The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"VPN на сертификатах"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"VPN на сертификатах"  +/
Сообщение от andr email(??) on 01-Июн-09, 16:57 
Господа, подскажите. Я не до конца понимаю схему работы.
Решил поднять туннели не на пре-шаред ключе а на  сертификатах, в качестве СА-сервера 28хх роутер.
Итак я провел эксперимент, один роутер СА-сервер, два других клиенты. Сертификаты раздал, каждый с СА-сервером коннектится нормально, тунель поднимается.
Но, между друг-другом клиентские роутеры поднимают только тогда, когда доступен СА-сервер.

в логе видем:
000097: Jun  1 16:32:27.076 MSK: CRYPTO_CS: received a SCEP request, 1678 bytes
000098: Jun  1 16:32:27.076 MSK: CRYPTO_CS: read SCEP: registered and bound service SCEP_READ_DB_8
000099: Jun  1 16:32:27.088 MSK: CRYPTO_CS: scep msg type - 22
000100: Jun  1 16:32:27.088 MSK: CRYPTO_CS: trans id - 1
000101: Jun  1 16:32:27.108 MSK: CRYPTO_CS: read SCEP: unregistered and unbound service SCEP_READ_DB_8
000102: Jun  1 16:32:27.112 MSK: CRYPTO_CS: received a GetCRL request
000103: Jun  1 16:32:27.112 MSK: CRYPTO_CS: write SCEP: registered and bound service SCEP_WRTE_DB_8
000104: Jun  1 16:32:27.152 MSK: CRYPTO_CS: write SCEP: unregistered and unbound service SCEP_WRTE_DB_8
000105: Jun  1 16:32:27.168 MSK: CRYPTO_CS: CRL sent

Я не могу понять, получается если СА сервер недоступен, то туннель не поднимится? А что происходит?что за запроссы на СА идут? по логу ничо не понятно.

Спасибо

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "VPN на сертификатах"  +/
Сообщение от ilya (ok) on 01-Июн-09, 17:02 
проверка CRL?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "VPN на сертификатах"  +/
Сообщение от andr email(??) on 01-Июн-09, 17:53 
>проверка CRL?

логично
а схема CA+Subordinate будет отказоустойчиво работать. можно настроить, чтобы чекил если не на одном, то на другом. Типа если СА упадет, то пол страны не оставить без сети

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "VPN на сертификатах"  +/
Сообщение от RET email(ok) on 02-Июн-09, 11:46 
Была похожая проблемма, не поднималься тунель от филиала до центрального офиса пока циска в филиале не проверит сертификат на CA-сервере который стоял во внутренней сетке главного офиса (а туда из филиала без поднятого тунеля не добраться). Решил отключением проверки отзыва сертификата на роутерах в филиалах:

crypto pki trustpoint my-cert
  revocation-check none

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "VPN на сертификатах"  +/
Сообщение от andr email(??) on 05-Июн-09, 10:33 
Встал вопрос об организации бекапного СА сервера. Для этих целей насколько я понял используется subordinate сервер, на котором ты используешь те же rsa ключи.
Т.е. задача такая. VPN на сертификатах, куча туннелей, но если недоступен корневой СА сервер, то чтобы revocation-check проводился на subordinate?
такое реально?или я неправильно понимаю структуру?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру