Cisco часть II, модуль II, урок 11. Инфраструктура открытого ключа PKI. Практика HD

Этот урок входит в состав видеокурса "построение сетей Cisco с нуля. Часть II, модуль II." Ознакомиться с полным курсом можно на сайте: http://www.darkmaycal-it.ru/cisco/ Коротко о видеокурсе в целом (7 минут): http://qoo.by/3ZdU Содержание урока: 11.1. Практическая работа по развертыванию инфраструктуры открытого ключа (PKI) в корпоративной среде (Enterprise PKI). 11.2. Добавление сервера центра сертификации (Сertificate Authority) к лабораторному проекту. Памятка, касающаяся IDLE-PC и несколько дополнительных моментов. Разница между удостоверяющим центром и центром сертификации, а также различия между Global PKI и Enterprise PKI. 11.3. Конфигурирование центра сертификации на Cisco IOS. Генерация пары открытый/закрытый ключ, работа с командой «crypto key generate» и её параметрами. Генерация ключей с помощью RSA и ECDSA алгоритма. Рекомендации по выбору длины ключа. 11.4. Опция «exportable» при генерации ключевой пары. Стоит ли делать закрытый ключ CA экспортируемым? Последствия компрометации закрытого ключа центра сертификации. Ситуации, при которых требуется наличие копии закрытого ключа. Рекомендации по безопасному хранению закрытого ключа. 11.5. Продолжение конфигурации центра сертификации на Cisco IOS. Настройка trustpoint, активация http сервера. Работа с командой «issuer-name CN=, OU=, O=, S=, C=». 11.6. Настройка расположения базы данных CA сервера, работа с командой «Database url». Месторасположение базы дынных для образов IOS работающих на Dynamips, QEMU, IOU/IOL. Месторасположение для реального оборудования. Сведения, хранящиеся в базе данных CA сервера. 11.7. Настройка полноты информации, хранящейся в базе данных CA сервера. Работа с командой «database level». Режимы «complete», «names» и «minimum». Рекомендации по выбору режима. 11.8. Настройка алгоритма хеширования. Для каких целей в настройках центра сертификации указывается hash алгоритм? 11.9. Установка сроков действия CA сертификата; сертификата, который будет выпускаться для PKI клиентов и CRL файла. Работа с командами «lifetime certificate, lifetime ca-certificate, lifetime CRL». 11.10. Настройка поведения Сertificate Authority при получении запроса на выдачу сертификата от клиента. Работа с командой «grant» и режимами «auto», «ra-auto», «none», «no grant auto». Описание каждого режима. 11.11. Завершение конфигурации и запуск CA сервера. Объяснение механизмов, при которых открытый ключ CA сервера преобразуется в сертификат CA. Понятие самоподписанного (self-signed) сертификата. Рекомендации по генерации безопасного пароля для защиты закрытого ключа. 11.12. Настройка PKI клиентов – VPN шлюзов предприятия. Постановка задачи. 11.13. Генерация пары открытый/закрытый ключ на клиенте с помощью алгоритма RSA. Стоит ли делать закрытый ключ экспортируемым в случае PKI клиента? Обзор двух разных сценариев, приводящих к двум разным решениям. Немного о EFS - Encrypting File System. 11.14. Настройка trustpoint на PKI клиенте. Команда «enrollment url» - особенности синтакс