hostname myrouter ip domain-name test.com crypto key generate rsa !---生成密鑰對，建議密鑰長度不低于1024位，可用sh cry key mypubkey rsa來檢查所生成的公鑰，私鑰出于安全的目的是不可查看的 crypto ca identity myca enrollment mode ra enrollment url http://192.168.0.2:80/certsrv/mscep/mscep.dll crl optional !---enrollment mode ra定義CA登記的方式采用RA（Registration Authority）方式，如采用windows 2000做CA中心，應采用RA登記方式 !---crl optional定義即使在CRL(Certificate Revocation List)不可用時也能接收對方的證書 !---enrollment url http://192.168.0.2:80/certsrv/mscep/mscep.dll句定義了CA中心的URL地址。 這里我說明一下，因為Cisco使用了他專有的SCEP(Simple Certificate Enrollment Protocol)協議來和CA中心聯系獲取根證書。WIN2K的CA服務缺省沒有對SCEP的支持，需要WIN2K resource kit中的一個附加工具Cepsetup.exe，安裝完后才能在IE中對http://192.168.0.2:80/certsrv/mscep/mscep.dll進行引用。 crypt ca authenticate myca !---獲取CA中心的證書，大概的提示如下： Certificate has the following attributes: Fingerprint: 1FCDF2C8 2DEDA6AC 4819D4C4 B4CFF2F5 % Do you accept this certificate? [yes/no]: y !---可通過訪問http://192.168.0.2:80/certsrv/mscep/mscep.dll來獲得CA證書的fingerprint，通過比較這兩個fingerprint來確認CA中心的身份有效性。 !---在獲取到CA中心的證書后，可用show cry ca cert來檢查CA Certificate ... CA Certificate Status: Available Certificate Serial Number: 4C38D9568E6C16874378C4D466F3DDB7 Key Usage: Signature ... crypt ca enroll myca !---發送公鑰給CA中心并獲取路由器自身的證書，大概的提示如下： % Start certificate enrollment .. % Create a challenge passWord. You will need to verbally provide this password to the CA Administrator in order to revoke your certificate. For security reasons your password will not be saved in the configuration. Please make a note of it. Password: Re−enter password: % The subject name in the certificate will be: myrouter.test.com % Include the router serial number in the subject name? [yes/no]: n % Include an IP address in the subject name? [yes/no]: n Request certificate from CA? [yes/no]: y % Certificate request sent to Certificate Authority % The certificate request fingerprint will be displayed. % The 'show crypto ca certificate' command will also show the fingerprint. myrouter(config)# Fingerprint: A1D6C28B 6575AD08 F0B656D4 7161F76F 3d09h: CRYPTO_PKI: status = 102: certificate request pending !---注重上面的Password部分，我就在這里折騰了半天，這個口令叫做enrollment challenge password，是由CA提供的，在這里你又需要在IE中鍵入http://192.168.0.2:80/certsrv/mscep/mscep.dll獲取此password，然后將這個challenge password粘貼復制到口令提示處，需要注重的是，這個口令是一個OTP（One Time Password）口令，有效期為60分鐘。 申請完后再次show cry ca cert，可看到Certificat的狀態為Pending： Certificate Status: Pending 在CA中心的Pending Requests處可找到這個待申請的證書，然后選擇Issue發布此證書。在路由器上過一段時間后會收到類似如下的提示信息： 3d09h: %CRYPTO−6−CERTRET: Certificate received from Certificate Authority 此時再show cry ca cert，可看到Certificat的狀態為Available： Certificate Status: Available 在配置過程中需要注重的幾個東西有： 1、CA認證對系統時間很敏感，有條件的話盡量在CA中心和CA客戶端上使用NTP協議進行時間同步 2、CA認證的大概配置步驟為： * 定義CA中心的相關鑒別信息 * 獲取CA中心的證書 * 生成公鑰/私鑰對 * 將公鑰發送給CA中心并獲取自身證書 * 分發證書并驗證證書的有效性 3、一次性口令的時限問題 另外再發一個參考文檔，寫得很細，不錯：Enrolling for Certificates from a Cisco Routerhttp://www.tburke.net/info/reskittools/topics/mscep_enrolling.htm