收藏 分享(赏)
下载资源 加入VIP,免费下载

配置cisco vpn client使用scep从ios router ca获取证书.doc

上传人:gnk289057 文档编号:7122932 上传时间:2019-05-06 格式:DOC 页数:8 大小:262.50KB
下载 相关 举报
配置cisco vpn client使用scep从ios router ca获取证书.doc_第1页
第1页 / 共8页
配置cisco vpn client使用scep从ios router ca获取证书.doc_第2页
第2页 / 共8页
配置cisco vpn client使用scep从ios router ca获取证书.doc_第3页
第3页 / 共8页
配置cisco vpn client使用scep从ios router ca获取证书.doc_第4页
第4页 / 共8页
配置cisco vpn client使用scep从ios router ca获取证书.doc_第5页
第5页 / 共8页
点击查看更多>>
资源描述

1、首先看一下如何用 ios router 做 ca server。 hostname R3 ip domain name /这两个命令必须配,用来生成 key ! crypto pki server R3 cdp-url tftp:/10.0.78.102/R3.crl /生成正书后,把相应的 R3.crl 文件上传到 tftp 服务器上去 database level complete database archive pem password 0 cisco123 issuer-name cn=CAServer, c=CN, o=BJENET /这上面的 4 行是需要配置的,底下的两组 p

2、ki 命令都是 router 自己生成的,配置完后要 no shutdown 一下,只会 ios 会自己生成 key(默认 1024 位),如果你仔细的话会发现 key 的名字和 pki server 的名字是一样的,对头,你要是出于安全考虑,想自己生成一个 2048 位的 key,那么就要注意 pki server 的名字需要和 key 的名字一样 ! crypto pki trustpoint R3 revocation-check crl rsakeypair R3 ! crypto pki certificate chain R3 certificate ca 01 3082023B

3、308201A4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 31310F30 0D060355 040A1306 424A454E 4554310B 30090603 55040613 02434E31 11300F06 03550403 13084341 53657276 6572301E 170D3036 30373231 31393332 35325A17 0D303930 37323031 39333235 325A3031 310F300D 06035504 0A130642 4A454E45 54310B30 090

4、60355 04061302 434E3111 300F0603 55040313 08434153 65727665 7230819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 8100A80B 2C3A575A 8EE6C334 597DBF04 B2BFAE6F 900C37A6 2485D6A8 DDF2AD92 899AA91E 353BE83C D28347D4 B2567602 E855D748 021F4E66 5F31C68C DAEB7D55 8D4DB11E 2595BE5A 890BD2FD 5DF341

5、E1 25EC8E4A C29B63FC F70A73E2 6B15B5EB 9D5AA193 99A886CE 58FCE9F4 037EEADF E056AE02 10EC2B54 E27E51DA 4E5F00DA F0670203 010001A3 63306130 0F060355 1D130101 FF040530 030101FF 300E0603 551D0F01 01FF0404 03020186 301F0603 551D2304 18301680 14AC9683 4830127C FA790371 5F41EAE2 27A72185 A9301D06 03551D0E

6、04160414 AC968348 30127CFA 7903715F 41EAE227 A72185A9 300D0609 2A864886 F70D0101 04050003 81810061 C47440E3 E0CA2B14 C144CAFA 8BFC1EF8 33992F65 E477A0E8 40B1DCA1 ED9DBD56 FF98E71B 4CF12CB1 257AF839 C7667BFC E8DDD837 4DAB5268 7F82F1A9 86552A82 18E397B3 7CFD3387 AFDFA7B4 60B39FEB 8B94A996 099C620E 0A2

7、EB3A3 D0B54AC0 CB60B2BC 4ED1F2C6 E337328C 4944877E BC64C241 AEAC546D 06D99D6A 10759C quit ! ip http server /把 80 端口打开,vpn client 正是用这个端口从这个 ca server 获取证书 ! ntp server 129.6.15.28 /一定要让 ca 和 vpn client 的时间同步,当然最好的方法就是 ntp 了 R3# sho crypto key mypubkey rsa % Key pair was generated at: 03:32:43 UTC Ju

8、l 22 2006 Key name: R3 /look!key 的名字和 pki server 的名字一样 Usage: General Purpose Key Key is not exportable. Key Data: 30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00A80B2C 3A575A8E E6C33459 7DBF04B2 BFAE6F90 0C37A624 85D6A8DD F2AD9289 9AA91E35 3BE83CD2 8347D4B2 567602E8 55D74802 1F4E6

9、65F 31C68CDA EB7D558D 4DB11E25 95BE5A89 0BD2FD5D F341E125 EC8E4AC2 9B63FCF7 0A73E26B 15B5EB9D 5AA19399 A886CE58 FCE9F403 7EEADFE0 56AE0210 EC2B54E2 7E51DA4E 5F00DAF0 67020301 0001 % Key pair was generated at: 03:32:50 UTC Jul 22 2006 Key name: R3.server Usage: Encryption Key Key is not exportable. K

10、ey Data: 307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00DBA874 AFC1DF59 7EE8A1C7 F1F0B0FA 1E663DE8 BFD122C3 E696B93D 31F62FD7 FC250D20 9D97A7DE A833443A 9B7518A2 35FF085C D73C77FF 85A88DEE 1A4F33A5 00406382 FEA155D8 1BAA49FE 55E13AF0 81442BAF FA234B7B 71BDE8B6 5D6D481E CD020301 0001 R3#dir

11、nvram: Directory of nvram:/ 1019 -rw- 1263 startup-config 1020 - 5 private-config 1021 -rw- 1263 underlying-config 1 - 34 persistent-data 2 -rw- 0 ifIndex-table 3 -rw- 32 R3.ser /ca 的序列号,每生成一份证书,里面的序列号就加 1 4 -rw- 575 1.crt /ca 自己的证书,ascii 编码 5 -rw- 81 m /ca 的描述文件,因为配置了 database level complete 才有这个文件

12、的 6 -rw- 248 R3.crl /证书 revoke 列表 7 -rw- 1794 R3.pem /也是 ca 自己的证书,采用 base64 编码,包含自己私钥 1046520 bytes total (1037008 bytes free) R3#sho crypto ca certificates CA Certificate Status: Available Certificate Serial Number: 01 Certificate Usage: Signature Issuer: cn=CAServer c=CN o=BJENET Subject: cn=CASer

13、ver c=CN o=BJENET Validity Date: start date: 03:43:53 UTC Jul 22 2006 end date: 03:43:53 UTC Jul 21 2009 Associated Trustpoints: R3 R3#sho crypto pki server Certificate Server R3: Status: enabled Servers configuration is locked (enter “shut“ to unlock it) Issuer name: cn=CAServer, c=CN, o=BJENET CA

14、cert fingerprint: CD1DB598 8819CEC2 88F4C5D4 1AD11123 Granting mode is: manual Last certificate issued serial number: 0x1 CA certificate expiration timer: 03:43:54 UTC Jul 21 2009 CRL NextUpdate timer: 09:43:54 UTC Jul 22 2006 Current storage dir: nvram: Database Level: Complete - all issued certs w

15、ritten as .cer下面该 cisco vpn client 上场了。切换到 Certificates 标签,再点 Enroll,就是带红筐的那个。 最重要的一步到了,填 CA URL,就是红底的那个,填上“http:/x.x.x.x/cgi-bin/pkiclient.exe“,x.x.x.x 是刚才那个 ios router 的地址。后面/cgi-bin/pkiclient.exe 很重要,TMD,如果用 pix 或者 router 通过 scep 取证书时直接写“http:/x.x.x.x“就可以了,但在 vpn client 里你要照着填就肯定获取失败,后来没办法,想了个土法子

16、,在 ca router 上打开debug ip http all,然后用另一个 router 通过 scep 取证书,debug 出来这样的结果: .Jul 21 12:29:12.125: Fri, 21 Jul 2006 12:29:12 GMT 221.223.37.189 /cgi-bin/pkic lient.exe ok Protocol = HTTP/1.0 Method = GET Query = operation=PKIOperation&message= MIIGNgYJKoZIhvcNAQcCoIIGJzCCBiMCAQExDjAMBggqhkiG9w0CBQUAMI

17、IBagYJ KoZIhvcNAQcBoIIBWwSCAVcwggFTBgkqhkiG9w0BBwOgggFEMIIBQAIBADGB0DCB zQIBADA2MDExDzANBgNVBAoTBkJKRU5FVDELMAkGA1UEBhMCQ04xETAPBgNVBAMT CENBU2VydmVyAgEBMA0GCSqGSIb3D 这回明白了吧。CA domain 就是 ios router ca 的 domain,Challenge password 就是 database archive pem password 设置的密码。再 fuck 一次,别看 vpn client 上标明 CA U

18、RL 是必须填的就以为 domain 和 challenge password 可以不填,不填你就永远没法申请到证书了。New password 是管理 vpn client 获取的证书用的密码,以后无论是删除证书啥的都用的到,好好保存。 点击 Next,输入 Name CN,随便吧,这个是用来标识自己的,只要是唯一的就可以了。然后点 Enroll。这时 vpn client 向 ca 发送 request。具体原理看这个:证书 certificate 生成和验证的过程。之后应该出现下面的画面。这个时候 vpn client 上已经有 CA 的证书了,但自己的证书还是 request 状态。

19、现在是时候去 ios router ca 上给 vpn client 授权了。现面步骤照做就可以了,比较简单。 R3#crypto pki server R3 info requests Enrollment Request Database: Subordinate CA certificate requests: ReqID State Fingerprint SubjectName - RA certificate requests: ReqID State Fingerprint SubjectName - Router certificates requests: ReqID Sta

20、te Fingerprint SubjectName - 1 pending CC98FFF795CAB68BFAC3AE22CB3AE75A cn=Nio crypto pki server R3 grant 1 R3#dir nvram: Directory of nvram:/ 1019 -rw- 1440 startup-config 1020 - 5 private-config 1021 -rw- 1440 underlying-config 1 - 34 persistent-data 2 -rw- 0 ifIndex-table 3 -rw- 32 R3.ser 4 -rw-

21、575 1.crt 5 -rw- 81 m 6 -rw- 248 R3.crl 7 -rw- 1794 R3.pem 9 -rw- 639 2.crt /这个就是 vpn client 的证书了 10 -rw- 62 m /vpn client 的描述文件 1046520 bytes total (1034783 bytes free) 现在证书已经授权给 vpn client 了,让 vpn client 到这个 ca 上取一下证书吧。这个时候 vpn client 上已经有 CA 的证书了,但自己的证书还是 request 状态。 现在是时候去 ios router ca 上给 vpn c

22、lient 授权了。现面步骤照做就可以了,比较简单。 R3#crypto pki server R3 info requests Enrollment Request Database: Subordinate CA certificate requests: ReqID State Fingerprint SubjectName - RA certificate requests: ReqID State Fingerprint SubjectName - Router certificates requests: ReqID State Fingerprint SubjectName -

23、1 pending CC98FFF795CAB68BFAC3AE22CB3AE75A cn=Nio crypto pki server R3 grant 1 R3#dir nvram: Directory of nvram:/ 1019 -rw- 1440 startup-config 1020 - 5 private-config 1021 -rw- 1440 underlying-config 1 - 34 persistent-data 2 -rw- 0 ifIndex-table 3 -rw- 32 R3.ser 4 -rw- 575 1.crt 5 -rw- 81 m 6 -rw- 248 R3.crl 7 -rw- 1794 R3.pem 9 -rw- 639 2.crt /这个就是 vpn client 的证书了 10 -rw- 62 m /vpn client 的描述文件 1046520 bytes total (1034783 bytes free) 现在证书已经授权给 vpn client 了,让 vpn client 到这个 ca 上取一下证书吧。点刚才还是 request 状态的证书,右键,选 retrieve approved certificate,之后输入刚才的那个 New password,就是我说管理证书用的那个密码。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报