Команда crypto pki certificate chain используется для входа в режим настройки цепочки сертификатов СА.
Синтаксис crypto pki certificate chain name
name имя СА (используйте тоже имя, которое было объявлено командой crypto pki trustpoint).
Значение по умолчанию значение по умолчанию отсутствует.
Режимы команды Global configuration.
Рекомендации по использованию
Команда crypto pki certificate chain замещает в старом формате команду crypto ca certificate chain, которая использовалась в Cisco IOS версии 12.2 и CSP VPN Gate версии 2.х.
На момент ввода команды crypto pki certificate chain имя СА должно быть уже объявлено командой crypto pki trustpoint. Если имя не задано, то выдается сообщение об ошибке: “% CA trustpoint for cert chain not known”.
Используйте эту команду для входа в режим настройки цепочки СА сертификатов с помощью команды certificate. В пределах одного truspoint допускаются любые СА сертификаты, не только из одной цепочки. Находясь в этом режиме, можно удалять сертификаты.
Удаление
Удаление цепочки сертификатов командами
no crypto pki certificate chain name
или
no crypto ca certificate chain name
не допускается, выдается сообщение об ошибке: % Remove the trustpoint to remove the cert chain.
Удаление СА сертификата из цепочки осуществляется командой certificate.
Отличие данной команды от подобной команды Cisco IOS:
· В Cisco по show run в команде crypto pki certificate chain показываются CA сертификаты и локальные сертификаты. В Cisco через эту команду можно посмотреть и удалить СА и локальные сертификаты, а ввести можно только CA сертификаты, локальные сертификаты таким образом ввести нельзя (они будут неработоспособны без секретного ключа). В Продукте в cs_console данная команда используется только для работы с CA сертификатами.
· В Cisco используются только RSA-сертификаты. В Продукте под обозначением RSA могут использоваться RSA, ГОСТ и DSA-сертификаты. Но должно соблюдаться строгое соответствие: RSA CA сертификат подписывает только RSA-сертификаты, ГОСТ CA сертификат подписывает только ГОСТ сертификаты, DSA CA сертификат подписывает только DSA-сертификаты.
· Следует учитывать, что в конфигурации не задается точных критериев выбора локального сертификата (в терминах Native LSP задается USER_SPECIFIC_DATA). В связи с этим возможны ситуации, при которых не установится соединение, если присутствуют больше одного локального сертификата, подписанного разными CA.
Пример подобной ситуации: у партнера не прописана посылка Certificate Request, и партнер ожидает от локального шлюза конкретный сертификат (который действительно присутствует), но шлюз по своим критериям выбирает другой сертификат, который не подходит партнеру.
Как правило, таких проблем не возникает, если соблюдаются следующие условия:
· У обоих партнеров прописана отсылка Certificate Request. По умолчанию конвертер именно так и делает. Cisco в большинстве случаев поступает также.
· Не используется Aggressive Mode при работе с сертификатами (экзотический случай).
· У партнера должны быть явно указаны CA-сертификаты, которыми может быть подписан локальный сертификат. В Native LSP – атрибут AcceptCredentialFrom (cs_converter вписывает все CA-сертификаты, лежащие в базе). В Cisco – должен быть прописан подходящий trustpoint.
Пример
Пример использования команды crypto pki certificate chain приведен к команде certificate.