imho.ws
IMHO.WS  

Вернуться   IMHO.WS > Интернет, Глобальные и Локальные сети > Сети > Активное Сетевое оборудование
Опции темы
Старый 15.01.2020, 14:41     # 1
Surayu
Junior Member
 
Аватар для Surayu
 
Регистрация: 01.05.2005
Сообщения: 65

Surayu Известность не заставит себя ждать
CA-сертификат для Cisco

А вот новый вопрос! Как можно сгенерить корневой сертификат для циски? Где его подписывать? Если поднять на ней CA-сервер, это как-то поможет?
__________________
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости © Ad
Surayu вне форума  
Старый 15.01.2020, 17:13     # 2
Borland
СуперМод
IMHO Консультант 2005-2009
 
Аватар для Borland
 
Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 418

Borland - Гад и сволочь
Цитата:
Сообщение от Surayu Посмотреть сообщение
Как можно сгенерить корневой сертификат для циски?
Точно так же, как и любой другой корневой сертификат.


Цитата:
Сообщение от Surayu Посмотреть сообщение
Где его подписывать?
Корневой сертификат всегда самоподписанный (self-signed).


Цитата:
Сообщение от Surayu Посмотреть сообщение
Если поднять на ней CA-сервер, это как-то поможет?
Кому и в чём?...
Обычно из соображений безопасности CA отгораживается от сети всеми мыслимыми и немыслимыми способами, ибо компрометация {закрытого} ключа CA одновременно компрометирует всю основанную на нём инфраструктуру открытых ключей (PKI). А, к примеру, утеря или повреждение этого "главного" ключа приводит к невозможности дальнейшего функционирования CA (в плане генерации/подписания свежих сертификатов)...

К тому же, насколько я в курсе, установка CA на коммутаторах Cisco Catalyst 4003/4006/6006/3750/2960 и Cisco WAE 500 (других цисок под рукой нету ) невозможна в принципе...
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила!
Распространенье наше по планете
Особенно заметно вдалеке:
В общественном парижском туалете
Есть надписи на русском языке

В. Высоцкий

Borland вне форума  
Старый 19.01.2020, 17:44     # 3
SinClaus
Котозавр
 
Аватар для SinClaus
 
Регистрация: 15.04.2003
Адрес: Russia, Tomsk
Пол: Male
Сообщения: 1 317

SinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех Гуру
Для какой циски? Сколько работаю с их маршрутизаторами и свитчами, ни разу не возникало такой необходимости. И как правильно заметил товарищ Борланд, корневой сертификат обычно используется для подписывания дальнейших сертификатов, что предполагает работу с генератором сертификатов. А про openssl для циски что-то не слышал.
__________________
Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

Последний раз редактировалось SinClaus; 19.01.2020 в 17:49.
SinClaus вне форума  
Старый 20.01.2020, 14:40     # 4
Surayu
Junior Member
 
Аватар для Surayu
 
Регистрация: 01.05.2005
Сообщения: 65

Surayu Известность не заставит себя ждать
CA-сертификат для Cisco ASA 5516-x
Она зачем-то использует ca-сертификаты для постройки site-to-site тоннелей
__________________
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости © Ad
Surayu вне форума  
Старый 20.01.2020, 19:17     # 5
Borland
СуперМод
IMHO Консультант 2005-2009
 
Аватар для Borland
 
Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 418

Borland - Гад и сволочь
Цитата:
Сообщение от Surayu Посмотреть сообщение
Она зачем-то использует ca-сертификаты для постройки site-to-site тоннелей
Сертификат CA (он же открытый ключ центра сертификации) используется для верификации удалённого site по сертификату этого site, выданному ЦС.
Т.е. на каждом site должен присутствовать CA certificate + индивидуальная для каждого site пара {private key + certificate}.
Можете сделать собственный ЦС и нагенерировать сертификатов сайтов в нём, можете купить сертификаты сайтов у любого держателя ЦС (Много их; запустите в винде certmgr.msc и смотрите список "Доверенных корневых центров сертификации").
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила!
Распространенье наше по планете
Особенно заметно вдалеке:
В общественном парижском туалете
Есть надписи на русском языке

В. Высоцкий

Borland вне форума  
Старый 21.01.2020, 08:11     # 6
Surayu
Junior Member
 
Аватар для Surayu
 
Регистрация: 01.05.2005
Сообщения: 65

Surayu Известность не заставит себя ждать
сертификатов понаделал, а связь не появилась. Есть какой-то вариант построить vpn-тоннель без сертификатов?
__________________
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости © Ad
Surayu вне форума  
Старый 21.01.2020, 15:21     # 7
Borland
СуперМод
IMHO Консультант 2005-2009
 
Аватар для Borland
 
Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 418

Borland - Гад и сволочь
Цитата:
Сообщение от Surayu Посмотреть сообщение
сертификатов понаделал, а связь не появилась.
Недостаточно просто "понаделать сертификатов", нужно ещё правильно настроить туннель...
Цитата:
Сообщение от Surayu Посмотреть сообщение
Есть какой-то вариант построить vpn-тоннель без сертификатов?
Вообще - есть {и даже без циски }; а в частности - требуется изучение документации от конкретной циски на предмет её умений.
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила!
Распространенье наше по планете
Особенно заметно вдалеке:
В общественном парижском туалете
Есть надписи на русском языке

В. Высоцкий

Borland вне форума  


Ваши права в разделе
Вы НЕ можете создавать новые темы
Вы не можете отвечать в темах.
Вы НЕ можете прикреплять вложения
Вы НЕ можете редактировать свои сообщения

BB код Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +4, время: 03:15.




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.