例子42,第5行,确认ISAKMP SA谈判启动与RSA加密的身份验证。输出示例42,8号线,表明IKE消息不能被解密,因为Router_B错误地使用Router_A Router_A艾克解密密钥来加密消息,而不是使用Router_A的适当的加密密钥。例42,行19-40,说明相同的关键错误配置Router_A引起艾克SA身份验证失败Router_B Router_A早些时候失败同样的原因。
例42故障排除艾克与RSA加密认证失败
1 Router_A #调试加密isakmp2加密ISAKMP调试在3 !4 !5 * 2月17 10:58:20.066:ISAKMP (0:1): SA在RSA加密的身份验证使用id类型ID_IPV4_ADDR 6 !7 !8 * 2月17 10:58:20.554:% CRYPTO-6-IKMP_CRYPT_FAILURE:艾克(连接id 1)无法解密(w / RSA私钥)包9 !10 !11 * 2月17 10:58:41.706:ISAKMP(0:1):电源第一阶段MM_SA_SETUP……12 * 2月17 10:58:41.706:ISAKMP(0:1):在sa误差就会递增计数器:重新发送第一阶段13 !14 !15 * 2月17 10:59:19.918:ISAKMP(0:1):删除SA原因“gen_IPsec_isakmp_delete但doi ISAKMP”状态(I) MM_SA_SETUP(同行200.0.0.2)输入队列0 16 * 2月17 10:59:19.918:ISAKMP(0:1):输入= IKE_MESG_INTERNAL IKE_PHASE1_DEL 17 * 2月17 10:59:19.918:ISAKMP(0:1):老状态= = IKE_I_MM3新IKE_DEST_SA 18 19 Router_B #调试加密isakmp21日20加密ISAKMP调试!22 !2月23 * 17 10:01:10.930:ISAKMP:(0:1:西南:1):SA做RSA加密认证使用id类型ID_IPV4_ADDR 24 !25 !26 * 2月17 10:01:21.658:ISAKMP:(0:1:西南:1):电源第一阶段MM_KEY_EXCH 27 * 2月17 10:01:21.658:ISAKMP:(0:1:西南:1):发送数据包到200.1.1.1 my_port 500 peer_port 500 (R) MM_KEY_EXCH 28日!29日!30 * 2月17 10:01:55.466:ISAKMP:快速模式计时器过期了。31 * 2月17 10:01:55.466:ISAKMP:(0:1:西南:1):src 200.0.0.1 dst 200.0.0.2 SA不是验证32 * 2月17 10:01:55.466:ISAKMP:(0:1:西南:1):同行并不偏执keepalives。33 !34 ! 35 *Feb 17 10:01:55.466: ISAKMP:(0:1:SW:1):deleting SA reason "QM_TIMER expired" state (R) MM_KEY_EXCH (peer 200.0.0.1) 36 *Feb 17 10:01:55.466: ISAKMP:(0:1:SW:1):deleting SA reason "QM_TIMER expired" state (R) MM_KEY_EXCH (peer 200.1.1.1) 37 *Feb 17 10:01:55.466: ISAKMP: Unlocking IKE struct 0x65C405A8 for isadb_mark_sa_deleted(), count 0 38 *Feb 17 10:01:55.466: ISAKMP: Deleting peer node by peer_reap for 200.1.1.1: 65C405A8 39 *Feb 17 10:01:55.466: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL 40 *Feb 17 10:01:55.466: ISAKMP:(0:1:SW:1):Old State = IKE_R_MM4 New State = IKE_DEST_SA
思科IOS的VPN端点可以要求使用特定的RSA公钥与某些同行,一个类似的功能标准相移键控的身份验证。因此,重要的是,每一个VPN端点是正确的同行使用正确的关键。再次考虑情况的管理员Router_A选择源VPN隧道端点从loopback1(201.0.0.1)接口。管理员Router_B修好的失配关键问题在42例4 -通过例子中,并更新他们的IPsec配置与Router_A对等的回送地址。不过,他们尚未更新时ISAKMP应该使用的地址验证艾克通道Router_B公共/加密密钥(请参见配置中列出图4 - 4)。因此,Router_B不能选择适当的公钥来验证与Router_A艾克通道。再一次,这将导致一个艾克身份验证错误,最终导致ISAKMP SA谈判时间。
RSA加密和ISAKMP同行不匹配
学报》第4 - 14例提供Router_A的RSA密钥配置图4 - 4。
学报》第4 - 14例Router_A RSA加密密钥与Router_B同行不匹配图4 - 4(Router_B配置中提供的示例4-15)
1 Router_A #显示mypubkey rsa加密钥匙生成密钥对2%:10:56:03 UTC时间2005年2月17日3键名:Router_A.cisco.com 4用法:通用键5键不是出口。6关键数据:4886 305 c300d 06092 a86 f70d 01010105 00034 b00 30480241 00 bf6d28 71 ee1ff2 8 415 62年e4001 23日f4d08c dfeaa8 4 c0682a4 39 d66b5d DC275EAB C95DE5A4 1 c87700b 9 4 a6ab4f3 8 acffe4d 6 b409c93 6 bb3dae3 D7D13398 3 c48c7a1 B5020301 0001 10%密钥对生成:11:56:05 UTC时间2005年2月17日11个主要名称:Router_A.cisco.com.server 12用法:加密密钥13关键不是出口。14个关键数据:307年15 c300d 06092 a86 4886 f70d 01010105 06092 b00 06092 00 a233b3 3 a58ddb2 16 D578B1A4 0125 e1cd 1594 c9f2 24 dace5e 65 a276c7 640 e9a13 B8DC4EEC F332B8D8 17 80127 fd6 07 a579f6 A280DF7D ed2ca8b 3457 f5de 53 dab835 C2845EB6 42 f89bb0 18 C7130F67 B10FD71E 812 a1fb1e ca1a6 26 f43dca 7 bdda01d 65020301 0001 20 Router_A 19 #显示加密密钥pubkey-chain 200.0.0.2 rsa地址21关键地址:200.0.0.2 22用法:通用关键23日来源:手动输入24个数据:25 30819 + 30 0 d06092a 30819 f7 0 d010101 05000381 8 d003081 05000381 009 f63bf 26 64 df17df CD836EA2 FA556169 95 a05572 FCF7F1E1 BA7DC493 18408 ec0 F98B78BE 27 28 fae232 3132 af97 CE73D4B5 07 f10a86 CFD038F3 FBC44FF2 2 c323420 D1430162 28 C026DF34 DD6E4AB5 EA3BB45F 1 f184393 DD4C0A3C C9DAD616 F876784B EC9A9AF4 29 238 f2d692f f3b82 09 c4ad90 2569 e1b6 9 ad98833 D6700467 A7880202 0 d020301 0001
例子4-15提供Router_B的RSA密钥配置图4 - 4。注意,尽管公钥和私钥已经正确配置Router_A和Router_B Router_B并非配置了正确的对等信息加密密钥与Router_A设置使用。这个例子中说明了同行不匹配4-15、线条崭新时代。
例子4-15 Router_B RSA加密密钥与Router_A同行不匹配图4 - 4学报》第4 - 14 (Router_A配置示例中提供)
1 Router_B #显示mypubkey rsa加密钥匙生成密钥对2%:09:59:17 UTC时间2005年2月17日3键名:Router_B.cisco.com 4用法:通用键5键不是出口。6关键数据:7 30819 + 30 0 d06092a 30819 f7 0 d010101 05000381 8 d003081 05000381 009 f63bf 8 64 df17df CD836EA2 FA556169 95 a05572 FCF7F1E1 BA7DC493 18408 ec0 F98B78BE 9 3132年fae232 28日af97 CE73D4B5 07 f10a86 CFD038F3 FBC44FF2 2 c323420 D1430162 10 C026DF34 DD6E4AB5 EA3BB45F 1 f184393 DD4C0A3C C9DAD616 F876784B EC9A9AF4 11 238 f2d692f f3b82 09 c4ad90 2569 e1b6 9 ad98833 D6700467 A7880202 0 d020301 0001 12%密钥对生成:10:59:18 UTC时间2005年2月17日13键名:Router_B.cisco.com.server 14用法:加密密钥15关键不是出口。16个关键数据:4886年17 307 c300d 06092 a86 f70d 01010105 00036 b00 30680261 00 ca138a 38268367 18 9 fb2bda8 A5C4677B 06 a0fa1c 7811 baa6 C6FA48A7 E3DE55D0 B6967E71 DF076209 19 1 f3cca1e A7F40179 B4013CC8 ADCB15DD FFDAFAC3 9210 bea7 894 deeda 1 bf59c4b 20 B0143E21 80559 a4d 4 f8a512e DB739E8B 576 e61fd 650 bda6b 87020301 0001 21 22 Router_B #显示加密密钥pubkey-chain 200.0.0.1 rsa地址23日关键地址:200.0.0.1 24用法:通用关键25日来源:手动输入数据:26日27日305 c300d 06092 a86 4886 f70d 01010105 00034 b00 00034 00 bf6d28 71 ee1ff2 28 415 62年e4001 23日f4d08c dfeaa8 4 c0682a4 39 d66b5d DC275EAB C95DE5A4 1 c87700b 29日4 a6ab4f3 8 acffe4d 6 b409c93 6 bb3dae3 D7D13398 3 c48c7a1 B5020301 0001
4-15 Router_B一旦配置(例子,行22日至23日)已经更新使用Router_A公钥Router_A凝视的新信息(lo1 = 201.0.0.1),然后ISAKMP SA可以使用RSA加密谈判成功例子4-16证实。
Router_B例子4-16对等配置更新,ISAKMP SA确认
1 Router_B #sh运行2构建配置…3 rsa加密密钥pubkey-chain 4解决主要201.0.0.1 5地址201.0.0.1 6键字符串7 305 c300d 06092 a86 4886 f70d 01010105 00034 b00 00034 00 bf6d28 71 ee1ff2 8 415 62年e4001 23日f4d08c dfeaa8 4 c0682a4 39 d66b5d DC275EAB C95DE5A4 1 c87700b 9 4 a6ab4f3 8 acffe4d 6 b409c93 6 bb3dae3 D7D13398 3 c48c7a1 B5020301 0001 10退出11 12 Router_B #平13 !14 !15日发送100字节的ICMP 202.1.1.1遥相呼应,超时时间是2秒:16包的源地址发送202.2.2.1 17。! ! ! !18成功率为80%(4/5),往返min / avg / max = 40/43/44 19 * 2月17 11:21:41.570女士:% CRYPTO-5-SESSION_STATUS:加密隧道。同行201.0.0.1:500 Id: 201.0.0.1 20 Router_B #显示加密isakmp sa21 dst src状态conn-id槽22 201.0.0.1 200.1.1.2 QM_IDLE 1 0 23 Router_B #显示pubkey-chain rsa加密钥匙24码:M -手动配置,从证书中提取的C - 25 26代码使用ip地址/多联机密匙环名称27 M将军201.0.0.1违约
注意:在前面的例子与RSA加密,Router_A (512 bit-mod)和Router_B(1024位mod)已经使用不匹配的关键模量。这不会引起艾克身份验证错误,但不提供相同的强度在认证双方使用1024位的密钥。
最后,重要的是要注意,上面的配置使用IP地址(解决主要)选择公共密钥使用相应的对等。此外,管理员可以使用主机名来识别同行,而不是IP地址。使用主机名时,管理员必须验证主机名可以通过DNS解析成一个IP地址或手动使用ip主机(ip地址][主机名在本地路由器配置命令。另外,每个对等ISAKMP识别使用主机名必须指示使用加密isakmp身份(主机名]命令,作为默认使用的IP地址的物理接口加密地图应用。
艾克与RSA签名验证错误
稍后我们将讨论在第11章,身份验证的动态使用RSA签名时发生巨大的变化。到目前为止,我们已经讨论了艾克SA身份验证方法,需要直接加密端点间的密钥交换,包括艾克相移键控和RSA加密Nonce艾克身份验证的方法。现在我们将讨论艾克SA的RSA签名方法验证,验证两个端点的间接使用一个集中的信任资源,一个证书颁发机构(CA),在第一阶段谈判。因此,我们不会关注endpoint-endpoint身份验证和凝视,而是将探索常见艾克认证问题归因于endpoint-CA操作:
对CA和获得CA证书进行身份验证
入学与CA和获取公钥证书
我们将为每一个检查调试和诊断过程使用的拓扑结构图4 - 5,路由器A和B从艾克所需IOS_CAROOT获得证书身份验证使用RSA签名。已经证实,Router_A Router_B可以达到CA。
故障排除艾克与RSA签名验证错误
例子4-17提供Router_A的配置图4 - 5。我们将使用这个配置,故障排除和验证艾克SA与RSA签名在本章后面的身份验证。
例子4-17 Router_A RSA签名配置(图4 - 5)
Router_A #显示加密ca证书证书状态:可用证书编号:03证书用法:通用发行人:cn = IOS_CAROOT主题:名称:Router_A.cisco.com的IP地址:192.168.1.1编号:01 c2f27f serialNumber = 1 c2f27f + ipaddress = 192.168.1.1 +主机名= Router_A.cisco.com有效期:开始日期:10:12:45 UTC时间2005年2月24日结束日期:10:12:45 UTC时间2006年2月24日更新日期:就是UTC时间1970年1月1日有关Trustpoints: IOS_CAROOT CA证书状态:可用证书编号:01用法:证书签名发行人:cn = IOS_CAROOT主题:cn = IOS_CAROOT有效期:开始日期:09:06:11 UTC时间2005年2月24日结束日期:09:06:11 UTC时间2008年2月24日有关Trustpoints: IOS_CAROOT Router_A #显示mypubkey rsa加密钥匙%密钥对生成:10:11:30 UTC时间2005年2月24日关键名称:Router_A.cisco.com用法:通用关键关键不是出口。关键数据:30819 + 30 0 d06092a 864886 f7 0 d010101 864886 8 d003081 864886 1919 00 af2fc9 ecf1 DE24C37D 796658 e2 b186600 98 eb5ce3 AE0E53FE B1F736EA CE417989 F3029E25 594 b9bcb 30 dd0a2d 799814 b1 799814菲BFB081E1 799814 f91 3021 f997 0 fbc0b62 4 a6284a4 22175 b89 4 d5c00b2 4 de6f657 F6CA00DA E8629294 413487 f6 ab72baf 071 f4c63 CD813C3A 8925 b95d F3DE265C CCFA3AA5 C38386DA 25020301 0001%密钥对生成:10:11:31 UTC时间2005年2月24日关键名称:Router_A.cisco.com.server用法:加密密钥出口是关键。关键数据:307 c300d 06092 a86 4886 f70d 01010105 06092 b00 06092 00 c7ce18 CD11DBAE 6 fe6999b 15 e81063 998 cd039 91677 aad 9 e310c38 9 cf10010 EE3BBD5C 574837 e8 08098084 D1F09C7D 9143 f22c 6684 aaa5 9 b518676 AB205A9B 2681 b77a 24 e69aba 734 ab29c 28 d4a672 4 c93b3b4 DE27CB77 FF0DBBF0 2 a5abf1f AF020301 Router_A # 0001显示pubkey-chain rsa加密钥匙代码:M -手动配置,从证书中提取的C - C代码使用ip地址/多联机密匙环的名字签约违约X.500 DN名称:cn = IOS_CAROOT C签署192.168.2.1 /违约Router_B.cisco.com
例子4-18提供Router_B的配置图4 - 5。我们将使用这个配置,故障排除和验证艾克SA与RSA签名在本章后面的身份验证。