Grundlagen Cisco PKI ohne CA

[Whistleblower 45]

So, hab mal ein neues Thema aufgemacht, der alte Thread passt ja nicht mehr ganz zur Überschrift... ;-)

 

Ich kämpfe gerade damit, zwei Standorte mit einem zertifikatsbasierten VPN zu verbinden.

Früher setzten beide Lokationen Linux-Server (BenHur/Collax) mit selfsigned Certis ein.

Jetzt steht auf einer Seite ein Cisco 871, die andere Seite ist Linux wie gehabt. Eine CA-Struktur ist nicht vorgesehen.

Der Cisco hat ein selfsigned Certifikat, die Gegenseite ist als Trustpoint mit ihrem public key auf dem Cisco eingetragen.

Bekomme trtozdem noch folgende Fehlermeldungen:

 

052348: Dec 20 07:46:15.758 UTC: CRYPTO_PKI: looking for cert in handle=..., digest=

...

052349: Dec 20 07:46:15.758 UTC: CRYPTO_PKI: Cert record not found, returning E_NOT_FOUND

052350: Dec 20 07:46:15.758 UTC: CRYPTO_PKI: chain received from peer contained only self-signed certs and they were discarded

052351: Dec 20 07:47:32.765 UTC: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and is not an initialization offer

 

Daraus entnehme ich zwei Probleme:

- Der Cisco akzeptiert keine selfsigned Certs (warum auch immer)

- Die Gegenstelle hat evtl. mein Cert nicht (richtig) installiert

 

Wie bekomme ich den Cisco dazu, das Cert der Gegenseite zu akzeptieren?

Der Publickey als auch der Fingerprint sind ihm schon bekannt...

[Wordo 11]

Mich wuerde mal das Log auf der Linux interessieren, ist bestimmt FreeSwan oder OpenSwan.

[Whistleblower 45]

Damit kann ich leider nicht dienen, nicht meine Baustelle...

Habe aber noch ein anderes Problem...

Habe auf dem Cisco nochmal alle Keys gelöscht (zeroize rsa) und anschließend einen neuen key angelegt, und damit ein selfsigned Cert erstellt.

Wenn ich das jetzt exportiere und unter Windows zum Anschauen öffnen will, bekomme ich die Fehlermeldung

Diese Datei ist für folgende Verwendung ungültig: Sicherheitszertifikat.

 

Ich vermute mal, dass das an der Passphrase liegt, die Cisco zwingend beim Export verlangt?

Kann ich das irgendwie umgehen?

[Wordo 11]

Also das die Option abgewaehlt ist hab ich auch noch nie gesehn. Normalerweise stellst du Client- und Serverzertifikate aus wo du die Attribute festlegst. Komisch ...

[Whistleblower 45]

So, bin jetzt erstmal auf PSK ausgewichen, damit gibts keine Probleme...

Würde mich aber trotzdem mal interessieren, ob und wie das ganze mit selfsigned Certis geht...

[Wordo 11]

Sowas schonmal probiert?

 

crypto pki certificate map Group 10

subject-name co ou=gegenstelle

subject-name co o=irgendwasgegenstelle

!

 

crypto pki trustpoint pki1

match certificate Group

!

[Whistleblower 45]

Hm, wär noch ne Idee, wo hast Du das denn wieder hergezaubert? Im Buch finde ich sonst nur schwerpunktmäßig was zu CA...

[Wordo 11]

Persistent Self-Signed Certificates  [Cisco IOS Software Releases 12.3 T] - Cisco Systems

 

Hat aber damit jetzt konkret nicht so viel zu tun

[Whistleblower 45]

Ja, das hab ich auch schon mitbekommen, dass er das dauerhaft speichert (12.4 läuft auf dem Cisco). Ist ja auch in Ordnung soweit, sonst hätte man VPN-technisch mit nem selfsigned Cert echt Trouble, wenn sich der Key nach jedem Stromausfall/reboot wieder ändert...

Ich werde das wohl bei Gelegenheit mal im Lab mit self-signed Certs versuchen, sollte ja eigentlich gehen...