配置ps8
ps8 0序列号 时间:2021-02-26 阅读:()
配置零的联系配置(ZTD)VPN远程办公室/SpokeContentsIntroductionPrerequisitesRequirementsComponentsUsedConfigureNetworkDiagram网络流基于苏堤的授权部署方案网络流与仅CA的配置与CA和RA的配置配置/模板VerifyTroubleshoot已知警告和问题ZTD通过USB与默认配置文件摘要RelatedInformationIntroduction本文描述零的联系配置(ZTD)选项如何是配置的一个有成本效益的和可扩展的解决方案.
安全和高效的配置和远端办公室路由器提供(有时告诉Spokes)可以是一项困难任务.
远程办公室也许是在它是让的挑战现场工程师配置现场的路由器的位置,并且多数工程师选择不发送预先配置的分支路由器由于费用和可能性安全风险.
PrerequisitesRequirementsCisco建议您了解以下主题:有一个USB端口支持USB闪存驱动器的任何CiscoIOS路由器.
关于详细资料,请参阅USBeToken和USB闪存功能支持.
q此功能被确认在几乎所有Cisco8xx平台运作.
关于详细资料,请参阅默认配置文件白皮书(在Cisco800系列ISR的功能支持).
q有USB端口类似综合服务路由器的其他平台(ISR)系列G2和43xx/44xx.
qComponentsUsed本文档中的信息基于以下软件和硬件版本:简单认证登记协议(SCEP)q零的联系配置通过USBqDMVPN/FlexVPN/Site对站点VPNqTheinformationinthisdocumentwascreatedfromthedevicesinaspecificlabenvironment.
Allofthedevicesusedinthisdocumentstartedwithacleared(default)configuration.
Ifyournetworkislive,makesurethatyouunderstandthepotentialimpactofanycommand.
ConfigureNote:使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息.
NetworkDiagram网络流在中心站点(公司的总部),分支配置的模板被创建.
模板包含签署VPN集线路由器的认证的CertificateAuthority(CA)认证.
1.
配置模板是例示的在名为ciscortr.
cfg的文件的一个USB密钥.
此配置文件包含将配置的路由器的分支特定配置.
Note:除IP地址和CA证书之外,在USB的配置不包含任何敏感信息.
没有分支或CA服务器的专用密钥.
2.
USB闪存驱动器被发送到远程办公室通过邮件或程序包运送公司.
3.
分支路由器也派遣到远程办公室直接地从Cisco制造.
4.
在远程办公室,路由器被连接供给动力并且被缚住对网络按照被包括在USB闪存驱动器中的指令说明.
其次,USB闪存驱动器插入到路由器.
Note:有一点对在此步骤涉及的没有技术技能,因此可能由所有办公室人员容易地执行.
5.
一旦路由器启动,读从usbflash0:/ciscortr.
cfg的配置.
当路由器启动了,简单认证登记协议(SCEP)请求被发送到CA服务器.
6.
在CA服务器手工或自动授予能根据公司安全策略被配置.
当配置为授予手工的认证,必须进行SCEP请求的带外验证(IP地址验证检查、进行配置的证件验证人员的等等).
此步7.
骤也许有所不同基于使用的CA服务器.
一旦SCEP答复由分支路由器收到,当前有一个有效证书,InternetKeyExchange(IKE)会话用VPN集线器验证,并且隧道成功设立.
8.
基于苏堤的授权第7步介入通过SCEP协议被发送的认证署名请求的手工的验证,也许是笨重和难为非技术性的人员实行.
为了强化安全和自动化进程,可以使用安全的唯一设备标识(苏堤)设备证书.
苏堤证书是证书被构件到ISR4K设备.
这些证书由CiscoCA签字.
每个制作的设备发出了与不同的身份验证,并且设备的序列号在认证的普通的名字内包含.
苏堤认证、相关的密匙对和其整个证书链在堵塞器抗性信任锚点芯片存储.
此外,密匙对密码一定对一块特定信任锚点芯片,并且专用密钥从未被导出.
此功能做克隆或伪装实际上不可能的身份信息.
苏堤专用密钥可以用于签署路由器生成的SCEP请求.
CA服务器能验证签名和读设备的苏堤认证的内容.
CA服务器可从苏堤认证提取信息(类似序列号)和执行根据该信息的授权.
RADIUS服务器可以用于回答这样授权请求.
管理员建立辐射路由器和他们相关的序列号列表.
序列号可以读从路由器的事例由非技术性的人员.
这些序列号在RADIUS服务器数据库存储,并且服务器核准根据允许认证自动地授予的该信息的SCEP请求.
注意序列号密码附加到一个特定设备通过Cisco签字的苏堤认证,因此被伪造无法的.
总之,配置CA服务器自动地同意满足这两个标准的请求:用与认证产生关联的专用密钥签字签字由Cisco苏堤CAq由根据序列号信息的RADIUS服务器核准采取从苏堤认证q部署方案在隧道可以被构建前,CA服务器也许显示直接地在互联网,因而允许客户端进行登记.
CA服务器在同一路由器可能甚而被配置作为VPN集线器.
此拓扑的优点是简单.
因为CA服务器为各种各样攻击直接地显示通过互联网,缺点是被减少的安全.
或者,拓扑可以通过配置注册审批机构服务器扩展.
注册审批机构服务器角色是估计和转发有效证书署名请求到CA服务器.
RA服务器不包含CA的专用密钥,并且不能单独生成证书.
在这样配置,CA服务器不需要显示在互联网,强化整体安全.
'网络流1.
分支路由器创建SCEP请求,用其苏堤认证专用密钥签署它并且发送它到CA服务器.
2.
如果请求适当地签字,RADIUS请求生成.
序列号使用作为用户名参数.
3.
RADIUS服务器接受或拒绝请求.
4.
如果请求被接受,CA服务器同意请求.
如果它被拒绝,CA服务器回复以"等待"状态,并且客户端再试请求,在退路计时器到期后.
与仅CA的配置!
CAserverradiusserverRADSRVaddressipv410.
10.
20.
30auth-port1812acct-port1813keycisco123aaagroupserverradiusRADSRVservernameRADSRVaaaauthorizationnetworkSUDIgroupRADSRVcryptopkiserverCA!
willgrantcertificateforrequestssignedbySUDIcertificateautomaticallygrantautotrustpointSUDIissuer-nameCN=ca.
example.
comhashsha256lifetimeca-certificate7200lifetimecertificate3600cryptopkitrustpointCArsakeypairCA2048cryptopkitrustpointSUDI!
NeedtoimporttheSUDICAcertificatemanually,forexamplewith"cryptopkiimport"commandenrollmentterminalrevocation-checknone!
AuthorizewithRadiusserverauthorizationlistSUDI!
SNextractedfromcertwillbeusedasusernameinaccess-requestauthorizationusernamesubjectnameserialnumber!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
CAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quitRADIUSserver:TheRadiusneedstoreturnAccess-AcceptwiththefollowingCiscoAVPairtoenablecertificateenrollment:pki:cert-application=all与CA和RA的配置!
CAservercryptopkiserverCATESTissuer-nameCN=CATEST.
example.
com,OU=TAC,O=Cisco!
willgranttherequestscomingfromRAautomaticallygrantra-autocryptopkitrustpointCATESTrevocation-checkcrlrsakeypairCATEST2048!
RAserverradiusserverRADSRVaddressipv410.
10.
20.
30auth-port1812acct-port1813keycisco123aaagroupserverradiusRADSRVservernameRADSRVaaaauthorizationnetworkSUDIgroupRADSRVcryptopkiserverRAnodatabasearchive!
willforwardcertificaterequestssignedbySUDIcertificateautomaticallygrantautotrustpointSUDImoderacryptopkitrustpointRA!
CAserveraddressenrollmenturlhttp://10.
10.
10.
10serial-numbernoneip-addressnonesubject-nameCN=ra1.
example.
com,OU=ioscsRA,OU=TAC,O=Ciscorevocation-checkcrlrsakeypairRA2048cryptopkitrustpointSUDI!
NeedtoimporttheSUDICAcertificatemanually,forexamplewith"cryptopkiimport"commandenrollmentterminalrevocation-checknone!
AuthorizewithRadiusserverauthorizationlistSUDI!
SNextractedfromcertwillbeusedasusernameinaccess-requestauthorizationusernamesubjectnameserialnumber!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
RAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quit!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
RAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quit配置/模板此输出示例:显示在闪存驱动器放置在usbflash0:/ciscortr.
cfg文件的一种模范FlexVPN远程办公室配置.
hostnameclient1!
interfaceGigabitEthernet0ipaddressdhcp!
cryptopkitrustpointclient1!
CAServer'sURLenrollmenturlhttp://10.
122.
162.
242:80!
Thesefieldsneedstobefilled,toavoidpromptwhiledoingenroll!
ThiswilldifferifyouuseSUDI,pleaseseeaboveserial-numbernoneip-addressnonepasswordsubject-namecn=client1.
cisco.
comou=ciscoou!
cryptopkicertificatechainclient1certificateca01!
CACertificateherequit!
cryptoikev2profiledefaultmatchidentityremoteanyauthenticationremotersa-sigauthenticationlocalrsa-sigpkitrustpointclient1aaaauthorizationgroupcertlistdefaultdefault!
interfaceTunnel1ipunnumberedGigabitEthernet0tunnelsourceGigabitEthernet0tunnelmodeipsecipv4!
DestinationisInternetIPAddressofVPNHubtunneldestination172.
16.
0.
2tunnelprotectionipsecprofiledefault!
eventmanagerappletimport-cert!
Startimportingcertificatesonlyafter60safterbootup!
JusttogiveDHCPtimetobootupeventtimerwatchdogtime60action1.
0clicommand"enable"action2.
0clicommand"configterminal"!
Enrollspoke'scertificateaction3.
0clicommand"cryptopkienrollclient1"!
Afterenrollementrequestissent,removethatEEMscriptaction4.
0clicommand"noeventmanagerappletimport-cert"action5.
0clicommand"exit"eventmanagerappletwrite-memeventsyslogpattern"PKI-6-CERTRET"action1.
0clicommand"enable"action2.
0clicommand"writememory"action3.
0syslogmsg"Automaticallysavedconfiguration"Verify使用本部分可确认配置能否正常运行.
命令输出解释程序工具(仅限注册用户)支持某些show命令.
使用输出解释器工具来查看show命令输出的分析.
如果隧道上升,您在分支能验证:client1#showcryptosessionCryptosessioncurrentstatusInterface:Tunnel1Profile:defaultSessionstatus:UP-ACTIVEPeer:172.
16.
0.
2port500SessionID:1IKEv2SA:local172.
16.
0.
1/500remote172.
16.
0.
2/500ActiveIPSECFLOW:permitip0.
0.
0.
0/0.
0.
0.
00.
0.
0.
0/0.
0.
0.
0ActiveSAs:2,origin:cryptomap如果认证正确地,被登记了您在分支能也验证:client1#showcryptopkicertificatesCertificateStatus:AvailableCertificateSerialNumber(hex):06CertificateUsage:GeneralPurposeIssuer:cn=CASubject:Name:client1hostname=client1cn=client1.
cisco.
comou=ciscoouValidityDate:startdate:01:34:34PSTApr262015enddate:01:34:34PSTApr252016AssociatedTrustpoints:client1Storage:nvram:CA#6.
cerCACertificateStatus:AvailableCertificateSerialNumber(hex):01CertificateUsage:SignatureIssuer:cn=CASubject:cn=CAValidityDate:startdate:01:04:46PSTApr262015enddate:01:04:46PSTApr252018AssociatedTrustpoints:client1Storage:nvram:CA#1CA.
cerTroubleshoot目前没有针对此配置的故障排除信息.
已知警告和问题CiscoBugIDCSCuu93989-设置向导终止在G2平台的PnP流也许造成系统从usbflash不装载配置:/ciscortr.
cfg.
反而系统也许终止在设置向导功能:client1#showcryptopkicertificatesCertificateStatus:AvailableCertificateSerialNumber(hex):06CertificateUsage:GeneralPurposeIssuer:cn=CASubject:Name:client1hostname=client1cn=client1.
cisco.
comou=ciscoouValidityDate:startdate:01:34:34PSTApr262015enddate:01:34:34PSTApr252016AssociatedTrustpoints:client1Storage:nvram:CA#6.
cerCACertificateStatus:AvailableCertificateSerialNumber(hex):01CertificateUsage:SignatureIssuer:cn=CASubject:cn=CAValidityDate:startdate:01:04:46PSTApr262015enddate:01:04:46PSTApr252018AssociatedTrustpoints:client1Storage:nvram:CA#1CA.
cerNote:保证您使用包含此缺陷的一个修正的一个版本.
ZTD通过USB与默认配置文件注意默认配置文件以为特色本文比零的联系配置使用是一个不同的功能通过在Cisco800系列ISR配置概述描述的USB.
--通过USB调零联系配置默认配置文件支持的平台对只有少量8xx路由器限制.
关于详细资料,请参阅Cisco800系列ISR配置概述所有ISRG2、43xx和44xx.
文件名*.
cfgciscortr.
cfg在本地闪存保存配置是,自动地不,嵌入式活动管理器(EEM)要求由于默认配置文件功能支持更多平台,此技术为在此条款上提交的解决方案被选择了.
摘要USB默认配置(与从USB闪存驱动器的文件名ciscortr.
cfg)在远端位置产生网络管理员能力配置远程办公室分支路由器VPN(但是没限制对VPN),不用需要登录到设备.
RelatedInformation简单认证登记协议(SCEP)q零的联系配置通过USBqDMVPN/FlexVPN/Site对站点VPNqTechnicalSupport&Documentation-CiscoSystemsqCisco锚点技术q
安全和高效的配置和远端办公室路由器提供(有时告诉Spokes)可以是一项困难任务.
远程办公室也许是在它是让的挑战现场工程师配置现场的路由器的位置,并且多数工程师选择不发送预先配置的分支路由器由于费用和可能性安全风险.
PrerequisitesRequirementsCisco建议您了解以下主题:有一个USB端口支持USB闪存驱动器的任何CiscoIOS路由器.
关于详细资料,请参阅USBeToken和USB闪存功能支持.
q此功能被确认在几乎所有Cisco8xx平台运作.
关于详细资料,请参阅默认配置文件白皮书(在Cisco800系列ISR的功能支持).
q有USB端口类似综合服务路由器的其他平台(ISR)系列G2和43xx/44xx.
qComponentsUsed本文档中的信息基于以下软件和硬件版本:简单认证登记协议(SCEP)q零的联系配置通过USBqDMVPN/FlexVPN/Site对站点VPNqTheinformationinthisdocumentwascreatedfromthedevicesinaspecificlabenvironment.
Allofthedevicesusedinthisdocumentstartedwithacleared(default)configuration.
Ifyournetworkislive,makesurethatyouunderstandthepotentialimpactofanycommand.
ConfigureNote:使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息.
NetworkDiagram网络流在中心站点(公司的总部),分支配置的模板被创建.
模板包含签署VPN集线路由器的认证的CertificateAuthority(CA)认证.
1.
配置模板是例示的在名为ciscortr.
cfg的文件的一个USB密钥.
此配置文件包含将配置的路由器的分支特定配置.
Note:除IP地址和CA证书之外,在USB的配置不包含任何敏感信息.
没有分支或CA服务器的专用密钥.
2.
USB闪存驱动器被发送到远程办公室通过邮件或程序包运送公司.
3.
分支路由器也派遣到远程办公室直接地从Cisco制造.
4.
在远程办公室,路由器被连接供给动力并且被缚住对网络按照被包括在USB闪存驱动器中的指令说明.
其次,USB闪存驱动器插入到路由器.
Note:有一点对在此步骤涉及的没有技术技能,因此可能由所有办公室人员容易地执行.
5.
一旦路由器启动,读从usbflash0:/ciscortr.
cfg的配置.
当路由器启动了,简单认证登记协议(SCEP)请求被发送到CA服务器.
6.
在CA服务器手工或自动授予能根据公司安全策略被配置.
当配置为授予手工的认证,必须进行SCEP请求的带外验证(IP地址验证检查、进行配置的证件验证人员的等等).
此步7.
骤也许有所不同基于使用的CA服务器.
一旦SCEP答复由分支路由器收到,当前有一个有效证书,InternetKeyExchange(IKE)会话用VPN集线器验证,并且隧道成功设立.
8.
基于苏堤的授权第7步介入通过SCEP协议被发送的认证署名请求的手工的验证,也许是笨重和难为非技术性的人员实行.
为了强化安全和自动化进程,可以使用安全的唯一设备标识(苏堤)设备证书.
苏堤证书是证书被构件到ISR4K设备.
这些证书由CiscoCA签字.
每个制作的设备发出了与不同的身份验证,并且设备的序列号在认证的普通的名字内包含.
苏堤认证、相关的密匙对和其整个证书链在堵塞器抗性信任锚点芯片存储.
此外,密匙对密码一定对一块特定信任锚点芯片,并且专用密钥从未被导出.
此功能做克隆或伪装实际上不可能的身份信息.
苏堤专用密钥可以用于签署路由器生成的SCEP请求.
CA服务器能验证签名和读设备的苏堤认证的内容.
CA服务器可从苏堤认证提取信息(类似序列号)和执行根据该信息的授权.
RADIUS服务器可以用于回答这样授权请求.
管理员建立辐射路由器和他们相关的序列号列表.
序列号可以读从路由器的事例由非技术性的人员.
这些序列号在RADIUS服务器数据库存储,并且服务器核准根据允许认证自动地授予的该信息的SCEP请求.
注意序列号密码附加到一个特定设备通过Cisco签字的苏堤认证,因此被伪造无法的.
总之,配置CA服务器自动地同意满足这两个标准的请求:用与认证产生关联的专用密钥签字签字由Cisco苏堤CAq由根据序列号信息的RADIUS服务器核准采取从苏堤认证q部署方案在隧道可以被构建前,CA服务器也许显示直接地在互联网,因而允许客户端进行登记.
CA服务器在同一路由器可能甚而被配置作为VPN集线器.
此拓扑的优点是简单.
因为CA服务器为各种各样攻击直接地显示通过互联网,缺点是被减少的安全.
或者,拓扑可以通过配置注册审批机构服务器扩展.
注册审批机构服务器角色是估计和转发有效证书署名请求到CA服务器.
RA服务器不包含CA的专用密钥,并且不能单独生成证书.
在这样配置,CA服务器不需要显示在互联网,强化整体安全.
'网络流1.
分支路由器创建SCEP请求,用其苏堤认证专用密钥签署它并且发送它到CA服务器.
2.
如果请求适当地签字,RADIUS请求生成.
序列号使用作为用户名参数.
3.
RADIUS服务器接受或拒绝请求.
4.
如果请求被接受,CA服务器同意请求.
如果它被拒绝,CA服务器回复以"等待"状态,并且客户端再试请求,在退路计时器到期后.
与仅CA的配置!
CAserverradiusserverRADSRVaddressipv410.
10.
20.
30auth-port1812acct-port1813keycisco123aaagroupserverradiusRADSRVservernameRADSRVaaaauthorizationnetworkSUDIgroupRADSRVcryptopkiserverCA!
willgrantcertificateforrequestssignedbySUDIcertificateautomaticallygrantautotrustpointSUDIissuer-nameCN=ca.
example.
comhashsha256lifetimeca-certificate7200lifetimecertificate3600cryptopkitrustpointCArsakeypairCA2048cryptopkitrustpointSUDI!
NeedtoimporttheSUDICAcertificatemanually,forexamplewith"cryptopkiimport"commandenrollmentterminalrevocation-checknone!
AuthorizewithRadiusserverauthorizationlistSUDI!
SNextractedfromcertwillbeusedasusernameinaccess-requestauthorizationusernamesubjectnameserialnumber!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
CAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quitRADIUSserver:TheRadiusneedstoreturnAccess-AcceptwiththefollowingCiscoAVPairtoenablecertificateenrollment:pki:cert-application=all与CA和RA的配置!
CAservercryptopkiserverCATESTissuer-nameCN=CATEST.
example.
com,OU=TAC,O=Cisco!
willgranttherequestscomingfromRAautomaticallygrantra-autocryptopkitrustpointCATESTrevocation-checkcrlrsakeypairCATEST2048!
RAserverradiusserverRADSRVaddressipv410.
10.
20.
30auth-port1812acct-port1813keycisco123aaagroupserverradiusRADSRVservernameRADSRVaaaauthorizationnetworkSUDIgroupRADSRVcryptopkiserverRAnodatabasearchive!
willforwardcertificaterequestssignedbySUDIcertificateautomaticallygrantautotrustpointSUDImoderacryptopkitrustpointRA!
CAserveraddressenrollmenturlhttp://10.
10.
10.
10serial-numbernoneip-addressnonesubject-nameCN=ra1.
example.
com,OU=ioscsRA,OU=TAC,O=Ciscorevocation-checkcrlrsakeypairRA2048cryptopkitrustpointSUDI!
NeedtoimporttheSUDICAcertificatemanually,forexamplewith"cryptopkiimport"commandenrollmentterminalrevocation-checknone!
AuthorizewithRadiusserverauthorizationlistSUDI!
SNextractedfromcertwillbeusedasusernameinaccess-requestauthorizationusernamesubjectnameserialnumber!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
RAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quit!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
RAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quit配置/模板此输出示例:显示在闪存驱动器放置在usbflash0:/ciscortr.
cfg文件的一种模范FlexVPN远程办公室配置.
hostnameclient1!
interfaceGigabitEthernet0ipaddressdhcp!
cryptopkitrustpointclient1!
CAServer'sURLenrollmenturlhttp://10.
122.
162.
242:80!
Thesefieldsneedstobefilled,toavoidpromptwhiledoingenroll!
ThiswilldifferifyouuseSUDI,pleaseseeaboveserial-numbernoneip-addressnonepasswordsubject-namecn=client1.
cisco.
comou=ciscoou!
cryptopkicertificatechainclient1certificateca01!
CACertificateherequit!
cryptoikev2profiledefaultmatchidentityremoteanyauthenticationremotersa-sigauthenticationlocalrsa-sigpkitrustpointclient1aaaauthorizationgroupcertlistdefaultdefault!
interfaceTunnel1ipunnumberedGigabitEthernet0tunnelsourceGigabitEthernet0tunnelmodeipsecipv4!
DestinationisInternetIPAddressofVPNHubtunneldestination172.
16.
0.
2tunnelprotectionipsecprofiledefault!
eventmanagerappletimport-cert!
Startimportingcertificatesonlyafter60safterbootup!
JusttogiveDHCPtimetobootupeventtimerwatchdogtime60action1.
0clicommand"enable"action2.
0clicommand"configterminal"!
Enrollspoke'scertificateaction3.
0clicommand"cryptopkienrollclient1"!
Afterenrollementrequestissent,removethatEEMscriptaction4.
0clicommand"noeventmanagerappletimport-cert"action5.
0clicommand"exit"eventmanagerappletwrite-memeventsyslogpattern"PKI-6-CERTRET"action1.
0clicommand"enable"action2.
0clicommand"writememory"action3.
0syslogmsg"Automaticallysavedconfiguration"Verify使用本部分可确认配置能否正常运行.
命令输出解释程序工具(仅限注册用户)支持某些show命令.
使用输出解释器工具来查看show命令输出的分析.
如果隧道上升,您在分支能验证:client1#showcryptosessionCryptosessioncurrentstatusInterface:Tunnel1Profile:defaultSessionstatus:UP-ACTIVEPeer:172.
16.
0.
2port500SessionID:1IKEv2SA:local172.
16.
0.
1/500remote172.
16.
0.
2/500ActiveIPSECFLOW:permitip0.
0.
0.
0/0.
0.
0.
00.
0.
0.
0/0.
0.
0.
0ActiveSAs:2,origin:cryptomap如果认证正确地,被登记了您在分支能也验证:client1#showcryptopkicertificatesCertificateStatus:AvailableCertificateSerialNumber(hex):06CertificateUsage:GeneralPurposeIssuer:cn=CASubject:Name:client1hostname=client1cn=client1.
cisco.
comou=ciscoouValidityDate:startdate:01:34:34PSTApr262015enddate:01:34:34PSTApr252016AssociatedTrustpoints:client1Storage:nvram:CA#6.
cerCACertificateStatus:AvailableCertificateSerialNumber(hex):01CertificateUsage:SignatureIssuer:cn=CASubject:cn=CAValidityDate:startdate:01:04:46PSTApr262015enddate:01:04:46PSTApr252018AssociatedTrustpoints:client1Storage:nvram:CA#1CA.
cerTroubleshoot目前没有针对此配置的故障排除信息.
已知警告和问题CiscoBugIDCSCuu93989-设置向导终止在G2平台的PnP流也许造成系统从usbflash不装载配置:/ciscortr.
cfg.
反而系统也许终止在设置向导功能:client1#showcryptopkicertificatesCertificateStatus:AvailableCertificateSerialNumber(hex):06CertificateUsage:GeneralPurposeIssuer:cn=CASubject:Name:client1hostname=client1cn=client1.
cisco.
comou=ciscoouValidityDate:startdate:01:34:34PSTApr262015enddate:01:34:34PSTApr252016AssociatedTrustpoints:client1Storage:nvram:CA#6.
cerCACertificateStatus:AvailableCertificateSerialNumber(hex):01CertificateUsage:SignatureIssuer:cn=CASubject:cn=CAValidityDate:startdate:01:04:46PSTApr262015enddate:01:04:46PSTApr252018AssociatedTrustpoints:client1Storage:nvram:CA#1CA.
cerNote:保证您使用包含此缺陷的一个修正的一个版本.
ZTD通过USB与默认配置文件注意默认配置文件以为特色本文比零的联系配置使用是一个不同的功能通过在Cisco800系列ISR配置概述描述的USB.
--通过USB调零联系配置默认配置文件支持的平台对只有少量8xx路由器限制.
关于详细资料,请参阅Cisco800系列ISR配置概述所有ISRG2、43xx和44xx.
文件名*.
cfgciscortr.
cfg在本地闪存保存配置是,自动地不,嵌入式活动管理器(EEM)要求由于默认配置文件功能支持更多平台,此技术为在此条款上提交的解决方案被选择了.
摘要USB默认配置(与从USB闪存驱动器的文件名ciscortr.
cfg)在远端位置产生网络管理员能力配置远程办公室分支路由器VPN(但是没限制对VPN),不用需要登录到设备.
RelatedInformation简单认证登记协议(SCEP)q零的联系配置通过USBqDMVPN/FlexVPN/Site对站点VPNqTechnicalSupport&Documentation-CiscoSystemsqCisco锚点技术q
RAKsmart推出7.59美元/月,云服务器产品Cloud Server,KVM架构1核1G内存40G硬盘1M带宽基础配置
近期RAKsmart上线云服务器Cloud Server产品,KVM架构1核1G内存40G硬盘1M带宽基础配置7.59美元/月!RAKsmart云服务器Cloud Server位于美国硅谷机房,下单可选DIY各项配置,VPC网络/经典网络,大陆优化/精品网线路,1-1000Mbps带宽,支持Linux或者Windows操作系统,提供Snap和Backup。RAKsmart机房是一家成立于2012年...
Boomer.host:$4.95/年-512MB/5GB/500GB/德克萨斯州(休斯顿)
部落曾经在去年分享过一次Boomer.host的信息,商家自述始于2018年,提供基于OpenVZ架构的VPS主机,配置不高价格较低。最近,主机商又在LET发了几款特价年付主机促销,最低每年仅4.95美元起,有独立IPv4+IPv6,开设在德克萨斯州休斯顿机房。下面列出几款VPS主机配置信息。CPU:1core内存:512MB硬盘:5G SSD流量:500GB/500Mbps架构:KVMIP/面板...
IntoVPS:按小时计费KVM月费5美元起($0.0075/小时),6个机房可选
IntoVPS是成立于2004年的Hosterion SRL旗下于2009年推出的无管理型VPS主机品牌,商家提供基于OpenStack构建的VPS产品,支持小时计费是他的一大特色,VPS可选数据中心包括美国弗里蒙特、达拉斯、英国伦敦、荷兰和罗马尼亚等6个地区机房。商家VPS主机基于KVM架构,最低每小时0.0075美元起($5/月)。下面列出几款VPS主机配置信息。CPU:1core内存:2GB...
ps8 0序列号为你推荐
-
深圳公交车路线深圳公交路线spgnux怎么安装思普操作系统快速美白好方法脸部快速美白有什么好方法啊数码资源网有什么网站弄相片效果比较好的?办公协同软件求一款国内知名的OA办公软件,谁知道有哪些呢?godaddygodaddy域名怎样使用ios7固件下载iOS的固件有正版盗版之分吗?我看到了蜂威网有iOS7的固件想下载试用一下,那里是测试版是正版吗idc前线穿越火线河北的服务器好卡 有人知道怎么回事嘛 知道的速回bt封杀为什么现在网上许多BT下载都被封了?商标注册查询官网商标注册查询官方网站?