Implementación de Llaves RSA Dentro de un PKI Descargue este capítulo Implementación de Llaves RSA Dentro de un PKI Descargue el libro completo Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR (PDF - 5 MB) Feedback Contenidos Implementación de Llaves RSA Dentro de un PKI Encontrar la información de la característica Contenido Prerrequisitos para Configurar una PKI RSA de Marcado de Salida Información sobre la Configuración de las Llaves RSA Descripción General de las Llaves RSA Claves del uso RSA contra las claves de fines generales RSA Cómo los pares claves RSA se asocian a un trustpoint Razones para Almacenar Múltiples Llaves RSA en un Router Beneficios de las Llaves RSA Exportables Protección de la Frase de Contraseña al Importar y Exportar Llaves RSA Cómo Configurar e Implementar Llaves RSA en una PKI Generación de un Par de Llaves RSA Pasos Siguientes Manejo de los pares claves RSA y de los Certificados del trustpoint Prerrequisitos Ejemplo: Exporting and Importing RSA Keys Exporting and Importing RSA Keys en Archivos PKCS12 Exportación e Importación de Llaves RSA en Archivos con Formato PEM Encripción y Bloqueo de Llaves Privadas en un Router Prerrequisitos Restricciones para cifrar y bloquear las claves privadas Remoción de las Configuraciones del Par de Llaves RSA Ejemplos de Configuración de la Implementación del Par de Llaves RSA Generación y Especificación de Llaves RSA: Ejemplo: Exporting and Importing RSA Keys: Ejemplos Exportación e Importación de Llaves RSA en Archivos PKCS12: Ejemplo: Generación, Exportación, Importación y Verificación de Llaves RSA en Archivos PEM: Ejemplo: Exportación de Certificados y Pares de Llaves RSA del Router desde Archivos PEM: Ejemplo: Importación de los Pares de Llaves y del Certificado RSA del Router desde Archivos PEM: Ejemplo: Encripción y Bloqueo de Llaves Privadas en un Router: Ejemplos Configuración y Verificación de una Llave Encriptada: Ejemplo: Configuración y Verificación de una Llave Bloqueada: Ejemplo: Adonde ir después Referencias adicionales Documentos Relacionados MIB RFC Asistencia Técnica Información sobre la Función Llaves RSA dentro de una PKI Implementación de Llaves RSA Dentro de un PKI Primera publicación: 2 de mayo de 2005 Última actualización: De marzo el 31 de 2011 Este módulo explica cómo configurar y desplegar las claves del Rivest, del Shamir, y del Adelman (RSA) dentro de un Public Key Infrastructure (PKI). Se requiere un par clave RSA (un público y una clave privada) antes de que usted pueda obtener un certificado para su router; es decir, el host de extremo debe generar un par de claves RSA e intercambiar el clave pública por la autoridad certificadora (CA) para obtener un certificado y entrar en un PKI. Encontrar la información de la característica Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para las claves RSA dentro la sección de un PKI”. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere. Contenido • Prerrequisitos para Configurar una PKI RSA de Marcado de Salida • Información sobre la Configuración de las Llaves RSA • Cómo Configurar e Implementar Llaves RSA en una PKI • Ejemplos de Configuración de la Implementación del Par de Llaves RSA • Adonde ir después • Referencias adicionales • Información sobre la Función Llaves RSA dentro de una PKI Prerrequisitos para Configurar una PKI RSA de Marcado de Salida • Antes de las claves RSA que configuran y que despliegan para un PKI, usted debe ser familiar con la descripción del Cisco IOS PKI del módulo: Entendiendo y planeando un PKI. • Desde Cisco IOS Release 12.3(7)T, todos los comandos que comienzan con "crypto ca" han cambiado para comenzar con "crypto pki". Aunque el router seguirá aceptando comandos crypto ca, toda la salida se releerá como crypto pki. Información sobre la Configuración de las Llaves RSA • Descripción General de las Llaves RSA • Razones para Almacenar Múltiples Llaves RSA en un Router • Beneficios de las Llaves RSA Exportables • Protección de la Frase de Contraseña al Importar y Exportar Llaves RSA Descripción General de las Llaves RSA Un par de llaves RSA se compone de una llave pública y una llave privada. Al configurar su PKI, debe incluir la llave pública en la solicitud de inscripción del certificado. Una vez concedido el certificado, la clave pública se incluirá en el mismo para que los homólogos la puedan utilizar con el fin de cifrar los datos que se envían al router. La llave privada se conserva en el router y se utiliza para desencriptar los datos enviados por los peers y para firmar digitalmente las transacciones durante las negociaciones con ellos. Los pares de llaves RSA contienen un valor de módulo de la llave. El módulo determina el tamaño de la llave RSA. Cuanto más grande es el módulo, más segura es la llave RSA. Sin embargo, las llaves con valores de módulo grandes tardan más en generarse, y las operaciones de encripción y desencripción tardan más con llaves más grandes. Observea partir del Cisco IOS Release 12.4(11)T, par que los valores públicos del módulo de la clave RSA hasta 4096 bits se soportan automáticamente. El módulo más grande de la clave del soldado RSA es 4096 bits. Por lo tanto, la clave privada más grande RSA que un router puede generar o la importación es 4096 bits. Sin embargo, el RFC 2409 restringe los tamaños de la clave privada a 2048 bits o menos para la encripción RSA. El valor recomendado del módulo para CA es 2048 bits; el valor recomendado del módulo para un cliente es 1024 bits. Claves del uso RSA contra las claves de fines generales RSA Hay dos mutuamente - los tipos exclusivos de pares claves RSA — claves del uso y claves de fines generales. Cuando usted genera los pares claves RSA (vía crypto key generate rsa el comando), a le indicarán que seleccione las claves del uso o las claves de fines generales. Claves del uso RSA Las claves del uso consisten en dos pares claves RSA — se genera un par clave RSA y utilizado para el cifrado y un par clave RSA se genera y se utiliza para las firmas. Con las claves del uso, cada clave no se expone innecesariamente. (Sin las claves del uso, una clave se utiliza para ambos métodos de autentificación, aumentando la exposición de esa clave.) Claves de fines generales RSA Las claves de fines generales consisten en solamente un par clave RSA que utilizó para el cifrado y las firmas. Los pares claves de fines generales se utilizan más con frecuencia que los pares claves del uso. Cómo los pares claves RSA se asocian a un trustpoint Un trustpoint, también conocido como el Certificate Authority (CA), maneja los pedidos de certificado y publica los Certificados a los dispositivos de la red participante. Estos servicios proporcionan la administración de claves centralizada para los dispositivos participantes y son confiados en explícitamente por el receptor para validar las identidades y para crear los Certificados digitales. Antes de que comience cualquier operación PKI, el CA genera su propio par de llaves públicas y crea un certificado de CA auto-firmado; a continuación, el CA puede firmar las solicitudes de certificados y comenzar la inscripción del peer para el PKI. Razones para Almacenar Múltiples Llaves RSA en un Router Configurar los pares claves múltiples RSA permite que el Cisco IOS Software mantenga un diverso par clave para cada CA de las cuales esté tratando o el software puede mantener los pares claves y los Certificados múltiples con mismo CA. Así, el Cisco IOS Software puede hacer juego los requisitos de política para cada CA sin el compromiso de los requisitos especificados por los otros CA, tales como longitud de clave, vida útil de la clave, y de fines generales contra las claves del uso. Los pares claves Nombrados (que se especifican vía label key-label la opción) permiten que usted tenga pares claves múltiples RSA, habilitando el Cisco IOS Software para mantener un diverso par clave para cada certificado de identidad. Beneficios de las Llaves RSA Exportables Las claves exportables de la precaución RSA deben ser evaluadas cuidadosamente antes de usar porque usar las claves exportables RSA introduce el riesgo que estas claves pudieron ser expuestas. Ninguna claves existente RSA no son exportable. Las nuevas claves se generan como nonexportable por abandono. No es posible convertir una clave nonexportable existente a una clave exportable. A partir del Cisco IOS Release 12.2(15)T, los usuarios pueden compartir al par clave del soldado RSA de un router con los routeres en espera, por lo tanto transfiriendo los credenciales de seguridad entre los dispositivos de interconexión de redes. El par clave que se comparte entre dos Routers permitirá a un router a inmediatamente y transparente asume el control las funciones del otro router. Si el router principal era fallar, el router en espera se podría caer en la red para substituir el router defectuoso sin la necesidad de regenerar las claves, reenroll con CA, o redistribuya manualmente las claves. La exportación y la importación de un par clave RSA también permite a los usuarios para poner el mismo par clave RSA en los routeres múltiples para poder configurar todas las estaciones de administración usando el Secure Shell (SSH) con una sola clave del público RSA. Claves exportables RSA en los archivos PEM-formatados Usando el Privacy Enhanced Mail (PEM) - los archivos formatados a importar o las claves de la exportación RSA pueden ser útiles para los clientes que están funcionando con el Cisco IOS Software Release 12.3(4)T o Posterior y que están utilizando el Secure Socket Layer (SSL) o las aplicaciones del Secure Shell (SSH) para generar manualmente los pares claves RSA y para importar las claves nuevamente dentro de sus aplicaciones PKI. Los archivos con formato PEM permiten a los clientes utilizar directamente pares de llaves RSA existentes en sus routers Cisco IOS en lugar de generar nuevas llaves. Protección de la Frase de Contraseña al Importar y Exportar Llaves RSA Usted tiene que incluir un passphrase para cifrar el archivo del PKCS12 o el archivo PEM que serán exportados, y cuando se importa el archivo del PKCS12 o PEM, el mismo passphrase tiene que ser ingresado para desencriptarlo. Cifrando el PKCS12 o el PEM clasifíe cuando se está exportando, borrado, o importado protege el archivo contra el acceso no autorizado y el uso mientras que se está transportando o se está salvando en un dispositivo externo. El passphrase puede ser cualquier frase que sea por lo menos ocho caracteres de largo; puede incluir los espacios y la puntuación, excepto el signo de interrogación (?), que tiene significado especial al analizador de sintaxis del Cisco IOS. Cómo convertir un par clave exportable RSA a un par clave de Nonexportable RSA La protección del passphrase protege el archivo externo del PKCS12 o PEM contra el acceso no autorizado y el uso. Para evitar que un par clave RSA sea exportado, debe ser etiquetada “nonexportable.” Para convertir un par clave exportable RSA en un par clave nonexportable, el par clave debe ser exportado y después ser reimportado sin especificar la palabra clave “exportable”. Cómo Configurar e Implementar Llaves RSA en una PKI • Generación de un Par de Llaves RSA • Manejo de los pares claves RSA y de los Certificados del trustpoint • Exporting and Importing RSA Keys • Encripción y Bloqueo de Llaves Privadas en un Router • Remoción de las Configuraciones del Par de Llaves RSA Generación de un Par de Llaves RSA Realice esta tarea de generar manualmente un par clave RSA. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto key generate rsa [general-keys | usage-keys | signature | encryption] []labelkey-labeldel []exportable del [] modulus modulus-sizedel []storage devicename:del []on devicename: 4. exit 5. show crypto key mypubkey rsa PASOS DETALLADOS Comando o acción Propósito Paso enable 1 Habilita el modo EXEC privilegiado. Paso configure terminal 2 Ingresa en el modo de configuración global. Paso crypto key generate rsa [ general-keys | usage-keys | 3 (Opcional) genera el par clave RSA para el servidor de certificados. Example: Router> enable • Ingrese su contraseña si se le pide que lo haga. Example: Router# configure terminal signature | encryption] [label key-label] [exportable] [ modulus modulus-size] [storage devicename:] [on devicename:] Example: Router(config)# crypto key generate rsa general-keys modulus 360 • storage La palabra clave especifica la ubicación de almacenamiento dominante. • Al especificar un nombre de escritura de la etiqueta especificando key-label el argumento, usted debe utilizar el mismo nombre para la escritura de la etiqueta que usted planea utilizar para el servidor de certificados (con crypto pki server cslabel el comando). Si key-label un argumento no se especifica, se utiliza el valor predeterminado, que es el nombre de dominio completo (FQDN) del router. Si el par clave exportable RSA se genera manualmente después de que el certificado de CA se haya generado, y antes de publicar no shutdown el comando, después utilice crypto ca export pkcs12 el comando de exportar un archivo del PKCS12 que contenga el certificado de servidor de certificados y la clave privada. • Por abandono, los tamaños del módulo de una clave de CA son 1024 bits. El módulo recomendado para una clave de CA es 2048 bits. El rango para los tamaños del módulo de una clave de CA es a partir 350 a 4096 bits. • on La palabra clave especifica que el par clave RSA está creado en el dispositivo especificado, incluyendo un token del Bus serie universal (USB), un disco local, o un NVRAM. El nombre del dispositivo es seguido por los dos puntos (:). Las clavesde la nota creadas en un Token USB deben ser 2048 bits o menos. Paso exit 4 Sale del modo de configuración global. Paso show crypto key mypubkey rsa 5 (Opcional) Visualiza los llaves públicas RSA del router. Example: Router(config)# exit Example: Router# show crypto key mypubkey rsa Este paso permite verificar que el par de llaves RSA se ha generado con éxito. Pasos Siguientes Después de que usted haya generado con éxito un par clave RSA, usted puede proceder a las tareas adicionales unas de los en este módulo de generar los pares claves adicionales RSA, realizar la exportación y la importación de los pares claves RSA, o de los parámetros de seguridad complementaria de la configuración para el par clave RSA (tal como cifrar o bloquear la clave privada). Manejo de los pares claves RSA y de los Certificados del trustpoint Realice esta tarea de configurar el router para generar y los pares claves del almacenar múltiples RSA, asocie los pares claves a un trustpoint, y consiga los Certificados para el router del trustpoint. Prerrequisitos Usted debe haber generado ya un par clave RSA tal y como se muestra en de la tarea “que genera un par clave RSA.” PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto pki trustpoint name 4. rsakeypairkey-label [[]key-sizeencryption-key-size] 5. enrollment selfsigned (opcional) 6. subject-alt-name name (opcional) 7. exit 8. cypto pki enroll name 9. exit 10. show crypto key mypubkey rsa PASOS DETALLADOS Comando o acción Paso enable 1 Example: Router> enable Propósito Habilita el modo EXEC privilegiado. • Ingrese su contraseña si se le pide que lo haga. Paso configure terminal 2 Ingresa en el modo de configuración global. Paso crypto pki trustpoint name 3 Crea un trustpoint y ingresa al modo de configuración del Ca-trustpoint. Example: Router# configure terminal Example: Router(config)# crypto pki trustpoint TESTCA Paso rsakeypair key-label [key- (Opcional) key-label el argumento especifica el size [encryption-key-size]] nombre del par clave RSA generado durante la 4 inscripción (si no existe ya o si auto-enroll Example: regenerate se configura el comando) que se Router(cautilizará con el certificado del trustpoint. Por trustpoint)# rsakeypair abandono, se utiliza la clave del nombre de fancy-keys dominio completo (FQDN). • (Opcional)key-size el argumento especifica los tamaños del par clave RSA. • (Opcional)encryption-key-size el argumento especifica los tamaños de la segunda clave, que se utiliza para pedir el cifrado, las claves de la firma, y los Certificados separados. Paso enrollment selfsigned 5 Specifies (opcional) uno mismo-firmó la inscripción para un trustpoint. Paso subject-alt-name name 6 (Opcional) name el argumento especifica el nombre de los trustpoint en el campo alternativo sujeto del nombre (subjectAltName) en el certificado X.509, que se contiene en el certificado del trustpoint. Por abandono, el campo de nombre alternativo sujeto no se incluye en el certificado. Example: Router(catrustpoint)# enrollment selfsigned Example: Router(catrustpoint)# subject-altname TESTCA Observeeste campo del certificado X.509 se define en el RFC 2511. Esta opción se utiliza para crear un certificado uno mismo-firmado del trustpoint para el router que contiene el nombre del trustpoint en el campo alternativo sujeto del nombre (subjectAltName). Este nombre alternativo sujeto puede ser utilizado solamente cuando enrollment selfsigned el comando se especifica para la inscripción uno mismo-firmada en la directiva del trustpoint. Paso exit 7 Sale del modo de configuración de ca-trustpoint. Paso cypto pki enroll name 8 Pide los Certificados para el router del trustpoint. Example: Router(ca-trustpoint)# exit Example: name El argumento especifica el nombre del Router(config)# cypto pki trustpoint. Una vez que se ingresa este comando, enroll TESTCA conteste a los prompts. % Include the router serial Observeel uso el mismo nombre del number in the subject name? trustpoint ingresado con crypto pki [yes/no]: no trustpoint el comando. % Include an IP address in the subject name? [no]: Generate Self Signed Router Certificate? [yes/no]: yes Router Self Signed Certificate successfully created Paso exit 9 Sale del modo de configuración global. Paso show crypto key mypubkey rsa 10 (Opcional) Visualiza los llaves públicas RSA del router. Example: Router(config)# exit Example: Router# show crypto key mypubkey rsa Este paso permite verificar que el par de llaves RSA se ha generado con éxito. Ejemplo: El siguiente ejemplo muestra cómo crear un certificado uno mismo-firmado del trustpoint para el router que contiene el nombre del trustpoint en el campo alternativo sujeto del nombre (subjectAltName): Router> enable Router# configure terminal Router(config)# crypto pki trustpoint TESTCA Router(ca-trustpoint)# enrollment selfsigned Router(ca-trustpoint)# subject-alt-name TESTCA Router(ca-trustpoint)# exit Router(config)# cypto pki enroll TESTCA % Include the router serial number in the subject name? [yes/no]: no % Include an IP address in the subject name? [no]: Generate Self Signed Router Certificate? [yes/no]: yes Router Self Signed Certificate successfully created Router(config)# exit Se crea el certificado siguiente: Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: md5WithRSAEncryption Issuer: CN=TESTCA/unstructuredName=r1.cisco.com Validity Not Before: Mar 22 20:26:20 2010 GMT Not After : Jan 1 00:00:00 2020 GMT Subject: CN=TESTCA/unstructuredName=r1.cisco.com Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (512 bit) Modulus (512 bit): 00:8d:71:2e:3b:eb:a2:e2:f3:44:d9:bc:a9:85:88: f4:a9:bd:c9:7f:f0:69:f5:e7:75:8f:00:f2:8e:3e: 2f:ca:5e:c5:08:43:95:8c:a2:6a:ae:ce:a0:ae:82: 61:61:ff:4e:8c:8f:89:d1:56:d8:35:34:b7:95:93: 1a:72:03:71:fb Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: critical CA:TRUE X509v3 Subject Alternative Name: DNS:TESTCA X509v3 Authority Key Identifier: keyid:F9:A4:95:87:5F:A4:CA:7D:65:FA:BE:38:20:55:18:F9:4C:6C:D5:F3 X509v3 Subject