Запрос (обновление) сертификата на маршрутизаторе Cisco

Submitted by rublin on Срд, 01/04/2012 - 17:31

IPSec с использованием сертификатов. На маршрутизаторе также установлен сертификат. Но его периодически нужно обновлять. И вот как это делать.

Обновление существующего сертификата на маршрутизаторе Cisco

Включим terminal monitor, чтобы видить вывод сообщений (вдруг ошибки будут):

Rublin# terminal monitor

В режиме конфигурации удаляем старый сертификат:

Rublin(config)# no crypto pki certificate chain %имятрастпоинта%

Получаем сертификат CA-сервера:

Rublin(config)# crypto pki authenticate %имятрастпоинта%

Запрашиваем собственный сертификат:

Rublin(config)# crypto pki enroll %имятрастпоинта%

Важно! При отправке необходимо указать пароль (если он не указан в транспоинте). Так как у нас виндовый центр сертификации, то пароль мы можем узнать на IISе сервера: Default Web Site - CertSrv - mscep - Browse.

Если все ок - то получим ответ:

CRYPTO_PKI: Certificate Request Fingerprint MD5: BB0EE109 A7165C7E C9574C79 6211ACF7
CRYPTO_PKI: Certificate Request Fingerprint SHA1: 2E95A239 93D8546C E19F709B A4CD9C5E A15FA943
%PKI-6-CERTRET: Certificate received from Certificate Authority

Если же пароль неправильный или ошибка в конфигурации, то получим в консоль ответ:

%PKI-6-CERTRENEWAUTO: Renewing the router certificate for trustpoint %имятрастпоинта%
CRYPTO_PKI: Certificate Request Fingerprint MD5: DBC61896 0CF48A68 259D80B7 E831F96E
CRYPTO_PKI: Certificate Request Fingerprint SHA1: FD7D677B 40A6F538 9B6AB6CF BD0F6360 8956CE90
%PKI-6-CERTREJECT: Certificate enrollment request was rejected by Certificate Authoritypassword

Тогда на сервере перезапускаем центр сертификации и IIS. После этого смотрим еще раз пароль (должен быть другим) и повторяем:

Rublin(config)# crypto pki enroll %имятрастпоинта%

Запрос сертификата "снуля" на маршрутизаторе Cisco

Генерируем пару ключей:

Rublin(config)# crypto key generate rsa

Создаем трастпоинт:

Rublin(config)# crypto pki trustpoint %имятрастпоинта%

И указываем url для запроса сертификатов:

Rublin(ca-trustpoint)# enrollment url http://%CA%:80/certsrv/mscep/mscep.dll

Получаем сертификат CA-сервера:

Rublin(config)# crypto pki authenticate %имятрастпоинта%

Запрашиваем собственный сертификат:

Rublin(config)# crypto pki enroll %имятрастпоинта%

Tags: 
CISCO
command

Post new comment

Більше інформації про формати тексту

Filtered HTML

  • Адреси сторінок і електронної пошти атоматично перетворюються у посилання.
  • Дозволені теги HTML: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Рядки та параграфи відокремлюються автоматично.

Plain text

  • HTML теґи не відображаються
  • Адреси сторінок і електронної пошти атоматично перетворюються у посилання.
  • Рядки та параграфи відокремлюються автоматично.
By submitting this form, you accept the Mollom privacy policy.
© rublin.org, 2009 - 2012 Буду вдячний за зворотнє посилання, при використанні матеріалів сайту. Powered by Rublin Team.