Krotkie pytanie o CA

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
barlug
member
member
Posty: 30
Rejestracja: 20 lis 2009, 22:38

Krotkie pytanie o CA

#1

#1 Post autor: barlug »

Czesc,
mam proste pytanie:), w tym przypadku moge uzyc opcji selfsigned:

crypto pki trustpoint MYCA
enrollment selfsigned

gdy probuje uzyc

crypto ca trustpoint MYCA
enrollment - nie ma opcji self


czy moglby mnie ktos naprowadzic gdzie jest roznica? Rozumiem ze zalezy to od wersji IOS. Tylko w przypadku 2 w jaki sposob wskazac , ze certyfikat ma byc podpisany przez router.

Finarfin
member
member
Posty: 47
Rejestracja: 18 wrz 2007, 20:21

#2

#2 Post autor: Finarfin »

Nie jestem w tej dziedzinie specjalistą, ale chyba certyfikatu CA nie można podpisać przez siebie...

barlug
member
member
Posty: 30
Rejestracja: 20 lis 2009, 22:38

#3

#3 Post autor: barlug »

Wydaje mi sie to dziwne, skoro poprzez crypto pki mozna to zrobic to dlaczego nei poprzez crypto ca. Zastanawialem sie nad opcja "enrollment url http://" i wskazaniem ma wlasne ip, moze tak?

dorvin
CCIE
CCIE
Posty: 1688
Rejestracja: 21 sty 2008, 13:21
Lokalizacja: Wrocław
Kontakt:

#4

#4 Post autor: dorvin »

Powinno działać w obu wersjach. Spróbuj wpisać "enroll selfsigned" mimo, że nie pojawia Ci się w znaku zapytania. Jak nie zadziała, to wymień soft lub po prostu korzystaj z crypto pki

dorvin
CCIE
CCIE
Posty: 1688
Rejestracja: 21 sty 2008, 13:21
Lokalizacja: Wrocław
Kontakt:

#5

#5 Post autor: dorvin »

barlug pisze:Wydaje mi sie to dziwne, skoro poprzez crypto pki mozna to zrobic to dlaczego nei poprzez crypto ca. Zastanawialem sie nad opcja "enrollment url http://" i wskazaniem ma wlasne ip, moze tak?
Tak też można, ale najpierw musiałbyś skonfigurować CA na routerze (i to nie jest to samo co crypto ca trustpoint).

barlug
member
member
Posty: 30
Rejestracja: 20 lis 2009, 22:38

#6

#6 Post autor: barlug »

OK, problem jest taki ze nie mam opcji crypto pki, dziala jedynie crypto ca i nie ma skladni enrollment selfsigned :(

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#7

#7 Post autor: Seba »

To moze podasz na czym to odpalasz hardware/software; wrozenie w IT slabo sie sprawdza ;)
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

Awatar użytkownika
enceladus
inner circle
inner circle
Posty: 506
Rejestracja: 27 paź 2003, 14:32
Lokalizacja: Poznan

#8

#8 Post autor: enceladus »

Coś tam można zawsze powróżyć :)

http://www.cisco.com/en/US/docs/ios/sec ... #wp1053326
12.2(8)T - The crypto ca trustpoint command was added.
12.3(7)T - This (crypto pki trustpoint) command replaced the crypto ca trustpoint command. You can still enter the crypto ca trusted-root or crypto ca trustpoint command, but the command will be written in the configuration as "crypto pki trustpoint."
12.3(14)T - The enrollment selfsigned subcommand was introduced.

Jeśli nie możesz użyć crypto pki a masz crypto ca to znaczy że masz pewnie soft >=12.2(8)T i <12.3(7)T - jest tak? Pewnie robisz to na 2ch różnych softach?
<: Enceladus :>

barlug
member
member
Posty: 30
Rejestracja: 20 lis 2009, 22:38

#9

#9 Post autor: barlug »

przepraszam ze tak dlugo nie pislalem.
Sprzet 2600, v 12.3(12), image advsecurityk9-mz.123.12.

Wg tego co piszesz, selfsigned zostal wprowadzony z ponizjeszej wersji.

ODPOWIEDZ