Key Identifier: F9:A4:95:87:5F:A4:CA:7D:65:FA:BE:38:20:55:18:F9:4C:6C:D5:F3 Signature Algorithm: md5WithRSAEncryption 6d:92:e7:a8:a5:1a:5a:ef:13:58:02:1b:79:17:93:41:37:c9: 2d:9f:1a:a3:f5:3a:73:05:cd:d1:02:84:43:7e:e0:84:07:46: 55:f9:45:59:51:ba:25:48:6f:d8:e1:0d:35:44:07:5c:16:17: 35:45:99:e2:80:6e:53:e5:35:76 -----BEGIN CERTIFICATE----MIIBszCCAV2gAwIBAgIBAjANBgkqhkiG9w0BAQQFADAuMQ8wDQYDVQQDEwZURVNU Q0ExGzAZBgkqhkiG9w0BCQIWDHIxLmNpc2NvLmNvbTAeFw0xMDAzMjIyMDI2MjBa Fw0yMDAxMDEwMDAwMDBaMC4xDzANBgNVBAMTBlRFU1RDQTEbMBkGCSqGSIb3DQEJ AhYMcjEuY2lzY28uY29tMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAI1xLjvrouLz RNm8qYWI9Km9yX/wafXndY8A8o4+L8pexQhDlYyiaq7OoK6CYWH/ToyPidFW2DU0 t5WTGnIDcfsCAwEAAaNmMGQwDwYDVR0TAQH/BAUwAwEB/zARBgNVHREECjAIggZU RVNUQ0EwHwYDVR0jBBgwFoAU+aSVh1+kyn1l+r44IFUY+Uxs1fMwHQYDVR0OBBYE FPmklYdfpMp9Zfq+OCBVGPlMbNXzMA0GCSqGSIb3DQEBBAUAA0EAbZLnqKUaWu8T WAIbeReTQTfJLZ8ao/U6cwXN0QKEQ37ghAdGVflFWVG6JUhv2OENNUQHXBYXNUWZ 4oBuU+U1dg== -----END CERTIFICATE----- Exporting and Importing RSA Keys Esta sección contiene las tareas siguientes que se pueden utilizar para exportar e importar las claves RSA. Si usted está utilizando los archivos del PKCS12 o los archivos PEM, las claves exportables RSA permiten que usted utilice las claves existentes RSA en el Routers del Cisco IOS en vez de tener que generar las nuevas claves RSA si el router principal era fallar. • Exporting and Importing RSA Keys en Archivos PKCS12 • Exportación e Importación de Llaves RSA en Archivos con Formato PEM Exporting and Importing RSA Keys en Archivos PKCS12 La exportación y la importación de los pares claves RSA permite a los usuarios para transferir los credenciales de seguridad entre los dispositivos. El par clave que se comparte entre dos dispositivos permite un dispositivo a inmediatamente y transparente asume el control las funciones del otro router. Requisitos previos para exportar e importar la clave RSA en los archivos del PKCS12 Debe generar un par de llaves RSA y marcarlo como “exportable” según se especifica en la tarea "Generación de un Par de LlavesRSA". Restricciones para exportar e importar las claves RSA en los archivos del PKCS12 • Usted no puede exportar las claves RSA que existieron en el router antes de que su sistema fuera actualizado al Cisco IOS Release 12.2(15)T o Posterior. Usted tiene que generar las nuevas claves RSA y etiquetarlas como “exportable” después de que usted actualice el Cisco IOS Software. • Cuando usted importa un archivo del PKCS12 que fue generado por una aplicación de terceros, el archivo del PKCS12 debe incluir un certificado de CA. • Si usted quiere la reexportación al par clave RSA después de que usted haya exportado el par clave y los haya importado ya a un router objetivo, usted debe especificar exportable la palabra clave cuando usted está importando el par clave RSA. • La clave más grande RSA que un router puede importar es 2048-bits. PASOS SUMARIOS 1. crypto pki trustpoint name 2. rsakeypairkey-label [[]key-sizeencryption-key-size] 3. exit 4. crypto pki export trustpointname pkcs12 destination-url passphrase 5. crypto pki import trustpointname pkcs12 source-url passphrase 6. exit 7. show crypto key mypubkey rsa PASOS DETALLADOS Comando o acción Paso crypto pki trustpoint name 1 Example: Router(config)# crypto pki trustpoint my-ca Propósito Crea el nombre del trustpoint que debe ser asociado al par clave RSA y ingresa al modo de configuración del Ca-trustpoint. Paso rsakeypair key-label [key-size Especifica el par de llaves que se va a utilizar [encryption-key-size]] 2 con el punto de confianza. Example: Router(catrustpoint)# rsakeypair mykeys Paso exit Sale del modo de configuración de ca- 3 Example: Router(ca-trustpoint)# exit Paso crypto pki export trustpointname pkcs12 4 destination-url passphrase trustpoint. Exporta las claves RSA vía el nombre del trustpoint. Notausted puede exportar el trustpoint usando los tipos uces de los del sistema del archivo siguiente: flash, FTP, falta de información, NVRAM, (RCP) de copiado del archivo remoto, SCP, sistema, TFTP, Webflash, XMODEM, o YMODEM. Example: Router(config)# crypto pki export my-ca pkcs12 tftp://tftpserver/my-keys PASSWORD Paso crypto pki import trustpointname pkcs12 source5 Importa las claves RSA al router objetivo. url passphrase Example: Router(config)# crypto pki import my-ca pkcs12 tftp://tftpserver/my-keys PASSWORD Paso exit 6 Sale del modo de configuración global. Paso show crypto key mypubkey rsa 7 (Opcional) Visualiza los llaves públicas RSA del router. Example: Router(config)# exit Example: Router# show crypto key mypubkey rsa Exportación e Importación de Llaves RSA en Archivos con Formato PEM Realice esta tarea de exportar o de importar los pares claves RSA en los archivos PEM. Requisitos previos para exportar e importar las claves RSA en los archivos PEM-formatados Debe generar un par de llaves RSA y marcarlo como “exportable” según se especifica en la tarea "Generación de un Par de LlavesRSA". Restricciones para exportar e importar las claves RSA en los archivos formatados PEM • Usted no puede exportar e importar las claves RSA que fueron generadas sin un indicador exportable antes de que su sistema fuera actualizado al Cisco IOS Release 12.3(4)T o a una versión posterior. Usted tiene que generar las nuevas claves RSA después de que usted actualice el Cisco IOS Software. • La clave más grande RSA que un router puede importar es 2048 bits. PASOS SUMARIOS 1. crypto key generate rsa{usage-keys | general-keys}labelkey-label []exportable 2. crypto key export rsakey-labelpem{terminal | url url} {3des | des} passphrase 3. crypto key import rsakey-labelpem[]usage-keys{terminal | url url} []exportable passphrase 4. exit 5. show crypto key mypubkey rsa PASOS DETALLADOS Comando o acción Propósito Paso crypto key generate rsa {usage- Genera pares de llaves RSA. keys | general-keys} label key1 Para utilizar los archivos PEM, el par clave label [exportable] RSA se debe etiquetar exportable. Example: Router(config)# crypto key generate rsa general-keys label mykey exportable Paso crypto key export rsa key-label Exporta el par clave generado RSA. pem {terminal | url url} {3des 2 La extremidad esté segura de mantener | des} passphrase el archivo PEM seguro. Por ejemplo, Example: usted puede querer salvarla en otro Router(config)# crypto key router de backup. export rsa mycs pem url nvram: 3des PASSWORD Paso crypto key import rsa key-label Importa el par clave generado RSA. pem [usage-keys] {terminal | 3 Observesi usted no quisieran que la url url} [exportable] clave fuera exportable de su CA, passphrase impórtelo de nuevo a CA después de Example: que se haya exportado como par clave Router(config)# crypto key nonexportable. Así, la clave no se import rsa mycs2 pem url nvram: puede sacar otra vez. PASSWORD Paso exit 4 Sale del modo de configuración global. Paso show crypto key mypubkey rsa 5 (Opcional) Visualiza los llaves públicas RSA del router. Example: Router(config)# exit Example: Router# show crypto key mypubkey rsa Encripción y Bloqueo de Llaves Privadas en un Router Las firmas digitales se utilizan para autenticar un dispositivo a otro dispositivo. Para utilizar las firmas digitales, la información privada (la clave privada) se debe salvar en el dispositivo que está proporcionando a la firma. La información privada salvada puede ayudar a un atacante que robe el dispositivo de hardware que contiene la clave privada; por ejemplo, un ladrón pudo poder utilizar al router robado para iniciar una conexión segura a otro sitio usando las claves privadas RSA salvadas en el router. Las clavesde la nota RSA se pierden durante las operaciones de la recuperación de contraseña. Si usted pierde su contraseña, las claves RSA serán borradas cuando usted realiza la operación de la recuperación de contraseña. (Esta función previene un atacante de realizar la recuperación de contraseña y entonces usando las claves.) Para proteger la clave del soldado RSA contra un atacante, un usuario puede cifrar la clave privada que se salva en el NVRAM vía un passphrase. Los usuarios pueden también el “bloqueo” la clave privada, que bloquea las tentativas de la nueva conexión de un router corriente y protege la clave en el router si a un atacante frustrado roba al router. Realice esta tarea de cifrar y de bloquear la clave privada que se guarda al NVRAM. Observe las claves RSA debe estar desbloqueado mientras que alista CA. Las claves pueden ser bloqueadas mientras que autentican al router con CA porque la clave privada del router no se utiliza durante la autenticación. Prerrequisitos Antes de cifrar o de bloquear una clave privada, usted debe realizar las tareas siguientes: • Genere un par clave RSA tal y como se muestra en de la tarea “que genera un par clave RSA.” • Opcionalmente, usted puede autenticar y alistar a cada router con el servidor de CA. Restricciones para cifrar y bloquear las claves privadas Restricción de la compatibilidad descendente Ninguna imagen antes del Cisco IOS Release 12.3(7)T no soporta las claves cifradas. Para evitar que su router pierda todas las claves cifradas, asegúrese de que solamente las claves unencrypted están escritas al NVRAM antes de iniciar una imagen antes del Cisco IOS Release 12.3(7)T. Si usted debe descargar una imagen antes del Cisco IOS Release 12.3(7)T, desencripte la clave y salve inmediatamente la configuración así que la imagen descargada no sobregraba la configuración. Interacción con las aplicaciones Una clave cifrada no es eficaz después de que el router arranque hasta que usted desbloquee manualmente la clave (vía crypto key unlock rsa el comando). Dependiendo se cifran de qué pares claves, estas funciones pueden afectar al contrario a las aplicaciones tales como seguridad IP (el IPSec), SSH, y SSL; es decir, la Administración del router sobre un canal seguro puede no ser posible hasta que el par clave necesario esté desbloqueado. PASOS SUMARIOS 1. crypto key encrypt []write rsadel []namekey-name passphrase passphrase 2. exit 3. show crypto key mypubkey rsa 4. crypto key lock rsa[]namekey-name passphrase passphrase 5. show crypto key mypubkey rsa 6. crypto key unlock rsa[]namekey-name passphrase passphrase 7. configure terminal 8. crypto key decrypt []write rsadel []namekey-name passphrase passphrase PASOS DETALLADOS Comando o acción Paso crypto key encrypt [write] rsa [name key-name] 1 passphrase passphrase Example: Router(config)# crypto key encrypt write rsa name pki.example.com passphrase password Paso exit 2 Propósito Cifra las claves RSA. Después de que se publique este comando, el router puede continuar utilizando la clave; la clave sigue siendo desbloqueada. Observesiwrite la palabra clave no se publica, la configuración se debe escribir manualmente al NVRAM; si no, la clave cifrada será perdida la vez próxima que recargan al router. Sale del modo de configuración global. Example: Router(config)# exit Paso show crypto key mypubkey rsa (Opcional) muestra que la clave privada está 3 cifrada (protegido) y desbloqueada. Example: Router# show crypto key mypubkey rsa Paso crypto key lock rsa [name key-name] passphrase 4 passphrase Example: Router# crypto key lock rsa name pki.example.com passphrase password Notausted puede también utilizar este comando de verificar que las aplicaciones tales como Internet Key Exchange (IKE) y SSH están trabajando correctamente después de que se haya cifrado la clave. (Opcional) bloquea la clave privada cifrada en un router corriente. Observedespués de que la clave es bloqueado, no puede ser utilizada para autenticar al router a un dispositivo de peer. Este comportamiento inhabilita cualquier IPSec o conexión SSL que utilicen la clave bloqueada. Cualquier túnel IPsec existente creado en base de la clave bloqueada será cerrado. Si todas las claves RSA son bloqueadas, SSH será inhabilitado automáticamente. Paso show crypto key mypubkey rsa (Opcional) muestra que la clave privada está 5 protegida y bloqueada. Example: Router# show crypto key mypubkey rsa Paso crypto key unlock rsa [name key-name] passphrase 6 passphrase Example: Router# crypto key unlock rsa name pki.example.com passphrase password La salida también mostrará las tentativas de la falla de conexión vía las aplicaciones tales como IKE, SSH, y SSL. (Opcional) desbloquea la clave privada. Observedespués de que este comando se publica, usted puede continuar estableciendo los túneles IKE. Paso configure terminal 7 Ingresa en el modo de configuración global. Paso crypto key decrypt [write] rsa [name key-name] 8 (Opcional) borra la clave cifrada y deja solamente la clave unencrypted. Example: Router# configure terminal passphrase passphrase Example: Router(config)# crypto key decrypt write rsa name pki.example.com passphrase password Observe write la palabra clave guarda inmediatamente la clave unencrypted al NVRAM. Si write la palabra clave no se publica, la configuración se debe escribir manualmente al NVRAM; si no, la clave seguirá cifrada la próxima vez que recargan al router. Remoción de las Configuraciones del Par de Llaves RSA Un par clave RSA puede necesitar ser quitado para una de las razones siguientes: • Durante los mantenimientos y operación manuales PKI, las viejas claves RSA se pueden quitar y substituir por las nuevas claves. • Se substituye CA existente y nuevo CA requiere las claves nuevamente generadas; por ejemplo, los tamaños de clave requeridos pudieron haber cambiado en una organización así que usted tendría que borrar las viejas claves 1024-bit y generar las nuevas claves 2048-bit. • Los claves públicas del router del par se pueden borrar para ayudar a hacer el debug de los problemas de la verificación de firma en IKEv1 e IKEv2. Las claves se ocultan por abandono con el curso de la vida del Listas de revocación de certificados (CRL) asociado al trustpoint. Realice esta tarea de quitar todas las claves RSA o el par clave especificado RSA que ha sido generado por su router. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto key zeroize rsa[]key-pair-label 4. crypto key zeroize pubkey-chain []index 5. exit 6. show crypto key mypubkey rsa PASOS DETALLADOS Comando o acción Propósito Paso enable 1 Habilita el modo EXEC privilegiado. Paso configure terminal 2 Ingresa en el modo de configuración global. Paso crypto key zeroize rsa [ key-pair-label] 3 Pares claves de las cancelaciones RSA de su router. • Ingrese su contraseña si se le pide que lo haga. Example: Router> enable Example: Router# configure terminal • Sikey-pair-label el argumento no se especifica, todas las claves RSA que han sido generadas por su router serán borradas. Example: Router(config)# crypto key zeroize rsa fancy-keys Paso crypto key zeroize pubkey- Borra el clave pública del peer remoto del caché. chain [index] 4 (Opcional) utilice index el argumento para borrar Example: una entrada de índice determinada de clave pública. Router(config)# crypto key Si no se especifica ninguna entrada de índice, zeroize pubkey-chain después se borran todas las entradas. El intervalo aceptable de las entradas de índice es a partir la 1 a 65535. Paso exit 5 Sale del modo de configuración global. Paso show crypto key mypubkey rsa 6 (Opcional) Visualiza los llaves públicas RSA del router. Example: Router(config)# exit Example: Router# show crypto key mypubkey rsa Este paso permite verificar que el par de llaves RSA se ha generado con éxito. Ejemplos de Configuración de la Implementación del Par de Llaves RSA • Generación y Especificación de Llaves RSA: Ejemplo: • Exporting and Importing RSA Keys: Ejemplos • Encripción y Bloqueo de Llaves Privadas en un Router: Ejemplos Generación y Especificación de Llaves RSA: Ejemplo: El siguiente ejemplo es una configuración del trustpoint de la muestra que muestra cómo generar y especificar el par clave “exampleCAkeys” RSA: crypto key generate rsa general-purpose exampleCAkeys crypto ca trustpoint exampleCAkeys enroll url http://exampleCAkeys/certsrv/mscep/mscep.dll rsakeypair exampleCAkeys 1024 1024 Exporting and Importing RSA Keys: Ejemplos • Exportación e Importación de Llaves RSA en Archivos PKCS12: Ejemplo: • Generación, Exportación, Importación y Verificación de Llaves RSA en Archivos PEM: Ejemplo: • Exportación de Certificados y Pares de Llaves RSA del Router desde Archivos PEM: Ejemplo: • Importación de los Pares de Llaves y del Certificado RSA del Router desde Archivos PEM: Ejemplo: Exportación e Importación de Llaves RSA en Archivos PKCS12: Ejemplo: En el siguiente ejemplo, un par clave “mynewkp” RSA se genera en el router A, y un nombre “mynewtp” del trustpoint se crea y se asocia al par clave RSA. El trustpoint se exporta a un servidor TFTP, para poderlo importar en el router B. Importando el trustpoint “mynewtp” al router B, el usuario ha importado el par clave “mynewkp” RSA al router B. Router A crypto key generate rsa general label mykeys exportable ! The name for the keys will be:mynewkp Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: % Generating 512 bit RSA keys ...[OK] ! crypto pki trustpoint mynewtp rsakeypair mykeys exit crypto pki export mytp pkcs12 flash:myexport companyname Destination filename [myexport]? Writing pkcs12 file to tftp:/mytftpserver/myexport CRYPTO_PKI:Exported PKCS12 file successfully. Verifying checksum... OK (0x3307) ! Feb 18 17:30:09 GMT:%CRYPTO-6-PKCS12EXPORT_SUCCESS:PKCS #12 Successfully Exported. Router B crypto pki import mynewtp pkcs12 flash:myexport companyname Source filename [myexport]? CRYPTO_PKI:Imported PKCS12 file successfully. ! Feb 18 18:07:50 GMT:%CRYPTO-6-PKCS12IMPORT_SUCCESS:PKCS #12 Successfully Imported. Generación, Exportación, Importación y Verificación de Llaves RSA en Archivos PEM: Ejemplo: Las demostraciones del siguiente ejemplo cómo generar, exportar, traer la clave detrás (importación), y verificar el estatus del par clave “mycs” RSA: ! Generate the key pair ! Router(config)# crypto key generate rsa general-purpose label mycs exportable The name for the keys will be: mycs Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys ...[OK] ! ! Archive the key pair to a remote location, and use a good password. ! Router(config)# crypto key export rsa mycs pem url nvram:3des PASSWORD % Key name:mycs Usage:General Purpose Key Exporting public key... Destination filename [mycs.pub]? Writing file to nvram:mycs.pub Exporting private key... Destination filename [mycs.prv]? Writing file to nvram:mycs.prv ! ! Import the key as a different name. ! Router(config)# crypto key import rsa mycs2 pem url nvram:mycs PASSWORD % Importing public key or certificate PEM file... Source filename [mycs.pub]? Reading file from nvram:mycs.pub % Importing private key PEM file... Source filename [mycs.prv]? Reading file from nvram:mycs.prv% Key pair import succeeded. ! ! After the key has been imported, it is no longer exportable. ! ! Verify the status of the key. ! Router# show crypto key mypubkey rsa % Key pair was generated at:18:04:56 GMT Jun 6 2003 Key name:mycs Usage:General Purpose Key Key is exportable. Key Data: 30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00E65253 9C30C12E 295AB73F B1DF9FAD 86F88192 7D4FA4D2 8BA7FB49 9045BAB9 373A31CB A6B1B8F4 329F2E7E 8A50997E AADBCFAA 23C29E19 C45F4F05 DBB2FA51 4B7E9F79 A1095115 759D6BC3 5DFB5D7F BCF655BF 6317DB12 A8287795 7D8DC6A3 D31B2486 C9C96D2C 2F70B50D 3B4CDDAE F661041A 445AE11D 002EEF08 F2A627A0 5B020301 0001 % Key pair was generated at:18:17:25 GMT Jun 6 2003 Key name:mycs2 Usage:General Purpose Key Key is not exportable. Key Data: 30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00E65253 9C30C12E 295AB73F B1DF9FAD 86F88192 7D4FA4D2 8BA7FB49 9045BAB9 373A31CB A6B1B8F4 329F2E7E 8A50997E AADBCFAA 23C29E19 C45F4F05 DBB2FA51 4B7E9F79 A1095115 759D6BC3 5DFB5D7F BCF655BF 6317DB12 A8287795 7D8DC6A3 D31B2486 C9C96D2C 2F70B50D 3B4CDDAE F661041A 445AE11D 002EEF08 F2A627A0 5B020301 0001 Exportación de Certificados y Pares de Llaves RSA del Router desde Archivos PEM: Ejemplo: Las demostraciones del siguiente ejemplo cómo generar y exportar el par clave “aaa” RSA y los Certificados del router en los archivos PEM que se asocian al trustpoint “mycs.” Este ejemplo también muestra los archivos PEM-formatados, que incluyen los límites PEM antes y después de los datos codificado en base64, que son utilizados por otras aplicaciones SSL y de SSH. Router(config)# crypto key generate rsa general-keys label aaa exportable The name for the keys will be:aaa Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. ! How many bits in the modulus [512]: % Generating 512 bit RSA keys ...[OK] ! Router(config)# crypto pki trustpoint mycs Router(ca-trustpoint)# enrollment url http://mycs Router(ca-trustpoint)# rsakeypair aaa Router(ca-trustpoint)# exit Router(config)# crypto pki authenticate mycs Certificate has the following attributes: Fingerprint:C21514AC 12815946 09F635ED FBB6CF31 % Do you accept this certificate? [yes/no]: y Trustpoint CA certificate accepted. ! Router(config)# crypto pki enroll mycs % % Start certificate enrollment .. % Create a challenge password. You will need to verbally provide this password to the CA Administrator in order to revoke your certificate. For security reasons your password will not be saved in the configuration. Please make a note of it. Password: Re-enter password: % The fully-qualified domain name in the certificate will be: Router % The subject name in the certificate will be:host.example.com % Include the router serial number in the subject name? [yes/no]: n % Include an IP address in the subject name? [no]: n Request certificate from CA? [yes/no]: y % Certificate request sent to Certificate Authority % The certificate request fingerprint will be displayed. % The 'show crypto ca certificate' command will also show the fingerprint. Router(config)# Fingerprint:8DA777BC 08477073 A5BE2403 812DD157 00:29:11:%CRYPTO-6-CERTRET:Certificate received from Certificate Authority Router(config)# crypto ca export aaa pem terminal 3des password % CA certificate: -----BEGIN CERTIFICATE----MIICAzCCAa2gAwIBAgIBATANBgkqhkiG9w0BAQUFADBOMQswCQYDVQQGEwJVUzES <snip> waDeNOSI3WlDa0AWq5DkVBkxwgn0TqIJXJOCttjHnWHK1LMcMVGn -----END CERTIFICATE----- % Key name:aaa Usage:General Purpose Key -----BEGIN RSA PRIVATE KEY----Proc-Type:4,ENCRYPTED DEK-Info:DES-EDE3-CBC,ED6B210B626BC81A Urguv0jnjwOgowWVUQ2XR5nbzzYHI2vGLunpH/IxIsJuNjRVjbAAUpGk7VnPCT87 <snip> kLCOtxzEv7JHc72gMku9uUlrLSnFH5slzAtoC0czfU4= -----END RSA PRIVATE KEY----- % Certificate: -----BEGIN CERTIFICATE----MIICTjCCAfigAwIBAgICIQUwDQYJKoZIhvcNAQEFBQAwTjELMAkGA1UEBhMCVVMx <snip> 6xlBaIsuMxnHmr89KkKkYlU6 -----END CERTIFICATE----- Importación de los Pares de Llaves y del Certificado RSA del Router desde Archivos PEM: Ejemplo: Las demostraciones del siguiente ejemplo cómo importar los pares claves y el certificado RSA al trustpoint “ggg” de los archivos PEM vía el TFTP: Router(config)# crypto pki import ggg pem url tftp://10.1.1.2/username/msca password % Importing CA certificate... Address or name of remote host [10.1.1.2]? Destination filename [username/msca.ca]? Reading file from tftp://10.1.1.2/username/msca.ca Loading username/msca.ca from 10.1.1.2 (via Ethernet0):! [OK - 1082 bytes] % Importing private key PEM file... Address or name of remote host [10.1.1.2]? Destination filename [username/msca.prv]? Reading file from tftp://10.1.1.2/username/msca.prv Loading username/msca.prv from 10.1.1.2 (via Ethernet0):! [OK - 573 bytes] % Importing certificate PEM file... Address or name of remote host [10.1.1.2]? Destination filename [username/msca.crt]? Reading file from tftp://10.1.1.2/username/msca.crt Loading username/msca.crt from 10.1.1.2 (via Ethernet0):! [OK - 1289 bytes] % PEM files import succeeded. Router(config)# Encripción y Bloqueo de Llaves Privadas en un Router: Ejemplos • Configuración y Verificación de una Llave Encriptada: Ejemplo: • Configuración y Verificación de una Llave Bloqueada: Ejemplo: Configuración y Verificación de una Llave Encriptada: Ejemplo: Las demostraciones del siguiente ejemplo cómo cifrar la clave el "pki-123.example.com." RSA después de eso, show crypto key mypubkey rsa el comando se publican para verificar que la clave RSA está cifrada (protegido) y desbloqueada. Router(config)# crypto key encrypt rsa name pki-123.example.com passphrase password Router(config)# exit Router# show crypto key mypubkey rsa % del par clave fue generado GMT el 25 de junio de 2003 at:00:15:32 Clave name:pki-123.example.com Uso: Clave de fines generales Se protege y ESTÁ DESBLOQUEADO el *** la clave. *** La clave no es exportable. Datos clave: 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00E0CC9A 1D23B52C CD00910C ABD392AE BA6D0E3F FC47A0EF 8AFEE340 0EC1E62B D40E7DCC 23C4D09E 03018B98 E0C07B42 3CFD1A32 2A3A13C0 1FF919C5 8DE9565F 1F020301 0001 % del par clave fue generado GMT el 25 de junio de 2003 at:00:15:33 Clave name:pki-123.example.com.server Uso: Clave de encripción La clave es exportable. Datos clave: 307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00D3491E 2A21D383 854D7DA8 58AFBDAC 4E11A7DD E6C40AC6 66473A9F 0C845120 7C0C6EC8 1FFF5757 3A41CE04 FDCB40A4 B9C68B4F BC7D624B 470339A3 DE739D3E F7DDB549 91CD4DA4 DF190D26 7033958C 8A61787B D40D28B8 29BCD0ED 4E6275C0 6D020301 0001 Router# Configuración y Verificación de una Llave Bloqueada: Ejemplo: Las demostraciones del siguiente ejemplo cómo bloquear el "pki-123.example.com." dominante después de eso, show crypto key mypubkey rsa el comando se publican para verificar que la clave está protegida (cifrado) y bloqueada. Router# crypto key lock rsa name pki-123.example.com passphrase password ! Router# show crypto key mypubkey rsa % Key pair was generated at:20:29:41 GMT Jun 20 2003 Key name:pki-123.example.com Usage:General Purpose Key *** The key is protected and LOCKED. *** Key is exportable. Key Data: 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00D7808D C5FF14AC 0D2B55AC 5D199F2F 7CB4B355 C555E07B 6D0DECBE 4519B1F0 75B12D6F 902D6E9F B6FDAD8D 654EF851 5701D5D7 EDA047ED 9A2A619D 5639DF18 EB020301 0001 Adonde ir después Después de que usted haya generado un par clave RSA, usted debe configurar el trustpoint. Si usted ha configurado ya el trustpoint, usted debe autenticar y alistar al Routers en un PKI. Para la información sobre la inscripción, vea el módulo el “configurar de la inscripción del certificado para un PKI.” Referencias adicionales Documentos Relacionados Tema relacionado Título del documento Descripción general del PKI, incluyendo las llaves RSA, la inscripción del certificado y los CAs Descripción General de la PKI de Cisco IOS: Comprensión y Planificación de una PKI Comandos PKI: sintaxis, modo de comando, valores por Referencia de Comandos de Seguridad de defecto, Pautas para el uso, y ejemplos del comando Cisco IOS complete MIB MIB Link del MIB Ninguno Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL: http://www.cisco.com/cisco/web/LA/support/index.html RFC RFC Título RFC 2409 El Internet Key Exchange (IKE) RFC 2511 Pedido de certificado de Internet X.509 Message format (Formato del mensaje) Asistencia Técnica Descripción Link El Web site del soporte y de la documentación http://www.cisco.com/cisco/web/LA/support/index.html de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com. Información sobre la Función Llaves RSA dentro de una PKI La Tabla 1 muestra el historial de versiones de esta función. Para información sobre una función de esta tecnología que no se documente aquí, vea "Implementación y Administración del Mapa de Ruta de Funciones PKI." Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere. Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica. Nombre de la función Soporte del clave pública del Cisco IOS 4096-Bit Versiones de Software Información de la Configuración de la Función 12.4(12)T Esta característica introduce el soporte del clave pública del par del Cisco IOS 4096-bit. La sección siguiente proporciona la información sobre esta característica: • Exporting and 12.2(15)T Importing RSA Keys Descripción General de las Llaves RSA Esta función permite transferir las credenciales de seguridad entre los dispositivos mediante la exportación y la importación de las llaves RSA. El par de llaves que se comparte entre dos dispositivos permitirá que uno de ellos asuma de forma inmediata y transparente la funcionalidad del otro. Las secciones siguientes proporcionan información acerca de esta función: • Beneficios de las Llaves RSA Exportables • Exporting and Importing RSA Keys en Archivos PKCS12 Los siguientes comandos fueron introducidos o modificados por esta característica: crypto ca export pkcs12crypto ca import pkcs12, crypto key generate rsa (IKE) Import of RSA Key ‘12.3(4)T’ Pair and Certificates in PEM Format Esta función permite a los clientes utilizar los archivos con formato PEM para importar o exportar los pares de llaves RSA. Los archivos con formato PEM permiten a los clientes utilizar directamente pares de llaves RSA existentes en sus routers Cisco IOS en lugar de generar nuevas llaves. Las secciones siguientes proporcionan información acerca de esta función: • Beneficios de las Llaves RSA Exportables • Exportación e Importación de Llaves RSA en Archivos con Formato PEM Los siguientes comandos fueron introducidos por esta función: crypto ca export pem crypto ca import pem crypto key export pem, crypto key import pem Soporte múltiple del 12.2(8)T par clave RSA Esta función permite al usuario configurar un router para que tenga varios pares de llaves RSA. Así, Cisco IOS Software puede mantener un par de llaves diferente para cada certificado de identidad. Las secciones siguientes proporcionan información acerca de esta función: • Razones para Almacenar Múltiples Llaves RSA en un Router • Manejo de los pares claves RSA y de los Certificados del trustpoint Los siguientes comandos fueron introducidos o modificados por esta característica: crypto key generate rsa crypto key zeroize rsa, rsakeypair Protected Private Key Storage 12.3(7)T Esta función permite que un usuario encripte y bloquee las llaves privadas RSA que se utilizan en un router de Cisco IOS, con lo que se impide el uso no autorizado de las llaves privadas. La sección siguiente proporciona la información sobre esta característica: • Encripción y Bloqueo de Llaves Privadas en un Router Los siguientes comandos fueron introducidos o modificados por esta característica: crypto key decrypt rsacrypto key encrypt rsacrypto key lock rsacrypto key unlock rsa, show crypto key mypubkey rsa Generación de 15.1(1)T claves RSA 4096-bit en el soporte de motor de la criptografía de software El valor del rango para modulus el valor de la palabra clave para crypto key generate rsa el comando es extendido a partir del 360 a 2048 bits a 360 a 4096 bits. Supervisión de rendimiento y optimización IOS PKI La característica de la supervisión de rendimiento y de la optimización IOS proporciona una manera de caracterizar el funcionamiento dentro del subsistema del Public Key Infrastructure (PKI) y de hacer el debug de y de analizar los asuntos relacionados con el rendimiento PKI. Esta característica se discute en el detalle adicional en documento IOS de la característica de la supervisión de rendimiento y de la optimización. 15.1(3)T Esta característica también incluye las mejoras siguientes que se pueden encontrar en este documento: • Un certificado uno mismo-firmado del trustpoint se puede crear para el router que contiene el nombre del trustpoint en el campo alternativo sujeto del nombre (subjectAltName). • Los claves públicas de un router del par se pueden borrar para ayudar a hacer el debug de los problemas de la verificación de firma en la versión 1 IKE y la versión 2 IKE y a optimizar el funcionamiento del router del par como resultado de tomar estas medidas. Estas características se pueden encontrar en las secciones siguientes: • “Generando sección de un par clave RSA” • “Quitando sección de las configuraciones del par clave RSA” Los siguientes comandos fueron introducidos o modificados por esta característica: crypto key zeroize pubkey-chain, subjectalt-name Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at /go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R) Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any examples, command display output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses or phone numbers in illustrative content is unintentional and coincidental © 2005-2011 Cisco Systems, Inc. All rights reserved. © 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 2 Agosto 2013 http://www.cisco.com/cisco/web/support/LA/107/1074/1074079_sec_deploy_RSA_piki_ps6922_TSD_Products_Configuration_Guide_Chapter.html