не понимаю что-то я принцип работы центра сертификации на кошке, имеем кошку 2811 и следующий конфиг:

hostname kitty
!
ip domain name domain.name
!
crypto pki server domain.name
issuer-name CN=secure
grant auto
lifetime crl 24
lifetime certificate 200
lifetime ca-certificate 365
cdp-url http://secure.domain.name
auto-rollover 10
database url flash:
!
crypto pki trustpoint domain.name
enrollment url http://secure.domain.name:80
fqdn line
revocation-check crl
rsakeypair domain.name
!
crypto pki certificate chain domain.name
certificate ca 01
****сертификат****
!
ip http server
kitty# show crypto pki server
Certificate Server domain.name:
Status: enabled
State: enabled
Server's configuration is locked (enter "shut" to unlock it)
Issuer name: CN=secure
CA cert fingerprint: A0F05122 B99A3125 8D06071F BCC3155F
Granting mode is: auto
Last certificate issued serial number (hex): 1
CA certificate expiration timer: 06:15:17 UTC Apr 1 2011
CRL NextUpdate timer: 06:15:18 UTC Apr 2 2010
Current primary storage dir: flash:
Database Level: Minimum - no cert data written to storage
Auto-Rollover configured, overlap period 10 days
Autorollover timer: 06:15:17 UTC Mar 22 2011
есть сервак с апачем во внутренней сети, который обуслуживает веб, на кошке идет проброс 80 порта до него...
в конфиге хоста secure.domain.name прописан реврайт на внутренний айпи кошки

RewriteEngine On
RewriteRule ^(.*)$ http://192.168.151.1/$1 [P]
пытаюсь зайти с внешки http://secure.domain.name/
Апач выдает - Доступ запрещен. Запрошенный объект не существует.- это у меня кастом ошибка на 404.
ЧЯДНТ? :dontknow:

нуу.. сертификат нужен если обращение идет по хттпс (ip http secure-serv),
для 80 порта и хттп, он вроде не используется..

а чего ты хочешь добиться?
поднять CA на циске, что ли?

поднять CA на циске, что ли?
Угу, схема приблизительно такая, мне нужен СА на циске, который будет выдавать сертификаты по запросу для нашего софта, то есть есть софтина - обращается к цс, получает сертификат (вот тут не пойму как сделать чтобы автогрант проходил по логину-паролю хотя бы, чтоб кто угодно не получал сертификаты, ручной аппрув не канает, точек от 1000 и до хз сколько...), и автоматом обновляла бы его, если сертификат истек.
Софтина уже по хттпс работает с необходимым сервером приложений.

Может центр сертификации с 28ой унести?? На какую нить вируталку но премер

Может центр сертификации с 28ой унести??
кхм, а чем на ней плох? пока в тестовом режиме я как датабэйс для сертификатов поставил флеш, потом будет отдельное хранилище, по фтп или т.п.
читал вот этот гайд (http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_cfg_mng_cert_serv_ps6441_TSD_Products_Configur ation_Guide_Chapter.html#wp1194127), но так особо и не понял принцип.

лично я ЦА на циске не рекомендовал бы,
лучше уж МС ЦА..

лучше уж МС ЦА..
кхм... рассмотрим тогда этот вариант... у меня там с виндой напряженка :) винда только на двух бд серверах стоит :oops: а чем ЦА на кошке плох?

кхм... рассмотрим тогда этот вариант... у меня там с виндой напряженка :) винда только на двух бд серверах стоит :oops: а чем ЦА на кошке плох?

ну вообще, у них ца заточен для айписеков.
по крайней мере, такая мысль напрашивается после прочтения нескольких дизайн гайдов..

для пользователей, с аутентификацией по паролю и выдачей сертификата для юзера - я такого не делал и слабо представляю, как это может работать. теоретически, можно на циске поднять ааа, с авторизацией уже куда надо (через радиус) и на основе пользователя попробовать выдавать сертификат, но как это будет работать (и будет ли вообще) - хз. можно, например, сделать выдачу по отп паролю, в этом случае, как пользователь будет получать отп пароль - хз, читать надо конфигуре гайды..

еще, помню, нам не подошло то, что на циске сертификат не может быть продлен на основе старого сертификата. вроде такая была проблема.. кстате, такое не работает и через scep с виндой в качестве ца и роутера в качестве ра.

вывод: иногда нельзя впихнуть невпихуемое.

кхм, ну там как бы не пользователь, пользователя как такогого не существует.
Существует как бы идентификатор этой точки/клиента (там есть и пароль, который аутентифицирует клиента в системе) с названием и прочим в SQL базе системы. Ну и как бы планируется что софт будет аутентифицироваться в системе, на основе этого система будет запрашивать сертификат для этого пользователя (локально для ЦС этот пользователь не существует), и отдавать сертификат клиентской части, которая будет его использовать в дальнейшем для аутентификации/шифрования трафика между клиентом и сервером системы.

Буду пробовать ковырять виндовый ЦС тогда...

тут я не подскажу, глубоко ца на циске не копал..

Буду пробовать ковырять виндовый ЦС тогда...
да его даж ковырять особо не надо.

да его даж ковырять особо не надо.
Согласен, с виндовым ЦС дело имел много раз. Но просто такая конфигурация вгоняет меня в смущение. Будем экспериментировать, просто думал на кошке, таки, кошернее будет :)

просто думал на кошке, таки, кошернее будет :)
все зависит от дизайна.

если это large scalable сервис - циска сразу мимо,
если это single box решение - можно еще заморочиться..

я думаю так.