Cisco IOS i digicert certy

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
Awatar użytkownika
myszasty
wannabe
wannabe
Posty: 167
Rejestracja: 02 lip 2007, 09:16

Cisco IOS i digicert certy

#1

#1 Post autor: myszasty » 28 wrz 2017, 14:04

Hej
Mam dziwny problem z wgraniem nowych certów z DigiCert do IOSa (Version 15.0(1r)M13)
Certy otrzymałem, niby wszystko jest ok ale DigiCert ma oprócz głównego również certy intermidiate.
Otrzymałem od nich wszystko - Root, CA i własny certyfikat i tu pojawia sie problem.
Wgrywam Roota

Kod: Zaznacz cały

crypto pki trustpoint DIG_2017_TP_ROOT
 enrollment terminal
 chain-validation stop
 revocation-check none
Jest OK,
Wgrywam CA

Kod: Zaznacz cały

crypto pki trustpoint DIG_2017_TP_INT
 enrollment terminal
 chain-validation continue DIG_2017_TP_ROOT
 revocation-check none
I dostaje

Kod: Zaznacz cały

Trustpoint 'DIG_2017_TP_INT' is a subordinate CA.
Authentication failed - could not validate certificate
% Error in saving certificate: status = FAIL
Czy ktoś miał podobny problem?
Konczą mi się po woli pomysły co dalej

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1831
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: Cisco IOS i digicert certy

#2

#2 Post autor: frontier » 28 wrz 2017, 14:15

Kod: Zaznacz cały

debug crypto pki
?

mozliwe ze przez to

Kod: Zaznacz cały

revocation-check none
Jeden konfig wart więcej niż tysiąc słów

Awatar użytkownika
myszasty
wannabe
wannabe
Posty: 167
Rejestracja: 02 lip 2007, 09:16

Re: Cisco IOS i digicert certy

#3

#3 Post autor: myszasty » 28 wrz 2017, 14:36

Hej
frontier pisze:

Kod: Zaznacz cały

debug crypto pki
?
Następujące debugi daja mi

Kod: Zaznacz cały

000822: Sep 28 13:29:05.441 BST: CRYPTO_PKI: (A001B) Check for identical certs
000823: Sep 28 13:29:05.441 BST: CRYPTO_PKI : (A001B) Validating non-trusted cert
000824: Sep 28 13:29:05.441 BST: CRYPTO_PKI: (A001B) Create a list of suitable trustpoints
000825: Sep 28 13:29:05.441 BST: CRYPTO_PKI: (A001B) Suitable trustpoints are:[usuniete],DigiCert_2017.trustpoint,DIG_2017_TP_ROOT,
000826: Sep 28 13:29:05.441 BST: CRYPTO_PKI: (A001B) Attempting to validate certificate using SSL-SAN-Dentons-rrr1 policy
000827: Sep 28 13:29:05.441 BST: CRYPTO_PKI: (A001B) Certificate is verified
000828: Sep 28 13:29:05.441 BST: CRYPTO_PKI: (A001B) Checking certificate revocation
000829: Sep 28 13:29:05.441 BST: CRYPTO_PKI: Matching CRL not found
000830: Sep 28 13:29:05.441 BST: CRYPTO_PKI: HTTP data 

PKI:
  Crypto PKI Msg debugging is on
  Crypto PKI Certificate Server debugging is on
  Crypto PKI Validation Path debugging is on
  
  
mozliwe ze przez to

Kod: Zaznacz cały

revocation-check none
Usunięcie niestety nie pomaga...

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1831
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: Cisco IOS i digicert certy

#4

#4 Post autor: frontier » 28 wrz 2017, 14:38

Mysle ze nie chodzi o usuniecie a dodanie CRL.
Jeden konfig wart więcej niż tysiąc słów

Awatar użytkownika
myszasty
wannabe
wannabe
Posty: 167
Rejestracja: 02 lip 2007, 09:16

Re: Cisco IOS i digicert certy

#5

#5 Post autor: myszasty » 28 wrz 2017, 15:12

frontier pisze:Mysle ze nie chodzi o usuniecie a dodanie CRL.
Wybacz pytanie - ale jak ? :)
Dodanie

Kod: Zaznacz cały

revocation-check crl
za duzo nie pomaga :)

Awatar użytkownika
konradrz
CCIE
CCIE
Posty: 324
Rejestracja: 23 sty 2008, 14:21
Lokalizacja: Singapore, SG
Kontakt:

Re: Cisco IOS i digicert certy

#6

#6 Post autor: konradrz » 28 wrz 2017, 23:41

myszasty pisze:Dodanie

Kod: Zaznacz cały

revocation-check crl
za duzo nie pomaga :)
Disclaimer: w życiu się tym nie bawiłem, ale pewnie musisz URL do CRLa podać.
A skąd URL? A, np tutaj masz jakieś przykłady.
Ale - niechaj mnie ktoś poprawi, bo strzelam ślepakami :)

Awatar użytkownika
myszasty
wannabe
wannabe
Posty: 167
Rejestracja: 02 lip 2007, 09:16

Re: Cisco IOS i digicert certy

#7

#7 Post autor: myszasty » 29 wrz 2017, 08:46

konradrz pisze:
myszasty pisze:Dodanie

Kod: Zaznacz cały

revocation-check crl
za duzo nie pomaga :)
Disclaimer: w życiu się tym nie bawiłem, ale pewnie musisz URL do CRLa podać.
A skąd URL? A, np tutaj masz jakieś przykłady.
Ale - niechaj mnie ktoś poprawi, bo strzelam ślepakami :)
Dzięki za próbę pomocy -ale coś mi się wydaje ze same linki już są w cercie.
Po 24 godzinach prób - otworzyłem rano case - oby trafił do EU :))

Kyniu
wannabe
wannabe
Posty: 3405
Rejestracja: 04 lis 2006, 16:23

Re: Cisco IOS i digicert certy

#8

#8 Post autor: Kyniu » 29 wrz 2017, 10:45

myszasty pisze:Dzięki za próbę pomocy -ale coś mi się wydaje ze same linki już są w cercie.
To je "wyciągnij":

Kod: Zaznacz cały

# openssl x509 -in example.com.cert.pem -noout -text

    X509v3 CRL Distribution Points:

        Full Name:
          URI:http://example.com/intermediate.crl.pem
i zobacz czy masz do nich dostęp, bo komunikat;
000828: Sep 28 13:29:05.441 BST: CRYPTO_PKI: (A001B) Checking certificate revocation
000829: Sep 28 13:29:05.441 BST: CRYPTO_PKI: Matching CRL not found
jasno i wyraźnie mówi, że nie znaleziono.

Chyba, że Ty to "na biurku" robisz, na urządzeniu, które nie ma dostępu do źródła CRL :roll:
Always start with why do you need this?, not how will we do it?.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure.

Awatar użytkownika
myszasty
wannabe
wannabe
Posty: 167
Rejestracja: 02 lip 2007, 09:16

Re: Cisco IOS i digicert certy

#9

#9 Post autor: myszasty » 02 paź 2017, 09:09

Dla potomności :)
Za dużo trustpointów było plus intermediate cert był w złym formacie podany.
CRL były ok - są zaszyte w cercie.

ODPOWIEDZ