IPSec协议原理与应用四CA在IPSec对等体认证中的应用.ppt

配置实现及验证 6.查看R1的数字证书状态 * 第四章 路由器CA及数字签名认证配置实验（二） R1#sh crypto pki certificates Certificate Status: Available Certificate Serial Number: 1119524F00000000000B Certificate Usage: General Purpose Issuer: cn=root Subject: Name: R1 cn=R1 o=RUIJIE l=BJ CRL Distribution Points: http://server-pc/CertEnroll/root.crl Validity Date: start date: 06:44:05 UTC May 7 2012 end date: 06:54:05 UTC May 7 2013 Associated Trustpoints: ROOT_CA CA Certificate Status: Available Certificate Serial Number: 2DA93F21B2C82F9E4BF093CAA9A82AC8 Certificate Usage: Signature Issuer: cn=root Subject: cn=root CRL Distribution Points: http://server-pc/CertEnroll/root.crl Validity Date: start date: 13:31:05 UTC May 6 2012 end date: 13:31:05 UTC May 6 2017 Associated Trustpoints: ROOT_CA 路由器申请数字证书的两种方式 带内：即通过SCEP协议自动完成 带外：通过手工方式获取数字证书 1.通过浏览器为路由器提交证书申请，CA服务器签发路由器数字证书。路由器将CA证书、本地数字证书通过手动方式导入。 2.路由器产生证书申请，将证书申请线下离线方式发到CA服务器，CA服务器签发路由器数字证书。路由器将CA证书、本地数字证书通过手动方式导入。 * 第四章 路由器CA及数字签名认证配置实验（三） 实验目的 掌握路由器离线产生证书请求及获取证书的操作，掌握CA服务器常见操作。 实验设备说明 使用Dynagen模拟器模拟路由器 使用VMware安装Windows 2003 Server，并安装CA服务器 实验总体步骤 1.搭建实验拓扑 2.基础配置（接口、路由、时间同步等） 3.路由器产生公私密钥对 4.路由器定义CA相关信息并离线产生证书申请，复制证书申请 5.通过浏览器提交证书申请，CA颁发路由器证书（仅包含路由器证书），将其导出并导入路由器 6.导出CA证书，将其导入路由器 7.完成IPSec配置，并测试验证 * 第四章 路由器CA及数字签名认证配置实验（三） 实验拓扑 配置实现及验证 本实验中R1、R2的基本配置（时间同步、接口、路由、IPSec相关）、IPSec协商测试与前两个实验完全相同，因此将省略掉重复的部分。为路由器申请证书并安装导入的过程都相同，只演示R1的操作，R2略。 1.路由器产生公私密钥对 配置略，与第一个实验配置完全相同 2.路由器定义CA相关信息 * 第四章 路由器CA及数字签名认证配置实验（三） R1 R2 CA服务器 Lo0:/32 Lo0:/32 F2/0 F2/0 定义证书申请的产生方式为从终端界面输入 R1(config)#crypto pki trustpoint ROOT_CA R1(ca-trustpoint)#enrollment terminal R1(ca-trustpoint)#revocation-check none R1(ca-trustpoint)#subject-name CN=R1,O=RUIJIE,L=BJ 在带外方式下路由器不需要与CA服务器通信 配置实现及验证 3.产生证书申请 * 第四章 路由器CA及数字签名认证配置实验（三） R1(config)#crypto pki enroll ROOT_CA % Start certificate enrollment .. % The subject name in the certificate will include: CN=R1,O=RUIJIE,L=BJ % The subject n