CA证书学习.pdf

IOS CA服务器和客户端的配置 一、配置IOS的CA：九个步骤 1、产生和导出RSA密钥信息（可选的） 用途：CA需要RSA密钥对来产生一个根证书上的签名和验证。 可以在CA配置过程中自动产生，但是有两个局限： 第一是不可以导出密钥，除非在IOS 12.3 （11）T的版本。第二是固定的1024位密钥长度。 为导出密钥到安全位置，常使用手动产生密钥对，并标记为可以导出。 手动产生密钥命令语法： conf t cry key generate rsa general-keys label CA-name exportable (产生密钥，标记名，定义为可导出) cry key export rsa CA-name pem url t9/CA-name des cisco123 (导出到TFTP服务器，使用DES加密该密钥，设置密码为cisco123,在导入的时候要 使用该密码，否则密钥失效) cry key import rsa CA-name2 pem url t9/CA-name des [exportable] cisco123 这个语法不是错误的，这里有个小方法，用来保护密钥对：将CA- name的密钥对导入到路由器上，并且重新指定为CA- name2，这里有个可选项[exportable] ，如果不选择，则CA- name2将不可导出，即使你拥有路由器15级的权限。接着要做的是这样： cry key zeroize rsa CA-name(删除原来的，可导出的密钥对) 如果保存在NVRAM中，则拷贝到安全的带外区域，并删除NVRAM中的密钥对（见TFTP 语法），现在，即使CA路由器受到灾难，天下是太平的，你可以随时恢复你的CA架 构。 2、启动CA （必需的） 简单的配置只需要三个命令 conf t ip http server cry pki server CA-name(此时进入子模式) no shut （如果没有手动产生的密钥可以匹配，将自动产生密钥对,在自动产生密钥方 式中，可以通过database archive 指定PKCS12或PEM的文件格式，默认为PKCS12 ） CA发起后，默认在NVRAM中产生三个文件，.ser,申请数据库，含有被路由器CA颁发 的身份证书；.p12或PEM,含有加密的公钥和私钥；.crl 含有CRL。 3、定义额外的CA参数（可选的） conf t crypto pki server R2(进入子模式) 这里有很多重要的参数建议配置，否则管理是困难的 database level[minimal/names/complete]: 默认为minimal，只存储最小的信息来保证证书是唯一的； 如：db_version = 1 last_serial = 0x2 names,证书的序列号和名字存储在.SER中，使得证书的发现和吊销特别容易 complete:保存了完整内容在数据库中，真正的仿真了真实的CA产品要做的事情。 database username deng pass deng (此命令允许对数据库文件.ser的访问权限) lifetime enrollment-request 以小时计，一个请求允许保留在数据库中的时间，默认为一个星期，可扩展到1000 小时 grant [none/auto/ra-auto] 当用SCEP发起一个证书请求，则以初始状态添加到申请数据库中，被分配给一个唯 一的请求ID号。如配置为NONE，客户端收到一个挂起的回应，CA管理员需要登陆到 CA，批准或者拒绝这个请求；如配置为AUTO，给用户提供一个正确的口令，请求被 允许，否则拒绝。如未批准，则在lifetime enrollment- request期满后从申请数据库中清除。 lifetime certificate 200 有效值范围自1日到1825日。 默认CA证书寿命是3年，并且默认认证寿命是1年。 最大认证寿命比CA证书的寿命是1个月较少。 lifetime ca-certificate 365 颁发给客户的证书有效时间，默认为一年，范围是1-1825天 4、处理申请请求（必需的） 注意这里的命令都在特权模式下完成 cryp pki server R2 info request 查看请求信息 cry pki server R2 remove{all/reqid} 这个命令和拒绝是不同的，用来清除相同的请求信息的老的请求信息，因为CA是不 检查老的请求信息的，相反，它只接受新的请求信息 cry