Configuración y Administración de Cisco IOS Certificate Server para la Implementación de PKI Descargue este capítulo Configuración y Administración de Cisco IOS Certificate Server para la Implementación de PKI Descargue el libro completo Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR (PDF - 5 MB) Feedback Contenidos Configuración y Administración de Cisco IOS Certificate Server para la Implementación de PKI Encontrar la información de la característica Contenido Prerrequisitos de Configuración de Cisco IOS Certificate Server Restricciones de Configuración de Cisco IOS Certificate Server Información sobre los Servidores de Certificados de Cisco IOS Par clave RSA y certificado del servidor de certificados Cómo el certificado de CA y la clave de CA están archivados automáticamente Base de Datos del Servidor de Certificados Almacenamiento de archivo de base de datos del servidor de certificados Publicación del archivo de base de datos del servidor de certificados Punto de Confianza del Servidor de Certificados Lista de Revocación de Certificados (CRLs) Condiciones de Error del Servidor de Certificados Inscripción de Certificados Usando un Servidor de Certificados Inscripción SCEP Tipos de Servidores CA: Autoridades Subordinadas y de Registro (RAs) Certificado de CA Automático y Renovación de Llave Renovación automática del certificado de CA: Cómo funciona Soporte SHA-2 para especificar una función de troceo criptográfica Cómo Configurar e Implementar Cisco IOS Certificate Server Generación de un Par de Llaves RSA del Servidor de Certificados Configuración de los Servidores de Certificados Requisitos previos para la renovación automática del certificado de CA Restricciones para la renovación automática del certificado de CA Configuración de un Servidor de Certificados Configuración de un Servidor de Certificados Subordinado Configuración de un Servidor de Certificados para Ejecutarse en el Modo RA Configuración del Servidor de Certificado Root para Delegar las Tareas de Inscripción al Servidor de Certificados de Modo RA Pasos Siguientes Configuración de la Funcionalidad del Servidor de Certificados Valores predeterminados y valores recomendados del servidor de certificados Ubicaciones del almacenamiento y de la publicación de archivo del servidor de certificados Trabajo con la Renovación Automática del Certificado de la CA Inicio Inmediato de la Renovación Automatizada de Certificado de CA Solicitud de Certificado de Renovación de un Cliente de Servidor de Certificados Exportación de un Certificado de Renovación CA Mantenimiento, Verificación y Troubleshooting del Servidor de Certificados, Certificados y CA Administración de la Base de Datos de Solicitudes de Inscripción Eliminación de las peticiones de la base de datos de la petición de la inscripción Eliminación de un Servidor de Certificados Verificación y Troubleshooting del Servidor de Certificados y el Estado CA Verificación de la Información del Certificado CA Ejemplos de Configuración del Uso de un Servidor de Certificados Configuración de Ubicaciones Específicas de Almacenamiento y Publicación: Ejemplos Remoción de Solicitudes de Inscripción de la Base de Datos de Solicitudes de Inscripción: Ejemplos Archivado Automático de las Llaves Root del Servidor de Certificados: Ejemplos Restauración de un Servidor de Certificados a partir de las Copias de Seguridad del Servidor de Certificados: Ejemplos Servidor de Certificados Subordinado: Ejemplo: Diferenciación del servidor del certificado raíz: Ejemplo: Muestre la salida para un servidor de certificados subordinado: Ejemplo: Servidor de Certificados de Modo RA: Ejemplo: Habilitación de la Renovación del certificado CA para Iniciar Inmediatamente: Ejemplo: Adonde ir después Referencias adicionales Documentos Relacionados Asistencia Técnica Información sobre la Función Cisco IOS Certificate Server Configuración y Administración de Cisco IOS Certificate Server para la Implementación de PKI Primera publicación: 2 de mayo de 2005 Última actualización: 5 de octubre de 2011 Este módulo describe cómo configurar y manejar un servidor de certificados del Cisco IOS para el despliegue del Public Key Infrastructure (PKI). Un servidor de certificados integra un servidor de certificados simple, con las funciones limitadas del Certification Authority (CA), en el Cisco IOS Software. Así, las siguientes ventajas se proporcionan al usuario: • Un despliegue más fácil PKI definiendo el comportamiento predeterminado. La interfaz de usuario es más simple porque se predefinen los comportamientos predeterminados. Es decir, usted puede leverage las ventajas del escalamiento del PKI sin todas las Extensiones del certificado que CA proporcione, de tal modo permitiendo que usted habilite fácilmente una red PKI-asegurada básica. • Integración directa con el Cisco IOS Software. Encontrar la información de la característica Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección del servidor de certificados del Cisco IOS”. Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software Cisco IOS y Catalyst OS. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere. Contenido • Prerrequisitos de Configuración de Cisco IOS Certificate Server • Restricciones de Configuración de Cisco IOS Certificate Server • Información sobre los Servidores de Certificados de Cisco IOS • Cómo Configurar e Implementar Cisco IOS Certificate Server • Ejemplos de Configuración del Uso de un Servidor de Certificados • Adonde ir después • Referencias adicionales • Información sobre la Función Cisco IOS Certificate Server Prerrequisitos de Configuración de Cisco IOS Certificate Server Planeando su PKI antes de configurar el servidor de certificados Antes de configurar un servidor de certificados del Cisco IOS, es valores apropiados importantes que usted ha planeado para y elegidos para las configuraciones que usted se prepone utilizar dentro de su PKI (tal como cursos de la vida del certificado y cursos de la vida del Listas de revocación de certificados (CRL)). Después de que las configuraciones se hayan configurado en el servidor de certificados y se han concedido los Certificados, las configuraciones no pueden ser cambiadas sin tener que configurar de nuevo el servidor de certificados y reenrolling a los pares. Para la información sobre las configuraciones predeterminadas y las configuraciones recomendadas del servidor de certificados, vea la sección “valores predeterminados y valores recomendados del servidor de certificados.” Habilitar un servidor HTTP El servidor de certificados soporta el protocolo simple certificate enrollment (SCEP) sobre el HTTP. El servidor HTTP se debe habilitar en el router para que el servidor de certificados utilice el SCEP. (Para habilitar el servidor HTTP, utilice ip http server el comando.) El servidor de certificados habilita automáticamente o habilitan o se inhabilitan a los servicios de las neutralizaciones SCEP después del servidor HTTP. Si el servidor HTTP no se habilita, sólo se soporta la inscripción manual PKCS10. Observepara aprovecharse del certificado de CA automático y las funciones de la renovación del par clave para todos los tipos de servidores de certificados, de Cisco IOS Release 12.4(4)T o de una versión posterior deben ser utilizadas y el SCEP se debe utilizar como el método de la inscripción. Configurar los Servicios de tiempo confiables Los Servicios de tiempo deben ejecutarse en el router porque el servidor de certificados debe tener conocimiento confiable del tiempo. Si un reloj de hardware es inasequible, el servidor de certificados depende manualmente de las configuraciones del reloj configurado, tales como Network Time Protocol (NTP). Si no hay un reloj de hardware o el reloj es inválido, el siguiente mensaje se visualiza en el bootup: % Time has not been set. Cannot start the Certificate server. Después de que se haya fijado el reloj, del servidor de certificados el Switches automáticamente al estatus corriente. Para la información sobre manualmente configurar los ajustes de reloj, vea la sección “los servicios del tiempo y del calendario de la configuración” en el capítulo la “que realiza administración del sistema básico” de la guía de configuración de la administración del Cisco IOS Network. Cambio de CLI de "crypto ca" a "crypto pki" Desde Cisco IOS Release 12.3(7)T, todos los comandos que comienzan con "crypto ca" han cambiado para comenzar con "crypto pki". Aunque el router continúe validando los comandos crypto Ca, toda la salida se relee como pki crypto. Restricciones de Configuración de Cisco IOS Certificate Server El servidor de certificados no proporciona un mecanismo para modificar el pedido de certificado que se recibe del cliente; es decir, el certificado que se publica del servidor de certificados hace juego el certificado pedido sin las modificaciones. Si una póliza específica del certificado, tal como apremios de nombre, debe ser extendida, la directiva se debe reflejar en el pedido de certificado. Información sobre los Servidores de Certificados de Cisco IOS • Par clave RSA y certificado del servidor de certificados • Base de Datos del Servidor de Certificados • Punto de Confianza del Servidor de Certificados • Lista de Revocación de Certificados (CRLs) • Condiciones de Error del Servidor de Certificados • Inscripción de Certificados Usando un Servidor de Certificados • Tipos de Servidores CA: Autoridades Subordinadas y de Registro (RAs) • Certificado de CA Automático y Renovación de Llave • Soporte SHA-2 para especificar una función de troceo criptográfica Par clave RSA y certificado del servidor de certificados El servidor de certificados genera automáticamente un par clave del Rivest 1024-bit, del Shamir, y del Adelman (RSA). Usted debe generar manualmente un par clave RSA si usted prefiere un diverso módulo del par clave. Para la información sobre completar esta tarea, vea la sección el “generar de un par clave del servidor de certificados RSA.” Observeel módulo recomendado para un par clave del servidor de certificados es 2048 bits. El servidor de certificados utiliza un par clave regular del Cisco IOS RSA como su clave de CA. Este par clave debe tener el mismo nombre que el servidor de certificados. Si usted no genera el par clave antes de que el servidor de certificados se cree en el router, un par clave de fines generales se genera automáticamente durante la configuración del servidor de certificados. A partir de las versiones del Cisco IOS Release 12.3(11)T y Posterior, el certificado de CA y la clave de CA pueden ser sostenidos automáticamente una vez después de que son generados por el servidor de certificados. Como consecuencia, no es necesario generar una clave exportable de CA para los objetivos de backup. Qué a hacer con los pares claves automáticamente generados en Cisco IOS Software antes de la versión 12.3(11)T Si el par clave se genera automáticamente, no se marca como exportable. Así, usted debe generar manualmente el par clave mientras que exportable si usted quiere sostener la clave de CA. Para la información sobre cómo completar esta tarea, vea la sección el “generar de un par clave del servidor de certificados RSA.” Cómo el certificado de CA y la clave de CA están archivados automáticamente En la configuración inicial del servidor de certificados, usted puede habilitar el certificado de CA y la clave de CA que se archivará automáticamente para poderlos restablecer más adelante si se pierde la copia original o la configuración de origen. Cuando se gira el servidor de certificados la primera vez, se genera el certificado de CA y la clave de CA. Si el archivo automático también se habilita, el certificado de CA y la clave de CA se exporta (archivado) a las bases de datos del servidor. El archivo puede estar en el PKCS12 o el formato del Privacy Enhanced Mail (PEM). Nota • Este archivo de backup de la clave de CA es extremadamente importante y se debe mover inmediatamente a otro lugar asegurado. • Esta acción que archiva ocurre solamente una vez. Solamente la clave de CA que es (1) exportable manualmente generada y marcada o (2) generado automáticamente por el servidor de certificados está archivada (esta clave es nonexportable marcado). • Autoarchiving no ocurre si usted genera la clave de CA manualmente y la marca “nonexportable.” • Además del certificado de CA y del archivo dominante de CA, usted debe sostener también regularmente el archivo del número de serie (.ser) y el archivo CRL (.crl). El archivo serial y el archivo CRL son críticos para el funcionamiento de CA si se necesita restablecer el servidor de certificados. • No es posible sostener manualmente un servidor que las aplicaciones RSA nonexportable cierren o generaron manualmente, las claves nonexportable RSA. Aunque las claves automáticamente generadas RSA se marquen como nonexportable, están archivadas automáticamente una vez. Base de Datos del Servidor de Certificados Los archivos de los almacenes del servidor de certificados del Cisco IOS para su propio uso y pueden publicar los archivos para que otros procesos utilicen. Los archivos críticos generados por el servidor de certificados que son necesarios para su operación en curso se salvan a solamente una ubicación por el tipo de archivo para su uso exclusivo. El servidor de certificados lee en y escribe a estos archivos. Los archivos críticos del servidor de certificados son el archivo del número de serie (.ser) y el archivo de la ubicación de almacenamiento CRL (.crl). Los archivos a los cuales el servidor de certificados escribe, pero no leen en otra vez, pueden estar publicados y disponibles para uso de otros procesos. Un ejemplo de un archivo que pueda ser publicado es el archivo de Certificados publicado (.crt). El funcionamiento de su servidor de certificados se puede afectar por los factores siguientes, que deben ser considerados cuando usted elige la opción de almacenamiento y las opciones de la publicación para sus archivos del servidor de certificados. • El almacenamiento o publica las ubicaciones que usted elige puede afectar a su funcionamiento del servidor de certificados. La lectura en una ubicación de la red tarda más tiempo que leyendo directamente en el dispositivo del almacenamiento local de un router. • El número de archivos que usted elige salvar o publicar a una ubicación específica puede afectar a su funcionamiento del servidor de certificados. El archivo de sistema de IOS del Cisco local puede siempre no ser conveniente para un gran número de archivos. • Los tipos de archivo que usted elige salvar o publicar puede afectar a su funcionamiento del servidor de certificados. Ciertos archivos, tales como el .crl clasifían, pueden llegar a ser muy grandes. Notase recomienda que usted salva los archivos .ser y .crl a su archivo de sistema de IOS del Cisco local y publica sus archivos .crt a un sistema de archivos remotos. Almacenamiento de archivo de base de datos del servidor de certificados El servidor de certificados permite la flexibilidad para salvar diversos tipos de archivo críticos a diversas ubicaciones de almacenamiento dependiendo del conjunto del nivel de la base de datos (véase database level el comando para más información). Al elegir las ubicaciones de almacenamiento, considere la Seguridad de archivo necesitada y rendimiento del servidor. Por ejemplo, los archivos del número de serie y los archivos (.p12 o .pem) pudieron tener mayores restricciones de seguridad que la ubicación de almacenamiento publicada del archivo de Certificados (.crt) o la ubicación de almacenamiento del archivo de nombre (.cnm). El cuadro 1 muestra los tipos de archivo críticos del servidor de certificados por la extensión de archivo que se puede salvar a una ubicación específica. Tabla 1 Extensión de Archivo Tipo de Archivo .ser El archivo de base de datos principal del servidor de certificados. .crl La ubicación de almacenamiento CRL. .crt La ubicación de almacenamiento publicada de los Certificados. .cnm La ubicación de almacenamiento del archivo del nombre y de la expiración del certificado. .p12 La ubicación del archivo del certificado de servidor de certificados en el formato del PKCS12. .pem La ubicación del archivo del certificado de servidor de certificados en el formato PEM. Tipos de archivo críticos del almacenamiento del servidor de certificados Los archivos del servidor de certificados del Cisco IOS se pueden salvar a tres niveles de especificidad: • Ubicación predeterminada, NVRAM • Ubicación de almacenamiento primario especificada para todos los archivos críticos • Ubicación de almacenamiento especificada para los archivos críticos específicos. Una configuración más específica de la ubicación de almacenamiento reemplaza una configuración más general de la ubicación de almacenamiento. Por ejemplo, si usted no ha especificado ninguna ubicaciones de almacenamiento del archivo del servidor de certificados, todos los archivos del servidor de certificados se salvan al NVRAM. Si usted especifica una ubicación de almacenamiento para el archivo de nombre, sólo el archivo de nombre se salva allí; el resto de los archivos continúan siendo salvados al NVRAM. Si usted entonces especifica una ubicación primaria, todos los archivos a menos que el archivo de nombre ahora se salve a esta ubicación, en vez del NVRAM. Notausted puede especificar .p12 o el .pem; usted no puede especificar ambos tipos de archivos. Publicación del archivo de base de datos del servidor de certificados Un archivo de la publicación es una copia del archivo original y está disponible para que otros procesos utilicen o para su uso. Si el servidor de certificados no puede publicar un archivo, hace el servidor apagar. Usted puede especificar uno publica la ubicación para el archivo de Certificados publicado y el archivo y el múltiplo de nombre publican las ubicaciones para el archivo CRL. Vea el cuadro 2 para los tipos de archivos disponibles para la publicación. Usted puede publicar los archivos sin importar el nivel de la base de datos se fija que. Tabla 2 Extensión de Archivo Tipo de Archivo .crl El CRL publica la ubicación. .crt Los Certificados publicados publican la ubicación. .cnm El archivo del nombre y de la expiración del certificado publica la ubicación. El servidor de certificados publica los tipos de archivo Punto de Confianza del Servidor de Certificados Si el servidor de certificados también tiene un trustpoint automáticamente generado del mismo nombre, después el trustpoint salva el certificado del servidor de certificados. Después de que el router detecte que un trustpoint se está utilizando para salvar el certificado del servidor de certificados, el trustpoint es bloqueado para no poderlo modificarse. Antes de configurar el servidor de certificados usted puede realizar el siguiente: • Cree y configure manualmente este trustpoint (usando crypto pki trustpoint el comando), que permite que usted especifique un par clave de la alternativa RSA (usando rsakeypair el comando). • Especifique que el par clave inicial del autoenrollment está generado en un dispositivo específico, tal como un Token USB configurado y disponible, usando on el comando. Observeel trustpoint automáticamente generado y el certificado de servidor de certificados no está disponible para la identidad del dispositivo del servidor de certificados. Así, cualquier comando line interface(cli) (tal como ip http secure-trustpoint el comando) que está utilizado para especificar el trustpoint de CA para obtener los Certificados y para autenticar el certificado de cliente de conexión debe señalar a un trustpoint adicional configurado en el dispositivo del servidor de certificados. Si el servidor es un servidor del certificado raíz, utiliza los pares claves RSA y varios otros atributos para generar un certificado autofirmado. El certificado de CA asociado tiene las Extensiones dominantes siguientes del uso — firma digital, muestra del certificado, y muestra CRL. Después de que se genere el certificado de CA, los atributos pueden ser cambiados solamente si se destruye el servidor de certificados. Observeel trustpoint del servidor de certificados A no debe ser alistado automáticamente usando auto-enroll el comando. La inscripción inicial del servidor de certificados debe ser iniciada manualmente y las funciones automáticas en curso de la renovación se pueden configurar con auto-rollover el comando. Para más información sobre las funciones automáticas de la renovación, vea la sección “certificado de CA y renovación de clave automáticos.” Lista de Revocación de Certificados (CRLs) Por abandono, los CRL se publican una vez cada 168 horas (1 semana de calendario). Para especificar un valor con excepción del valor predeterminado para publicar el CRL, ejecute lifetime crl el comando. Después de que se publique el CRL, se escribe a la ubicación de la base de datos especificada como ca-label.crl, donde ca-label está el nombre del servidor de certificados. Los CRL se pueden distribuir con el SCEP, que es el método predeterminado, o un CRL Distribution Point (CDP), si están configurados y disponible. Si usted configura un CDP, utilice cdp-url el comando de especificar la ubicación CDP. Si cdp-url el comando no se especifica, la Extensión del certificado CDP no se incluye en los Certificados que son publicados por el servidor de certificados. Si la ubicación CDP no se especifica, los clientes del Cisco IOS PKI piden automáticamente un CRL del servidor de certificados con un mensaje SCEP GetCRL. CA entonces vuelve el CRL en un mensaje SCEP CertRep al cliente. Porque se envuelven todos los mensajes SCEP y PKCS-7 firmados los datos, la extracción SCEP del CRL del servidor de certificados es costosa y no no altamente scalable. En mismo las Redes grandes, un HTTP CDP proporciona un mejor scalability y se recomienda si usted tiene muchos dispositivos de peer que marquen los CRL. Usted puede especificar la ubicación CDP por HTTP URL una cadena simple por ejemplo, cdp-url http://my-cdp.company.com/filename.crl El servidor de certificados soporta solamente un CDP; así, todos los Certificados se publican que incluyen el mismo CDP. Si usted tiene los clientes PKI que no están funcionando con el Cisco IOS Software y que no soportan una petición SCEP GetCRL y desean utilizar un CDP usted puede configurar un servidor externo para distribuir los CRL y para configurar el CDP para señalar a ese servidor. O, usted puede especificar una petición NON-SCEP para la extracción del CRL del servidor de certificados especificando cdp-url el comando con el URL en el formato siguiente donde cs-addr está la ubicación del servidor de certificados: cdp-url http:///cgi-bin/pkiclient.exe?operation=GetCRLcs-addr Observesi su Cisco IOS que CA también se configura como su servidor HTTP CDP, especifique su CDP con cdp-url la sintaxis de los comandoscs-addr de http:///cgi-bin/pkiclient.exe?operation=GetCRL. Es la responsabilidad del administrador de la red asegurarse de que el CRL es disponible desde la ubicación que se especifica con cdp-url el comando. Para obligar al parser a conservar el signo de interrogación incrustado en la ubicación especificada, ingrese Ctrl-v antes del signo de interrogación. Si estas medidas no se toman, la extracción CRL con el HTTP devuelve un mensaje de error. La ubicación CDP puede ser cambiada después de que el servidor de certificados se esté ejecutando con cdp-url el comando. Los nuevos Certificados contienen la ubicación actualizada CDP, pero los certificados existentes no se reeditan con la ubicación nuevamente especificada CDP. Cuando se publica un nuevo CRL, el servidor de certificados utiliza su CRL ocultado corriente para generar un nuevo CRL. (Cuando se reinicia el servidor de certificados, recarga el CRL actual de la base de datos.) Un nuevo CRL no puede ser publicado a menos que haya expirado el CRL actual. Después de que expire el CRL actual, se publica un nuevo CRL solamente después que un certificado se revoca del CLI. Condiciones de Error del Servidor de Certificados En el lanzamiento, el servidor de certificados marca la configuración actual antes de publicar cualesquiera Certificados. Señala las condiciones de error sabidas más recientes a través show crypto pki server de la salida de comando. Los errores del ejemplo pueden incluir un de los después de las condiciones: • Almacenamiento inaccesible • Para servidor HTTP que espera • Para configuración horaria que espera Si el servidor de certificados experimenta una falla crítica en cualquier momento, por ejemplo no poder publicar un CRL, el servidor de certificados ingresa automáticamente a un estado inhabilitado. Este estado permite que el administrador de la red repare la condición; después de eso, el servidor de certificados vuelve al estado normal anterior. Inscripción de Certificados Usando un Servidor de Certificados Funciones de una petición de la inscripción del certificado como sigue: • El servidor de certificados recibe la petición de la inscripción de un usuario final, y las acciones siguientes ocurren: – Una entrada de la petición se crea en la base de datos de la petición de la inscripción con el estado inicial. (Véase el cuadro 3 para una lista completa de estados de la petición de la inscripción del certificado.) – El servidor de certificados refiere a la configuración CLI (o al comportamiento predeterminado cualquier momento un parámetro no se especifica) para determinar la autorización de la petición. Después de eso, el estado de la petición de la inscripción se pone al día en la base de datos de la petición de la inscripción. • En cada interrogación SCEP para una respuesta, el servidor de certificados examina la solicitud actual y realiza una de las acciones siguientes: – Responde al usuario final con “pendiente” o el estado “negado”. – Genera y firma el certificado apropiado y salva el certificado en la base de datos de la petición de la inscripción. Si la conexión del cliente se ha cerrado, el servidor de certificados espera al cliente para pedir otro certificado. Toda la transición de las peticiones de la inscripción a través de los estados de la inscripción del certificado que se definen en el cuadro 3. Para ver las peticiones actuales de la inscripción, utilice crypto pki server request pkcs10 el comando. Estado de la inscripción del certificado Descripción autorizado El servidor de certificados ha autorizado la petición. negado El servidor de certificados ha negado el pedido las razones de la política. concedido La base de CA ha generado el certificado apropiado para el pedido de certificado. inicial La petición ha sido creada por el servidor SCEP. malformado El servidor de certificados ha determinado que la petición es inválida por las razones criptográficas. pendiente La petición de la inscripción se debe validar manualmente por el administrador de la red. Inscripción SCEP Se tratan todas las peticiones SCEP mientras que las nuevas peticiones de la inscripción del certificado, incluso si la petición especifica los asuntos o un par clave público duplicados como pedido de certificado anterior. Tipos de Servidores CA: Autoridades Subordinadas y de Registro (RAs) Los servidores de CA tienen la flexibilidad para ser configurado como un servidor de certificados subordinado o servidor de certificados RA-MODE. ¿Por qué configure CA subordinado? Un servidor de certificados subordinado proporciona aun así las características como servidor del certificado raíz. Los pares claves de la raíz RSA son extremadamente importantes en una jerarquía PKI, y es a menudo ventajoso mantenerlos offline o archivados. Para soportar este requisito, las jerarquías PKI permiten el subordinado CA que han sido firmadas por la autoridad de la raíz. De esta manera, la autoridad de la raíz se puede mantener offline (excepto publicar las actualizaciones ocasionales CRL), y CA subordinado se puede utilizar durante el funcionamiento normal. ¿Por qué configure un servidor de certificados RA-MODE? Un servidor de certificados Cisco IOS se puede configurar para que se ejecute en modo RA. Una RA descarga las responsabilidades de autenticación y autorización de una CA. Cuando la RA recibe una solicitud de inscripción manual o SCEP, el administrador puede rechazarla o concederla en función de la política local. Si se concede la petición, se remite a CA de publicación, y CA genera automáticamente el certificado y lo vuelve al RA. El cliente puede recuperar más adelante el certificado concedido del RA. Un RA es la autoridad encargada de la grabación o de verificar alguno o todos los datos requeridos para que CA publique los Certificados. En muchos casos CA emprende todo el RA funciona sí mismo, pero donde CA actúa sobre una área geográfica amplia o cuando hay problemas de seguridad sobre exponer CA para dirigir el acceso a la red, puede ser administrativo recomendable delegar algunas de las tareas a un RA y dejar CA para concentrar en sus tareas primarias de los Certificados de firma y de los CRL. Compatibilidad del servidor de CA En el Cisco IOS Release 15.1(2)T, las nuevas funciones fueron introducidas que permiten que el servidor IOS CA en el modo RA interopere con más de un tipo de servidor CA. Vea “configurando un servidor de certificados para ejecutarse en la sección del modo RA” para más información. Certificado de CA Automático y Renovación de Llave Los CA — raíz CA, CA subordinados, y RA-MODE CA — como sus clientes, tienen los Certificados y pares claves con las fechas de vencimiento que necesitan ser reeditadas cuando el certificado y el par clave actuales están a punto de expirar. Cuando están expirando un certificado y el par clave de CA de la raíz debe generar un certificado y un par clave uno mismofirmados de la renovación. Si están expirando CA subordinado o un certificado y el par clave RA-MODE CA, pide un certificado y un par clave de la renovación de su CA superior, obteniendo Certificados uno mismo-firmados de la renovación de CA del superior los nuevos al mismo tiempo. CA debe distribuir el nuevos certificado y claves de la renovación de CA demasiado todos sus pares. Este proceso, llamado renovación, permite la operación continua de la red mientras que los CA y sus clientes están conmutando de un certificado de CA y de un par clave de expiración a un nuevos certificado de CA y par clave. La renovación confía en los requisitos de la infraestructura PKI de las relaciones de confianza y de los relojes sincronizados. Las relaciones de confianza PKI permiten que (1) el nuevo certificado de CA sean autenticados, y (2) la renovación que se logrará automáticamente sin la pérdida de Seguridad. Los relojes sincronizados permiten que la renovación sea coordinada en su red. Renovación automática del certificado de CA: Cómo funciona El servidor de CA debe tener renovación configurada. Todos los niveles de CA deben ser alistados y haber habilitado autorollover automáticamente. Los clientes de CA soportan la renovación automáticamente cuando están alistados automáticamente. Para más información sobre los clientes y la renovación automática, vea la sección “inscripción del certificado automática” en el módulo la “que configura inscripción del certificado para un PKI” de la guía de configuración de seguridad: Conectividad segura. Después de que los CA tengan renovación habilitada y alistan a sus clientes automáticamente, hay tres etapas al proceso automático de la renovación del certificado de CA. Etapa una: Certificado de CA y par clave activos solamente En la etapa una, hay un certificado de CA y un par clave activos solamente. Etapa dos: Certificado de CA de la renovación y generación de par clave y distribución En la etapa dos, se generan y se distribuyen el certificado de CA y el par clave de la renovación. CA superior genera un certificado y un par clave de la renovación. Después de que CA guarde con éxito su configuración activa, CA está listo para responder a los pedidos de cliente para el certificado y el par clave de la renovación. Cuando CA superior recibe una petición el nuevo certificado de CA y el par clave de un cliente, CA responde enviando el nuevos certificado de CA y par clave de la renovación al cliente solicitante. Los clientes salvan el certificado de CA y el par clave de la renovación. Observecuando CA genera su certificado y par clave de la renovación, debe poder salvar su configuración activa. Si se ha alterado la configuración actual, el guardar del certificado y del par clave de la renovación no sucede automáticamente. En este caso, el administrador debe salvar la configuración manualmente o se pierde la información de la renovación. Etapa tres: El certificado de CA y el par clave de la renovación se convierten en el certificado de CA y el par clave activos En la etapa tres, el certificado de CA y el par clave de la renovación se convierten en el certificado de CA y el par clave activos. Se borran todos los dispositivos que han salvado un certificado de CA válido de la renovación retitulan el certificado de la renovación al certificado activo y el certificado y el par clave una vez que-activos. Observedespués de la renovación del certificado de CA, usted puede observar la desviación siguiente a partir del curso de la vida y del tiempo de renovación usuales del certificado: • El curso de la vida de los Certificados publicados durante la renovación es más bajo que el valor preconfigurado. • En las condiciones específicas, el tiempo de la renovación puede ser inferior al porcentaje configurado del curso de la vida real. La diferencia observada puede estar del hasta 20% en caso de que el curso de la vida del certificado sea menos de una hora. Estas diferencias son normales, y resultado jitter (fluctuación del tiempo aleatorio) de introducido por el algoritmo en el servidor de certificados. Se realiza esta tarea de evitar a los hosts que participan al PKI sincroniza su temporizador de la inscripción, que podría dar lugar a la congestión en el servidor de certificados. Observe las fluctuaciones del curso de la vida que ocurren no afectan a funcionamiento apropiado del PKI, puesto que las diferencias dan lugar siempre a un curso de la vida más corto, así sigue habiendo dentro del curso de la vida configurado máximo para los Certificados. Soporte SHA-2 para especificar una función de troceo criptográfica Algoritmo de troceo seguro (el soporte SHA)-2 permite que un usuario especifique una función de troceo criptográfica para los servidores de certificados y los clientes del Cisco IOS. Las funciones de troceo criptográficas que pueden ser especificadas son el algoritmo condensado de mensaje 5 (MD5), SHA-1, SHA-256, SHA-384, o SHA-512. Vea “configurando la sección de un servidor de certificados subordinado” para más información sobre especificar hash (Catrustpoint) y hash los comandos (del cs-servidor) que se utilicen para implementar esta característica. Cómo Configurar e Implementar Cisco IOS Certificate Server • Generación de un Par de Llaves RSA del Servidor de Certificados • Configuración de los Servidores de Certificados • Configuración de la Funcionalidad del Servidor de Certificados • Trabajo con la Renovación Automática del Certificado de la CA • Mantenimiento, Verificación y Troubleshooting del Servidor de Certificados, Certificados y CA Generación de un Par de Llaves RSA del Servidor de Certificados Realice esta tarea de generar manualmente un par clave RSA para el servidor de certificados. Manualmente la generación de un par clave del servidor de certificados RSA permite que usted especifique el tipo de par clave que usted quiere generar, que cree un par clave exportable para los objetivos de backup, que especifique la ubicación de almacenamiento del par clave, o que especifique la ubicación de la generación de claves. Si usted está funcionando con las versiones del Cisco IOS Release 12.3(8)T o Anterior, usted puede querer crear un par clave exportable del servidor de certificados para el respaldo, o el archivo purposes. Si esta tarea no se realiza, el servidor de certificados genera automáticamente un par clave, que no se marca como exportable. El archivar automático del certificado de CA fue introducido en el Cisco IOS Release 12.3(11)T. A partir de las versiones del Cisco IOS Release 12.4(11)T y Posterior, si su router tiene un Token USB configurado y disponible, el Token USB se puede utilizar como dispositivo criptográfico además de un dispositivo de almacenamiento. Usando un Token USB como dispositivo criptográfico permite las operaciones RSA tales como generación de claves, firma, y autenticación de las credenciales que se realizará en un Token USB. La clave privada nunca sale del Token USB y no es exportable. El clave pública es exportable. Para los títulos de los documentos específicos sobre configurar un Token USB y la fabricación de él disponible para utilizar como dispositivo criptográfico, vea que “relacionó la sección de los documentos”. Notase recomienda que la clave privada esté mantenida una ubicación segura y que usted archiva regularmente la base de datos de servidor de certificados. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto key generate rsa [general-keys | usage-keys | signature | encryption] []labelkey-labeldel []exportable del [] modulus modulus-sizedel []storage devicename:del []on devicename: 4. crypto key export rsa PEM de la clave-escritura de la etiqueta {terminal | url URL} {3des | des} passphrase 5. crypto key import rsakey-labelpem[usage-keys | signature | encryption] {terminal | url url} []exportabledel []on devicename: passphrase 6. exit 7. show crypto key mypubkey rsa PASOS DETALLADOS Comando o acción Propósito Paso enable 1 Habilita el modo EXEC privilegiado. Paso configure terminal 2 Ingresa en el modo de configuración global. Paso crypto key generate rsa [ general-keys | usage-keys | 3 Genera el par clave RSA para el servidor de certificados. Example: Router> enable • Ingrese su contraseña si se le pide que lo haga. Example: Router# configure terminal signature | encryption] [ label key-label] [exportable ] [modulus modulus-size] [ storage devicename:] [on devicename:] Example: Router (config)# crypto key generate rsa label mycs exportable modulus 2048 • storage La palabra clave especifica la ubicación de almacenamiento dominante. • Al especificar un nombre de escritura de la etiqueta especificando key-label el argumento, usted debe utilizar el mismo nombre para la escritura de la etiqueta que usted planea utilizar para el servidor de certificados (con crypto pki server cs-label el comando). Si key-label un argumento no se especifica, se utiliza el valor predeterminado, que es el nombre de dominio completo (FQDN) del router. Si el par clave exportable RSA se genera manualmente después de que el certificado de CA se haya generado, y antes de publicar no shutdown el comando, después utilice crypto ca export pkcs12 el comando de exportar un archivo del PKCS12 que contenga el certificado de servidor de certificados y la clave privada. • Por abandono, los tamaños del módulo de una clave de CA son 1024 bits. El módulo recomendado para una clave de CA es 2048 bits. El rango para los tamaños del módulo de una clave de CA es a partir 350 a 4096 bits. • on La palabra clave especifica que el par clave RSA está creado en el dispositivo especificado, incluyendo un token del Bus serie universal (USB), un disco local, o un NVRAM. El nombre del dispositivo es seguido por los dos puntos (:). Las clavesde la nota creadas en un Token USB deben ser 2048 bits o menos. Paso crypto key export rsa keylabel pem {terminal | url 4 (Opcional) exporta el par clave generado RSA. url} {3des | des} passphrase Permite que usted exporte las claves generadas. Example: Router (config)# crypto key export rsa mycs pem url nvram: 3des PASSWORD Paso crypto key import rsa keylabel pem [usage-keys | 5 signature | encryption] { terminal | url url} [ exportable] [on devicename:] passphrase Example: Router (config)# crypto key import rsa mycs2 pem url nvram:mycs PASSWORD Par clave (opcional) de las importaciones RSA. Para crear las claves importadas en un Token USB, utilice on la palabra clave y especifique la ubicación del dispositivo apropiada. Si usted exportó las claves RSA usando exportable la palabra clave y usted quiere cambiar el par clave RSA a nonexportable, importe la clave de nuevo al servidor de certificados sinexportable la palabra clave. La clave no se puede exportar otra vez. Paso exit 6 Sale de la configuración global. Example: Router (config)# exit Paso show crypto key mypubkey rsa Visualiza los claves públicas RSA de su router. 7 Example: Router# show crypto key mypubkey rsa Ejemplos El siguiente ejemplo genera un par clave general del uso 1024-bit RSA en un Token USB con la escritura de la etiqueta el "ms2" con los mensajes de debugging del motor de criptografía mostrados: Router(config)# crypto key generate rsa on usbtoken0 label ms2 modulus 1024 The name for the keys will be: ms2 % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be on-token, non-exportable... Jan 7 02:41:40.895: crypto_engine: Generate public/private keypair [OK] Jan 7 02:44:09.623: crypto_engine: Create signature Jan 7 02:44:10.467: crypto_engine: Verify signature Jan 7 02:44:10.467: CryptoEngine0: CRYPTO_ISA_RSA_CREATE_PUBKEY(hw)(ipsec) Jan 7 02:44:10.467: CryptoEngine0: CRYPTO_ISA_RSA_PUB_DECRYPT(hw)(ipsec) Ahora, las claves del en-token etiquetadas el "ms2" se pueden utilizar para la inscripción. El siguiente ejemplo muestra la importación acertada de una clave de encripción a los Token USB configurados y disponibles: Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# crypto key import rsa encryption on usbtoken0 url nvram:e password % Importing public Encryption key or certificate PEM file... filename [e-encr.pub]? Reading file from nvram:e-encr.pub % Importing private Encryption key PEM file... Source filename [e-encr.prv]? Reading file from nvram:e-encr.prv % Key pair import succeeded. Configuración de los Servidores de Certificados • Configuración de un Servidor de Certificados • Configuración de un Servidor de Certificados Subordinado • Configuración de un Servidor de Certificados para Ejecutarse en el Modo RA • Configuración del Servidor de Certificado Root para Delegar las Tareas de Inscripción al Servidor de Certificados de Modo RA Requisitos previos para la renovación automática del certificado de CA Al configurar un servidor de certificados, para que la renovación automática del certificado de CA se ejecute con éxito, los requisitos previos siguientes son aplicables para sus servidores de CA: • Usted debe ser Cisco IOS Release 12.4(2)T corriente o una versión posterior en sus servidores de CA. • Su servidor de CA debe ser habilitado y de configuración completa con un Time Of Day confiable, un par clave disponible, un certificado de CA uno mismo-firmado, válido asociado al par clave, un CRL, un dispositivo de almacenamiento accesible, y un servidor activo HTTP/SCEP. • Los clientes de CA deben haber completado con éxito el enlistamiento automático y tener autoenrollment habilitado con el mismo servidor de certificados. Observesi usted es el Cisco IOS corriente 12.4(2)T o versiones anteriores, sólo su raíz CA soporta las funciones automáticas de la renovación del certificado de CA. El Cisco IOS 12.4(4)T o versiones posteriores soporta todos los CA — arraigue los CA, los CA subordinados, y RA-MODE CA. Restricciones para la renovación automática del certificado de CA Al configurar un servidor de certificados, para que la renovación automática del certificado de CA se ejecute con éxito, las restricciones siguientes son aplicables: • Se debe utilizar SCEP para soportar la renovación. Cualquier dispositivo que aliste con el PKI usando una alternativa al SCEP pues el protocolo o el mecanismo de la administración de certificados (tal como perfiles de la inscripción, Registro manual, o inscripción TFTP) no es poder aprovecharse de las funciones de la renovación proporcionadas por el SCEP. • Si usted tiene archivo automático configurado en su red y el archivo falla, la renovación no ocurre porque el servidor de certificados no ingresa el estado de la renovación, y el certificado y el par clave de la renovación no se guarda automáticamente. Configuración de un Servidor de Certificados Realice esta tarea de configurar un servidor de certificados del Cisco IOS y de habilitar la renovación automática. PASOS SUMARIOS 1. enable 2. configure terminal 3. ip http server 4. crypto pki server cs-label 5. no shutdown 6. auto-rollover []time-period PASOS DETALLADOS Comando o acción Propósito Paso enable 1 Habilita el modo EXEC privilegiado. Paso configure terminal 2 Ingresa en el modo de configuración global. Paso ip http server 3 Habilita el servidor HTTP en su sistema. Paso crypto pki server cslabel 4 Define una escritura de la etiqueta para el servidor de certificados y ingresa al modo de configuración del servidor de certificados. Example: Router> enable • Ingrese su contraseña si se le pide que lo haga. Example: Router# configure terminal Example: Router(config)# ip http server Example: Router(config)# crypto pki server server-pki Observesi usted generó manualmente un par clave RSA, cs-label el argumento debe hacer juego el nombre del par clave. Paso no shutdown 5 (Opcional) habilita el servidor de certificados. Paso auto-rollover [timeperiod] 6 (Opcional) Habilita la función de renovación automática de certificados de CA. Example: Router(cs-server)# no shutdown Example: Router(cs-server)# Observesolamente el uso este comando en este momento si usted quiere utilizar las funciones predeterminadas preconfiguradas. Es decir, no publique este comando apenas con todo si usted planea cambiar las configuraciones predeterminadas unas de los tal y como se muestra en de la tarea las “que configura funciones del servidor de certificados.” • time-period - el valor predeterminado son 30 días. auto-rollover 90 Ejemplos El siguiente ejemplo muestra cómo configurar el servidor de certificados “Ca”: Router(config)# crypto pki server ca Router(cs-server)# no shutdown % Once you start the server, you can no longer change some of % the configuration. Are you sure you want to do this? [yes/no]: yes % Generating 1024 bit RSA keys ...[OK] % Certificate Server enabled. Router(cs-server)# end ! Router# show crypto pki server Certificate Server ca: Status: enabled, configured CA cert fingerprint: 5A856122 4051347F 55E8C246 866D0AC3 Granting mode is: manual Last certificate issued serial number: 0x1 CA certificate expiration timer: 19:44:57 GMT Oct 14 2006 CRL NextUpdate timer: 19:45:25 GMT Oct 22 2003 Current storage dir: nvram: Database Level: Complete - all issued certs written as <serialnum>.cer El siguiente ejemplo muestra cómo habilitar la renovación automatizada del certificado de CA en los mycs del servidor con autorollover el comando. show crypto pki server El comando muestra que la renovación automática se ha configurado en los mycs del servidor con un período de la coincidencia de 25 días. Router(config)# crypto pki server mycs Router(cs-server)# auto-rollover 25 Router(cs-server)# no shut %Some server settings cannot be changed after CA certificate generation. % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] % Exporting Certificate Server signing certificate and keys... % Certificate Server enabled. Router(cs-server)# Router# show crypto pki server Certificate Server mycs: Status:enabled Server's configuration is locked (enter "shut" to unlock it) Issuer name:CN=mycs CA cert fingerprint:70AFECA9 211CDDCC 6AA9D7FF 3ADB03AE Granting mode is:manual Last certificate issued serial number:0x1 CA certificate expiration timer:00:49:26 PDT Jun 20 2008 CRL NextUpdate timer:00:49:29 PDT Jun 28 2005 Current storage dir:nvram: Database Level:Minimum - no cert data written to storage Auto-Rollover configured, overlap period 25 days Autorollover timer:00:49:26 PDT May 26 2008 Configuración de un Servidor de Certificados Subordinado Realice esta tarea de configurar un servidor de certificados subordinado para conceder todos o cierto SCEP o los pedidos de certificado manuales y para habilitar la renovación automática. Restricciones • Usted debe ser Cisco IOS Release 12.3(14)T corriente o una versión posterior. (Las versiones antes del Cisco IOS Software Release 12.3(14)T soportan solamente un servidor de certificados y ninguna jerarquía; es decir, los servidores de certificados subordinados no se soportan.) • El servidor del certificado raíz debe ser servidor de certificados del Cisco IOS. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto pki trustpoint nombre 4. enrollment url URL 5. hash {md5 | sha1 | sha256 | sha384 | sha512} 6. exit 7. crypto pki server escritura de la etiqueta del cs 8. issuer name DN-string 9. mode sub-cs 10. auto-rollover []time-period 11 grant auto rollover {ca-cert | ra-cert} 12. hash {md5 | sha1 | sha256 | sha384 | sha512} 13. no shutdown PASOS DETALLADOS Paso 1 Comando o acción Propósito enable Habilita el modo EXEC privilegiado. Example: Router> enable Paso 2 configure terminal • Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Example: Router# configure terminal Paso 3 crypto pki trustpoint name Example: Enter configuration commands, one per line. End with CNTL/Z. Paso 4 enrollment url url Example: Router (ca-trustpoint)# enrollment url http://192.0.2.6 Declara el trustpoint que su servidor de certificados subordinado debe utilizar y ingresa al modo de configuración del Ca-trustpoint. Especifica la URL de inscripción del servidor de emisión de certificados CA (servidor de certificados raíz). Paso 5 hash {md5 | sha1 | (Opcional) especifica la función de troceo para la sha256 | sha384 | sha512 firma que el cliente del Cisco IOS utiliza para firmar } sus certificados autofirmados. Example: Router (ca-trustpoint)# hash sha384 • md5 — Especifica ese MD5, la función de troceo predeterminada, se utiliza. • sha1 — Especifica que la función de troceo SHA-1 está utilizada. • sha256 — Especifica que la función de troceo del SHA-256 está utilizada. • sha384 — Especifica que la función de troceo del SHA-384 está utilizada. • sha512 — Especifica que la función de troceo del SHA-512 está utilizada. Paso 6 exit Sale del modo de configuración de ca-trustpoint. Example: Router(config)# Paso 7 crypto pki server cslabel Example: % Importing public Encryption key or certificate PEM file... Paso 8 issuer name DN-string Example: filename [e-encr.pub]? # issuer-name CN=sub CA, O=Cisco, C=us Paso 9 mode sub-cs Example: Reading file from nvram:e-encr.pub Paso 10 auto-rollover [timeperiod] Example: Router(cs-server)# autorollover 90 Habilita un servidor de certificados de Cisco IOS e ingresa en el modo de configuración de cs-server. Observeel servidor subordinado debe tener el mismo nombre que el trustpoint que fue creado en el paso 3 antedicho. (Opcional) especifica el DN como el nombre del emisor de CA para el servidor de certificados. Coloca el servidor pki en el modo de servidor del sub-certificado. (Opcional) Habilita la función de renovación automática de certificados de CA. • time-period - el valor predeterminado son 30 días. Paso 11 grant auto rollover {ca- (Opcional) Concede automáticamente las cert | ra-cert} solicitudes de reinscripción a las CAs y CAs del modo RA subordinadas sin intervención del Example: Router(cs-server)# grant operador. auto rollover ca-cert • ca-cert — Especifica que el certificado subordinado de la renovación de CA está concedido automáticamente. • ra-cert — Especifica que el certificado de la renovación RA-MODE CA está concedido automáticamente. Observesi éste es la primera vez que un servidor de certificados subordinado está habilitado y alistado, el pedido de certificado debe ser concedido manualmente. Paso 12 hash {md5 | sha1 | (Opcional) fija la función de troceo para la firma que sha256 | sha384 | sha512 el Certificate Authority (CA) del Cisco IOS utiliza } para firmar todos los Certificados publicados por el Example: Router(cs-server)# hash sha384 servidor. • md5 — Especifica ese MD5, la función de troceo predeterminada, se utiliza. • sha1 — Especifica que la función de troceo SHA-1 está utilizada. • sha256 — Especifica que la función de troceo del SHA-256 está utilizada. • sha384 — Especifica que la función de troceo del SHA-384 está utilizada. • sha512 — Especifica que la función de troceo del SHA-512 está utilizada. Paso 13 no shutdown Example: Router(cs-server)# no shutdown Los permisos o vuelven a permitir el servidor de certificados. Si éste es la primera vez que un servidor de certificados subordinado está habilitado, el servidor de certificados genera la clave y obtiene su certificado de firma del servidor del certificado raíz. Ejemplos Si el servidor de certificados no puede habilitar o si el servidor de certificados tiene problema que maneja la petición se ha configurado que, usted puede utilizar debug crypto pki server el comando de resolver problemas su configuración tal y como se muestra en de los siguientes ejemplos (reloj no fijado y trustpoint no configurado): Router# debug crypto pki server Reloj no fijado Router(config)# crypto pki server sub Router(cs-server)# mode sub-cs Router(cs-server)# no shutdown %Some server settings cannot be changed after CA certificate generation. % Please enter a passphrase to protect the private key % or type Return to exit Password: *Jan 6 20:57:37.667: CRYPTO_CS: enter FSM: input state initial, input signal no shut Re-enter password: % Generating 1024 bit RSA keys ... *Jan 6 20:57:45.303: CRYPTO_CS: starting enabling checks *Jan 6 20:57:45.303: CRYPTO_CS: key 'sub' does not exist; generated automatically[OK] % Time has not been set. Cannot start the Certificate server Trustpoint no configurado Router(config)# crypto pki server sub Router(cs-server)# mode sub-cs Router(cs-server)# no shutdown %Some server settings cannot be changed after CA certificate generation. % Please enter a passphrase to protect the private key or type Return to exit Password: Jan 6 21:00:15.961: CRYPTO_CS: enter FSM: input state initial, input signal no shut. Jan 6 21:03:34.309: CRYPTO_CS: enter FSM: input state initial, input signal time set. Jan 6 21:03:34.313: CRYPTO_CS: exit FSM: new state initial. Jan 6 21:03:34.313: CRYPTO_CS: cs config has been unlocked Re-enter password: % Generating 1024 bit RSA keys ... Jan 6 21:03:44.413: CRYPTO_CS: starting enabling checks Jan 6 21:03:44.413: CRYPTO_CS: associated trust point 'sub' does not exist; generated automatically Jan 6 21:03:44.417: CRYPTO_CS: key 'sub' does not exist; generated automatically[OK] Jan 6 21:04:03.993: CRYPTO_CS: nvram filesystem Jan 6 21:04:04.077: CRYPTO_CS: serial number 0x1 written. You must specify an enrollment URL for this CA before you can authenticate it. % Failed to authenticate the Certificate Authority Si el servidor de certificados no puede obtener su certificado de firma del servidor del certificado raíz, usted puede utilizar debug crypto pki transactions el comando de resolver problemas su configuración tal y como se muestra en del siguiente ejemplo: Router# debug crypto pki transactions Jan 6 21:07:00.311: CRYPTO_CS: enter FSM: input state initial, input signal time set Jan 6 21:07:00.311: CRYPTO_CS: exit FSM: new state initial Jan 6 21:07:00.311: CRYPTO_CS: cs config has been unlocked no sh %Some server settings cannot be changed after CA certificate generation. % Please enter a passphrase to protect the private key % or type Return to exit Password: Jan 6 21:07:03.535: CRYPTO_CS: enter FSM: input state initial, input signal no shut Re-enter password: % Generating 1024 bit RSA keys ... Jan 6 21:07:10.619: CRYPTO_CS: starting enabling checks Jan 6 21:07:10.619: CRYPTO_CS: key 'sub' does not exist; generated automatically[OK] Jan 6 21:07:20.535: %SSH-5-ENABLED: SSH 1.99 has been enabled Jan 6 21:07:25.883: CRYPTO_CS: nvram filesystem Jan 6 21:07:25.991: CRYPTO_CS: serial number 0x1 written. Jan 6 21:07:27.863: CRYPTO_CS: created a new serial file. Jan 6 21:07:27.863: CRYPTO_CS: authenticating the CA 'sub' Jan 6 21:07:27.867: CRYPTO_PKI: Sending CA Certificate Request: GET /cgi-bin/pkiclient.exe?operation=GetCACert&message=sub HTTP/1.0 User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Cisco PKI) Jan 6 21:07:27.867: CRYPTO_PKI: can not resolve server name/IP address Jan 6 21:07:27.871: CRYPTO_PKI: Using unresolved IP Address 192.0.2.6 Certificate has the following attributes: Fingerprint MD5: 328ACC02 52B25DB8 22F8F104 B6055B5B Fingerprint SHA1: 02FD799D DD40C7A8 61DC53AB 1E89A3EA 2A729EE2 % Do you accept this certificate? [yes/no]: Jan 6 21:07:30.879: CRYPTO_PKI: http connection opened Jan 6 21:07:30.903: CRYPTO_PKI: HTTP response header: HTTP/1.1 200 OK Date: Thu, 06 Jan 2005 21:07:30 GMT Server: server-IOS Content-Type: application/x-x509-ca-cert Expires: Thu, 06 Jan 2005 21:07:30 GMT Last-Modified: Thu, 06 Jan 2005 21:07:30 GMT Cache-Control: no-store, no-cache, must-revalidate Pragma: no-cache Accept-Ranges: none Content-Type indicates we have received a CA certificate. Jan 6 21:07:30.903: Received 507 bytes from server as CA certificate: Jan 6 21:07:30.907: CRYPTO_PKI: transaction GetCACert completed Jan 6 21:07:30.907: CRYPTO_PKI: CA certificate received. Jan 6 21:07:30.907: CRYPTO_PKI: CA certificate received. Jan 6 21:07:30.927: CRYPTO_PKI: crypto_pki_authenticate_tp_cert() Jan 6 21:07:30.927: CRYPTO_PKI: trustpoint sub authentication status = 0 y Trustpoint CA certificate accepted.% % Certificate request sent to Certificate Authority % Enrollment in progress... Router (cs-server)# Jan 6 21:07:51.772: CRYPTO_CA: certificate not found Jan 6 21:07:51.772: CRYPTO_CA: certificate not found Jan 6 21:07:52.460: CRYPTO_CS: Publishing 213 bytes to crl file nvram:sub.crl Jan 6 21:07:54.348: CRYPTO_CS: enrolling the server's trustpoint 'sub' Jan 6 21:07:54.352: CRYPTO_CS: exit FSM: new state check failed Jan 6 21:07:54.352: CRYPTO_CS: cs config has been locked Jan 6 21:07:54.356: CRYPTO_PKI: transaction PKCSReq completed Jan 6 21:07:54.356: CRYPTO_PKI: status: Jan 6 21:07:55.016: CRYPTO_PKI: EC188F65 64356C80 Certificate Request Fingerprint MD5: 1BA027DB 1C7860C7 Jan 6 21:07:55.016: CRYPTO_PKI: 0C7BE187 0DFC884D D32CAA75 Certificate Request Fingerprint SHA1: 840DB52C E17614CB Jan 6 21:07:56.508: CRYPTO_PKI: can not resolve server name/IP address Jan 6 21:07:56.508: CRYPTO_PKI: Using unresolved IP Address 192.0.2.6 Jan 6 21:07:56.516: CRYPTO_PKI: http connection opened Jan 6 21:07:59.136: CRYPTO_PKI: received msg of 776 bytes Jan 6 21:07:59.136: CRYPTO_PKI: HTTP response header: HTTP/1.1 200 OK Date: Thu, 06 Jan 2005 21:07:57 GMT Server: server-IOS Content-Type: application/x-pki-message Expires: Thu, 06 Jan 2005 21:07:57 GMT Last-Modified: Thu, 06 Jan 2005 21:07:57 GMT Cache-Control: no-store, no-cache, must-revalidate Pragma: no-cache Accept-Ranges: none Jan 6 21:07:59.324: The PKCS #7 message has 1 verified signers. Jan 6 21:07:59.324: signing cert: issuer=cn=root1 Jan 6 21:07:59.324: Signed Attributes: Jan 6 21:07:59.328: CRYPTO_PKI: status = 102: certificate request pending Jan 6 21:08:00.788: CRYPTO_PKI: can not resolve server name/IP address Jan 6 21:08:00.788: CRYPTO_PKI: Using unresolved IP Address 192.0.2.6 Jan 6 21:08:00.796: CRYPTO_PKI: http connection opened Jan 6 21:08:11.804: CRYPTO_PKI: received msg of 776 bytes Jan 6 21:08:11.804: CRYPTO_PKI: HTTP response header: HTTP/1.1 200 OK Date: Thu, 06 Jan 2005 21:08:01 GMT Server: server-IOS Content-Type: application/x-pki-message Expires: Thu, 06 Jan 2005 21:08:01 GMT Last-Modified: Thu, 06 Jan 2005 21:08:01 GMT Cache-Control: no-store, no-cache, must-revalidate Pragma: no-cache Accept-Ranges: none Jan 6 21:08:11.992: The PKCS #7 message has 1 verified signers. Jan 6 21:08:11.992: signing cert: issuer=cn=root1 Jan 6 21:08:11.996: Signed Attributes: Jan 6 21:08:11.996: CRYPTO_PKI: status = 102: certificate request pending Jan 6 21:08:21.996: CRYPTO_PKI: All sockets are closed for trustpoint sub. Jan 6 21:08:31.996: CRYPTO_PKI: All sockets are closed for trustpoint sub. Jan 6 21:08:41.996: CRYPTO_PKI: All sockets are closed for trustpoint sub. Jan 6 21:08:51.996: CRYPTO_PKI: All sockets are closed for trustpoint sub. Jan 6 21:09:01.996: CRYPTO_PKI: All sockets are closed for trustpoint sub. Jan 6 21:09:11.996: CRYPTO_PKI: resend GetCertInitial, 1 Jan 6 21:09:11.996: CRYPTO_PKI: All sockets are closed for trustpoint sub. Jan 6 21:09:11.996: CRYPTO_PKI: resend GetCertInitial for session: 0 Jan 6 21:09:11.996: CRYPTO_PKI: can not resolve server name/IP address Jan 6 21:09:11.996: CRYPTO_PKI: Using unresolved IP Address 192.0.2.6 Jan 6 21:09:12.024: CRYPTO_PKI: http connection opened% Exporting Certificate Server signing certificate and keys... Jan 6 21:09:14.784: CRYPTO_PKI: received msg of 1611 bytes Jan 6 21:09:14.784: CRYPTO_PKI: HTTP response header: HTTP/1.1 200 OK Date: Thu, 06 Jan 2005 21:09:13 GMT Server: server-IOS Content-Type: application/x-pki-message Expires: Thu, 06 Jan 2005 21:09:13 GMT Last-Modified: Thu, 06 Jan 2005 21:09:13 GMT Cache-Control: no-store, no-cache, must-revalidate Pragma: no-cache Accept-Ranges: none Jan 6 21:09:14.972: The PKCS #7 message has 1 verified signers. Jan 6 21:09:14.972: signing cert: issuer=cn=root1 Jan 6 21:09:14.972: Signed Attributes: Jan 6 21:09:14.976: CRYPTO_PKI: status = 100: certificate is granted Jan 6 21:09:15.668: The PKCS #7 message contains 1 certs and 0 crls. Jan 6 21:09:15.688: Newly-issued Router Cert: issuer=cn=root serial=2 Jan 6 21:09:15.688: start date: 21:08:03 GMT Jan 6 2005 Jan 6 21:09:15.688: end date: 21:08:03 GMT Jan 6 2006 Jan 6 21:09:15.688: Router date: 21:09:15 GMT Jan 6 2005 Jan 6 21:09:15.692: Received router cert from CA Jan 6 21:09:15.740: CRYPTO_CA: certificate not found Jan 6 21:09:15.744: CRYPTO_PKI: All enrollment requests completed for trustpoint sub. Jan 6 21:09:15.744: %PKI-6-CERTRET: Certificate received from Certificate Authority Jan 6 21:09:15.744: CRYPTO_PKI: All enrollment requests completed for trustpoint sub. Jan 6 21:09:15.744: CRYPTO_PKI: All enrollment requests completed for trustpoint sub. Jan 6 21:09:15.748: CRYPTO_CS: enter FSM: input state check failed, input signal cert configured Jan 6 21:09:15.748: CRYPTO_CS: starting enabling checks Jan 6 21:09:15.748: CRYPTO_CS: nvram filesystem Jan 6 21:09:15.796: CRYPTO_CS: found existing serial file. Jan 6 21:09:15.820: CRYPTO_CS: old router cert flag 0x4 Jan 6 21:09:15.820: CRYPTO_CS: new router cert flag 0x44 Jan 6 21:09:18.432: CRYPTO_CS: DB version 1 Jan 6 21:09:18.432: CRYPTO_CS: last issued serial number is 0x1 Jan 6 21:09:18.480: CRYPTO_CS: CRL file sub.crl exists. Jan 6 21:09:18.480: CRYPTO_CS: Read 213 bytes from crl file sub.crl. Jan 6 21:09:18.532: CRYPTO_CS: SCEP server started Jan 6 21:09:18.532: CRYPTO_CS: exit FSM: new state enabled Jan 6 21:09:18.536: CRYPTO_CS: cs config has been locked Jan 6 21:09:18.536: CRYPTO_PKI: All enrollment requests completed for trustpoint sub. Si el servidor de certificados no puede habilitar o si el servidor de certificados tiene problema que maneja la petición se ha configurado que, usted puede utilizar debug crypto pki server el comando de resolver problemas el progreso de una inscripción. Este comando se puede también utilizar para hacer el debug de raíz CA (vuelta él encendido en raíz CA). Configuración de un Servidor de Certificados para Ejecutarse en el Modo RA El servidor de certificados del Cisco IOS puede actuar como RA para Cisco IOS CA u otro otro vendedor CA leyó los detalles en el paso 8 para más información sobre transparent la opción de palabra clave si se utiliza CA de tercera persona. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto pki trustpoint nombre 4. enrollment url URL 5. subject-name x.500-name 6. exit 7. crypto pki server cs-label 8. mode ra[]transparent 9. auto-rollover []time-period 10. grant auto rollover {ca-cert | ra-cert} 11. no shutdown 12. no shutdown PASOS DETALLADOS Paso 1 Comando o acción Propósito enable Habilita el modo EXEC privilegiado. Example: Router> enable Paso 2 configure terminal • Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Example: % Importing private Encryption key PEM file... configure terminal Paso 3 crypto pki trustpoint name Example: Source filename [eencr.prv]? Paso 4 enrollment url url Example: Router (catrustpoint)# enrollment url http://caserver.company.com Paso 5 subject-name x.500name Example: Reading file from nvram:e-encr.prv Paso 6 exit Declara el trustpoint que su servidor de certificados del modo RA debe utilizar y ingresa al modo de configuración del Ca-trustpoint. Especifica la URL de inscripción del servidor de emisión de certificados CA (servidor de certificados raíz). (Opcional) especifica los asuntos que el RA utiliza. La notaincluye los “cn=ioscs RA” o los “ou=ioscs RA” en los asuntos de modo que el servidor de publicación del certificado de CA pueda reconocer el RA (véase el paso 7 abajo). Sale del modo de configuración de ca-trustpoint. Example: % Key pair import succeeded. Paso 7 crypto pki server cslabel Example: Router(config)# Habilita un servidor de certificados de Cisco IOS e ingresa en el modo de configuración de cs-server. Observeel servidor de certificados debe tener el mismo nombre que el trustpoint que fue creado en el paso 3 antedicho. Paso 8 mode ra [transparent] Example: Router(cs-server)# Paso 9 Coloca el servidor pki en el modo de servidor de certificados RA. Utilice transparent la palabra clave para permitir que el servidor CA en el modo RA interopere con más de un tipo de servidor CA. Cuando transparent se utiliza la palabra clave, el mensaje de la inscripción de la original PKCS-10 re-no se firma y se remite sin cambiar. Este mensaje de la inscripción hace que el servidor de certificados IOS RA trabaja con los servidores de CA como el Microsoft CA server. auto-rollover [timeperiod] (Opcional) habilita las funciones automáticas de la renovación del certificado de CA. • time-period - el valor predeterminado son 30 días. Example: Router(cs-server)# auto-rollover 90 Paso 10 grant auto rollover { ca-cert | ra-cert} Example: Router(cs-server)# grant auto rollover ra-cert (Opcional) Concede automáticamente las solicitudes de reinscripción a las CAs y CAs del modo RA subordinadas sin intervención del operador. • ca-cert — Especifica que el certificado subordinado de la renovación de CA está concedido automáticamente. • ra-cert — Especifica que el certificado de la renovación RA-MODE CA está concedido automáticamente. Si éste es la primera vez que un servidor de certificados subordinado está habilitado y alistado, el pedido de certificado debe ser concedido manualmente. Paso 11 no shutdown Habilita el servidor de certificados. Example: % Once you start the server, you can no longer change some of Observedespués de que este comando se publica, el RA alista automáticamente con el servidor del certificado raíz. Después de que el certificado RA se haya recibido con éxito, usted debe publicar no shutdown el comando otra vez, que vuelve a permitir el servidor de certificados. Paso 12 no shutdown Vuelve a permitir el servidor de certificados. Example: Router(cs-server)# no shutdown Configuración del Servidor de Certificado Root para Delegar las Tareas de Inscripción al Servidor de Certificados de Modo RA Realice los pasos siguientes en el router que está funcionando con el servidor de certificados de publicación; es decir, configure el servidor del certificado raíz que está delegando las tareas de la inscripción al servidor de certificados del modo RA. La notaque concede las peticiones de la inscripción para un RA es esencialmente el mismo proceso que concediendo los pedidos de la inscripción los dispositivos del cliente — salvo que las peticiones de la inscripción para un RA se visualizan en la sección “pedidos de certificado RA” de la salida de comando para crypto pki server info-requests el comando. PASOS SUMARIOS 1. permiso 2. crypto pki server peticiones de la información de la escritura de la etiqueta del cs 3. crypto pki server req-identificación de la concesión de la escritura de la etiqueta del cs 4. configure terminal 5. crypto pki server cs-label 6. grant ra-auto PASOS DETALLADOS Comando o acción Propósito Paso enable 1 Habilita el modo EXEC privilegiado. Paso crypto pki server cs-label info 2 Visualiza el pedido de certificado excepcional RA. Example: % the configuration. > enable requests Example: Are you sure you want to do this? [yes/no]: Paso crypto pki server cs-label grant req3 id Example: % Generating 1024 bit RSA keys ...[OK] • Ingrese su contraseña si se le pide que lo haga. Observeeste comando se publica en el router que está funcionando con el servidor de certificados de publicación. Concede el pedido de certificado pendiente RA. Observeporque el servidor de certificados de publicación delega la tarea de la verificación de la petición de la inscripción al RA, usted debe prestar la atención adicional al pedido de certificado RA antes de concederlo. Paso configure terminal 4 Ingresa en el modo de configuración global. Paso crypto pki server cs-label 5 Habilita un servidor de certificados de Cisco IOS e ingresa en el modo de configuración de cs-server. Example: % Certificate Server enabled. Example: Router(cs-server)# Paso grant ra-auto 6 Example: ! (Opcional) especifica que todas las peticiones de la inscripción de un RA deben ser concedidas automáticamente. Observepara que grant ra-auto el comando trabaje, usted tiene que incluir los “cn=ioscs RA” o los “ou=ioscs RA” en los asuntos del certificado RA. (Véase el paso 2 antedicho.) Pasos Siguientes Después de que usted haya configurado un servidor de certificados, usted puede utilizar los valores predeterminados preconfigurados o especificar los valores con el CLI para las funciones del servidor de certificados. Si usted elige especificar los valores con excepción de los valores por defecto, vea la sección siguiente, “configurando las funciones del servidor de certificados.” Configuración de la Funcionalidad del Servidor de Certificados Después de que usted haya habilitado un servidor de certificados y esté en el modo de configuración del servidor de certificados, utilice los pasos uces de los en esta tarea de configurar los valores básicos de las funciones del servidor de certificados con excepción de los valores predeterminados. Valores predeterminados y valores recomendados del servidor de certificados Los valores predeterminados para un servidor de certificados se piensan para dirigir una red relativamente pequeña (de cerca de diez dispositivos). Por ejemplo, las configuraciones de la base de datos son mínimas (con database level minimal el comando) y el servidor de certificados maneja todas las peticiones CRL con el SCEP. Para redes más grandes, se recomienda que usted utiliza o la configuración de la base de datos “nombra” o “completo” (según lo descrito en database level el comando) para los propósitos posibles de la auditoría y de la revocación. Dependiendo de la directiva de la verificación de CRL, usted debe también utilizar un externo CDP en una red más grande. Ubicaciones del almacenamiento y de la publicación de archivo del servidor de certificados Usted tiene la flexibilidad para salvar los tipos de archivo a diversas ubicaciones del almacenamiento y de la publicación. PASOS SUMARIOS 1. database url root-url 2. database url{cnm | crl | crt | p12 | pem | ser} root-url 3. database url{cnm | crl | crt} publish root-url 4. database level{minimal | names | complete} 5. databaseusernameusername[[]passwordencr-typepassword] 6. database archive {pkcs12 | pem} contraseñapassword encr-typedel [[]] 7. issuer-name DN-string 8. lifetime {ca-certificate | certificate} time 9. lifetime crl time 10. lifetime enrollment-request tiempo 11. cdp-url url 12. no shutdown PASOS DETALLADOS Paso 1 Comando o acción Propósito database url root-url Especifica la ubicación primaria donde las entradas de la base de datos para el servidor de certificados se escriben. Example: Router (cs-server)# database url tftp://cert-svr-db.company.com Paso 2 database url {cnm | crl | crt | p12 | pem | ser} root-url Example: Router (cs-server)# database url ser nvram: Paso 3 database url {cnm | crl | crt} publish root-url Example: Router (cs-server)# database url crl publish tftp://csdb_specific_crl_files.company.com Paso 4 Si este comando no se especifica, todas las entradas de la base de datos se escriben al NVRAM. Especifica la ubicación de almacenamiento crítica del archivo del servidor de certificados del tipo de archivo. Observesi este comando no se especifica, todos los archivos críticos se salvan a la ubicación primaria si están especificados. Si la ubicación primaria no se especifica, todos los archivos críticos se salvan al NVRAM. Especifica el servidor de certificados publican la ubicación del tipo de archivo. Observesi este comando no se especifica, todos publican los archivos se salvan a la ubicación primaria si están especificados. Si la ubicación primaria no se especifica, toda publica los archivos se salva al NVRAM. database level {minimal | names | complete Controles salvan a qué tipo de datos en la base de } datos de la inscripción del certificado. Example: Router (cs-server)# database level complete • minimal — Bastante información se salva para continuar solamente publicando los nuevos Certificados sin el conflicto; el valor predeterminado. • names — Además de la información dada en el nivel mínimo, el número de serie y los asuntos de cada certificado. • complete — Además de la información dada en los niveles mínimos y de los nombres, cada certificado publicado se escribe a la base de datos. Observe complete la palabra clave presenta una gran cantidad de información; si se publica, usted debe también especificar un servidor TFTP externo en el cual salvar los datos con database url el comando. Paso 5 database username username [password Router# encr-type] password] (Opcional) fija un nombre de usuario y contraseña cuando requieren a un usuario acceder una ubicación de almacenamiento primaria de la base Example: Router (cs-server)# database username user de datos de la inscripción del certificado. password PASSWORD Paso 6 database archive {pkcs12 | pem} [password [ (Opcional) fija la contraseña de la clave de CA y del encr-type] password] archivo del certificado de CA formato y para cifrar el Example: Router (cs-server)# database archive pem archivo. El valor predeterminado es pkcs12, así que si este submandato no se configura, autoarchiving continúa, y se utiliza el formato del PKCS12. • La contraseña es opcional. Si no se configura, le indican para la contraseña cuando se gira el servidor por primera vez. Notase recomienda que usted quita la contraseña de la configuración después de que se acabe el archivo. Paso 7 Paso 8 Paso 9 issuer-name DN-string Example: Router (cs-server)# issuer-name my-server (Opcional) fija el nombre del emisor de CA al nombre distintivo especificado (DN-string). El valor predeterminado es como sigue: issuer-name cn= { escritura de la etiqueta del cs}. lifetime {ca-certificate | certificate} time (Opcional) especifica el curso de la vida, en los días, de un certificado de CA o de un certificado. Example: Router (cs-server)# lifetime certificate 888 Los valores válidos se extienden a partir de 1 día a 1825 días. El curso de la vida predeterminado del certificado de CA es 3 años; el curso de la vida predeterminado del certificado es 1 año. La vida útil máxima del certificado es 1 mes menos que el curso de la vida del certificado de CA. lifetime crl time (Opcional) define el curso de la vida, en las horas, del CRL que es utilizado por el servidor de certificados. Example: Router (cs-server)# lifetime crl 333 El valor máximo del curso de la vida es 336 horas (2 semanas). El valor predeterminado es 168 horas (1 semana). Paso 10 lifetime enrollment-request time Example: Router (cs-server)# lifetime enrollmentrequest 888 Paso 11 cdp-url url Example: Router (cs-server)# cdp-url http://mycdp.company.com (Opcional) especifica cuánto tiempo una petición de la inscripción debe permanecer en la base de datos de la inscripción antes de ser quitada. El curso de la vida máximo es 1000 horas. (Opcional) define la ubicación CDP que se utilizará en los Certificados que son publicados por el servidor de certificados. • El URL debe ser HTTP URL. Si usted tiene los clientes PKI que no están funcionando con el Cisco IOS Software y que no soportan una petición SCEP GetCRL, utilice el formato siguiente URL: http://server.company.com/certEnroll/filename.crl O, si su servidor de certificados del Cisco IOS también se configura como su CDP, utilice el formato siguiente URL http://cs-addr/cgibin/pkiclient.exe?operation=GetCRL donde cs-addr está la ubicación del servidor de certificados. Para obligar al parser a conservar el signo de interrogación incrustado en la ubicación especificada, ingrese Ctrl-v antes del signo de interrogación. Si estas medidas no se toman, la extracción CRL con el HTTP devuelve un mensaje de error. Observeaunque este comando es opcional, se recomienda fuertemente para cualquier escenario de instrumentación. Paso 12 no shutdown Example: Router (cs-server)# no shutdown Habilita el servidor de certificados. Usted debe publicar este comando solamente después que usted ha configurado totalmente su servidor de certificados. Ejemplos El siguiente ejemplo muestra cómo configurar una ubicación CDP en donde los clientes PKI no soportan las peticiones SCEP GetCRL: Router(config)# crypto pki server aaa Router(cs-server)# database level minimum Router(cs-server)# database url tftp://10.1.1.1/username1/ Router(cs-server)# issuer-name CN=aaa Router (cs-servidor) # cdp-url http://server.company.com/certEnroll/aaa.crl Después de que un servidor de certificados se haya habilitado en un router, show crypto pki server el comando visualiza el producto siguiente: Router# show crypto pki server Certificate Server status:enabled, configured Granting mode is:manual Last certificate issued serial number:0x1 CA certificate expiration timer:19:31:15 PST Nov 17 2006 CRL NextUpdate timer:19:31:15 PST Nov 25 2003 Current storage dir:nvram: Database Level:Minimum - no cert data written to storage Trabajo con la Renovación Automática del Certificado de la CA • Inicio Inmediato de la Renovación Automatizada de Certificado de CA • Solicitud de Certificado de Renovación de un Cliente de Servidor de Certificados • Exportación de un Certificado de Renovación CA Inicio Inmediato de la Renovación Automatizada de Certificado de CA Utilice esta tarea de iniciar el proceso automatizado de la renovación del certificado de CA inmediatamente en su raíz CA servidor. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto pki server cs-label [[]rollover cancel] PASOS DETALLADOS Comando o acción Propósito Paso enable 1 Habilita el modo EXEC privilegiado. Paso configure terminal 2 Ingresa en el modo de configuración global. Paso crypto pki server cslabel [rollover [cancel]] 3 Comienza inmediatamente el proceso de la renovación del certificado de CA generando un certificado de CA de la sombra. Example: Router> enable • Ingrese su contraseña si se le pide que lo haga. Example: Router# configure terminal Example: Router(config)# crypto pki server mycs rollover Para borrar el certificado y las claves de la renovación del certificado de CA, utilice cancel la palabra clave. Solicitud de Certificado de Renovación de un Cliente de Servidor de Certificados Utilice esta tarea de pedir el certificado de la renovación de un cliente del servidor de certificados. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto pki server cs-label []rollover request pkcs10 terminal Comando o acción Paso enable Propósito 1 Example: Router> enable Paso 2 configure terminal Paso 3 crypto pki server cs-label [rollover request pkcs10 terminal] Example: Router# configure terminal Example: Router(config)# crypto pki server mycs rollover request pkcs10 terminal Habilita el modo EXEC privilegiado. • Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Pide un certificado de la renovación del cliente del servidor. PASOS DETALLADOS Ejemplos El siguiente ejemplo muestra un pedido de certificado de la renovación que es entrado en el servidor: Router# crypto pki server mycs rollover request pkcs10 terminal % Enter Base64 encoded or PEM formatted PKCS10 enrollment request. % End with a blank line or "quit" on a line by itself. -----BEGIN CERTIFICATE REQUEST----MIIBUTCBuwIBADASMRAwDgYDVQQDEwdOZXdSb290MIGfMA0GCSqGSIb3DQEBAQUA A4GNADCBiQKBgQDMHeev1ERSs320zbLQQk+3lhV/R2HpYQ/iM6uT1jkJf5iy0UPR wF/X16yUNmG+ObiGiW9fsASF0nxZw+fO7d2X2yh1PakfvF2wbP27C/sgJNOw9uPf sBxEc40Xe0d5FMh0YKOSAShfZYKOflnyQR2Drmm2x/33QGol5QyRvjkeWQIDAQAB oAAwDQYJKoZIhvcNAQEEBQADgYEALM90r4d79X6vxhD0qjuYJXfBCOvv4FNyFsjr aBS/y6CnNVYySF8UBUohXYIGTWf4I4+sj6i8gYfoFUW1/L82djS18TLrUr6wpCOs RqfAfps7HW1e4cizOfjAUU+C7lNcobCAhwF1o6q2nIEjpQ/2yfK9O7sb3SCJZBfe eW3tyCo= -----END CERTIFICATE REQUEST----- Exportación de un Certificado de Renovación CA Utilice esta tarea de exportar un certificado de la renovación de CA. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto pki export trustpoint PEM {terminal | url url} []rollover PASOS DETALLADOS Paso 1 Comando o acción Propósito enable Habilita el modo EXEC privilegiado. Example: Router> enable Paso 2 configure terminal Paso 3 crypto pki export trustpoint pem { terminal | url url} [rollover] Example: Router# configure terminal Example: Router(config)# crypto pki export mycs pem terminal rollover • Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Exporta un certificado de la sombra de CA. Mantenimiento, Verificación y Troubleshooting del Servidor de Certificados, Certificados y CA • Administración de la Base de Datos de Solicitudes de Inscripción • Remoción de Solicitudes de Inscripción de la Base de Datos de Solicitudes de Inscripción: Ejemplos • Eliminación de un Servidor de Certificados • Verificación y Troubleshooting del Servidor de Certificados y el Estado CA • Verificación de la Información del Certificado CA Administración de la Base de Datos de Solicitudes de Inscripción El SCEP soporta dos mecanismos de autenticación de cliente — clave del manual y del preshared. El Registro manual requiere al administrador en el servidor de CA autorizar específicamente las peticiones de la inscripción; la inscripción usando las claves del preshared permite que el administrador preauthorize las peticiones de la inscripción generando un contraseña que se puede utilizar una sola vez (OTP). Los pasos opcionales uces de los del uso dentro de esta tarea de ayudar a manejar la base de datos de la petición de la inscripción realizándose funcionan por ejemplo especificar los parámetros de proceso de la inscripción que deben ser utilizados por el SCEP y controlando el comportamiento en tiempo de ejecución o el servidor de certificados. PASOS SUMARIOS 1. enable 2. crypto pki servercs-labelgrant{all | req-id} 3. crypto pki servercs-labelreject{all | req-id} 4. crypto pki servercs-labelpasswordgenerate[]minutes 5. crypto pki server cs-label revoke certificate-serial-number 6. crypto pki server cs-label peticiónpkcs10 {url | terminal} [base64 | pem] 7. crypto pki server cs-label info crl 8. crypto pki server cs-label peticiones de la información PASOS DETALLADOS Comando o acción Propósito Paso enable 1 Habilita el modo EXEC privilegiado. Paso crypto pki server cs-label grant {all | req-id} 2 Concede todos o las peticiones específicas SCEP. Example: Router> enable • Ingrese su contraseña si se le pide que lo haga. Example: Router# crypto pki server mycs grant all Paso crypto pki server cs-label reject Certificate Server ca: 3 Rechaza todos o las peticiones específicas SCEP. Paso crypto pki server cs-label password generate [minutes] 4 Genera un OTP para las peticiones SCEP. all | req-id} Router# crypto pki server mycs reject all Example: Router# crypto pki server mycs password generate 75 • minutes — Longitud del tiempo, en los minutos, que la contraseña es válida. Rango de los valores válidos a partir de la 1 a 1440 minutos. El valor por defecto es 60 minutos. La notasolamente un OTP es en un momento válido; si se genera un segundo OTP, el OTP anterior es no más válido. Paso crypto pki server cs-label revoke certificate-serial5 number Example: Router# crypto pki server mycs revoke 3 Revoca un certificado en base de su número de serie. • certificate-serial-number — Una de las opciones siguientes: – Una cadena con un 0x principal, que se trata como valor hexadecimal – Una cadena con un 0 principal y ningún x, que se trata como octal – El resto de las cadenas, que se tratan como decimal Paso crypto pki server cs-label request pkcs10 Status: 6 enabled, configured url CA cert fingerprint: 5A856122 4051347F 55E8C246 866D0AC3 terminal} [base64 | pem] Example: Router# crypto pki server mycs request pkcs10 terminal pem Agrega manualmente una petición codificado en base64 o PEM-formatada de la inscripción del certificado PKCS10 a la base de datos de la petición. Después de que se conceda el certificado, se visualiza en la terminal de la consola usando la codificación del base64. • pem — Especifica el certificado que se devuelve con las encabezados PEM agregadas automáticamente al certificado después de que se conceda el certificado, sin importar si las encabezados PEM fueron utilizadas en la petición. • base64 — Especifica el certificado que se devuelve sin las encabezados del Privacy Enhanced Mail (PEM), sin importar si las encabezados PEM fueron utilizadas en la petición. Paso crypto pki server cs-label info crl 7 Visualiza la información con respecto al estatus del CRL actual. Example: Granting mode is: manual Paso crypto pki server cs-label info requests 8 Visualiza todas las peticiones excepcionales de la inscripción del certificado. Example: Last certificate issued serial number: 0x1 Quitando las peticiones de la inscripción pida la base de datos Después de que el servidor de certificados reciba una petición de la inscripción, el servidor puede dejar la petición en un estado pendiente, lo rechaza, o lo concede. Las estancias de la petición en la inscripción piden la base de datos para 1 semana hasta que el cliente sondee el servidor de certificados para el resultado de la petición. Si el cliente sale y nunca sondea el servidor de certificados, usted puede quitar las peticiones individuales o todas las peticiones de la base de datos. Utilice esta tarea de quitar las peticiones de la base de datos y de permitir que el servidor sea vuelto a una cuenta nueva en cuanto a las claves y a los ID de transacciones. También, usted puede utilizar esta tarea de ayudar a resolver problemas a un cliente SCEP que pueda no comportarse correctamente. PASOS SUMARIOS 1. enable 2. crypto pki server la escritura de la etiqueta del cs quita {all | la req-identificación} PASOS DETALLADOS Comando o acción Propósito Paso enable 1 Habilita el modo EXEC privilegiado. Paso crypto pki server cs-label remove { all | req-id} 2 Quita las peticiones de la inscripción de la base de datos de la petición de la inscripción. Example: Router> enable Example: CA certificate expiration timer: 19:44:57 GMT Oct 14 2006 crypto pki server mycs remove 15 • Ingrese su contraseña si se le pide que lo haga. Eliminación de un Servidor de Certificados Los usuarios pueden borrar un servidor de certificados de la configuración PKI si la quieren no más en la configuración. Típicamente, se está borrando un servidor de certificados subordinado o un RA. Sin embargo, los usuarios pueden borrar un servidor del certificado raíz si lo están moviendo a otro dispositivo con las claves archivadas RSA. Realice esta tarea de borrar un servidor de certificados de su configuración PKI. Observecuando un servidor de certificados se borra, el trustpoint y la clave asociados también se borran. PASOS SUMARIOS 1. permiso 2. configuró terminal 3. ninguna escritura de la etiqueta del cs crypto del servidor pki PASOS DETALLADOS Comando o acción Propósito Paso enable 1 Habilita el modo EXEC privilegiado. Paso configure terminal 2 Ingresa en el modo de configuración global. Paso no crypto pki server cs-label 3 Borra un servidor de certificados y un trustpoint y una clave asociados. Example: CRL NextUpdate timer: 19:45:25 GMT Oct 22 2003 > enable Example: Current storage dir: nvram: # configure terminal Example: Database Level: Complete - all issued certs written as <serialnum>.cer • Ingrese su contraseña si se le pide que lo haga. Verificación y Troubleshooting del Servidor de Certificados y el Estado CA Utilice los pasos opcionales de siguiente uces de los para verificar el estatus del servidor de certificados o de CA. PASOS SUMARIOS 1. enable 2. debug crypto pki server 3. dir filesystem: PASOS DETALLADOS Comando o acción Paso enable 1 Example: Router> enable Paso debug crypto pki server 2 Example: Router# Propósito Habilita el modo EXEC privilegiado. • Ingrese su contraseña si se le pide que lo haga. Permisos que hacen el debug de para un servidor de certificados crypto PKI. • Este comando se puede utilizar para monitorear el progreso de una inscripción y para localizar averías si el servidor de certificados no puede responder o si el servidor de certificados tiene problema que maneja la petición se ha configurado que. Paso dir filesystem: Visualiza una lista de archivos en un sistema de archivos. 3 • Este comando se puede utilizar para verificar el archivo Example: Router archivado automáticamente del servidor de certificados si (config)# ingresaron al comando url de base de datos de señalar a un crypto pki sistema de archivo local. Usted debe poder por lo menos ver trustpoint sub los archivos “cs-label.ser” y “cs-label.crl” en la base de datos. Verificación de la Información del Certificado CA Para obtener la información referente a los Certificados de CA incluyendo el proceso de la renovación del servidor de certificados, los Certificados de la renovación, y los temporizadores, usted puede utilizar los siguientes comandos uces de los. Observeestos comandos no son exclusivo sombrear la información del certificado. Si existe ningún certificado de la sombra, los siguientes comandos visualizan la información activa del certificado. PASOS SUMARIOS 1. crypto pki certificate chain name 2. crypto pki server cs-label peticiones de la información 3. show crypto pki certificates 4. show crypto pki server 5. show crypto pki trustpoints PASOS DETALLADOS crypto pki certificate chain Paso 1 El comando se puede utilizar para ver los detalles de la Cadena de certificados y para distinguir el certificado activo actual del certificado de la renovación en la Cadena de certificados. El siguiente ejemplo muestra una Cadena de certificados con un certificado de CA activo y una sombra, o la renovación, certificado: Router(config)# crypto pki certificate chain mica certificate 06 certificate ca 01 ! This is the peer's shadow PKI certificate. certificate rollover 0B ! This is the CA shadow PKI certificate certificate rollover ca 0A crypto pki server info requests Paso 2 El comando visualiza toda la inscripción del certificado excepcional pide el siguiente ejemplo muestra la salida para las peticiones de la información del certificado de la sombra PKI: Router# crypto pki server myca info requests Enrollment Request Database: RA certificate requests: ReqID State Fingerprint SubjectName -------------------------------------------------------------RA rollover certificate requests: ReqID State Fingerprint SubjectName -------------------------------------------------------------Router certificates requests: ReqID State Fingerprint SubjectName -------------------------------------------------------------1 pending A426AF07FE3A4BB69062E0E47198E5BF hostname=client Router rollover certificates requests: ReqID State Fingerprint SubjectName -------------------------------------------------------------2 pending B69062E0E47198E5BFA426AF07FE3A4B hostname=client show crypto pki certificates Paso 3 El comando visualiza la información sobre su certificado, el certificado de la autoridad de certificación, los Certificados de la sombra, y cualquier Certificados de las autoridades de registro. El siguiente ejemplo visualiza el certificado del router y el certificado de CA. No hay certificado de la sombra disponible. Un par clave solo, de fines generales RSA fue generado previamente, y un certificado fue pedido pero no recibido para ese par clave. Observe que el estatus del certificado del router muestra “pendiente.” Después de que el router reciba su certificado de CA, el campo de estatus cambia a “disponible” en show la salida. Router# show crypto pki certificates Certificate Subject Name Name: myrouter.example.com IP Address: 192.0.2.1 Serial Number: 04806682 Status: Pending Key Usage: General Purpose Fingerprint: 428125BD A3419600 3F6C7831 6CD8FA95 00000000 CA Certificate Status: Available Certificate Serial Number: 3051DF7123BEE31B8341DFE4B3A338E5F Key Usage: Not Set show crypto pki server Paso 4 El comando visualiza el estado actual y la configuración del servidor de certificados. El siguiente ejemplo muestra que el servidor de certificados “routercs” tiene renovación configurada. El tiempo de la auto-renovación de CA ha ocurrido y la renovación, o la sombra, certificado PKI está disponible. El estatus muestra la información del temporizador de vencimiento del certificado de CA de la huella dactilar y de la renovación del certificado de la renovación. Router# show crypto pki server Certificate Server routercs: Status: enabled, configured Issuer name: CN=walnutcs CA cert fingerprint: 800F5944 74337E5B C2DF6C52 9A7B1BDB Granting mode is: auto Last certificate issued serial number: 0x7 CA certificate expiration timer: 22:10:29 GMT Jan 29 2007 CRL NextUpdate timer: 21:50:56 GMT Mar 5 2004 Current storage dir: nvram: Database Level: Minimum - no cert data written to storage Rollover status: available for rollover Rollover CA cert fingerprint: 6AAF5944 74227A5B 23DF3E52 9A7F1FEF Rollover CA certificate expiration timer: 22:10:29 GMT Jan 29 2017 show crypto pki trustpoints Paso 5 El comando visualiza el trustpoints que se configura en el router. El producto siguiente muestra que un certificado de CA de la sombra está disponible y muestra las capacidades SCEP señaladas durante la operación más reciente de la inscripción: Router# show crypto pki trustpoints Trustpoint vpn: Subject Name: cn=Cisco SSL CA o=Cisco Systems Serial Number: 0FFEBBDC1B6F6D9D0EA7875875E4C695 Certificate configured. Rollover certificate configured. Enrollment Protocol: SCEPv1, PKI Rollover Ejemplos de Configuración del Uso de un Servidor de Certificados • Configuración de Ubicaciones Específicas de Almacenamiento y Publicación: Ejemplos • Remoción de Solicitudes de Inscripción de la Base de Datos de Solicitudes de Inscripción: Ejemplos • Archivado Automático de las Llaves Root del Servidor de Certificados: Ejemplos • Restauración de un Servidor de Certificados a partir de las Copias de Seguridad del Servidor de Certificados: Ejemplos • Servidor de Certificados Subordinado: Ejemplo: • Servidor de Certificados de Modo RA: Ejemplo: • Habilitación de la Renovación del certificado CA para Iniciar Inmediatamente: Ejemplo: Configuración de Ubicaciones Específicas de Almacenamiento y Publicación: Ejemplos El siguiente ejemplo muestra la configuración de un sistema de archivo local mínimo, de modo que el servidor de certificados pueda responder rápidamente a los pedidos de certificado. Los archivos .ser y .crl se salvan en el archivo de sistema de IOS del Cisco local para el acceso rápido, y una copia de todos los archivos .crt se publica a un lugar remoto para el registro a largo plazo. crypto pki server myserver !Pick your database level. database level minimum !Specify a location for the .crt files that is different than the default local !Cisco IOS file system. database url crt publish http://url username user1 password secret El espacio librede la nota en el sistema de archivo local debe ser monitoreado, en caso de que el archivo .crl llegue a ser demasiado grande. El siguiente ejemplo muestra la configuración de una ubicación de almacenamiento primario para los archivos críticos, una ubicación de almacenamiento específica para el archivo crítico del número de serie del fichero, el archivo de base de datos principal del servidor de certificados, y una ubicación protegida contraseña de la publicación del archivo para el archivo CRL: Router(config)# crypto pki server mycs Router(cs-server)# database url ftp://cs-db.company.com ! % Server database url was changed. You need to move the % existing database to the new location. ! Router(cs-server)# database url ser nvram: Router(cs-server)# database url crl publish ftp://crl.company.com username myname password mypassword Router(cs-server)# end El producto siguiente visualiza la ubicación de almacenamiento primario especificada y las ubicaciones de almacenamiento críticas del archivo especificadas: Router# show Sep 3 20:19:34.216: %SYS-5-CONFIG_I: Configured from console by user on console Router# show crypto pki server Certificate Server mycs: Status: disabled Server's configuration is unlocked (enter "no shut" to lock it) Issuer name: CN=mycs CA cert fingerprint: -Not foundGranting mode is: manual Last certificate issued serial number: 0x0 CA certificate expiration timer: 00:00:00 GMT Jan 1 1970 CRL not present. Current primary storage dir: ftp://cs-db.company.com Current storage dir for .ser files: nvram: Database Level: Minimum - no cert data written to storage The following output displays all storage and publication locations. The serial number file (.ser) is stored in NVRAM. The CRL file will be published to ftp://crl.company.com with a username and password. All other critical files will be stored to the primary location, ftp://cs-db.company.com. Router# show running-config section crypto pki server crypto pki server mycs shutdown database url ftp://cs-db.company.com database url crl publish ftp://crl.company.com username myname password 7 12141C0713181F13253920 database url ser nvram: Router# Remoción de Solicitudes de Inscripción de la Base de Datos de Solicitudes de Inscripción: Ejemplos Los siguientes ejemplos muestran a ambos las peticiones de la inscripción que están actualmente en la base de datos de la petición de la inscripción y el resultado después de que una de las peticiones de la inscripción se haya quitado de la base de datos. Petición de la inscripción actualmente en la base de datos de la petición de la inscripción El siguiente ejemplo muestra que crypto pki server info requests se ha utilizado el comando de visualizar las peticiones de la inscripción que están actualmente en la base de datos de la petición de la inscripción: Router# crypto pki server myserver info requests Enrollment Request Database: RA certificate requests: ReqID State Fingerprint SubjectName -----------------------------------------------------------------------Router certificates requests: ReqID State Fingerprint SubjectName -----------------------------------------------------------------------2 pending 1B07F3021DAAB0F19F35DA25D01D8567 hostname=host1.company.com 1 denied 5322459D2DC70B3F8EF3D03A795CF636 hostname=host2.company.com comando remove crypto del servidor pki usado para quitar una petición de la inscripción El siguiente ejemplo muestra que crypto pki server remove se ha utilizado el comando de quitar la petición 1 de la inscripción: Router# crypto pki server myserver remove 1 Base de datos de la petición de la inscripción después del retiro de una petición de la inscripción El siguiente ejemplo muestra el resultado del retiro de la petición 1 de la inscripción de la base de datos de la petición de la inscripción: Router# crypto pki server mycs info requests Enrollment Request Database: RA certificate requests: ReqID State Fingerprint SubjectName ----------------------------------------------------------------Router certificates requests: ReqID State Fingerprint SubjectName ----------------------------------------------------------------2 pending 1B07F3021DAAB0F19F35DA25D01D8567 hostname=host1.company.com Archivado Automático de las Llaves Root del Servidor de Certificados: Ejemplos Las configuraciones de producto siguiente y la demostración de los ejemplos qué usted puede ser que vea si database archive el comando no se ha configurado (es decir, configurado usando el valor predeterminado); si database archive se ha configurado el comando de fijar el certificado de CA y el formato dominante del archivo de CA como PEM, sin configurar una contraseña; y si database archive se ha configurado el comando de fijar el certificado de CA y el formato dominante del archivo de CA como PKCS12, con una contraseña configurada. El ejemplo más reciente es contenido de la muestra de un archivo PEM-formatado. comando archive de la base de datos no configurado Observeel valor por defecto es PKCS12, y el prompt para la contraseña aparece después de que no shutdown se haya publicado el comando. Router (config)# crypto pki server myserver Router (cs-server)# no shutdown % Generating 1024 bit RSA keys ...[OK] % Ready to generate the CA certificate. %Some server settings cannot be changed after CA certificate generation. Are you sure you want to do this? [yes/no]: y % Exporting Certificate Server signing certificate and keys... ! Note the next two lines, which are asking for a password. % Please enter a passphrase to protect the private key. Password: % Certificate Server enabled. Router (cs-server)# end Router# dir nvram: Directory of nvram:/ 125 -rw- 1693 <no date> startup-config 126 ---- 5 <no date> private-config 1 -rw- 32 <no date> myserver.ser 2 -rw- 214 <no date> myserver.crl ! Note the next line, which indicates PKCS12 format. 3 -rw- 1499 <no date> myserver.p12 comando archive de la base de datos y palabra clave PEM configurada Observeel prompt para la contraseña aparece después de que no shutdown se haya publicado el comando. Router (config)# crypto pki server myserver Router (cs-server)# database archive pem Router (cs-server)# no shutdown % Generating 1024 bit RSA keys ...[OK] % Ready to generate the CA certificate. %Some server settings cannot be changed after CA certificate generation. Are you sure you want to do this? [yes/no]: y % Exporting Certificate Server signing certificate and keys... !Note the next two lines, which are asking for a password. % Please enter a passphrase to protect the private key. Password: % Certificate Server enabled. Router (cs-server)# end Router# dir nvram Directory of nvram:/ 125 -rw- 1693 <no date> startup-config 126 ---- 5 <no date> private-config 1 -rw- 32 <no date> myserver.ser 2 -rw- 214 <no date> myserver.crl ! Note the next line showing that the format is PEM. 3 -rw- 1705 <no date> myserver.pem comando archive de la base de datos y palabra clave del pkcs12 (y contraseña) configuradas Observecuando la contraseña se ingresa, se cifra. Sin embargo, se recomienda que usted quita la contraseña de la configuración después de que el archivo haya acabado. Router (config)# crypto pki server myserver Router (cs-server)# database archive pkcs12 password cisco123 Router (cs-server)# no shutdown % Generating 1024 bit RSA keys ...[OK] % Ready to generate the CA certificate. % Some server settings cannot be changed after CA certificate generation. Are you sure you want to do this? [yes/no]: y % Exporting Certificate Server signing certificate and keys... ! Note that you are not being prompted for a password. % Certificate Server enabled. Router (cs-server)# end Router# dir nvram: Directory of nvram:/ 125 -rw- 1693 <no date> startup-config 126 ---- 5 <no date> private-config 1 -rw- 32 <no date> myserver.ser 2 -rw- 214 <no date> myserver.crl ! Note that the next line indicates that the format is PKCS12. 3 -rw- 1499 <no date> myserver.p12 Archivo PEM-formatado La salida de muestra siguiente muestra que autoarchiving se ha configurado en el formato de archivo PEM. El archivo consiste en el certificado de CA y la clave privada de CA. Para restablecer el servidor de certificados usando el respaldo, usted tendría que importar el certificado de CA y la clave PEM-formatados de CA individualmente. Observeademás del certificado de CA y los archivos dominantes de CA, usted debe también sostener el archivo serial (.ser) y el archivo CRL (.crl) regularmente. El archivo serial y el archivo CRL son críticos para el funcionamiento de CA si se necesita restablecer el servidor de certificados. Router# more nvram:mycs.pem -----BEGIN CERTIFICATE----MIIB9zCCAWCgAwIBAgIBATANBgkqhkiG9w0BAQQFADAPMQ0wCwYDVQQDEwRteWNz MB4XDTA0MDgyNzAyMzI0NloXDTA3MDgyNzAyMzI0NlowDzENMAsGA1UEAxMEbXlj czCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA1lZpKP4nGDJHgPkpYSkix7lD nr23aMlZ9Kz5oo/qTBxeZ8mujpjYcZ0T8AZvoOiCuDnYMl796ZwpkMgjz1aZZbL+ BtuVvllsEOfhC+u/Ol/vxfGG5xpshoz/F5J3xdg5ZZuWWuIDAUYu9+QbI5feuG04 Z/BiPIb4AmGTP4B2MM0CAwEAAaNjMGEwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8B Af8EBAMCAYYwHwYDVR0jBBgwFoAUKi/cuK6wkz+ZswVtb06vUJboEeEwHQYDVR0O BBYEFCov3LiusJM/mbMFbW9Or1CW6BHhMA0GCSqGSIb3DQEBBAUAA4GBAKLOmoE2 4+NeOKEXMCXG1jcohK7O2HrkFfl/vpK0+q92PTnMUFhxLOqI8pWIq5CCgC7heace OrTv2zcUAoH4rzx3Rc2USIxkDokWWQMLujsMm/SLIeHit0G5uj//GCcbgK20MAW6 ymf7+TmblSFljWzstoUXC2hLnsJIMq/KffaD -----END CERTIFICATE----!The private key is protected by the password that is configured in "database archive pem password pwd" or that is entered when you are prompted for the password. -----BEGIN RSA PRIVATE KEY----Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,106CE91FFD0A075E zyiFC8rKv8Cs+IKsQG2QpsVpvDBHqZqBSM4D528bvZv7jzr6WuHj8E6zO+6G8R/A zjsfTALo+e+ZDg7KMzbryHARvjskbqFdOMLlVIYBhCeSElKsskWB6chOuyPHJInW JwC5YzZdZwOqcyLBP/xOYXcvjzzNfPAXZzN12VR8vWDNq/kHT+3Lplc8hY++ABMI M+C9FB3dpNZzu5O1BZCJg46bqbkulaCCmScIDaVt0zDFZwWTSufiemmNxZBG4xS8 t5t+FEhmSfv8DAmwg4f/KVRFTm10phUArcLxQO38Al0W5YHHORdACnuzVUvHgco7 VT4XUTjO7qMhmJgFNWy1pu49fbdS2NnOn5IoiyAq5lk1KUPrz/WABWiCvLMylGnZ kyMCWoaMtgS/vdx74BBCj09yRZJnLMlIi6SDofjCNTDHfmFEVg4LsSWCd4lP9OP8 0MqhP1D5VIx6PbMNwkWW12lpBbCCdesFRGHjZD2dOu96kHD7ItErx34CC8W04aG4 b7DLktUu6WNV6M8g3CAqJiC0V8ATlp+kvdHZVkXovgND5IU0OJpsj0HhGzKAGpOY KTGTUekUboISjVVkI6efp1vO6temVL3Txg3KGhzWMJGrq1snghE0KnV8tkddv/9N d/t1l+we9mrccTq50WNDnkEi/cwHI/0PKXg+NDNH3k3QGpAprsqGQmMPdqc5ut0P 86i4cF9078QwWg4Tpay3uqNH1Zz6UN0tcarVVNmDupFESUxYw10qJrrEYVRadu74 rKAU4Ey4xkAftB2kuqvr21Av/L+jne4kkGIoZYdB+p/M98pQRgkYyg== -----END RSA PRIVATE KEY----- Restauración de un Servidor de Certificados a partir de las Copias de Seguridad del Servidor de Certificados: Ejemplos El siguiente ejemplo muestra que la restauración es de un archivo del PKCS12 y que la base de datos URL es NVRAM (el valor por defecto). Router# copy tftp://192.0.2.71/backup.ser nvram:mycs.ser Destination filename [mycs.ser]? 32 bytes copied in 1.320 secs (24 bytes/sec) Router# copy tftp://192.0.2.71/backup.crl nvram:mycs.crl Destination filename [mycs.crl]? 214 bytes copied in 1.324 secs (162 bytes/sec) Router# configure terminal Router (config)# crypto pki import mycs pkcs12 tftp://192.0.2.71/backup.p12 cisco123 Source filename [backup.p12]? CRYPTO_PKI: Imported PKCS12 file successfully. Router (config)# crypto pki server mycs ! fill in any certificate server configuration here Router (cs-server)# no shutdown % Certificate Server enabled. Router (cs-server)# end Router# show crypto pki server Certificate Server mycs: Status: enabled Server's current state: enabled Issuer name: CN=mycs CA cert fingerprint: 34885330 B13EAD45 196DA461 B43E813F Granting mode is: manual Last certificate issued serial number: 0x1 CA certificate expiration timer: 01:49:13 GMT Aug 28 2007 CRL NextUpdate timer: 01:49:16 GMT Sep 4 2004 Current storage dir: nvram: Database Level: Minimum - no cert data written to storage El siguiente ejemplo muestra que la restauración es de un archivo PEM y que la base de datos URL es flash: Router# copy tftp://192.0.2.71/backup.ser flash:mycs.ser Destination filename [mycs.ser]? 32 bytes copied in 1.320 secs (24 bytes/sec) Router# copy tftp://192.0.2.71/backup.crl flash:mycs.crl Destination filename [mycs.crl]? 214 bytes copied in 1.324 secs (162 bytes/sec) Router# configure terminal ! Because CA cert has Digital Signature usage, you need to import using the "usage-keys" keyword Router (config)# crypto ca import mycs pem usage-keys terminal cisco123 % Enter PEM-formatted CA certificate. % End with a blank line or "quit" on a line by itself. ! Paste the CA cert from .pem archive. -----BEGIN CERTIFICATE----MIIB9zCCAWCgAwIBAgIBATANBgkqhkiG9w0BAQQFADAPMQ0wCwYDVQQDEwRteWNz MB4XDTA0MDkwMjIxMDI1NloXDTA3MDkwMjIxMDI1NlowDzENMAsGA1UEAxMEbXlj czCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAuGnnDXJbpDDQwCuKGs5Zg2rc K7ZJauSUotTmWYQvNx+ZmWrUs5/j9Ee5FV2YonirGBQ9mc6u163kNlrIPFck062L GpahBhNmKDgod1o2PHTnRlZpEZNDIqU2D3hACgByxPjrY4vUnccV36ewLnQnYpp8 szEu7PYTJr5dU5ltAekCAwEAAaNjMGEwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8B Af8EBAMCAYYwHwYDVR0jBBgwFoAUaEEQwYKCQ1dm9+wLYBKRTlzxaDIwHQYDVR0O BBYEFGhBEMGCgkNXZvfsC2ASkU5c8WgyMA0GCSqGSIb3DQEBBAUAA4GBAHyhiv2C mH+vswkBjRA1Fzzk8ttu9s5kwqG0dXp25QRUWsGlr9nsKPNdVKt3P7p0A/KochHe eNiygiv+hDQ3FVnzsNv983le6O5jvAPxc17RO1BbfNhqvEWMsXdnjHOcUy7XerCo +bdPcUf/eCiZueH/BEy/SZhD7yovzn2cdzBN -----END CERTIFICATE----% Enter PEM-formatted encrypted private SIGNATURE key. % End with "quit" on a line by itself. ! Paste the CA private key from .pem archive. -----BEGIN RSA PRIVATE KEY----Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,5053DC842B04612A 1CnlF5Pqvd0zp2NLZ7iosxzTy6nDeXPpNyJpxB5q+V29IuY8Apb6TlJCU7YrsEB/ nBTK7K76DCeGPlLpcuyEI171QmkQJ2gA0QhC0LrRo09WrINVH+b4So/y7nffZkVb p2yDpZwqoJ8cmRH94Tie0YmzBtEh6ayOud11z53qbrsCnfSEwszt1xrW1MKrFZrk /fTy6loHzGFzl3BDj4r5gBecExwcPp74ldHO+Ld4Nc9egG8BYkeBCsZZOQNVhXLN I0tODOs6hP915zb6OrZFYv0NK6grTBO9D8hjNZ3U79jJzsSP7UNzIYHNTzRJiAyu i56Oy/iHvkCSNUIK6zeIJQnW4bSoM1BqrbVPwHU6QaXUqlNzZ8SDtw7ZRZ/rHuiD RTJMPbKquAzeuBss1132OaAUJRStjPXgyZTUbc+cWb6zATNws2yijPDTR6sRHoQL 47wHMr2Yj80VZGgkCSLAkL88ACz9TfUiVFhtfl6xMC2yuFl+WRk1XfF5VtWe5Zer 3Fn1DcBmlF7O86XUkiSHP4EV0cI6n5ZMzVLx0XAUtdAl1gD94y1V+6p9PcQHLyQA pGRmj5IlSFw90aLafgCTbRbmC0ChIqHy91UFa1ub0130+yu7LsLGRlPmJ9NE61JR bjRhlUXItRYWY7C4M3m/0wz6fmVQNSumJM08RHq6lUB3olzIgGIZlZkoaESrLG0p qq2AENFemCPF0uhyVS2humMHjWuRr+jedfc/IMl7sLEgAdqCVCfV3RZVEaNXBud1 4QjkuTrwaTcRXVFbtrVioT/puyVUlpA7+k7w+F5TZwUV08mwvUEqDw== -----END RSA PRIVATE KEY----quit % Enter PEM-formatted SIGNATURE certificate. % End with a blank line or "quit" on a line by itself. ! Paste the CA cert from .pem archive again. -----BEGIN CERTIFICATE----MIIB9zCCAWCgAwIBAgIBATANBgkqhkiG9w0BAQQFADAPMQ0wCwYDVQQDEwRteWNz MB4XDTA0MDkwMjIxMDI1NloXDTA3MDkwMjIxMDI1NlowDzENMAsGA1UEAxMEbXlj czCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAuGnnDXJbpDDQwCuKGs5Zg2rc K7ZJauSUotTmWYQvNx+ZmWrUs5/j9Ee5FV2YonirGBQ9mc6u163kNlrIPFck062L GpahBhNmKDgod1o2PHTnRlZpEZNDIqU2D3hACgByxPjrY4vUnccV36ewLnQnYpp8 szEu7PYTJr5dU5ltAekCAwEAAaNjMGEwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8B Af8EBAMCAYYwHwYDVR0jBBgwFoAUaEEQwYKCQ1dm9+wLYBKRTlzxaDIwHQYDVR0O BBYEFGhBEMGCgkNXZvfsC2ASkU5c8WgyMA0GCSqGSIb3DQEBBAUAA4GBAHyhiv2C mH+vswkBjRA1Fzzk8ttu9s5kwqG0dXp25QRUWsGlr9nsKPNdVKt3P7p0A/KochHe eNiygiv+hDQ3FVnzsNv983le6O5jvAPxc17RO1BbfNhqvEWMsXdnjHOcUy7XerCo +bdPcUf/eCiZueH/BEy/SZhD7yovzn2cdzBN -----END CERTIFICATE----% Enter PEM-formatted encrypted private ENCRYPTION key. % End with "quit" on a line by itself. ! Because the CA cert only has Digital Signature usage, skip the encryption part. quit % PEM files import succeeded. Router (config)# crypto pki server mycs Router (cs-server)# database url flash: ! Fill in any certificate server configuration here. Router (cs-server)# no shutdown % Certificate Server enabled. Router (cs-server)# end Router # show crypto pki server Certificate Server mycs: Status: enabled Server's current state: enabled Issuer name: CN=mycs CA cert fingerprint: F04C2B75 E0243FBC 19806219 B1D77412 Granting mode is: manual Last certificate issued serial number: 0x2 CA certificate expiration timer: 21:02:55 GMT Sep 2 2007 CRL NextUpdate timer: 21:02:58 GMT Sep 9 2004 Current storage dir: flash: Database Level: Minimum - no cert data written to storage Servidor de Certificados Subordinado: Ejemplo: La configuración y la salida siguientes es típicas de lo que usted puede ser que vea después de configurar un servidor de certificados subordinado: Router (config)# crypto pki trustpoint sub Router (ca-trustpoint)# enrollment url http://192.0.2.6 Router (ca-trustpoint)# exit Router (config)# crypto pki server sub Router (cs-server)# mode sub-cs Router (ca-server)# no shutdown %Some server settings cannot be changed after CA certificate generation. % Please enter a passphrase to protect the private key % or type Return to exit Password: Jan 6 22:32:22.698: CRYPTO_CS: enter FSM: input state initial, input signal no shut Re-enter password: % Generating 1024 bit RSA keys ... Jan 6 22:32:30.302: CRYPTO_CS: starting enabling checks Jan 6 22:32:30.306: CRYPTO_CS: key 'sub' does not exist; generated automatically [OK] Jan 6 22:32:39.810: %SSH-5-ENABLED: SSH 1.99 has been enabled Certificate has the following attributes: Fingerprint MD5: 328ACC02 52B25DB8 22F8F104 B6055B5B Fingerprint SHA1: 02FD799D DD40C7A8 61DC53AB 1E89A3EA 2A729EE2 % Do you accept this certificate? [yes/no]: Jan 6 22:32:44.830: CRYPTO_CS: nvram filesystem Jan 6 22:32:44.922: CRYPTO_CS: serial number 0x1 written. Jan 6 22:32:46.798: CRYPTO_CS: created a new serial file. Jan 6 22:32:46.798: CRYPTO_CS: authenticating the CA 'sub'y Trustpoint CA certificate accepted.% % Certificate request sent to Certificate Authority % Enrollment in progress... Router (cs-server)# Jan 6 22:33:30.562: CRYPTO_CS: Publishing 213 bytes to crl file nvram:sub.crl Jan 6 22:33:32.450: CRYPTO_CS: enrolling the server's trustpoint 'sub' Jan 6 22:33:32.454: CRYPTO_CS: exit FSM: new state check failed Jan 6 22:33:32.454: CRYPTO_CS: cs config has been locked Jan 6 22:33:33.118: CRYPTO_PKI: Certificate Request Fingerprint MD5: CED89E5F 53B9C60E > AA123413 CDDAD964 Jan 6 22:33:33.118: CRYPTO_PKI: 7D2C8B23 98CB10E7 718E84B1 Certificate Request Fingerprint SHA1: 70787C76 ACD7E67F % Exporting Certificate Server signing certificate and keys... Jan 6 22:34:53.839: %PKI-6-CERTRET: Certificate received from Certificate Authority Jan 6 22:34:53.843: CRYPTO_CS: enter FSM: input state check failed, input signal cert configured Jan 6 22:34:53.843: CRYPTO_CS: starting enabling checks Jan 6 22:34:53.843: CRYPTO_CS: nvram filesystem Jan 6 22:34:53.883: CRYPTO_CS: found existing serial file. Jan 6 22:34:53.907: CRYPTO_CS: old router cert flag 0x4 Jan 6 22:34:53.907: CRYPTO_CS: new router cert flag 0x44 Jan 6 22:34:56.511: CRYPTO_CS: DB version Jan 6 22:34:56.511: CRYPTO_CS: last issued serial number is 0x1 Jan 6 22:34:56.551: CRYPTO_CS: CRL file sub.crl exists. Jan 6 22:34:56.551: CRYPTO_CS: Read 213 bytes from crl file sub.crl. Jan 6 22:34:56.603: CRYPTO_CS: SCEP server started Jan 6 22:34:56.603: CRYPTO_CS: exit FSM: new state enabled Jan 6 22:34:56.603: CRYPTO_CS: cs config has been locked Jan 6 22:35:02.359: CRYPTO_CS: enter FSM: input state enabled, input signal time set Jan 6 22:35:02.359: CRYPTO_CS: exit FSM: new state enabled Jan 6 22:35:02.359: CRYPTO_CS: cs config has been locked Diferenciación del servidor del certificado raíz: Ejemplo: Al publicar los Certificados, el servidor del certificado raíz (o el servidor de certificados subordinado del padre) distingue el pedido de certificado de “CA sub,” “RA,” y las solicitudes de peer, tal y como se muestra en de la salida de muestra siguiente: Router# crypto pki server server1 info req Enrollment Request Database: RA certificate requests: ReqID State Fingerprint SubjectName ---------------------------------------------------------------------------Subordinate CS certificate requests: ReqID State Fingerprint SubjectName ---------------------------------------------------------------------------1 pending CB9977AD8A73B146D3221749999B0F66 hostname=host-subcs.company.com RA certificate requests: ReqID State Fingerprint SubjectName ----------------------------------------------------------------------------Router certificate requests: ReqID State Fingerprint SubjectName ----------------------------------------------------------------------------- Muestre la salida para un servidor de certificados subordinado: Ejemplo: El producto siguiente show crypto pki server command indica que se ha configurado un servidor de certificados subordinado: Router# show crypto pki server Certificate Server sub: Status: enabled Server's configuration is locked (enter "shut" to unlock it) Issuer name: CN=sub CA cert fingerprint: 11B586EE 3B354F33 14A25DDD 7BD39187 Server configured in subordinate server mode Upper CA cert fingerprint: 328ACC02 52B25DB8 22F8F104 B6055B5B Granting mode is: manual Last certificate issued serial number: 0x1 CA certificate expiration timer: 22:33:44 GMT Jan 6 2006 CRL NextUpdate timer: 22:33:29 GMT Jan 13 2005 Current storage dir: nvram: Database Level: Minimum - no cert data written to storage Servidor de Certificados de Modo RA: Ejemplo: El producto siguiente es típico de lo que usted puede ser que vea después configurar un servidor de certificados del modo RA: Router-ra (config)# crypto pki trustpoint myra Router-ra (ca-trustpoint)# enrollment url http://192.0.2.17 ! Include "cn=ioscs RA" or "ou=ioscs RA" in the subject-name. Router-ra (ca-trustpoint)# subject-name cn=myra, ou=ioscs RA, o=company, c=us Router-ra (ca-trustpoint)# exit Router-ra (config)# crypto pki server myra Router-ra (cs-server)# mode ra Router-ra (cs-server)# no shutdown % Generating 1024 bit RSA keys ...[OK] Certificate has the following attributes: Fingerprint MD5: 32661452 0DDA3CE5 8723B469 09AB9E85 Fingerprint SHA1: 9785BBCD 6C67D27C C950E8D0 718C7A14 C0FE9C38 % Do you accept this certificate? [yes/no]: yes Trustpoint CA certificate accepted. % Ready to request the CA certificate. %Some server settings cannot be changed after the CA certificate has been requested. Are you sure you want to do this? [yes/no]: yes % % Start certificate enrollment .. % Create a challenge password. You will need to verbally provide this password to the CA administrator in order to revoke your certificate. For security reasons your password will not be saved in the configuration. Please make a note of it. Password: Re-enter password: % The subject name in the certificate will include: cn=myra, ou=ioscs RA, o=company, c=us % The subject name in the certificate will include: Router-ra.company.com % Include the router serial number in the subject name? [yes/no]: no % Include an IP address in the subject name? [no]: no Request certificate from CA? [yes/no]: yes % Certificate request sent to Certificate Authority % The certificate request fingerprint will be displayed. % The 'show crypto pki certificate' command will also show the fingerprint. % Enrollment in progress... Router-ra (cs-server)# Sep 15 22:32:40.197: CRYPTO_PKI: AAF093CD 07747D3A Certificate Request Fingerprint MD5: 82B41A76 AF4EC87D Sep 15 22:32:40.201: CRYPTO_PKI: 0FED05F7 0115FD3A 4FFC5231 Certificate Request Fingerprint SHA1: 897CDF40 C6563EAA Sep 15 22:34:00.366: %PKI-6-CERTRET: Certificate received from Certificate Authority Router-ra (cs-server)# Router-ra(cs-server)# end Router-ra# show crypto pki server Certificate Server myra: Status: enabled Issuer name: CN=myra CA cert fingerprint: 32661452 0DDA3CE5 8723B469 09AB9E85 ! Note that the certificate server is running in RA mode Server configured in RA mode RA cert fingerprint: C65F5724 0E63B3CC BE7AE016 BE0D34FE Granting mode is: manual Current storage dir: nvram: Database Level: Minimum - no cert data written to storage El producto siguiente muestra la base de datos de la petición de la inscripción del servidor de certificados de publicación después de que se haya habilitado el RA: Observeel pedido de certificado RA es reconocido por el servidor de certificados de publicación porque los “ou=ioscs RA” se enumeran en los asuntos. Router-ca# crypto pki server mycs info request Enrollment Request Database: Subordinate CA certificate requests: ReqID State Fingerprint SubjectName -------------------------------------------------------------! The request is identified as RA certificate request. RA certificate requests: ReqID State Fingerprint SubjectName -------------------------------------------------------------12 pending 88F547A407FA0C90F97CDE8900A30CB0 hostname=Router-ra.company.com,cn=myra,ou=ioscs RA,o=company,c=us Router certificates requests: ReqID State Fingerprint SubjectName -------------------------------------------------------------! Issue the RA certificate. Router-ca# crypto pki server mycs grant 12 El producto siguiente muestra que el servidor de certificados de publicación está configurado para publicar un certificado automáticamente si la petición viene de un RA: Router-ca(config)# crypto pki server mycs Router-ca (cs-server)# grant ra-auto % This will cause all certificate requests already authorized by known RAs to be automatically granted. Are you sure you want to do this? [yes/no]: yes Router-ca (cs-server)# end Router-ca# show crypto pki server Certificate Server mycs: Status: enabled Server's current state: enabled Issuer name: CN=mycs CA cert fingerprint: 32661452 0DDA3CE5 8723B469 09AB9E85 ! Note that the certificate server will issue certificate for requests from the RA. Granting mode is: auto for RA-authorized requests, manual otherwise Last certificate issued serial number: 0x2 CA certificate expiration timer: 22:29:37 GMT Sep 15 2007 CRL NextUpdate timer: 22:29:39 GMT Sep 22 2004 Current storage dir: nvram: Database Level: Minimum - no cert data written to storage El siguiente ejemplo muestra la configuración del “myra”, un servidor RA, configurado para soportar la renovación automática del “myca”, CA. Después de que se configure el servidor RA, la concesión automática de las peticiones del reenrollment del certificado se habilita: crypto pki trustpoint myra enrollment url http://myca subject-name ou=iosca RA rsakeypair myra crypto pki server myra mode ra auto-rollover crypto pki server mycs grant auto rollover ra-cert auto-rollover 25 Habilitación de la Renovación del certificado CA para Iniciar Inmediatamente: Ejemplo: Las demostraciones del siguiente ejemplo cómo habilitar la renovación automatizada del certificado de CA en los mycs del servidor con crypto pki server el comando. show crypto pki server El comando entonces muestra al estado actual del servidor de los mycs y que el certificado de la renovación está actualmente disponible para la renovación. Router(config)# crypto pki server mycs rollover Jun 20 23:51:21.211:%PKI-4-NOSHADOWAUTOSAVE:Configuration was modified. Issue "write memory" to save new IOS CA certificate ! The config has not been automatically saved because the config has been changed. Router# show crypto pki server Certificate Server mycs: Status:enabled Server's configuration is locked (enter "shut" to unlock it) Issuer name:CN=mycs CA cert fingerprint:E7A5FABA 5D7AA26C F2A9F7B3 03CE229A Granting mode is:manual Last certificate issued serial number:0x2 CA certificate expiration timer:00:49:26 PDT Jun 20 2008 CRL NextUpdate timer:00:49:29 PDT Jun 28 2005 Current storage dir:nvram: Database Level:Minimum - no cert data written to storage Rollover status:available for rollover ! Rollover certificate is available for rollover. Rollover CA certificate fingerprint:9BD7A443 00A6DD74 E4D9ED5F B7931BE0 Rollover CA certificate expiration time:00:49:26 PDT Jun 20 2011 Auto-Rollover configured, overlap period 25 days Adonde ir después Después de que el servidor de certificados se esté ejecutando con éxito, usted puede o comenzar a alistar a los clientes a través de los mecanismos manuales (como se explica en el módulo la “que configura inscripción del certificado para un PKI” de la guía de configuración de seguridad: La conectividad segura) o comienza a configurar el SDP, que es una interfaz basada en web de la inscripción, (como se explica en el módulo “que configura asegura el dispositivo Provisioning (SDP) para la inscripción en un PKI” de la guía de configuración de seguridad: Conectividad segura). Referencias adicionales Documentos Relacionados Tema relacionado Título del documento Comandos de Cisco IOS El Cisco IOS domina los comandos list, todos las versiones PKI y comandos security Referencia de Comandos de Seguridad de Cisco IOS Operaciones RSA de Token USB: “Configurando la inscripción del certificado para capítulo PKI” Usando las claves RSA en un Token en la guía de configuración de la Seguridad de Cisco IOS: USB para el autoenrollment inicial Conectividad segura. Vea “configurando la sección de los servidores de certificados”. Operaciones RSA de Token USB: Beneficios de usar tokens USB “Salvando módulo de las credenciales PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura. Inscripción del certificado del cliente del servidor de certificados, autoenrollment, y renovación automática “Configurando la inscripción del certificado para módulo PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura. El configurar y registración en un Token USB “Salvando módulo de las credenciales PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura. Inscripción del certificado basada en “Configurando asegure el dispositivo Provisioning (SDP) para web la inscripción en módulo PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura. Claves RSA en los archivos formatados PEM “Claves RSA que despliegan dentro módulo de un PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura. Elegir un mecanismo de la revocación de certificado “Configurando la autorización y la revocación de los Certificados en módulo PKI” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura. Asistencia Técnica Descripción Link El Web site del soporte y de la documentación http://www.cisco.com/cisco/web/LA/support/index.html de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com. Información sobre la Función Cisco IOS Certificate Server El cuadro 4 enumera el historial de la versión para esta característica. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere. Observelas listas del cuadro 4 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica. Nombre de la función Versiones Información sobre la Función Mejoras del Token USB 12.4(11)T PKI del Cisco IOS — Fase 2 Esta función aumenta la funcionalidad del token USB utilizando el token USB como dispositivo criptográfico. Los tokens USB se pueden utilizar para operaciones RSA como la generación de llaves, la firma y la autenticación. Las secciones siguientes de este documento proporcionan información sobre esta función: • Par clave RSA y certificado del servidor de certificados • Punto de Confianza del Servidor de Certificados • Generación de un Par de Llaves RSA del Servidor de Certificados Observeeste el documento abarca el uso de usar los Token USB para las operaciones RSA durante la configuración de servidor de certificados. El servidor de certificados IOS (CS) partió la base de datos 12.4(4)T Esta característica permite que el usuario fije las ubicaciones de almacenamiento y publique las ubicaciones para los tipos de archivo específicos del servidor de certificados. Las secciones siguientes proporcionan información acerca de esta función: • Base de Datos del Servidor de Certificados • Configuración de la Funcionalidad del Servidor de Certificados • Configuración de Ubicaciones Específicas de Almacenamiento y Publicación: Ejemplos Esta función ha modificado los siguientes comandos: database url Renovación del servidor 12.4(4)T de certificados IOS del modo Subordinate/RA (CS) Esta característica se amplía en la renovación de clave del Certificate Authority (CA) introducida en 12.4(2)T para permitir la renovación del certificado de CA para el subordinado CA y RA-MODE CA. Estas funciones permiten los Certificados de CA de expiración de la renovación y las claves y tener estos cambios propagan a través de la red PKI sin la intervención manual. Las secciones siguientes proporcionan información acerca de esta función: • Certificado de CA Automático y Renovación de Llave • Configuración de los Servidores de Certificados • Servidor de Certificados de Modo RA: Ejemplo: Esta función ha modificado los siguientes comandos: grant auto rollover Renovación de Clave de 12.4(2)T la Autoridad Certificadora (CA) Esta característica introduce la capacidad para la raíz o el subordinado CA de rodar los Certificados y las claves de CA encima de expiración y de tener propagación de estos cambios a través de la red PKI sin la intervención manual. Las secciones siguientes proporcionan información acerca de esta función: • Certificado de CA Automático y Renovación de Llave • Configuración de los Servidores de Certificados • Trabajo con la Renovación Automática del Certificado de la CA • Habilitación de la Renovación del certificado CA para Iniciar Inmediatamente: Ejemplo: Los siguientes comandos fueron introducidos o modificados por esta característica: auto-rollover crypto pki certificate chain, crypto pki export pem, crypto pki server info request, crypto pki server show crypto pki certificates, show crypto pki server, y show crypto pki trustpoint Servidor de Certificados 12.3(8)T de Cisco IOS Esta característica introduce el soporte para el servidor de certificados del Cisco IOS, que ofrece a usuarios CA a que se integra directamente con el Cisco IOS Software despliegan más fácilmente las redes básicas PKI. Las secciones siguientes proporcionan información acerca de esta función: • Información sobre los Servidores de Certificados de Cisco IOS • Cómo Configurar e Implementar Cisco IOS Certificate Server La mejora auto1 del archivo del servidor de certificados 12.3(11)T Esta mejora habilita el certificado de CA y la clave de CA que se sostendrán automáticamente apenas una vez después de que sean generados por el servidor de certificados. Como consecuencia, no es necesario generar una clave exportable de CA si el respaldo de CA es deseable. Las secciones siguientes proporcionan información acerca de esta función: • Inscripción de Certificados Usando un Servidor de Certificados • Configuración de la Funcionalidad del Servidor de Certificados Los siguientes comandos fueron introducidos por esta función: crypto pki server remote, database archive La mejora del modo del 12.3(7)T registration authority (RA) del servidor de certificados Un servidor de certificados se puede configurar para ejecutarse en el modo RA. La sección siguiente proporciona la información sobre esta característica: • Configuración de un Servidor de Certificados para Ejecutarse en el Modo RA Los siguientes comandos fueron introducidos por esta función: grant ra-auto, lifetime enrollment-requests Estatus1 PKI 12.3(11)T Esta mejora proporciona una instantánea rápida del estatus actual del trustpoint. La siguiente sección proporciona información sobre esta mejora: • Mantenimiento, Verificación y Troubleshooting del Servidor de Certificados, Certificados y CA El siguiente comando fue modificado por esta mejora: show crypto pki trustpoints Servidor de certificados 12.3(14)T subordinado 1 Esta mejora permite configurar un servidor de certificados subordinado para conceder algunas o todas las solicitudes de certificados SCEP o manuales. La siguiente sección proporciona información sobre esta mejora: • Configuración de un Servidor de Certificados Subordinado El siguiente comando fue introducido por esta mejora: mode sub-cs Generación de claves 15.1(1)T RSA 4096-bit en el soporte de motor de la criptografía de software El valor del rango para modulus el valor de la palabra clave para crypto key generate rsa el comando es extendido a partir del 360 a 2048 bits a 360 a 4096 bits. Soporte del modo del servidor pki RA IOS para los servidores de CA del no IOS Esta mejora permite que el servidor IOS CA en el modo RA interopere con más de un tipo de servidor CA. 15.1(2)T La sección siguiente proporciona la información sobre esta característica: • Configuración de un Servidor de Certificados para Ejecutarse en el Modo RA transparent La palabra clave fue agregada mode ra al comando de permitir que el servidor CA en el modo RA interopere con más de un tipo de servidor CA. 1 esto es una mejora de menor importancia. Las mejoras de menor importancia no se suelen enumerar en Feature Navigator. Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1110R) Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any examples, command display output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses or phone numbers in illustrative content is unintentional and coincidental. © 2005-2011 Cisco Systems, Inc. All rights reserved. © 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 2 Agosto 2013 http://www.cisco.com/cisco/web/support/LA/107/1074/1074082_sec_cfg_mng_cert_serv_ps6922_TSD_Products_Configuration_Guide_Chapter.htm