unreal Опубликовано 12 ноября, 2009 · Жалоба Доброго времени суток! При настройке системы распределения сертификатов X.509 с использованием IOS CA-сервера (SCEP, on-line режим) возникла довольно странная проблема. В тестовой настройке использовался c3640-ik9o3s-mz.124-25b IOS на Cisco 3640, позже - Cisco 1841 с соотв. crypto-IOS. Собственно, были сконфигурированы IOS CA сервер crypto pki server N41-Local.xxx.ru database level complete database url flash: issuer-name CN=N41-Local.xxx.ru, OU=... lifetime certificate 7 ! crypto pki trustpoint N41-Local.xxx.ru revocation-check crl rsakeypair N41-Local.xxx.ru соотв. трастпойнт для раздачи сертификатов crypto pki trustpoint Local_CA.xxx.ru enrollment url http://N41-Local.xxx.ru:80 ip-address 192.168.1.1 revocation-check crl и прочие необходимые вещи. Обмен сертификатами производится с ПК (WinXP) при помощи Cisco VPN Client (ver. 5.0.05, пробовал и другие). В on-line режиме с автоматическим подтверждением сертификатов (grant auto в конфиге IOS CA) все проходит нормально - клиент посылает запрос, сервер выдает свой CA-сертификат, подтверждает клиентский и отправляет его обратно клиенту. После этого в окне сертификатов VPN client можно видеть 2 сертификата: CA и клиентский (CA store = 'CA', клиентский store = 'Cisco'). После этого имеющийся сертификат можно без проблем использовать при аутентификации в ISAKMP. Проблемы начинаются в on-line режиме с ручным подтверждением сертификатов на CA. В этом режиме клиент посылает запрос на IOS CA, сервер возвращает клиенту собственный сертификат и сообщение 'SCEP pending reply' (ставит запрос клиента в список со статусом pending). На этот момент в окне сертификатов VPN client видно 2 сертификата: CA store = 'CA', клиентский store = 'Request'. После этого я руками подтверждаю сертификат на CA (он переходит в статут granted на сервере), и пытаюсь забрать подтвержденный сертификат на клиенте ('Retrieve approved certificate' в окне 'Certificates' VPN client). Собственно, ничего не происходит. Клиент не забирает подтвержденный сертификат, возвращает ошибку Error 43:'Certificate enrollment failed or was not approved' и сообщение в логе 'Unable to find the CA certificate corresponding to this request'. Во всем этом есть 2 странные особенности: 1. Несмотря на то, что я вижу и могу проверить отправленный на CA запрос, при попытке забрать подтвержденный сертификат возникает ошибка "невозможно найти сертификат, соответствующий этому запросу" 2. Во время попытки получения подтвержденного сертификата клиент не посылает никакого (!) трафика на CA-маршрутизатор (выяснено по deb ip packet) Буду очень благодарен за любую помощь в этом вопросе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
