imho.ws
IMHO.WS  

Вернуться   IMHO.WS > Интернет, Глобальные и Локальные сети > Сети > Активное Сетевое оборудование
Опции темы
Старый 15.01.2020, 13:41     # 1
Surayu
Junior Member
 
Аватар для Surayu
 
Регистрация: 01.05.2005
Сообщения: 58

Surayu Известность не заставит себя ждать
CA-сертификат для Cisco

А вот новый вопрос! Как можно сгенерить корневой сертификат для циски? Где его подписывать? Если поднять на ней CA-сервер, это как-то поможет?
__________________
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости © Ad
Surayu вне форума  
Старый 15.01.2020, 16:13     # 2
Borland
СуперМод
IMHO Консультант 2005-2009
 
Аватар для Borland
 
Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отсек
Пол: Male
Сообщения: 13 690

Borland - Гад и сволочь
Цитата:
Сообщение от Surayu Посмотреть сообщение
Как можно сгенерить корневой сертификат для циски?
Точно так же, как и любой другой корневой сертификат.


Цитата:
Сообщение от Surayu Посмотреть сообщение
Где его подписывать?
Корневой сертификат всегда самоподписанный (self-signed).


Цитата:
Сообщение от Surayu Посмотреть сообщение
Если поднять на ней CA-сервер, это как-то поможет?
Кому и в чём?...
Обычно из соображений безопасности CA отгораживается от сети всеми мыслимыми и немыслимыми способами, ибо компрометация {закрытого} ключа CA одновременно компрометирует всю основанную на нём инфраструктуру открытых ключей (PKI). А, к примеру, утеря или повреждение этого "главного" ключа приводит к невозможности дальнейшего функционирования CA (в плане генерации/подписания свежих сертификатов)...

К тому же, насколько я в курсе, установка CA на коммутаторах Cisco Catalyst 4003/4006/6006/3750/2960 и Cisco WAE 500 (других цисок под рукой нету ) невозможна в принципе...
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила!
Распространенье наше по планете
Особенно заметно вдалеке:
В общественном парижском туалете
Есть надписи на русском языке

В. Высоцкий

Borland вне форума  
Старый 19.01.2020, 16:44     # 3
SinClaus
Котозавр
 
Аватар для SinClaus
 
Регистрация: 15.04.2003
Адрес: Russia, Tomsk
Пол: Male
Сообщения: 1 301

SinClaus ГуруSinClaus ГуруSinClaus ГуруSinClaus ГуруSinClaus ГуруSinClaus ГуруSinClaus ГуруSinClaus ГуруSinClaus ГуруSinClaus ГуруSinClaus ГуруSinClaus ГуруSinClaus ГуруSinClaus ГуруSinClaus ГуруSinClaus ГуруSinClaus Гуру
Для какой циски? Сколько работаю с их маршрутизаторами и свитчами, ни разу не возникало такой необходимости. И как правильно заметил товарищ Борланд, корневой сертификат обычно используется для подписывания дальнейших сертификатов, что предполагает работу с генератором сертификатов. А про openssl для циски что-то не слышал.
__________________
Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

Последний раз редактировалось SinClaus; 19.01.2020 в 16:49.
SinClaus вне форума  
Старый 20.01.2020, 13:40     # 4
Surayu
Junior Member
 
Аватар для Surayu
 
Регистрация: 01.05.2005
Сообщения: 58

Surayu Известность не заставит себя ждать
CA-сертификат для Cisco ASA 5516-x
Она зачем-то использует ca-сертификаты для постройки site-to-site тоннелей
__________________
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости © Ad
Surayu вне форума  
Старый 20.01.2020, 18:17     # 5
Borland
СуперМод
IMHO Консультант 2005-2009
 
Аватар для Borland
 
Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отсек
Пол: Male
Сообщения: 13 690

Borland - Гад и сволочь
Цитата:
Сообщение от Surayu Посмотреть сообщение
Она зачем-то использует ca-сертификаты для постройки site-to-site тоннелей
Сертификат CA (он же открытый ключ центра сертификации) используется для верификации удалённого site по сертификату этого site, выданному ЦС.
Т.е. на каждом site должен присутствовать CA certificate + индивидуальная для каждого site пара {private key + certificate}.
Можете сделать собственный ЦС и нагенерировать сертификатов сайтов в нём, можете купить сертификаты сайтов у любого держателя ЦС (Много их; запустите в винде certmgr.msc и смотрите список "Доверенных корневых центров сертификации").
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила!
Распространенье наше по планете
Особенно заметно вдалеке:
В общественном парижском туалете
Есть надписи на русском языке

В. Высоцкий

Borland вне форума  
Старый 21.01.2020, 07:11     # 6
Surayu
Junior Member
 
Аватар для Surayu
 
Регистрация: 01.05.2005
Сообщения: 58

Surayu Известность не заставит себя ждать
сертификатов понаделал, а связь не появилась. Есть какой-то вариант построить vpn-тоннель без сертификатов?
__________________
Владение русской орфографией - это как владение кунг-фу, настоящие мастера не применяют его без необходимости © Ad
Surayu вне форума  
Старый 21.01.2020, 14:21     # 7
Borland
СуперМод
IMHO Консультант 2005-2009
 
Аватар для Borland
 
Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отсек
Пол: Male
Сообщения: 13 690

Borland - Гад и сволочь
Цитата:
Сообщение от Surayu Посмотреть сообщение
сертификатов понаделал, а связь не появилась.
Недостаточно просто "понаделать сертификатов", нужно ещё правильно настроить туннель...
Цитата:
Сообщение от Surayu Посмотреть сообщение
Есть какой-то вариант построить vpn-тоннель без сертификатов?
Вообще - есть {и даже без циски }; а в частности - требуется изучение документации от конкретной циски на предмет её умений.
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила!
Распространенье наше по планете
Особенно заметно вдалеке:
В общественном парижском туалете
Есть надписи на русском языке

В. Высоцкий

Borland вне форума  

Опции темы

Ваши права в разделе
Вы НЕ можете создавать новые темы
Вы не можете отвечать в темах.
Вы НЕ можете прикреплять вложения
Вы НЕ можете редактировать свои сообщения

BB код Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +4, время: 21:35.




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.