Verificação CRL sobre HTTP em um Cisco VPN 3000 Concentrator

Opções de download

  • PDF     (438.4 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (285.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (361.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:13 de março de 2006
ID do documento:26383

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como habilitar a verificação da lista de certificados revogados (CRL) para certificados de autoridade de certificação (CA) instalados no Cisco VPN 3000 Concentrator usando o modo HTTP.

Normalmente, espera-se que um certificado seja válido por todo o seu período de validade. No entanto, se um certificado se tornar inválido devido a coisas como uma alteração de nome, alteração de associação entre o assunto e a CA e comprometimento de segurança, a CA revogará o certificado. Sob X.509, as AC revogam certificados emitindo periodicamente uma CRL assinada, onde cada certificado revogado é identificado pelo seu número de série. Ativar a verificação de CRL significa que sempre que o VPN Concentrator usa o certificado para autenticação, ele também verifica a CRL para garantir que o certificado que está sendo verificado não foi revogado.

As autoridades de certificação usam bancos de dados LDAP (Lightweight Diretory Access Protocol)/HTTP para armazenar e distribuir CRLs. Eles também podem usar outros meios, mas o VPN Concentrator depende do acesso LDAP/HTTP.

A verificação de CRL HTTP é introduzida no VPN Concentrator versão 3.6 ou posterior. No entanto, a verificação CRL baseada em LDAP foi introduzida nas versões anteriores 3.x. Este documento discute somente a verificação de CRL usando HTTP.

Observação: o tamanho do cache de CRL dos VPN 3000 Series Concentrators depende da plataforma e não pode ser configurado de acordo com o desejo do administrador.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Você estabeleceu com êxito o túnel IPsec dos VPN 3.x Hardware Clients usando certificados para a autenticação IKE (Internet Key Exchange) (sem verificação de CRL habilitada).

  • Seu VPN Concentrator tem conectividade com o servidor CA o tempo todo.

  • Se o servidor CA estiver conectado à interface pública, você terá aberto as regras necessárias no filtro público (padrão).

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • VPN 3000 Concentrator versão 4.0.1 C

  • Cliente de hardware VPN 3.x

  • Servidor de autoridade de certificação da Microsoft para geração de certificado e verificação de CRL em execução em um servidor Windows 2000.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

crl-http-vpn3k-1.gif

Configurar o VPN 3000 Concentrator

Step-by-Step Instructions

Conclua estas etapas para configurar o VPN 3000 Concentrator:

  1. Selecione Administration > Certificate Management para solicitar um certificado se você não tiver um.

    Selecione Click here to install a certificate para instalar o certificado raiz no VPN Concentrator.

    crl-http-26383c.gif

  2. Selecione Install CA certificate.

    crl-http-26383b.gif

  3. Selecione SCEP (Simple Certificate Enrollment Protocol) para recuperar os certificados da autoridade de certificação.

    crl-http-vpn3k-3.gif

  4. Na janela SCEP, digite o URL completo do servidor de CA na caixa de diálogo URL.

    Neste exemplo, o endereço IP do servidor CA é 172.18.124.96. Como este exemplo usa o servidor CA da Microsoft, a URL completa é http://172.18.124.96/certsrv/mscep/mscep.dll. Em seguida, insira um descritor de uma palavra na caixa de diálogo Descritor de CA. Este exemplo usa CA.

    crl-http-vpn3k-4.gif

  5. Clique em Recuperar.

    Seu certificado CA deve aparecer na janela Administração > Gerenciamento de certificado. Se você não vir um certificado, volte para a Etapa 1 e siga o procedimento novamente.

    crl-http-vpn3k-5.gif

  6. Depois de obter o certificado CA, selecione Administration > Certificate Management > Enroll e clique em Identity certificate.

    crl-http-vpn3k-6.gif

  7. Clique em Enroll via SCEP em ... para solicitar o certificado de identidade.

    crl-http-vpn3k-7.gif

  8. Conclua estas etapas para preencher o formulário de inscrição:

    1. Digite o nome comum do VPN Concentrator a ser usado na infraestrutura de chave pública (PKI) no campo Common Name (CN).

    2. Informe seu departamento no campo Unidade Organizacional (OU). A UO deve corresponder ao nome do grupo IPsec configurado.

    3. Informe sua organização ou empresa no campo Organização (O).

    4. Digite sua cidade ou município no campo Localidade (L).

    5. Insira seu estado ou província no campo Estado/Província (SP).

    6. Digite seu país no campo País (C).

    7. Insira o Fully Qualified Domain Name (FQDN) para o VPN Concentrator a ser usado no PKI no campo Fully Qualified Domain Name (FQDN).

    8. Insira o endereço de e-mail do VPN Concentrator a ser usado no PKI no campo Subject Alternative Name (email Address) (Nome alternativo do assunto (endereço de e-mail)).

    9. Insira a senha de desafio para a solicitação de certificado no campo Senha de desafio.

    10. Insira novamente a senha secreta no campo Verificar senha secreta.

    11. Selecione o tamanho da chave para o par de chaves RSA gerado na lista suspensa Tamanho da chave.

      crl-http-vpn3k-8.gif

  9. Selecione Enroll e exiba o status do SCEP no estado polling.

  10. Vá para o servidor de autoridade de certificação para aprovar o certificado de identidade. Depois de aprovado no servidor CA, o status do SCEP deve ser Instalado.

    crl-http-vpn3k-9.gif

  11. Em Gerenciamento de Certificados, você deverá ver seu Certificado de Identidade.

    Caso contrário, verifique os logs no servidor de CA para obter mais soluções de problemas.

    crl-http-vpn3k-10.gif

  12. Selecione Exibir no certificado recebido para ver se o certificado tem um Ponto de Distribuição de CRL (CDP).

    O CDP lista todos os pontos de distribuição de CRL do emissor deste certificado. Se você tiver o CDP em seu certificado e usar um nome DNS para enviar uma consulta ao servidor CA, certifique-se de que tenha servidores DNS definidos em seu VPN Concentrator para resolver o nome de host com um endereço IP. Nesse caso, o nome de host do servidor CA de exemplo é jazib-pc, que resolve para um endereço IP de 172.18.124.96 no servidor DNS.

    crl-http-vpn3k-11.gif

  13. Clique em Configurar no certificado da CA para habilitar a verificação de CRL nos certificados recebidos.

    Se você tiver o CDP no certificado recebido e quiser usá-lo, selecione Usar pontos de distribuição de CRL no certificado que está sendo verificado.

    Como o sistema precisa recuperar e examinar a CRL de um ponto de distribuição de rede, a habilitação da verificação de CRL pode retardar os tempos de resposta do sistema. Além disso, se a rede estiver lenta ou congestionada, a verificação da CRL poderá falhar. Habilite o cache de CRL para atenuar esses problemas em potencial. Isso armazena as CRLs recuperadas na memória volátil local e, portanto, permite que o Concentrador VPN verifique o status de revogação dos certificados mais rapidamente.

    Com o cache de CRL habilitado, o VPN Concentrator primeiro verifica se a CRL necessária existe no cache e compara o número de série do certificado com a lista de números de série na CRL quando precisa verificar o status de revogação de um certificado. O certificado é considerado revogado se o seu número de série for encontrado. O VPN Concentrator recupera uma CRL de um servidor externo quando não encontra a CRL necessária no cache, quando o período de validade da CRL armazenada em cache expirou ou quando o tempo de atualização configurado já passou. Quando o VPN Concentrator recebe uma nova CRL de um servidor externo, ele atualiza o cache com a nova CRL. O cache pode conter até 64 CRLs.

    Observação: o cache da CRL existe na memória. Portanto, a reinicialização do VPN Concentrator limpa o cache de CRL. O VPN Concentrator preenche novamente o cache de CRL com CRLs atualizadas à medida que processa novas solicitações de autenticação de pares.

    Se você selecionar Usar pontos de distribuição de CRL estáticos, poderá usar até cinco pontos de distribuição de CRL estáticos, conforme especificado nesta janela. Se você escolher essa opção, deverá inserir pelo menos um URL.

