锐捷网络——CA数字证书配置——路由器通过SCEP在线获取数字证书

最新推荐文章于 2024-04-30 16:45:11 发布
最新推荐文章于 2024-04-30 16:45:11 发布
阅读量505 收藏 1
点赞数
分类专栏: 锐捷网络 文章标签: 在线获取 SCEP CA 安全 站点
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57099902/article/details/132902075
版权

目录

功能介绍

一、组网需求

二、组网拓扑

三、配置要点

四、配置步骤

五、配置验证

 

功能介绍

在路由器上通过SCEP协议在线获取数字证书,通过该方式获取数字证书时需保证路由器与CA服务器能够正常通信。

一、组网需求

路由器通过在线的方式直接向CA服务器获取证书。

二、组网拓扑

三、配置要点

1、搭建网络环境,保证路由器与CA服务器能够正常通信,在CA服务器上安装SCEP插件(若已经安装过SCEP插件,可跳过此步骤)

2、配置设备时区,时间,hostname

3、(可选)生成路由器的公私钥对(若已经有生成过路由器的公私钥对,可以跳过此步骤)

4、配置下载证书的信任点

5、(可选)配置路由器的DN信息

6、在路由器上获取证书服务器的根证书

7、申请路由器的证书

8、在CA服务器上颁发证书

四、配置步骤

1、搭建网络环境,保证路由器与CA服务器能够正常通信,在CA服务器上安装SCEP插件(若已经安装过SCEP插件,可跳过此步骤)

1)运行cepsetup.exe(SCEP在线证书申请的插件),下载链接如下:http://go.microsoft.com/fwlink/?LinkId=32060

2)点击是,然后显示如下:

3)点击yes,然后显示如下:

4)点击下一步,出现如下界面,选择“Use the local system accout”

5)点击下一步,显示如下页面:

6)去掉“Require SCEP Challenge Phrase to Enroll”选项,点击下一步,出现如下界面:

7)选择是(Y),出现如下界面,并完善下面的资料填写,并点击下一步;

8)点击下一步,弹出如下界面;

9)点击完成,提示如下,并点击确定。

10)测试。

在本地输入:http://127.0.0.1/certsrv/

至此,SCEP按照顺利完成。

2、配置设备时区,时间,hostname

设置时区:clock timezone BJ 8 0

设置时间:clock set 17:00:00 1 24 2011

设置hostname:hostname Internet

3、(可选)生成路由器的公私钥对(若已经有生成过路由器的公私钥对,可以跳过此步骤)

Internet(config)#crypto key generate rsa ----------在设备上生成公私钥对

gernerate-key

Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys.

Choosing a key modulus greater than 512 may take a few minutes.

How many bits in the modulus[512]:1024 -------指定公私钥对长度,默认512位,最大支持2048位,建议使用1024位

4、配置下载证书的信任点

Internet(config)#crypto pki trustpoint ruijie

Internet(ca-trustpoint)# revocation-check none            //配置忽略吊销列表的检查

Internet(ca-trustpoint)# time-check none    //关闭证书有效期检查,对于RSR10-02等没有时钟芯片的设备,建议关闭

Internet(ca-trustpoint)# enrollment url http://202.100.1.11/certsrv/mscep/mscep.dll        //定义获取证书的路径

注意:

1)在配置信任点前,要保证能到CA服务器的路径是通的,且通过http://202.100.1.11/certsrv/mscep/mscep.dll 能够查看根证书的签名。

2)RSR10-02设备没有时钟芯片,断电后时间会初始化为1970-01-01导致基于数字证书的IPSEC VPN协商失败,必须配置NTP时间同步或在证书crypto pki trustpoint XX模式下配置timeout-check none来关闭时间检查。

3)所有非在线申请数字证书的3G客户端,需要在crypto pki trustpoint XX模式下配置revocation-check来关闭设备的CRL检查,除非设备能解析CA服务的域名地址。

5、(可选)配置路由器的DN信息

crypto pki trustpoint ruijie

 subject-name cn=RSR20-14E,ou=tac,o=ruijie,l=fuzhou,st=fujian,c=CN

说明:

1)subject-name 即为路由器的DN信息,该信息是证书的附加标示符,用来补充说明证书颁发给了哪个组织机构的哪个客户端

2)DN信息各个字段的含义:

cn:客户端的名字(建议每个客户端的CN名字都是唯一的)

ou:组织名称

o:组织单位名称

l:所在的城市或区域名称

st:所在的州或省份名称

c:国家代码

3)RSR系列路由器若不配置DN信息,默认以设备的hostname做为DN信息

6、在路由器上获取证书服务器的根证书

Internet(config)#crypto pki authenticate ruijie

Certificate has the following attributes:

MD5 fingerprint: F9637FD9 3D5F5C33 D6E067C3 5F7952CC                //根证书的签名

SHA1 fingerprint: FC07C4BE 8E769C57 C4182A80 2904D9F1 A0DE80D5

% Do you accept this certificate?[yes/no]:yes

Trustpoint ruijie certificate accepted.

注意:通过http://202.100.1.11/certsrv/mscep/mscep.dll,查看根证书的签名是否和此处的一致,如果一致,输入yes,否则是不可信的根证书服务器。

如果使用多级的根证书的话,而我们的证书申请是从Sub-CA获取的,此处的根证书的签名,为Sub-CA次根服务器的签名。

7、申请路由器的证书

Internet(config)#crypto pki enroll ruijie                                    //此处的名字一定要和步骤2定义的信任点名字一致

%

%Start certificate enrollment ..

%Create a challenge password. You will need to verbally provide this

   password to the CA Administrator in order to revoke your certificate.

   For security reasons your password will not be saved in the configuration.

   Please make a note of it.

Password:

Re-enter password:

%The subject name in the certificate will include: cn=RSR20-14E,ou=tac,o=ruijie,l=fuzhou,st=fujian,c=CN

%The subject name in the certificate will include: cn=RSR20-14E,ou=tac,o=ruijie,l=fuzhou,st=fujian,c=CN

注意:此处会让你输入一个密码,要求保护路由器的私钥。如果在安装SCEP的时候,我们没有勾选Require SCEP Challenge Phrase to Enroll,那么此处的密码为空,直接回车即可。

8、在CA服务器上颁发证书

在CA服务器上颁发完证书后,等几分钟就可以在路由器上看到已经成功获取到数字证书。

五、配置验证

通过show crypto pki certificates ruijie可以查看名称为“ruijie”的证书信息:

Ruijie#show crypto pki certificates ruijie

% CA certificate info:      //CA根证书信息

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            65:c7:3a:80:2a:e8:cc:85:4f:fb:ae:69:48:33:68:5c

        Issuer: DC=com, DC=rsc, CN=RSC CA

        Validity

            Not Before: Dec 29 05:30:00 2010 GMT

            Not After : Dec 29 05:39:30 2020 GMT                  //证书的有效期,如果设备时间不在证书有效期内则证书无法使用

        Subject: DC=com, DC=rsc, CN=RSC CA

Associated Trustpoints: ruijie

% Router certificate info:        //路由器证书信息

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            61:0e:8b:73:00:00:00:00:00:19

        Issuer: DC=com, DC=rsc, CN=RSC CA

        Validity

            Not Before: May 15 07:55:30 2011 GMT

            Not After : May 15 08:05:30 2012 GMT

        Subject: C=CN, ST=fujian, L=fuzhou, O=ruijie, OU=tac, CN=test/emailAddress=test@ruijie.com.cn

Associated Trustpoints: ruijie

你可知这世上再难遇我
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
最新微软安全软件SCEP 4.3.215(支持win2012)
03-27
最新微软安全软件SCEP 4.3.215(支持win2012)
锐捷网络——CA数字证书配置——路由器离线申请证书
君逍遥o
09-15 435
路由器通过离线申请的方式获取数字证书,采用该种方法,路由器无需与CA服务器进行通信。
HTTPS Web配置举例
weixin_33982670的博客
06-24 283
http://www.h3c.com.cn/Products___Technology/Technology/Security_Encrypt/Other_technology/Representative_collocate_enchiridion/201010/697325_30003_0.htm   HTTPS Web配置举例 关键词:HTTPS、SSL、PKI、CA、RA 摘 ...
1.SVN的配置和使用
haozy123的博客
08-27 766
1.SVN出现的背景 1.1为什么使用版本控制工具? 1.2版本控制工具的功能: 1.协同修改 2.数据备份 3.增量式的版本管理; 4.权限控制 5.历史记录 2.概念区分 1.版本控制和版本控制工具: 2.SVN的工作机制 SVN常用命令介绍 3.SVN 服务器安装 ...
自建CA生成证书详解
永远是少年
12-13 6412
今天继续给大家介绍Linux运维相关知识,本文主要内容是自建CA,并对客户CSR进行签名生成证书过程。 一、CA认证中心配置 二、web服务器生成证书请求文件 三、CA认证中心生成证书 四、WEB服务器配置实现https 五、结果验证
PKI系列:(3)基于rsa-sig的SVTI隧道【证书认证方式】
网络之路Blog(其他平台同名)
03-04 832
说明 之前已经介绍过PKI的组件和处理流程,以及怎么搭建CA服务器,包括Cisco的IOS 软件和微软的服务器,我们搭建CA服务器,就是为了提供扩展性和安全性,这段时间会介绍PKI在虚拟专用中的应用,包括IPSec XXX、EZXXX、SSL XXX的证书认证,关于DMXXX和GETXXX其实跟IPSec XXX一样,只要掌握了IPSec XXX的证书认证注意的地方,就不会有难点了,反而EZXXX和SSL XXX有几个需要注意的地方,需要特别的提下。 这个图很简单,这次利用IOS来搭建CA服务器,并
思科交换机crypto pki trustpoint TP-self-signed-18999761
weixin_33688840的博客
01-20 4251
最近碰到一个思科交换机WS-C2960-24TC-L硬件坏了,更换了同型号的思科交换机。再进行配置转移时候,发现了下面这一串代码。!crypto pki trustpoint TP-self-signed-3356232880enrollment selfsignedsubject-name cn=IOS-Self-Signed-Certificate-3356232880revocation-c...
windows server 2003配置CA服务器通过SCEP颁发证书
有技术的机械师
08-06 8325
选择CA模式       在建立认证服务之前,选择一种适应需要的认证模式是非常关键的,安装认证服务时可选择4种CA模式,每种模式都有各自的性能和特性。       企业根CA       企业根CA是认证体系中最高级别的证书颁发机构。它通过活动目录来识别申请者,并确定该申请者是否对特定证书有访问权限,。如果只对组织中的用户和计算机颁发证书,则需建立一个企业的根CA。一般来讲,企业
锐捷网络——CA数字证书配置——数字证书常见问题和故障
君逍遥o
09-16 647
数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构,又称为证书授权
SCEPInstall Package_4.10.209
10-16
最新版微软杀毒企业版(SCEP) 4.10.209,用于winxp/2003/win7/2008系统
ca证书自动生成脚本
01-30
ca证书自动生成脚本,只需修改下脚本内的文件路径等,即可使用,当然,不修改也没问题!
CA证书制作工具
11-14
非常好用的证书制作工具,内含证书制作文档,绝对能帮助你解决制作简单证书的问题。
构筑宽阔的网络大道——锐捷网络宽带路由器解决方案.pdf
10-09
构筑宽阔的网络大道——锐捷网络宽带路由器解决方案.pdf
锐捷网络入门相关基本命令配置
08-11
【Switch#】configure terminal //由特权模式进入全局配置模式 【Switch(config)#】 4、VLAN模式 【Switch(config)#】vlan 100 //由全局模式进入VLAN模式 【Switch(config-vlan)#】 5、接口模式 【Switch(config)#...
锐捷网络数字化医院网络解决方案
06-03
数字化医院网络解决方案
锐捷路由器配置命令完美宝典
10-01
锐捷也是路由企业中很优秀的生产商之一,这里主要讲解了锐捷路由器配置命令,让用户对锐捷路由器配置有一个更加深刻的了解
体验高速稳定的“网上冲浪”——锐捷网络电信级宽带路由器NBR200火辣登场.pdf
10-09
体验高速稳定的“网上冲浪”——锐捷网络电信级宽带路由器NBR200火辣登场.pdf
全新桥隧坡安全监测解决方案,24h监测效率提升30%
最新发布
Hi_Target的博客
04-30 793
4月26日,交通运输部党组书记、部长李小鹏在部务会上强调,要高度重视公路桥梁隧道结构监测工作,抓紧推进公路桥梁隧道结构监测系统建设,进一步健全完善公路桥梁隧道结构监测长效运行机制。基于北斗高精度定位技术,采用高精度传感器,融合物联网、人工智能以及三维数字化仿真等技术,实时获取运营数据,掌握桥隧坡的运行状况,可有效减少维护成本,保障运营安全。具备振弦、电压、电流、差阻、RS485、RS232、开关量、继电器、RJ45接口。在全国各省份设有26家分公司,具备专业、高效的演示、演练、支撑、交付等本地化服务能力。
锐捷路由器串口捆绑配置
04-05
1. 连接串口:将多台锐捷路由器通过串口线连接起来,确保线路正常连接。 2. 设置主控路由器:选择其中一台锐捷路由器作为主控路由器,通过Web界面或者命令行方式进入路由器配置界面。 3. 配置串口:在主控路由器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你可知这世上再难遇我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值