!关于ca互操作性
没有ca互操作性,cisco ios设备实施ipsec时不能使用ca们。ca提供了一种可管理,可扩展的解决方案给ipsec网络。
#支持的标准有
·IPSec—IP Security Protocol
·Internet Key Exchange (IKE)
·Public-Key Cryptography Standard #7 (PKCS #7)
·Public-Key Cryptography Standard #10 (PKCS #10)
·RSA Keys
·X.509v3 certificates
#局限性
当配置你的ca的时候,会有以下的局限性:
·这个特性,只有你在网络中把ipsec和ike都启动了才能用。
·cisco ios软件不支持大于2048位的ca server公钥。
#先决条件
在你配置这个互操作性特性之前,你必须有一个certification authority 服务器,这个ca必须支持cisco system的pki协议,SCEP协议。
!关于ca
#ca的目的
ca是用来响应管理认证请求和实施认证来多方ipsec网络的设备这些服务提供集中key管理给由多方设备们。
ca简单化ipsec网络设备的管理。你可以在有包含多ipsec兼容设备(如路由器)的网络中使用ca。
数字签名,通过公钥加密开启,它提供一种,数码地验证设备和单独的用户的手段。在公钥密码学中,像rsa加密系统,每个用户有一个钥匙对包含一个公钥和一个私钥。key们扮演互补的角色,且任何使用一个key加了密的东西,能用另一个来解密。
在简单的条件下,一个签名是在数据被使用一个用户的密钥加密的时候形成的。接受者使用发送者的公钥来辨认解密这消息的签名。事实上这消息可以使用发送者的公钥显示持有者的私钥进行解密,发送者,必须已经建立了这个消息。这个过程,减弱了接受者的对发送者的公钥拷贝和认证度确信程度。
数字认证提供一条链路。数据认证包含需要认证的用户或设备的信息,如名字,序列号,公司,部门,或者ip地址。它也包含一份公钥的拷贝。认证本身由ca来认证,一个明确被接收者信任的有效识别的且用来建立数字认证的第三方。
为了提供ca的签名,接收者必须首先知道ca的公钥。正常情况下,这个过程是由out-of-band或者通过一个安装过程中的操作来完成的。例如,大多数浏览器默认是由几个ca的公钥来配置的。internet key exchange(ike),ipsec的一个重要零件,可以在建立安全关联之前使用数字签名来扩展认证对等体设备。
没有数字签名,一必须在使用ipsec保护的设备彼此之间手动地交换公钥或者秘密。没有认证,每个新的设备加到网络中需要在其他每个设备都要与它安全通讯,他们交换认证和数字标识数据来认证彼此。当一个新的设备添加到网络中,使用ca进行一个简单的登记,且没有其他设备需要需要管理。当这个新的设备试图建立一个ipsec连接,认证自动地交换,设备可以被认证。
没有ca,如果你想开启ipsec服务(如加密encryption)在两个cisco路由器之间,你必须首先确保每个路由器有另一个路由器的key,(比如,rsa的public key或shared key)。这需要你必须手动地进行一种以下操作:
·在每个路由器,键入另一个路由器的rsa public key
·在每个路由器,指定一个用在所有路由器上的shared key
图1,没有ca:路由器之间的钥匙通过手动配置。
每个路由器使用使用另一个路由器的key来验证另一个路由器的标识;这个验证往往发生在ipsec流量在两个路由器交换了的时候。
图2,没有ca:四个ipsec路由器需要配置6个两方向key。
每次一个新的路由器添加在ipsec网路的时候,你必须在新路由器和每个已存在的路由器之间配置key。
因此,已存在在ipsec服务网络中的设备越多,这个管理问题就越麻烦。扩展性不好。
#实施有ca的ipsec。
有了ca,你不必再去在所有加密路由器上配置key。你可以把管理key的事务交给ca。当这些完成,每个参与的路由器可以动态地认证所有其他参与的路由器。这个过程如图所示。
添加一个新的ipsec路由器到网络中,你仅仅需要在ca上配置新路由器的相关必须认证信息,而不是在已存在的ipsec路由器上配置多个key。
#p##实施带有多个根ca的ipsec。
带有多个根ca,你不必登记新的带有ca处理认证对等体的路由器,而是配置一个带有多个信任的ca的路由器。这样,一个路由器可以使用配置好了的ca来辨认由不涉及相同ca设定的对等体提供的验证。
配置多个ca允许两个或者更多路由器登记在不同的域(不同的ca)在使用ike建立ipsec隧道的时候辨认彼此之间的标识。
通过简单认证登记协议(simple certifacate enrollmentprotocol,scep),每个路由器都配了ca(登记ca)。ca处理到路由器用ca的私钥标识的认证。要辨别相同域中的认证对等体,路由器也和登记ca配置认证。
要认证不同域的对等体,登记ca的根验证在对等体中必须配置安全性在路由器上。
在ike阶段1标识辨认过程中,初始者将发送给回应者一个它的ca认证列表。回应者应该由一个列表中的ca发送认证处理。如果认证被识别(成功),路由器保存包含在公钥令牌的认证。
有多个根ca,vpn用户可以在一个域和容易地安全地在分布到其他域中建立信任。这样,它所需的私有通讯通道及在不同域发生认证的资格就产生了。
#ipsec设备如何使用ca认证。
当两个ipsec路由器想要交换ipsec保护的流量穿过自身的时候,他们必须首先认证彼此,否则ipsec保护是不会发生的。认证是通过ike完成的。没有ca,一个路由器认证他自己到远端路由器,使用rsa加密的或者preshare的key。两种方式都需要key必须已经在两个路由器上都配了。
有了ca,路由器认证他自己到远端路由器,是发送一个认证到远端路由器,然后进行一些公钥密码学运算。每个路由器必须发送自己私有的唯一的认证,这个认证是由ca产生并确认的。这个处理工作因为是每个路由器封装公钥之间的认证,每个人正由ca认证,且所有参与的路由器识别ca作为认证者。这个设计叫做带有rsa签名的ike。
你的路由器可以继续发送它自己的认证给多个ipsec会话,且给多个ipsec对等体直到认证过期。当他的认证过期,路由器管理员必须从ca获得一个新的。
ca也能从不再参与ipsec的设备中撤销认证。撤销认证是不再被其他的ipsec设备所识别。撤销认证是一个列在crl(certificate revocation list)的列表,每个对等体可以在从其他对等体检查之后再允许。
#关于ra(registration authorities)
一些ca也有ra作为他们实施的一部分。一个ra的本质上就是一个ca的代理,实现ca功能可以在下线后延续。