Регистрация СА сертификата (сертификата УЦ)
Для регистрации CA сертификата (сертификата УЦ) необходимо выполнить следующие действия:
1. Установите правильное системное время
Например:
date 070414282012
Что соответствует 4 июля 2012 года 14:28.
2. Доставьте файл СА сертификата на шлюз в предварительно созданный на нем каталог /certs. Для доставки можно воспользоваться утилитой pscp.exe из пакета Putty, применив команду:
pscp <CA file path><CA file name> root@<gate address>:/certs
Например:
pscp D:\ca.cer root@192.168.1.1:/certs
3. C помощью утилиты cert_mgr, входящей в состав продукта, зарегистрируйте сертификат в базе продукта:
[root@GW1 /]# cert_mgr import -f /certs/ca.cer -t
Параметр –t в данной команде указывает на то, что импортируемый сертификат – корневой (сертификат УЦ).
Регистрация локального сертификата
Для регистрации локального сертификата в базе продукта выполните следующие действия:
1. Сформируйте запрос на сертификат при помощи утилиты cert_mgr.
[root@GW1 /]# cert_mgr create -subj "C=RU,OU=Sales,CN=GW1" -GOST_R3410EL
Press keys...
[........................................]
-----BEGIN CERTIFICATE REQUEST-----
MIIBBzCBtQIBADArMQswCQYDVQQGEwJSVTEOMAwGA1UECxMFU2FsZXMxDDAK
BgNVBAMTA0dXMTBjMBwGBiqFAwICEzASBgcqhQMCAiMBBgcqhQMCAh4BA0MA
BEC/os2KuckK6BdcdEtKbgixrMcUUa+8DqWn4eXwwtHbArCxHZBazjVjPkzH
8iXV8D+nqRcPGJ2mJRkaa1NUZthOoB4wHAYJKoZIhvcNAQkOMQ8wDTALBgNV
HQ8EBAMCB4AwCgYGKoUDAgIDBQADQQA9JLnfZBNAuuwCTSa2K6AVdPLIQMVX
UWiTeLhW9zoT0BSX7Kc8u4eXyAdUQJ6koa6TTRBc9nPXOi6AolFMneRv
-----END CERTIFICATE REQUEST-----
2. Передайте полученный запрос сертификата на УЦ. Процедура выдачи сертификата на УЦ по запросу описана в Документации на продукт (Приложение, раздел «Создание локального сертификата»).
3. Перенесите полученный файл на шлюз (параметры pscp описаны выше):
pscp gw1.cer root@192.168.1.1:/certs
4. Зарегистрируйте локальный сертификат в базе продукта, применив утилиту cert_mgr.
[root@GW1 /]# cert_mgr import -f /certs/gw1.cer
1 OK C=RU,OU=Sales,CN=GW1
5. Убедитесь, что сертификаты импортированы успешно:
[root@GW1 /]# cert_mgr show
Found 2 certificates. No CRLs found.
1 Status: trusted 1.2.840.113549.1.9.1=presale@s-terra.com,C=RU,L=Moscow,O=S-Terra CSP,OU=Presale,CN=PresaleCA
2 Status: local C=RU,OU=Sales,CN=GW1
Дополнительные настройки
После регистрации сертификатов необходимо создать политику безопасности для GW1. Создавать политику рекомендуется в интерфейсе командной строки. Для входа в консоль перейдите в директорию /opt/VPNagent/bin/ и запустите cs_console.
[root@GW1 /]# cs_console
GW1>en
Password:
Пароль по умолчанию: csp. ВАЖНО: пароль по умолчанию нужно сменить.
Перейдите в режим настройки:
GW1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
GW1(config)#
Смена пароля по умолчанию осуществляется при помощи команды:
GW1(config)#username cscons password <пароль>
В настройках интерфейсов задайте ip-адреса, если этого не было сделано раньше:
GW1 (config)#interface FastEthernet0/0
GW1 (config-if)#ip address 192.168.13.112 255.255.255.0
GW1 (config-if)#no shutdown
GW1 (config-if)#exit
GW1 (config)#interface FastEthernet0/1
GW1 (config-if)#ip address 192.168.1.5 255.255.255.0
GW1 (config-if)#no shutdown
GW1 (config-if)#exit
Задайте адрес шлюза по умолчанию:
GW1 (config)#ip route 0.0.0.0 0.0.0.0 192.168.13.15
Отключите обработку списка отозванных сертификатов (CRL):
GW1(config)#crypto pki trustpoint s-terra_technological_trustpoint
GW1(ca-trustpoint)# revocation-check none
GW1(ca-trustpoint)#exit
Отредактируйте файл /opt/VPNagent/bin/cs_conv.ini так, как показано ниже:
ike-group-vko = VKO_1B
ike-group-1 = VKO_1B
ike-group-2 = VKO_1B
Настройка устройства GW1 завершена. При выходе из конфигурационного режима происходит загрузка конфигурации.
В Приложении представлен текст cisco-like конфигурации для GW1.