Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1538767
  • 博文数量: 416
  • 博客积分: 10061
  • 博客等级: 上将
  • 技术积分: 3287
  • 用 户 组: 普通用户
  • 注册时间: 2006-12-05 11:12
个人简介

技术在于专研

文章分类

全部博文(416)

文章存档

2021年(3)

2015年(34)

2013年(2)

2012年(1)

2011年(2)

2010年(5)

2007年(344)

2006年(25)

分类: 系统运维

2007-10-28 14:26:04

    以前还是没有注意看文档,其实就是没有理解用证书认证的过程,具体咋回事,往下看吧。我原来的ios ca server是这样配置的
crypto pki server R3
database level complete
database archive pem password 7 01100F175804575D72
issuer-name cn=CAServer
grant auto
cdp-url
注意,最后一行命令
“cdp-url ”   //10.0.78.203是CA的ip地址
这么配置是错误的,这样配置就导致了申请证书的router或者pix把cdp设置为,但ios ca router本身是不能用http来发布crl。这就导致了,当我用7206VXR使用rsa-sig做ra的vpn server时,一旦vpn client拨入,7206VXR首先会查询revocation状态,看看这个证书是否可用,根据证书里的配置,cdp的地址是,从这个地址是根本无法获取crl的,所以导致了这个证书被7206VXR拒绝,认证就失败了。

解决方法:
1。在ios ca server本身起一个tftp服务,然后把cdp-url设置成自己就可以了
crypto pki server R3
database level complete
database archive pem password 7 01100F175804575D72
issuer-name cn=CAServer
grant auto
cdp-url tftp://10.0.78.203/R3.crl
tftp-server nvram:R3.crl

2。把ca server的生成的crl文件上传到一个tftp服务器,然后把cdp-url指向那个tfpt服务器就可以了,原理和方法1是一样的。

3。在vpn server上关闭revocation-check
crypto pki trustpoint R3
revocation-check none

4。在vpn server上建立certificate-map,对某个证书关闭revocation check,其实跟方法3是一个道理。
crypto pki trustpoint R3
match certificate vpn skip revocation-check
!
crypto pki certificate map vpn 10
subject-name co yunwei


总结:最好的方法是用ocsp服务器,其次是用方法1和2,不推荐方法3和4,不安全。
另外:ios router的默认revocation-check是crl,而pix的是none

阅读(848) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~