История страницы

...

Настройка синхронизации сертификатов и ключей

Загрузить файлы можно отдельно на каждый юнит кластера или использовать механизм синхронизации crypto-sync.

Пример настройки crypto-sync.

Задача.

Использовать сертификаты CA.pem, CERT.pem и приватный ключ  PRIVATE_KEY.key в конфигурации криптопрофиля ESBC.

Решение. 

1. После настройки кластера описанной выше, настроить ip failover
   1. Создать две object-group в которых указать IP-адреса кластерных интерфейсов обоих юнитов:
      

      Блок кода

      ESBC-1# ESBC-1# configure ESBC-1(config)# object-group network SYNC_DST ESBC-1(config-object-group-network)# ip address-range 192.18.1.20 unit 1 ESBC-1(config-object-group-network)# ip address-range 192.18.1.10 unit 2 ESBC-1(config-object-group-network)# exit ESBC-1(config)# object-group network SYNC_SRC ESBC-1(config-object-group-network)# ip address-range 192.18.1.10 unit 1 ESBC-1(config-object-group-network)# ip address-range 192.18.1.20 unit 2 ESBC-1(config-object-group-network)# exit ESBC-1(config)#

   2. Настроить ip failover:
      

      Блок кода
      ESBC-1(config)# ip failover ESBC-1(config-failover)# local-address object-group SYNC_SRC ESBC-1(config-failover)# remote-address object-group SYNC_DST ESBC-1(config-failover)# vrrp-group 2 ESBC-1(config-failover)# exit ESBC-1(config)#

2. Включить синхронизацию файлов crypto и применить настройки:
   

   Блок кода
   ESBC-1(config)# crypto-sync ESBC-1(config-crypto-sync)# remote-delete ESBC-1(config-crypto-sync)# enable ESBC-1(config-crypto-sync)# exit ESBC-1(config)# do commit ESBC-1(config)# do confirm

3. Загрузить сертификаты и приватный ключ на мастер используя, например, tftp:
   

   Блок кода

   ESBC-1# copy tftp://192.168.1.1:/CA.pem crypto:cert/CA.pem |******************************************| 100% (1277B) Crypto file loaded successfully! ESBC-1# copy tftp://192.168.1.1:/CERT.pem crypto:cert/CERT.pem |******************************************| 100% (1277B) Crypto file loaded successfully! ESBC-1# copy tftp://192.168.1.1:/PRIVATE_KEY.key crypto:private-key/PRIVATE_KEY.key |******************************************| 100% (1277B) Crypto file loaded successfully!

4. Проверить что файлы сертификатов и приватного ключа были скопированы на второй юнит:
   

   Блок кода

   # Проверка состояния синхронизации crypto на мастер юните ESBC-1# sh crypto-sync Role: Master State: Synchronized Last synchronization: 2026-03-04 08:56:10 # Проверка наличия файлов на втором юните ESBC-2# dir crypto:cert/ Name Type Size Last modified ---------------------------------------------------------- ---------- -------- -- ------------------------- CA.pem                                               File 1.13 KB Wed Mar 4 08:37:43 2026 default_ca.pem File 1.38 KB Wed Feb 25 11:06:17 2026 default_cert.pem File 1.22 KB Wed Feb 25 11:06:17 2026 CERT.pem                                                 File 1.25 KB Wed Mar 4 08:37:25 2026 ESBC-2# dir crypto:private-key/ Name Type Size Last modified ---------------------------------------------------------- ---------- -------- -- ------------------------- default_ca_key.pem File 1.66 KB Wed Feb 25 11:06:17 2026 default_cert_key.pem File 1.66 KB Wed Feb 25 11:06:17 2026 PRIVATE_KEY.key                                              File 1.64 KB Wed Mar 4 08:38:04 2026

5. Настроить криптопрофиль с загруженными сертификатами и приватным ключем на мастер устройстве:

ESBC-1# 
ESBC-1# configure 
ESBC-1(config)# esbc 
ESBC-1(config-esbc)# crypto profile TEST
ESBC-1(config-esbc-crypto-profile)# ca CA.pem
ESBC-1(config-esbc-crypto-profile)# cert CERT.pem
ESBC-1(config-esbc-crypto-profile)# private-key PRIVATE_KEY.key
ESBC-1(config-esbc-crypto-profile)# exit
ESBC-1(config-esbc)# exit
ESBC-1(config)# do commit 
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 120 seconds.
ESBC-1(config)# do confirm 
Configuration has been confirmed. Commit timer canceled.
vesbc1(config)# 

Настройка кластера на vESBC

Пример настройки кластера vESBC в гипревизоре VirtualBox

...