在申请证书前，必须先配置时间，域名，和hostname，DNS必须配置，也能配置静态DNS映射

    Router(config)# clock timezone name offset
    Router(config)#exit
    Router# clock set hh:mm:ss day month year
    Router(config)#hostname router_name
    Router(config)#ip domain-name domain_name
    Router(config)#ip host CA_server's_name CA_server's_IP_address

    生成Public and Private 密钥对

    1.routername(config)# crypt key gen rsa.
    2.输入密钥的大小，默认是512
    删除路由器上已保存的证书信息，并配置路由器申请新的证书

    1.routername(config)#no crypt ca identity CA_server's_name          按Y确认
    2.routername(config)# crypt ca identity CA_server's_name   12.2.8(T)以后是crypto ca trustpoint CA_server's_name
    3.routername(ca-identity)#primary   指定主要CA服务器，如果你路由器上配置了指定了超过一个CA服务器
    4.routername(ca-identity)#enrollment http-proxy  HTTP_server's_name port_#  如果你是通过代理服务器访问CA的话，这里指定代理服务器
    5.routername(ca-identity)# enrollment url http://URLHostName/certsrv/mscep/mscep.dll 指定CA服务器的enrollment Web pages (也叫做Certificate Services Web pages)的URL
    接下来请求CA的Certificate

    1.routername(config)#crypt ca authenticate CA_server's_name.
    2.按Y接受CA证书

    routername#show crypt ca certificate. 查看保存在路由器上的CA证书
    从CA获得公钥：

    1.routername(config)#crypt ca enroll CA_server's_name
    2.这里要求你输入一个密码：
    打开浏览器，输入http://URLHostName/certsrv/mscep/mscep.dll.，输入用户名和密码，注意：这个用户应该是IIS_WPG Group组的成员

[1] [2] 下一页

    关于这个密码：

    ●每次你输入这个URL，都会产生一个不同的密码，这个密码的有效期是60分钟并且只能使用一次。
    ●这个密码可以用来申请和激活证书，所以必须记住这个密码
    ●如果你要从CA中申请这个证书，你必须有申请“IPSEC (脱机申请)”证书模板的权利