CRL-controle over HTTP op een Cisco VPN 3000 concentrator

Downloadopties

  • PDF     (437.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (285.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (360.5 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:13 maart 2006
Document-id:26383

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u certificaten kunt herroepen door middel van CRL-controle (Certificate Revocation List) om te controleren op certificaten van certificeringsinstanties (CA) die in Cisco VPN 3000 Concentrator zijn geïnstalleerd met behulp van HTTP-modus.

Een certificaat wordt normaal geacht geldig te zijn voor de gehele geldigheidsperiode. Echter, als een certificaat ongeldig wordt vanwege zaken als naamswijziging, verandering van associatie tussen het onderwerp en de CA, en beveiligingscompromis, trekt de CA het certificaat in. Volgens X.509 trekken CA’s certificaten in door periodiek een ondertekend CRL af te geven, waarbij elk ingetrokken certificaat wordt geïdentificeerd door zijn serienummer. Het inschakelen van CRL-controle betekent dat elke keer dat de VPN Concentrator het certificaat gebruikt voor verificatie, het CRL ook controleert om te verzekeren dat het certificaat dat wordt geverifieerd niet is ingetrokken.

CA’s gebruiken Lichtgewicht Directory Access Protocol (LDAP)/HTTP-databases om CRL’s op te slaan en te distribueren. Ze kunnen ook andere middelen gebruiken, maar de VPN Concentrator is afhankelijk van LDAP/HTTP toegang.

HTTP CRL-controle is geïntroduceerd in VPN Concentrator versie 3.6 of hoger. Echter, LDAP-gebaseerde CRL-controle werd geïntroduceerd in de eerdere 3.x versies. Dit document bespreekt alleen CRL-controle met HTTP.

Opmerking: de grootte van de CRL-cache van VPN 3000 Series Concentrators is afhankelijk van het platform en kan niet worden geconfigureerd volgens de wens van de beheerder.

Voorwaarden

Vereisten

Voordat u deze configuratie uitvoert, moet aan de volgende vereisten worden voldaan:

  • U hebt met succes de IPsec-tunnel van de VPN 3.x-hardwareclients tot stand gebracht met behulp van certificaten voor IKE-verificatie (Internet Key Exchange) (zonder CRL-controle ingeschakeld).

  • Uw VPN Concentrator heeft altijd verbinding met de CA-server.

  • Als uw CA-server is verbonden met de openbare interface, hebt u de nodige regels geopend in het openbare (standaard) filter.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • VPN 3000 Concentrator versie 4.0.1 C

  • VPN 3.x hardwareclient

  • Microsoft CA-server voor het genereren van certificaten en CRL-controle van het uitvoeren op een Windows 2000-server.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

crl-http-vpn3k-1.gif

De VPN 3000 concentrator configureren

Stapsgewijze instructies

Voltooi de volgende stappen om de VPN 3000 Concentrator te configureren:

  1. Selecteer Beheer > Certificaatbeheer om een certificaat aan te vragen als u geen certificaat hebt.

    Selecteer Klik hier om een certificaat te installeren om het basiscertificaat te installeren op de VPN Concentrator.

    crl-http-26383c.gif

  2. Selecteer CA-certificaat installeren.

    crl-http-26383b.gif

  3. Selecteer SCEP (Simple Certificate Enrollment Protocol) om de CA-certificaten op te halen.

    crl-http-vpn3k-3.gif

  4. Voer vanuit het SCEP-venster de volledige URL van de CA-server in het dialoogvenster URL in.

    In dit voorbeeld is het IP-adres van de CA-server 172.18.124.96. Aangezien dit voorbeeld de CA-server van Microsoft gebruikt, is de volledige URL http://172.18.124.96/certsrv/mscep/mscep.dll. Typ vervolgens een omschrijving van één woord in het dialoogvenster CA-beschrijving. Dit voorbeeld gebruikt CA.

    crl-http-vpn3k-4.gif

  5. Klik op Ophalen.

    Uw CA-certificaat moet verschijnen onder het venster Beheer > Certificaatbeheer. Als u geen certificaat ziet, gaat u terug naar Stap 1 en volgt u de procedure opnieuw.

    crl-http-vpn3k-5.gif

  6. Zodra u het CA-certificaat hebt, selecteert u Beheer > Certificaatbeheer > Inschrijven en klikt u op Identiteitscertificaat.

    crl-http-vpn3k-6.gif

  7. Klik op Aanmelden via SCEP op ... om het identiteitscertificaat aan te vragen.

    crl-http-vpn3k-7.gif

  8. Voltooi de volgende stappen om het inschrijvingsformulier in te vullen:

    1. Voer de algemene naam in voor de VPN-concentrator die in de openbare sleutelinfrastructuur (PKI) in het veld Algemene naam (CN) moet worden gebruikt.

