Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Política de IKE para certificados digitales en un PIC de ES

Configuración de una directiva IKE para certificados digitales para una PIC de ES

Una política de IKE para certificados digitalesdefine una combinación de parámetros de seguridad (propuestas de IKE) que se utilizarán durante la negociación de IKE. Define una dirección de pares y las propuestas necesarias para esa conexión. Durante la negociación de IKE, IKE busca una política de IKE que sea la misma en ambos pares. El par que inicia la negociación envía todas sus directivas al par remoto y el par remoto intenta encontrar una coincidencia.

Para configurar una política de IKE para certificados digitales para una PIC de ES, incluya las siguientes instrucciones en el nivel de [edit security ike policy ike-peer-address] jerarquía:

Las tareas para configurar una política de IKE para certificados digitales son:

Configuración del tipo de codificación que admite la CA

De forma predeterminada, la codificación se establece en binario. La codificación especifica el formato de archivo utilizado para las local-certificate instrucciones y local-key-pair . De forma predeterminada, el formato binario (reglas de codificación distinguidas) está habilitado. PEM es un formato codificado ASCII base 64. Consulte con su CA para determinar qué formatos de archivo admite.

Para configurar el formato de archivo compatible con la CA, incluya la encoding instrucción y especifique un formato binario o PEM en el nivel jerárquico [edit security ike policy ike-peer-address] :

Configuración de la identidad para definir el nombre del certificado remoto

Para definir el nombre del certificado remoto, incluya la identity instrucción en el nivel de [edit security ike policy ike-peer-address] jerarquía:

identity-name define la identidad del nombre del certificado remoto si la identidad no se puede aprender a través de IKE (carga de ID o dirección IP).

Especificación del nombre de archivo del certificado

Para configurar el nombre de archivo del certificado desde el que leer el certificado local, incluya la local-certificate instrucción en el nivel de [edit security ike policy ike-peer-address] jerarquía:

certificate-filename Especifica el archivo desde el que se va a leer el certificado local.

Especificación del archivo de clave privada y pública

Para especificar el nombre de archivo desde el que leer la clave pública y privada, incluya la local key-pair instrucción en el nivel de [edit security ike policy ike-peer-address] jerarquía:

private-public-key-file Especifica el archivo desde el que se va a leer la clave de par.

Obtención de un certificado firmado de la CA para una PIC de ES

Para obtener un certificado firmado de la CA, emita el siguiente comando:

Los resultados se guardan en un archivo especificado en el directorio /var/etc/ikecert .

En el ejemplo siguiente se muestra cómo obtener un certificado firmado por CA haciendo referencia a la instrucción local configuradacertification-authority. El request security certificate enroll filename filename subject subject alternative-subject alternative-subject certification-authority certification-authority comando hace referencia a esta instrucción.

Para obtener un certificado firmado de la CA, emita el siguiente comando:

Para obtener información acerca de cómo usar los comandos del modo operativo para obtener un certificado firmado, consulte el Explorador de CLI.

Otra forma de obtener un certificado firmado de la CA es hacer referencia a las instrucciones configuradas, como la dirección URL, el nombre de CA y el archivo de certificado de CA, mediante la certification-authority instrucción:

Asociación de la asociación de seguridad configurada con una interfaz lógica

La configuración de la PIC de ES asocia la SA configurada con una interfaz lógica. Esta configuración define el túnel en sí (subunidad lógica, direcciones de túnel, unidad máxima de transmisión [MTU], direcciones de interfaz opcionales y el nombre de la SA que se aplicará al tráfico).

Las direcciones configuradas como origen y destino del túnel son las direcciones que se encuentran en el encabezado IP exterior del túnel.

Nota:

La dirección de origen del túnel debe configurarse localmente en el enrutador y la dirección de destino del túnel debe ser una dirección válida para la puerta de enlace de seguridad que termina el túnel.

Los enrutadores M5, M10, M20 y M40 admiten la PIC ES.

La SA debe ser una SA en modo de túnel válida. La dirección de interfaz y la dirección de destino enumeradas son opcionales. La dirección de destino permite al usuario configurar una ruta estática para cifrar el tráfico. Si una ruta estática utiliza esa dirección de destino como próximo salto, el tráfico se reenvía a través de la parte del túnel en la que se produce el cifrado.

En el ejemplo siguiente se muestra cómo configurar un túnel IPsec como interfaz lógica en la PIC ES. La interfaz lógica especifica el túnel por el que viaja el tráfico cifrado. La instrucción ipsec-sa asocia el perfil de seguridad a la interfaz.