hostname myrouter
ip domain-name test.com
crypto key generate rsa
!---生成密鑰對 ， 建議密鑰長度不低于1024位 ， 可用sh cry key mypubkey rsa來檢查所生成的公鑰 ， 私鑰出于安全的目的是不可查看的
crypto ca identity myca
enrollment mode ra
enrollment url http://192.168.0.2:80/certsrv/mscep/mscep.dll
crl optional
!---enrollment mode ra定義CA登記的方式采用RA（Registration Authority）方式 ， 如采用windows 2000做CA中心 ， 應采用RA登記方式
!---crl optional定義即使在CRL(Certificate Revocation List)不可用時也能接收對方的證書
!---enrollment url http://192.168.0.2:80/certsrv/mscep/mscep.dll句定義了CA中心的URL地址 。
這里我說明一下 ， 因為Cisco使用了他專有的SCEP(Simple Certificate Enrollment Protocol)協(xié)議來和CA中心聯(lián)系獲取根證書 。WIN2K的CA服務缺省沒有對SCEP的支持 ， 需要WIN2K resource kit中的一個附加工具Cepsetup.exe ， 安裝完后才能在IE中對http://192.168.0.2:80/certsrv/mscep/mscep.dll進行引用 。
crypt ca authenticate myca
!---獲取CA中心的證書 ， 大概的提示如下：
Certificate has the following attributes:
Fingerprint: 1FCDF2C8 2DEDA6AC 4819D4C4 B4CFF2F5
% Do you accept this certificate? [yes/no]: y
!---可通過訪問http://192.168.0.2:80/certsrv/mscep/mscep.dll來獲得CA證書的fingerprint ， 通過比較這兩個fingerprint來確認CA中心的身份有效性 。
!---在獲取到CA中心的證書后 ， 可用show cry ca cert來檢查CA Certificate
...
CA Certificate
Status: Available
Certificate Serial Number: 4C38D9568E6C16874378C4D466F3DDB7
Key Usage: Signature
...
crypt ca enroll myca
!---發(fā)送公鑰給CA中心并獲取路由器自身的證書 ， 大概的提示如下：
% Start certificate enrollment ..
% Create a challenge passWord. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password:
Re?enter password:
% The subject name in the certificate will be: myrouter.test.com
% Include the router serial number in the subject name? [yes/no]: n
% Include an IP address in the subject name? [yes/no]: n
Request certificate from CA? [yes/no]: y
% Certificate request sent to Certificate Authority
% The certificate request fingerprint will be displayed.
% The "show crypto ca certificate" command will also show the fingerprint.
myrouter(config)# Fingerprint: A1D6C28B 6575AD08 F0B656D4 7161F76F
3d09h: CRYPTO_PKI: status = 102: certificate request pending
!---注重上面的Password部分 ， 我就在這里折騰了半天 ， 這個口令叫做enrollment challenge password ， 是由CA提供的 ， 在這里你又需要在IE中鍵入http://192.168.0.2:80/certsrv/mscep/mscep.dll獲取此password ， 然后將這個challenge password粘貼復制到口令提示處 ， 需要注重的是 ， 這個口令是一個OTP（One Time Password）口令 ， 有效期為60分鐘 。
申請完后再次show cry ca cert ， 可看到Certificat的狀態(tài)為Pending：
Certificate
Status: Pending
在CA中心的Pending Requests處可找到這個待申請的證書 ， 然后選擇Issue發(fā)布此證書 。在路由器上過一段時間后會收到類似如下的提示信息：
3d09h: %CRYPTO?6?CERTRET: Certificate received from Certificate Authority
此時再show cry ca cert ， 可看到Certificat的狀態(tài)為Available：
Certificate
Status: Available
在配置過程中需要注重的幾個東西有：
1、CA認證對系統(tǒng)時間很敏感 ， 有條件的話盡量在CA中心和CA客戶端上使用NTP協(xié)議進行時間同步

推薦閱讀

• 

  一些發(fā)現(xiàn)
• 

  章丘鐵鍋烤藍掉了咋辦
• 

  y9000p顯卡溫度怎么看
• 

  梳子寓意 梳子寓意是什么
• 

  微博APP解綁支付寶圖文操作過程
• 

  《親愛的續(xù)杯》劇情講什么故事，陸心語結局是什么？
• 

  妄想山海老虎在哪
• 

  1m3砂等于多少噸 1m3等于多少噸
• 

  微信商業(yè)版收款碼怎么開通20元 微信商業(yè)版收款碼怎么開通
• 

  朗逸plus隱藏功能有哪些
• 

  2個月泰迪喂多少葡萄糖，二個月的泰迪生細小喝葡萄糖注射液要不要放水
• 

  大阿拉斯加能賣多少錢,寵主出售阿拉斯加
• 

  工地物業(yè)的管理模式,物業(yè)怎么管理模式
• 

  tcl軟件開發(fā)待遇怎么樣,軟件開發(fā)工作怎么樣
• 

  絕地求生電腦怎么設置
• 

  廣州烹飪學校，廣州哪里烹飪學校

• 集線器+路由器共享上網(wǎng)常見問題
• 氫氧化鈉俗稱由來
• 路由器的語音接口類型
• CISCO 36系列路由器貓池配置
• 網(wǎng)管必讀寬帶路由器常見故障巧排除
• 新手快速上手文檔 基本路由器的檢驗命令
• 跟我學：如何把你的電腦用做路由器
• 路由器的原理與作用
• Cisco路由器之IP_Classless的使用
• 一個外資銀行的路由器配置