网络工程 - 如何在 Cisco IOS 上使用 HTTP CRL？ - 吾爱随笔录

如何在 Cisco IOS 上使用 HTTP CRL？

网络工程思科思科-ios

2021-07-11 19:09:36

在运行 IOS 15.6(3)M7 的 Cisco 867 上，我尝试执行以下操作：

TEST-GW1(config)#crypto pki trustpoint vpn-p2s-server-11 
TEST-GW1(ca-trustpoint)#crl query http://myvpn/crls/21.crl
% URL must begin with ldap://

我找到了这篇文章：https : //community.cisco.com/t5/other-security-subjects/crl-request-via-ldap-on-c2611/td-p/214237似乎描述了同样的问题，表明可能有一个标志或字段我需要在信任点证书中进行不同的设置，但我无法弄清楚我需要在那里更改以允许信任点的 HTTP CRL 端点。

另外，我发现了这个：https : //www.cisco.com/c/en/us/td/docs/ios-xml/ios/security/a1/sec-a1-xe-3se-3850-cr- book/sec-a1-xe-3se-3850-cr-book_chapter_0100.pdf第 5 页的顶部显示了一个示例，该示例使用的命令与我在上面的示例中使用的命令相同，其中 HTTP CRL 端点工作。

导入的信任点证书已经包含一个 HTTP CRL 端点，据我所知，没有提到 LDAP。

我必须做什么才能允许在该信任点上使用 HTTP CRL 查找？

编辑：

我正在导入的证书中已经有一个 HTTP CRL 分发点，但没有显示在 CRL 列表中：

HOST#show crypto pki certificates
  Certificate
  Status: Available
  Certificate Serial Number (hex): 00EA9801
  Certificate Usage: General Purpose
  Issuer: 
    cn=Test Intermediate CA
    o=MyVPN
    c=NZ
  Subject:
    Name: test.vpn.local
    cn=test.vpn.local
    o=MyVPN
    c=NZ
  CRL Distribution Points: 
    http://myvpn/crls/21.crl
  Validity Date: 
    start date: 13:22:25 NZST Apr 23 2020
    end date: 13:22:25 NZST Apr 23 2023
  Associated Trustpoints: vpn-p2s-server-11 
  Storage: nvram:myvpntest#8B45.cer

HOST#show crypto pki crls
HOST#

2个回答

不确定我是否可以直接帮助您使用该命令，但我可以向您展示在信任点内检查 CRL 的另一种方法。请参阅以下配置：

Router(config)#crypto pki trustpoint INTERNALCA
Router(ca-trustpoint)#vrf LAN
Router(ca-trustpoint)#fqdn router.company.local
Router(ca-trustpoint)#subject-name CN=router.company.local,O=COMPANY,OU=BRANCH,ST=AT,L=HUSTON,C=US
Router(ca-trustpoint)#rsakeypair roRZ101
Router(ca-trustpoint)#revocation-check crl <------------ important command
Router(ca-trustpoint)#enrollment terminal pem
Router(ca-trustpoint)#fingerprint 3fff1121ac19736fcbaeb6f0244d34d64ee4cb3b
Router(ca-trustpoint)#exit

如果您随后根据此信任点将证书导入路由器，则您需要在证书中包含 CRL URL。在 Windows 环境中，您通常会有 2 个 URL。一个用于内部 Windows 客户端的 LDAP 和一个可用于内部或外部其他客户端的 HTTP。然后，您需要确保此 CRL 经常从您的 CA 上传到服务器，在那里它可以通过 URL 访问。如果您检查路由器上的证书，您可以看到嵌入的 CRL URL：

Router#show crypto pki certificates INTERNALCA
Certificate
  Status: Available
  Certificate Serial Number (hex): 110000001D082B67CDE01F7B4100000000001D
  Certificate Usage: General Purpose
  Issuer: 
    cn=COMPANY Root Certificate Authority
    ou=IT
    o=COMPANY
    c=US
  Subject:
    Name: router.company.local
    cn=router.company.local
    ou=BRANCH
    o=COMPANY
    l=HUSTON
    st=AT
    c=US
  CRL Distribution Points: 
    http://ca.company.com/Root%20Certificate%20Authority.crl
    ldap:///CN=Root%20Certificate%20Authority,CN=SERVER02,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=company,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint
  Validity Date: 
    start date: 11:33:08 CET Mar 23 2018
    end   date: 11:33:08 CET Mar 20 2028
  Associated Trustpoints: INTERNALCA
  Storage: nvram:COMPANYROOTCe#1D.cer

如果您创建 VPN 连接或以其他方式使用信任点，您可以使用以下命令检查路由器上缓存的 CRL：

Router#show crypto pki crls 
CRL Issuer Name: 
    cn=Root Certificate Authority,ou=IT,o=COMPANY,c=US
    LastUpdate: 08:41:50 CEST Apr 16 2020
    NextUpdate: 21:01:50 CEST Apr 19 2020

    CRL downloaded at: 09:00:48 CEST Apr 16 2020

    Retrieved from CRL Distribution Point: 
      http://ca.company.com/Root%20Certificate%20Authority.crl

 CRL DER is 1946 bytes
 CRL is stored in parsed CRL cache


Parsed CRL cache current size is 1946 bytes
Parsed CRL cache maximum size is 65536 bytes

由于通常只能从网络外部访问 HTTP URL，因此在建立 VPN 连接时会出现错误，例如：

*Apr  9 09:20:27.100: %PKI-4-CRL_LDAP_QUERY: An attempt to retrieve the CRL from ldap:///CN=Root%20Certificate%20Authority,CN=SERVER02,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=company,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint using LDAP has failed

可以忽略此错误，因为可以毫无问题地下载通过 HTTP 的 CRL，并且将建立 VPN 连接。所以我不提供直接的解决方案，但我建议您将 CRL URL 集成到证书本身中。

如果您在 Windows CA 上创建证书，则 CRL 字段如下所示：

我有点受过教育的猜测是 Cisco 在以后的版本中为该命令添加了选项，并且由于 IOS 15.4(3)M 相当旧（2014），我猜 http:// 选项是后来添加的。

因此，我的建议是更新到下一个分支的最新版本，直到您的命令再次开始工作。

其它你可能感兴趣的问题

上一篇相当于 NX-OS 上的“ip dhcp snooping information option allow-untrusted” 下一篇使用正确的 TCP 序列号丢失的数据包。是否可以？