Monitorowanie ważności certyfikatów

Problemy z pozostałymi technologiami (SDH, IronPort, WAAS itp.)
ODPOWIEDZ
Wiadomość
Autor
Awatar użytkownika
pogrom
wannabe
wannabe
Posty: 154
Rejestracja: 24 lip 2007, 15:25
Lokalizacja: Warszawa

Monitorowanie ważności certyfikatów

#1

#1 Post autor: pogrom »

Cześć.
Mam sobie WAN - kilkaset oddziałów, DMVPN na certyfikatach. Czasami zdarza się, że jakiść certyfikat się automatycznie nie odświeży.
Chciałbym jakość monitorować, że cert wygaśnie mi np. za 30 dni (enrollment ustawiony na 90 dni), żeby móc zareagować zanim mleko sie rozleje.
Niestety Ciso nie udostępnia informacji i certach przez snmp.
Próbowałem więc skrypt w tcl, zarówno własny jak i TEN, ale

Kod: Zaznacz cały

exec "show crypto pki(ca) certificates"
nie zwraca mi nic, co się chyba wiąże z bugiem nr CSCta45845

Czy macie jeszcze jakąś metodę aby na IOS 15.0 macać certyfikaty?
Na górę
tomiabc
wannabe
wannabe
Posty: 148
Rejestracja: 07 paź 2010, 14:51

#2

#2 Post autor: tomiabc »

hej,

dziwne, bo CSCta45845 nie wyświetla informacji wyłącznie podczas komunikacji za pomocą http czyli jak używasz jakiegoś CCA.

Jaki dokładnie masz soft? wrzucisz kawałek konfiguracji DMVPN i trustpointa?

pzdr
Na górę
Awatar użytkownika
pogrom
wannabe
wannabe
Posty: 154
Rejestracja: 24 lip 2007, 15:25
Lokalizacja: Warszawa

#3

#3 Post autor: pogrom »

Soft Version 15.0(1r)M6. Może się różnic minor wersjami, ale generalnie 15.0
Widzę że próbujesz wniknąć w problem nieodświeżania się certów, ale mi bardziej chodzi o monitorowanie w tej chwili :)
Na sofcie 12.4 exec "show crypto pki certificates" pokazuje co należy, a na 15 jest lipa



A gdyby kogoś to interesowało, to problem z odświeżaniem występuje w przypadku oddziałów podłączonych po internecie. Po IPVPN od tepsy działa ok. Pomaga zmiana MTU. Piszę zmiana, bo nie ważne czy zwiększam, czy zmniejszam - jakakolwiek zmiana MTU skutkuje w jakiś magiczny sposób rozwiązaniem problemu. Jak ja kocham takie smaczki.... :/
Na górę
Awatar użytkownika
grze
wannabe
wannabe
Posty: 419
Rejestracja: 09 cze 2008, 23:15
Lokalizacja: Warsaw

#4

#4 Post autor: grze »

Abstrahując od głównego problemu. Sugeruję wskoczyć na jakiś wyższy numerek IOS. 15.2(M) etc
It doesn't matter how many certs you've got... it's really all about the pure knowledge behind them...
Na górę
Awatar użytkownika
pogrom
wannabe
wannabe
Posty: 154
Rejestracja: 24 lip 2007, 15:25
Lokalizacja: Warszawa

#5

#5 Post autor: pogrom »

Chętnie, jednak słowo-klucz, to "kilkaset"
Na górę
tomiabc
wannabe
wannabe
Posty: 148
Rejestracja: 07 paź 2010, 14:51

#6

#6 Post autor: tomiabc »

pogrom pisze:Soft Version 15.0(1r)M6. Może się różnic minor wersjami, ale generalnie 15.0
A gdyby kogoś to interesowało, to problem z odświeżaniem występuje w przypadku oddziałów podłączonych po internecie. Po IPVPN od tepsy działa ok. Pomaga zmiana MTU. Piszę zmiana, bo nie ważne czy zwiększam, czy zmniejszam - jakakolwiek zmiana MTU skutkuje w jakiś magiczny sposób rozwiązaniem problemu. Jak ja kocham takie smaczki.... :/
Sam się prosisz o kłopoty 15.0.1M jest EOL od ponad roku. Zrób upgrade na jednym do 15.3.3M3 i zobacz czy jest ok. Jeśli nie to zgłoś to, samo sie nie naprawi
Na górę
ODPOWIEDZ

Wróć do „Pozostałe”