Política de IKE para certificados digitales en un PIC de ES
Configuración de una directiva IKE para certificados digitales para una PIC de ES
Una política de IKE para certificados digitalesdefine una combinación de parámetros de seguridad (propuestas de IKE) que se utilizarán durante la negociación de IKE. Define una dirección de pares y las propuestas necesarias para esa conexión. Durante la negociación de IKE, IKE busca una política de IKE que sea la misma en ambos pares. El par que inicia la negociación envía todas sus directivas al par remoto y el par remoto intenta encontrar una coincidencia.
Para configurar una política de IKE para certificados digitales para una PIC de ES, incluya las siguientes instrucciones en el nivel de [edit security ike policy ike-peer-address] jerarquía:
[edit security ike] policy ike-peer-address{ encoding (binary | pem); identity identity-name; local-certificate certificate-filename; local-key-pair private-public-key-file; }
Las tareas para configurar una política de IKE para certificados digitales son:
- Configuración del tipo de codificación que admite la CA
- Configuración de la identidad para definir el nombre del certificado remoto
- Especificación del nombre de archivo del certificado
- Especificación del archivo de clave privada y pública
Configuración del tipo de codificación que admite la CA
De forma predeterminada, la codificación se establece en binario. La codificación especifica el formato de archivo utilizado para las local-certificate instrucciones y local-key-pair . De forma predeterminada, el formato binario (reglas de codificación distinguidas) está habilitado. PEM es un formato codificado ASCII base 64. Consulte con su CA para determinar qué formatos de archivo admite.
Para configurar el formato de archivo compatible con la CA, incluya la encoding instrucción y especifique un formato binario o PEM en el nivel jerárquico [edit security ike policy ike-peer-address] :
[edit security ike policy ike-peer-address ] encoding (binary | pem);
Configuración de la identidad para definir el nombre del certificado remoto
Para definir el nombre del certificado remoto, incluya la identity instrucción en el nivel de [edit security ike policy ike-peer-address] jerarquía:
[edit security ike policy ike-peer-address] identity identity-name;
identity-name define la identidad del nombre del certificado remoto si la identidad no se puede aprender a través de IKE (carga de ID o dirección IP).
Especificación del nombre de archivo del certificado
Para configurar el nombre de archivo del certificado desde el que leer el certificado local, incluya la local-certificate instrucción en el nivel de [edit security ike policy ike-peer-address] jerarquía:
[edit security ike policy ike-peer-address] local-certificate certificate-filename;
certificate-filename Especifica el archivo desde el que se va a leer el certificado local.
Especificación del archivo de clave privada y pública
Para especificar el nombre de archivo desde el que leer la clave pública y privada, incluya la local key-pair instrucción en el nivel de [edit security ike policy ike-peer-address] jerarquía:
[edit security ike policy ike-peer-address ] local-key-pair private-public-key-file;
private-public-key-file Especifica el archivo desde el que se va a leer la clave de par.
Ver también
Obtención de un certificado firmado de la CA para una PIC de ES
Para obtener un certificado firmado de la CA, emita el siguiente comando:
user@host> request security certificate enroll filename filename subject c=us,o=x alternative-subject certificate-ip-address certification-authority certificate-authority key-file key-file-name domain-name domain-name
Los resultados se guardan en un archivo especificado en el directorio /var/etcetera/ikecert .
En el ejemplo siguiente se muestra cómo obtener un certificado firmado por CA haciendo referencia a la instrucción local configuradacertification-authority. El request security certificate enroll filename filename subject subject alternative-subject alternative-subject certification-authority certification-authority comando hace referencia a esta instrucción.
[edit]
security {
certificates {
certification-authority local {
ca-name xyz.company.com;
file l;
enrollment-url "http://www.xyzcompany.com";
}
}
}
Para obtener un certificado firmado de la CA, emita el siguiente comando:
user@host> request security certificate enroll filename I subject c=uk,o=london alternative-subject 10.50.1.4 certification-authority verisign key-file host-1.prv domain-name host.xyzcompany.com CA name: xyz.company.com CA file: ca_verisign local pub/private key pair: host.prv subject: c=uk,o=london domain name: host.example.com alternative subject: 10.50.1.4 Encoding: binary Certificate enrollment has started. To see the certificate enrollment status, check the key management process (kmd) log file at /var/log/kmd. <--------------
Para obtener información acerca de cómo usar los comandos del modo operativo para obtener un certificado firmado, consulte el Explorador de CLI.
Otra forma de obtener un certificado firmado de la CA es hacer referencia a las instrucciones configuradas, como la dirección URL, el nombre de CA y el archivo de certificado de CA, mediante la certification-authority instrucción:
user@host> request security certificate enroll filename m subject c=us ,o=x alternative-subject 192.0.2.1 certification-authority local key-file y domain-name abc.company.com
Ver también
Asociación de la asociación de seguridad configurada con una interfaz lógica
La configuración de la PIC de ES asocia la SA configurada con una interfaz lógica. Esta configuración define el túnel en sí (subunidad lógica, direcciones de túnel, unidad máxima de transmisión [MTU], direcciones de interfaz opcionales y el nombre de la SA que se aplicará al tráfico).
Las direcciones configuradas como origen y destino del túnel son las direcciones que se encuentran en el encabezado IP exterior del túnel.
La dirección de origen del túnel debe configurarse localmente en el enrutador y la dirección de destino del túnel debe ser una dirección válida para la puerta de enlace de seguridad que termina el túnel.
Los enrutadores M5, M10, M20 y M40 admiten la PIC ES.
La SA debe ser una SA en modo de túnel válida. La dirección de interfaz y la dirección de destino enumeradas son opcionales. La dirección de destino permite al usuario configurar una ruta estática para cifrar el tráfico. Si una ruta estática utiliza esa dirección de destino como próximo salto, el tráfico se reenvía a través de la parte del túnel en la que se produce el cifrado.
En el ejemplo siguiente se muestra cómo configurar un túnel IPsec como interfaz lógica en la PIC ES. La interfaz lógica especifica el túnel por el que viaja el tráfico cifrado. La instrucción ipsec-sa asocia el perfil de seguridad a la interfaz.
[edit interfaces]
es-0/0/0 {
unit 0 {
tunnel {
source tunnel 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
ipsec-sa ipsec-sa; # name of security association to apply to packet
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}