交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
物联网
安全
大数据安全平台
下一代防火墙
安全网关
检测管理安全
安全服务
安全云
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
功能介绍
“.pfx”为微软CA证书服务器证书导出的默认格式,我司路由器支持将“.pfx”格式的证书通过TFTP、FLASH直接导入,或转换为".pem格式"后导入。
一、组网需求
将“.pem”格式的证书文件导入路由器。
二、组网拓扑
三、配置要点
1、确认路由器的系统时间是否正确
2、将“.pfx”格式证书转换为“.pem”格式
3、将“.pem”格式证书导入路由器
4、配置忽略证书有效性和时间检查(可选)
四、配置步骤
1、确认路由器的系统时间是否正确
Ruijie#show clock
05:01:40 UTC Thu, Mar 6, 2003
注意:证书涉及到吊销列表,证书的有效期等属性,和时间关联,做证书之前,需要保证时间同步。
条件允许的情况下,建议设置NTP。
2、将“.pfx”格式证书转换为“.pem”格式
(1)打开“pfx2pem”工具。这里的源文件口令是从IE导出证书时输入的口令;目的文件口令是您当前需要定义的口令,该口令在将证书导入到设备时必须输入。
(2)点击转换按钮,弹出下图:
3、将“.pem”格式证书导入路由器
(配置方式参见 典型场景说明--->常见功能配置--->安全--->IPSEC--->CA数字证书--->离线导入PEM格式的数字证书)
4、配置忽略证书有效性和时间检查(可选)
crypto pki trustpoint ruijie //进入证书的相应trustpoint
time-check none //关闭证书的时间检查
revocation-check none //不检查证书是否被吊销
注意:
1、RSR10-02设备没有时钟芯片,断电后时间会初始化为1970-01-01导致基于数字证书的IPSEC VPN协商失败,必须配置NTP时间同步或在证书crypto pki trustpoint XX模式下配置timeout-check none来关闭时间检查。
2、所有非在线申请数字证书的3G客户端,需要在crypto pki trustpoint XX模式下配置revocation-check来关闭设备的CRL检查,除非设备能解析CA服务的域名地址。
五、配置验证
通过show crypto pki certificates ruijie可以查看名称为“ruijie”的证书信息:
Ruijie#show crypto pki certificates ruijie
% CA certificate info: //CA根证书信息
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
65:c7:3a:80:2a:e8:cc:85:4f:fb:ae:69:48:33:68:5c
Issuer: DC=com, DC=rsc, CN=RSC CA
Validity
Not Before: Dec 29 05:30:00 2010 GMT
Not After : Dec 29 05:39:30 2020 GMT //证书的有效期,如果设备时间不在证书有效期内则证书无法使用
Subject: DC=com, DC=rsc, CN=RSC CA
Associated Trustpoints: ruijie
% Router certificate info: //路由器证书信息
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
61:0e:8b:73:00:00:00:00:00:19
Issuer: DC=com, DC=rsc, CN=RSC CA
Validity
Not Before: May 15 07:55:30 2011 GMT
Not After : May 15 08:05:30 2012 GMT
Subject: C=CN, ST=fujian, L=fuzhou, O=ruijie, OU=tac, CN=test/emailAddress=test@ruijie.com.cn
Associated Trustpoints: ruijie