配置ios ca server时需要注意的cdp-url问题

最新推荐文章于 2024-08-13 10:43:51 发布
最新推荐文章于 2024-08-13 10:43:51 发布
阅读量871 收藏
点赞数
分类专栏: cisco 文章标签: server ios vpn database archive 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gotonet/article/details/1355322
版权
出自:蛋蛋和妞妞的家
 
经验之谈,现转之,以备偶遇此问题时借用之。
 
以前还是没有注意看文档,其实就是没有理解用证书认证的过程,具体咋回事,往下看吧。我原来的ios ca server是这样配置的
crypto pki server R3
database level complete
database archive pem password 7 01100F175804575D72
issuer-name cn=CAServer
grant auto
cdp-url http://10.0.78.203/R3.crl
注意,最后一行命令
“cdp-url http://10.0.78.203/R3.crl ”   //10.0.78.203是CA的ip地址
这么配置是错误的,这样配置就导致了申请证书的router或者pix把cdp设置为 http://10.0.78.203/R3.crl ,但ios ca router本身是不能用http来发布crl。这就导致了,当我用7206VXR使用rsa-sig做ra的vpn server时,一旦vpn client拨入,7206VXR首先会查询revocation状态,看看这个证书是否可用,根据证书里的配置,cdp的地址是 http://10.0.78.203/R3.crl ,从这个地址是根本无法获取crl的,所以导致了这个证书被7206VXR拒绝,认证就失败了。
解决方法:
1。在ios ca server本身起一个tftp服务,然后把cdp-url设置成自己就可以了
crypto pki server R3
database level complete
database archive pem password 7 01100F175804575D72
issuer-name cn=CAServer
grant auto
cdp-url tftp://10.0.78.203/R3.crl
tftp-server nvram:R3.crl
2。把ca server的生成的crl文件上传到一个tftp服务器,然后把cdp-url指向那个tfpt服务器就可以了,原理和方法1是一样的。
3。在vpn server上关闭revocation-check
crypto pki trustpoint R3
revocation-check none
4。在vpn server上建立certificate-map,对某个证书关闭revocation check,其实跟方法3是一个道理。
crypto pki trustpoint R3
match certificate vpn skip revocation-check
!
crypto pki certificate map vpn 10
subject-name co yunwei

总结:最好的方法是用ocsp服务器,其次是用方法1和2,不推荐方法3和4,不安全。
另外:ios router的默认revocation-check是crl,而pix的是none  

如果您对文章中有任何不解,请使用下面的baidu搜索.

id="baiduframe" border="0" marginwidth="0" framespacing="0" marginheight="0" src="http://unstat.baidu.com/bdun.bsc?tn=bxz1981_pg&cv=0&cid=1007607&csid=101&rkcs=4&bgcr=FFFFFF&ftcr=0000CC&rk=1&bd=0&tbsz=&tbst=&bdas=0" frameborder="0" width="468" scrolling="no" height="50">

gotonet
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SONY索尼CDP-338ESD维修手册
09-20
《SONY索尼CDP-338ESD维修手册》是一份极其重要的参考资料,主要针对的是索尼公司生产的CD播放器型号CDP-338ESD。这份手册详细阐述了设备的维修流程、故障诊断以及零部件更换等核心知识点,旨在帮助专业技术人员或有...
区块链技术应用学习
girls的博客
10-13 4230
学习导入 今天,以云计算、大数据、人工智能、区块链等为代表的的新一轮科技革命,对金融业 产生着前所未有的影响。新技术正义其独有的渗透性、冲击性、倍增性和创新性推动金融行 业发展到一个全新节点。金融科技人才,是复合型创新人才,需要金融方面掌握扎实理论基 础,科技方面尤其是区块链方面,掌握前沿技术,具备对金融产品和金融服务的设计、应用、 基本开发、维护的能力。 区块链,作为金融科技核心技术之一,其“去中心化”“不可篡改”“公开透明”等特 性在金融领域正在广泛应用,推动者金融服务模式和创新和变革,主要应用领域有
如何配置CA服务器
问道-正确认识人生的规律,只有从人生的规律中才能求得实实在在的名与利
03-10 4050
1创建验证字权威数据库1)点击菜单"文件"--"数据库"--"新建"2)服务器:选择验证字权威服务器模板服务器:选择验证字权威服务器模板:点击"显示高级模板",选择"Domino R5验证字权威"模板(cca50.ntf)数据库名称:certca.nsf(在R4.6X中必须是该名称)3)点击"确定"按钮2配置验证字权威数据库1)打开验证字权威数据库,左边点击"验证字权威配置
安装SQL Server 数据库注意事项及优化SQL Server 数据库服务器配置
snowfoxmonitor的专栏
08-19 1739
安装SQL Server 数据库注意及 优化SQL Server 数据库服务器配置 一:调整虚拟内存    1:计算机属性--性能--高级--设置驱动器上的页面文件大小,大小为物理内存的2陪,这个盘最好是跟系统盘分开的一个Raid上,单独逻辑盘,只为虚拟内存专用。二:使用AWE虚拟缓存。  配置的过程。(如果服务器的内存少于4GB,不用配置)   1.打开系统中的大内存支持(wind
fabric-ca-server 配置mysql数据库,区块链(4)
datouniao1的博客
01-16 1553
配置文件 找到fabric-ca-sever服务: 进入docker容器: [root@VM_0_6_centos ~]# docker exec -it ca_peerOrg1 bash 找到配置文件: copy出文件: [root@VM_0_6_centos ~]# docker cp **dockerid**:/etc/hyperledger/fabric-ca-server/fabr...
数据库服务器操作系统基本配置,数据库服务器操作系统基本配置
weixin_32865039的博客
08-11 696
数据库服务器操作系统基本配置 内容精选换一换华为云云堡垒机服务帮助中心,为用户提供产品介绍、快速入门、用户指南、最佳实践、常见问题、视频帮助、技术白皮书等技术文档,帮助您快速上手使用云堡垒机服务。CDM集群是指用户拥有的CDM实例,一个CDM集群由1个或多个虚拟机组成。一个用户可以创建多个CDM集群,例如为财务部门和采购部门各创建一个CDM实例,实现数据访问权限的隔离。本地环境是指用户自建或者租...
CDP-S-OGP-PL-017-2014-3油气管道工程用感应加热弯管母管技术规格书.pdf
11-25
《油气管道工程用感应加热弯管母管技术规格书》(CDP-S-OGP-PL-017-2014-3) 是中国石油天然气与管道分公司制定的一份详细的技术规范,旨在规范油气储运项目中感应加热弯管母管的采购和制造流程。这份文件基于“标准化...
Net-CDP-0.09.tar.gz_CDP
09-24
要解压这个文件,用户通常需要使用`tar`和`gzip`命令,如`tar -zxvf Net-CDP-0.09.tar.gz`。 CDP项目可能包含以下组件和概念: 1. **数据采集**:CDP可能包含数据采集器,用于从各种数据源(如日志文件、数据库、...
cdp-dev-docs:cdp-dev-docs
05-12
CDP开发人员文档该存储库包含有关 (CDP)的面向开发人员的详细文档。有关CDP的总体文档,请访问 。Beta API Beta API提供的功能在标准CLI中尚不可用,并且仍在开发中。 它们尚不受支持,可能无法工作,并且可能以不...
az-cdp-ansible
03-05
"az-cdp-ansible" 是一个基于 Ansible 的自动化部署项目,主要针对 Azure Cloud Data Platform (CDP) 进行配置和管理。Ansible 是一款流行的开源自动化工具,用于配置系统、部署应用以及进行任务自动化。它采用无...
ios-CDPRouter简单路由.zip
07-11
CDPRouter是一个简单的路由,需要的话可以在项目里使用或者自定义 github:https://github.com/cdpenggod/CDPRouter.git
数据库(SQL SERVER)通信加密配置与验证
weixin_30725315的博客
10-20 1462
一. 安装组件: 1. Certificate Service(认证服务):用于申请/颁发认证证书; 2. Management and Monitoring Tools(网络监视器):用于监控通信采用明文还是密文。 二. 在服务器端计算器上申请/颁发/安装验证证书 安装好Certificate Service组件后,启动IIS,在预设的站点中可看到一个新的站...
Disable Client Certificate Revocation (CRL) Check on IIS
weixin_33994429的博客
06-22 392
Disable Client Certificate Revocation (CRL) Check on IIS: REGISTRY : HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfoDWORD : DefaultSslCertCheckModeValue : 1 转载于:htt...
windows2008R2下CA(CS)服务迁移
weixin_34040079的博客
10-08 677
windows2008R2下CA(CS)服务迁移 说到CA(CS)服务相信很多人运维人员都比较熟悉的一个服务,CA(Certificate Authority),CS(Certificate Service)不仅在windows服务存在,同样也在linux下存在,主要目的是提高安全性的,CA 也拥有一个证书(内含公钥和私钥)。网上的公众用户通过验证 CA 的签字从而...
ipa服务的配置
BAKI的博客
04-09 3615
FreeIPA FreeIPA是一个用于Linux/Unix环境的开源身份管理系统,它提供集中式帐户管理和身份验证,如Microsoft Active Directory或LDAP。FreeIPA集成389目录服务器、MIT Kerberos、Apache HTTP服务器、NTP、DNS、Dogtag(证书系统)和SSSD,使其成为管理标识、策略和执行审计跟踪的单一集成安全解决方案。FreeIPA...
证书验证的EZ×××
weixin_33716154的博客
10-12 121
1.拓扑 2.ASA配置 (1)信任点配置 crypto ca trustpoint ez*** revocation-check crl none enrollment url http://192.168.10.1:80/certsrv/mscep/mscep.dll fqdn asa.ez***.net subject-name cn=asa.ez**...
苹果发布 AirPods Pro 2 测试版固件 搭配iOS 18新特性
最新发布
weixin_41446370的博客
08-13 77
苹果今天发布了AirPods Pro 2 的第三个测试版固件,包括 Lightning 和 USB-C 两个版本。更新后的固件版本号为 7A5266c,高于 7A5244b,目前可供开发者使用。例如,如果你接到一个电话,如果不想接听,可以摇头拒绝,或者点头表示接听。Siri 互动可用于回复来电信息、来电和通知。苹果为 AirPods Pro 增加了语音隔离功能,以减少嘈杂的背景声音,让你更容易听到声音。作为iOS 18 的一部分,AirPods Pro 2 将具有多项功能,这些功能都包含在固件更新中。
Fife CDP-01张力控制器详细操作指南
"美赛斯张力控制器CDP-01中文说明书" 美赛斯张力控制器CDP-01是一款专业用于控制材料处理过程中张力的设备,常见于造纸、印刷、薄膜制造等行业。这份中文说明书是针对该控制器的操作指南,提供详尽的使用和维护信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值