天下网吧 >> 网吧方案 >> 方案实例 >> 正文

配置ios ca server时需要注意的cdp-url问题

    以前还是没有注意看文档,其实就是没有理解用证书认证的过程,具体咋回事,往下看吧。我原来的ios ca server是这样配置的
crypto pki server R3
database level complete
database archive pem password 7 01100F175804575D72
issuer-name cn=CAServer
grant auto
cdp-url http://10.0.78.203/R3.crl
注意,最后一行命令
“cdp-url http://10.0.78.203/R3.crl”   //10.0.78.203是CA的ip地址
这么配置是错误的,这样配置就导致了申请证书的router或者pix把cdp设置为http://10.0.78.203/R3.crl,但ios ca router本身是不能用http来发布crl。这就导致了,当我用7206VXR使用rsa-sig做ra的vpn server时,一旦vpn client拨入,7206VXR首先会查询revocation状态,看看这个证书是否可用,根据证书里的配置,cdp的地址是http://10.0.78.203/R3.crl,从这个地址是根本无法获取crl的,所以导致了这个证书被7206VXR拒绝,认证就失败了。

解决方法:
1。在ios ca server本身起一个tftp服务,然后把cdp-url设置成自己就可以了
crypto pki server R3
database level complete
database archive pem password 7 01100F175804575D72
issuer-name cn=CAServer
grant auto
cdp-url tftp://10.0.78.203/R3.crl
tftp-server nvram:R3.crl

2。把ca server的生成的crl文件上传到一个tftp服务器,然后把cdp-url指向那个tfpt服务器就可以了,原理和方法1是一样的。

3。在vpn server上关闭revocation-check
crypto pki trustpoint R3
revocation-check none

4。在vpn server上建立certificate-map,对某个证书关闭revocation check,其实跟方法3是一个道理。
crypto pki trustpoint R3
match certificate vpn skip revocation-check
!
crypto pki certificate map vpn 10
subject-name co yunwei


总结:最好的方法是用ocsp服务器,其次是用方法1和2,不推荐方法3和4,不安全。
另外:ios router的默认revocation-check是crl,而pix的是none

本文来源:天下网吧 作者:网吧方案

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com,系统开号,技术支持,服务联系QQ:1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下