| 配置ios ca server时需要注意的cdp-url问题 |
|
| 配置ios ca server时需要注意的cdp-url问题 |
|
|
|
作者:佚名 文章来源:不详 点击数: 更新时间:2007-2-11 7:36:32  |
配置ios ca server时需要注意的cdp-url问题
配置ios ca server时需要注意的cdp-url问题 以前还是没有注意看文档,其实就是没有理解用证书认证的过程,具体咋回事,往下看吧。我原来的ios ca server是这样配置的 crypto pki server R3
database level complete
database archive pem password 7 01100F175804575D72
issuer-name cn=CAServer
grant auto
cdp-url http://10.0.78.203/R3.crl注意,最后一行命令
“cdp-url http://10.0.78.203/R3.crl” //10.0.78.203是CA的ip地址
这么配置是错误的,这样配置就导致了申请证书的router或者pix把cdp设置为http://10.0.78.203/R3.crl,但ios ca router本身是不能用http来发布crl。这就导致了,当我用7206VXR使用rsa-sig做ra的vpn server时,一旦vpn client拨入,7206VXR首先会查询revocation状态,看看这个证书是否可用,根据证书里的配置,cdp的地址是http://10.0.78.203/R3.crl,从这个地址是根本无法获取crl的,所以导致了这个证书被7206VXR拒绝,认证就失败了。
解决方法:
1。在ios ca server本身起一个tftp服务,然后把cdp-url设置成自己就可以了 crypto pki server R3
database level complete
database archive pem password 7 01100F175804575D72
issuer-name cn=CAServer
grant auto
cdp-url tftp://10.0.78.203/R3.crl
tftp-server nvram:R3.crl
2。把ca server的生成的crl文件上传到一个tftp服务器,然后把cdp-url指向那个tfpt服务器就可以了,原理和方法1是一样的。
3。在vpn server上关闭revocation-check crypto pki trustpoint R3
revocation-check none
4。在vpn server上建立certificate-map,对某个证书关闭revocation check,其实跟方法3是一个道理。 crypto pki trustpoint R3
match certificate vpn skip revocation-check
!
crypto pki certificate map vpn 10
subject-name co yunwei
总结:最好的方法是用ocsp服务器,其次是用方法1和2,不推荐方法3和4,不安全。
另外:ios router的默认revocation-check是crl,而pix的是none
|
| 文章录入:bolang 责任编辑:bolang |
|
上一篇文章: 带你轻松玩转Cisco路由器密码
下一篇文章: Cisco路由器配置信息及口令的清除 |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
