Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de certificados digitales para una PIC ES

Los certificados digitalesproporcionan una forma de autenticar a los usuarios a través de un tercero de confianza llamado autoridad de certificación (CA). La CA valida la identidad del titular del certificado y "firma" el certificado para atestiguar que no ha sido falsificado ni alterado.

Para definir la configuración del certificado digital para una interfaz de servicio de cifrado, incluya las siguientes instrucciones en los [edit security certificates] niveles de jerarquía y [edit security ike] :

Las tareas para configurar certificados digitales para PIC ES son:

Configuración de las propiedades de la autoridad de certificación para una PIC ES

Una CA es una organización de terceros de confianza que crea, inscribe, valida y revoca certificados digitales.

Para configurar una autoridad de certificación y sus propiedades para una PIC ES, incluya las siguientes instrucciones en el [edit security certificates] nivel jerárquico:

ca-profile-name es el nombre del perfil de CA.

Las tareas para configurar las propiedades de CA son:

Especificar el nombre de la autoridad de certificación

Si se va a inscribir con una CA mediante protocolos de inscripción de certificados simples (SCEP), debe especificar el nombre de CA (identidad de CA) que se utiliza en la solicitud de certificado, además de la dirección URL del servidor SCEP.

Para especificar el nombre de la identidad de CA, incluya la ca-name instrucción en el [edit security certificates certification-authority ca-profile-name] nivel de jerarquía:

ca-identity especifica la identidad de CA que se utilizará en la solicitud de certificado. Normalmente es el nombre de dominio de CA.

Configurar la lista de revocación de certificados

Una lista de revocación de certificados (CRL) contiene una lista de certificados digitales que se cancelaron antes de su fecha de vencimiento. Cuando un par participante usa un certificado digital, comprueba la firma y la validez del certificado. También adquiere la CRL emitida más recientemente y comprueba que el número de serie del certificado no esté en ese CRL.

Para configurar la lista de revocación de certificados de CA, incluya la crl instrucción y especifique el archivo desde el cual se leerá la CRL en el [edit security certificates certification-authority ca-profile-name] nivel jerárquico:

Configurar el tipo de codificación que admite la CA

De forma predeterminada, la codificación se establece en binario. La codificación especifica el formato de archivo utilizado para las local-certificate instrucciones y local-key-pair . De forma predeterminada, se habilita el formato binario (reglas de codificación diferenciadas). El correo mejorado para la privacidad (PEM) es un formato codificado de base ASCII 64. Consulte con su CA para determinar qué formatos de archivo admite.

Para configurar el formato de archivo que admite su CA, incluya la encoding instrucción y especifique un formato binario o PEM en el [edit security certificates certification-authority ca-profile-name] nivel jerárquico:

Especificar una URL de inscripción

Especifique la ubicación de CA en la que el enrutador o conmutador envía solicitudes de inscripción de certificados basadas en SCEP. Para especificar la ubicación de CA nombrando la DIRECCIÓN URL de CA, incluya la enrollment-url instrucción en el [edit security certificates certification-authority ca-profile-name] nivel jerárquico:

url-name es la ubicación de CA. El formato es http://ca-name, donde ca-name está el nombre DNS de host de CA o la dirección IP.

Especificar un archivo para leer el certificado digital

Para especificar el archivo desde el que leer el certificado digital, incluya la file instrucción y especifique el nombre de archivo del certificado en el [edit security certificates certification-authority ca-profile-name] nivel jerárquico:

Especificar una URL LDAP

Si la CA almacena su CRL actual en su servidor de protocolo ligero de acceso a directorios (LDAP), opcionalmente puede comprobar la lista de CRL de CA antes de usar un certificado digital. Si el certificado digital aparece en la CA CRL, el enrutador o conmutador no puede usarlo. Para acceder a su CRL de CA, incluya la ldap-url instrucción en el [edit security certificates certification-authority ca-profile-name] nivel de jerarquía:

url-name es el nombre del servidor LDAP de la autoridad de certificación. El formato es ldap://server-name, el lugar en server-name el que se encuentra el nombre DNS o la dirección IP del host de CA.

Configuración del tamaño de la caché

De forma predeterminada, el tamaño de la caché es de 2 megabytes (MB). Para configurar el tamaño total de la caché para certificados digitales, incluya la cache-size instrucción en el [edit security certificates] nivel jerárquico:

bytes es el tamaño de la caché de los certificados digitales. El rango puede ser de 64 a 4,294,967,295 bytes.

Nota:

Recomendamos que limite el tamaño de la caché a 4 MB.

Configuración de la caché negativa

El almacenamiento en caché negativo almacena los resultados negativos y reduce el tiempo de respuesta de las respuestas negativas. También reduce la cantidad de mensajes que se envían al servidor remoto. Mantener un estado de caché negativo permite que el sistema devuelva rápidamente una condición de error cuando se vuelve a intentar un intento de búsqueda. Sin un estado de caché negativo, un reintentos requeriría esperar a que el servidor remoto no respondiera, a pesar de que el sistema ya " sabe" que el servidor remoto no está respondiendo.

De forma predeterminada, la caché negativa es de 20 segundos. Para configurar la caché negativa, incluya la cache-timeout-negative instrucción en el [edit security certificates] nivel de jerarquía:

seconds es la cantidad de tiempo durante el cual una CA o certificado de enrutador con error está presente en la caché negativa. Durante la búsqueda de certificados con una identidad de CA coincidente (nombre de dominio para certificados o nombre de dominio de CA y serie para CRL), primero se busca la caché negativa. Si se encuentra una entrada en la caché negativa, la búsqueda falla inmediatamente.

Nota:

Configurar un valor de caché negativo de gran tamaño puede hacer que sea susceptible a un ataque de denegación de servicio (DoS).

Configuración del número de reintentos de inscripción

De forma predeterminada, el número de reintentos de inscripción se establece en 0, un número infinito de reintentos. Para especificar cuántas veces un enrutador o conmutador reenviará una solicitud de certificado, incluya la enrollment-retry instrucción en el [edit security certificates] nivel de jerarquía:

attempts es el número de reintentos de inscripción (del 0 al 100).

Configurar la cantidad máxima de certificados par

De forma predeterminada, la cantidad máxima de certificados par que se van a almacenar en caché es 1024. Para configurar la cantidad máxima de certificados par que se van a almacenar en caché, incluya la maximum-certificates instrucción en el [edit security certificates] nivel de instrucción de jerarquía:

number es la cantidad máxima de certificados par que se van a almacenar en caché. El rango es de 64 a 4.294.967.295 certificados pares.

Configuración de la longitud de ruta para la jerarquía de certificados

Las autoridades de certificación pueden emitir certificados a otras CA. Esto crea una jerarquía de certificación parecida a un árbol. La CA de confianza más alta de la jerarquía se denomina ancla de confianza. A veces, el ancla de confianza es la CA raíz, que normalmente está firmada por sí misma. En la jerarquía, cada certificado está firmado por la CA inmediatamente superior. Una excepción es el certificado de CA raíz, que normalmente está firmado por la propia CA raíz. En general, es posible que se necesite una cadena de varios certificados, compuesto por un certificado del propietario de la clave pública (la entidad final) firmado por una CA y cero o más certificados adicionales de CA firmados por otras CA. Estas cadenas, llamadas rutas de certificación, son necesarias porque un usuario de clave pública solo se inicializa con un número limitado de claves públicas de CA garantizadas.

La longitud de la ruta se refiere a una ruta de certificados de un certificado a otro certificado, basada en la relación de una CA y sus "hijos". Cuando configure la path-length instrucción, especifique la profundidad máxima de la jerarquía para validar un certificado del certificado de CA raíz de confianza al certificado en cuestión. Para obtener más información acerca de la jerarquía de certificados, consulte RFC 3280, perfil de certificado de infraestructura de clave pública de Internet X.509 y lista de revocación de certificados (CRL).

De forma predeterminada, la longitud máxima de la ruta del certificado se establece en 15. El anclaje de raíz es 1.

Para configurar la longitud de la ruta, incluya la path-length instrucción en el [edit security certificates] nivel de jerarquía:

certificate-path-length es el número máximo de certificados para la longitud de la ruta de certificado. El rango es de 2 a 15 certificados.