hostname myrouter ip domain-name test.com crypto key generate rsa !---生成密鑰對(duì)，建議密鑰長(zhǎng)度不低于1024位，可用sh cry key mypubkey rsa來檢查所生成的公鑰，私鑰出于安全的目的是不可查看的 crypto ca identity myca enrollment mode ra enrollment url http://192.168.0.2:80/certsrv/mscep/mscep.dll crl optional !---enrollment mode ra定義CA登記的方式采用RA（Registration Authority）方式，如采用windows 2000做CA中心，應(yīng)采用RA登記方式 !---crl optional定義即使在CRL(Certificate Revocation List)不可用時(shí)也能接收對(duì)方的證書 !---enrollment url http://192.168.0.2:80/certsrv/mscep/mscep.dll句定義了CA中心的URL地址。 這里我說明一下，因?yàn)镃isco使用了他專有的SCEP(Simple Certificate Enrollment Protocol)協(xié)議來和CA中心聯(lián)系獲取根證書。WIN2K的CA服務(wù)缺省沒有對(duì)SCEP的支持，需要WIN2K resource kit中的一個(gè)附加工具Cepsetup.exe，安裝完后才能在IE中對(duì)http://192.168.0.2:80/certsrv/mscep/mscep.dll進(jìn)行引用。 crypt ca authenticate myca !---獲取CA中心的證書，大概的提示如下： Certificate has the following attributes: Fingerprint: 1FCDF2C8 2DEDA6AC 4819D4C4 B4CFF2F5 % Do you accept this certificate? [yes/no]: y !---可通過訪問http://192.168.0.2:80/certsrv/mscep/mscep.dll來獲得CA證書的fingerprint，通過比較這兩個(gè)fingerprint來確認(rèn)CA中心的身份有效性。 !---在獲取到CA中心的證書后，可用show cry ca cert來檢查CA Certificate ... CA Certificate Status: Available Certificate Serial Number: 4C38D9568E6C16874378C4D466F3DDB7 Key Usage: Signature ... crypt ca enroll myca !---發(fā)送公鑰給CA中心并獲取路由器自身的證書，大概的提示如下： % Start certificate enrollment .. % Create a challenge passWord. You will need to verbally provide this password to the CA Administrator in order to revoke your certificate. For security reasons your password will not be saved in the configuration. Please make a note of it. Password: Re−enter password: % The subject name in the certificate will be: myrouter.test.com % Include the router serial number in the subject name? [yes/no]: n % Include an IP address in the subject name? [yes/no]: n Request certificate from CA? [yes/no]: y % Certificate request sent to Certificate Authority % The certificate request fingerprint will be displayed. % The 'show crypto ca certificate' command will also show the fingerprint. myrouter(config)# Fingerprint: A1D6C28B 6575AD08 F0B656D4 7161F76F 3d09h: CRYPTO_PKI: status = 102: certificate request pending !---注重上面的Password部分，我就在這里折騰了半天，這個(gè)口令叫做enrollment challenge password，是由CA提供的，在這里你又需要在IE中鍵入http://192.168.0.2:80/certsrv/mscep/mscep.dll獲取此password，然后將這個(gè)challenge password粘貼復(fù)制到口令提示處，需要注重的是，這個(gè)口令是一個(gè)OTP（One Time Password）口令，有效期為60分鐘。 申請(qǐng)完后再次show cry ca cert，可看到Certificat的狀態(tài)為Pending： Certificate Status: Pending 在CA中心的Pending Requests處可找到這個(gè)待申請(qǐng)的證書，然后選擇Issue發(fā)布此證書。在路由器上過一段時(shí)間后會(huì)收到類似如下的提示信息： 3d09h: %CRYPTO−6−CERTRET: Certificate received from Certificate Authority 此時(shí)再show cry ca cert，可看到Certificat的狀態(tài)為Available： Certificate Status: Available 在配置過程中需要注重的幾個(gè)東西有： 1、CA認(rèn)證對(duì)系統(tǒng)時(shí)間很敏感，有條件的話盡量在CA中心和CA客戶端上使用NTP協(xié)議進(jìn)行時(shí)間同步 2、CA認(rèn)證的大概配置步驟為： * 定義CA中心的相關(guān)鑒別信息 * 獲取CA中心的證書 * 生成公鑰/私鑰對(duì) * 將公鑰發(fā)送給CA中心并獲取自身證書 * 分發(fā)證書并驗(yàn)證證書的有效性 3、一次性口令的時(shí)限問題 另外再發(fā)一個(gè)參考文檔，寫得很細(xì)，不錯(cuò)：Enrolling for Certificates from a Cisco Routerhttp://www.tburke.net/info/reskittools/topics/mscep_enrolling.htm