IOS Self-Signed Certificate Expiration

IOS Self-Signed Certificate Expiration

Son zamanlarda cisco forumlarında gezen arkadaşların çoğu haberi görmüştür.

“1 ocak tan itibaren cisco cihazlar üzerindeki self sign sertifika süresi sona erecektir”

Sitede paylaşılan belli ios router switch lerde artık harici bir ca üzerinden sertifika sağlamamız gerektiği yazmaktadır.

Bu makalede sizlere bunun etkilerinden bahsetmeye çalışacağım.

Burada dikkatte aldığım tamamen cihaz erişimi ile ilgili kısımdır(SSH). VPN VOICE gibi işlemlerde sertfika kullanıyorsanız prosedürlerine göre ilerlemekte fayda vardır.

Bir switch üzerinde daha önceden ip http server komutu çalıştırdığınızda bu arka tarafta self-sing bir sertifika yaratmaktaydı.

Biz de bunu en basit ssh bağlantılarımızda kullanmaktaydık ,bildiğiniz üzere ssh bağlantısı encrypted bir bağlantı bunuda bir sertifika ile yapmaktadır.

1ocak2020 tarihinden önce switch üzerinde bir sertifika varsa ve erişiminiz ssh ise , siz üzerindeki sertifikaları silmediğiniz sürece 1 ocak 2020 tarihinden sonrada bağlanmaya devam edersiniz.

1 ocak 2020 tarihinden sonra cihaz üzerinde ilk defa ip http server komutunu vermeye çalıştığınızda CA sunucusu expired olduğundan hata alacak ve çalıştıramayacaktır.

1.Yöntem cihazın saatini geri alınır, ip http server komutu verilir ,cihaza erişim sağlanır ve tarihi normal zamanına alınarak yola devam edilir.

2.Yöntem Microsoft CA üzerinden yeni bir sertifika üretip tüm switch router lara bu sertifikayı gösterebilirsiniz.

Microsoft CA üzerinde Power Shell i açıp aşağıdaki komut ile 10 yıllık bir sertifika üretiyorum.

New-SelfSignedCertificate -Subject “cisco.coskunsanli.net” -DnsName “cisco.coskunsanli.net”, “cisco.coskunsanli.net” -CertStoreLocation “cert:\LocalMachine\My” -KeyAlgorithm RSA -KeyLength 2048 -KeyExportPolicy Exportable -NotAfter (Get-Date).AddYears(10)

Sonra oluşturduğum sertifikayı Private Key i ile export alıyorum.

Export aldığım dosyayı ftp yardımı ile switch e upload ediyorum.

Aşağıdaki komut ile sertifikamı import işlemini sağlıyorum

crypto pki import sw.coskunsanli.net pkcs12 sw.pfx password Asd123

Kontrol için

show crypto pki certificates

Leave a Reply

Your email address will not be published.

Enjoy this blog? Please spread the word :)