- 1Django 入门教程_django入门教程
- 2Kettle的安装及简单使用
- 3linux(ubuntu20.04)+PicGo(gui版)+github+typora搭建笔记
- 4卷积神经网络(CNN)网络结构及模型原理介绍_卷积神经网络结构
- 5常用网络结构:深度残差理解Resnet_resnet综述
- 6uniapp转小程序,小程序转uniapp方法_uniapp如何转成原生小程序
- 7coma运行代码遇到的问题_no module named 'psbody
- 8Linux命令经典面试题:统计文件中出现次数最多的前10个单词_怎么统计指定条件出现次数最多的词
- 9好发现个开源又完全免费的大屏设计器_开源大屏组件
- 10小程序内嵌uniapp页面跳转回小程序指定页面方式
锐捷网络——CA数字证书配置——路由器通过SCEP在线获取数字证书_scep插件
赞
踩
目录
三、配置要点
1、搭建网络环境,保证路由器与CA服务器能够正常通信,在CA服务器上安装SCEP插件(若已经安装过SCEP插件,可跳过此步骤)
2、配置设备时区,时间,hostname
3、(可选)生成路由器的公私钥对(若已经有生成过路由器的公私钥对,可以跳过此步骤)
4、配置下载证书的信任点
5、(可选)配置路由器的DN信息
6、在路由器上获取证书服务器的根证书
7、申请路由器的证书
8、在CA服务器上颁发证书
四、配置步骤
1、搭建网络环境,保证路由器与CA服务器能够正常通信,在CA服务器上安装SCEP插件(若已经安装过SCEP插件,可跳过此步骤)
1)运行cepsetup.exe(SCEP在线证书申请的插件),下载链接如下:http://go.microsoft.com/fwlink/?LinkId=32060
2)点击是,然后显示如下:
3)点击yes,然后显示如下:
4)点击下一步,出现如下界面,选择“Use the local system accout”
5)点击下一步,显示如下页面:
6)去掉“Require SCEP Challenge Phrase to Enroll”选项,点击下一步,出现如下界面:
7)选择是(Y),出现如下界面,并完善下面的资料填写,并点击下一步;
8)点击下一步,弹出如下界面;
9)点击完成,提示如下,并点击确定。
10)测试。
至此,SCEP按照顺利完成。
2、配置设备时区,时间,hostname
设置时区:clock timezone BJ 8 0
设置时间:clock set 17:00:00 1 24 2011
设置hostname:hostname Internet
3、(可选)生成路由器的公私钥对(若已经有生成过路由器的公私钥对,可以跳过此步骤)
Internet(config)#crypto key generate rsa ----------在设备上生成公私钥对
gernerate-key
Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys.
Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus[512]:1024 -------指定公私钥对长度,默认512位,最大支持2048位,建议使用1024位
4、配置下载证书的信任点
Internet(config)#crypto pki trustpoint ruijie
Internet(ca-trustpoint)# revocation-check none //配置忽略吊销列表的检查
Internet(ca-trustpoint)# time-check none //关闭证书有效期检查,对于RSR10-02等没有时钟芯片的设备,建议关闭
Internet(ca-trustpoint)# enrollment url http://202.100.1.11/certsrv/mscep/mscep.dll //定义获取证书的路径
注意:
1)在配置信任点前,要保证能到CA服务器的路径是通的,且通过http://202.100.1.11/certsrv/mscep/mscep.dll 能够查看根证书的签名。
2)RSR10-02设备没有时钟芯片,断电后时间会初始化为1970-01-01导致基于数字证书的IPSEC VPN协商失败,必须配置NTP时间同步或在证书crypto pki trustpoint XX模式下配置timeout-check none来关闭时间检查。
3)所有非在线申请数字证书的3G客户端,需要在crypto pki trustpoint XX模式下配置revocation-check来关闭设备的CRL检查,除非设备能解析CA服务的域名地址。
5、(可选)配置路由器的DN信息
crypto pki trustpoint ruijie
subject-name cn=RSR20-14E,ou=tac,o=ruijie,l=fuzhou,st=fujian,c=CN
说明:
1)subject-name 即为路由器的DN信息,该信息是证书的附加标示符,用来补充说明证书颁发给了哪个组织机构的哪个客户端
2)DN信息各个字段的含义:
cn:客户端的名字(建议每个客户端的CN名字都是唯一的)
ou:组织名称
o:组织单位名称
l:所在的城市或区域名称
st:所在的州或省份名称
c:国家代码
3)RSR系列路由器若不配置DN信息,默认以设备的hostname做为DN信息
6、在路由器上获取证书服务器的根证书
Internet(config)#crypto pki authenticate ruijie
Certificate has the following attributes:
MD5 fingerprint: F9637FD9 3D5F5C33 D6E067C3 5F7952CC //根证书的签名
SHA1 fingerprint: FC07C4BE 8E769C57 C4182A80 2904D9F1 A0DE80D5
% Do you accept this certificate?[yes/no]:yes
Trustpoint ruijie certificate accepted.
注意:通过http://202.100.1.11/certsrv/mscep/mscep.dll,查看根证书的签名是否和此处的一致,如果一致,输入yes,否则是不可信的根证书服务器。
如果使用多级的根证书的话,而我们的证书申请是从Sub-CA获取的,此处的根证书的签名,为Sub-CA次根服务器的签名。
7、申请路由器的证书
Internet(config)#crypto pki enroll ruijie //此处的名字一定要和步骤2定义的信任点名字一致
%
%Start certificate enrollment ..
%Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password:
Re-enter password:
%The subject name in the certificate will include: cn=RSR20-14E,ou=tac,o=ruijie,l=fuzhou,st=fujian,c=CN
%The subject name in the certificate will include: cn=RSR20-14E,ou=tac,o=ruijie,l=fuzhou,st=fujian,c=CN
注意:此处会让你输入一个密码,要求保护路由器的私钥。如果在安装SCEP的时候,我们没有勾选Require SCEP Challenge Phrase to Enroll,那么此处的密码为空,直接回车即可。
8、在CA服务器上颁发证书
在CA服务器上颁发完证书后,等几分钟就可以在路由器上看到已经成功获取到数字证书。
五、配置验证
通过show crypto pki certificates ruijie可以查看名称为“ruijie”的证书信息:
Ruijie#show crypto pki certificates ruijie
% CA certificate info: //CA根证书信息
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
65:c7:3a:80:2a:e8:cc:85:4f:fb:ae:69:48:33:68:5c
Issuer: DC=com, DC=rsc, CN=RSC CA
Validity
Not Before: Dec 29 05:30:00 2010 GMT
Not After : Dec 29 05:39:30 2020 GMT //证书的有效期,如果设备时间不在证书有效期内则证书无法使用
Subject: DC=com, DC=rsc, CN=RSC CA
Associated Trustpoints: ruijie
% Router certificate info: //路由器证书信息
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
61:0e:8b:73:00:00:00:00:00:19
Issuer: DC=com, DC=rsc, CN=RSC CA
Validity
Not Before: May 15 07:55:30 2011 GMT
Not After : May 15 08:05:30 2012 GMT
Subject: C=CN, ST=fujian, L=fuzhou, O=ruijie, OU=tac, CN=test/emailAddress=test@ruijie.com.cn
Associated Trustpoints: ruijie
