VPN IPSec, SCEP Certificates enrollment
Добавлено: 19 апр 2012, 06:51
Добрый день.
Прошу помощи техподдержки в настройке следующей схемы:
IPSec VPN по архитектуре Hub&Spoke - один Cisco IOS роутер в центре сети и много RB750 и оборудования других вендоров вокруг него, до каждого Spoke и в том числе RB750 поднимаем по одному IPSec соединению в tunnel mode с аутентификацией на основе сертификатов x509, все сертификаты выданы/подписаны одним и тем же CA, CA собственный/основной сертификат CA самоподписанный.
До попытки использования RB750 в качестве Spoke работали только устройства с поддержкой получения сертификатов по протоколу SCEP (Simple Certificate Enrollment Protocol). На каждом устройстве генерируется Private RSA key и на его основе Certificate Request. Далее устройство первым запросом к SCEP серверу получает три сертификата CA с разными типами Key Usage
первый с флагом CA и
X509v3 Key Usage:
Certificate Sign, CRL Sign
второй
X509v3 Key Usage:
Digital Signature
и наконец
X509v3 Key Usage:
Key Encipherment
вторым запросом SCEP устройство получает от того же CA собственный подписанный сертификат.
Вопрос: можно ли на RouterOS автоматизировать получение x509 сертификатов подобным образом? Может быть возможна установка дополнительного пакета, реализующего поддержку SCEP или существуют наработки из области скриптов, позволяющие автоматизировать процесс через SCEP?
Прошу помощи техподдержки в настройке следующей схемы:
IPSec VPN по архитектуре Hub&Spoke - один Cisco IOS роутер в центре сети и много RB750 и оборудования других вендоров вокруг него, до каждого Spoke и в том числе RB750 поднимаем по одному IPSec соединению в tunnel mode с аутентификацией на основе сертификатов x509, все сертификаты выданы/подписаны одним и тем же CA, CA собственный/основной сертификат CA самоподписанный.
До попытки использования RB750 в качестве Spoke работали только устройства с поддержкой получения сертификатов по протоколу SCEP (Simple Certificate Enrollment Protocol). На каждом устройстве генерируется Private RSA key и на его основе Certificate Request. Далее устройство первым запросом к SCEP серверу получает три сертификата CA с разными типами Key Usage
первый с флагом CA и
X509v3 Key Usage:
Certificate Sign, CRL Sign
второй
X509v3 Key Usage:
Digital Signature
и наконец
X509v3 Key Usage:
Key Encipherment
вторым запросом SCEP устройство получает от того же CA собственный подписанный сертификат.
Вопрос: можно ли на RouterOS автоматизировать получение x509 сертификатов подобным образом? Может быть возможна установка дополнительного пакета, реализующего поддержку SCEP или существуют наработки из области скриптов, позволяющие автоматизировать процесс через SCEP?