внедрение DTLS на Catalyst C9k с ISE 3.3
-
Здравствуйте, Я пытаюсь реализовать DTLS на Catalyst. На данный момент у меня есть сертификат DTLS на ISE, и конфигурация на коммутаторе достаточно хороша, чтобы начать отправлять DTLS на ISE. В пакете захвата я вижу, что коммутатор доверяет ISE: ISE к NAD: Server Hello Done
NAD к ISE : Сертификат, обмен ключами клиента, изменение спецификации шифрования, зашифрованное сообщение рукопожатия
ISE к NAD : предупреждение : сбой рукопожатия Однако, расширив часть «Сертификат» в Wireshark, я не вижу сертификата клиента, а длина сертификата равна 0. Я думаю, что причина, по которой ISE отправляет сообщение об ошибке рукопожатия, заключается в том, что на самом деле нет сертификата клиента, или я что-то упускаю? На стороне коммутатора у меня есть точка доверия клиента dtls, построенная на сертификате идентификации CA+ с цифровой подписью и аутентификацией клиента EKU. Это сертификат ECDSA, поскольку вся цепочка является ECDSA. Знаете ли вы, в чем может быть проблема? Я не нашел никаких доказательств в журналах коммутатора. -
Наконец-то я нашел способ, как это сделать! На самом деле сообщение об ошибке
,
которое я видел при отладке криптографического PKI «
%PKI-3-KEY_CMP_MISMATCH: ключ в сертификате и сохраненный ключ не совпадают для Trustpoint», всегда присутствует и не означает, что при импорте возникла проблема. Проблема заключалась в том, что коммутатор не считал сертификат ECDSA действительным для использования DTLS. Потому что, когда я попробовал использовать сертификат RSA, все работало отлично. В прошлом у нас были проблемы с сертификатами RSA, потому что наша цепочка доверия подписана с помощью ECDSA, поэтому я выбрал сертификат, подписанный с помощью ECDSA, чтобы вся цепочка имела один и тот же алгоритм. По-видимому, для DTLS согласованность алгоритмов цепочки не важна, и только сертификаты идентичности, подписанные с помощью RSA, считаются действительными. -
@Kalipso
Да, убедитесь, что NAD (коммутатор) и ISE имеют сертификаты идентификации клиента и оба доверяют выдающему их центру сертификации. [) [) -
Как выглядит ваша конфигурация и что вы делаете в журналах ISE? Предоставьте вывод show running-config | section radius Можете ли вы опубликовать вывод ниже: however expanding the Certificate part in wireshark I see no client certificate, and certificate lenght=0. он должен быть способен отправить полную цепочку, если ISE не имеет промежуточного CA. Однако «Length 0» конкретно означает, что коммутатор не считает, что у него есть действительный сертификат, который можно представить для
целей, запрошенных ISE Запустите отладку: debug crypto pki transactions BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco -
Вот моя конфигурация: crypto pki trustpoint MME
enrollment terminal
usage ssl-client
subject-name CN=myswitch.local.domain
subject-alt-name myswitch.local.domain
revocation-check crl
eckeypair MME-key
hash sha512
! Запустив отладку crypto pki, я обнаружил, что при импорте сертификата коммутатора ключ неверный: Получен сертификат общего назначения для пары ключей подписи Хотите ли вы принять этот сертификат? [да/нет]: да % Сертификат маршрутизатора успешно импортирован 001400: 10 февраля 17:37:57.626 CET: CRYPTO_PKI: создать список trustedCerts для MME 001402: 10 февраля 17:37:57.628 CET: PKI:get_cert MME 0x10 (expired=0):
001403: 10 февраля 17:37:57.652 CET: CRYPTO_PKI: Невозможно выбрать мой открытый ключ (MME-key)
001404: 10 февраля 17:37:57.652 CET: CRYPTO_PKI: Невозможно выбрать мой открытый ключ (MME-key#)
001405: 10 февраля 17:37:57.653 CET: %PKI-3-KEY_CMP_MISMATCH: Ключ в сертификате и сохраненный ключ не совпадают для Trustpoint-MME.
001406: 10 февраля 17:37:57.653 CET: Вызов pkiSendCertInstallTrap для отправки предупреждения Почему ключи не совпадают? Я только что создал его, использовал для создания trustpoint и csr. -
Следуйте приведенному ниже руководству — убедитесь, что исходный интерфейс правильно сопоставлен. https://www.cisco.com/c/en/us/support/docs/security-vpn/public-key-infrastructure-pki/220422-configure-ca-signed-certificates-with-io.html BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco -
Мы провели тестирование с версиями 3.2 и 17.12.5. Можете ли вы поделиться конфигурацией радиуса коммутатора? sh run | sec radius
-
Похоже, ISE ожидает сертификат клиента, но не получает его. Обычно это происходит, если точка доверия коммутатора не привязана должным образом к профилю DTLS или сертификат недействителен для аутентификации клиента в формате, приемлемом для ISE. Я бы дважды проверил назначение точки доверия для DTLS, полную цепочку сертификатов на коммутаторе и то, что ISE настроен на доверие к этому ЦС. Также убедитесь, что время/срок действия сертификата в порядке. Я видел, как отсутствие промежуточных центров сертификации также вызывало эту проблему.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти