IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Активное Сетевое оборудование (http://www.imho.ws/forumdisplay.php?f=123)
-   -   CA-сертификат для Cisco (http://www.imho.ws/showthread.php?t=148616)

Surayu 15.01.2020 14:41

CA-сертификат для Cisco
 
А вот новый вопрос! Как можно сгенерить корневой сертификат для циски? Где его подписывать? Если поднять на ней CA-сервер, это как-то поможет?

Borland 15.01.2020 17:13

Цитата:

Сообщение от Surayu (Сообщение 1803053)
Как можно сгенерить корневой сертификат для циски?

Точно так же, как и любой другой корневой сертификат.


Цитата:

Сообщение от Surayu (Сообщение 1803053)
Где его подписывать?

Корневой сертификат всегда самоподписанный (self-signed).


Цитата:

Сообщение от Surayu (Сообщение 1803053)
Если поднять на ней CA-сервер, это как-то поможет?

Кому и в чём?... :confused:
Обычно из соображений безопасности CA отгораживается от сети всеми мыслимыми и немыслимыми способами, ибо компрометация {закрытого} ключа CA одновременно компрометирует всю основанную на нём инфраструктуру открытых ключей (PKI). А, к примеру, утеря или повреждение этого "главного" ключа приводит к невозможности дальнейшего функционирования CA (в плане генерации/подписания свежих сертификатов)...

К тому же, насколько я в курсе, установка CA на коммутаторах Cisco Catalyst 4003/4006/6006/3750/2960 и Cisco WAE 500 (других цисок под рукой нету :gigi: ) невозможна в принципе...

SinClaus 19.01.2020 17:44

Для какой циски? Сколько работаю с их маршрутизаторами и свитчами, ни разу не возникало такой необходимости. И как правильно заметил товарищ Борланд, корневой сертификат обычно используется для подписывания дальнейших сертификатов, что предполагает работу с генератором сертификатов. А про openssl для циски что-то не слышал.

Surayu 20.01.2020 14:40

CA-сертификат для Cisco ASA 5516-x
Она зачем-то использует ca-сертификаты для постройки site-to-site тоннелей

Borland 20.01.2020 19:17

Цитата:

Сообщение от Surayu (Сообщение 1803139)
Она зачем-то использует ca-сертификаты для постройки site-to-site тоннелей

Сертификат CA (он же открытый ключ центра сертификации) используется для верификации удалённого site по сертификату этого site, выданному ЦС.
Т.е. на каждом site должен присутствовать CA certificate + индивидуальная для каждого site пара {private key + certificate}.
Можете сделать собственный ЦС и нагенерировать сертификатов сайтов в нём, можете купить сертификаты сайтов у любого держателя ЦС (Много их; запустите в винде certmgr.msc и смотрите список "Доверенных корневых центров сертификации").

Surayu 21.01.2020 08:11

сертификатов понаделал, а связь не появилась. Есть какой-то вариант построить vpn-тоннель без сертификатов?

Borland 21.01.2020 15:21

Цитата:

Сообщение от Surayu (Сообщение 1803152)
сертификатов понаделал, а связь не появилась.

Недостаточно просто "понаделать сертификатов", нужно ещё правильно настроить туннель... :cool:
Цитата:

Сообщение от Surayu (Сообщение 1803152)
Есть какой-то вариант построить vpn-тоннель без сертификатов?

Вообще - есть {и даже без циски :gigi:}; а в частности - требуется изучение документации от конкретной циски на предмет её умений.


Часовой пояс GMT +4, время: 03:14.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.