Cisco IOS VPN Sertifika İşlemleri

1. Anahtar Çiftini Üretmek

(config)# crypto key generate rsa general-keys label ANAHTAR_CIFTI modulus 2048 storage nvram:

2. Trust Point Tanımlamak

(config)#crypto pki trustpoint TP
(ca-trustpoint)#enrollment terminal
(ca-trustpoint)#serial-number none
(ca-trustpoint)#fqdn none
(ca-trustpoint)#ip-address none
(ca-trustpoint)#password
(ca-trustpoint)#subject-name O="Microsoft", OU=Office, CN=vpnserver.microsoft.com.tr, C=TR
(ca-trustpoint)#revocation-check none
(ca-trustpoint)#rsakeypair ANAHTAR_CIFTI

3. İstek Üretmek

(config)#crypto ca enroll TP
% Start certificate enrollment ..

% The subject name in the certificate will include: O="Microsoft", OU=Office, CN=vpnsunucu.microsoft.com.tr, C=TR
% The fully-qualified domain name will not be included in the certificateCertificate Request follows:

MIICwTCCAakCAQAwWzELMAkGA1UEBhMCVFIxIDAeBgNVBAMTF3ZwbnNlcnZlci5h
...
...
hEODrs+ppTPsT0IUHRbT4EoH9FMgwyAqiAVwQZgI9XStRqhI4g==

---End - This line not part of the certificate request---

Redisplay enrollment request? [yes/no]: no

Yükarıda elde edilen çıktı bu vpnsunucunun isteğidir. Bu istek kopyalanır ve ilgili sertifika makamına imzalanması için gönderilir.

4. Yardımcı Komutlar
# show crypto key mypubkey rsa ANAHTAR_CIFTI
# show crypto ca trustpoint ADALET status
# show crypto pki trustpoints
# show crypto pki trustpoints status
# show crypto pki certificates
# show crypto pki certificates verbose

(config)#no crypto key zeroize rsa ANAHTAR_CIFTI
(config)#no crypto pki trustpoint TP

Cisco IOS VPN Ayarları

1. Öncelikle aaa new-model özelliği aktif edilir; erişim ve yetkilendirme yapılır:
aaa new-model
! Istemci için tanımlanacak erişim izinlerinin yerel kullanıcılardan yapılacağı belirtilir.
aaa authentication login Istmci_Erisimi local
! Istemci yetkilerinin yerel kullanıcılardan yapılacağı belirtilir.
aaa authorization network Istemci_Yetkileri local

2.
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2

3.
ip local pool IP_HAVUZU 172.16.1.1 172.16.1.10
!
crypto isakmp client configuration group ERISIM_GRUBU
dns 10.10.10.2
pool IP_HAVUZU

4.
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

5.
crypto dynamic-map DMAP 1
set transform-set ESP-3DES-SHA
reverse-route

6.
crypto map VPN client authentication list Istemci_Erisim
crypto map VPN isakmp authorization list Istemci_Yetkileri
crypto map VPN client configuration address respond
crypto map VPN 100 ipsec-isakmp dynamic DMAP