VPN на сертификатах, andr, 01-Июн-09, 16:57 [смотреть все]Господа, подскажите. Я не до конца понимаю схему работы. Решил поднять туннели не на пре-шаред ключе а на сертификатах, в качестве СА-сервера 28хх роутер. Итак я провел эксперимент, один роутер СА-сервер, два других клиенты. Сертификаты раздал, каждый с СА-сервером коннектится нормально, тунель поднимается. Но, между друг-другом клиентские роутеры поднимают только тогда, когда доступен СА-сервер.в логе видем: 000097: Jun 1 16:32:27.076 MSK: CRYPTO_CS: received a SCEP request, 1678 bytes 000098: Jun 1 16:32:27.076 MSK: CRYPTO_CS: read SCEP: registered and bound service SCEP_READ_DB_8 000099: Jun 1 16:32:27.088 MSK: CRYPTO_CS: scep msg type - 22 000100: Jun 1 16:32:27.088 MSK: CRYPTO_CS: trans id - 1 000101: Jun 1 16:32:27.108 MSK: CRYPTO_CS: read SCEP: unregistered and unbound service SCEP_READ_DB_8 000102: Jun 1 16:32:27.112 MSK: CRYPTO_CS: received a GetCRL request 000103: Jun 1 16:32:27.112 MSK: CRYPTO_CS: write SCEP: registered and bound service SCEP_WRTE_DB_8 000104: Jun 1 16:32:27.152 MSK: CRYPTO_CS: write SCEP: unregistered and unbound service SCEP_WRTE_DB_8 000105: Jun 1 16:32:27.168 MSK: CRYPTO_CS: CRL sent Я не могу понять, получается если СА сервер недоступен, то туннель не поднимится? А что происходит?что за запроссы на СА идут? по логу ничо не понятно. Спасибо
|
- VPN на сертификатах, ilya, 17:02 , 01-Июн-09 (1)
- VPN на сертификатах, andr, 17:53 , 01-Июн-09 (2)
>проверка CRL? логично а схема CA+Subordinate будет отказоустойчиво работать. можно настроить, чтобы чекил если не на одном, то на другом. Типа если СА упадет, то пол страны не оставить без сети
- VPN на сертификатах, RET, 11:46 , 02-Июн-09 (3)
Была похожая проблемма, не поднималься тунель от филиала до центрального офиса пока циска в филиале не проверит сертификат на CA-сервере который стоял во внутренней сетке главного офиса (а туда из филиала без поднятого тунеля не добраться). Решил отключением проверки отзыва сертификата на роутерах в филиалах:crypto pki trustpoint my-cert revocation-check none
- VPN на сертификатах, andr, 10:33 , 05-Июн-09 (4)
Встал вопрос об организации бекапного СА сервера. Для этих целей насколько я понял используется subordinate сервер, на котором ты используешь те же rsa ключи. Т.е. задача такая. VPN на сертификатах, куча туннелей, но если недоступен корневой СА сервер, то чтобы revocation-check проводился на subordinate? такое реально?или я неправильно понимаю структуру?
|