The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Подписаный RapidSSL сертификат как pki trustpoint для webvpn"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Подписаный RapidSSL сертификат как pki trustpoint для webvpn"  +/
Сообщение от sirantd email(ok) on 04-Дек-14, 21:24 
Добрый день

Есть c3825-adventerprisek9-mz.151-4.M7

Когда настраиваю WebVPN через Cisco Professional configurator и создаю selfsighned certificate то все работает как надо, но каждый раз клиент ругается на самоподписаный сертификат.

Есть годный RapidSSL wildcard certificate для моего домена, работает в apache, jabber и других сервисах предприятия. Хочу его использовать как основной сертификат на cisco вместо самоподписаного.

Импортирую RSA ключ (так как .csr делался не на cisco), root сертификат, inermediate сертификат и потом свой. Все вроде ок, кроме того, что когда свой импортирую получаю ошибку:


dWVIcxB2R94mTLGrNHAnoyb1tfG5xBlJQFTVhD+7oIIJQuNs3cfifCJaXho4lP3s
cewGFuo=
-----END CERTIFICATE-----
quit
Trustpoint 'AAA_WILDCARD' is a subordinate CA.
but certificate is not a CA certificate.
Manual verification required
Certificate has the following attributes:
       Fingerprint MD5: 19186E74 1522D1C8 D81CFAA3 92858AE8
      Fingerprint SHA1: 0C21DF10 51A30C49 D0B06A20 99987424 83D27E5B
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported

При попытке подключить этот сертификат к WebVPN через Cisco Configuration Professional - его нет в списке, при подключении ручками и попытке зайти на адрес webVPN - ошибка в логах:


010260: Dec  4 20:04:00.815 EET: CRYPTO_PKI: (A10DF) Session started - identity selected (AAA_WILDCARD)
010261: Dec  4 20:04:00.815 EET: CRYPTO_PKI: unlocked trustpoint AAA_WILDCARD, refcount is 0

Что я делаю не так и возможно ли вообще то, что я хочу ?

Вот куски конфига:


crypto pki trustpoint TP-self-signed-3482185252
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3482185252
 revocation-check none
 rsakeypair TP-self-signed-3482185252
!
crypto pki trustpoint root
 enrollment terminal
 subject-name CN=GeoTrust Global CA,O=GeoTrust Inc.
 revocation-check crl
!
crypto pki trustpoint rapidssl
 enrollment terminal
 subject-name CN=RapidSSL SHA256 CA - G3
 revocation-check crl
!
crypto pki trustpoint test_trustpoint_config_created_for_sdm
 subject-name e=sdmtest@sdmtest.com
 revocation-check crl
!
crypto pki trustpoint AAA_WILDCARD
 enrollment terminal
 usage ssl-server
 fqdn *.aaa.aaa.aa
 ip-address none
 subject-name CN=*.aaa.aaa.aa
 chain-validation continue rapidssl
 revocation-check crl
 rsakeypair AAA_WILDCARD
!
crypto pki certificate chain TP-self-signed-3482185252
 certificate self-signed 01
  3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
....
  6EE732AD 1513FF15 2DCC9F87 68D30FAE 5EA7A534 6B5EA6EB F2093A72 CB9993C7
  8191E1BF 6AA91CAC 3BFFE4C0 4D1517
      quit
crypto pki certificate chain root
 certificate ca 023456
  30820354 3082023C A0030201 02020302 3456300D 06092A86 4886F70D 01010505
  00304231 0B300906 03550406 13025553 31163014 06035504 0A130D47 656F5472
....
  335F9209 2F88665D 7797C71D 7613A9D5 E5F11609 1135D5AC DB247170 2C98560B
  D917B4D1 E3512B5E 75E8D5D0 DC4F34ED C2056680 A1CBE633
      quit
crypto pki certificate chain rapidssl
 certificate ca 023A77
  30820425 3082030D A0030201 02020302 3A77300D 06092A86 4886F70D 01010B05
  00304231 0B300906 03550406 13025553 31163014 06035504 0A130D47 656F5472
....
  4A74564F 1A554070 7525A633 2EBA4BA5 5D539A0D 30E18D5F 612CAFCC EFB099A1
  80FF0BF2 624C7026 98
      quit
crypto pki certificate chain test_trustpoint_config_created_for_sdm
crypto pki certificate chain AAA_WILDCARD
 certificate ca 00D18B
  308204B1 30820399 A0030201 02020300 D18B300D 06092A86 4886F70D 01010B05
  00304731 0B300906 03550406 13025553 31163014 06035504 0A130D47 656F5472
....
  0942E36C DDC7E27C 225A5E1A 3894FDEC 71EC0616 EA
      quit
!

И ключики:


sh crypto key mypubkey rsa
% Key pair was generated at: 01:51:02 EET Nov 10 2014
Key name: TP-self-signed-3482185252
Key type: RSA KEYS
 Storage Device: private-config
 Usage: General Purpose Key
 Key is not exportable.
 Key Data:
  30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00D391A1
....
  3CDBA589 D5158757 FA50F549 A6A00025 CBD6D415 B64A1052 058A9C5F 0D020301 0001
% Key pair was generated at: 01:33:32 EET Nov 29 2014
Key name: AAA_WILDCARD
Key type: RSA KEYS
 Storage Device: private-config
 Usage: General Purpose Key
 Key is not exportable.
 Key Data:
  30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
.... 
 47020301 0001

Спасибо

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Подписаный RapidSSL сертификат как pki trustpoint для webvpn"  +/
Сообщение от _alecx_ (ok) on 05-Дек-14, 09:19 
У вас CA вроде как не CA.
Покажите show crypto pki certificates и show crypto pki  trustpoints
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Подписаный RapidSSL сертификат как pki trustpoint для webvpn"  +/
Сообщение от sirantd email(ok) on 05-Дек-14, 13:37 
> У вас CA вроде как не CA.
> Покажите show crypto pki certificates и show crypto pki  trustpoints

Я видел это в сообщении об ошибке, но почему так, не понял.


cisco#sh crypto pki certificates
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 00D18B
  Certificate Usage: General Purpose
  Issuer:
    cn=RapidSSL SHA256 CA - G3
    o=GeoTrust Inc.
    c=US
  Subject:
    cn=*.aaa.aaa.aa
    ou=Domain Control Validated - RapidSSL(R)
    ou=See www.rapidssl.com/resources/cps (c)14
    ou=GT20684972
  CRL Distribution Points:
    http://gv.symcb.com/gv.crl
  Validity Date:
    start date: 22:18:38 EET Nov 27 2014
    end   date: 16:48:06 EET Jan 29 2016
  Associated Trustpoints: AAA_WILDCARD
  Storage: nvram:RapidSSLSHA2#D18BCA.cer
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 023A77
  Certificate Usage: Signature
  Issuer:
    cn=GeoTrust Global CA
    o=GeoTrust Inc.
    c=US
  Subject:
    cn=RapidSSL SHA256 CA - G3
    o=GeoTrust Inc.
    c=US
  CRL Distribution Points:
    http://g.symcb.com/crls/gtglobal.crl
  Validity Date:
    start date: 00:39:32 EEST Aug 30 2014
    end   date: 00:39:32 EEST May 21 2022
  Associated Trustpoints: rapidssl
  Storage: nvram:GeoTrustGlob#3A77CA.cer
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 023456
  Certificate Usage: General Purpose
  Issuer:
    cn=GeoTrust Global CA
    o=GeoTrust Inc.
    c=US
  Subject:
    cn=GeoTrust Global CA
    o=GeoTrust Inc.
    c=US
  Validity Date:
    start date: 07:00:00 EEST May 21 2002
    end   date: 07:00:00 EEST May 21 2022
  Associated Trustpoints: root
  Storage: nvram:GeoTrustGlob#3456CA.cer
Router Self-Signed Certificate
  Status: Available
  Certificate Serial Number (hex): 01
  Certificate Usage: General Purpose
  Issuer:
    cn=IOS-Self-Signed-Certificate-3482185252
  Subject:
    Name: IOS-Self-Signed-Certificate-3482185252
    cn=IOS-Self-Signed-Certificate-3482185252
  Validity Date:
    start date: 01:51:02 EET Nov 10 2014
    end   date: 02:00:00 EET Jan 1 2020
  Associated Trustpoints: TP-self-signed-3482185252
  Storage: nvram:IOS-Self-Sig#1.cer

cisco#

и второе:


cisco#sh crypto pki trustpoints
Trustpoint TP-self-signed-3482185252:
    Subject Name:
    cn=IOS-Self-Signed-Certificate-3482185252
          Serial Number (hex): 01
    Persistent self-signed certificate trust point

Trustpoint root:
    Subject Name:
    cn=GeoTrust Global CA
    o=GeoTrust Inc.
    c=US
          Serial Number (hex): 023456
    Certificate configured.

Trustpoint rapidssl:
    Subject Name:
    cn=RapidSSL SHA256 CA - G3
    o=GeoTrust Inc.
    c=US
          Serial Number (hex): 023A77
    Certificate configured.

Trustpoint test_trustpoint_config_created_for_sdm:
Trustpoint AAA_WILDCARD:
    Subject Name:
    cn=*.aaa.aaa.aa
    ou=Domain Control Validated - RapidSSL(R)
    ou=See www.rapidssl.com/resources/cps (c)14
    ou=GT20684972
          Serial Number (hex): 00D18B
    Certificate configured.

cisco#

P.S. Если вдруг где-то я ошибся с количеством AAA_WILDCARD или *.aaa.aaa.aa то это ошибка при затирании информации перед передачей в сеть а не в конфиге, т.к. в конфиге используется конкретное доменное имя.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Подписаный RapidSSL сертификат как pki trustpoint для webvpn"  +1 +/
Сообщение от BJ (ok) on 08-Дек-14, 21:45 
А какими командами вы сертификаты ставили?

Трастпоинт нужно делать тольк один, а не три.

rapidssl добавляете через authenticate, а свой через import.

root вообще в конфиге циски не нужен.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Подписаный RapidSSL сертификат как pki trustpoint для webvpn"  +/
Сообщение от sirantd email(ok) on 09-Дек-14, 02:50 
> А какими командами вы сертификаты ставили?
> Трастпоинт нужно делать тольк один, а не три.
> rapidssl добавляете через authenticate, а свой через import.
> root вообще в конфиге циски не нужен.

Огромное спасибо, поставил так, как вы рекомендовали - все заработало.

До этого ставил все через authenticate.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру