The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
VPN на сертификатах, !*! andr, 01-Июн-09, 16:57  [смотреть все]
Господа, подскажите. Я не до конца понимаю схему работы.
Решил поднять туннели не на пре-шаред ключе а на  сертификатах, в качестве СА-сервера 28хх роутер.
Итак я провел эксперимент, один роутер СА-сервер, два других клиенты. Сертификаты раздал, каждый с СА-сервером коннектится нормально, тунель поднимается.
Но, между друг-другом клиентские роутеры поднимают только тогда, когда доступен СА-сервер.

в логе видем:
000097: Jun  1 16:32:27.076 MSK: CRYPTO_CS: received a SCEP request, 1678 bytes
000098: Jun  1 16:32:27.076 MSK: CRYPTO_CS: read SCEP: registered and bound service SCEP_READ_DB_8
000099: Jun  1 16:32:27.088 MSK: CRYPTO_CS: scep msg type - 22
000100: Jun  1 16:32:27.088 MSK: CRYPTO_CS: trans id - 1
000101: Jun  1 16:32:27.108 MSK: CRYPTO_CS: read SCEP: unregistered and unbound service SCEP_READ_DB_8
000102: Jun  1 16:32:27.112 MSK: CRYPTO_CS: received a GetCRL request
000103: Jun  1 16:32:27.112 MSK: CRYPTO_CS: write SCEP: registered and bound service SCEP_WRTE_DB_8
000104: Jun  1 16:32:27.152 MSK: CRYPTO_CS: write SCEP: unregistered and unbound service SCEP_WRTE_DB_8
000105: Jun  1 16:32:27.168 MSK: CRYPTO_CS: CRL sent

Я не могу понять, получается если СА сервер недоступен, то туннель не поднимится? А что происходит?что за запроссы на СА идут? по логу ничо не понятно.

Спасибо

Ответить | Сообщить модератору
  • VPN на сертификатах, !*! ilya, 17:02 , 01-Июн-09 (1)
    • VPN на сертификатах, !*! andr, 17:53 , 01-Июн-09 (2)
      >проверка CRL?

      логично
      а схема CA+Subordinate будет отказоустойчиво работать. можно настроить, чтобы чекил если не на одном, то на другом. Типа если СА упадет, то пол страны не оставить без сети

      Ответить | Сообщить модератору
      • VPN на сертификатах, !*! RET, 11:46 , 02-Июн-09 (3)
        Была похожая проблемма, не поднималься тунель от филиала до центрального офиса пока циска в филиале не проверит сертификат на CA-сервере который стоял во внутренней сетке главного офиса (а туда из филиала без поднятого тунеля не добраться). Решил отключением проверки отзыва сертификата на роутерах в филиалах:

        crypto pki trustpoint my-cert
          revocation-check none

        Ответить | Сообщить модератору
  • VPN на сертификатах, !*! andr, 10:33 , 05-Июн-09 (4)
    Встал вопрос об организации бекапного СА сервера. Для этих целей насколько я понял используется subordinate сервер, на котором ты используешь те же rsa ключи.
    Т.е. задача такая. VPN на сертификатах, куча туннелей, но если недоступен корневой СА сервер, то чтобы revocation-check проводился на subordinate?
    такое реально?или я неправильно понимаю структуру?
    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру