MSR路由器通过SCEP从CA获取证书的配置

MSR路由器通过SCEP从CA获取证书的配置

 

关键词：MSR; SCEP;CA;证书

一.    组网需求：

MSR路由器通过SCEP从CA获取CA证书以及本地设备证书。

二.    组网图：

三.    配置步骤：

实验使用设备及版本：MSR20-20，Version 5.20, Beta 1106

RTA配置

#  sysname RTA # pki entity test   //创建PKI 实体 test   common-name test   //配置实体的通用名   organization-unit tsc   //配置实体所属组织部门名称   organization h3c   //配置实体所属组织名称   locality bj   //配置实体所在城市名称   country CN   //配置实体所属的国家代码 # pki domain 1   //创建PKI Domain 1   ca identifier test   //ca服务器的名称   certificate request url http://172.32.15.1/certsrv/mscep/mscep.dll   //动态注册地址   certificate request from ra   //Windows2003仅支持RA模式   certificate request entity test   //指定申请证书所用的实体名称   certificate request mode auto key-length 1024   //指定证书申请为自动发起方式   root-certificate fingerprint sha1 0a95f5baf77bd24f0defd9688d56191ba31cfa90   //指定CA 中心服务器的“指纹”，以在自动申请证书时验证CA中心服务器的合法性，该指纹可在CA服务器上的证书看到，为“缩略图”对应的字符串，注意不要有空格   crl url http://172.32.15.1/certenroll/test.crl   //指定CRL库的URL位置 # interface Ethernet0/0  port link-mode route  ip address 172.32.15.2 255.255.255.252

四.    配置关键点：

1、因为路由器使用了SCEP(Simple Certificate Enrollment Protocol)协议来和CA中心联系获取根证书。WIN2003的CA服务缺省没有对SCEP的支持，需要从微软的网站上下载cepsetup.exe，安装完后才能对http://172.32.15.1/certsrv/mscep/mscep.dll进行引用。

2、路由器和RSA SERVER的相关配置一定要一致。

3、CA服务器的配置请参考《中低端路由器典型配置实例V1.70[2006-6-1]》

五.    实验分析

可以使用手工获取证书的方法来确认路由器和CA中心之间是否能够正常获取证书：在系统视图下执行pki retrieval-certificate ca domain 1从CA获取CA证书；执行pki request-certificate domain test 1从CA申请本地设备证书。