Команда authentication применяется для указания метода аутентификации сторон.
Восстановить значение по умолчанию можно с помощью той же команды с префиксом no.
Аутентификация может осуществляться с использованием предопределенного ключа (Preshared Key) или с использованием цифровых сертификатов стандарта Х.509.
Синтаксис authentication {gost-sig | rsa-sig | dss-sig | sign | pre-share} no authentication {gost-sig | rsa-sig | dss-sig | sign | pre-share} |
|
gost-sig |
аутентификация осуществляется с использованием цифровых сертификатов, созданных по ГОСТ Р 34.10 |
rsa-sig |
аутентификация осуществляется с использованием цифровых сертификатов, созданных по алгоритму RSA |
dss-sig |
аутентификация осуществляется с использованием цифровых сертификатов, созданных по алгоритму DSA |
Sign |
выбор конкретного типа аутентификации (RSA, DSA или ГОСТ) осуществляется по типу CA-сертификата, лежащего в базе |
pre-share |
аутентификация осуществляется с использованием предопределенных ключей. |
Значение по умолчанию |
gost-sig |
Режимы команды |
ISAKMP policy configuration |
Рекомендации по использованию |
• Используйте эту команду для указания метода аутентификации сторон, которая происходит в первой фазе IKE. • Данная команда работает в режиме ISAKMP policy configuration. • Ключевая пара, к которой принадлежит открытый ключ локального сертификата, может быть создана с использованием алгоритма RSA, DSA или ГОСТ Р 34.10. Локальный сертификат с открытым ключом по RSA алгоритму должен быть подписан СА сертификатом с открытым ключом, созданным по RSA алгоритму. Локальный ГОСТ сертификат должен быть подписан СА ГОСТ сертификатом. Локальный DSA сертификат - СА DSA сертификатом. • В файле настроек конвертора cs_conv.ini параметрам send_cert и send_request присвоено значение ALWAYS, и поэтому по умолчанию партнеру всегда будет отсылаться локальный сертификат по протоколу IKE и запрашиваться сертификат партнера. |
Примечание |
При построении соединения между С-Терра Шлюз и Cisco Router с использованием аутентификации на сертификатах рекомендуется применять метод аутентификации sign. В этом случае при конвертировании, для совместимости с Cisco IOS, в Native-конфигурации дополнительно прописывается ссылка на CA-сертификат, находящийся в базе. |
Отличие данной команды от подобной команды CiscoIOS |
Не допускается тип аутентификации RSA encryption. В Cisco IOS поддерживается аутенификация с использованием цифровых сертификатов, созданных только по алгоритму RSA. |
Пример |
Ниже приведен пример назначения метода аутентификации сторон на предопределенных ключах, используемого в рамках протокола IKE. Остальные параметры устанавливаются по умолчанию: Router(config)#crypto isakmp policy 10 Router(config-isakmp)#authentication pre-share Router(config-isakmp)#exit |