    Você também pode selecionar Usar pontos de distribuição de CRL no certificado que está sendo verificado ou selecionar Usar pontos de distribuição de CRL estáticos. Se o VPN Concentrator não conseguir encontrar cinco pontos de distribuição de CRL no certificado, ele adicionará pontos de distribuição de CRL estáticos, até o limite de cinco. Se você escolher esta opção, habilite pelo menos um Protocolo de Ponto de Distribuição de CRL. Você também deve inserir pelo menos um (e não mais de cinco) pontos de distribuição de CRL estática.

    Selecione Sem verificação de CRL se quiser desativar a verificação de CRL.

    Em Cache de CRL, selecione a caixa Enabled para permitir que o VPN Concentrator armazene em cache as CRLs recuperadas. O padrão é não habilitar o cache de CRL. Quando você desabilita o cache de CRL (desmarque a caixa), o cache de CRL é limpo.

    Se você configurou uma política de recuperação de CRL que usa pontos de distribuição de CRL do certificado que está sendo verificado, escolha um protocolo de ponto de distribuição a ser usado para recuperar a CRL. Nesse caso, escolha HTTP para recuperar a CRL. Atribua regras HTTP ao filtro de interface pública se o servidor CA estiver relacionado à interface pública.

    crl-http-vpn3k-12.gif

Monitoramento

Selecione Administration > Certificate Management e clique em View All CRL caches para ver se o seu VPN Concentrator armazenou em cache qualquer CRL do servidor CA.

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração funciona adequadamente.

Logs do concentrador

Habilite esses eventos no VPN Concentrator para certificar-se de que a verificação de CRL funcione.

  1. Selecione Configuration > System > Events > Classes para definir os níveis de log.

  2. Em Nome da classe, selecione IKE, IKEDBG, IPSEC, IPSECDBG ou CERT.

  3. Clique em Add ou Modify e escolha Severity to Log option 1-13.

  4. Clique em Aplicar se quiser modificar ou em Adicionar se quiser adicionar uma nova entrada.

Registros de concentrador concluídos com sucesso

Se a verificação da CRL for bem-sucedida, essas mensagens serão vistas em Logs de eventos filtráveis. 

1315 08/15/2002 13:11:23.520 SEV=7 CERT/117 RPT=1 
The requested CRL was found in cache.
The CRL Distribution point is: http://jazib-pc/CertEnroll/jazib-ca-ra.crl

1317 08/15/2002 13:11:23.520 SEV=8 CERT/46 RPT=1
CERT_CheckCrl(62f56e8, 0, 0)

1318 08/15/2002 13:11:23.520 SEV=7 CERT/2 RPT=1
Certificate has not been revoked: session = 2

1319 08/15/2002 13:11:23.530 SEV=8 CERT/50 RPT=1 
CERT_Callback(62f56e8, 0, 0)

1320 08/15/2002 13:11:23.530 SEV=5 IKE/79 RPT=2 64.102.60.53 
Group [ipsecgroup]
Validation of certificate successful
(CN=client_cert, SN=61521511000000000086)

Consulte Logs de Concentrador Bem-sucedidos para obter a saída completa de um log de concentrador bem-sucedido.

Logs com Falha

Se a verificação da CRL não for bem-sucedida, essas mensagens serão vistas nos Logs de eventos filtráveis. 

1332 08/15/2002 18:00:36.730 SEV=7 CERT/6 RPT=2
Failed to retrieve revocation list: session = 5

1333 08/15/2002 18:00:36.730 SEV=7 CERT/114 RPT=2 
CRL retrieval over HTTP has failed. Please make sure that proper filter rules
have been configured.

1335 08/15/2002 18:00:36.730 SEV=7 CERT/8 RPT=2
Error processing revocation list: session = 5, reason = Failed to retrieve CRL 
from the server.

Consulte Revoked Concentrator Logs para obter a saída completa de um log de concentrador com falha.

Consulte Logs de Clientes Bem-sucedidos para obter a saída completa de um log de cliente bem-sucedido.

Consulte Logs de Clientes Revogados para obter a saída completa de um log de cliente com falha.

Troubleshooting

Consulte Troubleshooting de Problemas de Conexão no VPN 3000 Concentrator para obter mais informações sobre Troubleshooting.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
15-Aug-2002
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos