Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: configurar um dispositivo para validação da cadeia de certificados peer

Este exemplo mostra como configurar um dispositivo para cadeias de certificados usadas para validar dispositivos peer durante a negociação do IKE.

Requisitos

Antes de começar, obtenha o endereço da autoridade de certificados (CA) e as informações necessárias (como a senha do desafio) quando você enviar solicitações de certificados locais.

Visão geral

Este exemplo mostra como configurar um dispositivo local para cadeias de certificados, inscrever CA e certificados locais, verificar a validade dos certificados inscritos e verificar o status de revogação do dispositivo peer.

Topologia

Este exemplo mostra a configuração e os comandos operacionais no Host-A, como mostrado na Figura 1. Um perfil ca dinâmico é criado automaticamente no Host-A para permitir que o Host-A baixe o CRL da Sales-CA e verifique o status de revogação do certificado do Host-B.

Figura 1: Exemplo da cadeia de certificados Certificate Chain Example
Nota:

A configuração de VPN IPsec para negociação de Fase 1 e Fase 2 é mostrada para Host-A neste exemplo. O dispositivo peer (Host-B) deve ser configurado corretamente para que as opções de Fase 1 e Fase 2 sejam negociadas com sucesso e as associações de segurança (SAs) sejam estabelecidas.

Configuração

Para configurar um dispositivo para cadeias de certificados:

Configure perfis de CA

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.

Para configurar perfis de CA:

  1. Crie o perfil ca para Root-CA.

  2. Crie o perfil ca para Eng-CA.

  3. Crie o perfil ca para Dev-CA.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security pki comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Inscrever certificados

Procedimento passo a passo

Para inscrever certificados:

  1. Inscreva-se nos certificados de CA.

    Digite yes as solicitações para carregar o certificado ca.

  2. Verifique se os certificados de CA estão inscritos no dispositivo.

  3. Verifique a validade dos certificados de CA inscritos.

  4. Inscreva-se no certificado local.

  5. Verifique se o certificado local está inscrito no dispositivo.

  6. Verifique a validade do certificado local inscrito.

  7. Verifique o download de CRL para perfis de CA configurados.

Configure opções de VPN IPsec

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.

Para configurar opções de VPN IPsec:

  1. Configure opções de Fase 1.

  2. Configure opções de Fase 2.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security ike comandos e show security ipsec os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Se a validação do certificado for bem-sucedida durante a negociação do IKE entre dispositivos peer, ambas as associações de segurança IKE e IPsec (SAs) serão estabelecidas.

Verificando o status da Fase 1 do IKE

Propósito

Verifique o status da Fase 1 do IKE.

Ação

Insira o comando do show services ipsec-vpn ike security-associations modo operacional.

Verificando o status da Fase 2 do IPsec

Propósito

Verifique o status da Fase 2 do IPsec.

Ação

Insira o comando do show services ipsec-vpn ipsec security-associations modo operacional.

Falha de IKE e IPsec SA para um certificado revogado

Verificação de certificados revogados

Problema

Se a validação do certificado falhar durante a negociação do IKE entre dispositivos peer, verifique se o certificado do peer não foi revogado. Um perfil ca dinâmico permite que o dispositivo local baixe o CRL do CA do peer e verifique o status de revogação do certificado do peer. Para habilitar perfis dinâmicos de CA, a opção revocation-check crl deve ser configurada em um perfil de CA dos pais.

Solução

Para verificar o status de revogação do certificado de um peer:

  1. Identifique o perfil ca dinâmico que mostrará o CRL para o dispositivo peer entrando no comando a show security pki crl partir do modo operacional.

    O perfil dynamic-001 ca é criado automaticamente no Host-A para que o Host-A possa baixar o CRL do CA do Host-B (Sales-CA) e verificar o status de revogação do certificado do peer.

  2. Exibir informações de CRL para o perfil dinâmico de CA entrando no comando a show security pki crl ca-profile dynamic-001 detail partir do modo operacional.

    Entrar

    O certificado de host-B (número de série 10647084) foi revogado.