配置CA互操作性之--配置任务列表

2008-02-23 04:53:41来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

!ca互操作性配置任务列表
要开启你的cisco设备来支持ca,完整的任务有以下几个部分。一些任务是可选的;其他的是必须的:
#管理nvram内存使用情况
当使用了ca的时候,认证和认证撤销列表在你的路由器使用。正常情况下一定的认证和所有的crl是存储在路由器的nvram中的,且每个认证和crl使用一个中等级别数量的存储。
以下认证正常一般是存储在路由器的:
·你的路由器的认证。
·ca的认证
·从ca服务器得到的根认证(在路由器初始化之后所有根认证是存在ram中的)
·两个注册认证者(ra)的认证(仅当ca支持ra时)
CRL在以下条件会存储在你的路由器中:
·如果你的ca不支持ra,只有一个crl会存在你的路由器里。
·如果你的ca支持一个ra,多个crl能存储在你的路由器里。
在有些案例中,本地存储这些认证和crl将不会存在任何问题。
在其他案例里,存储可能会是个问题-如果你的ca支持ra和大数量的crl存储还是可行的。如果nvram太小,那就不够存储这些信息的。
要保存nvram空间,你可以指定不存在本地的认证和crl,但是当需要的时候不能够从ca得到。这个可选择性将节省nvram空间,但是会导致对性能的轻微影响。
要指定认证和crl不存在你路由器的本地,但是需要当需要时重新得到,调到查询模式,使用以下全局命令:
router(config)#crypto ca certicate query
//调到查询模式,可以让认证和crl不用存在本地。
~注意,查询模式在ca挂了之后也是能用的。
如果你现在是查询模式,如果你想关你可以关掉查询模式。如果你关掉查询模式,你也可以使用命令
copy system:running-config nvram:startup-confifg (write)
来存储所有的当前认证和crl到nvram。除非你不想在重启之后见到他们丫。
#配置路由器主机名和ip域名你必须配置路由器的主机名和ip域名,如果还没配的话。这个是必须的因为路由器绑定一个完全查询域名(FQDN)给使用ipsec的key们和认证们,且FQDN是基于你绑定给路由器的主机名和ip域名的。例如,一个认证名叫“router20.example.com"是基于一名叫"router20"且ip域名是"example.com"的。
要配置主机名和ip域名给路由器,使用以下全局命令:
第一步:
router(config)#hostname 名//配置主机名
第二步:
router(config)#ip domain-name 名//配置路由器的ip域名。
#生成一个rsa钥匙对。
rsa钥匙对视用来标识和加密ike钥匙管理消息,又,他是在你的路由器得到认证之前必须的。
要生成一个rsa钥匙对,使用以下命令:
router(config)#crypto key generate rsa [usage-keys]//生成一个rsa钥匙对。使用usage-keys关键字来指定特殊用途的keys代替生成_目的的keys。
#申报一个CA
你应该申报一个在路由器上使用的ca。
要申报指定一个ca,使用以下全局命令:
第一步:
router(config)#crypto ca identity 名//申报一个ca,这个名应该是ca的域名。这个命令带你进入ca标识配置模式。
第二步:
router(ca-identity)#enrollment url 统一资源//指定ca的url(这个url可以包含认证非标准cgi-bin脚本位置)
第三步:
router(ca-identity)#enrollment mode ra//(可选)指定ra模式,如果ca系统指出ra。
注意:cisco ios软件自动决定模式-ra或者非ra;因此,如果
使用了ra模式,这个子命令wr mem时候就写到nvram了。
第四步:
router(ca-identity)enrollment retry period 分钟//(可选)指定重传超时。在请求一个认证之后,一个路由器等待接受来自ca的认证。如果这个路由器在一定时间(这个重传超时)内没有收到认证,那么路由器就会再发送另一个认证请求。你可以从默认的1分钟改变为其他重传超时。
第六步:
router(ca-identity)#enrollment retry count 数字//(可选)指定重新发送认证请求多少次之后放弃。默认是死皮赖脸,决不放弃。
第七步:
router(ca-identify)#crl optional//(可选)指定其他对等体的认证能够被你的路由器允许验证,甚至适当的crl在你的路由器上都不允许。
router(ca-identity)#exit
//退出ca-identity配置模式。

本新闻共2页,当前在第11 2

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:配置CA互操作性之--关于ca

下一篇:配置CA互操作性之--ca互操作性配置举例