Krotkie pytanie o CA

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
ODPOWIEDZ
Wiadomość
Autor
barlug
member
member
Posty: 30
Rejestracja: 20 lis 2009, 22:38

Krotkie pytanie o CA

#1

#1 Post autor: barlug »

Czesc,
mam proste pytanie:), w tym przypadku moge uzyc opcji selfsigned:

crypto pki trustpoint MYCA
enrollment selfsigned

gdy probuje uzyc

crypto ca trustpoint MYCA
enrollment - nie ma opcji self


czy moglby mnie ktos naprowadzic gdzie jest roznica? Rozumiem ze zalezy to od wersji IOS. Tylko w przypadku 2 w jaki sposob wskazac , ze certyfikat ma byc podpisany przez router.
Na górę
Finarfin
member
member
Posty: 47
Rejestracja: 18 wrz 2007, 20:21

#2

#2 Post autor: Finarfin »

Nie jestem w tej dziedzinie specjalistą, ale chyba certyfikatu CA nie można podpisać przez siebie...
Na górę
barlug
member
member
Posty: 30
Rejestracja: 20 lis 2009, 22:38

#3

#3 Post autor: barlug »

Wydaje mi sie to dziwne, skoro poprzez crypto pki mozna to zrobic to dlaczego nei poprzez crypto ca. Zastanawialem sie nad opcja "enrollment url http://" i wskazaniem ma wlasne ip, moze tak?
Na górę
dorvin
CCIE
CCIE
Posty: 1688
Rejestracja: 21 sty 2008, 13:21
Lokalizacja: Wrocław
Kontakt:
Skontaktuj się z dorvin

#4

#4 Post autor: dorvin »

Powinno działać w obu wersjach. Spróbuj wpisać "enroll selfsigned" mimo, że nie pojawia Ci się w znaku zapytania. Jak nie zadziała, to wymień soft lub po prostu korzystaj z crypto pki
Na górę
dorvin
CCIE
CCIE
Posty: 1688
Rejestracja: 21 sty 2008, 13:21
Lokalizacja: Wrocław
Kontakt:
Skontaktuj się z dorvin

#5

#5 Post autor: dorvin »

barlug pisze:Wydaje mi sie to dziwne, skoro poprzez crypto pki mozna to zrobic to dlaczego nei poprzez crypto ca. Zastanawialem sie nad opcja "enrollment url http://" i wskazaniem ma wlasne ip, moze tak?
Tak też można, ale najpierw musiałbyś skonfigurować CA na routerze (i to nie jest to samo co crypto ca trustpoint).
Na górę
barlug
member
member
Posty: 30
Rejestracja: 20 lis 2009, 22:38

#6

#6 Post autor: barlug »

OK, problem jest taki ze nie mam opcji crypto pki, dziala jedynie crypto ca i nie ma skladni enrollment selfsigned :(
Na górę
Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#7

#7 Post autor: Seba »

To moze podasz na czym to odpalasz hardware/software; wrozenie w IT slabo sie sprawdza ;)
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
Na górę
Awatar użytkownika
enceladus
inner circle
inner circle
Posty: 506
Rejestracja: 27 paź 2003, 14:32
Lokalizacja: Poznan

#8

#8 Post autor: enceladus »

Coś tam można zawsze powróżyć :)

http://www.cisco.com/en/US/docs/ios/sec ... #wp1053326
12.2(8)T - The crypto ca trustpoint command was added.
12.3(7)T - This (crypto pki trustpoint) command replaced the crypto ca trustpoint command. You can still enter the crypto ca trusted-root or crypto ca trustpoint command, but the command will be written in the configuration as "crypto pki trustpoint."
12.3(14)T - The enrollment selfsigned subcommand was introduced.

Jeśli nie możesz użyć crypto pki a masz crypto ca to znaczy że masz pewnie soft >=12.2(8)T i <12.3(7)T - jest tak? Pewnie robisz to na 2ch różnych softach?
<: Enceladus :>
Na górę
barlug
member
member
Posty: 30
Rejestracja: 20 lis 2009, 22:38

#9

#9 Post autor: barlug »

przepraszam ze tak dlugo nie pislalem.
Sprzet 2600, v 12.3(12), image advsecurityk9-mz.123.12.

Wg tego co piszesz, selfsigned zostal wprowadzony z ponizjeszej wersji.
Na górę
ODPOWIEDZ

Wróć do „Security”