Goede middag,
Ik be nu ruim anderhalve dag aan het stoeien met een configuratie die volgens Cisco (en microsoft) vrij simpel zou moeten zijn.
Ik heb in m'n Microsoft Domein een 2003 Enterprise R2 server met MS Certificate services en de MSCEP addon.
De cisco's gebruiken standaard self-signed certificaten voor hun ipsec en https verkeer. maar dit moeten uiteraard de vertrouwde certificaten worden van de CA binnen het domein. Nu zou het volgens Cisco vrij simpel moeten zijn.
* <naam> is de naam van je trustpoint
* <windows-server> is de naam van de windows server die m'n CA is.
Eerst even oude zooi opruimen:
Lekker schoon dus, even nieuwe RSA keys genereren, het is op zich niet nodig maar wel goed om schoon te beginnen.
tot zo ver goed, ik krijg m'n certificaten (te zien met "sh crypto ca cert <naam>")
Nu het probleem is dat m'n http secure-server ook dit certificaat moet gebruiken, dus ik zeg:
De browser komt nu vervolgens terug met de volgende fout:
(Foutcode: sec_error_inadequate_cert_type)
In de cisco debug log (debug crypto pki transactions):
002094: 20:40:51: %HTTPS: SSL handshake fail (-2002)
002095: 20:40:51: HTTP: ssl handshake failed (-40404)
Gezocht op internet en gevonden dat je wat registry keys moet aanpassen om een ander certificaat mee te geven, blijkbaar het standaard certificaat van MSCEP is alleen voor ipsec.
Dus ik een nieuw certificaat aangemaakt genaamd "Cisco" waar beide ipsec en server authentication zit. Echter lijkt het erop dat ik het verkeerde certificaat blijf krijgen. (IIS opnieuw opgestart na aanpassen registry keys)
Ik be nu ruim anderhalve dag aan het stoeien met een configuratie die volgens Cisco (en microsoft) vrij simpel zou moeten zijn.
Ik heb in m'n Microsoft Domein een 2003 Enterprise R2 server met MS Certificate services en de MSCEP addon.
De cisco's gebruiken standaard self-signed certificaten voor hun ipsec en https verkeer. maar dit moeten uiteraard de vertrouwde certificaten worden van de CA binnen het domein. Nu zou het volgens Cisco vrij simpel moeten zijn.
* <naam> is de naam van je trustpoint
* <windows-server> is de naam van de windows server die m'n CA is.
Eerst even oude zooi opruimen:
code:
1
2
3
4
5
| ! Verwijder RSA Keys switch(config)# crypto key zeroize rsa ! Verwijder alle trustpoints ! List met: sh crypto ca trustpoints switch(config)# no crypto ca trustpoint <naam> |
Lekker schoon dus, even nieuwe RSA keys genereren, het is op zich niet nodig maar wel goed om schoon te beginnen.
code:
1
2
3
4
5
6
7
8
9
10
11
12
| ! Nieuwe key switch(config)#crypto key generate rsa ! creëer thrustpoint. switch(config)#crypto pki trustpoint <naam> switch(config)# enrollment retry count 5 switch(config)# enrollment mode ra switch(config)# enrollment url http://<windows-server>:80/certsrv/mscep/mscep.dll ! ! authenticeer switch(config)# crypto ca authenticate <naam> ! haal certificaat op switch(config)#crypto ca enroll <naam> |
tot zo ver goed, ik krijg m'n certificaten (te zien met "sh crypto ca cert <naam>")
Nu het probleem is dat m'n http secure-server ook dit certificaat moet gebruiken, dus ik zeg:
code:
1
| switch(config)# ip http secure-trustpoint <naam> |
De browser komt nu vervolgens terug met de volgende fout:
(Foutcode: sec_error_inadequate_cert_type)
In de cisco debug log (debug crypto pki transactions):
002094: 20:40:51: %HTTPS: SSL handshake fail (-2002)
002095: 20:40:51: HTTP: ssl handshake failed (-40404)
Gezocht op internet en gevonden dat je wat registry keys moet aanpassen om een ander certificaat mee te geven, blijkbaar het standaard certificaat van MSCEP is alleen voor ipsec.
Dus ik een nieuw certificaat aangemaakt genaamd "Cisco" waar beide ipsec en server authentication zit. Echter lijkt het erop dat ik het verkeerde certificaat blijf krijgen. (IIS opnieuw opgestart na aanpassen registry keys)
