MSR路由器通过SCEP从CA获取证书的配置
关键词:MSR; SCEP;CA;证书
一. 组网需求:
MSR路由器通过SCEP从CA获取CA证书以及本地设备证书。
二. 组网图:
三. 配置步骤:
实验使用设备及版本:MSR20-20,Version 5.20, Beta 1106
RTA配置
#
sysname RTA
#
pki entity test //创建PKI 实体 test
common-name test //配置实体的通用名
organization-unit tsc //配置实体所属组织部门名称
organization h3c //配置实体所属组织名称
locality bj //配置实体所在城市名称
country CN //配置实体所属的国家代码
#
pki domain 1 //创建PKI Domain 1
ca identifier test //ca服务器的名称
certificate request url http://172.32.15.1/certsrv/mscep/mscep.dll //动态注册地址
certificate request from ra //Windows2003仅支持RA模式
certificate request entity test //指定申请证书所用的实体名称
certificate request mode auto key-length 1024 //指定证书申请为自动发起方式
root-certificate fingerprint sha1 0a95f5baf77bd24f0defd9688d56191ba31cfa90
//指定CA 中心服务器的“指纹”,以在自动申请证书时验证CA中心服务器的合法性,该指纹可在CA服务器上的证书看到,为“缩略图”对应的字符串,注意不要有空格
crl url http://172.32.15.1/certenroll/test.crl //指定CRL库的URL位置
#
interface Ethernet0/0
port link-mode route
ip address 172.32.15.2 255.255.255.252
四. 配置关键点:
1、因为路由器使用了SCEP(Simple Certificate Enrollment Protocol)协议来和CA中心联系获取根证书。WIN2003的CA服务缺省没有对SCEP的支持,需要从微软的网站上下载cepsetup.exe,安装完后才能对http://172.32.15.1/certsrv/mscep/mscep.dll进行引用。
2、路由器和RSA SERVER的相关配置一定要一致。
3、CA服务器的配置请参考《中低端路由器典型配置实例V1.70[2006-6-1]》
五. 实验分析
可以使用手工获取证书的方法来确认路由器和CA中心之间是否能够正常获取证书:在系统视图下执行pki retrieval-certificate ca domain 1从CA获取CA证书;执行pki request-certificate domain test 1从CA申请本地设备证书。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作