Cisco路由器由Windows 2000 CA中心登記證書

來源:本站原創 網絡技術 超過1,554 views圍觀 0條評論

hostname myrouter
ip domain-name test.com
crypto key generate rsa

!—生成密鑰對,建議密鑰長度不低于1024位,可用sh cry key mypubkey rsa來檢查所生成的公鑰,私鑰出于安全的目的是不可查看的
crypto ca identity myca
enrollment mode ra
enrollment url http://192.168.0.2:80/certsrv/mscep/mscep.dll
crl optional

!—enrollment mode ra定義CA登記的方式采用RA(Registration Authority)方式,如采用Windows 2000做CA中心,應采用RA登記方式
!—crl optional定義即使在CRL(Certificate Revocation List)不可用時也能接收對方的證書
!—enrollment url http://192.168.0.2:80/certsrv/mscep/mscep.dll句定義了CA中心的URL地址。
這里我說明一下,因為Cisco使用了他專有的SCEP(Simple Certificate Enrollment Protocol)協議來和CA中心聯系獲取根證書。WIN2K的CA服務缺省沒有對SCEP的支持,需要WIN2K resource kit中的一個附加工具Cepsetup.exe,安裝完后才能在IE中對http://192.168.0.2:80/certsrv/mscep/mscep.dll進行引用。
crypt ca authenticate myca
!—獲取CA中心的證書,大概的提示如下:
Certificate has the following attributes:
Fingerprint: 1FCDF2C8 2DEDA6AC 4819D4C4 B4CFF2F5
% Do you accept this certificate? [yes/no]: y
!—可通過訪問http://192.168.0.2:80/certsrv/mscep/mscep.dll來獲得CA證書的fingerprint,通過比較這兩個fingerprint來確認CA中心的身份有效性。
!—在獲取到CA中心的證書后,可用show cry ca cert來檢查CA Certificate

CA Certificate
Status: Available
Certificate Serial Number: 4C38D9568E6C16874378C4D466F3DDB7
Key Usage: Signature

crypt ca enroll myca
!—發送公鑰給CA中心并獲取路由器自身的證書,大概的提示如下:
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password:
Re[$#8722]enter password:
% The subject name in the certificate will be: myrouter.test.com
% Include the router serial number in the subject name? [yes/no]: n
% Include an IP address in the subject name? [yes/no]: n
Request certificate from CA? [yes/no]: y
% Certificate request sent to Certificate Authority
% The certificate request fingerprint will be displayed.
% The ‘show crypto ca certificate’ command will also show the fingerprint.
myrouter(config)# Fingerprint: A1D6C28B 6575AD08 F0B656D4 7161F76F
3d09h: CRYPTO_PKI: status = 102: certificate request pending
!—注意上面的Password部分,我就在這里折騰了半天,這個口令叫做enrollment challenge password,是由CA提供的,在這里你又需要在IE中鍵入http://192.168.0.2:80/certsrv/mscep/mscep.dll獲取此password,然后將這個challenge password粘貼復制到口令提示處,需要注意的是,這個口令是一個OTP(One Time Password)口令,有效期為60分鐘。
申請完后再次show cry ca cert,可看到Certificat的狀態為Pending:
Certificate
Status: Pending
在CA中心的Pending Requests處可找到這個待申請的證書,然后選擇Issue發布此證書。在路由器上過一段時間后會收到類似如下的提示信息:
3d09h: %CRYPTO[$#8722]6[$#8722]CERTRET: Certificate received from Certificate Authority
此時再show cry ca cert,可看到Certificat的狀態為Available:
Certificate
Status: Available
在配置過程中需要注意的幾個東西有:
1、CA認證對系統時間很敏感,有條件的話盡量在CA中心和CA客戶端上使用NTP協議進行時間同步
2、CA認證的大概配置步驟為:
* 定義CA中心的相關鑒別信息
* 獲取CA中心的證書
* 生成公鑰/私鑰對
* 將公鑰發送給CA中心并獲取自身證書
* 分發證書并驗證證書的有效性
3、一次性口令的時限問題
過幾天再把Cisco VPN Client 4.x的CA證書登記過程及采用數字證書驗證進行VPN連接的過程寫個東西出來。

 

http://et8.net/bbs/showthread.php?p=2984263

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=3467轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