CCIE.pl

site 4 CCIE wannabies
Dzisiaj jest 16 sty 2018, 22:27

Strefa czasowa UTC+01:00




Nowy temat  Odpowiedz w temacie  [ Posty: 9 ] 
Autor Wiadomość
Post #1 : 28 wrz 2017, 14:04 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 02 lip 2007, 09:16
Posty: 168
Hej
Mam dziwny problem z wgraniem nowych certów z DigiCert do IOSa (Version 15.0(1r)M13)
Certy otrzymałem, niby wszystko jest ok ale DigiCert ma oprócz głównego również certy intermidiate.
Otrzymałem od nich wszystko - Root, CA i własny certyfikat i tu pojawia sie problem.
Wgrywam Roota
Kod:
crypto pki trustpoint DIG_2017_TP_ROOT
 enrollment terminal
 chain-validation stop
 revocation-check none
Jest OK,
Wgrywam CA
Kod:
crypto pki trustpoint DIG_2017_TP_INT
 enrollment terminal
 chain-validation continue DIG_2017_TP_ROOT
 revocation-check none
I dostaje
Kod:
Trustpoint 'DIG_2017_TP_INT' is a subordinate CA.
Authentication failed - could not validate certificate
% Error in saving certificate: status = FAIL
Czy ktoś miał podobny problem?
Konczą mi się po woli pomysły co dalej


Na górę
Post #2 : 28 wrz 2017, 14:15 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 16 lis 2004, 13:55
Posty: 1803
Lokalizacja: Edinburgh
Kod:
debug crypto pki
?

mozliwe ze przez to
Kod:
revocation-check none

_________________
Jeden konfig wart więcej niż tysiąc słów


Na górę
Post #3 : 28 wrz 2017, 14:36 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 02 lip 2007, 09:16
Posty: 168
Hej
Cytuj:
Kod:
debug crypto pki
?
Następujące debugi daja mi
Kod:
000822: Sep 28 13:29:05.441 BST: CRYPTO_PKI: (A001B) Check for identical certs
000823: Sep 28 13:29:05.441 BST: CRYPTO_PKI : (A001B) Validating non-trusted cert
000824: Sep 28 13:29:05.441 BST: CRYPTO_PKI: (A001B) Create a list of suitable trustpoints
000825: Sep 28 13:29:05.441 BST: CRYPTO_PKI: (A001B) Suitable trustpoints are:[usuniete],DigiCert_2017.trustpoint,DIG_2017_TP_ROOT,
000826: Sep 28 13:29:05.441 BST: CRYPTO_PKI: (A001B) Attempting to validate certificate using SSL-SAN-Dentons-rrr1 policy
000827: Sep 28 13:29:05.441 BST: CRYPTO_PKI: (A001B) Certificate is verified
000828: Sep 28 13:29:05.441 BST: CRYPTO_PKI: (A001B) Checking certificate revocation
000829: Sep 28 13:29:05.441 BST: CRYPTO_PKI: Matching CRL not found
000830: Sep 28 13:29:05.441 BST: CRYPTO_PKI: HTTP data 

PKI:
  Crypto PKI Msg debugging is on
  Crypto PKI Certificate Server debugging is on
  Crypto PKI Validation Path debugging is on
  
  
Cytuj:
mozliwe ze przez to
Kod:
revocation-check none
Usunięcie niestety nie pomaga...


Na górę
Post #4 : 28 wrz 2017, 14:38 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 16 lis 2004, 13:55
Posty: 1803
Lokalizacja: Edinburgh
Mysle ze nie chodzi o usuniecie a dodanie CRL.

_________________
Jeden konfig wart więcej niż tysiąc słów


Na górę
Post #5 : 28 wrz 2017, 15:12 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 02 lip 2007, 09:16
Posty: 168
Cytuj:
Mysle ze nie chodzi o usuniecie a dodanie CRL.
Wybacz pytanie - ale jak ? :)
Dodanie
Kod:
revocation-check crl
za duzo nie pomaga :)


Na górę
Post #6 : 28 wrz 2017, 23:41 
Offline
CCIE
CCIE
Awatar użytkownika

Rejestracja: 23 sty 2008, 14:21
Posty: 301
Lokalizacja: Singapore, SG
Cytuj:
Dodanie
Kod:
revocation-check crl
za duzo nie pomaga :)
Disclaimer: w życiu się tym nie bawiłem, ale pewnie musisz URL do CRLa podać.
A skąd URL? A, np tutaj masz jakieś przykłady.
Ale - niechaj mnie ktoś poprawi, bo strzelam ślepakami :)


Na górę
Post #7 : 29 wrz 2017, 08:46 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 02 lip 2007, 09:16
Posty: 168
Cytuj:
Cytuj:
Dodanie
Kod:
revocation-check crl
za duzo nie pomaga :)
Disclaimer: w życiu się tym nie bawiłem, ale pewnie musisz URL do CRLa podać.
A skąd URL? A, np tutaj masz jakieś przykłady.
Ale - niechaj mnie ktoś poprawi, bo strzelam ślepakami :)
Dzięki za próbę pomocy -ale coś mi się wydaje ze same linki już są w cercie.
Po 24 godzinach prób - otworzyłem rano case - oby trafił do EU :))


Na górę
Post #8 : 29 wrz 2017, 10:45 
Offline
wannabe
wannabe

Rejestracja: 04 lis 2006, 16:23
Posty: 3397
Cytuj:
Dzięki za próbę pomocy -ale coś mi się wydaje ze same linki już są w cercie.
To je "wyciągnij":
Kod:
# openssl x509 -in example.com.cert.pem -noout -text

    X509v3 CRL Distribution Points:

        Full Name:
          URI:http://example.com/intermediate.crl.pem
i zobacz czy masz do nich dostęp, bo komunikat;
Cytuj:
000828: Sep 28 13:29:05.441 BST: CRYPTO_PKI: (A001B) Checking certificate revocation
000829: Sep 28 13:29:05.441 BST: CRYPTO_PKI: Matching CRL not found
jasno i wyraźnie mówi, że nie znaleziono.

Chyba, że Ty to "na biurku" robisz, na urządzeniu, które nie ma dostępu do źródła CRL :roll:

_________________
Always start with why do you need this?, not how will we do it?.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure.


Na górę
Post #9 : 02 paź 2017, 09:09 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 02 lip 2007, 09:16
Posty: 168
Dla potomności :)
Za dużo trustpointów było plus intermediate cert był w złym formacie podany.
CRL były ok - są zaszyte w cercie.


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie  [ Posty: 9 ] 

Strefa czasowa UTC+01:00


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Technologię dostarcza phpBB® Forum Software © phpBB Limited
Polski pakiet językowy dostarcza phpBB.pl