配置CA互操作性之－－ca互操作性配置举例

@以下配置是为一个名叫“myrouter"的路由器的。在这个例子中ipsec是配置好了的，且ike协议和ca互操作性对ipsec的支持也是配置好了的。
在这个例子中，生成_目的的rsa key们都生成了，但是你将注意到这些key们没有保存或者显示在配置中。
小心看，有注释哟！
!
no serive password-encryption
serivce udp-small-servers
serivce tcp-small-servers
!
!ca互操作性需要你配置路由器的hostname。
!
hostname myroute
!
enable secret 5 <你看不到我>
enable password <你还是看不到我>
!ca互操作性还需要你配置路由器的ip域名
ip domain-name uptmd.com
ip name-server 172.29.2.132
ip name-server 192.168.30.32
ip name-server
!
!以下是配置一个transform set(我管它叫变形设置)
crypto ipsec transform-set my-transformset esp-3des esp-sha-hmac
!以下显示了在路由器存的认证和crl表，包括了ca认证(最前),
!路由器认证(后面),还有crl(最后面展示的)。
crypto ca certificate chain uptmd.com
!以下是ca认证，从'crypto ca authenticate'命令收到的。
certificate ca 3051DF7169BEE31B821DFE4B3A338E5F
30820182 3082012C A0030201 02021030 51DF7169 BEE31B82 1DFE4B3A 338E5F30
0D06092A 864886F7 0D010104 05003042 31163014 06035504 0A130D43 6973636F
20537973 74656D73 3110300E 06035504 0B130744 65767465 73743116 30140603
55040313 0D434953 434F4341 2D554C54 5241301E 170D3937 31323032 30313036
32385A17 0D393831 32303230 31303632 385A3042 31163014 06035504 0A130D43
6973636F 20537973 74656D73 3110300E 06035504 0B130744 65767465 73743116
30140603 55040313 0D434953 434F4341 2D554C54 5241305C 300D0609 2A864886
F70D0101 01050003 4B003048 024100C1 B69D7BF6 34E4EE28 A84E0DC6 FCA4DEA8
04D89E50 C5EBE862 39D51890 D0D4B732 678BDBF2 80801430 E5E56E7C C126E2DD
DBE9695A DF8E5BA7 E67BAE87 29375302 03010001 300D0609 2A864886 F70D0101
04050003 410035AA 82B5A406 32489413 A7FF9A9A E349E5B4 74615E05 058BA3CE
7C5F00B4 019552A5 E892D2A3 86763A1F 2852297F C68EECE1 F41E9A7B 2F38D02A
B1D2F817 3F7B
quit
!以下是路由器的认证
!从'crypto ca enroll'命令学到的。
certificate 7D28D4659D22C49134B3D1A0C2C9C8FC
308201A6 30820150 A0030201 0202107D 28D4659D 22C49134 B3D1A0C2 C9C8FC30
0D06092A 864886F7 0D010104 05003042 31163014 06035504 0A130D43 6973636F
20537973 74656D73 3110300E 06035504 0B130744 65767465 73743116 30140603
55040313 0D434953 434F4341 2D554C54 5241301E 170D3938 30343234 30303030
30305A17 0D393930 34323432 33353935 395A302F 311D301B 06092A86 4886F70D
01090216 0E73636F 742E6369 73636F2E 636F6D31 0E300C06 03550405 13053137
41464230 5C300D06 092A8648 86F70D01 01010500 034B0030 48024100 A207ED75
DE8A9BC4 980958B7 28ADF562 1371D043 1FC93C24 8E9F8384 4D1A2407 60CBD7EC
B15BD782 A687CA49 883369BE B35A4219 8FE742B0 91CF76EE 07EC9E69 02030100
01A33530 33300B06 03551D0F 04040302 05A03019 0603551D 11041230 10820E73
636F742E 63697363 6F2E636F 6D300906 03551D13 04023000 300D0609 2A864886
F70D0101 04050003 410085F8 A5AFA907 B38731A5 0195D921 D8C45EFD B6082C28
04A88CEC E9EC6927 F24874E4 30C4D7E2 2686E0B5 77F197E4 F82A8BA2 1E03944D
286B661F 0305DF5F 3CE7
quit
!以下是一个路由器收到的crl表(通过路由器自己的动作)：
crl
3081C530 71300D06 092A8648 86F70D01 01020500 30423116 30140603 55040A13
0D436973 636F2053 79737465 6D733110 300E0603 55040B13 07446576 74657374
31163014 06035504 03130D43 4953434F 43412D55 4C545241 170D3938 30333233
32333232 31305A17 0D393930 34323230 30303030 305A300D 06092A86 4886F70D
01010205 00034100 7AA83057 AC5E5C65 B9812549 37F11B7B 5CA4CAED 830B3955
A4DDD268 F567E29A E4B34691 C2162BD1 0540D7E6 5D6650D1 81DBBF1D 788F1DAC
BBF761B2 81FCC0F1
quit
!
!以下是一个ipsec cryto map(ipsec配置的一部分):
crypto map map-to-remoteside 10 ipsec-isakmp
set peer 172.21.114.196
set transform-set my-transformset
match address 124
!
!
interface loopback0
ip address 10.0.0.1 255.0.0.0
!
interface tunnel0
ip add 10.0.0.2 255.0.0.0
ip mtu 1490
no ip route-cache
no ip mroute-cache
tunnel source 10.10.0.1
tunnel destination 172.21.115.119
!
interface fastethernet0/0
ip address 172.21.115.118 255.255.255.240
no ip mroute-cache
looback
no keepalive
ni fair-queue
no cdp enable
crypto map map-to-remotesite
!
crypto isakmp policy 15
encrypton 3des
hash md5
authentication rsa-sig
group 2
lifetime 5000
crypto isakmp policy 20
authentication pre-share
lifetime 10000
crypto isakmp key 1234567890 address 171.69.224.33

本新闻共2页,当前在第1页 1 2

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有