在申请证书前,必须先配置时间,域名,和hostname,DNS必须配置,也能配置静态DNS映射
Router(config)# clock timezone name offset
Router(config)#exit
Router# clock set hh:mm:ss day month year
Router(config)#hostname router_name
Router(config)#ip domain-name domain_name
Router(config)#ip host CA_server's_name CA_server's_IP_address
生成Public and Private 密钥对
1.routername(config)# crypt key gen rsa.
2.输入密钥的大小,默认是512
删除路由器上已保存的证书信息,并配置路由器申请新的证书
1.routername(config)#no crypt ca identity CA_server's_name 按Y确认
2.routername(config)# crypt ca identity CA_server's_name 12.2.8(T)以后是crypto ca trustpoint CA_server's_name
3.routername(ca-identity)#primary 指定主要CA服务器,如果你路由器上配置了指定了超过一个CA服务器
4.routername(ca-identity)#enrollment http-proxy HTTP_server's_name port_# 如果你是通过代理服务器访问CA的话,这里指定代理服务器
5.routername(ca-identity)# enrollment url http://URLHostName/certsrv/mscep/mscep.dll 指定CA服务器的enrollment Web pages (也叫做Certificate Services Web pages)的URL
接下来请求CA的Certificate
1.routername(config)#crypt ca authenticate CA_server's_name.
2.按Y接受CA证书
routername#show crypt ca certificate. 查看保存在路由器上的CA证书
从CA获得公钥:
1.routername(config)#crypt ca enroll CA_server's_name
2.这里要求你输入一个密码:
打开浏览器,输入http://URLHostName/certsrv/mscep/mscep.dll.,输入用户名和密码,注意:这个用户应该是IIS_WPG Group组的成员
[1] [2] 下一页
关于这个密码:
●每次你输入这个URL,都会产生一个不同的密码,这个密码的有效期是60分钟并且只能使用一次。
●这个密码可以用来申请和激活证书,所以必须记住这个密码
●如果你要从CA中申请这个证书,你必须有申请“IPSEC (脱机申请)”证书模板的权利