没有ca互操作性,cisco ios设备实施ipsec时不能使用ca们。ca提供了一种可管理,可扩展的解决方案给ipsec网络。
#支持的标准有
·IPSec—IP Security Protocol
·Internet Key Exchange (IKE)
·Public-Key Cryptography Standard #7 (PKCS #7)
·Publi c-Key Cryptography Standard #10 (PKCS #10)
·RSA Keys
·X.509v3 certificates
#局限性
当配置你的ca的时候,会有以下的局限性:
·这个特性,只有你在网络中把ipsec和ike都启动了才能用。
·cisco ios软件不支持大于2048位的ca server公钥。
#先决条件
在你配置这个互操作性特性之前,你必须有一个certification authority 服务器,这个ca必须支持cisco system的pki协议,SCEP协议。
!关于ca
#ca的目的
ca是用来响应管理认证请求和实施认证来多方ipsec网络的设备这些服务提供集中key管理给由多方设备们。
ca简单化ipsec网络设备的管理。你可以在有包含多ipsec兼容设备(如路由器)的网络中使用ca。
数字签名,通过公钥加密开启,它提供一种,数码地验证设备和单独的用户的手段。在公钥密码学中,像rsa加密系统,每个用户有一个钥匙对包含一个公钥和一个私钥。key们扮演互补的角色,且任何使用一个key加了密的东西,能用另一个来解密。
在简单的条件下,一个签名是在数据被使用一个用户的密钥加密的时候形成的。接受者使用发送者的公钥来辨认解密这消息的签名。事实上这消息可以使用发送者的公钥显示持有者的私钥进行解密,发送者,必须已经建立了这个消息。这个过程,减弱了接受者的对发送者的公钥拷贝和认证度确信程度。
数字认证提供一条链路。数据认证包含需要认证的用户或设备的信息,如名字,序列号,公司,部门,或者ip地址。它也包含一份公钥的拷贝。认证本身由ca来认证,一个明确被接收者信任的有效识别的且用来建立数字认证的第三方。
为了提供ca的签名,接收者必须首先知道ca的公钥。正常情况下,这个过程是由out-of-band或者通过一个安装过程中的操作来完成的。例如,大多数浏览器默认是由几个ca的公钥来配置的。internet key exchange(ike),ipsec的一个重要零件,可以在建立安全关联之前使用数字签名来扩展认证对等体设备。
没有数字签名,一必须在使用ipsec保护的设备彼此之间手动地交换公钥或者秘密。没有认证,每个新的设备加到网络中需要在其他每个设备都要与它安全通讯,他们交换认证和数字标识数据来认证彼此。当一个新的设备添加到网络中,使用ca进行一个简单的登记,且没有其他设备需要需要管理。当这个新的设备试图建立一个ipsec连接,认证自动地交换,设备可以被认证。
#实施带有多个根ca的ipsec。
带有多个根ca,你不必登记新的带有ca处理认证对等体的路由器,而是配置一个带有多个信任的ca的路由器。这样,一个路由器可以使用配置好了的ca来辨认由不涉及相同ca设定的对等体提供的验证。
配置多个ca允许两个或者更多路由器登记在不同的域(不同的ca)在使用ike建立ipsec隧道的时候辨认彼此之间的标识。
通过简单认证登记协议(simple certifacate enrollmentprotocol,scep),每个路由器都配了ca(登记ca)。ca处理到路由器用ca的私钥标识的认证。要辨别相同域中的认证对等体,路由器也和登记ca配置认证。
要认证不同域的对等体,登记ca的根验证在对等体中必须配置安全性在路由器上。
在ike阶段1标识辨认过程中,初始者将发送给回应者一个它的ca认证列表。回应者应该由一个列表中的ca发送认证处理。如果认证被识别(成功),路由器保存包含在公钥令牌的认证。
有多个根ca,vpn用户可以在一个域和容易地安全地在分布到其他域中建立信任。这样,它所需的私有通讯通道及在不同域发生认证的资格就产生了。
#ipsec设备如何使用ca认证。
当两个ipsec路由器想要交换ipsec保护的流量穿过自身的时候,他们必须首先认证彼此,否则ipsec保护是不会发生的。认证是通过ike完成的。没有ca,一个路由器认证他自己到远端路由器,使用rsa加密的或者preshare的key。两种方式都需要key必须已经在两个路由器上都配了。
有了ca,路由器认证他自己到远端路由器,是发送一个认证到远端路由器,然后进行一些公钥密码学运算。每个路由器必须发送自己私有的唯一的认证,这个认证是由ca产生并确认的。这个处理工作因为是每个路由器封装公钥之间的认证,每个人正由ca认证,且所有参与的路由器识别ca作为认证者。这个设计叫做带有rsa签名的ike。
你的路由器可以继续发送它自己的认证给多个ipsec会话,且给多个ipsec对等体直到认证过期。当他的认证过期,路由器管理员必须从ca获得一个新的。
ca也能从不再参与ipsec的设备中撤销认证。撤销认证是不再被其他的ipsec设备所识别。撤销认证是一个列在crl(certificate revocation list)的列表,每个对等体可以在从其他对等体检查之后再允许。
#关于ra(registration authorities)
一些ca也有ra作为他们实施的一部分。一个ra的本质上就是一个ca的代理,实现ca功能可以在下线后延续。
转载地址:http://www.net130.com/CMS/Pub/Tech/tech_zh/2005_10_23_69356_3.htm
