Chinaunix首页 | 论坛 | 博客
  • 博客访问: 18690450
  • 博文数量: 7460
  • 博客积分: 10434
  • 博客等级: 上将
  • 技术积分: 78178
  • 用 户 组: 普通用户
  • 注册时间: 2008-03-02 22:54
文章分类

全部博文(7460)

文章存档

2011年(1)

2009年(669)

2008年(6790)

分类: 系统运维

2008-05-22 15:50:49

!ca互操作性配置任务列表
要开启你的cisco设备来支持ca,完整的任务有以下几个部分。一些任务是可选的;其他的是必须的:
#管理nvram内存使用情况
当使用了ca的时候,认证和认证撤销列表在你的路由器使用。正常情况下一定的认证和所有的crl是存储在路由器的nvram中的,且每个认证和crl使用一个中等级别数量的存储。
以下认证正常一般是存储在路由器的:R>·你的路由器的认证。
·ca的认证
·从ca服务器得到的根认证(在路由器初始化之后所有根认证是存在ram中的)
·两个注册认证者(ra)的认证(仅当ca支持ra时)
CRL在以下条件会存储在你的路由器中:
·如果你的ca不支持ra,只有一个crl会存在你的路由器里。
·如果你的ca支持一个ra,多个crl能存储在你的路由器里。
在有些案例中,本地存储这些认证和crl将不会存在任何问题。
在其他案例里,存储可能会是个问题-如果你的ca支持ra和大数量的crl存储还是可行的。如果nvram太小,那就不够存储这些信息的。
要保存nvram空间,你可以指定不存在本地的认证和crl,但是当需要的时候不能够从ca得到。这个可选择性将节省nvram空间,但是会导致对性能的轻微影响。
要指定认证和crl不存在你路由器的本地,但是需要当需要时重新得到,调到查询模式,使用以下全局命令:
router(config)#crypto ca certicate query
//调到查询模式,可以让认证和crl不用存在本地。
~注意,查询模式在ca挂了之后也是能用的。
如果你现在是查询模式,如果你想关你可以关掉查询模式。如果你关掉查询模式,你也可以使用命令
copy system:running-config nvram:startup-confifg (write)
来存储所有的当前认证和crl到nvram。除非你不想在重启之后见到他们丫。
#配置路由器主机名和ip域名你必须配置路由器的主机名和ip域名,如果还没配的话。这个是必须的因为路由器绑定一个完全查询域名(FQDN)给使用ipsec的key们和认证们,且FQDN是基于你绑定给路由器的主机名和ip域名的。例如,一个认证名叫“router20.example.com"是基于一名叫"router20"且ip域名是"example.com"的。
要配置主机名和ip域名给路由器,使用以下全局命令:
第一步:
router(config)#hostname 名//配置主机名
第二步:
router(config)#ip domain-name 名//配置路由器的ip域名。
#生成一个rsa钥匙对。
rsa钥匙对视用来标识和加密ike钥匙管理消息,又,他是在你的路由器得到认证之前必须的。
要生成一个rsa钥匙对,使用以下命令:
router(config)#crypto key generate rsa [usage-keys]//生成一个rsa钥匙对。使用usage-keys关键字来指定特殊用途的keys代替生成_目的的keys。
#申报一个CA
你应该申报一个在路由器上使用的ca。
要申报指定一个ca,使用以下全局命令:
第一步:
router(config)#crypto ca identity 名//申报一个ca,这个名应该是ca的域名。这个命令带你进入ca标识配置模式。
第二步:
router(ca-identity)#enrollment url 统一资源//指定ca的url(这个url可以包含认证非标准cgi-bin脚本位置)
第三步:
router(ca-identity)#enrollment mode ra//(可选)指定ra模式,如果ca系统指出ra。
注意:cisco ios软件自动决定模式-ra或者非ra;因此,如果
使用了ra模式,这个子命令wr mem时候就写到nvram了。
第四步:
router(ca-identity)enrollment retry period 分钟//(可选)指定重传超时。在请求一个认证之后,一个路由器等待接受来自ca的认证。如果这个路由器在一定时间(这个重传超时)内没有收到认证,那么路由器就会再发送另一个认证请求。你可以从默认的1分钟改变为其他重传超时。
第六步:
router(ca-identity)#enrollment retry count 数字//(可选)指定重新发送认证请求多少次之后放弃。默认是死皮赖脸,决不放弃。
第七步:
router(ca-identify)#crl optional//(可选)指定其他对等体的认证能够被你的路由器允许验证,甚至适当的crl在你的路由器上都不允许。
router(ca-identity)#exit
//退出ca-identity配置模式。

#配置一个根ca(被信任的root)

router(config)#crypto ca trusted-root 名
router(config)#crl query 统一资源
router(config)#exit
router(config)#crypto ca identity 名
router(ca-identity)#crl optional
router(ca-identity)#exit
router(config)#crypto ca trusted-root 名
router(ca-root)#root CEP 统一资源
或者/
router(ca-root)#root tftp 服务器名 文件名
router(ca-root)#root PROXY 统一资源
#认证ca
router(config)#crypto ca authenticate 名
//得到ca的公钥。使用与申请ca或当使用cryto ca identity命令时候一样的“名”。
#请求你自己的认证
router(config)#crypto ca enroll 名//请求认证给所有你的rsa钥匙对。这个命令导致你的路由器请求有多少认证就多少rsa钥匙对,所以你只需要这个运行这个命令一次,甚至你有指定用途的rsa钥匙对。
注意:这个命令需要你建立一个挑战密码,不存在配置中。这个密码需要在甚至你认证的时候需要使用,所以你必须记住这个密码。
再注意:如果你的路由器在你敲了cryto ca enroll命令之后重启了,但是又是在你收到认证之前,你必须再敲这个命令,告之ca管理员。

#保存你的配置
经常记起,当你改变配置之后要保存配置到你的网络中。

!监视和管理ca互操作性:
以下任务是可选的,根据实践所需:
#请求一个CRL
router(config)crypto ca crl request 名#查询一个crl
router(ca-root)#crl query#从你的路由器上删除一个rsa钥匙。
router(config)#crypto key zeroize rsa#删除一个对等体的公钥
router(confg)#cryto key pubkey-chain rsa
router(config-pubkey-c)no named-key 钥匙名 [encryptin | signature]
或者router(config-pubkey-c)#no addressed-key key地址[encryption | signature]exit#从配置中删除认证
router#show crypto ca certificates
router(config)#crypto ca certificate chain 名
router(config-cert-cha)#no certificate 认证序列号#全局下删除ca标识
router(config)#no crypto ca identity#察看keys和认证
router#show crypto key mypubkey rsa//看rsa公共key们。
router#show crypto key pubkey-chain rsa//看所有的rsa公共keys。
router#show crypto key pubkey-chain rsa [name 钥匙名 |address key地址]
router#show crypto ca certifacates
router#show crypto ca roots

你配完了这个特性之后,你就配ike和ipsec吧。

阅读(442) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~