CA互操作性配置任务列表
来源:互联网 发布:结构化数据的存储方式 编辑:程序博客网 时间:2024/04/28 21:16
要开启你的cisco设备来支持ca,完整的任务有以下几个部分。
一些任务是可选的;其他的是必须的:
1:管理nvram内存使用情况
当使用了ca的时候,认证和认证撤销列表在你的路由器使用。正常情况下一定的认证和所有的crl是存储在路由器的nvram中的,且每个认证和crl使用一个中等级别数量的存储。以下认证正常一般是存储在路由器的:
·你的路由器的认证。
·ca的认证
·从ca服务器得到的根认证(在路由器初始化之后所有根认证是存在ram中的)
·两个注册认证者(ra)的认证(仅当ca支持ra时)
CRL在以下条件会存储在你的路由器中:
·如果你的ca不支持ra,只有一个crl会存在你的路由器里。
·如果你的ca支持一个ra,多个crl能存储在你的路由器里。
在有些案例中,本地存储这些认证和crl将不会存在任何问题。在其他案例里,存储可能会是个问题-如果你的ca支持ra和大数量的crl存储还是可行的。如果nvram太小,那就不够存储这些信息的。要保存nvram空间,你可以指定不存在本地的认证和crl,但是当需要的时候不能够从ca得到。这个可选择性将节省nvram空间但是会导致对性能的轻微影响。要指定认证和crl不存在你路由器的本地,但是需要当需要时重新得到,调到查询模式,使用以下全局命令:
router(config)#crypto ca certicate query
//调到查询模式,可以让认证和crl不用存在本地。
一些任务是可选的;其他的是必须的:
1:管理nvram内存使用情况
当使用了ca的时候,认证和认证撤销列表在你的路由器使用。正常情况下一定的认证和所有的crl是存储在路由器的nvram中的,且每个认证和crl使用一个中等级别数量的存储。以下认证正常一般是存储在路由器的:
·你的路由器的认证。
·ca的认证
·从ca服务器得到的根认证(在路由器初始化之后所有根认证是存在ram中的)
·两个注册认证者(ra)的认证(仅当ca支持ra时)
CRL在以下条件会存储在你的路由器中:
·如果你的ca不支持ra,只有一个crl会存在你的路由器里。
·如果你的ca支持一个ra,多个crl能存储在你的路由器里。
在有些案例中,本地存储这些认证和crl将不会存在任何问题。在其他案例里,存储可能会是个问题-如果你的ca支持ra和大数量的crl存储还是可行的。如果nvram太小,那就不够存储这些信息的。要保存nvram空间,你可以指定不存在本地的认证和crl,但是当需要的时候不能够从ca得到。这个可选择性将节省nvram空间但是会导致对性能的轻微影响。要指定认证和crl不存在你路由器的本地,但是需要当需要时重新得到,调到查询模式,使用以下全局命令:
router(config)#crypto ca certicate query
//调到查询模式,可以让认证和crl不用存在本地。
注意,查询模式在ca挂了之后也是能用的。如果你现在是查询模式,如果你想关你可以关掉查询模式。如果你关掉查询模式,你也可以使用命令
copy system:running-config nvram:startup-confifg (write)
来存储所有的当前认证和crl到nvram。除非你不想在重启之后见到他们丫。
2:配置路由器主机名和ip域名你必须配置路由器的主机名和ip域名,如果还没配的话。这个是必须的因为路由器绑定一个完全查询域名(FQDN)给使用ipsec的key们和认证们,且FQDN是基于你绑定给路由器的主机名和ip域名的。例如,一个认证名叫“router20.example.com"是基于一名叫"router20"且ip域名是"example.com"的。要配置主机名和ip域名给路由器,使用以下全局命令:
第一步:
router(config)#hostname 名
//配置主机名
第二步:
router(config)#ip domain-name 名
//配置路由器的ip域名。
3:生成一个rsa钥匙对。rsa钥匙对视用来标识和加密ike钥匙管理消息,又,他是在你的路由器得到认证之前必须的。要生成一个rsa钥匙对,使用以下命令:
router(config)#crypto key generate rsa [usage-keys]
//生成一个rsa钥匙对。使用usage-keys关键字来指定特殊用途的keys代替生成_目的的keys。
4:申报一个CA你应该申报一个在路由器上使用的ca。要申报指定一个ca,使用以下全局命令:
第一步:
router(config)#crypto ca identity 名
//申报一个ca,这个名应该是ca的域名。这个命令带你进入ca标识配置模式。
第二步:
router(ca-identity)#enrollment url 统一资源
//指定ca的url(这个url可以包含认证非标准cgi-bin脚本位置)
第三步:
router(ca-identity)#enrollment mode ra
//(可选)指定ra模式,如果ca系统指出ra。
注意:cisco ios软件自动决定模式-ra或者非ra;因此,如果使用了ra模式,这个子命令wr mem时候就写到nvram了。
第四步:
router(ca-identity)enrollment retry period 分钟
//(可选)指定重传超时。在请求一个认证之后,一个路由器等待接受来自ca的认证。如果这个路由器在一定时间(这个重传超时)内没有收到认证,那么路由器就会再发送另一个认证请求。你可以从默认的1分钟改变为其他重传超时。
第六步:
router(ca-identity)#enrollment retry count 数字
//(可选)指定重新发送认证请求多少次之后放弃。默认是死皮赖脸,决不放弃。
第七步:
router(ca-identify)#crl optional
//(可选)指定其他对等体的认证能够被你的路由器允许验证,甚至适当的crl在你的路由器上都不允许。
router(ca-identity)#exit
//退出ca-identity配置模式。
copy system:running-config nvram:startup-confifg (write)
来存储所有的当前认证和crl到nvram。除非你不想在重启之后见到他们丫。
2:配置路由器主机名和ip域名你必须配置路由器的主机名和ip域名,如果还没配的话。这个是必须的因为路由器绑定一个完全查询域名(FQDN)给使用ipsec的key们和认证们,且FQDN是基于你绑定给路由器的主机名和ip域名的。例如,一个认证名叫“router20.example.com"是基于一名叫"router20"且ip域名是"example.com"的。要配置主机名和ip域名给路由器,使用以下全局命令:
第一步:
router(config)#hostname 名
//配置主机名
第二步:
router(config)#ip domain-name 名
//配置路由器的ip域名。
3:生成一个rsa钥匙对。rsa钥匙对视用来标识和加密ike钥匙管理消息,又,他是在你的路由器得到认证之前必须的。要生成一个rsa钥匙对,使用以下命令:
router(config)#crypto key generate rsa [usage-keys]
//生成一个rsa钥匙对。使用usage-keys关键字来指定特殊用途的keys代替生成_目的的keys。
4:申报一个CA你应该申报一个在路由器上使用的ca。要申报指定一个ca,使用以下全局命令:
第一步:
router(config)#crypto ca identity 名
//申报一个ca,这个名应该是ca的域名。这个命令带你进入ca标识配置模式。
第二步:
router(ca-identity)#enrollment url 统一资源
//指定ca的url(这个url可以包含认证非标准cgi-bin脚本位置)
第三步:
router(ca-identity)#enrollment mode ra
//(可选)指定ra模式,如果ca系统指出ra。
注意:cisco ios软件自动决定模式-ra或者非ra;因此,如果使用了ra模式,这个子命令wr mem时候就写到nvram了。
第四步:
router(ca-identity)enrollment retry period 分钟
//(可选)指定重传超时。在请求一个认证之后,一个路由器等待接受来自ca的认证。如果这个路由器在一定时间(这个重传超时)内没有收到认证,那么路由器就会再发送另一个认证请求。你可以从默认的1分钟改变为其他重传超时。
第六步:
router(ca-identity)#enrollment retry count 数字
//(可选)指定重新发送认证请求多少次之后放弃。默认是死皮赖脸,决不放弃。
第七步:
router(ca-identify)#crl optional
//(可选)指定其他对等体的认证能够被你的路由器允许验证,甚至适当的crl在你的路由器上都不允许。
router(ca-identity)#exit
//退出ca-identity配置模式。
5:配置一个根ca(被信任的root)
router(config)#crypto ca trusted-root 名
router(config)#crl query 统一资源
router(config)#exit
router(config)#crypto ca identity 名
router(ca-identity)#crl optional
router(ca-identity)#exit
router(config)#crypto ca trusted-root 名
router(ca-root)#root CEP 统一资源
或者/
router(ca-root)#root tftp 服务器名 文件名
router(ca-root)#root PROXY 统一资源
6:认证ca
router(config)#crypto ca authenticate 名
//得到ca的公钥。使用与申请ca或当使用cryto ca identity命令时候一样的“名”。
7:请求你自己的认证router(config)#crypto ca enroll 名
//请求认证给所有你的rsa钥匙对。这个命令导致你的路由器请求有多少认证就多少rsa钥匙对,所以你只需要这个运行这个命令一次,甚至你有指定用途的rsa钥匙对。注意:这个命令需要你建立一个挑战密码,不存在配置中。这个密码需要在甚至你认证的时候需要使用,所以你必须记住这个密码。再注意:如果你的路由器在你敲了cryto ca enroll命令之后重启了,但是又是在你收到认证之前,你必须再敲这个命令,告之ca管理员。
router(config)#crl query 统一资源
router(config)#exit
router(config)#crypto ca identity 名
router(ca-identity)#crl optional
router(ca-identity)#exit
router(config)#crypto ca trusted-root 名
router(ca-root)#root CEP 统一资源
或者/
router(ca-root)#root tftp 服务器名 文件名
router(ca-root)#root PROXY 统一资源
6:认证ca
router(config)#crypto ca authenticate 名
//得到ca的公钥。使用与申请ca或当使用cryto ca identity命令时候一样的“名”。
7:请求你自己的认证router(config)#crypto ca enroll 名
//请求认证给所有你的rsa钥匙对。这个命令导致你的路由器请求有多少认证就多少rsa钥匙对,所以你只需要这个运行这个命令一次,甚至你有指定用途的rsa钥匙对。注意:这个命令需要你建立一个挑战密码,不存在配置中。这个密码需要在甚至你认证的时候需要使用,所以你必须记住这个密码。再注意:如果你的路由器在你敲了cryto ca enroll命令之后重启了,但是又是在你收到认证之前,你必须再敲这个命令,告之ca管理员。
8:保存你的配置
经常记起,当你改变配置之后要保存配置到你的网络中。
经常记起,当你改变配置之后要保存配置到你的网络中。
9:监视和管理ca互操作性
以下任务是可选的,根据实践所需:
#请求一个CRL
router(config)crypto ca crl request 名
#查询一个crl
router(ca-root)#crl query
#从你的路由器上删除一个rsa钥匙。
router(config)#crypto key zeroize rsa
#删除一个对等体的公钥
router(confg)#cryto key pubkey-chain rsa
router(config-pubkey-c)no named-key 钥匙名 [encryptin | signature]
或者
router(config-pubkey-c)#no addressed-key key地址[encryption | signature]
exit
#从配置中删除认证
router#show crypto ca certificates
router(config)#crypto ca certificate chain 名
router(config-cert-cha)#no certificate 认证序列号
#全局下删除ca标识
router(config)#no crypto ca identity
#察看keys和认证
router#show crypto key mypubkey rsa
//看rsa公共key们。
router#show crypto key pubkey-chain rsa
//看所有的rsa公共keys。
router#show crypto key pubkey-chain rsa [name 钥匙名 |address key地址]
router#show crypto ca certifacates
router#show crypto ca roots
!下一步干啥?
你配完了这个特性之后,你就配ike和ipsec了.
以下任务是可选的,根据实践所需:
#请求一个CRL
router(config)crypto ca crl request 名
#查询一个crl
router(ca-root)#crl query
#从你的路由器上删除一个rsa钥匙。
router(config)#crypto key zeroize rsa
#删除一个对等体的公钥
router(confg)#cryto key pubkey-chain rsa
router(config-pubkey-c)no named-key 钥匙名 [encryptin | signature]
或者
router(config-pubkey-c)#no addressed-key key地址[encryption | signature]
exit
#从配置中删除认证
router#show crypto ca certificates
router(config)#crypto ca certificate chain 名
router(config-cert-cha)#no certificate 认证序列号
#全局下删除ca标识
router(config)#no crypto ca identity
#察看keys和认证
router#show crypto key mypubkey rsa
//看rsa公共key们。
router#show crypto key pubkey-chain rsa
//看所有的rsa公共keys。
router#show crypto key pubkey-chain rsa [name 钥匙名 |address key地址]
router#show crypto ca certifacates
router#show crypto ca roots
!下一步干啥?
你配完了这个特性之后,你就配ike和ipsec了.
- CA互操作性配置任务列表
- 防火墙基本配置任务列表
- .NET 互操作性疑难解答
- 应用程序互操作性:点对点
- 应用程序互操作性:点对点
- C#的互操作性
- Web Service 互操作性
- C#平台互操作性
- C#互操作性
- 理解 Web 服务互操作性
- 6.8 代理的互操作性
- javaFX配置到myeclipse,并zzJavaFX和Java之间的互操作性
- 如何配置CA服务器
- nginx配置ca证书
- CA证书 配置 https
- Web服务互操作性和 SOAP
- 应用程序互操作性:Microsoft .NET 和 J2EE
- 应用程序互操作性:Microsoft .NET 和 J2EE
- 记录Telnet后所使用的命令
- NTP white paper
- 收藏.IBM.WebSphere新手入门
- CISCO路由器配置前缀列表解疑
- LINUX初学者选择版本的参考
- CA互操作性配置任务列表
- update cisco ios via xmodem
- 找工作了
- MPLS STATIC CE-PE
- 使用PADR,PADL,PADC来填充字符串
- 使用CBWFQ进行流量控制
- Sample cisco NTP Configurations
- 让show run和show start中显示修改时间
- Windows中的管道技术
