Configuración de certificados digitales para una PIC de ES
Los certificados digitalesproporcionan una forma de autenticar a los usuarios a través de un tercero de confianza denominado entidad emisora de certificados (CA). La CA valida la identidad del titular del certificado y lo "firma" para certificar que no ha sido falsificado ni alterado.
Para definir la configuración de certificados digitales para una interfaz de servicio de cifrado, incluya las siguientes instrucciones en los niveles de [edit security certificates] jerarquía y [edit security ike] :
[edit security] certificates { cache-size bytes; cache-timeout-negative seconds; certification-authority ca-profile-name { ca-name ca-identity; crl filename; encoding (binary | pem); enrollment-url url-name; file certificate-filename; ldap-url url-name; } enrollment-retry attempts; local certificate-filename { certificate-key-string; load-key-file URL key-file-name; } maximum-certificates number; path-length certificate-path-length; } ike { policy ike-peer-address { description policy; encoding (binary | pem); identity identity-name; local-certificate certificate-filename; local-key-pair private-public-key-file; mode (aggressive | main); pre-shared-key (ascii-text key | hexadecimal key); proposals [ proposal-names ]; } }
Las tareas para configurar certificados digitales para PIC de ES son:
Configuración de las propiedades de la entidad emisora de certificados para una PIC de ES
Una CA es una organización de terceros de confianza que crea, inscribe, valida y revoca certificados digitales.
Para configurar una entidad emisora de certificados y sus propiedades para una PIC de ES, incluya las siguientes instrucciones en el nivel de [edit security certificates] jerarquía:
[edit security certificates] certification-authority ca-profile-name { ca-name ca-identity; crl filename; encoding (binary | pem); enrollment-url url-name; file certificate-filename; ldap-url url-name; }
ca-profile-name es el nombre del perfil de CA.
Las tareas para configurar las propiedades de CA son:
- Especificación del nombre de la entidad emisora de certificados
- Configuración de la lista de revocación de certificados
- Configuración del tipo de codificación que admite la CA
- Especificación de una URL de inscripción
- Especificación de un archivo para leer el certificado digital
- Especificación de una URL LDAP
Especificación del nombre de la entidad emisora de certificados
Si va a inscribirse con una CA mediante protocolos simples de inscripción de certificados (SCEP), debe especificar el nombre de CA (identidad de CA) que se usa en la solicitud de certificado, además de la dirección URL del servidor SCEP.
Para especificar el nombre de la identidad de CA, incluya la ca-name instrucción en el [edit security certificates certification-authority ca-profile-name] nivel de jerarquía:
[edit security certificates certification-authority ca-profile-name] ca-name ca-identity;
ca-identity especifica la identidad de CA que se va a usar en la solicitud de certificado. Normalmente es el nombre de dominio de CA.
Configuración de la lista de revocación de certificados
Una lista de revocación de certificados (CRL) contiene una lista de certificados digitales que se han cancelado antes de su fecha de caducidad. Cuando un par participante utiliza un certificado digital, comprueba la firma y la validez del certificado. También adquiere la CRL emitida más recientemente y comprueba que el número de serie del certificado no esté en esa CRL.
Para configurar la lista de revocación de certificados de CA, incluya la crl instrucción y especifique el archivo desde el que leer la CRL en el nivel de [edit security certificates certification-authority ca-profile-name] jerarquía:
[edit security certificates certification-authority ca-profile-name] crl filename;
Configuración del tipo de codificación que admite la CA
De forma predeterminada, la codificación se establece en binario. La codificación especifica el formato de archivo utilizado para las local-certificate instrucciones y local-key-pair . De forma predeterminada, el formato binario (reglas de codificación distinguidas) está habilitado. El correo de privacidad mejorada (PEM) es un formato codificado ASCII base 64. Consulte con su CA para determinar qué formatos de archivo admite.
Para configurar el formato de archivo compatible con la CA, incluya la encoding instrucción y especifique un formato binario o PEM en el nivel jerárquico [edit security certificates certification-authority ca-profile-name] :
[edit security certificates certification-authority ca-profile-name] encoding (binary | pem);
Especificación de una URL de inscripción
Especifique la ubicación de CA donde el enrutador o conmutador envía las solicitudes de inscripción de certificados basadas en SCEP. Para especificar la ubicación de CA asignando un nombre a la dirección URL de CA, incluya la enrollment-url instrucción en el nivel de [edit security certificates certification-authority ca-profile-name] jerarquía:
[edit security certificates certification-authority ca-profile-name] enrollment-url url-name;
url-name es la ubicación de CA. El formato es http://ca-name, donde ca-name es el nombre DNS o la dirección IP del host de CA.
Especificación de un archivo para leer el certificado digital
Para especificar el archivo desde el que se va a leer el certificado digital, incluya la file instrucción y especifique el nombre de archivo del certificado en el nivel jerárquico [edit security certificates certification-authority ca-profile-name] :
[edit security certificates certification-authority ca-profile-name] file certificate-filename;
Especificación de una URL LDAP
Si su CA almacena su CRL actual en su servidor de Protocolo ligero de acceso a directorios (LDAP), puede comprobar opcionalmente su lista de CA CRL antes de utilizar un certificado digital. Si el certificado digital aparece en CA CRL, el enrutador o conmutador no podrá usarlo. Para acceder a su CA CRL, incluya la ldap-url instrucción en el nivel jerárquico [edit security certificates certification-authority ca-profile-name] :
[edit security certificates certification-authority ca-profile-name] ldap-url url-name;
url-name es el nombre del servidor LDAP de la entidad de certificación. El formato es ldap://server-name, donde server-name está el nombre DNS del host de CA o la dirección IP.
Configuración del tamaño de caché
De forma predeterminada, el tamaño de caché es de 2 megabytes (MB). Para configurar el tamaño total de caché para certificados digitales, incluya la cache-size instrucción en el nivel de [edit security certificates] jerarquía:
[edit security certificates] cache-size bytes;
bytes es el tamaño de caché de los certificados digitales. El intervalo puede ser de 64 a 4.294.967.295 bytes.
Le recomendamos que limite el tamaño de la caché a 4 MB.
Configuración de la caché negativa
El almacenamiento en caché negativo almacena los resultados negativos y reduce el tiempo de respuesta de las respuestas negativas. También reduce el número de mensajes que se envían al servidor remoto. El mantenimiento de un estado de caché negativo permite que el sistema devuelva rápidamente una condición de error cuando se vuelve a intentar un intento de búsqueda. Sin un estado de caché negativo, un reintento requeriría esperar a que el servidor remoto no responda, aunque el sistema ya "sabe" que el servidor remoto no responde.
De forma predeterminada, la caché negativa es de 20 segundos. Para configurar la caché negativa, incluya la cache-timeout-negative instrucción en el nivel de [edit security certificates] jerarquía:
[edit security certificates] cache-timeout-negative seconds;
seconds es la cantidad de tiempo durante el cual un certificado de CA o enrutador con errores está presente en la caché negativa. Al buscar certificados con una identidad de CA coincidente (nombre de dominio para certificados o nombre de dominio de CA y serie para CRL), primero se busca la caché negativa. Si se encuentra una entrada en la caché negativa, la búsqueda falla inmediatamente.
La configuración de un valor de caché negativo grande puede hacerle susceptible a un ataque de denegación de servicio (DoS).
Configuración del número de reintentos de inscripción
De forma predeterminada, el número de reintentos de inscripción se establece en 0, un número infinito de reintentos. Para especificar cuántas veces un enrutador o conmutador reenviará una solicitud de certificado, incluya la enrollment-retry instrucción en el nivel de [edit security certificates] jerarquía:
[edit security certificates] enrollment-retry attempts;
attempts es el número de reintentos de inscripción (del 0 al 100).
Configuración del número máximo de certificados del mismo nivel
De forma predeterminada, el número máximo de certificados del mismo nivel que se almacenarán en caché es 1024. Para configurar el número máximo de certificados del mismo nivel que se almacenarán en caché, incluya la maximum-certificates instrucción en el nivel de instrucción de jerarquía [edit security certificates] :
[edit security certificates] maximum-certificates number;
number es el número máximo de certificados del mismo nivel que se van a almacenar en caché. El rango es de 64 a 4.294.967.295 certificados de pares.
Configuración de la longitud de la ruta de acceso para la jerarquía de certificados
Las entidades de certificación pueden emitir certificados a otras CA. Esto crea una jerarquía de certificación similar a un árbol. La CA de confianza más alta de la jerarquía se denomina ancla de confianza. A veces, el anclaje de confianza es la CA raíz, que suele estar firmada por sí misma. En la jerarquía, todos los certificados están firmados por la CA inmediatamente superior. Una excepción es el certificado de CA raíz, que normalmente está firmado por la propia CA raíz. En general, puede ser necesaria una cadena de varios certificados, que comprenda un certificado del propietario de la clave pública (la entidad final) firmado por una CA y cero o más certificados adicionales de CA firmados por otras CA. Estas cadenas, denominadas rutas de certificación, son necesarias porque un usuario de clave pública solo se inicializa con un número limitado de claves públicas de CA aseguradas.
La longitud de la ruta de acceso hace referencia a una ruta de certificados de un certificado a otro, según la relación de una CA y sus "elementos secundarios". Cuando configure la path-length instrucción, especifique la profundidad máxima de la jerarquía para validar un certificado desde el certificado de CA raíz de confianza hasta el certificado en cuestión. Para obtener más información acerca de la jerarquía de certificados, consulte RFC 3280, Perfil de lista de revocación de certificados (CRL) y certificado de infraestructura de clave pública X.509 de Internet.
De forma predeterminada, la longitud máxima de la ruta de acceso del certificado se establece en 15. El anclaje de la raíz es 1.
Para configurar la longitud de la ruta de acceso, incluya la path-length instrucción en el nivel de [edit security certificates] jerarquía:
[edit security certificates] path-length certificate-path-length;
certificate-path-length es el número máximo de certificados para la longitud de la ruta de acceso del certificado. El rango es de 2 a 15 certificados.