Cisco VPN 3000 Concentrator에서 HTTP를 통한 CRL 확인

소개

이 문서에서는 HTTP 모드를 사용하여 Cisco VPN 3000 Concentrator에 설치된 CA(Certificate Revocation List) 인증서에 대한 CRL 검사를 활성화하는 방법에 대해 설명합니다.

인증서는 일반적으로 전체 유효 기간 동안 유효해야 합니다. 그러나 이름 변경, 주체와 CA 간 연계 변경, 보안 침해 등으로 인증서가 유효하지 않게 되면 CA는 인증서를 폐기합니다. X.509에서 CA는 서명된 CRL을 주기적으로 발급하여 인증서를 폐기합니다. 여기서 폐기된 각 인증서는 일련 번호로 식별됩니다. CRL 확인을 활성화하면 VPN Concentrator에서 인증을 위해 인증서를 사용할 때마다 CRL을 확인하여 확인 중인 인증서가 폐기되지 않았는지도 확인합니다.

CA는 LDAP(Lightweight Directory Access Protocol)/HTTP 데이터베이스를 사용하여 CRL을 저장하고 배포합니다. 다른 수단을 사용할 수도 있지만 VPN Concentrator는 LDAP/HTTP 액세스를 사용합니다.

HTTP CRL 검사는 VPN Concentrator 버전 3.6 이상에서 도입되었습니다. 그러나 LDAP 기반 CRL 검사는 이전 3.x 릴리스에 도입되었습니다. 이 문서에서는 HTTP를 사용한 CRL 확인에 대해서만 설명합니다.

참고: VPN 3000 Series Concentrator의 CRL 캐시 크기는 플랫폼에 따라 다르며 관리자의 필요에 따라 구성할 수 없습니다.

사전 요구 사항

요구 사항

이 컨피그레이션을 시도하기 전에 다음 요구 사항을 충족해야 합니다.

• IKE(Internet Key Exchange) 인증을 위한 인증서를 사용하여 VPN 3.x 하드웨어 클라이언트에서 IPsec 터널을 성공적으로 설정했습니다(CRL 확인 사용 안 함).

• VPN Concentrator는 항상 CA 서버에 연결되어 있습니다.

• CA 서버가 공용 인터페이스에 연결된 경우 공용(기본) 필터에서 필요한 규칙을 열었습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• VPN 3000 Concentrator 버전 4.0.1 C

• VPN 3.x 하드웨어 클라이언트

• Windows 2000 서버에서 실행되는 인증서 생성 및 CRL 확인을 위한 Microsoft CA 서버.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

네트워크 다이어그램

이 문서에서는 이 네트워크 설정을 사용합니다.

VPN 3000 Concentrator 구성

단계별 지침

VPN 3000 Concentrator를 구성하려면 다음 단계를 완료하십시오.

1. 인증서가 없는 경우 인증서를 요청하려면 Administration > Certificate Management를 선택합니다.

   VPN Concentrator에 루트 인증서를 설치하기 위해 인증서를 설치하려면 Click here(여기를 클릭)를 선택합니다.

   

2. Install CA certificate(CA 인증서 설치)를 선택합니다.

   

3. SCEP(Simple Certificate Enrollment Protocol)를 선택하여 CA 인증서를 검색합니다.

   

4. SCEP 창의 URL 대화 상자에 CA 서버의 전체 URL을 입력합니다.

   이 예에서 CA 서버의 IP 주소는 172.18.124.96입니다. 이 예에서는 Microsoft의 CA 서버를 사용하므로 전체 URL은 http://172.18.124.96/certsrv/mscep/mscep.dll입니다. 다음으로, CA Descriptor(CA 설명자) 대화 상자에서 1단어 설명자를 입력합니다. 이 예에서는 CA를 사용합니다.

   

5. Retrieve를 클릭합니다.

   CA 인증서가 Administration(관리) > Certificate Management(인증서 관리) 창 아래에 나타나야 합니다. 인증서가 표시되지 않으면 1단계로 돌아가 절차를 다시 수행합니다.

   

6. CA 인증서가 있으면 Administration > Certificate Management > Enroll을 선택하고 Identity certificate(ID 인증서)를 클릭합니다.

   

7. ID 인증서를 신청하려면 ...에서 SCEP를 통해 등록을 클릭합니다.

   

8. 등록 양식을 작성하려면 다음 단계를 완료하십시오.

   1. PKI(Public-Key Infrastructure)에서 사용할 VPN Concentrator의 공통 이름을 CN(Common Name) 필드에 입력합니다.

   2. OU(Organizational Unit) 필드에 부서를 입력합니다. OU는 구성된 IPsec 그룹 이름과 일치해야 합니다.

   3. Organization (O)(조직(O)) 필드에 조직 또는 회사를 입력합니다.

   4. Locality (L) 필드에 구/군/시를 입력합니다.

   5. State/Province (SP)(시/도) 필드에 시/도를 입력합니다.

   6. Country (C)(국가(C)) 필드에 국가를 입력합니다.

   7. PKI에서 사용할 VPN Concentrator의 FQDN(Fully Qualified Domain Name)을 FQDN(Fully Qualified Domain Name) 필드에 입력합니다.

   8. PKI에 사용할 VPN Concentrator의 이메일 주소를 Subject Alternative Name (email Address)(주체 대체 이름(이메일 주소)) 필드에 입력합니다.

   9. Challenge Password(챌린지 비밀번호) 필드에 인증서 요청에 대한 챌린지 비밀번호를 입력합니다.

   10. Verify Challenge Password(챌린지 비밀번호 확인) 필드에 챌린지 비밀번호를 다시 입력합니다.

   11. Key Size 드롭다운 목록에서 생성된 RSA 키 쌍의 키 크기를 선택합니다.

       

9. Enroll(등록)을 선택하고 폴링 상태의 SCEP 상태를 확인합니다.

10. CA 서버로 이동하여 ID 인증서를 승인합니다. CA 서버에서 승인되면 SCEP 상태가 Installed(설치됨)여야 합니다.

    

11. Certificate Management(인증서 관리)에서 Identity Certificate(ID 인증서)를 확인해야 합니다.

    그렇지 않은 경우 CA 서버의 로그에서 문제 해결에 대한 자세한 내용을 확인하십시오.

    

12. 수신된 인증서에 View(보기)를 선택하여 인증서에 CDP(CRL 배포 지점)가 있는지 확인합니다.

    CDP는 이 인증서 발급자의 모든 CRL 배포 지점을 나열합니다. 인증서에 CDP가 있고 DNS 이름을 사용하여 CA 서버에 쿼리를 보내는 경우 VPN Concentrator에 DNS 서버가 정의되어 있는지 확인하여 IP 주소로 호스트 이름을 확인합니다. 이 경우 CA 서버의 호스트 이름 예는 DNS 서버에서 IP 주소 172.18.124.96으로 확인되는 jazib-pc입니다.

    

13. CA 인증서에서 Configure(구성)를 클릭하여 수신된 인증서에 대해 CRL 검사를 활성화합니다.

    수신된 인증서에 CDP가 있고 이를 사용하려는 경우 Use CRL distribution points from the certificate being checked를 선택합니다.

    시스템은 네트워크 배포 지점에서 CRL을 검색하고 검사해야 하므로 CRL 검사를 활성화하면 시스템 응답 시간이 느려질 수 있습니다. 또한 네트워크가 느리거나 혼잡할 경우 CRL 확인이 실패할 수 있습니다. CRL 캐싱을 활성화하여 이러한 잠재적 문제를 완화합니다. 이렇게 하면 검색된 CRL이 로컬 휘발성 메모리에 저장되므로 VPN Concentrator에서 인증서의 폐기 상태를 더 신속하게 확인할 수 있습니다.

    CRL 캐싱이 활성화된 경우 VPN Concentrator는 먼저 필요한 CRL이 캐시에 있는지 확인하고, 인증서의 폐기 상태를 확인해야 할 경우 CRL의 일련 번호 목록과 비교하여 인증서의 일련 번호를 확인합니다. 일련 번호가 발견되면 인증서는 폐기된 것으로 간주됩니다. VPN Concentrator는 캐시에서 필요한 CRL을 찾지 못한 경우, 캐시된 CRL의 유효 기간이 만료된 경우 또는 구성된 새로 고침 시간이 경과된 경우 외부 서버에서 CRL을 검색합니다. VPN Concentrator가 외부 서버로부터 새 CRL을 수신하면 새 CRL로 캐시를 업데이트합니다. 캐시는 최대 64개의 CRL을 포함할 수 있습니다.

    참고: CRL 캐시는 메모리에 존재합니다. 따라서 VPN Concentrator를 재부팅하면 CRL 캐시가 지워집니다. VPN Concentrator는 새로운 피어 인증 요청을 처리할 때 CRL 캐시를 업데이트된 CRL로 다시 채웁니다.

    Use static CRL distribution points(고정 CRL 배포 지점 사용)를 선택하면 이 창에 지정된 대로 최대 5개의 고정 CRL 배포 지점을 사용할 수 있습니다. 이 옵션을 선택하는 경우 하나 이상의 URL을 입력해야 합니다.

    또한 선택 중인 인증서에서 Use CRL distribution points(CRL 배포 지점 사용)를 선택하거나 Use static CRL distribution points(고정 CRL 배포 지점 사용)를 선택할 수 있습니다. VPN Concentrator가 인증서에서 5개의 CRL 배포 지점을 찾을 수 없는 경우, 고정 CRL 배포 지점을 최대 5개까지 추가합니다. 이 옵션을 선택하는 경우 하나 이상의 CRL 배포 지점 프로토콜을 활성화합니다. 또한 하나 이상의 정적 CRL 배포 지점을 입력해야 합니다(5개 이하).

    CRL 확인을 비활성화하려면 No CRL Checking(CRL 확인 없음)을 선택합니다.

    CRL Caching(CRL 캐싱)에서 Enabled(활성화됨) 상자를 선택하여 VPN Concentrator가 검색된 CRL을 캐시하도록 허용합니다. 기본값은 CRL 캐싱을 활성화하지 않는 것입니다. CRL 캐싱을 비활성화하면(상자 선택 취소) CRL 캐시가 지워집니다.

    확인 중인 인증서의 CRL 배포 지점을 사용하는 CRL 검색 정책을 구성한 경우 CRL 검색에 사용할 배포 지점 프로토콜을 선택합니다. 이 경우 HTTP를 선택하여 CRL을 검색합니다. CA 서버가 공용 인터페이스를 향하는 경우 HTTP 규칙을 공용 인터페이스 필터에 할당합니다.

    

모니터링

Administration(관리) > Certificate Management(인증서 관리)를 선택하고 View All CRL caches(모든 CRL 캐시 보기)를 클릭하여 VPN Concentrator에서 CA 서버의 CRL을 캐시했는지 확인합니다.

다음을 확인합니다.

이 섹션에서는 컨피그레이션이 제대로 작동하는지 확인하는 데 사용할 수 있는 정보를 제공합니다.

Concentrator의 로그

CRL 검사가 작동하는지 확인하기 위해 VPN Concentrator에서 이러한 이벤트를 활성화합니다.

1. 로깅 레벨을 설정하려면 Configuration > System > Events > Classes를 선택합니다.

2. Class Name(클래스 이름)에서 IKE, IKEDBG, IPSEC, IPSECDBG 또는 CERT를 선택합니다¶.

3. Add(추가) 또는 Modify(수정)를 클릭하고 Severity to Log(로그에 심각도) 옵션 1-13을 선택합니다.

4. 수정하려면 Apply(적용)를 클릭하고 새 항목을 추가하려면 Add(추가)를 클릭합니다.

Concentrator 로그 성공

CRL 검사가 성공하면 이러한 메시지는 Filterable Event Logs(필터링 가능 이벤트 로그)에 표시됩니다.

1315 08/15/2002 13:11:23.520 SEV=7 CERT/117 RPT=1 
The requested CRL was found in cache.
The CRL Distribution point is: http://jazib-pc/CertEnroll/jazib-ca-ra.crl

1317 08/15/2002 13:11:23.520 SEV=8 CERT/46 RPT=1
CERT_CheckCrl(62f56e8, 0, 0)

1318 08/15/2002 13:11:23.520 SEV=7 CERT/2 RPT=1
Certificate has not been revoked: session = 2

1319 08/15/2002 13:11:23.530 SEV=8 CERT/50 RPT=1 
CERT_Callback(62f56e8, 0, 0)

1320 08/15/2002 13:11:23.530 SEV=5 IKE/79 RPT=2 64.102.60.53 
Group [ipsecgroup]
Validation of certificate successful
(CN=client_cert, SN=61521511000000000086)

Concentrator 로그의 전체 출력은 Successful Concentrator 로그를 참조하십시오.

실패한 로그

CRL 체크인에 성공하지 못한 경우 이러한 메시지는 Filterable Event Logs(필터링 가능 이벤트 로그)에 표시됩니다.

1332 08/15/2002 18:00:36.730 SEV=7 CERT/6 RPT=2
Failed to retrieve revocation list: session = 5

1333 08/15/2002 18:00:36.730 SEV=7 CERT/114 RPT=2 
CRL retrieval over HTTP has failed. Please make sure that proper filter rules
have been configured.

1335 08/15/2002 18:00:36.730 SEV=7 CERT/8 RPT=2
Error processing revocation list: session = 5, reason = Failed to retrieve CRL 
from the server.

실패한 Concentrator 로그의 전체 출력은 Revoked Concentrator Logs를 참조하십시오.

성공적인 클라이언트 로그의 전체 출력은 Successful Client Logs를 참조하십시오.

실패한 클라이언트 로그의 전체 출력은 Revoked Client Logs(폐기된 클라이언트 로그)를 참조하십시오.

문제 해결

자세한 문제 해결 정보는 VPN 3000 Concentrator에서 연결 문제 해결을 참조하십시오.

관련 정보

• Cisco VPN 3000 Series Concentrator 지원 페이지
• Cisco VPN 3000 클라이언트 지원 페이지
• IPSec 협상/IKE 프로토콜
• 기술 지원 및 문서 − Cisco Systems