...
- Приватный ключ,
- Публичный ключ,
- Запрос на сертификацию,
- Сертификат,
- Список отозванных сертификатов.
Scroll Pagebreak
Схематично основные процедуры в инфраструктуре открытых ключей можно описать следующим образом:
...
Базовый вариант настройки PKI-сервера – - корневой удостоверяющий центр, работающий на самоподписанных сертификатах, который напрямую обслуживает запросы конечных клиентов.
...
| Блок кода |
|---|
ESR.CA(config)# security zone-pair WAN self ESR.CA(config-security-zone-pair)# rule 10 ESR.CA(config-security-zone-pair-rule)# description "Allow access to PKI-server from WAN" ESR.CA(config-security-zone-pair-rule)# match protocol tcp ESR.CA(config-security-zone-pair-rule)# match destination-port port-range 80 ESR.CA(config-security-zone-pair-rule)# match destination-address address-range 10.0.103.2 ESR.CA(config-security-zone-pair-rule)# action permit ESR.CA(config-security-zone-pair-rule)# enable ESR.CA(config-security-zone-pair-rule)# exit ESR.CA(config-security-zone-pair)# exit ESR.CA(config)# |
| Scroll Pagebreak |
|---|
Применим конфигурацию на маршрутизаторе:
...
| Блок кода |
|---|
hostname ESR.R1 security zone WAN exit interface gigabitethernet 1/0/1.113 security-zone WAN ip address 10.0.113.2/30 exit ip route 0.0.0.0/0 10.0.113.1 |
| Scroll Pagebreak |
|---|
Решение:
Настроим NTP-клиент на получение точного времени от шлюза Интернет-провайдера:
...
| Блок кода |
|---|
ESR.R1# show date "2025-11-02 11:35:46" ESR.R1# show crypto pki trustpoint TP_R1 Name: TP_R1 Enrollment: SCEP Subject name: /CN=r1.company.loc/O=Company/L=Moscow/ST=Moscow/C=RU Challenge password: Active Status: Ready Renew date: 2025-11-13 18:21:11 ESR.R1# show crypto pki trustpoint TP_R1 cert | include "Serial" Serial: 10:34:38:55:CE:D1:4A:98:A5:0E:3F:9E:32:77:E7:22 ESR.R1# |
| Scroll Pagebreak |
|---|
В базе сертификатов удостоверяющего центра, в свою очередь, выписанный ранее клиентский сертификат будет отозван:
...
| Информация |
|---|
Процесс доставки запроса на сертификацию в удостоверяющий центр и непосредственно сам выпуск сертификата индивидуален для каждого удостоверяющего центра и не рассматривается в данном разделе руководства. |
| Scroll Pagebreak |
|---|
После успешного выпуска сертификата удостоверяющим центром загрузим клиентский сертификат, сертификат удостоверяющего центра и список отозванных сертификатов на маршрутизатор:
...