@AbraKadabrus

Как получить сертификат от MS CA для «старых» CISCO?

Есть парк старых 2801 cisco с разными версиями ПО. (Некоторые не обновить по разным причинам).
Раньше был центр сертификатов на MS server standart 2003 с установленным SCEP Add-on - сертификаты устанавливались на все cisco.
Сейчас установили MS Sever standart 2016. Поднят CA с NDES. Часть маршрутизаторов получает сертификаты, а часть нет.
Пробовал менять размер ключа. Алгоритм, был sha256rsa - работало, поменял на sha1rsa - все также на части работает, на совсем старых - нет.
На этих не получает сертификаты: c2801-advipservicesk9-mz.124-15.T5.bin
А на этих получает: c2801-advsecurityk9-mz.124-19b.bin

Лог "старой" cisco
spoiler
xNAME#debug crypto pki server
Crypto PKI Certificate Server debugging is on
xNAME#debug crypto pki transactions
Crypto PKI Trans debugging is on
xNAME#ter mon
xNAME#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
xNAME(config)#

001045: May 15 17:43:45.654 Moscow: IPSEC(key_engine): request timer fired: count = 2,
  (identity) local= 10.10.10.117, remote= 10.10.10.170,
    local_proxy= 10.10.10.117/255.255.255.255/47/0 (type=1),
    remote_proxy= 10.10.10.170/255.255.255.255/47/0 (type=1)
001046: May 15 17:43:45.654 Moscow: IPSEC(sa_request): ,
  (key eng. msg.) OUTBOUND local= 10.10.10.117, remote= 10.10.10.170,
    local_proxy= 10.10.10.117/255.255.255.255/47/0 (type=1),
    remote_proxy= 10.10.10.170/255.255.255.255/47/0 (type=1),
    protocol= ESP, transform= esp-3des esp-md5-hmac  (Transport),
    lifedur= 3600s and 4608000kb,
    spi= 0xD7417C4F(3611393103), conn_id= 0, keysize= 0, flags= 0x400C
001047: May 15 17:43:45.658 Moscow: IPSEC(key_engine): got a queue event with 1 kei messagescrypto pki trustpoint my.Domen.ru
xNAME(ca-trustpoint)#enrollment url http://myUrl:80/certsrv/mscep/mscep.dll
xNAME(ca-trustpoint)#enrollment mode ra
xNAME(ca-trustpoint)#serial-number
xNAME(ca-trustpoint)# ip-address none
xNAME(ca-trustpoint)# revocation-check crl
xNAME(ca-trustpoint)#rsakeypair xNAME.my.Domen.ru
xNAME(ca-trustpoint)#crypto pki authenticate my.Domen.ru
% Error in receiving Certificate Authority certificate: status = FAIL, cert length = 0

001048: May 15 17:43:55.513 Moscow: CRYPTO_PKI: Sending CA Certificate Request:
GET /certsrv/mscep/mscep.dll/pkiclient.exe?operation=GetCACert&message=my.Domen.ru HTTP/1.0
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Cisco PKI)


001049: May 15 17:43:55.513 Moscow: CRYPTO_PKI: locked trustpoint my.Domen.ru, refcount is 1
001050: May 15 17:43:55.569 Moscow: CRYPTO_PKI: http connection opened
001051: May 15 17:43:55.573 Moscow: CRYPTO_PKI: unlocked trustpoint my.Domen.ru, refcount is 0
001052: May 15 17:43:55.573 Moscow: CRYPTO_PKI: locked trustpoint my.Domen.ru, refcount is 1
001053: May 15 17:43:55.917 Moscow: CRYPTO_PKI: unlocked trustpoint my.Domen.ru, refcount is 0
001054: May 15 17:43:55.917 Moscow: CRYPTO_PKI: HTTP response header:
 HTTP/1.1 200 OK
Content-Type: application/x-x509-ca-ra-cert
Server: Microsoft-IIS/10.0
X-Powered-By: ASP.NET
Date: Tue, 15 May 2018 12:44:08 GMT
Connection: close
Content-Length: 3896

Content-Type indicates we have received CA and RA certificates.

001055: May 15 17:43:55.917 Moscow: CRYPTO_PKI:crypto_process_ca_ra_cert(trustpoint=my.Domen.ru)

001056: May 15 17:43:55.917 Moscow: crypto_certc_pkcs7_extract_certs_and_crls failed (1795):
001057: May 15 17:43:55.917 Moscow: crypto_certc_pkcs7_extract_certs_and_crls failed
001058: May 15 17:43:55.921 Moscow: CRYPTO_PKI:crypto_pkcs7_extract_ca_cert returned 1795

001059: May 15 17:43:55.921 Moscow: CRYPTO_PKI: Unable to read CA/RA certificates.
001060: May 15 17:43:55.921 Moscow: %PKI-3-GETCARACERT: Failed to receive RA/CA certificates.
001061: May 15 17:43:55.921 Moscow: CRYPTO_PKI: transaction GetCACert completed




К сожалению не посмотрел версию сертификатов которые были раньше, но те что легко заменяюся такой же версии - V3.
joxi.ru/BA0avvnSJ5zVwr

В логах на CA записей о таких не полученных сертификатах не остается.

В какую сторону еще можно "копать" ? может есть возможность упростить (понизить версию) сертификатов ?
  • Вопрос задан
  • 253 просмотра
Пригласить эксперта
Ответы на вопрос 1
CityCat4
@CityCat4
Внимание! Изменился адрес почты!
В сторону поддержки шифронаборов. Скорее всего новый СA не поддерживает старые шифронаборы - основанные на SSLv2, SSLv3 Либо не поддерживает SHA1, а понимает только MD5. Либо не понимает длину ключа - сколько, кстати? Прям очень старые могут работать с ключом не больше 512 бит и только с MD5 (правда не знаю, какой это старости надо быть)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы