上次介紹了在開源軟體pfSense上使用OpenVPN套件來建立Site-to-Site VPN,讓pfSense下的電腦都能輕易地透過VPN連線取得遠端的資源,本文接續介紹CA的其他相關運用:透過CA在兩部Cisco Router之間建立Site-to-Site VPN。
接著設定CA Server,CA是它的名稱,並且設定其CN=CA.myvpn.com(把hostname和domain-name結合),其餘的欄位因為沒有對外發布,不是正式的CA Server,所以就不加以輸入。
最後,把這個CA Server加以啟動(no shutdown)。
接著,路由器會要求設定一組通行碼來保護CA的密鑰,請自行決定密碼並牢牢記住,待會兒在R1申請憑證時會使用到此密碼。
此時,CA Server已經開始運作了。
R1相關設定:向CA申請憑證
先產生一組RSA的私鑰以及公鑰。在此將長度設定為1024位元(bit),與CA對齊。如果需要在Router上提供ssh登入的功能,這個設定也是必須的。
然後,準備申請憑證的相關資訊。CA指的只是代號,可以自行替代。設定它去向203.70.228.5(CA的外部IP)申請憑證。
接著,開始驗證憑證資料。
運算需要點時間,當看到以下畫面時,記得輸入yes。
完成後,就開始申請使用者憑證:
在輸入密碼時,請輸入在建立CA Server時用來保護CA密鑰的通行碼:
緊接著會詢問一些相關的資訊,依序輸入yes、no、yes即可。序號的部分會自動抓取設備的序號(基於資安考量,這裡用FHKXXXXXXXX取代)。
完成後,可以使用下列指令觀看目前的進度,可以看出在CA Server核可前,Status是Pending的狀態。另外,也可發現在申請憑證時Name和Serial Number都有被運用。
CA向自己申請使用者憑證的部分幾乎都相同,但有些許不同之處:一是無須產生RAS key;二是在設定crypto pki trustpoint時,由於CA這個名字已經用掉,所以要換個名字,筆者是直接使用CA2。以下列出設定不同處:
CA相關設定:核可憑證
核可的動作很簡單,只要grant all就可以了。
也可以查看有哪些設備要求核可憑證(筆者在此以CA自己提出的核可需求做示範),可以發現serialNumber的部分是「使用序號 + 設備名稱」。
在CA核可後,回到R1或CA查看核可的狀態(此處僅節錄其輸出),從中可以發現,cn的部分是預期的CA.myvpn.com,有效日期的起迄時間是預設的三年(可自行調整),Status的部分已經是Available了。
至此,憑證申請及核可的部分已經完成,接著完成IPSec的相關設定。