint y la clave asociados también se borran.
PASOS SUMARIOS
1. permiso
2. configuró terminal
3. ninguna escritura de la etiqueta del cs crypto del servidor pki
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración
global.
Paso no crypto pki server cs-label
3
Borra un servidor de certificados y un
trustpoint y una clave asociados.
Example:
CRL NextUpdate timer: 19:45:25 GMT
Oct 22 2003 > enable
Example:
Current storage dir: nvram: #
configure terminal
Example:
Database Level: Complete - all issued
certs written as <serialnum>.cer
• Ingrese su contraseña si se le
pide que lo haga.
Verificación y Troubleshooting del Servidor de Certificados y el Estado CA
Utilice los pasos opcionales de siguiente uces de los para verificar el estatus del servidor de certificados o de CA.
PASOS SUMARIOS
1. enable
2. debug crypto pki server
3. dir filesystem:
PASOS DETALLADOS
Comando o
acción
Paso enable
1
Example:
Router> enable
Paso debug crypto
pki server
2
Example:
Router#
Propósito
Habilita el modo EXEC privilegiado.
•
Ingrese su contraseña si se le pide que lo haga.
Permisos que hacen el debug de para un servidor de certificados
crypto PKI.
• Este comando se puede utilizar para monitorear el
progreso de una inscripción y para localizar averías si el
servidor de certificados no puede responder o si el servidor de
certificados tiene problema que maneja la petición se ha
configurado que.
Paso dir filesystem: Visualiza una lista de archivos en un sistema de archivos.
3
• Este comando se puede utilizar para verificar el archivo
Example:
Router
archivado automáticamente del servidor de certificados si
(config)#
ingresaron al comando url de base de datos de señalar a un
crypto pki
sistema de archivo local. Usted debe poder por lo menos ver
trustpoint sub
los archivos “cs-label.ser” y “cs-label.crl” en la base de datos.
Verificación de la Información del Certificado CA
Para obtener la información referente a los Certificados de CA incluyendo el proceso de la renovación del servidor de
certificados, los Certificados de la renovación, y los temporizadores, usted puede utilizar los siguientes comandos uces de los.
Observeestos comandos no son exclusivo sombrear la información del certificado. Si existe ningún certificado de la sombra,
los siguientes comandos visualizan la información activa del certificado.
PASOS SUMARIOS
1. crypto pki certificate chain name
2. crypto pki server cs-label peticiones de la información
3. show crypto pki certificates
4. show crypto pki server
5. show crypto pki trustpoints
PASOS DETALLADOS
crypto pki certificate chain Paso 1 El comando se puede utilizar para ver los detalles de la Cadena de certificados y
para distinguir el certificado activo actual del certificado de la renovación en la Cadena de certificados. El siguiente
ejemplo muestra una Cadena de certificados con un certificado de CA activo y una sombra, o la renovación,
certificado:
Router(config)# crypto pki certificate chain mica
certificate 06
certificate ca 01
! This is the peer's shadow PKI certificate.
certificate rollover 0B
! This is the CA shadow PKI certificate
certificate rollover ca 0A
crypto pki server info requests Paso 2 El comando visualiza toda la inscripción del certificado excepcional pide el
siguiente ejemplo muestra la salida para las peticiones de la información del certificado de la sombra PKI:
Router# crypto pki server myca info requests
Enrollment Request Database:
RA certificate requests:
ReqID
State
Fingerprint
SubjectName
-------------------------------------------------------------RA rollover certificate requests:
ReqID
State
Fingerprint
SubjectName
-------------------------------------------------------------Router certificates requests:
ReqID
State
Fingerprint
SubjectName
-------------------------------------------------------------1
pending
A426AF07FE3A4BB69062E0E47198E5BF hostname=client
Router rollover certificates requests:
ReqID
State
Fingerprint
SubjectName
-------------------------------------------------------------2
pending
B69062E0E47198E5BFA426AF07FE3A4B hostname=client
show crypto pki certificates Paso 3 El comando visualiza la información sobre su certificado, el certificado de la
autoridad de certificación, los Certificados de la sombra, y cualquier Certificados de las autoridades de registro. El
siguiente ejemplo visualiza el certificado del router y el certificado de CA. No hay certificado de la sombra
disponible. Un par clave solo, de fines generales RSA fue generado previamente, y un certificado fue pedido
pero no recibido para ese par clave. Observe que el estatus del certificado del router muestra “pendiente.”
Después de que el router reciba su certificado de CA, el campo de estatus cambia a “disponible” en show la
salida.
Router# show crypto pki certificates
Certificate
Subject Name
Name: myrouter.example.com
IP Address: 192.0.2.1
Serial Number: 04806682
Status: Pending
Key Usage: General Purpose
Fingerprint: 428125BD A3419600 3F6C7831 6CD8FA95 00000000
CA Certificate
Status: Available
Certificate Serial Number: 3051DF7123BEE31B8341DFE4B3A338E5F
Key Usage: Not Set
show crypto pki server Paso 4 El comando visualiza el estado actual y la configuración del servidor de certificados. El
siguiente ejemplo muestra que el servidor de certificados “routercs” tiene renovación configurada. El tiempo de
la auto-renovación de CA ha ocurrido y la renovación, o la sombra, certificado PKI está disponible. El estatus
muestra la información del temporizador de vencimiento del certificado de CA de la huella dactilar y de la
renovación del certificado de la renovación.
Router# show crypto pki server
Certificate Server routercs:
Status: enabled, configured
Issuer name: CN=walnutcs
CA cert fingerprint: 800F5944 74337E5B C2DF6C52 9A7B1BDB
Granting mode is: auto
Last certificate issued serial number: 0x7
CA certificate expiration timer: 22:10:29 GMT Jan 29 2007
CRL NextUpdate timer: 21:50:56 GMT Mar 5 2004
Current storage dir: nvram:
Database Level: Minimum - no cert data written to storage
Rollover status: available for rollover
Rollover CA cert fingerprint: 6AAF5944 74227A5B 23DF3E52 9A7F1FEF
Rollover CA certificate expiration timer: 22:10:29 GMT Jan 29 2017
show crypto pki trustpoints Paso 5 El comando visualiza el trustpoints que se configura en el router. El producto
siguiente muestra que un certificado de CA de la sombra está disponible y muestra las capacidades SCEP
señaladas durante la operación más reciente de la inscripción:
Router# show crypto pki trustpoints
Trustpoint vpn:
Subject Name:
cn=Cisco SSL CA
o=Cisco Systems
Serial Number: 0FFEBBDC1B6F6D9D0EA7875875E4C695
Certificate configured.
Rollover certificate configured.
Enrollment Protocol:
SCEPv1, PKI Rollover
Ejemplos de Configuración del Uso de un Servidor de Certificados
•
Configuración de Ubicaciones Específicas de Almacenamiento y Publicación: Ejemplos
•
Remoción de Solicitudes de Inscripción de la Base de Datos de Solicitudes de Inscripción: Ejemplos
•
Archivado Automático de las Llaves Root del Servidor de Certificados: Ejemplos
•
Restauración de un Servidor de Certificados a partir de las Copias de Seguridad del Servidor de Certificados: Ejemplos
•
Servidor de Certificados Subordinado: Ejemplo:
•
Servidor de Certificados de Modo RA: Ejemplo:
•
Habilitación de la Renovación del certificado CA para Iniciar Inmediatamente: Ejemplo:
Configuración de Ubicaciones Específicas de Almacenamiento y Publicación: Ejemplos
El siguiente ejemplo muestra la configuración de un sistema de archivo local mínimo, de modo que el servidor de certificados
pueda responder rápidamente a los pedidos de certificado. Los archivos .ser y .crl se salvan en el archivo de sistema de IOS del
Cisco local para el acceso rápido, y una copia de todos los archivos .crt se publica a un lugar remoto para el registro a largo
plazo.
crypto pki server myserver
!Pick your database level.
database level minimum
!Specify a location for the .crt files that is different than the default local
!Cisco IOS file system.
database url crt publish http://url username user1 password secret
El espacio librede la nota en el sistema de archivo local debe ser monitoreado, en caso de que el archivo .crl llegue a ser
demasiado grande.
El siguiente ejemplo muestra la configuración de una ubicación de almacenamiento primario para los archivos críticos, una
ubicación de almacenamiento específica para el archivo crítico del número de serie del fichero, el archivo de base de datos
principal del servidor de certificados, y una ubicación protegida contraseña de la publicación del archivo para el archivo CRL:
Router(config)# crypto pki server mycs
Router(cs-server)# database url ftp://cs-db.company.com
!
% Server database url was changed. You need to move the
% existing database to the new location.
!
Router(cs-server)# database url ser nvram:
Router(cs-server)# database url crl publish ftp://crl.company.com username myname password
mypassword
Router(cs-server)# end
El producto siguiente visualiza la ubicación de almacenamiento primario especificada y las ubicaciones de almacenamiento
críticas del archivo especificadas:
Router# show
Sep
3 20:19:34.216: %SYS-5-CONFIG_I: Configured from console by user on console
Router# show crypto pki server
Certificate Server mycs:
Status: disabled
Server's configuration is unlocked
(enter "no shut" to lock it)
Issuer name: CN=mycs
CA cert fingerprint: -Not foundGranting mode is: manual
Last certificate issued serial number: 0x0
CA certificate expiration timer: 00:00:00 GMT Jan 1 1970
CRL not present.
Current primary storage dir: ftp://cs-db.company.com
Current storage dir for .ser files: nvram:
Database Level: Minimum - no cert data written to storage The following output
displays all storage and publication locations. The serial number file (.ser) is stored in
NVRAM. The CRL file will be published to ftp://crl.company.com with a username and
password. All other critical files will be stored to the primary location,
ftp://cs-db.company.com.
Router# show running-config
section crypto pki server
crypto pki server mycs shutdown database url ftp://cs-db.company.com
database url crl publish ftp://crl.company.com username myname password 7
12141C0713181F13253920
database url ser nvram:
Router#
Remoción de Solicitudes de Inscripción de la Base de Datos de Solicitudes de Inscripción: Ejemplos
Los siguientes ejemplos muestran a ambos las peticiones de la inscripción que están actualmente en la base de datos de la
petición de la inscripción y el resultado después de que una de las peticiones de la inscripción se haya quitado de la base de
datos.
Petición de la inscripción actualmente en la base de datos de la petición de la inscripción
El siguiente ejemplo muestra que crypto pki server info requests se ha utilizado el comando de visualizar las peticiones de la
inscripción que están actualmente en la base de datos de la petición de la inscripción:
Router# crypto pki server myserver info requests
Enrollment Request Database:
RA certificate requests:
ReqID
State
Fingerprint
SubjectName
-----------------------------------------------------------------------Router certificates requests:
ReqID
State
Fingerprint
SubjectName
-----------------------------------------------------------------------2
pending
1B07F3021DAAB0F19F35DA25D01D8567
hostname=host1.company.com
1
denied
5322459D2DC70B3F8EF3D03A795CF636
hostname=host2.company.com
comando remove crypto del servidor pki usado para quitar una petición de la inscripción
El siguiente ejemplo muestra que crypto pki server remove se ha utilizado el comando de quitar la petición 1 de la inscripción:
Router# crypto pki server myserver remove 1
Base de datos de la petición de la inscripción después del retiro de una petición de la inscripción
El siguiente ejemplo muestra el resultado del retiro de la petición 1 de la inscripción de la base de datos de la petición de la
inscripción:
Router# crypto pki server mycs info requests
Enrollment Request Database:
RA certificate requests:
ReqID
State
Fingerprint
SubjectName
----------------------------------------------------------------Router certificates requests:
ReqID
State
Fingerprint
SubjectName
----------------------------------------------------------------2
pending
1B07F3021DAAB0F19F35DA25D01D8567
hostname=host1.company.com
Archivado Automático de las Llaves Root del Servidor de Certificados: Ejemplos
Las configuraciones de producto siguiente y la demostración de los ejemplos qué usted puede ser que vea si database archive
el comando no se ha configurado (es decir, configurado usando el valor predeterminado); si database archive se ha
configurado el comando de fijar el certificado de CA y el formato dominante del archivo de CA como PEM, sin configurar una
contraseña; y si database archive se ha configurado el comando de fijar el certificado de CA y el formato dominante del archivo
de CA como PKCS12, con una contraseña configurada. El ejemplo más reciente es contenido de la muestra de un archivo
PEM-formatado.
comando archive de la base de datos no configurado
Observeel valor por defecto es PKCS12, y el prompt para la contraseña aparece después de que no shutdown se haya
publicado el comando.
Router (config)# crypto pki server myserver
Router (cs-server)# no shutdown
% Generating 1024 bit RSA keys ...[OK]
% Ready to generate the CA certificate.
%Some server settings cannot be changed after CA certificate generation.
Are you sure you want to do this? [yes/no]: y
% Exporting Certificate Server signing certificate and keys...
! Note the next two lines, which are asking for a password.
% Please enter a passphrase to protect the private key.
Password:
% Certificate Server enabled.
Router (cs-server)# end
Router# dir nvram:
Directory of nvram:/
125
-rw-
1693
<no date>
startup-config
126
----
5
<no date>
private-config
1
-rw-
32
<no date>
myserver.ser
2
-rw-
214
<no date>
myserver.crl
! Note the next line, which indicates PKCS12 format.
3
-rw-
1499
<no date>
myserver.p12
comando archive de la base de datos y palabra clave PEM configurada
Observeel prompt para la contraseña aparece después de que no shutdown se haya publicado el comando.
Router (config)# crypto pki server myserver
Router (cs-server)# database archive pem
Router (cs-server)# no shutdown
% Generating 1024 bit RSA keys ...[OK]
% Ready to generate the CA certificate.
%Some server settings cannot be changed after CA certificate generation.
Are you sure you want to do this? [yes/no]: y
% Exporting Certificate Server signing certificate and keys...
!Note the next two lines, which are asking for a password.
% Please enter a passphrase to protect the private key.
Password:
% Certificate Server enabled.
Router (cs-server)# end
Router# dir nvram
Directory of nvram:/
125
-rw-
1693
<no date>
startup-config
126
----
5
<no date>
private-config
1
-rw-
32
<no date>
myserver.ser
2
-rw-
214
<no date>
myserver.crl
! Note the next line showing that the format is PEM.
3
-rw-
1705
<no date>
myserver.pem
comando archive de la base de datos y palabra clave del pkcs12 (y contraseña) configuradas
Observecuando la contraseña se ingresa, se cifra. Sin embargo, se recomienda que usted quita la contraseña de la
configuración después de que el archivo haya acabado.
Router (config)# crypto pki server myserver
Router (cs-server)# database archive pkcs12 password cisco123
Router (cs-server)# no shutdown
% Generating 1024 bit RSA keys ...[OK]
% Ready to generate the CA certificate.
% Some server settings cannot be changed after CA certificate generation.
Are you sure you want to do this? [yes/no]: y
% Exporting Certificate Server signing certificate and keys...
! Note that you are not being prompted for a password.
% Certificate Server enabled.
Router (cs-server)# end
Router# dir nvram:
Directory of nvram:/
125
-rw-
1693
<no date>
startup-config
126
----
5
<no date>
private-config
1
-rw-
32
<no date>
myserver.ser
2
-rw-
214
<no date>
myserver.crl
! Note that the next line indicates that the format is PKCS12.
3
-rw-
1499
<no date>
myserver.p12
Archivo PEM-formatado
La salida de muestra siguiente muestra que autoarchiving se ha configurado en el formato de archivo PEM. El archivo consiste
en el certificado de CA y la clave privada de CA. Para restablecer el servidor de certificados usando el respaldo, usted tendría
que importar el certificado de CA y la clave PEM-formatados de CA individualmente.
Observeademás del certificado de CA y los archivos dominantes de CA, usted debe también sostener el archivo serial (.ser) y
el archivo CRL (.crl) regularmente. El archivo serial y el archivo CRL son críticos para el funcionamiento de CA si se
necesita restablecer el servidor de certificados.
Router# more nvram:mycs.pem
-----BEGIN CERTIFICATE----MIIB9zCCAWCgAwIBAgIBATANBgkqhkiG9w0BAQQFADAPMQ0wCwYDVQQDEwRteWNz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-----END CERTIFICATE----!The private key is protected by the password that is
configured in "database archive pem password pwd" or that
is entered when you are prompted for the password.
-----BEGIN RSA PRIVATE KEY----Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,106CE91FFD0A075E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-----END RSA PRIVATE KEY-----
Restauración de un Servidor de Certificados a partir de las Copias de Seguridad del Servidor de Certificados:
Ejemplos
El siguiente ejemplo muestra que la restauración es de un archivo del PKCS12 y que la base de datos URL es NVRAM (el valor
por defecto).
Router# copy tftp://192.0.2.71/backup.ser nvram:mycs.ser
Destination filename [mycs.ser]?
32 bytes copied in 1.320 secs (24 bytes/sec)
Router# copy tftp://192.0.2.71/backup.crl nvram:mycs.crl
Destination filename [mycs.crl]?
214 bytes copied in 1.324 secs (162 bytes/sec)
Router# configure terminal
Router (config)# crypto pki import mycs pkcs12 tftp://192.0.2.71/backup.p12 cisco123
Source filename [backup.p12]?
CRYPTO_PKI: Imported PKCS12 file successfully.
Router (config)# crypto pki server mycs
! fill in any certificate server configuration here
Router (cs-server)# no shutdown
% Certificate Server enabled.
Router (cs-server)# end
Router# show crypto pki server
Certificate Server mycs:
Status: enabled
Server's current state: enabled
Issuer name: CN=mycs
CA cert fingerprint: 34885330 B13EAD45 196DA461 B43E813F
Granting mode is: manual
Last certificate issued serial number: 0x1
CA certificate expiration timer: 01:49:13 GMT Aug 28 2007
CRL NextUpdate timer: 01:49:16 GMT Sep 4 2004
Current storage dir: nvram:
Database Level: Minimum - no cert data written to storage
El siguiente ejemplo muestra que la restauración es de un archivo PEM y que la base de datos URL es flash:
Router# copy tftp://192.0.2.71/backup.ser flash:mycs.ser
Destination filename [mycs.ser]?
32 bytes copied in 1.320 secs (24 bytes/sec)
Router# copy tftp://192.0.2.71/backup.crl flash:mycs.crl
Destination filename [mycs.crl]?
214 bytes copied in 1.324 secs (162 bytes/sec)
Router# configure terminal
! Because CA cert has Digital Signature usage, you need to import using the "usage-keys"
keyword
Router (config)# crypto ca import mycs pem usage-keys terminal cisco123
% Enter PEM-formatted CA certificate.
% End with a blank line or "quit" on a line by itself.
! Paste the CA cert from .pem archive.
-----BEGIN CERTIFICATE----MIIB9zCCAWCgAwIBAgIBATANBgkqhkiG9w0BAQQFADAPMQ0wCwYDVQQDEwRteWNz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-----END CERTIFICATE----% Enter PEM-formatted encrypted private SIGNATURE key.
% End with "quit" on a line by itself.
! Paste the CA private key from .pem archive.
-----BEGIN RSA PRIVATE KEY----Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,5053DC842B04612A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-----END RSA PRIVATE KEY----quit
% Enter PEM-formatted SIGNATURE certificate.
% End with a blank line or "quit" on a line by itself.
! Paste the CA cert from .pem archive again.
-----BEGIN CERTIFICATE----MIIB9zCCAWCgAwIBAgIBATANBgkqhkiG9w0BAQQFADAPMQ0wCwYDVQQDEwRteWNz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-----END CERTIFICATE----% Enter PEM-formatted encrypted private ENCRYPTION key.
% End with "quit" on a line by itself.
! Because the CA cert only has Digital Signature usage, skip the encryption part.
quit
% PEM files import succeeded.
Router (config)# crypto pki server mycs
Router (cs-server)# database url flash:
! Fill in any certificate server configuration here.
Router (cs-server)# no shutdown
% Certificate Server enabled.
Router (cs-server)# end
Router # show crypto pki server
Certificate Server mycs:
Status: enabled
Server's current state: enabled
Issuer name: CN=mycs
CA cert fingerprint: F04C2B75 E0243FBC 19806219 B1D77412
Granting mode is: manual
Last certificate issued serial number: 0x2
CA certificate expiration timer: 21:02:55 GMT Sep 2 2007
CRL NextUpdate timer: 21:02:58 GMT Sep 9 2004
Current storage dir: flash:
Database Level: Minimum - no cert data written to storage
Servidor de Certificados Subordinado: Ejemplo:
La configuración y la salida siguientes es típicas de lo que usted puede ser que vea después de configurar un servidor de
certificados subordinado:
Router (config)# crypto pki trustpoint sub
Router (ca-trustpoint)# enrollment url http://192.0.2.6
Router (ca-trustpoint)# exit
Router (config)# crypto pki server sub
Router (cs-server)# mode sub-cs
Router (ca-server)# no shutdown
%Some server settings cannot be changed after CA certificate generation.
% Please enter a passphrase to protect the private key
% or type Return to exit
Password:
Jan
6 22:32:22.698: CRYPTO_CS: enter FSM: input state initial, input signal no shut
Re-enter password:
% Generating 1024 bit RSA keys ...
Jan
6 22:32:30.302: CRYPTO_CS: starting enabling checks
Jan
6 22:32:30.306: CRYPTO_CS: key 'sub' does not exist; generated automatically [OK]
Jan
6 22:32:39.810: %SSH-5-ENABLED: SSH 1.99 has been enabled
Certificate has the following attributes:
Fingerprint MD5: 328ACC02 52B25DB8 22F8F104 B6055B5B
Fingerprint SHA1: 02FD799D DD40C7A8 61DC53AB 1E89A3EA 2A729EE2
% Do you accept this certificate? [yes/no]:
Jan
6 22:32:44.830: CRYPTO_CS: nvram filesystem
Jan
6 22:32:44.922: CRYPTO_CS: serial number 0x1 written.
Jan
6 22:32:46.798: CRYPTO_CS: created a new serial file.
Jan
6 22:32:46.798: CRYPTO_CS: authenticating the CA 'sub'y
Trustpoint CA certificate accepted.%
% Certificate request sent to Certificate Authority
% Enrollment in progress...
Router (cs-server)#
Jan
6 22:33:30.562: CRYPTO_CS: Publishing 213 bytes to crl file nvram:sub.crl
Jan
6 22:33:32.450: CRYPTO_CS: enrolling the server's trustpoint 'sub'
Jan
6 22:33:32.454: CRYPTO_CS: exit FSM: new state check failed
Jan
6 22:33:32.454: CRYPTO_CS: cs config has been locked
Jan
6 22:33:33.118: CRYPTO_PKI:
Certificate Request Fingerprint MD5: CED89E5F 53B9C60E
> AA123413 CDDAD964
Jan 6 22:33:33.118: CRYPTO_PKI:
7D2C8B23 98CB10E7 718E84B1
Certificate Request Fingerprint SHA1: 70787C76 ACD7E67F
% Exporting Certificate Server signing certificate and keys...
Jan
6 22:34:53.839: %PKI-6-CERTRET: Certificate received from Certificate Authority
Jan 6 22:34:53.843: CRYPTO_CS: enter FSM: input state check failed, input signal cert
configured
Jan
6 22:34:53.843: CRYPTO_CS: starting enabling checks
Jan
6 22:34:53.843: CRYPTO_CS: nvram filesystem
Jan
6 22:34:53.883: CRYPTO_CS: found existing serial file.
Jan
6 22:34:53.907: CRYPTO_CS: old router cert flag 0x4
Jan
6 22:34:53.907: CRYPTO_CS: new router cert flag 0x44
Jan
6 22:34:56.511: CRYPTO_CS: DB version
Jan
6 22:34:56.511: CRYPTO_CS: last issued serial number is 0x1
Jan
6 22:34:56.551: CRYPTO_CS: CRL file sub.crl exists.
Jan
6 22:34:56.551: CRYPTO_CS: Read 213 bytes from crl file sub.crl.
Jan
6 22:34:56.603: CRYPTO_CS: SCEP server started
Jan
6 22:34:56.603: CRYPTO_CS: exit FSM: new state enabled
Jan
6 22:34:56.603: CRYPTO_CS: cs config has been locked
Jan
6 22:35:02.359: CRYPTO_CS: enter FSM: input state enabled, input signal time set
Jan
6 22:35:02.359: CRYPTO_CS: exit FSM: new state enabled
Jan
6 22:35:02.359: CRYPTO_CS: cs config has been locked
Diferenciación del servidor del certificado raíz: Ejemplo:
Al publicar los Certificados, el servidor del certificado raíz (o el servidor de certificados subordinado del padre) distingue el
pedido de certificado de “CA sub,” “RA,” y las solicitudes de peer, tal y como se muestra en de la salida de muestra siguiente:
Router# crypto pki server server1 info req
Enrollment Request Database:
RA certificate requests:
ReqID
State
Fingerprint
SubjectName
---------------------------------------------------------------------------Subordinate CS certificate requests:
ReqID
State
Fingerprint
SubjectName
---------------------------------------------------------------------------1
pending
CB9977AD8A73B146D3221749999B0F66 hostname=host-subcs.company.com
RA certificate requests:
ReqID
State
Fingerprint
SubjectName
----------------------------------------------------------------------------Router certificate requests:
ReqID
State
Fingerprint
SubjectName
-----------------------------------------------------------------------------
Muestre la salida para un servidor de certificados subordinado: Ejemplo:
El producto siguiente show crypto pki server command indica que se ha configurado un servidor de certificados subordinado:
Router# show crypto pki server
Certificate Server sub:
Status: enabled
Server's configuration is locked
(enter "shut" to unlock it)
Issuer name: CN=sub
CA cert fingerprint: 11B586EE 3B354F33 14A25DDD 7BD39187
Server configured in subordinate server mode
Upper CA cert fingerprint: 328ACC02 52B25DB8 22F8F104 B6055B5B
Granting mode is: manual
Last certificate issued serial number: 0x1
CA certificate expiration timer: 22:33:44 GMT Jan 6 2006
CRL NextUpdate timer: 22:33:29 GMT Jan 13 2005
Current storage dir: nvram:
Database Level: Minimum - no cert data written to storage
Servidor de Certificados de Modo RA: Ejemplo:
El producto siguiente es típico de lo que usted puede ser que vea después configurar un servidor de certificados del modo RA:
Router-ra (config)# crypto pki trustpoint myra
Router-ra (ca-trustpoint)# enrollment url http://192.0.2.17
! Include "cn=ioscs RA" or "ou=ioscs RA" in the subject-name.
Router-ra (ca-trustpoint)# subject-name cn=myra, ou=ioscs RA, o=company, c=us
Router-ra (ca-trustpoint)# exit
Router-ra (config)# crypto pki server myra
Router-ra (cs-server)# mode ra
Router-ra (cs-server)# no shutdown
% Generating 1024 bit RSA keys ...[OK]
Certificate has the following attributes:
Fingerprint MD5: 32661452 0DDA3CE5 8723B469 09AB9E85
Fingerprint SHA1: 9785BBCD 6C67D27C C950E8D0 718C7A14 C0FE9C38
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Ready to request the CA certificate.
%Some server settings cannot be changed after the CA certificate has been requested.
Are you sure you want to do this? [yes/no]: yes
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
password to the CA administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password:
Re-enter password:
% The subject name in the certificate will include: cn=myra, ou=ioscs RA, o=company, c=us
% The subject name in the certificate will include: Router-ra.company.com
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]: no
Request certificate from CA? [yes/no]: yes
% Certificate request sent to Certificate Authority
% The certificate request fingerprint will be displayed.
% The 'show crypto pki certificate' command will also show the fingerprint.
% Enrollment in progress...
Router-ra (cs-server)#
Sep 15 22:32:40.197: CRYPTO_PKI:
AAF093CD 07747D3A
Certificate Request Fingerprint MD5: 82B41A76 AF4EC87D
Sep 15 22:32:40.201: CRYPTO_PKI:
0FED05F7 0115FD3A 4FFC5231
Certificate Request Fingerprint SHA1: 897CDF40 C6563EAA
Sep 15 22:34:00.366: %PKI-6-CERTRET: Certificate received from Certificate Authority
Router-ra (cs-server)#
Router-ra(cs-server)# end
Router-ra# show crypto pki server
Certificate Server myra:
Status: enabled
Issuer name: CN=myra
CA cert fingerprint: 32661452 0DDA3CE5 8723B469 09AB9E85
! Note that the certificate server is running in RA mode
Server configured in RA mode
RA cert fingerprint: C65F5724 0E63B3CC BE7AE016 BE0D34FE
Granting mode is: manual
Current storage dir: nvram:
Database Level: Minimum - no cert data written to storage
El producto siguiente muestra la base de datos de la petición de la inscripción del servidor de certificados de publicación
después de que se haya habilitado el RA:
Observeel pedido de certificado RA es reconocido por el servidor de certificados de publicación porque los “ou=ioscs RA” se
enumeran en los asuntos.
Router-ca# crypto pki server mycs info request
Enrollment Request Database:
Subordinate CA certificate requests:
ReqID
State
Fingerprint
SubjectName
-------------------------------------------------------------! The request is identified as RA certificate request.
RA certificate requests:
ReqID
State
Fingerprint
SubjectName
-------------------------------------------------------------12
pending
88F547A407FA0C90F97CDE8900A30CB0
hostname=Router-ra.company.com,cn=myra,ou=ioscs RA,o=company,c=us
Router certificates requests:
ReqID
State
Fingerprint
SubjectName
-------------------------------------------------------------! Issue the RA certificate.
Router-ca# crypto pki server mycs grant 12
El producto siguiente muestra que el servidor de certificados de publicación está configurado para publicar un certificado
automáticamente si la petición viene de un RA:
Router-ca(config)# crypto pki server mycs
Router-ca (cs-server)# grant ra-auto
% This will cause all certificate requests already authorized by known RAs to be
automatically granted.
Are you sure you want to do this? [yes/no]: yes
Router-ca (cs-server)# end
Router-ca# show crypto pki server
Certificate Server mycs:
Status: enabled
Server's current state: enabled
Issuer name: CN=mycs
CA cert fingerprint: 32661452 0DDA3CE5 8723B469 09AB9E85
! Note that the certificate server will issue certificate for requests from the RA.
Granting mode is: auto for RA-authorized requests, manual otherwise
Last certificate issued serial number: 0x2
CA certificate expiration timer: 22:29:37 GMT Sep 15 2007
CRL NextUpdate timer: 22:29:39 GMT Sep 22 2004
Current storage dir: nvram:
Database Level: Minimum - no cert data written to storage
El siguiente ejemplo muestra la configuración del “myra”, un servidor RA, configurado para soportar la renovación automática
del “myca”, CA. Después de que se configure el servidor RA, la concesión automática de las peticiones del reenrollment del
certificado se habilita:
crypto pki trustpoint myra
enrollment url http://myca
subject-name ou=iosca RA
rsakeypair myra
crypto pki server myra
mode ra
auto-rollover
crypto pki server mycs
grant auto rollover ra-cert
auto-rollover 25
Habilitación de la Renovación del certificado CA para Iniciar Inmediatamente: Ejemplo:
Las demostraciones del siguiente ejemplo cómo habilitar la renovación automatizada del certificado de CA en los mycs del
servidor con crypto pki server el comando. show crypto pki server El comando entonces muestra al estado actual del
servidor de los mycs y que el certificado de la renovación está actualmente disponible para la renovación.
Router(config)# crypto pki server mycs rollover
Jun 20 23:51:21.211:%PKI-4-NOSHADOWAUTOSAVE:Configuration was
modified.
Issue "write memory" to save new IOS CA certificate
! The config has not been automatically saved because the config has been changed.
Router# show crypto pki server
Certificate Server mycs:
Status:enabled
Server's configuration is locked
(enter "shut" to unlock it)
Issuer name:CN=mycs
CA cert fingerprint:E7A5FABA 5D7AA26C F2A9F7B3 03CE229A
Granting mode is:manual
Last certificate issued serial number:0x2
CA certificate expiration timer:00:49:26 PDT Jun 20 2008
CRL NextUpdate timer:00:49:29 PDT Jun 28 2005
Current storage dir:nvram:
Database Level:Minimum - no cert data written to storage
Rollover status:available for rollover
! Rollover certificate is available for rollover.
Rollover CA certificate fingerprint:9BD7A443 00A6DD74 E4D9ED5F B7931BE0
Rollover CA certificate expiration time:00:49:26 PDT Jun 20 2011
Auto-Rollover configured, overlap period 25 days
Adonde ir después
Después de que el servidor de certificados se esté ejecutando con éxito, usted puede o comenzar a alistar a los clientes a
través de los mecanismos manuales (como se explica en el módulo la “que configura inscripción del certificado para un PKI” de
la guía de configuración de seguridad: La conectividad segura) o comienza a configurar el SDP, que es una interfaz basada en
web de la inscripción, (como se explica en el módulo “que configura asegura el dispositivo Provisioning (SDP) para la inscripción
en un PKI” de la guía de configuración de seguridad: Conectividad segura).
Referencias adicionales
Documentos Relacionados
Tema relacionado
Título del documento
Comandos de Cisco IOS
El Cisco IOS domina los comandos list, todos las versiones
PKI y comandos security
Referencia de Comandos de Seguridad de Cisco IOS
Operaciones RSA de Token USB:
“Configurando la inscripción del certificado para capítulo PKI”
Usando las claves RSA en un Token en la guía de configuración de la Seguridad de Cisco IOS:
USB para el autoenrollment inicial
Conectividad segura. Vea “configurando la sección de los
servidores de certificados”.
Operaciones RSA de Token USB:
Beneficios de usar tokens USB
“Salvando módulo de las credenciales PKI” en la guía de
configuración de la Seguridad de Cisco IOS: Conectividad
segura.
Inscripción del certificado del cliente
del servidor de certificados,
autoenrollment, y renovación
automática
“Configurando la inscripción del certificado para módulo PKI”
en la guía de configuración de la Seguridad de Cisco IOS:
Conectividad segura.
El configurar y registración en un
Token USB
“Salvando módulo de las credenciales PKI” en la guía de
configuración de la Seguridad de Cisco IOS: Conectividad
segura.
Inscripción del certificado basada en “Configurando asegure el dispositivo Provisioning (SDP) para
web
la inscripción en módulo PKI” en la guía de configuración de la
Seguridad de Cisco IOS: Conectividad segura.
Claves RSA en los archivos
formatados PEM
“Claves RSA que despliegan dentro módulo de un PKI” en la
guía de configuración de la Seguridad de Cisco IOS:
Conectividad segura.
Elegir un mecanismo de la
revocación de certificado
“Configurando la autorización y la revocación de los
Certificados en módulo PKI” en la guía de configuración de la
Seguridad de Cisco IOS: Conectividad segura.
Asistencia Técnica
Descripción
Link
El Web site del soporte y de la documentación http://www.cisco.com/cisco/web/LA/support/index.html
de Cisco proporciona los recursos en línea
para descargar la documentación, el software,
y las herramientas. Utilice estos recursos para
instalar y para configurar el software y para
resolver problemas y para resolver los
problemas técnicos con los Productos Cisco y
las Tecnologías. El acceso a la mayoría de las
herramientas en el Web site del soporte y de
la documentación de Cisco requiere una
identificación del usuario y una contraseña del
cisco.com.
Información sobre la Función Cisco IOS Certificate Server
El cuadro 4 enumera el historial de la versión para esta característica.
Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del
software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software,
un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a
http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.
Observelas listas del cuadro 4 solamente la versión de software que introdujo el soporte para una característica dada en un
tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión
de software también soportan esa característica.
Nombre de la función Versiones Información sobre la Función
Mejoras del Token USB 12.4(11)T
PKI del Cisco IOS —
Fase 2
Esta función aumenta la funcionalidad del token USB utilizando
el token USB como dispositivo criptográfico. Los tokens USB
se pueden utilizar para operaciones RSA como la generación
de llaves, la firma y la autenticación.
Las secciones siguientes de este documento proporcionan
información sobre esta función:
•
Par clave RSA y certificado del servidor de certificados
•
Punto de Confianza del Servidor de Certificados
• Generación de un Par de Llaves RSA del Servidor de
Certificados
Observeeste el documento abarca el uso de usar los
Token USB para las operaciones RSA durante la
configuración de servidor de certificados.
El servidor de
certificados IOS (CS)
partió la base de datos
12.4(4)T
Esta característica permite que el usuario fije las ubicaciones
de almacenamiento y publique las ubicaciones para los tipos
de archivo específicos del servidor de certificados.
Las secciones siguientes proporcionan información acerca de
esta función:
•
Base de Datos del Servidor de Certificados
• Configuración de la Funcionalidad del Servidor de
Certificados
• Configuración de Ubicaciones Específicas de
Almacenamiento y Publicación: Ejemplos
Esta función ha modificado los siguientes comandos: database
url
Renovación del servidor 12.4(4)T
de certificados IOS del
modo Subordinate/RA
(CS)
Esta característica se amplía en la renovación de clave del
Certificate Authority (CA) introducida en 12.4(2)T para permitir
la renovación del certificado de CA para el subordinado CA y
RA-MODE CA. Estas funciones permiten los Certificados de
CA de expiración de la renovación y las claves y tener estos
cambios propagan a través de la red PKI sin la intervención
manual.
Las secciones siguientes proporcionan información acerca de
esta función:
•
Certificado de CA Automático y Renovación de Llave
•
Configuración de los Servidores de Certificados
•
Servidor de Certificados de Modo RA: Ejemplo:
Esta función ha modificado los siguientes comandos: grant
auto rollover
Renovación de Clave de 12.4(2)T
la Autoridad
Certificadora (CA)
Esta característica introduce la capacidad para la raíz o el
subordinado CA de rodar los Certificados y las claves de CA
encima de expiración y de tener propagación de estos cambios
a través de la red PKI sin la intervención manual.
Las secciones siguientes proporcionan información acerca de
esta función:
•
Certificado de CA Automático y Renovación de Llave
•
Configuración de los Servidores de Certificados
• Trabajo con la Renovación Automática del Certificado
de la CA
• Habilitación de la Renovación del certificado CA para
Iniciar Inmediatamente: Ejemplo:
Los siguientes comandos fueron introducidos o modificados
por esta característica: auto-rollover crypto pki certificate
chain, crypto pki export pem, crypto pki server info
request, crypto pki server show crypto pki certificates,
show crypto pki server, y show crypto pki trustpoint
Servidor de Certificados 12.3(8)T
de Cisco IOS
Esta característica introduce el soporte para el servidor de
certificados del Cisco IOS, que ofrece a usuarios CA a que se
integra directamente con el Cisco IOS Software despliegan
más fácilmente las redes básicas PKI.
Las secciones siguientes proporcionan información acerca de
esta función:
• Información sobre los Servidores de Certificados de
Cisco IOS
• Cómo Configurar e Implementar Cisco IOS Certificate
Server
La mejora auto1 del
archivo del servidor de
certificados
12.3(11)T
Esta mejora habilita el certificado de CA y la clave de CA que
se sostendrán automáticamente apenas una vez después de
que sean generados por el servidor de certificados. Como
consecuencia, no es necesario generar una clave exportable
de CA si el respaldo de CA es deseable.
Las secciones siguientes proporcionan información acerca de
esta función:
• Inscripción de Certificados Usando un Servidor de
Certificados
• Configuración de la Funcionalidad del Servidor de
Certificados
Los siguientes comandos fueron introducidos por esta función:
crypto pki server remote, database archive
La mejora del modo del 12.3(7)T
registration authority
(RA) del servidor de
certificados
Un servidor de certificados se puede configurar para ejecutarse
en el modo RA.
La sección siguiente proporciona la información sobre esta
característica:
• Configuración de un Servidor de Certificados para
Ejecutarse en el Modo RA
Los siguientes comandos fueron introducidos por esta función:
grant ra-auto, lifetime enrollment-requests
Estatus1 PKI
12.3(11)T
Esta mejora proporciona una instantánea rápida del estatus
actual del trustpoint.
La siguiente sección proporciona información sobre esta
mejora:
• Mantenimiento, Verificación y Troubleshooting del
Servidor de Certificados, Certificados y CA
El siguiente comando fue modificado por esta mejora:
show crypto pki trustpoints
Servidor de certificados 12.3(14)T
subordinado 1
Esta mejora permite configurar un servidor de certificados
subordinado para conceder algunas o todas las solicitudes de
certificados SCEP o manuales.
La siguiente sección proporciona información sobre esta
mejora:
• Configuración de un Servidor de Certificados
Subordinado
El siguiente comando fue introducido por esta mejora: mode
sub-cs
Generación de claves
15.1(1)T
RSA 4096-bit en el
soporte de motor de la
criptografía de software
El valor del rango para modulus el valor de la palabra clave
para crypto key generate rsa el comando es extendido a
partir del 360 a 2048 bits a 360 a 4096 bits.
Soporte del modo del
servidor pki RA IOS
para los servidores de
CA del no IOS
Esta mejora permite que el servidor IOS CA en el modo RA
interopere con más de un tipo de servidor CA.
15.1(2)T
La sección siguiente proporciona la información sobre esta
característica:
• Configuración de un Servidor de Certificados para
Ejecutarse en el Modo RA
transparent La palabra clave fue agregada mode ra al
comando de permitir que el servidor CA en el modo RA
interopere con más de un tipo de servidor CA.
1 esto es una mejora de menor importancia. Las mejoras de menor importancia no se suelen enumerar en Feature Navigator.
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of
Cisco trademarks, go to this URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The
use of the word partner does not imply a partnership relationship between Cisco and any other company. (1110R)
Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any
examples, command display output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only.
Any use of actual IP addresses or phone numbers in illustrative content is unintentional and coincidental.
© 2005-2011 Cisco Systems, Inc. All rights reserved.
© 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 2 Agosto 2013
http://www.cisco.com/cisco/web/support/LA/107/1074/1074082_sec_cfg_mng_cert_serv_ps6922_TSD_Products_Configuration_Guide_Chapter.htm
