Re: [ml] utilizzare router cisco come certification authority

Emiliano Gabrielli (aka AlberT) ha scritto:

> non conosco questa funzionalità, ma mi permetto di esprimere un parere 
> personale... La CA è un pilastro fondamentale dell'infrastruttura di 
> autenticazione e sicurezza, il router/FW è per sua natura la macchina più 
> esposta ad attacchi...
>  
Su questo sono d'accordo e sono ben conscio dei pericoli, ma devo 
comunque fare dei test di questa funzionalità,
già che ci sono aggiungo subito qualche dettaglio: per i test ho a 
disposizione un router 2611 xm con IOS adv security o un 1700.
Se qualcuno conosce la funzionalità in oggetto mi puo' dire se l'IOS adv 
security e' sufficiente, o e' necessario adv ip services?
L'errore che mi capita e' che, eseguendo tutte le procedure per creare 
la ca con il certificato autofirmato tutto sembra andare bene, ma poi 
quando devo autenticare la ca da un altro router-B (cioe' devo impostare 
l'altro router per fidarsi della mia ca e farli importare il certificato 
autofirmato dal router-ca) il router-B non riesce a ricevere il certificato.
Ho l'impressione che non riesca a contattare le pagine corrette per il 
protocollo scep sul server http del router ca, in alcuni documenti ho 
visto menzionare un pkiclient.exe ma non so se nel caso di ca cisco devo 
installarlo io (dove?) oppure fa tutto l'IOS una volta abilitata la ca.
Ripeto: so che non è la cosa migliore del mondo mettere una ca su un 
router ma devo comunque fare dei test con questa funzionalità, che per 
ora mi serve solo per mettere in piedi una mia ca in tempi rapidi, poi 
potrei anche decidere di spostarla su OpenCA o qualcosa di simile (ma la 
cosa che conosco meglio tra le alternative che avevo è l'IOS cisco e 
quindi per le prove vorrei usare questo).
bebe