ISAKMP certyfikaty.

Wiadomość

cisco-user · #1

Witam

Probuje skonfigurowac DMVPN w oparciu o certyfikaty. I tak mam:
- router A 1812-advipserv - jako CA certificate server oraz jako hub w DMVPN, CA skonfigurowane, wygenerowany cert,

Kod: Zaznacz cały

crypto pki server S-CA
 database level names
 issuer-name CN=S-CA-TUNELE
 lifetime certificate 1825
 lifetime ca-certificate 1825
 lifetime enrollment-request 24
 cdp-url flash:S-CA.crl
 database url flash:
!
crypto pki trustpoint S-CA
 revocation-check crl
 rsakeypair S-CA

- router B 1812-advipserv - jako spoke w DMVPN, skonfigurowany trustpoint, wyslany request, na CA request granted, wiec na B mam juz CA cert i B cert.

Kod: Zaznacz cały

crypto pki trustpoint S-CA
 enrollment url http://172.3.0.99:80
 revocation-check crl
 rsakeypair aaa

DMVPN skonfigurowany poprawnie zgodnie ze wszelkimi prawidlami, isakmp policy z rsa-sig na obu, podnosze tunel na B i na A mam:

Kod: Zaznacz cały

%CRYPTO-5-IKMP_INVAL_CERT: Certificate received from 172.3.1.9 is bad: CA request failed!


*Feb  6 08:42:45.256: ISAKMP:(2324): sending packet to 172.3.1.9 my_port 500 peer_port 500 (R) MM_KEY_EXCH
*Feb  6 08:42:45.256: ISAKMP (0:2324): received packet from 172.3.1.9 dport 500 sport 500 Global (R) MM_KEY_EXCH
*Feb  6 08:42:45.256: ISAKMP:(2324):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Feb  6 08:42:45.256: ISAKMP:(2324):Old State = IKE_R_MM4  New State = IKE_R_MM5

*Feb  6 08:42:45.256: ISAKMP:(2324): processing CERT payload. message ID = 0
*Feb  6 08:42:45.256: ISAKMP:(2324): processing a CT_X509_SIGNATURE cert
*Feb  6 08:42:45.256: ISAKMP:(2324): peer's pubkey isn't cached
*Feb  6 08:42:45.256: %CRYPTO-5-IKMP_INVAL_CERT: Certificate received from 172.3.1.9 is bad: CA request failed!
*Feb  6 08:42:45.256: ISAKMP:(2324):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Feb  6 08:42:45.256: ISAKMP:(2324):Old State = IKE_R_MM5  New State = IKE_R_MM5

*Feb  6 08:42:45.256: ISAKMP (0:2324): incrementing error counter on sa, attempt 1 of 5: reset_retransmission

I tak w kolko...

Wydaje mi sie ze jeszcze czegos brakuje :>

//edit peper: Proszę stosować znaczniki

Kod: Zaznacz cały

 do formatowania postów

kktm · #2

1. zapodaj cale konfigi dla hub i spoke

2. wywal na poczatek sprawdzanie crl w definicji trustpointów i reloadnij routerki

cisco-user · #3

A

Kod: Zaznacz cały

crypto pki server S-CA
 database level names
 issuer-name CN=S-CA-TUNELE
 lifetime certificate 1825
 lifetime ca-certificate 1825
 lifetime enrollment-request 24
 cdp-url flash:S-CA.crl
 database url flash:
!
crypto pki trustpoint S-CA
 revocation-check crl
 rsakeypair S-CA
!
!
crypto pki certificate chain S-CA
 certificate ca 01
  30820209 ...

crypto isakmp policy 10
!
!
crypto ipsec transform-set S-STRONG esp-aes 256 esp-sha-hmac
 mode transport
!
crypto ipsec profile S-DMVPN
 set transform-set S-STRONG
 set pfs group2
!
!
!
!
!
interface Tunnel0
 ip address 10.0.0.1 255.255.255.0
 no ip redirects
 ip mtu 1400
 no ip next-hop-self eigrp 1
 ip nhrp authentication s-caca
 ip nhrp map multicast dynamic
 ip nhrp network-id 99
 ip tcp adjust-mss 1360
 no ip split-horizon eigrp 1
 tunnel source FastEthernet0
 tunnel mode gre multipoint
 tunnel key 99
 tunnel protection ipsec profile S-DMVPN
!
interface FastEthernet0
 ip address 172.3.0.99 255.255.0.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto

B

Kod: Zaznacz cały

crypto pki trustpoint S-CA
 enrollment url http://172.3.0.99:80
 revocation-check crl
 rsakeypair aaa
!
!
crypto pki certificate chain S-CA
 certificate 05
  3082022E ...
  quit
 certificate ca 01
  30820209 ...

crypto isakmp policy 10
!
!
crypto ipsec transform-set S-STRONG esp-aes 256 esp-sha-hmac
 mode transport
!
crypto ipsec profile S-DMVPN
 set transform-set S-STRONG
 set pfs group2
!
!
bridge irb
!
!
!
interface Tunnel0
 ip address 10.0.0.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication s-caca
 ip nhrp map 10.0.0.1 172.3.0.99
 ip nhrp map multicast 172.3.0.99
 ip nhrp network-id 99
 ip nhrp nhs 10.0.0.1
 ip tcp adjust-mss 1360
 tunnel source FastEthernet1
 tunnel mode gre multipoint
 tunnel key 99
 tunnel protection ipsec profile S-DMVPN
!
interface FastEthernet1
 ip address 172.3.1.9 255.255.255.0
 ip virtual-reassembly
 duplex auto
 speed auto
!

Tak więc totalna łopatologia ...

kktm · #4

hmm, niedawna to w sumie konfiugurowalem i smigalo.

Moja roznica byla taka ze CA bylo na routerze na ktorym nie bylo tuneli.

Jak tworzyles CA, to najpierw wygenerowales sobie klucze RSA o tej samej nazwie co serwer CA , czy pozwoliles to zrobic serwerowi CA?

cisco-user · #5

Wlasnie sie zastanawialem czy na serwerze CA mozna uzywac certyfikatow, bo jakby nie patrzec na nim jest tylko jeden cert CA=signing a nie ma indywidualnego dla routera ...

Na serwerze CA wszystko IOS wygenerowal - klucze itd, ja tylko stworzylem CA.

Zauwaz tez ze to wlasnie A krzyczy ze B ma kiepski cert a nie B ze A jest zly, a to jest dziwne bo jakby nie patrzec cert B musi byc ok. Na B uzylem klucza nie generowanego z autoamtu bo ciagle mi tworzyl 512bitowy ... i tam podalem nazwe inna niz nazwa routera (patrz konfig) ale to ma jakies znaczenie ?

Czy to co skonfigurowalem powinno wystarczyc do uzywania certow ? Wolalbym zeby CA bylo na hubie ...

kktm · #6

nie mam teraz dostepu do routerow.

Sproboj
1. wywalic CA
2 na CA wygenerowac klucze RSA o labelu S-CA i rozmiarze np 1024 ( z tego co pamietam powyzej 2048 sa problemy w certyfikatach
3 utworz CA o nazwie S-CA (wezmie sobie twoj wygenerowany klucz)
4. wywal trustopointa na spoke i utworz go ponownie podstawiajac klucz o rozmiarze rowniez 1024
5 enroluj na spoke

Moze to lamerskie rady

, ale nie mozna za bardzo wiecej niczego wymyslec

ps.
acha to co pisalem wczesniej, w ramach testów nie korzystaj z list CRL- moze to jest problem (komenda crl optional, czy jakos tak w definicji trustpointa)

Misiekm · #7

cisco-user pisze:bo jakby nie patrzec na nim jest tylko jeden cert CA=signing a nie ma indywidualnego dla routera ...

Witam

Generując klucze upewnij sie że uzywasz opcji 'general' nie 'usage' keys.
Powinieneś mieć certa CA i routera, to samo po drugiej stronie.

Najprawdopodobnie router używa certa CA (01)do przedstawienia się, który jest niczym innym jak publicznym kluczem CA, który drugi peer już ma w pamięci. Oczekuja on natomiast certa z samą sygnaturą CA (podpis prywatnym) , by sobie zweryfikować go właśnie tym certem(01).

Mam przeczucie,ze problem leży gdzieś w generowaniu kluczy..daj znać jak poszło.

cisco-user · #8

1. A i B Skasowalem wszystkie klucze, wlacznie z tymi do ssh itd
2. A i B crypto key generate rsa (1024) dla ssh - ssh sie wlaczylo
3. A i B crypto key generate rsa general-keys label S-CA (1024)
4. A

Kod: Zaznacz cały

crypto pki server S-CA
 database level names
 issuer-name CN=S-CA-TUNELE
 lifetime certificate 1825
 lifetime ca-certificate 1825
 lifetime enrollment-request 24
 database url flash:
 no grant auto
 no shut

to zaowocowało ponizszym wpisem:

Kod: Zaznacz cały

crypto pki trustpoint S-CA
 revocation-check crl
 rsakeypair S-CA

W tym trustpoincie nie powinienem nic zmieniac:

Kod: Zaznacz cały

% You are not supposed to change the configuration of this
% trustpoint. It is being used by the IOS CA server.

Nie da sie tez z tego trustpointa enrolnac nic ...
5. B:

Kod: Zaznacz cały

crypto pki trustpoint S-CA
 enrollment url http://172.3.0.99:80
 revocation-check none
 rsakeypair S-CA
!
crypto pki authenticate S-CA
crypto pki enroll S-CA

6. A:

Kod: Zaznacz cały

crypto pki server S-CA grant 1

W efekcie mam to samo co mialem, czyli 2certy na spoke, jeden na hub i na hub ta nieszczesna informacja jak tylko podnosze iface tunelowy od DMVPN.

Misiekm · #9

Witam

Z trustpointa można enrolnoć prawie zawsze, server moze nie byc chetny odpowiadać, ale wszelkie zmiany dopiero po 'shutdown' mozna wklepywać.

Oto zrzut z podstawowej konfiguracji:

Kod: Zaznacz cały


r1(config)#crypto ca enroll router1
001960: Feb 12 22:52:41.480 UTC: CRYPTO_PKI:  Certificate Request Fingerprint MD5: ABBF7C73 D99BF02C 61B3D038 1C2A9372

001981: Feb 12 22:52:42.732 UTC: %PKI-6-CERTRET: Certificate received from Certificate Authority


crypto pki server CAA
 issuer-name cn=costam
 grant auto
 database url flash:\CAA
!
!
crypto pki trustpoint router1
 enrollment url http://192.168.150.231:80
 serial-number
 revocation-check none


crypto pki certificate chain CAA
 certificate ca 01  
...
crypto pki certificate chain router1
 certificate 02
...
certificate ca 01
...
...

Jak widać konfig napewno działa. Dla trustpointa (czyli rotera) użyj innego klucza rsa, nie tego samego który używa CA..
Niestety nie mam możliwości przetestować tunelu obecnie, ale powinno działać dobrze.

Poniższy link moze sie przydać także:
http://www.cisco.com/en/US/tech/tk583/t ... e6bc.shtml

Pozdrawiam

P.S
Poleciłbym jednak osobną platforme/system na CA.

cisco-user · #10

Wczesniej pytalem sie wlasnie czy mam inne trustpointa na A robic...

Kod: Zaznacz cały

crypto pki server S-CA
 database level names
 issuer-name CN=S-CA-TUNELE
 lifetime certificate 1825
 lifetime ca-certificate 1825
 lifetime enrollment-request 24
 database url flash:
!
crypto pki trustpoint S-CA
 revocation-check crl
 rsakeypair S-CA
!
crypto pki trustpoint S-CA1
 enrollment url http://172.3.0.99:80/
 revocation-check none
 rsakeypair S-CA1

Kod: Zaznacz cały

A(config)#crypto pki authen S-CA1
% Error in receiving Certificate Authority certificate: status = FAIL, cert length = 0

A(config)#do sh crypto pki server
Certificate Server S-CA:
    Status: enabled
    State: enabled
    Server's configuration is locked  (enter "shut" to unlock it)
    Issuer name: CN=S-CA-TUNELE
    CA cert fingerprint: EF636FBF 5F9BD828 DD5A77A5 A1F43918
    Granting mode is: manual
    Last certificate issued serial number: 0x2
    CA certificate expiration timer: 20:20:31 UTC Feb 10 2013
    CRL NextUpdate timer: 20:20:32 UTC Feb 19 2008
    Current primary storage dir: flash:
    Database Level: Names - subject name data written as <serialnum>.cnm

Więc chyba albo ja czegos nie dostrzegam albo Ty nie do konca robisz tak jak ja

cisco-user · #11

Czyli mam wyrzucic CA na niezalezny router ? Bo juz rece opadaja.

cisco-user · #12

Zrobiłem CA na innym routerze i jak ręką odjął ...
Uwielbiam te szczegółowe i dokładne przykłady z dokumentacji cisco dla softu sprzed kilku lat, nijak mające się jak widać do tego co teraz sprzedają ...

#13

cisco-user pisze:Zrobiłem CA na innym routerze i jak ręką odjął ...
Uwielbiam te szczegółowe i dokładne przykłady z dokumentacji cisco dla softu sprzed kilku lat, nijak mające się jak widać do tego co teraz sprzedają ...

E tam narzekasz, jakby dokumentacja dowolnego producenta miala przedstawiac kazdy mozliwy scenariusz, to musieliby nie robic nic innego tylko tworzyc kolejne "papierki"

cisco-user · #14

A dzisiaj jeszcze dla swietego spokoju sprobowalem zrobic CA na routerze A i jakims cudem zadzialalo ...
Nie mam pytan ...

pawel1025 · #15

Ostatnio konfigurowałaem CA na routerze Cisco i nalezy pamiętać że jesli server CA skonfigurowany jest na routerze który jest jednocześnie peer'em IPSEc'owym to należy skonfigurowć kolejny trustpoint dedykowny po IPSEc , bo nie zadziala IPSEc z instejeącym trustpointem wygerenowanym dla CA.
Czyli albo konfigurujesz CA na oddzielnym routerze, albo towrzysz kolejny trustpoint na CA który posłuży pod IPESec.