Зарегистрировать СА сертификат в базе Продукта можно двумя способами:
· с помощью утилиты командной строки cert_mgr import;
· через cs_console командами crypto pki trustpoint и crypto pki certificate chain.
При регистрации сертификата первым способом при первом старте консоли после добавления сертификатов, добавленные сертификаты будут доступны для использования в cisco-like конфигурации. Для них будет создан trustpoint с именем s-terra technological trustpoint.
Для регистрации СА сертификата через cs_console используются команды:
· crypto pki trustpoint name – для объявления имени СА и входа в режим ca trustpoint configuration, можно задать несколько таких команд для объявления разных trustpoint.
В режиме этой команды можно указать адрес LDAP-сервера и режимы использования CRL при проверке сертификатов:
· crl query ldap://IP-адрес(:порт) – задает адрес LDAP-сервера. При обращении к LDAP-серверу шлюз безопасности сначала смотрит поле CDP сертификата, если в этом поле прописанный путь к LDAP-серверу является неполным, то добавляются данные (IP-адрес и порт) из команды crl query. Если CDP содержит полный путь, crl query не используется. Если в сертификате нет поля CDP, то используется эта команда для задания url LDAP.
· revocation-checkmethod1 [method2]
· method1 – параметр, принимающий одно из двух значений:
· crl – при проверке сертификата обязателен действующий CRL. Если действующий CRL не найден в базе продукта и его не удалось получить по протоколу LDAP, то сертификат не принимается;
· none – при проверке сертификата действующий CRL используется, если он предустановлен в базе продукта или получен в процессе IKE обмена. Если это не так, то попытка получить CRL по протоколу LDAP не предпринимается и сертификат принимается.
· method2 – параметр необязательный, имеет одно значение:
· none – если действующий CRL не найден в базе продукта и его не удалось получить по протоколу LDAP, то сертификат принимается. Используется только тогда, когда method1= crl.
· crypto pki certificate chain name – для входа в режим настройки цепочки сертификатов СА:
· certificate – для добавления СА сертификата (в шестнадцатеричном представлении) в базу Продукта:
· можно задать несколько таких команд для добавления либо промежуточных СА сертификатов, либо любых СА сертификатов.
В отличие от Cisco, наш Продукт не проверяет являются ли добавляемые сертификаты из одной цепочки. Поэтому, можно добавлять в один trustpoint не только промежуточные СА сертификаты, но вообще любые СА сертификаты.
При добавлении CA сертификата в trustpoint командой crypto pki certificate chain он автоматически добавляется в базу Продукта.
При старте cs_console при поиске сертификата проверяются все существующие trustpoint's в базе Продукта. В случае отсутствия соответствующего СА сертификата в базе Продукта, trustpoint автоматически удаляется из cisco-like конфигурации и, следовательно, удаляются все СА сертификаты, зарегистрированные в этом trustpoint. При этом выдается соответствующее сообщение в лог.