Configurar e inscrever um Cisco VPN 3000 Concentrator em um Cisco IOS Router como um servidor CA

Opções de download

  • PDF     (773.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (223.6 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (482.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:14 de janeiro de 2008
ID do documento:50281

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como configurar um roteador Cisco IOS® como um servidor de autoridade de certificação (CA). Além disso, ele ilustra como inscrever um Cisco VPN 3000 Concentrator no roteador Cisco IOS para obter um certificado raiz e ID para autenticação IPSec.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Roteador Cisco 2600 Series que executa o Software Cisco IOS versão 12.3(4)T3

  • Cisco VPN 3030 Concentrator versão 4.1.2

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

ios-ca-concentrator-1.gif

Conventions

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Gerar e exportar o par de chaves RSA para o servidor de certificado

A primeira etapa é gerar o par de chaves RSA que o servidor de CA do Cisco IOS usa. No Roteador (R1), gere as chaves RSA conforme visto aqui: 

R1(config)#crypto key generate rsa general-keys label cisco1 exportable 
The name for the keys will be: cisco1 
Choose the size of the key modulus in the range of 360 to 2048 for your 
  General Purpose Keys. Choosing a key modulus greater than 512 may take 
  a few minutes. 
 
How many bits in the modulus [512]: 
% Generating 512 bit RSA keys ...[OK] 
 
R1(config)# 
*Jan 22 09:51:46.116: %SSH-5-ENABLED: SSH 1.99 has been enabled

Observação: você deve usar o mesmo nome para o par de chaves (rótulo-chave) que planeja usar para o servidor de certificado (através do comando crypto pki server cs-label abordado posteriormente).

Exportar o par de chaves gerado

As chaves precisam ser exportadas para RAM não volátil (NVRAM) ou TFTP (com base na sua configuração). Neste exemplo, a NVRAM é usada. Com base na sua implementação, talvez você queira usar um servidor TFTP separado para armazenar suas informações de certificado. 

R1(config)#crypto key export rsa cisco1 pem url nvram: 3des cisco123 

% Key name: cisco1 
   Usage: General Purpose Key 
Exporting public key... 
Destination filename [cisco1.pub]? 
Writing file to nvram:cisco1.pub 
Exporting private key... 
Destination filename [cisco1.prv]? 
Writing file to nvram:cisco1.prv 
R1(config)#

Se você usar um servidor TFTP, poderá reimportar o par de chaves gerado como visto aqui: 

crypto key import rsa key-label pem [usage-keys] {terminal | url url} [exportable] passphrase

Observação: se você não quiser que a chave seja exportável do seu servidor de certificados, importe-a de volta para o servidor de certificados depois de ela ter sido exportada como um par de chaves não exportável. Portanto, a chave não pode ser tirada novamente.

Verifique o par de chaves gerado

Você pode verificar o par de chaves gerado invocando o comando show crypto key mypubkey rsa:

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show. 

R1#show crypto key mypubkey rsa 
% Key pair was generated at: 09:51:45 UTC Jan 22 2004 
Key name: cisco1 
 Usage: General Purpose Key 
 Key is exportable. 
 Key Data: 
  305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00CC2DC8 ED26163A 
  B3642376 FAA91C2F 93A3825B 3ABE6A55 C9DD3E83 F7B2BD56 126E0F11 50552843 
  7F7CA4DA 3EC3E2CE 0F42BD6F 4C585385 3C43FF1E 04330AE3 37020301 0001 
% Key pair was generated at: 09:51:54 UTC Jan 22 2004 
Key name: cisco1.server 
 Usage: Encryption Key 
 Key is exportable. 
 Key Data: 
  307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00EC5578 025D3066 
  72149A35 32224BC4 3E41DD68 38B08D39 93A1AA43 B353F112 1E56DA42 49741698 
  EBD02905 FE4EC392 7174EEBF D82B4475 2A2D7DEC 83E277F8 AEC590BE 124E00E1 
  C1607433 5C7BC549 D532D18C DD0B7AE3 AECDDE9C 07AD84DD 89020301 0001

Ative o servidor HTTP no roteador

O Cisco IOS CA Server suporta apenas inscrições feitas através do Simple Certificate Enrollment Protocol (SCEP). Consequentemente, para tornar isso possível, o roteador deve executar o servidor HTTP Cisco IOS embutido. Para ativá-lo, use o comando ip http server: 

R1(config)#ip http server

Ative e configure o servidor CA no roteador

Siga este procedimento.

  1. É muito importante lembrar que o servidor de certificado deve usar o mesmo nome do par de chaves que você acabou de gerar manualmente. O rótulo corresponde ao rótulo do par de chaves gerado: 

    R1(config)#crypto pki server cisco1

    Depois de habilitar um servidor de certificado, você pode usar os valores padrão pré-configurados ou especificar valores via CLI para a funcionalidade do servidor de certificado.

  2. O comando database url especifica o local onde todas as entradas de banco de dados para o servidor CA são gravadas.

    Se esse comando não for especificado, todas as entradas do banco de dados serão gravadas no Flash. 

    R1(cs-server)#database url nvram:

    Observação: se você usar um servidor TFTP, o URL precisará ser tftp://<ip_address>/diretory.

  3. Configure o nível do banco de dados: 

    R1(cs-server)#database level minimum

    Esse comando controla que tipo de dados está armazenado no banco de dados de inscrição de certificado.

    • Mínimo — As informações são armazenadas apenas para continuar a emitir novos certificados sem conflitos; o valor padrão.

    • Nomes —Além das informações fornecidas no nível mínimo, o número de série e o nome do assunto de cada certificado.

    • Completo — Além das informações fornecidas nos níveis mínimo e de nomes, cada certificado emitido é gravado no banco de dados.

    Observação: a palavra-chave completa produz uma grande quantidade de informações. Se for emitido, você também precisará especificar um servidor TFTP externo no qual os dados serão armazenados por meio do comando database url.

  4. Configure o nome do emissor da CA para a string DN especificada. Neste exemplo, a CN (Common Name, Nome Comum) de cisco1.cisco.com, L (Locality) do RTP e C (Country) dos EUA são usadas: 

    R1(cs-server)#issuer-name CN=cisco1.cisco.com L=RTP C=US

  5. Especifique o tempo de vida, em dias, de um certificado CA ou de um certificado.

    Os valores válidos variam de 1 dia a 1825 dias. O tempo de vida do certificado CA padrão é de 3 anos e o tempo de vida do certificado padrão é de 1 ano. O tempo de vida máximo do certificado é 1 mês inferior ao tempo de vida do certificado CA. Por exemplo:

    R1(cs-server)#lifetime ca-certificate 365 
R1(cs-server)#lifetime certificate 200

  6. Defina o tempo de vida, em horas, da CRL usada pelo servidor de certificados. O valor máximo de vida é 336 horas (2 semanas). O valor padrão é 168 horas (1 semana). 

    R1(cs-server)#lifetime crl 24

  7. Defina um CDP (Certificate-Revocation-List Distribution Point, ponto de distribuição da lista de revogação de certificados) a ser usado nos certificados emitidos pelo servidor de certificados. O URL deve ser um URL HTTP.

    Por exemplo, o endereço IP do nosso servidor é 172.18.108.26. 

    R1(cs-server)#cdp-url http://172.18.108.26/cisco1cdp.cisco1.crl

  8. Ative o servidor CA emitindo o comando no shutdown. 

    R1(cs-server)#no shutdown

    Observação: emita este comando somente depois de ter configurado completamente seu servidor de certificados.

Configure e inscreva o Cisco VPN 3000 Concentrator

Siga este procedimento.

  1. Selecione Administration > Certificate Management e escolha Click here to install a CA certificate para recuperar o certificado raiz do Cisco IOS CA Server.

    ios-ca-concentrator-2.gif

  2. Selecione SCEP como o método de instalação.

    ios-ca-concentrator-3.gif

  3. Insira a URL do servidor da CA do Cisco IOS, um descritor da CA e clique em Recuperar.

    Observação: o URL correto neste exemplo é http://14.38.99.99/cgi-bin/pkiclient.exe (você deve incluir o caminho completo de /cgi-bin/pkiclient.exe).

    ios-ca-concentrator-4.gif

    Selecione Administration > Certificate Management para verificar se o certificado raiz foi instalado. Esta figura ilustra os detalhes do certificado raiz.

    ios-ca-concentrator-5.gif

  4. Selecione Clique aqui para se inscrever com uma autoridade de certificação para obter o certificado de ID do servidor de CA do Cisco IOS.

    ios-ca-concentrator-6.gif

  5. Selecione Inscrever-se via SCEP em cisco1.cisco.com ( cisco1.cisco.com é o CN do Cisco IOS CA Server).

    ios-ca-concentrator-7.gif

  6. Preencha o formulário de inscrição inserindo todas as informações a serem incluídas na solicitação de certificado.

    Depois de preencher o formulário, clique em Inscrever-se para iniciar a solicitação de inscrição no servidor de CA.

    ios-ca-concentrator-8.gif

    Depois de clicar em Inscrever-se, o VPN 3000 Concentrator exibirá "Uma solicitação de certificado foi gerada".

    ios-ca-concentrator-9.gif

    Observação: o Cisco IOS CA Server pode ser configurado para conceder automaticamente certificados com o subcomando Cisco IOS CA Server conceder automaticamente. Este comando é usado para este exemplo. Para ver os detalhes do certificado de ID, selecione Administration > Certificate Management. O certificado exibido é semelhante a este.

    ios-ca-concentrator-10.gif

Verificar

Consulte a seção Verify the Generated Key Pair para obter informações de verificação.

Troubleshoot

Para obter informações sobre Troubleshooting, consulte Troubleshooting de Problemas de Conexão no VPN 3000 Concentrator ou IP Security Troubleshooting - Understanding and Using debug Commands.

Informações Relacionadas

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos