Pix: Utilizzare Certification Authority (CA) per VPN IpSec

Sul Pix l'alternativa all'uso di pre-shared keys per autenticare i due peer di un tunnel IpSec è usare i certificati X.509 gestiti da una CA (Certification Authority come Verisign o una propria gestita internamente).
La configurazione del tunnel è sostanzialmente la stessa, nei due metodi, cambia il comando per assegnare
isakmp policy 10 authentication pre-share - Per usare chiavi (password) prestabilite
isakmp policy 10 auth rsa-sig - Per usare firme digitali certificate da una CA
Cambiano ovviamente i comandi specifici per definire la chiave prestabilita o la gestione di una CA.

E' fondamentale configurare un nome di host e di dominio per il proprio Pix e mantenerlo coerente con quello registrato presso la CA:
hostname superpix
domain-name miodominio.it
A questo punto, sempre in conf mode, vanno digitati dei comandi che servono per stabilire un contatto con la CA, non tutti vengono salvati nella configurazione.
Assicurarsi di avere l'ora del Pix settata sul fuso orario di Greenwitch GMT, in quanto molte CA si basano sul GMT per le date di assegnazione e revoca dei certificati.

Si generano le chiavi RSA del Pix (una volta dato il comando viene visualizzata a video):
ca generate rsa key 512
Le chiavi vengono salvate su un file autonomo sulla flash. Per visualizzarlo: show ca my rsa key .
512 è la lunghezza in bit del modulo. Più è grande più le chiavi sono sicure ma lungo il processo di criptazione.
Un valore ragionevole è 768.

Ci si registra presso la CA (anche questi comandi non vengono salvati e vanno dati una volta sola). Usare un nome univoco per la CA, che verrà usato nel resto della configurazione, qui è un FDQN (può essere imposto dalla CA) ma può essere anche una singola parola come mia_ca. Specificare poi l'IP con cui raggiungerlo, eventualmente seguito dall'URL completo con vi si accede via HTTP al server CA (cgi-bin/pkiclient.exe è il valore di default):
ca identity ca-server.esempio.it 10.0.100.20:cgi-bin/pkiclient.exe
Si imposta un tentativo ogni 2 minuti per 20 volte per contattare la CA. L'invio di CRL (Certificate Revocation List) da parte della CA è opzionale.
ca configure ca-server.esempio.it ra 2 20 crloptional
I due suddetti comandi restano salvati nella configurazione.

Ci si autentica presso la CA configurata. Assicurarsi che il certificato per il proprio Pix sia stato creato sul server della Certification Authority (proprio o esterno) e di avere la password per registrare (enrollment) il proprio Pix sul server (questi comandi NON vengono salvati in configurazione):
ca authenticate ca-server.esempio.it
ca enroll ca-server.esempio.it password serial
L'opzione serial invia alla CA un numero seriale del Pix. La password va ricordata (non viene salvata) in quanto necessaria se si vuole revocare o rinnovare l'enrollment.

A questo punto si può verificare se ci si è registrati correttamente con la ca con il comando show ca certificate
Se è tutto a posto e il certificato è stato ottenuto, salvare le impostazioni con ca save all.
Questo comando, che non viene salvato in configurazione, va reimpostato ogni volta che si modifica, cancella o alterna qualche impostazione con il comando ca.

Il resto della configurazione è simile a quello di un normale tunnel IpSec, salvo dove si configura IKE per usare i certificati:
isakmp policy 10 auth rsa-sig

Privacy Policy