pojar
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Забыл отписаться, конфиг полностью рабочий, проблемка была в следующем "Все гениальное просто" нужно было поднять интерфейс, не просто no shutdown, а подключить к сети. самому смешно. 
Цитата: всем привет, помогите разобраться с CA сервером на цыске, ниже конфига, которую откопал в нете, ее и вбивал.
Проблема в следующем, роутер, где поднят СА не может получить сам себе сертификат. второе, не понял как настроить СА
для работы в режиме RA, может в этом и есть решение проблемы с получение сертификата самому себе. оригинал по сылке
http://xgu.ru/wiki/Центр_сертификатов_на_маршрутизаторе_Cisco
1) Поднял NTP сервер для синхронизации кисок, дату, время, часовой пояс. Номер страты указал 1, я понял что это
приоритет.
r3ca#clock set
NTP сервер.
r3ca(config)#ntp master <номер страты>
2) Задал имя маршрутизатора и имя домена:
r3ca(config)#hostname r3ca
r3ca(config)#ip domain name cisco.com
3) Включил http сервер для протокола SCEP
r3ca(config)#ip http server
4) Далее перед созданием пары ключей, зашел на сервер СА и подправил опции
В качестве базового места для хранения данных СА-сервера указал flash
r3ca(cs-server)#database url flash:
Установил тип данных в базе данных выдачи сертификатов:
r3ca(cs-server)#database level minimum
Задал параметр для идентификации сервера в сети:
r3ca(cs-server)#issuer-name CN=r3ca
Задал время обновления списка отозванных сертификатов по максимуму
r3ca(cs-server)# lifetime crl
r3ca(cs-server)# lifetime certificate
r3ca(cs-server)# lifetime ca-certificate
r3ca(cs-server)# grant ra-auto кажется, тоесть для авторизованых обновление сертификата без запроса администратора.
Настроил trustpoint
r3ca(config)#crypto pki trustpoint r3ca
r3ca(ca-trustpoint)# enrollment url http://r3ca:80
r3ca(ca-trustpoint)# revocation-check crl
5) Создание пары RSA ключей
r3ca(config)#crypto key generate rsa general-keys label r3ca exportable
r3ca(config)#crypto key export rsa r3ca pem url flash: 3des cisco123
Включаю сервер
r3ca(config)#crypto pki server r3ca
r3ca(cs-server)#no shut
команды ниже показывают что все нормально, ключи есть, сервер работает
r3ca#show crypto pki server
r3ca#show crypto pki trustpoints
Теперь Настройка маршрутизатора, на котором находится CA, для получения сертификата
Создаем статическую запись хост-ip address:
r3ca(config)# ip host r3ca 192.168.2.1
Для того чтобы сервер мог получить сертификат необходимо создать на нем еще одну trustpoint, так как trustpoint
созданная автоматически при создании CA-сервера не может использоваться для выдачи сертификата сервером самому себе:
r3ca(config)# crypto pki trustpoint TEST
r3ca(ca-trustpoint)#enrollment url http://r3ca:80
Получить сертификат CA-сервера:
r3ca(config)# crypto pki authenticate TEST
и тут ошибка: % Error in receiving Certificate Authority certificate: status = FAIL, cert length = 0
На сервере не видно запроса crypto pki server r3ca info requests
и мне не понятно
Настройка CA на маршрутизаторе для работы в режиме RA
Если сервер сертификатов Cisco IOS на маршрутизаторе работает в режиме RA, то CA выдающий сертификаты должен быть
сервером сертификатов Cisco IOS.
crypto pki server RArouter
mode ra
!
crypto pki trustpoint RArouter
enrollment mode ra
enrollment url http://iosca
subject-name cn=RArouter
revocation-check crl
rsakeypair RArouter |
Добавлено:
Кто нибудь обьясните, что такое RA режим, для чего он нужен на CA сервере. |
