Implementación de Llaves RSA Dentro de un PKI

Anuncio
Implementación de Llaves RSA Dentro de un PKI
Descargue este capítulo
Implementación de Llaves RSA Dentro de un PKI
Descargue el libro completo
Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR (PDF - 5 MB)
Feedback
Contenidos
Implementación de Llaves RSA Dentro de un PKI
Encontrar la información de la característica
Contenido
Prerrequisitos para Configurar una PKI RSA de Marcado de Salida
Información sobre la Configuración de las Llaves RSA
Descripción General de las Llaves RSA
Claves del uso RSA contra las claves de fines generales RSA
Cómo los pares claves RSA se asocian a un trustpoint
Razones para Almacenar Múltiples Llaves RSA en un Router
Beneficios de las Llaves RSA Exportables
Protección de la Frase de Contraseña al Importar y Exportar Llaves RSA
Cómo Configurar e Implementar Llaves RSA en una PKI
Generación de un Par de Llaves RSA
Pasos Siguientes
Manejo de los pares claves RSA y de los Certificados del trustpoint
Prerrequisitos
Ejemplo:
Exporting and Importing RSA Keys
Exporting and Importing RSA Keys en Archivos PKCS12
Exportación e Importación de Llaves RSA en Archivos con Formato PEM
Encripción y Bloqueo de Llaves Privadas en un Router
Prerrequisitos
Restricciones para cifrar y bloquear las claves privadas
Remoción de las Configuraciones del Par de Llaves RSA
Ejemplos de Configuración de la Implementación del Par de Llaves RSA
Generación y Especificación de Llaves RSA: Ejemplo:
Exporting and Importing RSA Keys: Ejemplos
Exportación e Importación de Llaves RSA en Archivos PKCS12: Ejemplo:
Generación, Exportación, Importación y Verificación de Llaves RSA en Archivos PEM: Ejemplo:
Exportación de Certificados y Pares de Llaves RSA del Router desde Archivos PEM: Ejemplo:
Importación de los Pares de Llaves y del Certificado RSA del Router desde Archivos PEM: Ejemplo:
Encripción y Bloqueo de Llaves Privadas en un Router: Ejemplos
Configuración y Verificación de una Llave Encriptada: Ejemplo:
Configuración y Verificación de una Llave Bloqueada: Ejemplo:
Adonde ir después
Referencias adicionales
Documentos Relacionados
MIB
RFC
Asistencia Técnica
Información sobre la Función Llaves RSA dentro de una PKI
Implementación de Llaves RSA Dentro de un PKI
Primera publicación: 2 de mayo de 2005
Última actualización: De marzo el 31 de 2011
Este módulo explica cómo configurar y desplegar las claves del Rivest, del Shamir, y del Adelman (RSA) dentro de un Public
Key Infrastructure (PKI). Se requiere un par clave RSA (un público y una clave privada) antes de que usted pueda obtener un
certificado para su router; es decir, el host de extremo debe generar un par de claves RSA e intercambiar el clave pública por la
autoridad certificadora (CA) para obtener un certificado y entrar en un PKI.
Encontrar la información de la característica
Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y
advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información
sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada
característica, vea “información de la característica para las claves RSA dentro la sección de un PKI”.
Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del
software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no
se requiere.
Contenido
•
Prerrequisitos para Configurar una PKI RSA de Marcado de Salida
•
Información sobre la Configuración de las Llaves RSA
•
Cómo Configurar e Implementar Llaves RSA en una PKI
•
Ejemplos de Configuración de la Implementación del Par de Llaves RSA
•
Adonde ir después
•
Referencias adicionales
•
Información sobre la Función Llaves RSA dentro de una PKI
Prerrequisitos para Configurar una PKI RSA de Marcado de Salida
• Antes de las claves RSA que configuran y que despliegan para un PKI, usted debe ser familiar con la descripción del
Cisco IOS PKI del módulo: Entendiendo y planeando un PKI.
• Desde Cisco IOS Release 12.3(7)T, todos los comandos que comienzan con "crypto ca" han cambiado para comenzar
con "crypto pki". Aunque el router seguirá aceptando comandos crypto ca, toda la salida se releerá como crypto pki.
Información sobre la Configuración de las Llaves RSA
•
Descripción General de las Llaves RSA
•
Razones para Almacenar Múltiples Llaves RSA en un Router
•
Beneficios de las Llaves RSA Exportables
•
Protección de la Frase de Contraseña al Importar y Exportar Llaves RSA
Descripción General de las Llaves RSA
Un par de llaves RSA se compone de una llave pública y una llave privada. Al configurar su PKI, debe incluir la llave pública en
la solicitud de inscripción del certificado. Una vez concedido el certificado, la clave pública se incluirá en el mismo para que los
homólogos la puedan utilizar con el fin de cifrar los datos que se envían al router. La llave privada se conserva en el router y se
utiliza para desencriptar los datos enviados por los peers y para firmar digitalmente las transacciones durante las negociaciones
con ellos.
Los pares de llaves RSA contienen un valor de módulo de la llave. El módulo determina el tamaño de la llave RSA. Cuanto más
grande es el módulo, más segura es la llave RSA. Sin embargo, las llaves con valores de módulo grandes tardan más en
generarse, y las operaciones de encripción y desencripción tardan más con llaves más grandes.
Observea partir del Cisco IOS Release 12.4(11)T, par que los valores públicos del módulo de la clave RSA hasta 4096 bits se
soportan automáticamente.
El módulo más grande de la clave del soldado RSA es 4096 bits. Por lo tanto, la clave privada más grande RSA que un router
puede generar o la importación es 4096 bits. Sin embargo, el RFC 2409 restringe los tamaños de la clave privada a 2048 bits o
menos para la encripción RSA.
El valor recomendado del módulo para CA es 2048 bits; el valor recomendado del módulo para un cliente es 1024 bits.
Claves del uso RSA contra las claves de fines generales RSA
Hay dos mutuamente - los tipos exclusivos de pares claves RSA — claves del uso y claves de fines generales. Cuando usted
genera los pares claves RSA (vía crypto key generate rsa el comando), a le indicarán que seleccione las claves del uso o las
claves de fines generales.
Claves del uso RSA
Las claves del uso consisten en dos pares claves RSA — se genera un par clave RSA y utilizado para el cifrado y un par clave
RSA se genera y se utiliza para las firmas. Con las claves del uso, cada clave no se expone innecesariamente. (Sin las claves
del uso, una clave se utiliza para ambos métodos de autentificación, aumentando la exposición de esa clave.)
Claves de fines generales RSA
Las claves de fines generales consisten en solamente un par clave RSA que utilizó para el cifrado y las firmas. Los pares claves
de fines generales se utilizan más con frecuencia que los pares claves del uso.
Cómo los pares claves RSA se asocian a un trustpoint
Un trustpoint, también conocido como el Certificate Authority (CA), maneja los pedidos de certificado y publica los Certificados a
los dispositivos de la red participante. Estos servicios proporcionan la administración de claves centralizada para los dispositivos
participantes y son confiados en explícitamente por el receptor para validar las identidades y para crear los Certificados
digitales. Antes de que comience cualquier operación PKI, el CA genera su propio par de llaves públicas y crea un certificado de
CA auto-firmado; a continuación, el CA puede firmar las solicitudes de certificados y comenzar la inscripción del peer para el
PKI.
Razones para Almacenar Múltiples Llaves RSA en un Router
Configurar los pares claves múltiples RSA permite que el Cisco IOS Software mantenga un diverso par clave para cada CA de
las cuales esté tratando o el software puede mantener los pares claves y los Certificados múltiples con mismo CA. Así, el Cisco
IOS Software puede hacer juego los requisitos de política para cada CA sin el compromiso de los requisitos especificados por
los otros CA, tales como longitud de clave, vida útil de la clave, y de fines generales contra las claves del uso.
Los pares claves Nombrados (que se especifican vía label key-label la opción) permiten que usted tenga pares claves múltiples
RSA, habilitando el Cisco IOS Software para mantener un diverso par clave para cada certificado de identidad.
Beneficios de las Llaves RSA Exportables
Las claves exportables de la precaución RSA deben ser evaluadas cuidadosamente antes de usar porque usar las claves
exportables RSA introduce el riesgo que estas claves pudieron ser expuestas.
Ninguna claves existente RSA no son exportable. Las nuevas claves se generan como nonexportable por abandono. No es
posible convertir una clave nonexportable existente a una clave exportable.
A partir del Cisco IOS Release 12.2(15)T, los usuarios pueden compartir al par clave del soldado RSA de un router con los
routeres en espera, por lo tanto transfiriendo los credenciales de seguridad entre los dispositivos de interconexión de redes. El
par clave que se comparte entre dos Routers permitirá a un router a inmediatamente y transparente asume el control las
funciones del otro router. Si el router principal era fallar, el router en espera se podría caer en la red para substituir el router
defectuoso sin la necesidad de regenerar las claves, reenroll con CA, o redistribuya manualmente las claves.
La exportación y la importación de un par clave RSA también permite a los usuarios para poner el mismo par clave RSA en los
routeres múltiples para poder configurar todas las estaciones de administración usando el Secure Shell (SSH) con una sola
clave del público RSA.
Claves exportables RSA en los archivos PEM-formatados
Usando el Privacy Enhanced Mail (PEM) - los archivos formatados a importar o las claves de la exportación RSA pueden ser
útiles para los clientes que están funcionando con el Cisco IOS Software Release 12.3(4)T o Posterior y que están utilizando el
Secure Socket Layer (SSL) o las aplicaciones del Secure Shell (SSH) para generar manualmente los pares claves RSA y para
importar las claves nuevamente dentro de sus aplicaciones PKI. Los archivos con formato PEM permiten a los clientes utilizar
directamente pares de llaves RSA existentes en sus routers Cisco IOS en lugar de generar nuevas llaves.
Protección de la Frase de Contraseña al Importar y Exportar Llaves RSA
Usted tiene que incluir un passphrase para cifrar el archivo del PKCS12 o el archivo PEM que serán exportados, y cuando se
importa el archivo del PKCS12 o PEM, el mismo passphrase tiene que ser ingresado para desencriptarlo. Cifrando el PKCS12 o
el PEM clasifíe cuando se está exportando, borrado, o importado protege el archivo contra el acceso no autorizado y el uso
mientras que se está transportando o se está salvando en un dispositivo externo.
El passphrase puede ser cualquier frase que sea por lo menos ocho caracteres de largo; puede incluir los espacios y la
puntuación, excepto el signo de interrogación (?), que tiene significado especial al analizador de sintaxis del Cisco IOS.
Cómo convertir un par clave exportable RSA a un par clave de Nonexportable RSA
La protección del passphrase protege el archivo externo del PKCS12 o PEM contra el acceso no autorizado y el uso. Para evitar
que un par clave RSA sea exportado, debe ser etiquetada “nonexportable.” Para convertir un par clave exportable RSA en un
par clave nonexportable, el par clave debe ser exportado y después ser reimportado sin especificar la palabra clave
“exportable”.
Cómo Configurar e Implementar Llaves RSA en una PKI
•
Generación de un Par de Llaves RSA
•
Manejo de los pares claves RSA y de los Certificados del trustpoint
•
Exporting and Importing RSA Keys
•
Encripción y Bloqueo de Llaves Privadas en un Router
•
Remoción de las Configuraciones del Par de Llaves RSA
Generación de un Par de Llaves RSA
Realice esta tarea de generar manualmente un par clave RSA.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto key generate rsa [general-keys | usage-keys | signature | encryption] []labelkey-labeldel []exportable del []
modulus modulus-sizedel []storage devicename:del []on devicename:
4. exit
5. show crypto key mypubkey rsa
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso crypto key generate rsa [
general-keys | usage-keys |
3
(Opcional) genera el par clave RSA para el
servidor de certificados.
Example:
Router> enable
• Ingrese su contraseña si se le pide
que lo haga.
Example:
Router# configure terminal
signature | encryption] [label
key-label] [exportable] [
modulus modulus-size] [storage
devicename:] [on devicename:]
Example:
Router(config)# crypto key
generate rsa general-keys
modulus 360
•
storage La palabra clave especifica
la ubicación de almacenamiento
dominante.
• Al especificar un nombre de escritura
de la etiqueta especificando key-label el
argumento, usted debe utilizar el mismo
nombre para la escritura de la etiqueta
que usted planea utilizar para el servidor
de certificados (con crypto pki server cslabel el comando). Si key-label un
argumento no se especifica, se utiliza el
valor predeterminado, que es el nombre
de dominio completo (FQDN) del router.
Si el par clave exportable RSA se genera
manualmente después de que el certificado
de CA se haya generado, y antes de publicar
no shutdown el comando, después utilice
crypto ca export pkcs12 el comando de
exportar un archivo del PKCS12 que
contenga el certificado de servidor de
certificados y la clave privada.
• Por abandono, los tamaños del
módulo de una clave de CA son 1024
bits. El módulo recomendado para una
clave de CA es 2048 bits. El rango para
los tamaños del módulo de una clave de
CA es a partir 350 a 4096 bits.
•
on La palabra clave especifica que el
par clave RSA está creado en el
dispositivo especificado, incluyendo un
token del Bus serie universal (USB), un
disco local, o un NVRAM. El nombre del
dispositivo es seguido por los dos puntos
(:).
Las clavesde la nota creadas en un
Token USB deben ser 2048 bits o
menos.
Paso exit
4
Sale del modo de configuración global.
Paso show crypto key mypubkey rsa
5
(Opcional) Visualiza los llaves públicas RSA
del router.
Example:
Router(config)# exit
Example:
Router# show crypto key
mypubkey rsa
Este paso permite verificar que el par de
llaves RSA se ha generado con éxito.
Pasos Siguientes
Después de que usted haya generado con éxito un par clave RSA, usted puede proceder a las tareas adicionales unas de los
en este módulo de generar los pares claves adicionales RSA, realizar la exportación y la importación de los pares claves RSA, o
de los parámetros de seguridad complementaria de la configuración para el par clave RSA (tal como cifrar o bloquear la clave
privada).
Manejo de los pares claves RSA y de los Certificados del trustpoint
Realice esta tarea de configurar el router para generar y los pares claves del almacenar múltiples RSA, asocie los pares claves
a un trustpoint, y consiga los Certificados para el router del trustpoint.
Prerrequisitos
Usted debe haber generado ya un par clave RSA tal y como se muestra en de la tarea “que genera un par clave RSA.”
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto pki trustpoint name
4. rsakeypairkey-label [[]key-sizeencryption-key-size]
5. enrollment selfsigned (opcional)
6. subject-alt-name name (opcional)
7. exit
8. cypto pki enroll name
9. exit
10. show crypto key mypubkey rsa
PASOS DETALLADOS
Comando o acción
Paso enable
1
Example:
Router> enable
Propósito
Habilita el modo EXEC privilegiado.
• Ingrese su contraseña si se le pide que lo
haga.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso crypto pki trustpoint name
3
Crea un trustpoint y ingresa al modo de
configuración del Ca-trustpoint.
Example:
Router# configure terminal
Example:
Router(config)# crypto pki
trustpoint TESTCA
Paso rsakeypair key-label [key- (Opcional) key-label el argumento especifica el
size [encryption-key-size]] nombre del par clave RSA generado durante la
4
inscripción (si no existe ya o si auto-enroll
Example:
regenerate se configura el comando) que se
Router(cautilizará con el certificado del trustpoint. Por
trustpoint)# rsakeypair
abandono, se utiliza la clave del nombre de
fancy-keys
dominio completo (FQDN).
• (Opcional)key-size el argumento especifica
los tamaños del par clave RSA.
• (Opcional)encryption-key-size el argumento
especifica los tamaños de la segunda clave,
que se utiliza para pedir el cifrado, las claves
de la firma, y los Certificados separados.
Paso enrollment selfsigned
5
Specifies (opcional) uno mismo-firmó la inscripción
para un trustpoint.
Paso subject-alt-name name
6
(Opcional) name el argumento especifica el
nombre de los trustpoint en el campo alternativo
sujeto del nombre (subjectAltName) en el
certificado X.509, que se contiene en el certificado
del trustpoint. Por abandono, el campo de nombre
alternativo sujeto no se incluye en el certificado.
Example:
Router(catrustpoint)# enrollment
selfsigned
Example:
Router(catrustpoint)# subject-altname TESTCA
Observeeste campo del certificado X.509 se
define en el RFC 2511.
Esta opción se utiliza para crear un certificado uno
mismo-firmado del trustpoint para el router que
contiene el nombre del trustpoint en el campo
alternativo sujeto del nombre (subjectAltName).
Este nombre alternativo sujeto puede ser utilizado
solamente cuando enrollment selfsigned el
comando se especifica para la inscripción uno
mismo-firmada en la directiva del trustpoint.
Paso exit
7
Sale del modo de configuración de ca-trustpoint.
Paso cypto pki enroll name
8
Pide los Certificados para el router del trustpoint.
Example:
Router(ca-trustpoint)# exit
Example:
name El argumento especifica el nombre del
Router(config)# cypto pki
trustpoint. Una vez que se ingresa este comando,
enroll TESTCA
conteste a los prompts.
% Include the router serial
Observeel uso el mismo nombre del
number in the subject name?
trustpoint ingresado con crypto pki
[yes/no]: no
trustpoint el comando.
% Include an IP address in
the subject name? [no]:
Generate Self Signed Router
Certificate? [yes/no]: yes
Router Self Signed
Certificate successfully
created
Paso exit
9
Sale del modo de configuración global.
Paso show crypto key mypubkey
rsa
10
(Opcional) Visualiza los llaves públicas RSA del
router.
Example:
Router(config)# exit
Example:
Router# show crypto key
mypubkey rsa
Este paso permite verificar que el par de llaves
RSA se ha generado con éxito.
Ejemplo:
El siguiente ejemplo muestra cómo crear un certificado uno mismo-firmado del trustpoint para el router que contiene el nombre
del trustpoint en el campo alternativo sujeto del nombre (subjectAltName):
Router> enable
Router# configure terminal
Router(config)# crypto pki trustpoint TESTCA
Router(ca-trustpoint)# enrollment selfsigned
Router(ca-trustpoint)# subject-alt-name TESTCA
Router(ca-trustpoint)# exit
Router(config)# cypto pki enroll TESTCA
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]:
Generate Self Signed Router Certificate? [yes/no]: yes
Router Self Signed Certificate successfully created
Router(config)# exit
Se crea el certificado siguiente:
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 2 (0x2)
Signature Algorithm: md5WithRSAEncryption
Issuer: CN=TESTCA/unstructuredName=r1.cisco.com
Validity
Not Before: Mar 22 20:26:20 2010 GMT
Not After : Jan
1 00:00:00 2020 GMT
Subject: CN=TESTCA/unstructuredName=r1.cisco.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (512 bit)
Modulus (512 bit):
00:8d:71:2e:3b:eb:a2:e2:f3:44:d9:bc:a9:85:88:
f4:a9:bd:c9:7f:f0:69:f5:e7:75:8f:00:f2:8e:3e:
2f:ca:5e:c5:08:43:95:8c:a2:6a:ae:ce:a0:ae:82:
61:61:ff:4e:8c:8f:89:d1:56:d8:35:34:b7:95:93:
1a:72:03:71:fb
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Subject Alternative Name:
DNS:TESTCA
X509v3 Authority Key Identifier:
keyid:F9:A4:95:87:5F:A4:CA:7D:65:FA:BE:38:20:55:18:F9:4C:6C:D5:F3
X509v3 Subject Key Identifier:
F9:A4:95:87:5F:A4:CA:7D:65:FA:BE:38:20:55:18:F9:4C:6C:D5:F3
Signature Algorithm: md5WithRSAEncryption
6d:92:e7:a8:a5:1a:5a:ef:13:58:02:1b:79:17:93:41:37:c9:
2d:9f:1a:a3:f5:3a:73:05:cd:d1:02:84:43:7e:e0:84:07:46:
55:f9:45:59:51:ba:25:48:6f:d8:e1:0d:35:44:07:5c:16:17:
35:45:99:e2:80:6e:53:e5:35:76
-----BEGIN CERTIFICATE----MIIBszCCAV2gAwIBAgIBAjANBgkqhkiG9w0BAQQFADAuMQ8wDQYDVQQDEwZURVNU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-----END CERTIFICATE-----
Exporting and Importing RSA Keys
Esta sección contiene las tareas siguientes que se pueden utilizar para exportar e importar las claves RSA. Si usted está
utilizando los archivos del PKCS12 o los archivos PEM, las claves exportables RSA permiten que usted utilice las claves
existentes RSA en el Routers del Cisco IOS en vez de tener que generar las nuevas claves RSA si el router principal era fallar.
•
Exporting and Importing RSA Keys en Archivos PKCS12
•
Exportación e Importación de Llaves RSA en Archivos con Formato PEM
Exporting and Importing RSA Keys en Archivos PKCS12
La exportación y la importación de los pares claves RSA permite a los usuarios para transferir los credenciales de seguridad
entre los dispositivos. El par clave que se comparte entre dos dispositivos permite un dispositivo a inmediatamente y
transparente asume el control las funciones del otro router.
Requisitos previos para exportar e importar la clave RSA en los archivos del PKCS12
Debe generar un par de llaves RSA y marcarlo como “exportable” según se especifica en la tarea "Generación de un Par de
LlavesRSA".
Restricciones para exportar e importar las claves RSA en los archivos del PKCS12
• Usted no puede exportar las claves RSA que existieron en el router antes de que su sistema fuera actualizado al Cisco
IOS Release 12.2(15)T o Posterior. Usted tiene que generar las nuevas claves RSA y etiquetarlas como “exportable”
después de que usted actualice el Cisco IOS Software.
• Cuando usted importa un archivo del PKCS12 que fue generado por una aplicación de terceros, el archivo del PKCS12
debe incluir un certificado de CA.
• Si usted quiere la reexportación al par clave RSA después de que usted haya exportado el par clave y los haya
importado ya a un router objetivo, usted debe especificar exportable la palabra clave cuando usted está importando el par
clave RSA.
•
La clave más grande RSA que un router puede importar es 2048-bits.
PASOS SUMARIOS
1. crypto pki trustpoint name
2. rsakeypairkey-label [[]key-sizeencryption-key-size]
3. exit
4. crypto pki export trustpointname pkcs12 destination-url passphrase
5. crypto pki import trustpointname pkcs12 source-url passphrase
6. exit
7. show crypto key mypubkey rsa
PASOS DETALLADOS
Comando o acción
Paso crypto pki trustpoint name
1
Example:
Router(config)# crypto pki
trustpoint my-ca
Propósito
Crea el nombre del trustpoint que debe ser
asociado al par clave RSA y ingresa al modo
de configuración del Ca-trustpoint.
Paso rsakeypair key-label [key-size Especifica el par de llaves que se va a utilizar
[encryption-key-size]]
2
con el punto de confianza.
Example:
Router(catrustpoint)# rsakeypair mykeys
Paso exit
Sale del modo de configuración de ca-
3
Example:
Router(ca-trustpoint)# exit
Paso crypto pki export
trustpointname pkcs12
4
destination-url passphrase
trustpoint.
Exporta las claves RSA vía el nombre del
trustpoint.
Notausted puede exportar el trustpoint
usando los tipos uces de los del sistema
del archivo siguiente: flash, FTP, falta de
información, NVRAM, (RCP) de
copiado del archivo remoto, SCP,
sistema, TFTP, Webflash, XMODEM, o
YMODEM.
Example:
Router(config)# crypto pki
export my-ca pkcs12
tftp://tftpserver/my-keys
PASSWORD
Paso crypto pki import
trustpointname pkcs12 source5
Importa las claves RSA al router objetivo.
url passphrase
Example:
Router(config)# crypto pki
import my-ca pkcs12
tftp://tftpserver/my-keys
PASSWORD
Paso exit
6
Sale del modo de configuración global.
Paso show crypto key mypubkey rsa
7
(Opcional) Visualiza los llaves públicas RSA del
router.
Example:
Router(config)# exit
Example:
Router# show crypto key
mypubkey rsa
Exportación e Importación de Llaves RSA en Archivos con Formato PEM
Realice esta tarea de exportar o de importar los pares claves RSA en los archivos PEM.
Requisitos previos para exportar e importar las claves RSA en los archivos PEM-formatados
Debe generar un par de llaves RSA y marcarlo como “exportable” según se especifica en la tarea "Generación de un Par de
LlavesRSA".
Restricciones para exportar e importar las claves RSA en los archivos formatados PEM
• Usted no puede exportar e importar las claves RSA que fueron generadas sin un indicador exportable antes de que su
sistema fuera actualizado al Cisco IOS Release 12.3(4)T o a una versión posterior. Usted tiene que generar las nuevas
claves RSA después de que usted actualice el Cisco IOS Software.
•
La clave más grande RSA que un router puede importar es 2048 bits.
PASOS SUMARIOS
1. crypto key generate rsa{usage-keys | general-keys}labelkey-label []exportable
2. crypto key export rsakey-labelpem{terminal | url url} {3des | des} passphrase
3. crypto key import rsakey-labelpem[]usage-keys{terminal | url url} []exportable passphrase
4. exit
5. show crypto key mypubkey rsa
PASOS DETALLADOS
Comando o acción
Propósito
Paso crypto key generate rsa {usage- Genera pares de llaves RSA.
keys | general-keys} label key1
Para utilizar los archivos PEM, el par clave
label [exportable]
RSA se debe etiquetar exportable.
Example:
Router(config)# crypto key
generate rsa general-keys label
mykey exportable
Paso crypto key export rsa key-label Exporta el par clave generado RSA.
pem {terminal | url url} {3des
2
La extremidad esté segura de mantener
| des} passphrase
el archivo PEM seguro. Por ejemplo,
Example:
usted puede querer salvarla en otro
Router(config)# crypto key
router de backup.
export rsa mycs pem url nvram:
3des PASSWORD
Paso crypto key import rsa key-label Importa el par clave generado RSA.
pem [usage-keys] {terminal |
3
Observesi usted no quisieran que la
url url} [exportable]
clave fuera exportable de su CA,
passphrase
impórtelo de nuevo a CA después de
Example:
que se haya exportado como par clave
Router(config)# crypto key
nonexportable. Así, la clave no se
import rsa mycs2 pem url nvram:
puede sacar otra vez.
PASSWORD
Paso exit
4
Sale del modo de configuración global.
Paso show crypto key mypubkey rsa
5
(Opcional) Visualiza los llaves públicas RSA
del router.
Example:
Router(config)# exit
Example:
Router# show crypto key
mypubkey rsa
Encripción y Bloqueo de Llaves Privadas en un Router
Las firmas digitales se utilizan para autenticar un dispositivo a otro dispositivo. Para utilizar las firmas digitales, la información
privada (la clave privada) se debe salvar en el dispositivo que está proporcionando a la firma. La información privada salvada
puede ayudar a un atacante que robe el dispositivo de hardware que contiene la clave privada; por ejemplo, un ladrón pudo
poder utilizar al router robado para iniciar una conexión segura a otro sitio usando las claves privadas RSA salvadas en el
router.
Las clavesde la nota RSA se pierden durante las operaciones de la recuperación de contraseña. Si usted pierde su
contraseña, las claves RSA serán borradas cuando usted realiza la operación de la recuperación de contraseña. (Esta
función previene un atacante de realizar la recuperación de contraseña y entonces usando las claves.)
Para proteger la clave del soldado RSA contra un atacante, un usuario puede cifrar la clave privada que se salva en el NVRAM
vía un passphrase. Los usuarios pueden también el “bloqueo” la clave privada, que bloquea las tentativas de la nueva conexión
de un router corriente y protege la clave en el router si a un atacante frustrado roba al router.
Realice esta tarea de cifrar y de bloquear la clave privada que se guarda al NVRAM.
Observe las claves RSA debe estar desbloqueado mientras que alista CA. Las claves pueden ser bloqueadas
mientras que autentican al router con CA porque la clave privada del router no se utiliza durante la
autenticación.
Prerrequisitos
Antes de cifrar o de bloquear una clave privada, usted debe realizar las tareas siguientes:
•
Genere un par clave RSA tal y como se muestra en de la tarea “que genera un par clave RSA.”
•
Opcionalmente, usted puede autenticar y alistar a cada router con el servidor de CA.
Restricciones para cifrar y bloquear las claves privadas
Restricción de la compatibilidad descendente
Ninguna imagen antes del Cisco IOS Release 12.3(7)T no soporta las claves cifradas. Para evitar que su router pierda todas las
claves cifradas, asegúrese de que solamente las claves unencrypted están escritas al NVRAM antes de iniciar una imagen
antes del Cisco IOS Release 12.3(7)T.
Si usted debe descargar una imagen antes del Cisco IOS Release 12.3(7)T, desencripte la clave y salve inmediatamente la
configuración así que la imagen descargada no sobregraba la configuración.
Interacción con las aplicaciones
Una clave cifrada no es eficaz después de que el router arranque hasta que usted desbloquee manualmente la clave (vía
crypto key unlock rsa el comando). Dependiendo se cifran de qué pares claves, estas funciones pueden afectar al contrario a
las aplicaciones tales como seguridad IP (el IPSec), SSH, y SSL; es decir, la Administración del router sobre un canal seguro
puede no ser posible hasta que el par clave necesario esté desbloqueado.
PASOS SUMARIOS
1. crypto key encrypt []write rsadel []namekey-name passphrase passphrase
2. exit
3. show crypto key mypubkey rsa
4. crypto key lock rsa[]namekey-name passphrase passphrase
5. show crypto key mypubkey rsa
6. crypto key unlock rsa[]namekey-name passphrase passphrase
7. configure terminal
8. crypto key decrypt []write rsadel []namekey-name passphrase passphrase
PASOS DETALLADOS
Comando o acción
Paso crypto key encrypt [write]
rsa [name key-name]
1
passphrase passphrase
Example:
Router(config)# crypto key
encrypt write rsa name
pki.example.com passphrase
password
Paso exit
2
Propósito
Cifra las claves RSA.
Después de que se publique este comando, el
router puede continuar utilizando la clave; la
clave sigue siendo desbloqueada.
Observesiwrite la palabra clave no se
publica, la configuración se debe escribir
manualmente al NVRAM; si no, la clave
cifrada será perdida la vez próxima que
recargan al router.
Sale del modo de configuración global.
Example:
Router(config)# exit
Paso show crypto key mypubkey rsa (Opcional) muestra que la clave privada está
3
cifrada (protegido) y desbloqueada.
Example:
Router# show crypto key
mypubkey rsa
Paso crypto key lock rsa [name
key-name] passphrase
4
passphrase
Example:
Router# crypto key lock rsa
name pki.example.com
passphrase password
Notausted puede también utilizar este
comando de verificar que las aplicaciones
tales como Internet Key Exchange (IKE) y
SSH están trabajando correctamente
después de que se haya cifrado la clave.
(Opcional) bloquea la clave privada cifrada en un
router corriente.
Observedespués de que la clave es
bloqueado, no puede ser utilizada para
autenticar al router a un dispositivo de peer.
Este comportamiento inhabilita
cualquier IPSec o conexión SSL que
utilicen la clave bloqueada.
Cualquier túnel IPsec existente creado en
base de la clave bloqueada será cerrado.
Si todas las claves RSA son bloqueadas,
SSH será inhabilitado automáticamente.
Paso show crypto key mypubkey rsa (Opcional) muestra que la clave privada está
5
protegida y bloqueada.
Example:
Router# show crypto key
mypubkey rsa
Paso crypto key unlock rsa [name
key-name] passphrase
6
passphrase
Example:
Router# crypto key unlock
rsa name pki.example.com
passphrase password
La salida también mostrará las tentativas de la
falla de conexión vía las aplicaciones tales como
IKE, SSH, y SSL.
(Opcional) desbloquea la clave privada.
Observedespués de que este comando se
publica, usted puede continuar
estableciendo los túneles IKE.
Paso configure terminal
7
Ingresa en el modo de configuración global.
Paso crypto key decrypt [write]
rsa [name key-name]
8
(Opcional) borra la clave cifrada y deja solamente
la clave unencrypted.
Example:
Router# configure terminal
passphrase passphrase
Example:
Router(config)# crypto key
decrypt write rsa name
pki.example.com passphrase
password
Observe write la palabra clave guarda
inmediatamente la clave unencrypted al
NVRAM. Si write la palabra clave no se
publica, la configuración se debe
escribir manualmente al NVRAM; si no,
la clave seguirá cifrada la próxima vez
que recargan al router.
Remoción de las Configuraciones del Par de Llaves RSA
Un par clave RSA puede necesitar ser quitado para una de las razones siguientes:
• Durante los mantenimientos y operación manuales PKI, las viejas claves RSA se pueden quitar y substituir por las
nuevas claves.
• Se substituye CA existente y nuevo CA requiere las claves nuevamente generadas; por ejemplo, los tamaños de clave
requeridos pudieron haber cambiado en una organización así que usted tendría que borrar las viejas claves 1024-bit y
generar las nuevas claves 2048-bit.
• Los claves públicas del router del par se pueden borrar para ayudar a hacer el debug de los problemas de la verificación
de firma en IKEv1 e IKEv2. Las claves se ocultan por abandono con el curso de la vida del Listas de revocación de
certificados (CRL) asociado al trustpoint.
Realice esta tarea de quitar todas las claves RSA o el par clave especificado RSA que ha sido generado por su router.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto key zeroize rsa[]key-pair-label
4. crypto key zeroize pubkey-chain []index
5. exit
6. show crypto key mypubkey rsa
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso crypto key zeroize rsa [
key-pair-label]
3
Pares claves de las cancelaciones RSA de su
router.
• Ingrese su contraseña si se le pide que lo
haga.
Example:
Router> enable
Example:
Router# configure terminal
• Sikey-pair-label el argumento no se
especifica, todas las claves RSA que han sido
generadas por su router serán borradas.
Example:
Router(config)# crypto key
zeroize rsa fancy-keys
Paso crypto key zeroize pubkey- Borra el clave pública del peer remoto del caché.
chain [index]
4
(Opcional) utilice index el argumento para borrar
Example:
una entrada de índice determinada de clave pública.
Router(config)# crypto key Si no se especifica ninguna entrada de índice,
zeroize pubkey-chain
después se borran todas las entradas. El intervalo
aceptable de las entradas de índice es a partir la 1 a
65535.
Paso exit
5
Sale del modo de configuración global.
Paso show crypto key mypubkey
rsa
6
(Opcional) Visualiza los llaves públicas RSA del
router.
Example:
Router(config)# exit
Example:
Router# show crypto key
mypubkey rsa
Este paso permite verificar que el par de llaves RSA
se ha generado con éxito.
Ejemplos de Configuración de la Implementación del Par de Llaves RSA
•
Generación y Especificación de Llaves RSA: Ejemplo:
•
Exporting and Importing RSA Keys: Ejemplos
•
Encripción y Bloqueo de Llaves Privadas en un Router: Ejemplos
Generación y Especificación de Llaves RSA: Ejemplo:
El siguiente ejemplo es una configuración del trustpoint de la muestra que muestra cómo generar y especificar el par clave
“exampleCAkeys” RSA:
crypto key generate rsa general-purpose exampleCAkeys
crypto ca trustpoint exampleCAkeys
enroll url http://exampleCAkeys/certsrv/mscep/mscep.dll
rsakeypair exampleCAkeys 1024 1024
Exporting and Importing RSA Keys: Ejemplos
•
Exportación e Importación de Llaves RSA en Archivos PKCS12: Ejemplo:
•
Generación, Exportación, Importación y Verificación de Llaves RSA en Archivos PEM: Ejemplo:
•
Exportación de Certificados y Pares de Llaves RSA del Router desde Archivos PEM: Ejemplo:
•
Importación de los Pares de Llaves y del Certificado RSA del Router desde Archivos PEM: Ejemplo:
Exportación e Importación de Llaves RSA en Archivos PKCS12: Ejemplo:
En el siguiente ejemplo, un par clave “mynewkp” RSA se genera en el router A, y un nombre “mynewtp” del trustpoint se crea y
se asocia al par clave RSA. El trustpoint se exporta a un servidor TFTP, para poderlo importar en el router B. Importando el
trustpoint “mynewtp” al router B, el usuario ha importado el par clave “mynewkp” RSA al router B.
Router A
crypto key generate rsa general label mykeys exportable
! The name for the keys will be:mynewkp
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]:
% Generating 512 bit RSA keys ...[OK]
!
crypto pki trustpoint mynewtp
rsakeypair mykeys
exit
crypto pki export mytp pkcs12 flash:myexport companyname
Destination filename [myexport]?
Writing pkcs12 file to tftp:/mytftpserver/myexport
CRYPTO_PKI:Exported PKCS12 file successfully.
Verifying checksum... OK (0x3307)
!
Feb 18 17:30:09 GMT:%CRYPTO-6-PKCS12EXPORT_SUCCESS:PKCS #12 Successfully Exported.
Router B
crypto pki import mynewtp pkcs12 flash:myexport companyname
Source filename [myexport]?
CRYPTO_PKI:Imported PKCS12 file successfully.
!
Feb 18 18:07:50 GMT:%CRYPTO-6-PKCS12IMPORT_SUCCESS:PKCS #12 Successfully Imported.
Generación, Exportación, Importación y Verificación de Llaves RSA en Archivos PEM: Ejemplo:
Las demostraciones del siguiente ejemplo cómo generar, exportar, traer la clave detrás (importación), y verificar el estatus del
par clave “mycs” RSA:
! Generate the key pair
!
Router(config)# crypto key generate rsa general-purpose label mycs exportable
The name for the keys will be: mycs
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys ...[OK]
!
! Archive the key pair to a remote location, and use a good password.
!
Router(config)# crypto key export rsa mycs pem url nvram:3des PASSWORD
% Key name:mycs
Usage:General Purpose Key
Exporting public key...
Destination filename [mycs.pub]?
Writing file to nvram:mycs.pub
Exporting private key...
Destination filename [mycs.prv]?
Writing file to nvram:mycs.prv
!
! Import the key as a different name.
!
Router(config)# crypto key import rsa mycs2 pem url nvram:mycs PASSWORD
% Importing public key or certificate PEM file...
Source filename [mycs.pub]?
Reading file from nvram:mycs.pub
% Importing private key PEM file...
Source filename [mycs.prv]?
Reading file from nvram:mycs.prv% Key pair import succeeded.
!
! After the key has been imported, it is no longer exportable.
!
! Verify the status of the key.
!
Router# show crypto key mypubkey rsa
% Key pair was generated at:18:04:56 GMT Jun 6 2003
Key name:mycs
Usage:General Purpose Key
Key is exportable.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00E65253
9C30C12E 295AB73F B1DF9FAD 86F88192 7D4FA4D2 8BA7FB49 9045BAB9 373A31CB
A6B1B8F4 329F2E7E 8A50997E AADBCFAA 23C29E19 C45F4F05 DBB2FA51 4B7E9F79
A1095115 759D6BC3 5DFB5D7F BCF655BF 6317DB12 A8287795 7D8DC6A3 D31B2486
C9C96D2C 2F70B50D 3B4CDDAE F661041A 445AE11D 002EEF08 F2A627A0 5B020301 0001
% Key pair was generated at:18:17:25 GMT Jun 6 2003
Key name:mycs2
Usage:General Purpose Key
Key is not exportable.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00E65253
9C30C12E 295AB73F B1DF9FAD 86F88192 7D4FA4D2 8BA7FB49 9045BAB9 373A31CB
A6B1B8F4 329F2E7E 8A50997E AADBCFAA 23C29E19 C45F4F05 DBB2FA51 4B7E9F79
A1095115 759D6BC3 5DFB5D7F BCF655BF 6317DB12 A8287795 7D8DC6A3 D31B2486
C9C96D2C 2F70B50D 3B4CDDAE F661041A 445AE11D 002EEF08 F2A627A0 5B020301 0001
Exportación de Certificados y Pares de Llaves RSA del Router desde Archivos PEM: Ejemplo:
Las demostraciones del siguiente ejemplo cómo generar y exportar el par clave “aaa” RSA y los Certificados del router en los
archivos PEM que se asocian al trustpoint “mycs.” Este ejemplo también muestra los archivos PEM-formatados, que incluyen
los límites PEM antes y después de los datos codificado en base64, que son utilizados por otras aplicaciones SSL y de SSH.
Router(config)# crypto key generate rsa general-keys label aaa exportable
The name for the keys will be:aaa
Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose
Keys. Choosing a key modulus greater than 512 may take a few minutes.
!
How many bits in the modulus [512]:
% Generating 512 bit RSA keys ...[OK]
!
Router(config)# crypto pki trustpoint mycs
Router(ca-trustpoint)# enrollment url http://mycs
Router(ca-trustpoint)# rsakeypair aaa
Router(ca-trustpoint)# exit
Router(config)# crypto pki authenticate mycs
Certificate has the following attributes:
Fingerprint:C21514AC 12815946 09F635ED FBB6CF31
% Do you accept this certificate? [yes/no]: y
Trustpoint CA certificate accepted.
!
Router(config)# crypto pki enroll mycs
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this password to the CA
Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password:
Re-enter password:
% The fully-qualified domain name in the certificate will be: Router
% The subject name in the certificate will be:host.example.com
% Include the router serial number in the subject name? [yes/no]: n
% Include an IP address in the subject name? [no]: n
Request certificate from CA? [yes/no]: y
% Certificate request sent to Certificate Authority
% The certificate request fingerprint will be displayed.
% The 'show crypto ca certificate' command will also show the fingerprint.
Router(config)# Fingerprint:8DA777BC 08477073 A5BE2403 812DD157
00:29:11:%CRYPTO-6-CERTRET:Certificate received from Certificate Authority
Router(config)# crypto ca export aaa pem terminal 3des password
% CA certificate:
-----BEGIN CERTIFICATE----MIICAzCCAa2gAwIBAgIBATANBgkqhkiG9w0BAQUFADBOMQswCQYDVQQGEwJVUzES
<snip>
waDeNOSI3WlDa0AWq5DkVBkxwgn0TqIJXJOCttjHnWHK1LMcMVGn
-----END CERTIFICATE-----
% Key name:aaa
Usage:General Purpose Key
-----BEGIN RSA PRIVATE KEY----Proc-Type:4,ENCRYPTED
DEK-Info:DES-EDE3-CBC,ED6B210B626BC81A
Urguv0jnjwOgowWVUQ2XR5nbzzYHI2vGLunpH/IxIsJuNjRVjbAAUpGk7VnPCT87
<snip>
kLCOtxzEv7JHc72gMku9uUlrLSnFH5slzAtoC0czfU4=
-----END RSA PRIVATE KEY-----
% Certificate:
-----BEGIN CERTIFICATE----MIICTjCCAfigAwIBAgICIQUwDQYJKoZIhvcNAQEFBQAwTjELMAkGA1UEBhMCVVMx
<snip>
6xlBaIsuMxnHmr89KkKkYlU6
-----END CERTIFICATE-----
Importación de los Pares de Llaves y del Certificado RSA del Router desde Archivos PEM: Ejemplo:
Las demostraciones del siguiente ejemplo cómo importar los pares claves y el certificado RSA al trustpoint “ggg” de los archivos
PEM vía el TFTP:
Router(config)# crypto pki import ggg pem url tftp://10.1.1.2/username/msca password
% Importing CA certificate...
Address or name of remote host [10.1.1.2]?
Destination filename [username/msca.ca]?
Reading file from tftp://10.1.1.2/username/msca.ca
Loading username/msca.ca from 10.1.1.2 (via Ethernet0):!
[OK - 1082 bytes]
% Importing private key PEM file...
Address or name of remote host [10.1.1.2]?
Destination filename [username/msca.prv]?
Reading file from tftp://10.1.1.2/username/msca.prv
Loading username/msca.prv from 10.1.1.2 (via Ethernet0):!
[OK - 573 bytes]
% Importing certificate PEM file...
Address or name of remote host [10.1.1.2]?
Destination filename [username/msca.crt]?
Reading file from tftp://10.1.1.2/username/msca.crt
Loading username/msca.crt from 10.1.1.2 (via Ethernet0):!
[OK - 1289 bytes]
% PEM files import succeeded.
Router(config)#
Encripción y Bloqueo de Llaves Privadas en un Router: Ejemplos
•
Configuración y Verificación de una Llave Encriptada: Ejemplo:
•
Configuración y Verificación de una Llave Bloqueada: Ejemplo:
Configuración y Verificación de una Llave Encriptada: Ejemplo:
Las demostraciones del siguiente ejemplo cómo cifrar la clave el "pki-123.example.com." RSA después de eso, show crypto
key mypubkey rsa el comando se publican para verificar que la clave RSA está cifrada (protegido) y desbloqueada.
Router(config)# crypto key encrypt rsa name pki-123.example.com passphrase password
Router(config)# exit
Router# show crypto key mypubkey rsa
% del par clave fue generado GMT el 25 de junio de 2003 at:00:15:32
Clave name:pki-123.example.com
Uso: Clave de fines generales
Se protege y ESTÁ DESBLOQUEADO el *** la clave. ***
La clave no es exportable.
Datos clave:
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00E0CC9A 1D23B52C
CD00910C ABD392AE BA6D0E3F FC47A0EF 8AFEE340 0EC1E62B D40E7DCC
23C4D09E
03018B98 E0C07B42 3CFD1A32 2A3A13C0 1FF919C5 8DE9565F 1F020301 0001
% del par clave fue generado GMT el 25 de junio de 2003 at:00:15:33
Clave name:pki-123.example.com.server
Uso: Clave de encripción
La clave es exportable.
Datos clave:
307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00D3491E 2A21D383
854D7DA8 58AFBDAC 4E11A7DD E6C40AC6 66473A9F 0C845120 7C0C6EC8 1FFF5757
3A41CE04 FDCB40A4 B9C68B4F BC7D624B 470339A3 DE739D3E F7DDB549 91CD4DA4
DF190D26 7033958C 8A61787B D40D28B8 29BCD0ED 4E6275C0 6D020301 0001
Router#
Configuración y Verificación de una Llave Bloqueada: Ejemplo:
Las demostraciones del siguiente ejemplo cómo bloquear el "pki-123.example.com." dominante después de eso, show crypto
key mypubkey rsa el comando se publican para verificar que la clave está protegida (cifrado) y bloqueada.
Router# crypto key lock rsa name pki-123.example.com passphrase password
!
Router# show crypto key mypubkey rsa
% Key pair was generated at:20:29:41 GMT Jun 20 2003
Key name:pki-123.example.com
Usage:General Purpose Key
*** The key is protected and LOCKED. ***
Key is exportable.
Key Data:
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00D7808D C5FF14AC
0D2B55AC 5D199F2F 7CB4B355 C555E07B 6D0DECBE 4519B1F0 75B12D6F 902D6E9F
B6FDAD8D 654EF851 5701D5D7 EDA047ED 9A2A619D 5639DF18 EB020301 0001
Adonde ir después
Después de que usted haya generado un par clave RSA, usted debe configurar el trustpoint. Si usted ha configurado ya el
trustpoint, usted debe autenticar y alistar al Routers en un PKI. Para la información sobre la inscripción, vea el módulo el
“configurar de la inscripción del certificado para un PKI.”
Referencias adicionales
Documentos Relacionados
Tema relacionado
Título del documento
Descripción general del PKI, incluyendo las llaves RSA,
la inscripción del certificado y los CAs
Descripción General de la PKI de Cisco
IOS: Comprensión y Planificación de una
PKI
Comandos PKI: sintaxis, modo de comando, valores por Referencia de Comandos de Seguridad de
defecto, Pautas para el uso, y ejemplos del comando
Cisco IOS
complete
MIB
MIB
Link del MIB
Ninguno Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de
funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:
http://www.cisco.com/cisco/web/LA/support/index.html
RFC
RFC
Título
RFC 2409 El Internet Key Exchange (IKE)
RFC 2511 Pedido de certificado de Internet X.509 Message format (Formato del mensaje)
Asistencia Técnica
Descripción
Link
El Web site del soporte y de la documentación http://www.cisco.com/cisco/web/LA/support/index.html
de Cisco proporciona los recursos en línea
para descargar la documentación, el software,
y las herramientas. Utilice estos recursos para
instalar y para configurar el software y para
resolver problemas y para resolver los
problemas técnicos con los Productos Cisco y
las Tecnologías. El acceso a la mayoría de las
herramientas en el Web site del soporte y de
la documentación de Cisco requiere una
identificación del usuario y una contraseña del
cisco.com.
Información sobre la Función Llaves RSA dentro de una PKI
La Tabla 1 muestra el historial de versiones de esta función.
Para información sobre una función de esta tecnología que no se documente aquí, vea "Implementación y Administración del
Mapa de Ruta de Funciones PKI."
Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del
software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software,
un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a
http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.
Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un
tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión
de software también soportan esa característica.
Nombre de la
función
Soporte del clave
pública del Cisco
IOS 4096-Bit
Versiones
de
Software
Información de la Configuración de la Función
12.4(12)T
Esta característica introduce el soporte del clave pública del par
del Cisco IOS 4096-bit.
La sección siguiente proporciona la información sobre esta
característica:
•
Exporting and
12.2(15)T
Importing RSA Keys
Descripción General de las Llaves RSA
Esta función permite transferir las credenciales de seguridad
entre los dispositivos mediante la exportación y la importación de
las llaves RSA. El par de llaves que se comparte entre dos
dispositivos permitirá que uno de ellos asuma de forma inmediata
y transparente la funcionalidad del otro.
Las secciones siguientes proporcionan información acerca de
esta función:
•
Beneficios de las Llaves RSA Exportables
•
Exporting and Importing RSA Keys en Archivos PKCS12
Los siguientes comandos fueron introducidos o modificados por
esta característica: crypto ca export pkcs12crypto ca import
pkcs12, crypto key generate rsa (IKE)
Import of RSA Key ‘12.3(4)T’
Pair and Certificates
in PEM Format
Esta función permite a los clientes utilizar los archivos con
formato PEM para importar o exportar los pares de llaves RSA.
Los archivos con formato PEM permiten a los clientes utilizar
directamente pares de llaves RSA existentes en sus routers
Cisco IOS en lugar de generar nuevas llaves.
Las secciones siguientes proporcionan información acerca de
esta función:
•
Beneficios de las Llaves RSA Exportables
• Exportación e Importación de Llaves RSA en Archivos con
Formato PEM
Los siguientes comandos fueron introducidos por esta función:
crypto ca export pem crypto ca import pem crypto key export
pem, crypto key import pem
Soporte múltiple del 12.2(8)T
par clave RSA
Esta función permite al usuario configurar un router para que
tenga varios pares de llaves RSA. Así, Cisco IOS Software puede
mantener un par de llaves diferente para cada certificado de
identidad.
Las secciones siguientes proporcionan información acerca de
esta función:
• Razones para Almacenar Múltiples Llaves RSA en un
Router
• Manejo de los pares claves RSA y de los Certificados del
trustpoint
Los siguientes comandos fueron introducidos o modificados por
esta característica: crypto key generate rsa crypto key zeroize
rsa, rsakeypair
Protected Private
Key Storage
12.3(7)T
Esta función permite que un usuario encripte y bloquee las llaves
privadas RSA que se utilizan en un router de Cisco IOS, con lo
que se impide el uso no autorizado de las llaves privadas.
La sección siguiente proporciona la información sobre esta
característica:
•
Encripción y Bloqueo de Llaves Privadas en un Router
Los siguientes comandos fueron introducidos o modificados por
esta característica: crypto key decrypt rsacrypto key encrypt
rsacrypto key lock rsacrypto key unlock rsa, show crypto key
mypubkey rsa
Generación de
15.1(1)T
claves RSA 4096-bit
en el soporte de
motor de la
criptografía de
software
El valor del rango para modulus el valor de la palabra clave para
crypto key generate rsa el comando es extendido a partir del
360 a 2048 bits a 360 a 4096 bits.
Supervisión de
rendimiento y
optimización IOS
PKI
La característica de la supervisión de rendimiento y de la
optimización IOS proporciona una manera de caracterizar el
funcionamiento dentro del subsistema del Public Key
Infrastructure (PKI) y de hacer el debug de y de analizar los
asuntos relacionados con el rendimiento PKI. Esta característica
se discute en el detalle adicional en documento IOS de la
característica de la supervisión de rendimiento y de la
optimización.
15.1(3)T
Esta característica también incluye las mejoras siguientes que se
pueden encontrar en este documento:
• Un certificado uno mismo-firmado del trustpoint se puede
crear para el router que contiene el nombre del trustpoint en
el campo alternativo sujeto del nombre (subjectAltName).
• Los claves públicas de un router del par se pueden borrar
para ayudar a hacer el debug de los problemas de la
verificación de firma en la versión 1 IKE y la versión 2 IKE y a
optimizar el funcionamiento del router del par como resultado
de tomar estas medidas.
Estas características se pueden encontrar en las secciones
siguientes:
•
“Generando sección de un par clave RSA”
• “Quitando sección de las configuraciones del par clave
RSA”
Los siguientes comandos fueron introducidos o modificados por
esta característica: crypto key zeroize pubkey-chain, subjectalt-name
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks
can be found at /go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not
imply a partnership relationship between Cisco and any other company. (1005R)
Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any
examples, command display output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only.
Any use of actual IP addresses or phone numbers in illustrative content is unintentional and coincidental
© 2005-2011 Cisco Systems, Inc. All rights reserved.
© 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 2 Agosto 2013
http://www.cisco.com/cisco/web/support/LA/107/1074/1074079_sec_deploy_RSA_piki_ps6922_TSD_Products_Configuration_Guide_Chapter.html
Descargar