Verificación de CRL en HTTP en un concentrador Cisco VPN 3000

Documentos relacionados
Configurar al cliente VPN 3.x para conseguir un certificado digital

Configurar las alertas del correo electrónico en el Cisco VPN 3000 Concentrator

Contenido. Introducción. prerrequisitos. Requisitos. Componentes Utilizados

Contenido. Introducción

Cómo cambiar la contraseña del directorio DC

Configurar el Cisco VPN 3000 Concentrator 4.7.x para conseguir un certificado digital y un certificado SSL

Kerberos con ADFS 2.0 para el usuario final SAML SSO para el ejemplo de configuración del Jabber

Configuración del Active Directory sola Muestraen para el servidor del invitado del NAC

Servidor de backup de la configuración para el administrador de las Comunicaciones unificadas de Cisco

Filtrado de URL en un ejemplo de la configuración del sistema de FireSIGHT

Contenido. Introducción. Prerrequisitos. Requisitos. Componentes Utilizados

Habilitación del Secure Shell (SSH) en un punto de acceso

Configure un servidor público con el ASDM de Cisco

ASDM 6.4: Túnel del VPN de sitio a sitio con el ejemplo de configuración IKEv2

ASA 8.x: Renueve y instale el certificado SSL con el ASDM

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Servidor DNS de Microsoft Windows 2003 para el ejemplo de configuración de la detección del regulador del Wireless LAN (WLC)

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Movimiento de almacenamientos de mensajes de intercambio y registros de transacciones a una unidad alterna

Configuración de servidor de Syslog en los reguladores del Wireless LAN (WLCs)

Transferencia de archivos ASA con el ejemplo de configuración FXP

Cómo cambiar la contraseña de NT para el intercambio y las Cuentas de servicio de Unity

Utilice el NAT para ocultar el IP Address real del ONS15454 para establecer a una sesión CTC

Adaptadores de red inalámbrica de cliente del Cisco Aironet y sistemas de Windows XP: Drivers y SALTO

Conexión LAN de los elementos básicos de red inalámbrica con el ejemplo de la Configuración de punto de acceso

Cisco recomienda que usted tiene conocimiento del CUCM y de los puntos de acceso de Cisco.

Usando VNC para instalar el Cisco CallManager en un servidor remoto

Cambie las contraseñas en el ejemplo de configuración del Cisco CallManager y del Cisco Unity

Directivas ISE basadas en los ejemplos de configuración SSID

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Configurar un solo Número marcado para rutear las llamadas a un grupo de Teléfonos IP

Utilice el Microsoft Outlook con el Cisco Unified CallManager Express

Cisco recomienda que usted tiene conocimiento del proceso de actualización para el dispositivo del Cisco Network Admission Control (NAC).

Instalación y Configuración de Cisco IP SoftPhone en PC Cliente

Equilibrio de carga remoto del cliente VPN en el ejemplo de configuración ASA 5500

Contenido. Introducción. prerrequisitos. Requisitos

Verificación de las especificaciones de nombre de usuario y de contraseña para la configuración de IP SoftPhone Client de Cisco

Conocimiento del Firewall adaptante y del ASDM del dispositivo de seguridad (ASA). Conocimiento del dispositivo de la potencia de fuego.

Copia o migración de la base de datos CDR a otro servidor

Ajuste las variables de salto CTC en el PC para mejorar el rendimiento de CTC

Problemas del Correo de voz visual del Troubleshooting

Servidores TACACS externos de la configuración y del Troubleshooting en el ISE

Configuración de una clave previamente compartida WPA2 (PSK) Configuración de la autenticación abierta

Concentrador VPN para el WebVPN usando el ejemplo de configuración del cliente VPN SSL

Administrador de las Comunicaciones unificadas: Borre y regenere un Security Certificate

Los Teléfonos IP no pueden descargar la carga del teléfono del IP del TFTP

ASA 8.X: Ejemplo de configuración de la inscripción SCEP de AnyConnect

La configuración del balanceador de la carga de NetScaler del Citrix para Cisco unificó el centro de la inteligencia (CUIC)

Administrador 5.x y 6.x de las Comunicaciones unificadas: Identificador de llamada que bloquea el ejemplo de configuración

Este documento describe cómo configurar la autenticación Web para trabajar con una configuración del proxy.

Administrador de dominio de las Comunicaciones unificadas de Cisco (CUCDM) Comunicaciones unificadas Managers(CUCM) de Cisco

El dominio de red inalámbrica mantiene el AP como ejemplo de la configuración de servidor AAA

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Cómo instalar, configurar y resolver problemas? App del cámara de video del SORBO? s

Administrador de la red del centro de datos (DCNM) con el respaldo de la configuración del switch SFTP

Problema Cisco ISE utiliza el protocolo SCEP para soportar el registro del dispositivo personal (BYOD

Contenido. Introducción. Prerrequisitos. Requisitos. Componentes Utilizados

Cisco recomienda que usted tiene un conocimiento sobre el funcionamiento de estos temas:

Conocimiento del Firewall ASA (dispositivo de seguridad adaptante), ASDM (Administrador de dispositivos de seguridad adaptante)

Multimedios de Windows instalación del servidor y configuración del Web MeetingPlace en el servidor de Windows 2003

Sincronización de la configuración de la base de datos del registrador ICM

Uso de números de puerto FTP no estándares con NAT

Contenido. Introducción. Prerrequisitos. Requisitos

Localización de averías de la vecindad de red de Microsoft después de establecer un túnel VPN con el Cliente Cisco VPN

CRS 4.x: Ejemplo de configuración automático del tiempo del trabajo y de la conclusión

Adición de Prefijo a Número de Llamada Perdida

DNS Doctoring en el ejemplo de configuración ASA

Configurar al servidor DHCP del Windows 2000 para el Cisco CallManager

Ejemplo de configuración de la conexión de Ethernet del uplink UCS

Administrador 6.x de las Comunicaciones unificadas: Ejemplo de la configuración de ruteo de la hora

El IPS MC de información de versión Sensor es anticuado

Instalación y Actualizaciones de Aplicación de Escritorio para Cisco Agent Desktop Versión 6

Cisco recomienda que usted tiene conocimiento de Cisco unificó al administrador de la comunicación (CUCM).

Configurar un solo Número marcado para rutear las llamadas a un grupo de Teléfonos IP

Contenido. Introducción. Prerrequisitos. Requisitos

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Implementación de la mejora de las características ASA SNMP

Configurar los troncos entre clústers con tres o más Ciscos CallManageres

Este documento describe los diversos mecanismos para la recuperación de contraseña para el motor del servicio de la identidad (ISE)

Adaptadores de red inalámbrica de cliente del Cisco Aironet y sistemas de Windows XP: Drivers y SALTO

Opción 55 de la lista del pedido del parámetro del DHCP usada para perfilar el ejemplo de configuración de los puntos finales

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Troubleshooting de DNS básico para los servidores del Cisco Unity

Configuración del concentrador Cisco VPN 3000 en un router Cisco

Creación de URL de Inactividad con Imágenes en Cisco IP Phone

Este documento también proporciona una solución para este mensaje de error en un entorno de edición expreso de Cisco IP Contact Center (IPCC).

Proxy de la autenticación Web en un ejemplo de la configuración de controlador del Wireless LAN

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Ejemplo de Configuración de la Recuperación del Correo de Voz de Unity

Configuración del concentrador Cisco VPN 3000 en un router Cisco

Proxy de CMS WebRTC de la configuración sobre la autopista

Cisco ONS Microsoft Windows XP CTC Entorno de tiempo de ejecución de las Javas 2, edición estándar (J2SE JRE)

La información en este documento se basa en la versión 5.0 y posterior del Cisco ICM.

Control del servidor SQL o de la versión MSDE y del nivel de paquete de servicio

Problemas del monitor de la salud y de la utilización de los CiscoWorks del Troubleshooting en la prima LMS de Cisco

Contenido. Introducción. Prerrequisitos. Productos Relacionados. ID del Documento: Actualizado: De marcha el 10 de 2015

Ejemplo de configuración del hotspot de la versión 1.3 ISE

El NAC de Cisco controla el acceso a la red cuando el usuario primero conecta e intenta abrir una sesión a la máquina de Windows.

Cisco recomienda que usted tiene experiencia con la configuración ISE y el conocimiento básico de estos temas:

Transcripción:

Verificación de CRL en HTTP en un concentrador Cisco VPN 3000 Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Convenciones Diagrama de la red Configurar el concentrador VPN 3000 Instrucciones Paso a Paso Control Verificación Registros del concentrador Registros de concentradores exitosos Registros fallados Troubleshooting Información Relacionada Introducción Este documento describe cómo habilitar el Listas de revocación de certificados (CRL) que marca para saber si hay Certificados del Certification Authority (CA) instalados en el Cisco VPN 3000 Concentrator usando el modo HTTP. Se espera que un certificado normalmente sea válido para su período de validez entero. Sin embargo, si un certificado vence no válido debido a las cosas tales como un cambio de nombre, cambio de la asociación entre el tema y CA, y compromiso de la Seguridad, CA revoca el certificado. Bajo el X.509, los CA revocan los Certificados periódicamente publicando un CRL firmado, donde cada certificado revocado es identificado por su número de serie. Habilitar la verificación de CRL significa que cada vez que el concentrador VPN utiliza el certificado para la autenticación, también marca el CRL para asegurarse de que el certificado que era verificado no se ha revocado. Bases de datos del Lightweight Directory Access Protocol (LDAP) /HTTP del uso CA para salvar y para distribuir los CRL. Puede ser que también utilicen los otros medios, pero el concentrador VPN confía en el acceso LDAP/HTTP. La verificación de CRL HTTP se introduce en la versión 3.6 o posterior del concentrador VPN. Sin embargo, la verificación de CRL LDAP-basada fue introducida en las versiones anteriores 3.x. Este documento discute solamente la verificación de CRL usando el HTTP.

Nota: El tamaño de la memoria caché CRL del VPN 3000 series concentrators depende de la plataforma y no puede ser configurado según el deseo del administrador. prerrequisitos Requisitos Asegúrese de cumplir estos requisitos antes de intentar esta configuración: Usted ha establecido con éxito el túnel IPsec de los hardwares cliente VPN 3.x que usaban los Certificados para la autenticación del Internet Key Exchange (IKE) (sin la verificación de CRL habilitada). Su concentrador VPN tiene Conectividad al servidor de CA siempre. Si su servidor de CA está conectado hacia fuera con la interfaz pública, después usted ha abierto las reglas necesarias en el filtro (predeterminado) público. Componentes Utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware. C concentrador VPN 3000 de la versión 4.0.1 Hardware cliente VPN 3.x Microsoft CA server para la generación y la verificación de CRL del certificado que se ejecutan en a Windows 2000 Server. La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Convenciones Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos. Diagrama de la red En este documento, se utiliza esta configuración de red: Configurar el concentrador VPN 3000 Instrucciones Paso a Paso Complete estos pasos para configurar el concentrador VPN 3000: 1. Seleccione el Administration (Administración) > Certificate Management (Administración de certificados) para pedir un certificado si usted no tiene un certificado.seleccione hacen clic

aquí para instalar un certificado para instalar el certificado raíz en el concentrador VPN. 2. Selecto instale el certificado de CA. 3. Seleccione SCEP (protocolo simple certificate enrollment) para extraer los Certificados de CA. 4. De la ventana SCEP, ingrese el URL completo del servidor CA en el cuadro de diálogo URL.En este ejemplo, la dirección IP del servidor de CA es 172.18.124.96. Puesto que este ejemplo utiliza el servidor de CA de Microsoft, el URL completo es http://172.18.124.96/certsrv/mscep/mscep.dll. Después, ingrese a un descriptor de una palabra en el cuadro de diálogo del descriptor CA. Este ejemplo utiliza CA. 5. El tecleo extrae.su certificado de CA debe aparecer bajo la ventana del Administration (Administración) > Certificate Management (Administración de certificados). Si usted no ve un certificado, vuelva al paso 1 y siga el procedimiento otra vez. 6. Una vez que usted tiene el certificado de CA, el Administration (Administración) > Certificate Management (Administración de certificados) > Enroll (Registrar) selecto, y el certificado de identidad del tecleo. 7. El tecleo alista vía el SCEP en para solicitar el certificado de identidad. 8. Complete estos pasos para rellenar el impreso de la inscripción:ingrese el Common Name para que el concentrador VPN sea utilizado en el Public Key Infrastructure (PKI) en el campo del Common Name (CN).Ingrese su departamento en el campo de la unidad organizativa (OU). El OU debe hacer juego el nombre del grupo IPSec configurado.ingrese su organización o compañía en el campo de la organización (o).ingrese su ciudad o pueblo en el campo del lugar (l).ingrese su estado o provincia en el campo del estado/de la provincia (SP).Ingrese su país en el campo del país (c).ingrese el Nombre de dominio totalmente calificado (FQDN) (FQDN) para que el concentrador VPN sea utilizado en el PKI en el campo del Nombre de dominio totalmente calificado (FQDN) (FQDN).Ingrese la dirección email para que el concentrador VPN sea utilizado en el PKI en el campo alternativo sujeto del nombre (dirección email).ingrese la contraseña de impugnación para el pedido de certificado en el campo de contraseña de impugnación.entre la contraseña de impugnación de nuevo en el campo de contraseña de impugnación del verificar.seleccione el tamaño de clave para el par clave generado RSA de la lista desplegable del tamaño de clave. 9. Selecto aliste y vea el estado SCEP en el estado de consulta. 10. Vaya a su servidor de CA a aprobar el certificado de identidad. Una vez que se aprueba en el servidor de CA, su estado SCEP debe ser instalado. 11. Bajo administración de certificados, usted debe ver su certificado de identidad.si usted no hace, marcar abre una sesión su servidor de CA para más troubleshooting. 12. Seleccione la opinión sobre su certificado recibido para ver si su certificado tiene un CRL Distribution Point (CDP).El CDP enumera todas las puntas de la distribución CRL del emisor de este certificado. Si usted tiene CDP en su certificado, y usted utiliza un nombre DNS para enviar una interrogación al servidor de CA, aseegurese que usted tiene los servidores DNS definidos en su concentrador VPN para resolver el nombre de host con una dirección IP. En este caso, el nombre del host del ejemplo del servidor de CA es la jazib-pc que resuelve a una dirección IP de 172.18.124.96 en el servidor DNS. 13. Haga clic la configuración en su certificado de CA para habilitar la verificación de CRL en los Certificados recibidos.si usted tiene CDP en su certificado recibido y usted quisiera utilizarlo, después seleccione las puntas de la distribución CRL del uso del certificado que es marcado.puesto que el sistema tiene que extraer y examinar el CRL de un punto de distribución de la red, habilitar la verificación de CRL pudo reducir los tiempos de respuesta del sistema. También, si la red es lenta o congestionada, la verificación de CRL pudo fallar.

Control Permiso CRL que oculta para atenuar estos problemas potenciales. Esto salva los CRL extraídos en memoria volátil local y por lo tanto permite que el concentrador VPN verifique el estado de anulación de Certificados más rápidamente.con el almacenamiento en memoria inmediata CRL habilitado, las en primer lugar controles del concentrador VPN si el CRL requerido existe en el caché y marca el número de serie del certificado contra la lista de números de serie en el CRL cuando necesita marcar el estado de anulación de un certificado. El certificado se considera revocado si se encuentra su número de serie. El concentrador VPN extrae un CRL de un servidor externo cualquiera cuando no encuentra el CRL requerido en el caché, cuando ha expirado el período de validez del CRL ocultado, o cuando ha transcurrido el tiempo de actualización configurado. Cuando el concentrador VPN recibe un nuevo CRL de un servidor externo, pone al día el caché con el nuevo CRL. El caché puede contener hasta 64 CRL.Nota: El caché CRL existe en la memoria. Por lo tanto, el reiniciar el Concentrador VPN borra el caché CRL. El concentrador VPN repuebla el caché del CRL con CRLs actualizado como él procesa los pedidos de autenticación del peer nuevos.si usted selecciona las puntas estáticas de la distribución CRL del uso, después usted puede utilizar hasta cinco puntas estáticas de la distribución CRL, según lo especificado en esta ventana. Si usted elige esta opción, usted debe ingresar por lo menos un URL.Usted puede también seleccionar las puntas de la distribución CRL del uso del certificado que es marcado, o seleccionar las puntas estáticas de la distribución CRL del uso. Si el concentrador VPN no puede encontrar cinco puntas de la distribución CRL en el certificado, equivale las puntas estáticas de la distribución CRL, hasta un límite de cinco. Si usted elige esta opción, habilite por lo menos un protocolo del CRL Distribution Point. Usted también debe ingresar por lo menos las puntas estáticas de una (y no más que cinco) distribución CRL.No seleccione ninguna verificación de CRL si usted quiere inhabilitar la verificación de CRL.Bajo el CRL que oculta, seleccione el cuadro habilitado para permitir que el concentrador VPN oculte los CRL extraídos. El valor por defecto no es habilitar el almacenamiento en memoria inmediata CRL. Cuando usted inhabilita el CRL que oculta (unselect el cuadro), se borra el caché CRL.Si usted configuró una política de recuperación de CRL que utiliza las puntas de la distribución CRL del certificado que es marcado, elija un protocolo del punto de distribución para utilizar para extraer el CRL. Elija el HTTP en este caso para extraer el CRL. Asigne las reglas HTTP al filtro de la interfaz pública si su servidor de CA está hacia la interfaz pública. Seleccione el Administration (Administración) > Certificate Management (Administración de certificados) y haga clic en la visión todos los cachés del CRL para ver si su concentrador VPN ha ocultado cualquier CRLs del servidor CA. Verificación En esta sección encontrará información que puede utilizar para comprobar que su configuración funcione correctamente. Registros del concentrador Permita a estos eventos en el concentrador VPN para aseegurarse que la verificación de CRL

trabaja. 1. Seleccione el Configuration (Configuración) > System (Sistema) > Events (Eventos) > Classes (Clases) para fijar los niveles de registro. 2. Bajo nombre de la clase seleccione el IKE, el IKEDBG, el IPSEC, el IPSECDBG, o el CERT. 3. Haga clic agregan o modifican, y eligen la gravedad para registrar la opción 1-13. 4. El tecleo se aplica si usted quiere modificarse, o agrega si usted quiere agregar una nueva entrada. Registros de concentradores exitosos Si su verificación de CRL es acertada, estos mensajes se consideran en los registros de eventos filtrables. 1315 08/15/2002 13:11:23.520 SEV=7 CERT/117 RPT=1 The requested CRL was found in cache. The CRL Distribution point is: http://jazib-pc/certenroll/jazib-ca-ra.crl 1317 08/15/2002 13:11:23.520 SEV=8 CERT/46 RPT=1 CERT_CheckCrl(62f56e8, 0, 0) 1318 08/15/2002 13:11:23.520 SEV=7 CERT/2 RPT=1 Certificate has not been revoked: session = 2 1319 08/15/2002 13:11:23.530 SEV=8 CERT/50 RPT=1 CERT_Callback(62f56e8, 0, 0) 1320 08/15/2002 13:11:23.530 SEV=5 IKE/79 RPT=2 64.102.60.53 Group [ipsecgroup] Validation of certificate successful (CN=client_cert, SN=61521511000000000086) Refiera a los registros acertados del concentrador para el resultado completo de un registro acertado del concentrador. Registros fallados Si su verificación de CRL en no acertado, estos mensajes se considera en los registros de eventos filtrables. 1332 08/15/2002 18:00:36.730 SEV=7 CERT/6 RPT=2 Failed to retrieve revocation list: session = 5 1333 08/15/2002 18:00:36.730 SEV=7 CERT/114 RPT=2 CRL retrieval over HTTP has failed. Please make sure that proper filter rules have been configured. 1335 08/15/2002 18:00:36.730 SEV=7 CERT/8 RPT=2 Error processing revocation list: session = 5, reason = Failed to retrieve CRL from the server. Refiera a los Registros concentradores caducados para el resultado completo de un registro fallado del concentrador. Refiera a los registros acertados del cliente para el resultado completo de un registro acertado del cliente. Refiera a los registros de cliente caducado para el resultado completo de un registro fallado del cliente. Troubleshooting Refiera a los Problemas de conexión del troubleshooting en el concentrador VPN 3000 para más información de Troubleshooting.

Información Relacionada Página de soporte del Concentradores Cisco VPN de la serie 3000 Página de soporte del VPN 3000 Client de Cisco Negociación IPSec/Protocolos IKE Soporte Técnico y Documentación - Cisco Systems

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback