某客户组网如图所示,R1和R2均为MSR G2设备,他们之间需要通过证书认证方式建立IPSec隧道,在隧道的建立过程中,R1和R2都已经成功获取到了正确的证书,但是IPSec无法建立成功。
*May 24 23:30:36:822 2016 H3C PKI/7/PKI_TRACE: Failed to get data by curl.
*May 24 23:30:36:822 2016 H3C PKI/7/PKI_DEBUG: Failed to retrieve CRL.
*May 24 23:30:36:822 2016 H3C PKI/7/PKI_DEBUG: Failed to verify certificate by domain 1.
*May 24 23:30:36:822 2016 H3C IKE/7/ERROR: vrf = 0, src = 119.2.250.200, dst = 119.1.254.168/500
Failed to verify the peer certificate. Reason: unable to get certificate CRL.
现场核对配置后,发现有几处配置错误的地方,在使用证书认证的时候,需要创建证书访问策略,然后再调用证书访问策略。配置完后,发现IPSec还是无法建立成功,于是在R1上开debugging ike sa,在报文交互的过程中的信息有如上告警。
表示设备没有获取到CRL(Certificate Revocation List,证书废除列表),CRL是一个由CA签发的文件,该文件中包含被该CA吊销的所有证书的列表。
在当前的pki domain下没有相关的CRL配置,所以需要跟客户确认证书服务器是否可以发布CRL,如果可以发布请在PKI域视图下配置CRL的发布点位置,如果不发布CRL,则需要在PKI域下配置undo crl check enable。
1、配置IPSec证书认证请参考配置案例来配置。
2、如果证书服务器发布CRL的话,需要在PKI domain下配置CRL的发布位置点。
3、如果证书服务器不发布CRL的话,则需要在PKI域下配置undo crl check enable。
1、使用证书认证的时候,首先检查证书是否获取成功,是否在有效期内。
2、MSR G2证书认证的时候,需要对证书中的subject DN 进行检查,所以需要配置证书访问策略
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作