Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예: 피어 인증서 체인 검증을 위한 디바이스 구성

이 예는 IKE 협상 중에 피어 디바이스를 검증하는 데 사용되는 인증서 체인의 디바이스를 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 로컬 인증서 요청을 제출할 때 인증 기관(CA)의 주소와 필요한 정보(예: 도전 암호)를 얻을 수 있습니다.

개요

이 예는 인증서 체인을 위해 로컬 디바이스를 구성하고, CA 및 로컬 인증서를 등록하고, 등록한 인증서의 유효성을 확인하고, 피어 디바이스의 해지 상태를 확인하는 방법을 보여줍니다.

토폴로지

이 예는 그림 1과 같이 Host-A의 구성 및 운영 명령을 보여줍니다. Host-A에 동적 CA 프로필이 자동으로 생성되어 Host-A가 Sales-CA에서 CRL을 다운로드하고 Host-B 인증서 해지 상태를 확인할 수 있습니다.

그림 1: 인증서 체인 예 Certificate Chain Example
참고:

이 예에서는 1단계 및 2단계 협상에 대한 IPsec VPN 구성이 Host-A에 대해 표시됩니다. 피어 디바이스(Host-B)는 1단계 및 2단계 옵션이 성공적으로 협상되고 SA(Security Association)가 설정되도록 올바르게 구성되어야 합니다.

구성

인증서 체인을 위한 디바이스 구성 방법:

CA 프로필 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

CA 프로필 구성 방법:

  1. 루트-CA에 대한 CA 프로필을 생성합니다.

  2. Eng-CA에 대한 CA 프로필을 생성합니다.

  3. Dev-CA에 대한 CA 프로필을 생성합니다.

결과

구성 모드에서 명령을 입력하여 구성을 확인합니다 show security pki . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

인증서 등록

단계별 절차

인증서 등록:

  1. CA 인증서를 등록합니다.

    CA 인증서를 로드하려면 프롬프트에 을(를) 입력 yes 합니다.

  2. CA 인증서가 디바이스에 등록되었는지 확인합니다.

  3. 등록한 CA 인증서의 유효성을 확인합니다.

  4. 로컬 인증서를 등록합니다.

  5. 로컬 인증서가 디바이스에 등록되었는지 확인합니다.

  6. 등록한 로컬 인증서의 유효성을 확인합니다.

  7. 구성된 CA 프로필은 CRL 다운로드를 확인합니다.

IPsec VPN 옵션 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

IPsec VPN 옵션 구성 방법:

  1. 1단계 옵션을 구성합니다.

  2. 2단계 옵션을 구성합니다.

결과

구성 모드에서 및 show security ipsec 명령을 입력하여 구성을 show security ike 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

피어 디바이스 간의 IKE 협상 중에 인증서 검증이 성공하면 IKE 및 IPsec 보안 연결(SA) 모두 설정됩니다.

IKE(Internet Internet) 1단계 상태 확인

목적

IKE(Internet Internet) 1단계 상태를 확인합니다.

작업

show services ipsec-vpn ike security-associations 운영 모드에서 명령을 입력합니다.

IPsec 2단계 상태 확인

목적

IPsec 2단계 상태를 확인합니다.

작업

show services ipsec-vpn ipsec security-associations 운영 모드에서 명령을 입력합니다.

취소된 인증서에 대한 IKE 및 IPsec SA 실패

취소된 인증서 확인

문제

피어 디바이스 간의 IKE 협상 중에 인증서 검증이 실패하면 피어의 인증서가 취소되지 않았는지 확인합니다. 동적 CA 프로필을 사용하면 로컬 디바이스가 피어의 CA에서 CRL을 다운로드하고 피어 인증서의 해지 상태를 확인할 수 있습니다. 동적 CA 프로필을 활성화하려면 상위 CA 프로필 revocation-check crl 에 옵션을 구성해야 합니다.

솔루션

피어 인증서의 해지 상태를 확인하려면 다음을 수행합니다.

  1. 운영 모드에서 명령을 입력 show security pki crl 하여 피어 디바이스의 CRL을 표시하는 동적 CA 프로필을 식별합니다.

    CA 프로필 dynamic-001 은 Host-A에서 자동으로 생성되므로 Host-A는 Host-B의 CA(Sales-CA)에서 CRL을 다운로드하고 피어 인증서의 해지 상태를 확인할 수 있습니다.

  2. 운영 모드에서 명령을 입력하여 동적 CA 프로필에 show security pki crl ca-profile dynamic-001 detail 대한 CRL 정보를 표시합니다.

    입력

    Host-B의 인증서(일련번호 10647084)가 취소되었습니다.