    2. Voer uw afdeling in het veld Organisatorische eenheid (OU) in. De OE moet overeenkomen met de ingestelde naam van de IPsec-groep.

    3. Voer in het veld Organisatie (O) uw organisatie of bedrijf in.

    4. Voer in het veld Lokaliteit (L) uw stad of gemeente in.

    5. Voer in het veld Staat/Provincie (SP) uw provincie in.

    6. Voer in het veld Land (C) uw land in.

    7. Voer de volledig gekwalificeerde domeinnaam (FQDN) in voor de VPN-concentrator die in de PKI moet worden gebruikt in het veld Volledig gekwalificeerde domeinnaam (FQDN).

    8. Voer het e-mailadres in voor de VPN Concentrator die in de PKI moet worden gebruikt in het veld Alternatieve naam onderwerp (e-mailadres).

    9. Voer in het veld Wachtwoord voor uitdaging het wachtwoord voor het certificaat in.

    10. Voer het wachtwoord voor de uitdaging opnieuw in in het veld Wachtwoord voor uitdaging verifiëren.

    11. Selecteer de sleutelgrootte voor het gegenereerde RSA-sleutelpaar in de vervolgkeuzelijst sleutelgrootte.

      crl-http-vpn3k-8.gif

  9. Selecteer Inschrijven en bekijk de SCEP-status in de opiniepeilingsstatus.

  10. Ga naar uw CA-server om het identiteitscertificaat goed te keuren. Zodra het is goedgekeurd op de CA-server, dient uw SCEP-status te worden geïnstalleerd.

    crl-http-vpn3k-9.gif

  11. Onder Certificaatbeheer moet u uw Identiteitscertificaat zien.

    Als u dat niet doet, controleer dan de logbestanden op uw CA-server voor meer probleemoplossing.

    crl-http-vpn3k-10.gif

  12. Selecteer Weergeven op uw ontvangen certificaat om te zien of uw certificaat een CRL-distributiepunt (CDP) heeft.

    CDP maakt een lijst van alle CRL-distributiepunten van de verstrekker van dit certificaat. Als u CDP op uw certificaat hebt, en u gebruikt een DNS naam om een vraag naar de server van CA te verzenden, zorg ervoor dat u DNS servers hebt die in uw VPN Concentrator worden bepaald om hostname met een IP adres op te lossen. In dit geval is de voorbeeldnaam van CA-server jazib-pc die zich ontleent aan een IP-adres van 172.18.124.96 op de DNS-server.

    crl-http-vpn3k-11.gif

  13. Klik op Configureren op uw CA-certificaat om CRL-controle van de ontvangen certificaten mogelijk te maken.

    Als u CDP hebt op uw ontvangen certificaat en u wilt het gebruiken, dan selecteert u CRL-distributiepunten gebruiken van het certificaat dat wordt gecontroleerd.

    Aangezien het systeem het CRL van een netwerkdistributiepunt moet terugwinnen en onderzoeken, zou het toelaten CRL controlerend systeemreactietijden kunnen vertragen. Ook, als het netwerk langzaam of verstopt is, zou CRL het controleren kunnen ontbreken. CRL-caching inschakelen om deze potentiële problemen te beperken. Dit slaat de teruggewonnen CRLs op in lokaal vluchtig geheugen en stelt de VPN Concentrator daarom in staat om de herroepingsstatus van certificaten sneller te verifiëren.

    Als CRL caching is ingeschakeld, controleert de VPN Concentrator eerst of de vereiste CRL in het cache bestaat en controleert hij het serienummer van het certificaat aan de hand van de lijst met serienummers in het CRL wanneer hij de herroepingsstatus van een certificaat moet controleren. Het certificaat wordt als ingetrokken beschouwd indien het serienummer ervan is vastgesteld. De VPN Concentrator haalt een CRL van een externe server op, hetzij wanneer het vereiste CRL niet in het cachegeheugen vindt, wanneer de geldigheidsperiode van het gecachede CRL is verlopen, hetzij wanneer de ingestelde verversingstijd is verstreken. Wanneer de VPN Concentrator een nieuwe CRL van een externe server ontvangt, werkt het de cache bij met de nieuwe CRL. Het cachegeheugen kan maximaal 64 CRL's bevatten.

    Opmerking: het CRL cache bestaat in het geheugen. Daarom wordt de CRL-cache gewist als de VPN Concentrator opnieuw wordt opgestart. De VPN Concentrator vult het CRL-cache opnieuw in met bijgewerkte CRL’s, terwijl het nieuwe verzoeken voor peer-verificatie verwerkt.

    Als u Statische CRL distributiepunten gebruiken selecteert, kunt u tot vijf statische CRL distributiepunten gebruiken, zoals gespecificeerd in dit venster. Als u deze optie kiest, moet u ten minste één URL invoeren.

    U kunt ook CRL-distributiepunten gebruiken van het certificaat dat wordt gecontroleerd selecteren, of statische CRL-distributiepunten gebruiken selecteren. Als de VPN Concentrator niet vijf CRL distributiepunten in het certificaat kan vinden, voegt het statische CRL distributiepunten toe, tot een grens van vijf. Als u deze optie kiest, laat minstens één Protocol van het Punt van de Distributie CRL toe. U moet ook minstens één (en niet meer dan vijf) statische CRL distributiepunten invoeren.

    Selecteer Geen CRL-controle als u CRL-controle wilt uitschakelen.

    Selecteer onder CRL-caching het vakje Enabled (Ingeschakeld) om de VPN Concentrator in staat te stellen om teruggewonnen CRL’s in het cachegeheugen op te slaan. De standaardinstelling is niet om CRL-caching in te schakelen. Wanneer u CRL caching (unselect the box) uitschakelt, wordt de CRL cache gewist.

    Als u een CRL-herwinningsbeleid hebt geconfigureerd dat CRL-distributiepunten gebruikt van het certificaat dat wordt gecontroleerd, kies dan een protocol voor distributiepunten om het CRL op te halen. Kies HTTP in dit geval om de CRL op te halen. Wijs HTTP-regels toe aan het openbare interfacefilter als uw CA-server naar de openbare interface is gericht.

    crl-http-vpn3k-12.gif

Bewaking

Selecteer Beheer > Certificaatbeheer en klik op Alle CRL-caches bekijken om te zien of uw VPN Concentrator CRL's heeft gecached vanaf de CA-server.

Verifiëren

Deze sectie bevat informatie over de manier waarop u kunt controleren of de configuratie goed werkt.

Logbestanden van Concentrator

Schakel deze gebeurtenissen in op de VPN Concentrator om ervoor te zorgen dat CRL-controle werkt.

  1. Selecteer Configuratie > Systeem > Gebeurtenissen > Klassen om de registratieniveaus in te stellen.

  2. Selecteer onder Klasse Naam IKE, IKEDBG, IPSEC, IPSECDBG of CERT.

  3. Klik op Add of Modify en kies Severity to Log optie 1-13.

  4. Klik op Toepassen als u een nieuw item wilt toevoegen of op Toevoegen als u dit wilt wijzigen.

Succesvolle Concentrator-logbestanden

Als uw CRL-controle succesvol is, worden deze berichten weergegeven in Filterable Event Logs. 

1315 08/15/2002 13:11:23.520 SEV=7 CERT/117 RPT=1 
The requested CRL was found in cache.
The CRL Distribution point is: http://jazib-pc/CertEnroll/jazib-ca-ra.crl

1317 08/15/2002 13:11:23.520 SEV=8 CERT/46 RPT=1
CERT_CheckCrl(62f56e8, 0, 0)

1318 08/15/2002 13:11:23.520 SEV=7 CERT/2 RPT=1
Certificate has not been revoked: session = 2

1319 08/15/2002 13:11:23.530 SEV=8 CERT/50 RPT=1 
CERT_Callback(62f56e8, 0, 0)

1320 08/15/2002 13:11:23.530 SEV=5 IKE/79 RPT=2 64.102.60.53 
Group [ipsecgroup]
Validation of certificate successful
(CN=client_cert, SN=61521511000000000086)

Zie Successful Concentrator Logs voor de volledige output van een succesvol concentrator log.

Logbestanden zijn mislukt

Als uw CRL-inchecken niet succesvol is, worden deze berichten weergegeven in de Filterable Event Logs. 

1332 08/15/2002 18:00:36.730 SEV=7 CERT/6 RPT=2
Failed to retrieve revocation list: session = 5

1333 08/15/2002 18:00:36.730 SEV=7 CERT/114 RPT=2 
CRL retrieval over HTTP has failed. Please make sure that proper filter rules
have been configured.

1335 08/15/2002 18:00:36.730 SEV=7 CERT/8 RPT=2
Error processing revocation list: session = 5, reason = Failed to retrieve CRL 
from the server.

Raadpleeg Revoked Concentrator Logs voor de volledige output van een mislukt concentrator log.

Raadpleeg Succesvolle clientlogboeken voor de volledige uitvoer van een geslaagd clientlogbestand.

Raadpleeg Ingetrokken clientlogboeken voor de volledige uitvoer van een mislukt clientlogbestand.

Problemen oplossen

Raadpleeg Problemen met verbindingen oplossen bij VPN 3000 Concentrator voor meer informatie over probleemoplossing.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
15-Aug-2002
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco