[IOS Router 做CA服务器] 路由器做CA (数字.docVIP

版权声明：原创作品，如需转载，请与作者联系。否则将追究法律责任。 ? ? 这是用工大瑞普模拟器做的关于数字证书的VPN实验。小T我期待大家的指点。 实验基本思路：总部的cisco 3640 路由器作为ca 服务器，分部向总部请求根证书和自己的设备证书，总部也向自己请求跟证书和自己的设备证书。2.实验步骤：总部的基本配置：enableconf thostname zongbuno ip domain-lookupline console 0logging syexec-time 0 0exit interface ethernet 0/0ip address dhcp（获取的地址为，同时获取一条缺省路由，下一跳）no shutexitinterface ethernet 0/2ip address no shutno keepaliveexit 分部的基本配置：enableconf thostname fenbuno ip domain-lookupline console 0logging syexec-time 0 0exitinterface ethernet 0/0ip address dhcp（获取的地址为，同时获取一条缺省路由，下一跳）no shutexitinterface ethernet 0/2ip address no shutno keepaliveexit ? 总部路由器做ca 服务器配置clock set 10:25:00 apr 18 2009（时间必须配置其分部时间需与总部ca 时间同步，若时间没配置，总部ca 服务不能开启。分部时间与总部不同步则获取不到证书）ip domain-name crypto key generate rsa general-keys label lab modulus 1024ip http server（此服务必须开启）crypto pki server lab（创建ca 服务器名字为lab）issuer-name CN=,L=changsha,C=CN（填写ca 服务器的信息）no shutdown (开启ca 服务器，并产生根证书)%Some server settings cannot be changed after CA certificate generation. % Please enter a passphrase to protect the private key% or type Return to exitPassword:Re-enter password:（此提示为输入一个大于7 字符的密码来保护私钥，是必须的）% Certificate Server enabled.（ca 服务开启，若ca 时间没设置的话，服务是无法开启的） zongbu#show crypto ca certificates （查看ca 的根证书）CA CertificateStatus: AvailableCertificate Serial Number: 01 （CA根证书）Certificate Usage: SignatureIssuer:cn=l=changshac=CNSubject:cn=l=changshac=CNValidity Date:start date: 10:25:41 UTC Apr 18 2009end date: 10:25:41 UTC Apr 17 2012Associated Trustpoints: lab ? 总部自己向自己请求根证书（若总部不先向自己申请根证书，则自己的设备证书是获不到的）crypto ca trustpoint （指点信任点）enrollment mode raenrollment url exitcrypto ca authenticate （请求根证书）Certificate has the following attributes:Fingerprint MD5: BA3F31AF 9E701632 D393AC08 36BCC5DDFingerprint SHA1: 9EDD4FFF 4F231045 85218C21 8FCDD867 24B2874F% Do you accept this certificate? [yes/no]: yTrustpoint CA certificate accepted.crypto ca enroll （请求自己的设备证书）% Start certificate enrollment