IPSec/DSVPN - migration vers une infrastructure à clé publique

publié il y a  2019-7-31 16:48:07Dernière réponse ag. 04, 2019 09:04:16 35 1 0 0
  F-coins comme récompense: 0 (Non résolu)

Salut,

Quelqu'un peut-il avoir l'expérience de la migration transparente d'IPSec / DSVPN avec pré-partage de la méthode d'authentification IKE vers une signature RSA utilisant une infrastructure à clé publique?


En supposant que vous avez tout comme le dit le document: interfaces de tunnel avec profil ipsec, profil ipsec avec homologue ike utilisant la proposition ike avec une méthode d’authentification pré-partagée. Et vous ne voulez pas changer le profil ipsec sur le Hub à un moment donné (en utilisant une infrastructure à clé publique (PKI)) qui puisse provoquer une panne de service sur de nombreux rayons, ni créer un autre tunnel temporaire avec une adresse IP supplémentaire.

Je pense que vous ne pouvez pas simplement autoriser l'existence de deux définitions homologues ike pour la période de migration utilisée par le profil ipsec: une avec la proposition ike et la clé pré-partagée et pré-partagée avec la méthode d'authentification et l'autre avec la méthode d'authentification rsa-sig et le domaine pki.

Vous ne pouvez pas non plus autoriser la définition de plus d’un nœud (règle) de profil ipsec à utiliser sur le tunnel (comme vous pouvez le faire avec une stratégie ipsec).


Donc, existe-t-il une solution simple ou utiliser un tunnel temporaire avec un nouveau profil ipsec est une nécessité (jusqu'à ce que tous les rayons pré-partage soient migrés)?


Cordialement, 


  • x
  • Standard:

Réponses en vedette
Gladiator
Admin publié il y a 2019-8-4 09:04:16 Utile(0) Utile(0)
Bonjour Piotr, l'entité PKI demande un certificat local à l'autorité de certification et le dispositif demandeur authentifie le certificat, ce qui le différencie de l'authentification avec la clé pré-partagée. Ainsi, comme vous l'avez dit, pour éviter tout impact, je vous suggère de continuer à créer le tunnel temporaire dans un sous-réseau différent et à envoyer ainsi le trafic pendant la migration des tunnels. Effectuer la migration lorsque le tunnel est actif et qu'il y a du trafic peut entraîner un comportement erratique, car le tunnel aura deux méthodes d'authentification différentes et les paramètres IKE ne correspondront pas:




Processus d'échange initial





Processus de travail PKI






Vous pouvez également effectuer des tests dans le tunnel temporaire, avant qu’il n’ait de service en direct.
  • x
  • Standard:

Toutes les réponses
Gladiator
Gladiator Admin publié il y a 2019-8-4 09:04:16 Utile(0) Utile(0)
Bonjour Piotr, l'entité PKI demande un certificat local à l'autorité de certification et le dispositif demandeur authentifie le certificat, ce qui le différencie de l'authentification avec la clé pré-partagée. Ainsi, comme vous l'avez dit, pour éviter tout impact, je vous suggère de continuer à créer le tunnel temporaire dans un sous-réseau différent et à envoyer ainsi le trafic pendant la migration des tunnels. Effectuer la migration lorsque le tunnel est actif et qu'il y a du trafic peut entraîner un comportement erratique, car le tunnel aura deux méthodes d'authentification différentes et les paramètres IKE ne correspondront pas:




Processus d'échange initial





Processus de travail PKI






Vous pouvez également effectuer des tests dans le tunnel temporaire, avant qu’il n’ait de service en direct.
  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier