форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"VPN на сертификатах"		+/–
Сообщение от andr (??) on 01-Июн-09, 16:57
Господа, подскажите. Я не до конца понимаю схему работы. Решил поднять туннели не на пре-шаред ключе а на  сертификатах, в качестве СА-сервера 28хх роутер. Итак я провел эксперимент, один роутер СА-сервер, два других клиенты. Сертификаты раздал, каждый с СА-сервером коннектится нормально, тунель поднимается. Но, между друг-другом клиентские роутеры поднимают только тогда, когда доступен СА-сервер. в логе видем: 000097: Jun  1 16:32:27.076 MSK: CRYPTO_CS: received a SCEP request, 1678 bytes 000098: Jun  1 16:32:27.076 MSK: CRYPTO_CS: read SCEP: registered and bound service SCEP_READ_DB_8 000099: Jun  1 16:32:27.088 MSK: CRYPTO_CS: scep msg type - 22 000100: Jun  1 16:32:27.088 MSK: CRYPTO_CS: trans id - 1 000101: Jun  1 16:32:27.108 MSK: CRYPTO_CS: read SCEP: unregistered and unbound service SCEP_READ_DB_8 000102: Jun  1 16:32:27.112 MSK: CRYPTO_CS: received a GetCRL request 000103: Jun  1 16:32:27.112 MSK: CRYPTO_CS: write SCEP: registered and bound service SCEP_WRTE_DB_8 000104: Jun  1 16:32:27.152 MSK: CRYPTO_CS: write SCEP: unregistered and unbound service SCEP_WRTE_DB_8 000105: Jun  1 16:32:27.168 MSK: CRYPTO_CS: CRL sent Я не могу понять, получается если СА сервер недоступен, то туннель не поднимится? А что происходит?что за запроссы на СА идут? по логу ничо не понятно. Спасибо
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "VPN на сертификатах"		+/–
Сообщение от ilya (ok) on 01-Июн-09, 17:02
проверка CRL?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "VPN на сертификатах"		+/–
	Сообщение от andr (??) on 01-Июн-09, 17:53
	>проверка CRL? логично а схема CA+Subordinate будет отказоустойчиво работать. можно настроить, чтобы чекил если не на одном, то на другом. Типа если СА упадет, то пол страны не оставить без сети
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "VPN на сертификатах"		+/–
	Сообщение от RET (ok) on 02-Июн-09, 11:46
	Была похожая проблемма, не поднималься тунель от филиала до центрального офиса пока циска в филиале не проверит сертификат на CA-сервере который стоял во внутренней сетке главного офиса (а туда из филиала без поднятого тунеля не добраться). Решил отключением проверки отзыва сертификата на роутерах в филиалах: crypto pki trustpoint my-cert   revocation-check none
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "VPN на сертификатах"		+/–
Сообщение от andr (??) on 05-Июн-09, 10:33
Встал вопрос об организации бекапного СА сервера. Для этих целей насколько я понял используется subordinate сервер, на котором ты используешь те же rsa ключи. Т.е. задача такая. VPN на сертификатах, куча туннелей, но если недоступен корневой СА сервер, то чтобы revocation-check проводился на subordinate? такое реально?или я неправильно понимаю структуру?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]