Cisco 881 и доверенный сертификат StartSSL

Что такое StartSSL и как им пользоваться описывать не буду. На эту тему и так достаточно информации в сети. Речь пойдет о вливании на маршрутизаторы Cisco (на примере 881го) своих подписанных сертификатов.

Для начала настраиваем trustpoint для нашего маршрутизатора.

router(config)crypto pki trustpoint example.ua
router(ca-trustpoint)#enrollment terminal pem
router(ca-trustpoint)#fqdn webvpn.example.ua
router(ca-trustpoint)#subject-name C=UA, ST=Kyiv O=example.ua, OU=IT, CN=webvpn.example.ua/emailAddress=routemaster@example.ua
router(ca-trustpoint)#revocation-check none
router(ca-trustpoint)#rsakeypair webvpn.example.ua 2048 2048

example.ua — домен, субдомен которого привязан к нашему маршрутизатору.

Далее очищаем информацию о всех RSA ключах, которые хранятся в памяти маршрутизатора.

router(config)#crypto key zeroize rsa
% All RSA keys will be removed.
% All router certs issued using these keys will also be removed.
Do you really want to remove these keys? [yes/no]: yes

Создаем новые ключи для нашего машрутизатора. (ВАЖНО!!!!! Длина ключа должна составлять минимум 2048. Иначе StartSSL не примет сгенеренный CSR на создание сертификата)

router(config)#crypto key generate rsa general-keys label webvpn.example.ua export modulus 2048

Далее «вливаем» sub.class1.server.ca.pem (качать тут) файл, который нам отдали в StartSSL

router(config)#crypto pki authenticate example.ua
Enter the base 64 encoded CA certificate.
End with a blank line or the word “quit” on a line by itself

—–BEGIN CERTIFICATE—–
Здесь находится сам sub.class1.server.ca.pem
—–END CERTIFICATE—–
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported

(ВАЖНО!!!!!) Закидываем именно sub.class1.server.ca.pem. В противном случае ничего у нас не получиться.

Теперь генерим сам CSR:

router(config)#crypto pki enroll example.ua
% Start certificate enrollment ..
% The subject name in the certificate will include: cn=router.reub.net
% The fully-qualified domain name will not be included in the certificate
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]: no
Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:

MIIBgDCB6gIBADAPMQ0wCwYDVQQDEwR0ZXN0MIGfMA0GCSqGSIb3DQEBAQUAA4GN

[snip]

—End – This line not part of the certificate request—
Redisplay enrollment request? [yes/no]: no
router(config)#

Далее полученный CSR «скармливаем» любезным дяденькам из StartSSL и получаем свой шаровый подписанный на год сертификат.

Уже полученный сертификат заливаем на наш маршрутизатор следующим образом.

router(config)#crypto pki import example.ua certificate
% The fully-qualified domain name will not be included in the certificate
Enter the base 64 encoded certificate.
End with a blank line or the word “quit” on a line by itself
—–BEGIN CERTIFICATE—–
вот тут тело сертификата.
—–END CERTIFICATE—–
% Router Certificate successfully imported
router(config)#

Вот и вся премудрость. Пользуйтесь на здоровье.

———————————————

З.Ы.

Еще один важный момент. Это конечно хорошо, что мы сгенерили сертификат и залили его на кошку, но работать он будет только в случае если мы будем к кошке обращаться по субдомену. Т.е. по адресу webvpn.example.ua, который должен быть привязан к айпишке прописанной на нашей кошке.

И вот тогда мы осознаем всю силу SSL VPN.

 
comments powered by Disqus