MSR G2 IPSec证书认证方式建立不成功经典案例

某客户组网如图所示，R1和R2均为MSR G2设备，他们之间需要通过证书认证方式建立IPSec隧道，在隧道的建立过程中，R1和R2都已经成功获取到了正确的证书，但是IPSec无法建立成功。

*May 24 23:30:36:822 2016 H3C PKI/7/PKI_TRACE: Failed to get data by curl.

*May 24 23:30:36:822 2016 H3C PKI/7/PKI_DEBUG: Failed to retrieve CRL.

*May 24 23:30:36:822 2016 H3C PKI/7/PKI_DEBUG: Failed to verify certificate by domain 1.

*May 24 23:30:36:822 2016 H3C IKE/7/ERROR: vrf = 0, src = 119.2.250.200, dst = 119.1.254.168/500

Failed to verify the peer certificate. Reason: unable to get certificate CRL.

现场核对配置后，发现有几处配置错误的地方，在使用证书认证的时候，需要创建证书访问策略，然后再调用证书访问策略。配置完后，发现IPSec还是无法建立成功，于是在R1上开debugging ike sa，在报文交互的过程中的信息有如上告警。

表示设备没有获取到CRL（Certificate Revocation List，证书废除列表），CRL是一个由CA签发的文件，该文件中包含被该CA吊销的所有证书的列表。

在当前的pki domain下没有相关的CRL配置，所以需要跟客户确认证书服务器是否可以发布CRL，如果可以发布请在PKI域视图下配置CRL的发布点位置，如果不发布CRL，则需要在PKI域下配置undo crl check enable。

1、配置IPSec证书认证请参考配置案例来配置。

2、如果证书服务器发布CRL的话，需要在PKI domain下配置CRL的发布位置点。

3、如果证书服务器不发布CRL的话，则需要在PKI域下配置undo crl check enable。

1、使用证书认证的时候，首先检查证书是否获取成功，是否在有效期内。

2、MSR G2证书认证的时候，需要对证书中的subject DN 进行检查，所以需要配置证书访问策略。