在申请证书前,必须先配置时间,域名,和hostname,DNS必须配置,也能配置静态DNS映射
Router(config)# clock timezone name offset
Router(config)#exit
Router# clock set hh:mm:ss day month year
Router(config)#hostname router_name
Router(config)#ip domain-name domain_name
Router(config)#ip host CA_server's_name CA_server's_IP_address
生成Public and Private 密钥对
- routername(config)# crypt key gen rsa.
- 输入密钥的大小,默认是512
删除路由器上已保存的证书信息,并配置路由器申请新的证书
- routername(config)#no crypt ca identity CA_server's_name 按Y确认
- routername(config)# crypt ca identity CA_server's_name 12.2.8(T)以后是crypto ca trustpoint CA_server's_name
- routername(ca-identity)#primary 指定主要CA服务器,如果你路由器上配置了指定了超过一个CA服务器
- routername(ca-identity)#enrollment http-proxy HTTP_server's_name port_# 如果你是通过代理服务器访问CA的话,这里指定代理服务器
- routername(ca-identity)# enrollment url http://URLHostName/certsrv/mscep/mscep.dll 指定CA服务器的enrollment Web pages (也叫做Certificate Services Web pages)的URL
接下来请求CA的Certificate
- routername(config)#crypt ca authenticate CA_server's_name.
- 按Y接受CA证书
- routername#show crypt ca certificate. 查看保存在路由器上的CA证书
从CA获得公钥:
- routername(config)#crypt ca enroll CA_server's_name
- 这里要求你输入一个密码:
打开浏览器,输入http://URLHostName/certsrv/mscep/mscep.dll.,输入用户名和密码,注意:这个用户应该是IIS_WPG Group组的成员
关于这个密码:
- 每次你输入这个URL,都会产生一个不同的密码,这个密码的有效期是60分钟并且只能使用一次。
- 这个密码可以用来申请和激活证书,所以必须记住这个密码
- 如果你要从CA中申请这个证书,你必须有申请“IPSEC (脱机申请)”证书模板的权利
See the procedure entitled Set security permissions and delegate control of certificate templates in Windows 2000 Server Help for the procedure to change enrollment permissions for certificate templates.
- 可以选择是否在证书的项目名中包括路由器的序列号
- 可以选择是否在证书的项目名中包括IP地址
- 按Y从CA请求证书,这时证书的相关信息会显示出来
- routername#show crypt ca certificate查看路由器证书的相关信息。
