CA 서버로 Cisco IOS 라우터에 Cisco VPN 3000 Concentrator 구성 및 등록
목차
소개
이 문서에서는 Cisco IOS® 라우터를 CA(Certificate Authority) 서버로 구성하는 방법에 대해 설명합니다.또한 IPSec 인증을 위한 루트 및 ID 인증서를 얻기 위해 Cisco VPN 3000 Concentrator를 Cisco IOS 라우터에 등록하는 방법을 보여줍니다.
사전 요구 사항
요구 사항
이 문서에 대한 특정 요건이 없습니다.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
-
Cisco IOS Software 릴리스 12.3(4)T3을 실행하는 Cisco 2600 Series 라우터
-
Cisco VPN 3030 Concentrator 버전 4.1.2
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
네트워크 다이어그램
이 문서에서는 다음 네트워크 설정을 사용합니다.
표기 규칙
문서 표기 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.
인증서 서버에 대한 RSA 키 쌍 생성 및 내보내기
첫 번째 단계는 Cisco IOS CA 서버가 사용하는 RSA 키 쌍을 생성하는 것입니다.라우터(R1)에서 다음과 같이 RSA 키를 생성합니다.
R1(config)#crypto key generate rsa general-keys label cisco1 exportable The name for the keys will be: cisco1 Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: % Generating 512 bit RSA keys ...[OK] R1(config)# *Jan 22 09:51:46.116: %SSH-5-ENABLED: SSH 1.99 has been enabled
참고: 인증서 서버에 사용할 키 쌍(key-label)에 대해 동일한 이름을 사용해야 합니다(나중에 지원되는 crypto pki server cs-label 명령을 통해).
생성된 키 쌍 내보내기
그런 다음 키를 비휘발성 RAM(NVRAM) 또는 TFTP(컨피그레이션에 따라)로 내보내야 합니다. 이 예에서는 NVRAM이 사용됩니다.구현에 따라 별도의 TFTP 서버를 사용하여 인증서 정보를 저장할 수 있습니다.
R1(config)#crypto key export rsa cisco1 pem url nvram: 3des cisco123 % Key name: cisco1 Usage: General Purpose Key Exporting public key... Destination filename [cisco1.pub]? Writing file to nvram:cisco1.pub Exporting private key... Destination filename [cisco1.prv]? Writing file to nvram:cisco1.prv R1(config)#
TFTP 서버를 사용하는 경우 다음과 같이 생성된 키 쌍을 다시 가져올 수 있습니다.
crypto key import rsa key-label pem [usage-keys] {terminal | url url} [exportable] passphrase
참고: 인증서 서버에서 키를 내보내지 않으려면 내보낼 수 없는 키 쌍으로 내보낸 후 인증서 서버로 다시 가져옵니다.따라서 키를 다시 뗄 수 없습니다.
생성된 키 쌍 확인
show crypto key mypubkey rsa 명령을 호출하여 생성된 키 쌍을 확인할 수 있습니다.
일부 show 명령은 출력 인터프리터 툴 에서 지원되는데(등록된 고객만), 이 툴을 사용하면 show 명령 출력의 분석 결과를 볼 수 있습니다.
R1#show crypto key mypubkey rsa % Key pair was generated at: 09:51:45 UTC Jan 22 2004 Key name: cisco1 Usage: General Purpose Key Key is exportable. Key Data: 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00CC2DC8 ED26163A B3642376 FAA91C2F 93A3825B 3ABE6A55 C9DD3E83 F7B2BD56 126E0F11 50552843 7F7CA4DA 3EC3E2CE 0F42BD6F 4C585385 3C43FF1E 04330AE3 37020301 0001 % Key pair was generated at: 09:51:54 UTC Jan 22 2004 Key name: cisco1.server Usage: Encryption Key Key is exportable. Key Data: 307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00EC5578 025D3066 72149A35 32224BC4 3E41DD68 38B08D39 93A1AA43 B353F112 1E56DA42 49741698 EBD02905 FE4EC392 7174EEBF D82B4475 2A2D7DEC 83E277F8 AEC590BE 124E00E1 C1607433 5C7BC549 D532D18C DD0B7AE3 AECDDE9C 07AD84DD 89020301 0001
라우터에서 HTTP 서버 활성화
Cisco IOS CA Server는 SCEP(Simple Certificate Enrollment Protocol)를 통해서만 등록을 지원합니다. 따라서 이를 가능하게 하려면 라우터가 내장 Cisco IOS HTTP 서버를 실행해야 합니다.이를 활성화하려면 ip http server 명령을 사용합니다.
R1(config)#ip http server
라우터에서 CA 서버 활성화 및 구성
다음 절차를 수행합니다.
-
인증서 서버는 방금 수동으로 생성한 키 쌍과 동일한 이름을 사용해야 한다는 점을 기억해야 합니다.레이블은 생성된 키 쌍 레이블과 일치합니다.
R1(config)#crypto pki server cisco1
인증서 서버를 활성화한 후에는 미리 구성된 기본값을 사용하거나 CLI를 통해 인증서 서버의 기능에 대한 값을 지정할 수 있습니다.
-
database url 명령은 CA 서버의 모든 데이터베이스 항목이 기록되는 위치를 지정합니다.
이 명령을 지정하지 않으면 모든 데이터베이스 항목이 플래시에 기록됩니다.
R1(cs-server)#database url nvram:
참고: TFTP 서버를 사용하는 경우 URL은 tftp://<ip_address>/directory여야 합니다.
-
데이터베이스 레벨을 구성합니다.
R1(cs-server)#database level minimum
이 명령은 인증서 등록 데이터베이스에 저장되는 데이터 유형을 제어합니다.
-
Minimum(최소) - 충분한 정보가 저장되므로 충돌 없이 계속해서 새 인증서를 발급합니다.기본 값입니다.
-
Names(이름) - 최소 레벨에서 지정된 정보 외에 각 인증서의 일련 번호와 주체 이름입니다.
-
Complete(완료) - 최소 및 이름 레벨에서 지정된 정보 외에 발급된 각 인증서가 데이터베이스에 기록됩니다.
참고: complete 키워드는 대량의 정보를 생성합니다.이 명령이 실행된 경우 database url 명령을 통해 데이터를 저장할 외부 TFTP 서버를 지정해야 합니다.
-
-
지정된 DN 문자열로 CA 발급자 이름을 구성합니다.이 예에서는 cisco1.cisco.com의 CN(Common Name), RTP의 L(Locality) 및 미국의 C(Country)가 사용됩니다.
R1(cs-server)#issuer-name CN=cisco1.cisco.com L=RTP C=US
-
CA 인증서 또는 인증서의 수명(일)을 지정합니다.
유효한 값의 범위는 1일~1825일입니다.기본 CA 인증서 수명은 3년이고 기본 인증서 수명은 1년입니다.최대 인증서 수명은 CA 인증서의 수명보다 1개월 미만입니다.예를 들면 다음과 같습니다.
R1(cs-server)#lifetime ca-certificate 365 R1(cs-server)#lifetime certificate 200
-
인증서 서버에서 사용하는 CRL의 수명을 시간 단위로 정의합니다.최대 수명 값은 336시간(2주)입니다. 기본값은 168시간(1주)입니다.
R1(cs-server)#lifetime crl 24
-
인증서 서버에서 발급한 인증서에 사용할 CDP(Certificate-Revocation-List Distribution Point)를 정의합니다.URL은 HTTP URL이어야 합니다.
예를 들어 서버의 IP 주소는 172.18.108.26입니다.
R1(cs-server)#cdp-url http://172.18.108.26/cisco1cdp.cisco1.crl
-
no shutdown 명령을 실행하여 CA 서버를 활성화합니다.
R1(cs-server)#no shutdown
참고: 인증서 서버를 완전히 구성한 후에만 이 명령을 실행합니다.
Cisco VPN 3000 Concentrator 구성 및 등록
다음 절차를 수행합니다.
-
Administration(관리) > Certificate Management(인증서 관리)를 선택하고 Click here to install a CA certificate to install a CA certificate to retrieve the root certificate from the Cisco IOS CA Server를 선택합니다.
-
설치 방법으로 SCEP를 선택합니다.
-
Cisco IOS CA Server의 URL인 CA 설명자를 입력하고 Retrieve를 클릭합니다.
참고: 이 예에서 올바른 URL은 http://14.38.99.99/cgi-bin/pkiclient.exe입니다(/cgi-bin/pkiclient.exe의 전체 경로를 포함해야 함).
Administration(관리) > Certificate Management(인증서 관리)를 선택하여 루트 인증서가 설치되었는지 확인합니다.이 그림에는 루트 인증서 세부 정보가 나와 있습니다.
-
Click here to enroll with a Certificate Authority to get the ID certificate from the Cisco IOS CA Server를 선택합니다.
-
cisco1.cisco.com에서 SCEP를 통해 등록(cisco1.cisco.com은 Cisco IOS CA 서버의 CN)을 선택합니다.
-
인증서 요청에 포함할 모든 정보를 입력하여 등록 양식을 작성합니다.
양식을 완료한 후 Enroll(등록)을 클릭하여 CA 서버에 대한 등록 요청을 시작합니다.
Enroll(등록)을 클릭하면 VPN 3000 Concentrator에 "A certificate request has been generated(인증서 요청이 생성되었습니다)"가 표시됩니다.
참고: Cisco IOS CA Server는 Cisco IOS CA Server 하위 명령으로 인증서를 자동으로 부여하도록 구성할 수 있습니다.이 명령은 이 예에 사용됩니다.ID 인증서의 세부 정보를 보려면 Administration > Certificate Management를 선택합니다.표시되는 인증서는 이와 유사합니다.
다음을 확인합니다.
확인 정보는 Verify the Generated Key Pair 섹션을 참조하십시오.
문제 해결
문제 해결 정보는 VPN 3000 Concentrator의 연결 문제 해결 또는 IP 보안 문제 해결 - 디버그 명령 이해 및 사용을 참조하십시오.
피드백