Pix: Utilizzare Certification Authority (CA) per VPN IpSec

Sul Pix l'alternativa all'uso di pre-shared keys per autenticare i due peer di un tunnel IpSec usare i certificati X.509 gestiti da una CA (Certification Authority come Verisign o una propria gestita internamente).
La configurazione del tunnel sostanzialmente la stessa, nei due metodi, cambia il comando per assegnare
isakmp policy 10 authentication pre-share - Per usare chiavi (password) prestabilite
isakmp policy 10 auth rsa-sig - Per usare firme digitali certificate da una CA
Cambiano ovviamente i comandi specifici per definire la chiave prestabilita o la gestione di una CA.

E' fondamentale configurare un nome di host e di dominio per il proprio Pix e mantenerlo coerente con quello registrato presso la CA:
hostname superpix
domain-name miodominio.it

A questo punto, sempre in conf mode, vanno digitati dei comandi che servono per stabilire un contatto con la CA, non tutti vengono salvati nella configurazione.
Assicurarsi di avere l'ora del Pix settata sul fuso orario di Greenwitch GMT, in quanto molte CA si basano sul GMT per le date di assegnazione e revoca dei certificati.

Si generano le chiavi RSA del Pix (una volta dato il comando viene visualizzata a video):
ca generate rsa key 512
Le chiavi vengono salvate su un file autonomo sulla flash. Per visualizzarlo: show ca my rsa key .
512 la lunghezza in bit del modulo. Pi grande pi le chiavi sono sicure ma lungo il processo di criptazione.
Un valore ragionevole 768.

Ci si registra presso la CA (anche questi comandi non vengono salvati e vanno dati una volta sola). Usare un nome univoco per la CA, che verr usato nel resto della configurazione, qui un FDQN (pu essere imposto dalla CA) ma pu essere anche una singola parola come mia_ca. Specificare poi l'IP con cui raggiungerlo, eventualmente seguito dall'URL completo con vi si accede via HTTP al server CA (cgi-bin/pkiclient.exe il valore di default):
ca identity ca-server.esempio.it 10.0.100.20:cgi-bin/pkiclient.exe
Si imposta un tentativo ogni 2 minuti per 20 volte per contattare la CA. L'invio di CRL (Certificate Revocation List) da parte della CA opzionale.
ca configure ca-server.esempio.it ra 2 20 crloptional
I due suddetti comandi restano salvati nella configurazione.

Ci si autentica presso la CA configurata. Assicurarsi che il certificato per il proprio Pix sia stato creato sul server della Certification Authority (proprio o esterno) e di avere la password per registrare (enrollment) il proprio Pix sul server (questi comandi NON vengono salvati in configurazione):
ca authenticate ca-server.esempio.it
ca enroll ca-server.esempio.it password serial

L'opzione serial invia alla CA un numero seriale del Pix. La password va ricordata (non viene salvata) in quanto necessaria se si vuole revocare o rinnovare l'enrollment.

A questo punto si pu verificare se ci si registrati correttamente con la ca con il comando show ca certificate
Se tutto a posto e il certificato stato ottenuto, salvare le impostazioni con ca save all.
Questo comando, che non viene salvato in configurazione, va reimpostato ogni volta che si modifica, cancella o alterna qualche impostazione con il comando ca.

Il resto della configurazione simile a quello di un normale tunnel IpSec, salvo dove si configura IKE per usare i certificati:
isakmp policy 10 auth rsa-sig

Privacy Policy