Ein Cisco Router ist vielseitig einsetzbar, das wissen wir wohl alle. Er kann sogar als CA dienen und automatisiert Zertifikate ausstellen. Dafür kann man SCEP oder EST nutzen. Hier eine kleine Anleitung wie man eine CA erstellt und Zertifikate per SCEP verteilt.
Zuerst müsst ihr einen NTP Server haben und alle Komponenten die die Zertifikate nutzen damit syncen. Das ist sehr wichtig.
PKI/CA Konfig auf Cat8000v:
ip domain name lab.lab ip http server crypto key generate rsa general-keys label ROOT-CA modulus 2048 exportable crypto pki trustpoint ROOT-CA rsakeypair ROOT-CA crypto pki server ROOT-CA issuer-name CN=ROOT-CA, O=lab, C=lab database level complete database url tftp://172.110.118.10 hash sha256 lifetime ca-certificate 3560 lifetime certificate 3560 lifetime crl 24 auto-rollover 90 cdp-url http://172.110.118.10/ROOT-CA.crl
Die Database URL ist der Ort an dem alles gespeichert wird, das ist per default der NVRAM des Routers. Aber es ist immer besser diese Sachen „extern“ zu speichern. Dort wird auch die Certificate Revocation List (CRL) abgelegt. Die URL dazu seht ihr in der letzten Zeile, sie muss per HTTP abrufbar sein, also achtet darauf welchen Server ihr nutzt. Bei mir ist das einfach eine Linuxkiste.
Warum schreibe ich das per TFTP? FTP war wahnsinnig langsam und SCP funktionierte nicht. Obwohl beides per copy Befehl wunderbar funktionierte. Da es nur für ein Labor ist und ich einfach nur schnell und einfach Zertifikate möchte, ist mir das jetzt so Recht.
Show Befehle:
show crypto pki server ROOT-CA […]
Wie bekommen andere nun ein Zertifikat?
ip domain name lab.lab crypto key generate rsa modulus 2048 crypto pki trustpoint ROOT-CA enrollment url http://8.8.8.8 subject-name CN=R1,O=lab,C=lab revocation-check crl exit crypto pki authenticate ROOT-CA yes crypto pki enroll ROOT-CA ciscocisco ciscocisco yes no yes end
Die Enrollment URL ist eine IP des CA Routers, in diesem Fall das Loopback0.
Show Befehle:
show crypto pki certificates
Nun ist ein Zertifikate auf dem Router R1 ausgerollt, genauso geht es mit anderen Routern oder Switchen. Am denkt dran den Wert hinter „CN=“ anzupassen, da steht der Routername.