Jump to content

Grundlagen Cisco PKI ohne CA

Whistleblower

Von Whistleblower
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Whistleblower Experienced

Whistleblower   45

Geschrieben
Geschrieben

So, hab mal ein neues Thema aufgemacht, der alte Thread passt ja nicht mehr ganz zur Überschrift... ;-)

 

Ich kämpfe gerade damit, zwei Standorte mit einem zertifikatsbasierten VPN zu verbinden.

Früher setzten beide Lokationen Linux-Server (BenHur/Collax) mit selfsigned Certis ein.

Jetzt steht auf einer Seite ein Cisco 871, die andere Seite ist Linux wie gehabt. Eine CA-Struktur ist nicht vorgesehen.

Der Cisco hat ein selfsigned Certifikat, die Gegenseite ist als Trustpoint mit ihrem public key auf dem Cisco eingetragen.

Bekomme trtozdem noch folgende Fehlermeldungen:

 

052348: Dec 20 07:46:15.758 UTC: CRYPTO_PKI: looking for cert in handle=..., digest=

...

052349: Dec 20 07:46:15.758 UTC: CRYPTO_PKI: Cert record not found, returning E_NOT_FOUND

052350: Dec 20 07:46:15.758 UTC: CRYPTO_PKI: chain received from peer contained only self-signed certs and they were discarded

052351: Dec 20 07:47:32.765 UTC: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and is not an initialization offer

 

Daraus entnehme ich zwei Probleme:

- Der Cisco akzeptiert keine selfsigned Certs (warum auch immer)

- Die Gegenstelle hat evtl. mein Cert nicht (richtig) installiert

 

Wie bekomme ich den Cisco dazu, das Cert der Gegenseite zu akzeptieren?

Der Publickey als auch der Fingerprint sind ihm schon bekannt...

Link zu diesem Kommentar
Whistleblower Experienced

Whistleblower   45

Geschrieben
  • Autor
Geschrieben

Damit kann ich leider nicht dienen, nicht meine Baustelle...

Habe aber noch ein anderes Problem...

Habe auf dem Cisco nochmal alle Keys gelöscht (zeroize rsa) und anschließend einen neuen key angelegt, und damit ein selfsigned Cert erstellt.

Wenn ich das jetzt exportiere und unter Windows zum Anschauen öffnen will, bekomme ich die Fehlermeldung

Diese Datei ist für folgende Verwendung ungültig: Sicherheitszertifikat.

 

Ich vermute mal, dass das an der Passphrase liegt, die Cisco zwingend beim Export verlangt?

Kann ich das irgendwie umgehen?

Link zu diesem Kommentar
Whistleblower Experienced

Whistleblower   45

Geschrieben
  • Autor
Geschrieben

Ja, das hab ich auch schon mitbekommen, dass er das dauerhaft speichert (12.4 läuft auf dem Cisco). Ist ja auch in Ordnung soweit, sonst hätte man VPN-technisch mit nem selfsigned Cert echt Trouble, wenn sich der Key nach jedem Stromausfall/reboot wieder ändert...

Ich werde das wohl bei Gelegenheit mal im Lab mit self-signed Certs versuchen, sollte ja eigentlich gehen...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...