发布时间:2013-09-12
点击量:3395功能介绍
“.pfx”为微软CA证书服务器证书导出的默认格式,我司路由器支持将“.pfx”格式的证书通过TFTP、FLASH直接导入,或转换为".pem格式"后导入。
一、组网需求
将“.pem”格式的证书文件导入路由器。
二、组网拓扑
三、配置要点
1、确认路由器的系统时间是否正确
2、搭建网络环境,保证PC与路由器能够正常通信
3、在PC上运行TFTP服务
4、通过TFTP协议将证书导入路由器
5、配置忽略证书有效性和时间检查(可选)
四、配置步骤
1、确认路由器的系统时间是否正确
Ruijie#show clock
05:01:40 UTC Thu, Mar 6, 2003
注意:证书涉及到吊销列表,证书的有效期等属性,和时间关联,做证书之前,需要保证时间同步。
条件允许的情况下,建议设置NTP。
2、搭建网络环境,保证PC与路由器能够正常通信
3、在PC上运行TFTP服务
4、通过TFTP协议将证书导入路由器
Ruijie(config)#crypto pki import ruijie pkcs12 tftp://192.168.33.57/test.pfx 123456 //指定证书trustpoint为ruijie,TFTP服务器为192.168.33.57,服务器上的证书名称为test.pfx,证书密钥为123456。
% Importing pkcs12...
Accessing tftp://192.168.33.57/test.pfx...
System is running defragment,please wait....
Press Ctrl+C to quit
Transmission finished, file length 3412 bytes.
% Router Certificate successfully imported //证书导入成功。
5、配置忽略证书有效性和时间检查(可选)
crypto pki trustpoint ruijie //进入证书的相应trustpoint
time-check none //关闭证书的时间检查
revocation-check none //不检查证书是否被吊销
注意:
1、RSR10-02设备没有时钟芯片,断电后时间会初始化为1970-01-01导致基于数字证书的IPSEC VPN协商失败,必须配置NTP时间同步或在证书crypto pki trustpoint XX模式下配置timeout-check none来关闭时间检查。
2、所有非在线申请数字证书的3G客户端,需要在crypto pki trustpoint XX模式下配置revocation-check来关闭设备的CRL检查,除非设备能解析CA服务的域名地址。
五、配置验证
通过show crypto pki certificates ruijie可以查看名称为“ruijie”的证书信息:
Ruijie#show crypto pki certificates ruijie
% CA certificate info: //CA根证书信息
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
65:c7:3a:80:2a:e8:cc:85:4f:fb:ae:69:48:33:68:5c
Issuer: DC=com, DC=rsc, CN=RSC CA
Validity
Not Before: Dec 29 05:30:00 2010 GMT
Not After : Dec 29 05:39:30 2020 GMT //证书的有效期,如果设备时间不在证书有效期内则证书无法使用
Subject: DC=com, DC=rsc, CN=RSC CA
Associated Trustpoints: ruijie
% Router certificate info: //路由器证书信息
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
61:0e:8b:73:00:00:00:00:00:19
Issuer: DC=com, DC=rsc, CN=RSC CA
Validity
Not Before: May 15 07:55:30 2011 GMT
Not After : May 15 08:05:30 2012 GMT
Subject: C=CN, ST=fujian, L=fuzhou, O=ruijie, OU=tac, CN=test/emailAddress=test@ruijie.com.cn
Associated Trustpoints: ruijie
文档评价
