<![CDATA[Иерархическая PKI с цепочкой сертификатов]]>Здравствуйте, В настоящее время я работаю над следующим лабораторным заданием:
![JUANNN_1-1740621044833.png] Красным цветом я обвел часть топологии, с которой у меня возникли проблемы. Все маршрутизаторы синхронизированы по NTP и имеют включенный HTTP-сервер. Я хочу настроить цепочку сертификатов в отделе MARKETING. Маршрутизатор MARKETING_SUB-CA действует как SUB-CA для отдела MARKETING и аутентифицирован и зарегистрирован с помощью маршрутизатора CA-ROOT. Поэтому на маршрутизаторе MARKETING_SUB-CA установлены 2 сертификата: - Сертификат CA, выданный CA-ROOT - Сертификат ID, выданный CA-ROOT Ниже приведена конфигурация PKI точки доверия CA-ROOT на маршрутизаторе MARKETING_SUB-CA: (я зарегистрировался, все работает, все хорошо) ![JUANNN_2-1740622360427.png] Пока все хорошо. Сервер сертификатов MARKETING_SUB-CA обрабатывает все регистрации от MARKETING SPOKES, снижая нагрузку на CA-ROOT (в сценарии с несколькими спицами). Для этого я использовал следующую конфигурацию для сервера сертификатов на MARKETING_SUB-CA: ( ![JUANNN_3-1740622435597.png] Однако командный
режим sub-cs
НЕ позволяет серверу сертификатов генерировать сертификат CA (это нормально, поскольку это SUB-CA?). Я попробовал удалить его, и тогда CS получил разрешение на генерацию. Однако удаление работает для иерархической PKI без цепочки сертификатов. Мне нужна иерархическая PKI с цепочкой сертификатов. В книге PKI UNCOVERED от Cisco Press говорится, что MARKETING_SPOKE должен быть аутентифицирован с помощью точки доверия CA-ROOT и зарегистрирован с помощью точки доверия MARKETING_SUB-CA. Таким образом, spoke в конечном итоге будет иметь 3 сертификата, и один из них будет сертификатом CA-ROOT CA. В результате имя издателя будет совпадать при использовании сертификатов (CA-ROOT является общим CA) для аутентификации через IKE (с картами сертификатов), поскольку IKE по умолчанию выполняет цепочку сертификатов (ID CERT, выданный SUB-CA для SPOKE -> ID CERT
, выданный CA-ROOT
для SUB-CA) (вот скриншот из примера в книге): ![JUANNN_0-1740623667497.png] Я не могу добиться этого
на своем маршрутизаторе MARKETING_SPOKE. Я использовал следующую конфигурацию: ![JUANNN_1-1740623775672.png] Когда я аутентифицирую доверительную точку CA-ROOT, она работает, и я могу получить сертификат CA-ROOT CA. ![JUANNN_3-1740624001802.png] Но затем я НЕ могу получить сертификаты ID от SUB-CA, потому что он не позволяет мне зарегистрироваться в SUB-CA
: ![JUANNN_2-1740623886453.png] В книге сказано, что нужно использовать команду
chain-validation continue CA-ROOT
, что я и сделал, чтобы указать точке доверия SUB-CA, что ее аутентификация осуществляется путем аутентификации точки доверия CA-ROOT (пожалуйста, исправьте, если это неверно). Кто-нибудь знает, что я сделал не так в настройках? Как я могу установить 2 сертификата ID на SPOKE? Спасибо, любая помощь будет очень ценна. Хуан

]]>https://sla247.ru/forum/topic/996/иерархическая-pki-с-цепочкой-сертификатовRSS for NodeFri, 15 May 2026 08:03:25 GMTSat, 14 Feb 2026 22:09:27 GMT60<![CDATA[Reply to Иерархическая PKI с цепочкой сертификатов on Sat, 14 Feb 2026 22:09:28 GMT]]>Всем привет, Я нашел решение, которое опубликовал по адресу
https://learningnetwork.cisco.com/s/question/0D56e0000EBtH1KCQV/hierarchical-pki-with-certificate-chaining Надеюсь, оно поможет другим, Спасибо, Хуан

]]>https://sla247.ru/forum/post/7062https://sla247.ru/forum/post/7062Sat, 14 Feb 2026 22:09:28 GMT