Сравнение версий

Старая версия 6

changes.mady.by.user Шарипова Людмила Дамировна

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Шарипова Людмила Дамировна

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  • Приватный ключ,
  • Публичный ключ,
  • Запрос на сертификацию,
  • Сертификат,
  • Список отозванных сертификатов.
    Scroll Pagebreak

Схематично основные процедуры в инфраструктуре открытых ключей можно описать следующим образом:

...

Базовый вариант настройки PKI-сервера – - корневой удостоверяющий центр, работающий на самоподписанных сертификатах, который напрямую обслуживает запросы конечных клиентов.

...

Блок кода
ESR.CA(config)# security zone-pair WAN self 
ESR.CA(config-security-zone-pair)# rule 10
ESR.CA(config-security-zone-pair-rule)# description "Allow access to PKI-server from WAN"
ESR.CA(config-security-zone-pair-rule)# match protocol tcp
ESR.CA(config-security-zone-pair-rule)# match destination-port port-range 80
ESR.CA(config-security-zone-pair-rule)# match destination-address address-range 10.0.103.2
ESR.CA(config-security-zone-pair-rule)# action permit 
ESR.CA(config-security-zone-pair-rule)# enable 
ESR.CA(config-security-zone-pair-rule)# exit
ESR.CA(config-security-zone-pair)# exit
ESR.CA(config)#

Scroll Pagebreak

Применим конфигурацию на маршрутизаторе:

...

Блок кода
hostname ESR.R1

security zone WAN
exit

interface gigabitethernet 1/0/1.113
  security-zone WAN
  ip address 10.0.113.2/30
exit

ip route 0.0.0.0/0 10.0.113.1

Scroll Pagebreak

Решение:

Настроим NTP-клиент на получение точного времени от шлюза Интернет-провайдера:

...

Блок кода
ESR.R1# show date
"2025-11-02 11:35:46"
ESR.R1# show crypto pki trustpoint TP_R1
Name:               TP_R1
Enrollment:         SCEP
Subject name:       /CN=r1.company.loc/O=Company/L=Moscow/ST=Moscow/C=RU
Challenge password: Active
Status:             Ready
Renew date:         2025-11-13 18:21:11
ESR.R1# show crypto pki trustpoint TP_R1 cert | include "Serial"
Serial:                                           10:34:38:55:CE:D1:4A:98:A5:0E:3F:9E:32:77:E7:22
ESR.R1#

Scroll Pagebreak

В базе сертификатов удостоверяющего центра, в свою очередь, выписанный ранее клиентский сертификат будет отозван:

...

Информация

Процесс доставки запроса на сертификацию в удостоверяющий центр и непосредственно сам выпуск сертификата индивидуален для каждого удостоверяющего центра и не рассматривается в данном разделе руководства.

Scroll Pagebreak

После успешного выпуска сертификата удостоверяющим центром загрузим клиентский сертификат, сертификат удостоверяющего центра и список отозванных сертификатов на маршрутизатор:

...