服务器外交部回应永兴岛部署战斗机

IOSPKI部署指南:初始设计和配置ContentsIntroductionPKI基础设施认证机关辅助认证机关注册审批机构PKI客户端IOSPKI服务器时间的授权来源主机名和域名HTTP服务器RSA密钥对自动反转计时器考虑CRL考虑发布CRL到HTTP服务器SCEPGetCRL方法寿命CRL数据库考虑DatabasearchiveIOS作为SUBCAIOS作为RAIOSPKI客户端时间的授权来源主机名和域名RSA密钥对信任点登记模式源接口和VRF自动证书登记和续订认证撤销检查CRL高速缓冲存储器建议的配置根CA-配置没有RA的SUBCA-配置与RA的SUBCA-配置SUBCA的RA-配置证书注册手动注册PKI客户端PKI服务器登记使用SCEP手工的授予无条件的自动授予被核准的自动授予登记使用SCEP通过RA自动授予RA被核准的请求自动授予SUBCA/RA反转认证Introduction本文详细描述IOSPKI服务器和客户端功能.
它关注IOSPKI初始设计和部署注意事项.
PKI基础设施认证机关CertificateAuthority(CA),也指PKI服务器在本文中,是该的可信的实体问题证书.
PKI根据信任,并且信任层次结构开始在根认证机关(根CA).
由于根CA是在层次结构顶部,有一自签证书.
辅助认证机关在PKI信任层次结构所有认证权限下面的根叫作辅助认证权限(SUBCA).
明显,CA发行SUBCA认证,是上面一个级别.
PKI不实施限制给SUBCAS的编号在一个特定层次结构的.
然而,在与超过认证的3个级别的一个企业配置权限可能变得难管理.
注册审批机构PKI定义了叫作注册机关(RA)的特殊认证机关,对核准从登记的PKI客户端负责到一个特定SUBCA或根CA.
RA不发行证书给PKI客户端,反而决定哪个Pki客户端或不可能由SUBCA或根CA发出认证.
RA的主要角色是卸载从CA的基本的客户端证书请求验证,并且保护CA免受对客户端的直接暴露.
这样,RA突出在PKI客户端和CA之间,因而保护CA免受任何拒绝服务攻击.
PKI客户端所有设备请求为根据一个常驻公用专用密钥对的认证证明其身份到其它设备是公认的PKI客户端.
PKI客户端一定能够生成或存储一个公用专用密钥对例如RSA或DSA或者ECDSA.
假设对应的专用KEY在设备,存在认证是身份证明特定公共密钥的和正确性.
IOSPKI服务器表1.
IOSPKI服务功能演变功能IOS[ISR-G1,ISR-G2]IOS-XE[ASR1K,ISR4K]IOSCA/PKI服务器12.
3(4)TXE3.
14.
0/15.
5(1)SIOSPKI服务器证明反转12.
4(1)TXE3.
14.
0/15.
5(1)SIOSPKIHA15.
0(1)MNA[ImplicitInter-RPRedundancyisavailable]第三方CA的IOSRA15.
1(3)TXE3.
14.
0/15.
5(1)S在进入PKI服务器配置前,管理员必须了解这些核心概念.
时间的授权来源其中一个PKI基础设施的基础是时间.
系统时钟定义了是否认证是有效的.
因此,在IOS,必须使时钟授权或信得过.
没有时间的一个授权来源,PKI服务器可能不作用正如所料,并且是高度推荐的使时钟在IOS授权使用这些方法:NTP(网络时间协议)同步系统时钟与时间服务器是使系统时钟唯一的真的方式信得过.
IOS路由器可以被配置作为对一著名的和稳定的Ntpserver的一NTP客户机在网络:configureterminalntpserverntpsourcentpupdate-calendar!
!
optional,iftheNTPServerrequirestheclientstoauthenticatethemselvesntpauthenticatentpauthentication-key1md5!
!
optionallyanaccess-listcanbeconfiguredtorestricttime-updatesfromaspecifcNTPserveraccess-list1permitntpaccess-grouppeer1IOS可能也被配置作为Ntpserver,将指示本地系统时钟如授权.
在小规模PKI配置,PKI服务器可以被配置作为其PKI客户端的一Ntpserver:configureterminalntpmaster!
!
optionally,NTPauthenticationcanbeenforcedntpauthenticatentpauthentication-key1md5ntpauthentication-key2md5ntpauthentication-key2md5ntptrusted-key1-3!
!
optinally,anaccess-listcanbeconfiguredtorestrictNTPclients!
!
firstallowthelocalroutertosynchronizewiththelocaltime-serveraccess-list1permit127.
127.
7.
1ntpaccess-grouppeer1!
!
defineanaccess-listtowhichthelocaltime-serverwillservetime-synchronizationservicesaccess-list2permitntpaccess-groupserve-only2指示的硬件时钟如委托在IOS中,硬件时钟可以被标记作为授权使用:configterminalclockcalendar-valid这可以与NTP一起被配置,并且执行此的关键原因是保持系统时钟授权,当路由器重新载入,例如由于停电和NTP服务器不可及的时.
在此阶段,PKI计时器将停止作用,反过来导致认证续订/反转故障.
在这些情况下clockcalendar-valid作为保障.
当配置此,它是关键了解时系统时钟将出去同步,如果系统电池中断,并且PKI将开始委托一个失调的时钟.
然而,配置此,比有时间的一个授权来源是相对安全.
Note:clockcalendar-valid命令在IOS-XE版本XE3.
10.
0/15.
3(3)S向前被添加了.
主机名和域名推荐配置主机名-和在CiscoIOS的一domain-name作为其中一第一步在配置任何PKI相关服务前.
路由器主机名和domain-name用于以下方案:默认RSA密钥对名称通过结合主机名派生-和domain-nameq当登记为认证时,请默认subject-name包括被汇集的主机名-请归因于和无特定结构的NAME,是主机名-和domain-name.
q关于PKI服务器,主机名-,并且没有使用domain-name:默认密钥对名称将是相同的象那PKI服务器名q默认值subject-name包括CN,是相同的象那PKI服务器名.
q一般推荐是配置一个适当的主机名-和domain-name.
configterminalhostnameipdomainnameHTTP服务器只有当HTTP服务器是启用的,IOSPKI服务器被启用.
请注意,如果PKI服务器失效归结于是的HTTP服务器失效的,它能继续授予脱机请求[viaterminal].
要求HTTP服务器功能处理SCEP请求,并且派出SCEP回应.
IOSHTTP服务器是启用使用:iphttpserver并且默认HTTP服务器端口可以从80被更换到所有有效端口号使用:iphttpport8080HTTP最大连接其中一个瓶颈,当配置IOS作为PKI服务器使用SCEP时是最大并发HTTP连接和平均的HTTP连接每分钟.
默认情况下目前,在IOSHTTP服务器的最大并发连接被限制到5并且可以增加到16,是高度推荐的在中比例尺配置:iphttpmax-connections16此IOS安装允许最大并发HTTP连接至1000:UniversalK9与uck9许可证SET的IOSq自动地更改CLI接受在1到1000之间的一个数字参数iphttpmax-connections1000IOSHTTP服务器允许每分钟[58080连接一旦最大HTTP并发会话可以增加到1000]的IOS版本,并且当此限制在一分钟内时达到,IOSHTTP监听程序启动节流传入的HTTP连接通过关闭监听程序15秒.
这导致客户端连接的请求下降的归结于TCP达到的连接队列限制.
可以找到关于此的更多信息这里RSA密钥对PKI服务器功能的RSA密钥对在IOS可以主动生成或手工生成.
当配置PKI服务器时,IOS由名字自动地创建一信任点和PKI服务器一样为了存储PKI服务器证明.
手工生成PKI服务器RSA密钥对:步骤1.
用名字创建一个RSA密钥对和那PKI服务器一样:cryptokeygeneratersageneral-keyslabelmodulus2048Step2.
在启用PKI服务器前,请修改PKI服务器信任点:cryptopkitrustpointrsakeypairNote:RSA密钥对模数值被提及在PKI服务器信任点下没有被考虑到直到IOSVer15.
4(3)M4,并且这是一个已知警告.
DEFAULT键模数是1024位.
主动生成PKI服务器RSA密钥对:当启用PKI服务器,IOS自动地生成与名字的一个RSA密钥对和一样时那PKI服务器和关键模数大小是1024位.
因为名字和KEY力量将是根据被定义的模数,开始IOSVer15.
4(3)M5,此配置用创建一个RSA密钥对.
cryptopkitrustpointrsakeypair掠夺者CSCuu73408IOSPKI服务器应该允许反转的cert非默认密钥大小.
CSCuu73408IOSPKI服务器应该允许反转的cert非默认密钥大小.
当前工业标准是使用至少2048位RSA密钥对.
自动反转计时器考虑默认情况下目前,IOSPKI服务器不生成反转认证,使用自动反转命令,并且必须明确地被启用在PKI服务器下.
更多在认证反转解释此命令指定多少日,在PKIServer/CA认证终止前如果IOS创建反转CA证书.
注意一次激活反转CA证书当前活动CA证书到期.
DEFAULT值当前是30天.
应该设置此值为合理的值根据CA证书寿命,并且这反过来影响在PKI客户端的自动注册计时器配置.
Note:在CA和客户端证书反转[knownas]期间,自动反转计时器应该在自动注册之前总是触发在客户端的计时器CRL考虑IOSPKI基础设施支持分配CRL两种方式:发布CRL到HTTP服务器可以配置IOSPKI服务器发布CRL文件到HTTP服务器的一个特定位置使用此命令在PKI服务器下:cryptopkiserverdatabasecrlpublish并且可以配置PKI服务器嵌入此CRL位置到所有PKI客户端证书使用此命令在PKI服务器下:cryptopkiservercdp-urlSCEPGetCRL方法IOSPKI服务器在特定数据库位置自动地存储CRL文件,默认情况下是nvram,并且是高度推荐的保留在SCP/FTP/TFTP服务器的复制使用此命令在PKI服务器下:cryptopkiserverdatabaseurlordatabasecrl默认情况下,IOSPKI服务器不嵌入CDP位置到PKI客户端证书.
如果配置IOSPKI客户端执行撤销检查,但是被验证的认证没有在它嵌入的CDP,并且验证的CA信任点配置有CA位置(使用http://),默认情况下IOS下跌回到SCEP基于GetCRL方法.
SCEPGetCRL通过执行在此URL的HTTPGET进行CRL检索:http::///cgi-bin/pkiclient.
exeoperation=GetCRLNote:在进入之前的IOSCLI中,请按Ctrl+vKEY顺序.
IOSPKI服务器能也嵌入此URL作为CDP位置.
执行此的优点是二倍的:它保证所有非IOSSCEP基于PKI客户端可进行CRL检索.
q没有嵌入式CDP,IOSSCEPGetCRL请求消息签字(使用一临时自签证书)如对SCEP草稿定义.
然而,CRL检索请求不需要签字,并且通过嵌入GetCRL方法的CDPURL,签署CRL请求可以避免.
q寿命CRLIOSPKI服务器的CRL寿命可以是受控的使用此命令在PKI服务器下:cryptopkiserverlifetimecrl值是以几小时.
默认情况下CRL的寿命设置为6小时.
根据证书如何频繁地被废除,调整对一个最佳值的CRL寿命增加在网络的CRL检索性能.
数据库考虑IOSPKI服务器使用nvram作为默认数据库位置,并且是高度推荐的使用FTP或TFTP或者SCP服务器作为数据库位置.
默认情况下,IOSPKI服务器创建两个文件:.
ser–这在十六进制包含CA发出的最后序列号.
文件以明文格式,并且包含此信息:db_version=1last_serial=0x4q.
crl–这是CA发布的DER编码的CRL文件qIOSPKI服务器在数据库存储信息在3个可配置级别:最小数量–这是默认级别,并且文件在数据库在这个阶层没有被创建,并且不是可用的在关于客户端证书的CA服务器以前被授予的信息.
q名字–IOSPKI服务器在这个阶层创建名叫被发行的每个客户端证书的.
cnm的一个文件,其中命名是指被发行的客户端证书的序列号,并且此cnm文件包含subject-name和客户端证书的到期日.
q完成–在这个阶层,IOSPKI服务器创建被发行的每个客户端证书的两个文件:q.
cnmq.
crtq这里,crt文件是客户端证书文件,是编码的DER.
这些点是重要的:在发行客户端证书前,IOSPKI服务器是指.
ser确定和派生认证的序列号.
q使用数据库级别设置为名字或完成,.
cnm和.
crt需要给数据库被写在发送被授予的/发出的认证前到客户端qdatabaseurl设置为名字或请完成,databaseurl必须有保存足够的空间文件.
因此推荐是配置一外部文件服务器[FTPorTFTPorSCP]作为databaseurl.
q当外部Databaseurl被配置,确信是绝对必要的,文件服务器在认证授予进程中是可及的,将否则指示CA服务器作为禁用.
并且要求人工干预带来CA服务器返回在线.
qDatabasearchive当配置PKI服务器时,考虑故障情景是重要的,并且准备,应该有hadrware故障.
有两种方式达到此:冗余在这种情况下,两个设备或处理器作为活动暂挂提供冗余.
高性能IOSPKI的服务器可以达到使用两HSRP被启用的ISR路由器[ISRG1和ISRG2]按照说明IOSXE根据系统[ISR4K和ASR1k]没有可用设备冗余的选项.
默认情况下然而,在ASR1kRP之间冗余是可用的.
1.
归档CA服务器密钥对和文件IOS提供一个设备归档PKI服务器密钥对和认证.
使用文件的两种类型归档可以完成:PEM-IOS创建PEM格式文件存储RSA公共密钥,被加密的RSA专用密钥,CA服务器证书.
自动地归档反转密钥对和证书PKCS12-IOS创建包含CA服务器证书和对应的RSA专用密钥的单个PKCS12文件被加密使用密码.
2.
数据库归档可以是启用的使用此命令在PKI服务器下:cryptopkiserverdatabasearchive{pkcs12|pem}password存储归档文件到独立服务器,可能使用安全协议(SCP)也是可能的使用以下命令在PKI服务器下:cryptopkiserverdatabaseurl{p12|pem}在数据库的所有文件除了归档文件和.
Ser文件,其他文件在明文并且不造成实际威胁,如果丢失,并且可以存储在独立服务器,无需导致开销,当写文件,例如TFTPserver时.
IOS作为SUBCA默认情况下IOSPKI服务器占去根CA的角色.
配置辅助PKI服务器(SUBCA),第一enable(event)此命令在PKI服务器配置部分下(在启用PKI服务器前):cryptopkiservermodesub-cs使用此请配置根加州的URL在PKI服务器的信任点下:cryptopkitrustpointenrollmenturl启用此PKI服务器当前触发这些事件:PKI服务器信任点验证为了安装根CA证书.
q在根CA验证后,IOS生成包含CA的辅助CA[x509基本的约束的CSR:TRUE标志位]和发送它到根CAq不考虑在根CA配置的授予模式,IOS放CA(或RA)证书请求到待定队列.
管理员必须手工授予CA证书.
查看待定证书请求和请求id:showcryptopkiserverrequests同意请求:cryptopkiservergrant使用此,随后的SCEPPOLL(GetCertInitial)操作下载SUBCA认证并且在路由器上安装它,enable(event)辅助PKI服务器qIOS作为RAIOsPKI服务器可以被配置作为对一个特定辅助或根CA的一个注册审批机构.
配置PKI服务器作为注册审批机构,第一enable(event)此命令在PKI服务器配置部分下(在启用PKI服务器前):cryptopkiservermodera在此之后,请配置CA的URL在PKI服务器的信任点下.
这指示哪个CA受RA的保护:cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Cisco注册审批机构不发行证书,因此没有需要在RA下的签发方名称配置,并且不是有效的,即使配置.
使用subject-name命令,subject-nameRA被配置在RA信任点下.
配置OU=ioscsRA作为一部分subject-name为了IOSCA能识别IOSRA识别IOSRA核准的证书请求即是重要的.
IOS能作为注册审批机构对第三方CAs例如MicrosoftCA,并且为了坚持兼容IOSRA必须是启用的使用此命令在PKI服务器配置部分下(在启用PKI服务器前):cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Cisco使用RA认证,在默认RA模式下,IOS签署客户端的要求[PKCS#10].
此操作指示IOSPKI服务器证书请求由RA核准了.
使用透明RA模式,IOS转发客户端的要求以他们的原始格式,无需介绍RA认证,并且这是与MicrosoftCA兼容作为一个著名的示例.
IOSPKI客户端一个在IOSPKI客户端的多数必需的配置实体是信任点.
信任点配置参数在此部分详细解释.
时间的授权来源作为时间的被指出的前,授权来源是在PKI客户端的一个需求.
IOSPKI客户端可以被配置作为NTP客户机使用这些配置:cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Cisco主机名和域名一般推荐是配置主机名-和在路由器的一domain-name:cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=CiscoRSA密钥对在IOSPKI客户端,一个特定信任点登记的RSA密钥对可能自动地生成或手工生成.
自动RSA密钥生成过程介入以下:默认情况下IOS创建512位RSA密钥对q自动地生成的密钥对名称是hostname.
domainNAME,是与设备domain-name-一起的设备主机名q主动生成的密钥对没有被标记作为可输出.
q自动RSA密钥生成过程介入以下:随意地,适当的力量的一般用途RSA密钥对可以手工生成使用:qcryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Cisco这里,标签-RSA密钥对名称MOD-RSA密钥模数或力量在位在360之间耕种4096,传统上是512,1024,2048或者4096.
手工生成RSA密钥对的优点是能力标记密钥对如可输出,反过来允许身份认证完全地被导出,在另一个设备可能然后恢复.
然而,一个人应该了解此动作安全影响.
q使用此命令,RSA密钥对与在登记前的一信任点连接cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Cisco这里,如果名为的RSA密钥对已经存在,在信任点登记期间,然后它被拾起.
如果名为的RSA密钥对不存在,在登记期间,则一个以下操作被执行:如果参数没有通过,然后512位密钥对名为生成.
如果一个参数通过,然后名为的位通用密钥对生成如果两个参数通过,然后一个位签名密钥对和一个位加密密钥对,两个已命名生成q信任点信任点是有在IOS的一个认证的一个抽象容器.
单个信任点能够在指定时候存储两活动证书:一个CA证书-装载CA证书到一特定信任点叫作信任点认证过程.
qCA发行的ID认证-加载或导入ID认证到一特定信任点叫作信任点登记进程.
q信任点配置是公认的信任策略,并且这定义了那:哪个CA证书被装载在信任点q哪个CA信任点是否登记qIOS如何登记信任点q特定CA[loadedinthetrustpoint]发行的认证如何被验证q信任点的主要组件解释得这里.
登记模式信任点登记模式,也定义了信任点认证模式,可以通过3主要手段执行:终端的登记-进行信任点认证和认证登记手工方法使用复制-粘贴在CLI终端.
1.
SCEP登记-信任点认证和登记使用SCEP在HTTP.
2.
登记配置文件-这里,认证和登记方法分开定义.
与终端和SCEP登记方法一起,登记配置文件提供一个选项指定HTTP/TFTP命令进行从服务器的文件检索,使用在配置文件下的认证或登记URL被定义.
3.
源接口和VRF信任点认证和登记在HTTP(SCEP)或TFTP(登记配置文件)使用IOS文件系统执行文件I/O操作.
这些信息包交换可以从一个特定源接口和VRF来源.
在经典信任点配置的情况下,此功能使用源接口和VRF子命令是启用的在信任点下.
在登记配置文件、源接口和登记的情况下|认证URLVRF命令提供同一个功能.
示例配置:cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Cisco或cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Cisco自动证书登记和续订可以配置IOSPKI客户端执行自动注册和续订使用此命令在Pkitrustpoint部分下:cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Cisco这里,自动注册[regenerate]命令状态IOS应该执行认证续订在正确地80%当前认证的寿命.
关键字重新生成阐明,IOS应该重新生成叫作Shadow密钥对的RSA密钥对在每次认证续订操作时.
这是自动注册工作情况:配置瞬间自动注册,如果信任点验证,IOS将执行自动注册到服务器位于URL被提及作为enrollmenturl命令一部分在Pkitrustpoint部分下或在登记配置文件下.
q信任点用PKI服务器登记的瞬间或CA、更新或者SHADOW计时器在PKI客户端初始化根据当前身份认证的自动注册百分比安装了在信任点下.
此计时器是可视的下显示cryptopki计时器命令.
更多在计时器fuctions是指q续订功能技术支持来自PKI服务器.
更多在此IOSPKI客户端执行续订的两种类型:含蓄续订:如果PKI服务器不发送"续订"作为一个支持的功能,IOS进行一个最初的登记在被定义的自动注册百分比.
即IOS使用一自签证书签署更新请求.
明确续订:当PKI服务器支持PKI客户端证书续订功能时,通告"续订"作为一个支持的功能.
即IOS考虑到此功能在认证续订IOS期间使用当前活动身份认证签署续订证书请求.
q应该保重,当配置自动注册百分比时.
在配置的所有被测量的PKI客户端,如果情况出现身份认证到期在发出的CA证书的同时的地方,然后自动注册值应该总是触发[shadow]续订操作,在CA创建了反转认证后.
参考PKI计时器依靠部分认证撤销检查即一验证的Pkitrustpoint包含CA证书的Pkitrustpoint能够执行证书确认在IKE或SSL协商时,对等体认证对彻底的证书确认被服从.
其中一个验证方法是检查对等体认证吊销状态使用以下两个方法之一:证书撤销列表(CRL)-这是包含证书的序列号的文件取消由特定CA.
使用发出的CA证书,此文件签字.
使用HTTP或LDAP,CRL方法介入下载CRL文件.
q联机证书状态协议(OCSP)-IOS设立有作为OCSP回应者被呼叫的实体的通信信道,是一个指定的服务器由发出的CA.
一个客户端例如IOS发送包含认证的序列号的一个请求被验证.
OCSP回应者回应特定序列号的废止状态.
使用所有支持的应用/传输协议,通信信道可能设立,通常是HTTP.
q撤销检查可以被定义使用这些发出命令在Pkitrustpoint部分下:cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Cisco默认情况下,配置使用crl,信任点执行撤销检查.
方法可以被重新命令,并且废止状态检查按被定义的顺序被执行.
方法"无"绕过撤销检查.
CRL高速缓冲存储器对于CRL基于撤销检查,每证书确认可能触发新CRL文件下载.
并且,因为CRL文件变得更大或,如果控制分配点(CDP)是去的,下载在每个验证过程中的文件阻碍协议的性能从属于证书确认.
因此,CRL缓存执行改进性能,并且缓存CRL考虑到CRL正确性.
使用两个次参数,CRL正确性被定义:LastUpdate,是上次CRL由发出的CA和NextUpdate发布,是时间是未来,当CRL文件的一个新版本由发出的CA时发布.
只要CRL是有效的,IOS缓存每个下载的CRL为.
然而,在某种状况下例如的CDP可及的临时地,长时间保留CRL在高速缓冲存储器可能是必要的.
在IOS中被缓存的CRL能保留为,只要24小时,在CRL正确性到期后,使用在Pkitrustpoint部分下的此命令,并且这可以被配置:cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Cisco在某种状况下例如废除在CRL有效性周期的发出的CA证书,IOS能confiugured频繁地删除高速缓冲存储器.
通过过早删除CRL,IOS被迫频繁地下载CRL保持CRL高速缓冲存储器最新状态.
此配置选项是可用的在Pkitrustpoint部分下:cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Cisco并且终于,可以配置IOS不缓存CRL文件使用此命令在Pkitrustpoint部分下:cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Cisco建议的配置与根CA和SUBCA配置的典型的CA配置是作为下面.
示例也包括RA的保护的一种SUBCA配置.
使用2048位全面的RSA密钥对,此示例推荐的设置:根CA有寿命8年SUBCA有寿命3年客户端证书自动地被发行一年,配置为认证续订请求.
根CA-配置cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Cisco没有RA的SUBCA-配置cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Cisco与RA的SUBCA-配置cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=CiscoSUBCA的RA-配置cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Cisco证书注册手动注册手动注册介入在PKI客户端的脱机CSR生成,手工被复制到CA.
管理员手册签署请求,然后被导入到客户端.
PKI客户端PKI客户端配置:cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Cisco第1步:首先请验证信任点(这可能在第2)步以后也执行.
cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Ciscocryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Cisco步骤2.
生成认证署名请求并且采取CSR对CA并且获得被授予的certificat:cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=Cisco第3步:现在请通过终端导入被授予的认证:cryptopkitrustpointenrollmenturlsubject-nameCN=,OU=ioscsRA,OU=TAC,O=CiscoPKI服务器第1步:首先从CA请导出发出的CA证书,在这种情况下是SUBCA认证.
这被导入在上面step1期间在PKI客户端,即信任点认证.
SUBCA(config)#cryptopkiexportSUBCApemterminal%CAcertificate:!
!
Root-CAcertificate-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----%GeneralPurposeCertificate:!
!
SUBCAcertificate-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----Step2.
使用此命令,在Pki客户端的Step-2以后,请采取从客户端的CSR并且为签字提供它在SUBCA:SUBCA(config)#cryptopkiexportSUBCApemterminal%CAcertificate:!
!
Root-CAcertificate-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----%GeneralPurposeCertificate:!
!
SUBCAcertificate-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----此命令建议SUBCA接受从终端的一个认证署名请求,并且一次授予,身份验证数据在PEM格式被打印.
SUBCA(config)#cryptopkiexportSUBCApemterminal%CAcertificate:!
!
Root-CAcertificate-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----%GeneralPurposeCertificate:!
!
SUBCAcertificate-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----如果CA在自动授予模式下,被授予的认证显示以上面PEM格式.
当CA在手工的授予的模式下时,证书请求被标记作为待定,被赋予id值并且排队到注册请求队列.
SUBCA(config)#cryptopkiexportSUBCApemterminal%CAcertificate:!
!
Root-CAcertificate-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----%GeneralPurposeCertificate:!
!
SUBCAcertificate-----BEGINCERTIFICATE-----MIIDODCCAiCgAwIBAgIBAjANBgkqhkiG9w0BAQUFADAvMQ4wDAYDVQQKEwVDaXNjbzEMMAoGA1UECxMDVEFDMQ8wDQYDVQQDEwZSb290Q0EwHhcNMTUxMDE4MjA0MjI3WhcNMTgxMDE3MjA0MjI3WjAuMQ4wDAYDVQQKEwVDaXNjbzEMMAoGA1UECxMDVEFDMQ4wDAYDVQQDEwVTdWJDQTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAJ7hKmBfDo/GOQAEYY/1ptpg28DejUE0ZlDorDkADP2vKfRI0kalSnOs2PIe01ip7pHFurFVUx/p8teMCkmvnbrSBfyUrWo9YfQeGOELb4d3dSW4jGakm6M8lNRkO7HPs+IVVTuJSeUZxov6DPa92Y/6HLayX15Iq8ZL+KwmA9oS5NeTi1tBbrcc3Hq8W2Ay879nDDOqDOsQMQqKtc7E/IA7SBjowImra6FUxzgJ5ye5MymRfRYAH+c4qZJxwHTc/tSmjiOJlM7X5dtehU/XPEEEbs78peXO9FyzAbhOtCRBVTnhc8WWijq84xu8Oej7LbXGBKIHSP0uDe32CV0noEUCAwEAAaNgMF4wDwYDVR0TAQH/BAUwAwEB/zALBgNVHQ8EBAMCAYYwHwYDVR0jBBgwFoAU+oNBdIj9mjpieQ2Z7v79JhKnL68wHQYDVR0OBBYEFFOv8xtHRojMdJ65oQ2PFBeD5oHiMA0GCSqGSIb3DQEBBQUAA4IBAQAZ/W3PWqs4vuQ2jCnVE0v1PVQe/VNS54P/fprQRelceawiBCHA3D0SRgHqUWJUIqBLv4sDQBegmyTmS76C8YC/jN7VbI30hf6R4qP7CWu8Ef9sWPRC/+Oy6e8AinrK+sVd2dp/LLDMVoBhS2bQFLWiyRvC9FgyczXRdF+rhKTKeEVXGs7C/Yk/9z+/00rVmSGZAS+vaPpZWjoC3459t51t8Y3iE6GtjBvmyxBwWt01/5gCu6Mszi7X/kXdmqgNfT5bBBnvyjWE2ZS8NsH4hwDZpmDJqx4qhrH6bw3iUm+pK9fceZ/HTYasxtcr4NUvvxwXc60yWrtlpq3g2XfG+qFB-----ENDCERTIFICATE-----步骤3.
使用此命令,请手工同意此请求:SUBCA(config)#cryptopkiexportSUBCApemterminal%CAcertificate:!
!
Root-CAcertificate-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----%GeneralPurposeCertificate:!
!
SUBCAcertificate-----BEGINCERTIFICATE-----MIIDODCCAiCgAwIBAgIBAjANBgkqhkiG9w0BAQUFADAvMQ4wDAYDVQQKEwVDaXNjbzEMMAoGA1UECxMDVEFDMQ8wDQYDVQQDEwZSb290Q0EwHhcNMTUxMDE4MjA0MjI3WhcNMTgxMDE3MjA0MjI3WjAuMQ4wDAYDVQQKEwVDaXNjbzEMMAoGA1UECxMDVEFDMQ4wDAYDVQQDEwVTdWJDQTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAJ7hKmBfDo/GOQAEYY/1ptpg28DejUE0ZlDorDkADP2vKfRI0kalSnOs2PIe01ip7pHFurFVUx/p8teMCkmvnbrSBfyUrWo9YfQeGOELb4d3dSW4jGakm6M8lNRkO7HPs+IVVTuJSeUZxov6DPa92Y/6HLayX15Iq8ZL+KwmA9oS5NeTi1tBbrcc3Hq8W2Ay879nDDOqDOsQMQqKtc7E/IA7SBjowImra6FUxzgJ5ye5MymRfRYAH+c4qZJxwHTc/tSmjiOJlM7X5dtehU/XPEEEbs78peXO9FyzAbhOtCRBVTnhc8WWijq84xu8Oej7LbXGBKIHSP0uDe32CV0noEUCAwEAAaNgMF4wDwYDVR0TAQH/BAUwAwEB/zALBgNVHQ8EBAMCAYYwHwYDVR0jBBgwFoAU+oNBdIj9mjpieQ2Z7v79JhKnL68wHQYDVR0OBBYEFFOv8xtHRojMdJ65oQ2PFBeD5oHiMA0GCSqGSIb3DQEBBQUAA4IBAQAZ/W3PWqs4vuQ2jCnVE0v1PVQe/VNS54P/fprQRelceawiBCHA3D0SRgHqUWJUIqBLv4sDQBegmyTmS76C8YC/jN7VbI30hf6R4qP7CWu8Ef9sWPRC/+Oy6e8AinrK+sVd2dp/LLDMVoBhS2bQFLWiyRvC9FgyczXRdF+rhKTKeEVXGs7C/Yk/9z+/00rVmSGZAS+vaPpZWjoC3459t51t8Y3iE6GtjBvmyxBwWt01/5gCu6Mszi7X/kXdmqgNfT5bBBnvyjWE2ZS8NsH4hwDZpmDJqx4qhrH6bw3iUm+pK9fceZ/HTYasxtcr4NUvvxwXc60yWrtlpq3g2XfG+qFB-----ENDCERTIFICATE-----Note:一个SUBCA的手动注册对根CA的不是可能的.
Note:在于一个的禁用状态的CA禁用HTTP服务器能手工同意证书请求.
登记使用SCEPPKI客户端配置是:cryptopkitrustpointMGMTenrollmenturlhttp://172.
16.
1.
2:80serial-numberip-addressnonepassword7110A1016141D5A5E57subject-nameCN=PKI-Client,OU=MGMT,OU=TAC,O=Ciscorevocation-checkcrlrsakeypairPKI-Key2048PKI服务器配置是:cryptopkitrustpointMGMTenrollmenturlhttp://172.
16.
1.
2:80serial-numberip-addressnonepassword7110A1016141D5A5E57subject-nameCN=PKI-Client,OU=MGMT,OU=TAC,O=Ciscorevocation-checkcrlrsakeypairPKI-Key2048DEFAULT模式证书请求授予手工:SUBCA#showcryptopkiserverCertificateServerSUBCA:Status:enabledState:enabledServer'sconfigurationislocked(enter"shut"tounlockit)Issuername:CN=SubCA,OU=TAC,O=CiscoCAcertfingerprint:DBE6AFAC9E1C369701C5466B78E0DFE3ServerconfiguredinsubordinateservermodeUpperCAcertfingerprint:CD0DE4C7955EFD60296B720441FB6EF6Grantingmodeis:manualLastcertificateissuedserialnumber(hex):4CAcertificateexpirationtimer:21:42:27CETOct172018CRLNextUpdatetimer:09:42:37CETOct202015Currentprimarystoragedir:unix:/SUB/Currentstoragedirfor.
crlfiles:unix:/SUB/DatabaseLevel:Complete-allissuedcertswrittenas.
cerAuto-Rolloverconfigured,overlapperiod85daysAutorollovertimer:21:42:27CETJul242018手工的授予步骤1.
PKI客户端:首先,是必须的,请验证在PKI客户端的信任点:SUBCA#showcryptopkiserverCertificateServerSUBCA:Status:enabledState:enabledServer'sconfigurationislocked(enter"shut"tounlockit)Issuername:CN=SubCA,OU=TAC,O=CiscoCAcertfingerprint:DBE6AFAC9E1C369701C5466B78E0DFE3ServerconfiguredinsubordinateservermodeUpperCAcertfingerprint:CD0DE4C7955EFD60296B720441FB6EF6Grantingmodeis:manualLastcertificateissuedserialnumber(hex):4CAcertificateexpirationtimer:21:42:27CETOct172018CRLNextUpdatetimer:09:42:37CETOct202015Currentprimarystoragedir:unix:/SUB/Currentstoragedirfor.
crlfiles:unix:/SUB/DatabaseLevel:Complete-allissuedcertswrittenas.
cerAuto-Rolloverconfigured,overlapperiod85daysAutorollovertimer:21:42:27CETJul242018步骤2.
Pki客户端:在信任点认证之后,PKI客户端可以为认证被登记.
Note:如果配置自动注册,客户端将自动地进行登记.
SUBCA#showcryptopkiserverCertificateServerSUBCA:Status:enabledState:enabledServer'sconfigurationislocked(enter"shut"tounlockit)Issuername:CN=SubCA,OU=TAC,O=CiscoCAcertfingerprint:DBE6AFAC9E1C369701C5466B78E0DFE3ServerconfiguredinsubordinateservermodeUpperCAcertfingerprint:CD0DE4C7955EFD60296B720441FB6EF6Grantingmodeis:manualLastcertificateissuedserialnumber(hex):4CAcertificateexpirationtimer:21:42:27CETOct172018CRLNextUpdatetimer:09:42:37CETOct202015Currentprimarystoragedir:unix:/SUB/Currentstoragedirfor.
crlfiles:unix:/SUB/DatabaseLevel:Complete-allissuedcertswrittenas.
cerAuto-Rolloverconfigured,overlapperiod85daysAutorollovertimer:21:42:27CETJul242018在幕后,这些事件发生:IOS寻找名为PkiKEY的一个RSA密钥对.
如果它存在,为请求身份认证被拾起.
否则,IOS创建2048位密钥对名为PkiKEY,然后使用它请求身份认证.
qIOS创建一个认证署名请求以PKCS10格式.
q使用随机的对称密钥,IOS然后加密此CSR.
使用接收人的公共密钥,随机的对称密钥被加密,是SUBCA(SUBCA的公共密钥可用归结于信任点认证).
被加密的CSR、被加密的随机的对称密钥和接收信息在PKCS-7被包围的数据被汇集.
q在最初的登记期间,此PKCS-7被包围的数据签字使用一临时自签证书.
PKCS-7包围了数据,客户端使用的签署的认证,并且客户端的签名在PKCS-7签名数据信息包被汇集.
这是编码的base64编码的,然后URL.
数据发生的一滴被发送作为"在HTTPURI的消息"参数被发送到CA:SUBCA#showcryptopkiserverCertificateServerSUBCA:Status:enabledState:enabledqServer'sconfigurationislocked(enter"shut"tounlockit)Issuername:CN=SubCA,OU=TAC,O=CiscoCAcertfingerprint:DBE6AFAC9E1C369701C5466B78E0DFE3ServerconfiguredinsubordinateservermodeUpperCAcertfingerprint:CD0DE4C7955EFD60296B720441FB6EF6Grantingmodeis:manualLastcertificateissuedserialnumber(hex):4CAcertificateexpirationtimer:21:42:27CETOct172018CRLNextUpdatetimer:09:42:37CETOct202015Currentprimarystoragedir:unix:/SUB/Currentstoragedirfor.
crlfiles:unix:/SUB/DatabaseLevel:Complete-allissuedcertswrittenas.
cerAuto-Rolloverconfigured,overlapperiod85daysAutorollovertimer:21:42:27CETJul242018步骤3.
Pki服务器:当IOSPKI服务器收到请求时,检查这些:1.
检查注册请求数据库是否包含与与新要求产生关联的同样交易ID的证书请求.
Note:交易ID是公共密钥的MD5哈希,身份认证由客户端要求.
2.
检查注册请求数据库是否包含与挑战密码的证书请求和客户端发送的那个一样.
Note:如果(1)一起返回真或(1)和(2)回归真,则CA服务器能够拒绝请求根据复制身份请求.
然而,IOSPKI服务器用更新的请求在这种情况下取代请求.
步骤4.
Pki服务器:请手工同意在PKI服务器的请求:查看请求:SUBCA#showcryptopkiserverCertificateServerSUBCA:Status:enabledState:enabledServer'sconfigurationislocked(enter"shut"tounlockit)Issuername:CN=SubCA,OU=TAC,O=CiscoCAcertfingerprint:DBE6AFAC9E1C369701C5466B78E0DFE3ServerconfiguredinsubordinateservermodeUpperCAcertfingerprint:CD0DE4C7955EFD60296B720441FB6EF6Grantingmodeis:manualLastcertificateissuedserialnumber(hex):4CAcertificateexpirationtimer:21:42:27CETOct172018CRLNextUpdatetimer:09:42:37CETOct202015Currentprimarystoragedir:unix:/SUB/Currentstoragedirfor.
crlfiles:unix:/SUB/DatabaseLevel:Complete-allissuedcertswrittenas.
cerAuto-Rolloverconfigured,overlapperiod85daysAutorollovertimer:21:42:27CETJul242018同意特定请求或所有请求:SUBCA#showcryptopkiserverCertificateServerSUBCA:Status:enabledState:enabledServer'sconfigurationislocked(enter"shut"tounlockit)Issuername:CN=SubCA,OU=TAC,O=CiscoCAcertfingerprint:DBE6AFAC9E1C369701C5466B78E0DFE3ServerconfiguredinsubordinateservermodeUpperCAcertfingerprint:CD0DE4C7955EFD60296B720441FB6EF6Grantingmodeis:manualLastcertificateissuedserialnumber(hex):4CAcertificateexpirationtimer:21:42:27CETOct172018CRLNextUpdatetimer:09:42:37CETOct202015Currentprimarystoragedir:unix:/SUB/Currentstoragedirfor.
crlfiles:unix:/SUB/DatabaseLevel:Complete-allissuedcertswrittenas.
cerAuto-Rolloverconfigured,overlapperiod85daysAutorollovertimer:21:42:27CETJul242018步骤5.
Pki客户端:同时,PKI客户端启动POLL计时器.
这里,SCEPCertRep=授予与被授予的认证一起由客户端,接受IOS定期执行GetCertInitial.
一旦被授予的认证被接受,IOS自动地安装它.