Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configure VPN IPsec con OCSP para el estado de revocación de certificados

En este ejemplo se muestra cómo mejorar la seguridad si se configuran dos elementos del mismo nivel mediante el protocolo de estado de certificados en línea (OCSP) para comprobar el estado de revocación de los certificados usados en las negociaciones de la fase 1 para el túnel VPN de IPsec.

Aplicables

En cada dispositivo:

  • Obtenga e inscriba un certificado local. Esto se puede hacer manualmente o mediante el protocolo de inscripción de certificados simple (SCEP).

  • Opcionalmente, habilite la renovación automática del certificado local.

  • Configure políticas de seguridad que permitan el tráfico hacia y desde el dispositivo del mismo nivel.

Descripción general

En ambos equipos del mismo nivel, una raíz de OCSP del perfil de una entidad de certificación (CA) se configura con las siguientes opciones:

  • El nombre de CA es raíz de OCSP.

  • Dirección URL de inscripción es http://10.1.1.1:8080/scep/OCSP-ROOT/. Esta es la dirección URL en la que se envían solicitudes de SCEP a la CA.

  • La dirección URL del servidor OCSP es http://10.157.88.56:8210/OCSP-ROOT/.

  • Primero se utiliza OCSP para comprobar el estado de revocación de certificados. Si no hay respuesta del servidor OCSP, la lista de revocación de certificados (CRL) se usa para comprobar el estado. La dirección URL de la CRL es http://10.1.1.1:8080/crl-as-der/currentcrl-45.crlid=45.

  • No se comprueba si el certificado de CA recibido en una respuesta OCSP se revocó el certificado. Generalmente, los certificados recibidos en una respuesta OCSP tienen una duración más corta y no es necesaria una comprobación de revocación.

Tabla 1muestra las opciones de la fase 1 utilizadas en este ejemplo.

Tabla 1: Opciones de la fase 1 del ejemplo de configuración de OCSP

,

Peer A

Peer B

ICR propuesta

ike_prop

ike_prop

Método de autenticación

Firmas RSA

Firmas RSA

Grupo DH

group2

group2

Algoritmo de autenticación

SHA 1

SHA 1

Algoritmo de cifrado

3DES CBC

3DES CBC

ICR Directiva

ike_policy

ike_policy

Medio

ambiciosa

ambiciosa

Clasificado

ike_prop

ike_prop

Certificado

localcert1 de certificado local

localcert1 de certificado local

Puerta de enlace ICR

jsr_gateway

jsr_gateway

Políticas

ike_policy

ike_policy

Dirección de puerta de enlace

198.51.100.50

192.0.2.50

Identidad remota

localcert11.example.net

-

Identidad local

-

localcert11.example.net

Interfaz externa

reth1

ge-0/0/2.0

Versi

v2

v2

Tabla 2muestra las opciones de la fase 2 utilizadas en este ejemplo.

Tabla 2: Ejemplo de opciones de fase 2 para la configuración de OCSP

,

Peer A

Peer B

Propuesta de IPsec

ipsec_prop

ipsec_prop

Protocolo

SENSORIAL

SENSORIAL

Algoritmo de autenticación

HMAC SHA1-96

HMAC SHA1-96

Algoritmo de cifrado

3DES CBC

3DES CBC

Segundos de duración

1200

1200

La duración de los kilobytes

150,000

150,000

Directiva IPsec

ipsec_policy

ipsec_policy

Claves de PFC

group2

group2

Clasificado

ipsec_prop

ipsec_prop

VIRTUALES

test_vpn

test_vpn

Enlazar interfaz

st0.1

st0.1

Puerta de enlace ICR

jsr_gateway

jsr_gateway

Políticas

ipsec_policy

ipsec_policy

Establecer túneles

-

justo

Topología

Figura 1muestra los dispositivos del mismo nivel que están configurados en este ejemplo.

Figura 1: Ejemplo de configuración de OCSPEjemplo de configuración de OCSP

Automática

Configuración del interlocutor A

Configuración rápida de CLI

Para configurar rápidamente el par A de VPN para usar OCSP, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía [ ] y, luego, ingrese desde el modo de editcommit configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Junos OS CLI usuario .

Para configurar el interlocutor a de VPN a para usar OCSP:

  1. Configurar interfaces.

  2. Configure el perfil de CA.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show security pki ca-profile OCSP-ROOTescriba show security ikelos comandos show security ipsec ,, y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración del interlocutor B

Configuración rápida de CLI

Para configurar rápidamente el par B de VPN para usar OCSP, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía [ ] y, luego, ingrese desde el modo de editcommit configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Junos OS CLI usuario .

Para configurar VPN peer B para usar OCSP:

  1. Configurar interfaces.

  2. Configure el perfil de CA.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show security pki ca-profile OCSP-ROOTescriba show security ikelos comandos show security ipsec ,, y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobar certificados de CA

Purpose

Comprobar la validez de un certificado de entidad emisora en cada dispositivo del mismo nivel.

Intervención

Desde el modo funcional, escriba show security pki ca-certificate ca-profile OCSP-ROOT el show security pki ca-certificate ca-profile OCSP-ROOT detail comando o.

En este ejemplo, las direcciones IP se utilizan en las direcciones URL de la configuración del perfil de la entidad emisora. Si las direcciones IP no se utilizan AC certificados emitidos por AC certificados, el DNS se debe configurar en la configuración del dispositivo. DNS debe poder resolver el host en las listas CRL de distribución y en la dirección URL de la entidad emisora de certificados en la configuración del perfil de entidad emisora. Además, debe contar con la posibilidad de acceder a la red al mismo host para recibir comprobaciones de revocación.

Efectos

El resultado muestra los detalles y la validez del certificado de entidad emisora en cada interlocutor de la siguiente manera:

  • C— País.

  • O—Organización.

  • CN: nombre común.

  • Not before: fecha de inicio de la válida.

  • Not after: fecha de finalización de la validación.

Comprobación de certificados locales

Purpose

Comprobar la validez de un certificado local en cada dispositivo del mismo nivel.

Intervención

En modo operativo, escriba el show security pki local-certificate certificate-id localcert1 detail comando.

Efectos

El resultado muestra los detalles y la validez de un certificado local en cada interlocutor de la manera siguiente:

  • DC: componente de dominio.

  • CN: nombre común.

  • OU— Unidad organizacional.

  • O—Organización.

  • L— Localidad

  • ST— Estado.

  • C— País.

  • Not before: fecha de inicio de la válida.

  • Not after: fecha de finalización de la validación.

Comprobación del estado de la fase 1 ICR

Purpose

Compruebe el estado ICR fase 1 de cada dispositivo del mismo nivel.

Intervención

En modo operativo, escriba el show security ike security-associations comando.

En modo operativo, escriba el show security ike security-associations detail comando.

Efectos

El flags campo en el resultado muestra que se crea ICR Asociación de seguridad.

Comprobando el estado de la fase 2 de IPsec

Purpose

Compruebe el estado de IPsec Phase 2 en cada dispositivo del mismo nivel.

Intervención

En modo operativo, escriba el show security ipsec security-associations comando.

En modo operativo, escriba el show security ipsec security-associations detail comando.

Efectos

El resultado muestra los detalles de las asociaciones de seguridad IPSec.