URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20496
[ Назад ]

Исходное сообщение
"ip http secure-server"
Отправлено Denis , 10-Фев-10 12:34

Здравствуйте. Такая ситуация: пришел на готовые конфиги на работу. Везде созданные сертификаты. Как понял со слов админа, которого уже нет тут, что их создает http secure-server. Настраиваю подключение по  ssh, даю команду ip http secyre-server, но сертификат не генерится почему то, а вроде должен.
Вот примерный конфиг того, что хочу получить:
no aaa new-model
!
ip domain name cisco.com
!
!
1)crypto pki trustpoint TP-self-signed-137684549
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-137684549
revocation-check none
rsakeypair TP-self-signed-137684549
!
!
2)crypto pki certificate chain TP-self-signed-137684549
certificate self-signed 01
  30820250 308201B9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 31333736 38343534 39301E17 0D303230 33303130 30313534
  325A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3133 37363834
  35343930 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
  B8F1D75B D49EFF8F B3719BB1 D94E0661 D31AD86A B198450D 2BA9365F 1A21B984
  414FAAC6 B43CDF3A BCF65D1F E709294D D0375C54 574AD56A 97348062 4EA0408F
  744F2BCC A7CBA17D 5E50EB09 34BDE840 A60E6C33 ADD8B6D5 9B8B660C AF5228BA
  F322FD11 B45840AE C2E2E3E1 5D5ABFB8 0870E9CB 7039BE7A 8A18A8FB 7A2D1157
  02030100 01A37A30 78300F06 03551D13 0101FF04 05300301 01FF3025 0603551D
  11041E30 1C821A72 6F757465 725F3835 315F6B75 74757A2E 73636261 6E6B2E72
  75301F06 03551D23 04183016 80145CDB 99ED1E81 73D3D544 97F4E4FB A06315E7
  EEE2301D 0603551D 0E041604 145CDB99 ED1E8173 D3D54497 F4E4FBA0 6315E7EE
  E2300D06 092A8648 86F70D01 01040500 03818100 625FFC94 6B24062E 480EBFBC
  CCF846C5 231B74C2 0F5BC8D6 CCD5134F D353ED44 A8EE25DC 43551C1A 79372AD5
  C78EE6B3 4639CF2D D7CA7131 3972811E 8F6DFC0D 59CABE00 9AF7E5F9 6B3CF2A6
  F9A3AA50 F6D5703E 407A337C C043E9F7 2E096E34 6BDE69EE E00F7DC8 377F5101
  746930CF 3F5AA119 DCFC9EA7 888217BA CED9078F
  quit

Это то что есть. Пунк 1 у меня появился, когда сделал настройку ssh. А вот сертификат не генерится. Вот конфиг роутера, где не генериться:
no aaa new-model
!
crypto pki trustpoint TP-self-signed-4005632565
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-40056325
revocation-check none
rsakeypair TP-self-signed-4005632565
!
crypto pki trustpoint TP-self-signed
enrollment selfsigned
revocation-check crl
rsakeypair keys 1024
!
!
!
!
ip cef
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
ip domain name cisco.com
username cisco privilege 15 password 0 cisco
!
!
archive
log config
  hidekeys
!
!
ip ssh version 2
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
ip address 172.16.18.19 255.255.240.0
!
ip forward-protocol nd
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http secure-trustpoint TP-self-signed-4005632565
!
!
control-plane
!
!
line con 0
password *********
no modem enable
line aux 0
line vty 0 4
exec-timeout 0 0
password *********
login local
transport input telnet ssh
Может кто подскажет как сгенерить этот сетификат :)
Для чего он нужен, я ещё сам не знаю :)
Но без него может что-то не заработать потом.

Содержание

ip http secure-server,gleb.poljakov, 13:00 , 10-Фев-10
- ip http secure-server,Denis, 13:01 , 10-Фев-10
  - ip http secure-server,gleb.poljakov, 13:09 , 10-Фев-10
    - ip http secure-server,Denis, 13:14 , 10-Фев-10
      - ip http secure-server,gleb.poljakov, 13:20 , 10-Фев-10
        
        ip http secure-server,Denis, 14:11 , 10-Фев-10
        
        ip http secure-server,gleb.poljakov, 15:41 , 10-Фев-10

Сообщения в этом обсуждении

"ip http secure-server"
Отправлено gleb.poljakov , 10-Фев-10 13:00

ip http secyre-server включает https-сервер, а не генерирует сертификат для ssh.

"ip http secure-server"
Отправлено Denis , 10-Фев-10 13:01

>ip http secyre-server включает https-сервер, а не генерирует сертификат для ssh.
а как тогда его сгенерировать?

"ip http secure-server"
Отправлено gleb.poljakov , 10-Фев-10 13:09

>>ip http secyre-server включает https-сервер, а не генерирует сертификат для ssh.
>
>а как тогда его сгенерировать?
Поиском пользоваться учитесь ;)
http://faq-cisco.ru/statji/statji/perevod-statji-ispoljzovan...

"ip http secure-server"
Отправлено Denis , 10-Фев-10 13:14

>>>ip http secyre-server включает https-сервер, а не генерирует сертификат для ssh.
>>
>>а как тогда его сгенерировать?
>
>Поиском пользоваться учитесь ;)
>
>http://faq-cisco.ru/statji/statji/perevod-statji-ispoljzovan...
SSH я так и настраивал. Но в конфиге у меня сертификат так и не появился. Связь по SSH есть. И на роутерах везде сертификаты вида:
crypto pki certificate chain TP-self-signed-137684549
certificate self-signed 01
  30820250 308201B9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 31333736 38343534 39301E17 0D303230 33303130 30313534
  325A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3133 37363834
  35343930 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
  B8F1D75B D49EFF8F B3719BB1 D94E0661 D31AD86A B198450D 2BA9365F 1A21B984
  414FAAC6 B43CDF3A BCF65D1F E709294D D0375C54 574AD56A 97348062 4EA0408F
  744F2BCC A7CBA17D 5E50EB09 34BDE840 A60E6C33 ADD8B6D5 9B8B660C AF5228BA
  F322FD11 B45840AE C2E2E3E1 5D5ABFB8 0870E9CB 7039BE7A 8A18A8FB 7A2D1157
  02030100 01A37A30 78300F06 03551D13 0101FF04 05300301 01FF3025 0603551D
  11041E30 1C821A72 6F757465 725F3835 315F6B75 74757A2E 73636261 6E6B2E72
  75301F06 03551D23 04183016 80145CDB 99ED1E81 73D3D544 97F4E4FB A06315E7
  EEE2301D 0603551D 0E041604 145CDB99 ED1E8173 D3D54497 F4E4FBA0 6315E7EE
  E2300D06 092A8648 86F70D01 01040500 03818100 625FFC94 6B24062E 480EBFBC
  CCF846C5 231B74C2 0F5BC8D6 CCD5134F D353ED44 A8EE25DC 43551C1A 79372AD5
  C78EE6B3 4639CF2D D7CA7131 3972811E 8F6DFC0D 59CABE00 9AF7E5F9 6B3CF2A6
  F9A3AA50 F6D5703E 407A337C C043E9F7 2E096E34 6BDE69EE E00F7DC8 377F5101
  746930CF 3F5AA119 DCFC9EA7 888217BA CED9078F
  quit

"ip http secure-server"
Отправлено gleb.poljakov , 10-Фев-10 13:20

Самоподписаные сертификаты X.509 и RSA-сертификаты для SSH - разные вещи.

"ip http secure-server"
Отправлено Denis , 10-Фев-10 14:11

>Самоподписаные сертификаты X.509 и RSA-сертификаты для SSH - разные вещи.
вот :) а где можно почитать про это?! чет рылся не нашел. как создается самоподпичанный сертификат и как сертификат для SSH. SSH ведь вроде ключ генерирует только. хотя я мож ошибаюсь

"ip http secure-server"
Отправлено gleb.poljakov , 10-Фев-10 15:41

>>Самоподписаные сертификаты X.509 и RSA-сертификаты для SSH - разные вещи.
>
>вот :) а где можно почитать про это?! чет рылся не нашел.
>как создается самоподпичанный сертификат и как сертификат для SSH. SSH ведь
>вроде ключ генерирует только. хотя я мож ошибаюсь
Ошибаешься.
Ищи по словам X.509 и RSA.