Что такое StartSSL и как им пользоваться описывать не буду. На эту тему и так достаточно информации в сети. Речь пойдет о вливании на маршрутизаторы Cisco (на примере 881го) своих подписанных сертификатов.
Для начала настраиваем trustpoint для нашего маршрутизатора.
router(config)crypto pki trustpoint example.ua router(ca-trustpoint)#enrollment terminal pem router(ca-trustpoint)#fqdn webvpn.example.ua router(ca-trustpoint)#subject-name C=UA, ST=Kyiv O=example.ua, OU=IT, CN=webvpn.example.ua/[email protected] router(ca-trustpoint)#revocation-check none router(ca-trustpoint)#rsakeypair webvpn.example.ua 2048 2048
example.ua — домен, субдомен которого привязан к нашему маршрутизатору.
Далее очищаем информацию о всех RSA ключах, которые хранятся в памяти маршрутизатора.
router(config)#crypto key zeroize rsa % All RSA keys will be removed. % All router certs issued using these keys will also be removed. Do you really want to remove these keys? [yes/no]: yes
Создаем новые ключи для нашего машрутизатора. (ВАЖНО!!!!! Длина ключа должна составлять минимум 2048. Иначе StartSSL не примет сгенеренный CSR на создание сертификата)
router(config)#crypto key generate rsa general-keys label webvpn.example.ua export modulus 2048
Далее «вливаем» sub.class1.server.ca.pem (качать тут ) файл, который нам отдали в StartSSL
router(config)#crypto pki authenticate example.ua Enter the base 64 encoded CA certificate. End with a blank line or the word “quit” on a line by itself —–BEGIN CERTIFICATE—– Здесь находится сам sub.class1.server.ca.pem —–END CERTIFICATE—– % Do you accept this certificate? [yes/no]: yes Trustpoint CA certificate accepted. % Certificate successfully imported
**(ВАЖНО!!!!!) **Закидываем именно sub.class1.server.ca.pem. В противном случае ничего у нас не получиться.
Теперь генерим сам CSR:
router(config)#crypto pki enroll example.ua % Start certificate enrollment .. % The subject name in the certificate will include: cn=router.reub.net % The fully-qualified domain name will not be included in the certificate % Include the router serial number in the subject name? [yes/no]: no % Include an IP address in the subject name? [no]: no Display Certificate Request to terminal? [yes/no]: yes Certificate Request follows: MIIBgDCB6gIBADAPMQ0wCwYDVQQDEwR0ZXN0MIGfMA0GCSqGSIb3DQEBAQUAA4GN [snip] —End – This line not part of the certificate request— Redisplay enrollment request? [yes/no]: no router(config)#
Далее полученный CSR «скармливаем» любезным дяденькам из StartSSL и получаем свой шаровый подписанный на год сертификат.
Уже полученный сертификат заливаем на наш маршрутизатор следующим образом.
router(config)#crypto pki import example.ua certificate % The fully-qualified domain name will not be included in the certificate Enter the base 64 encoded certificate. End with a blank line or the word “quit” on a line by itself —–BEGIN CERTIFICATE—– вот тут тело сертификата. —–END CERTIFICATE—– % Router Certificate successfully imported router(config)#
Вот и вся премудрость. Пользуйтесь на здоровье.
———————————————
З.Ы.
Еще один важный момент. Это конечно хорошо, что мы сгенерили сертификат и залили его на кошку, но работать он будет только в случае если мы будем к кошке обращаться по субдомену. Т.е. по адресу webvpn.example.ua, который должен быть привязан к айпишке прописанной на нашей кошке.
И вот тогда мы осознаем всю силу SSL VPN.