配置ps8
ps8 0序列号 时间:2021-02-26 阅读:()
配置零的联系配置(ZTD)VPN远程办公室/SpokeContentsIntroductionPrerequisitesRequirementsComponentsUsedConfigureNetworkDiagram网络流基于苏堤的授权部署方案网络流与仅CA的配置与CA和RA的配置配置/模板VerifyTroubleshoot已知警告和问题ZTD通过USB与默认配置文件摘要RelatedInformationIntroduction本文描述零的联系配置(ZTD)选项如何是配置的一个有成本效益的和可扩展的解决方案.
安全和高效的配置和远端办公室路由器提供(有时告诉Spokes)可以是一项困难任务.
远程办公室也许是在它是让的挑战现场工程师配置现场的路由器的位置,并且多数工程师选择不发送预先配置的分支路由器由于费用和可能性安全风险.
PrerequisitesRequirementsCisco建议您了解以下主题:有一个USB端口支持USB闪存驱动器的任何CiscoIOS路由器.
关于详细资料,请参阅USBeToken和USB闪存功能支持.
q此功能被确认在几乎所有Cisco8xx平台运作.
关于详细资料,请参阅默认配置文件白皮书(在Cisco800系列ISR的功能支持).
q有USB端口类似综合服务路由器的其他平台(ISR)系列G2和43xx/44xx.
qComponentsUsed本文档中的信息基于以下软件和硬件版本:简单认证登记协议(SCEP)q零的联系配置通过USBqDMVPN/FlexVPN/Site对站点VPNqTheinformationinthisdocumentwascreatedfromthedevicesinaspecificlabenvironment.
Allofthedevicesusedinthisdocumentstartedwithacleared(default)configuration.
Ifyournetworkislive,makesurethatyouunderstandthepotentialimpactofanycommand.
ConfigureNote:使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息.
NetworkDiagram网络流在中心站点(公司的总部),分支配置的模板被创建.
模板包含签署VPN集线路由器的认证的CertificateAuthority(CA)认证.
1.
配置模板是例示的在名为ciscortr.
cfg的文件的一个USB密钥.
此配置文件包含将配置的路由器的分支特定配置.
Note:除IP地址和CA证书之外,在USB的配置不包含任何敏感信息.
没有分支或CA服务器的专用密钥.
2.
USB闪存驱动器被发送到远程办公室通过邮件或程序包运送公司.
3.
分支路由器也派遣到远程办公室直接地从Cisco制造.
4.
在远程办公室,路由器被连接供给动力并且被缚住对网络按照被包括在USB闪存驱动器中的指令说明.
其次,USB闪存驱动器插入到路由器.
Note:有一点对在此步骤涉及的没有技术技能,因此可能由所有办公室人员容易地执行.
5.
一旦路由器启动,读从usbflash0:/ciscortr.
cfg的配置.
当路由器启动了,简单认证登记协议(SCEP)请求被发送到CA服务器.
6.
在CA服务器手工或自动授予能根据公司安全策略被配置.
当配置为授予手工的认证,必须进行SCEP请求的带外验证(IP地址验证检查、进行配置的证件验证人员的等等).
此步7.
骤也许有所不同基于使用的CA服务器.
一旦SCEP答复由分支路由器收到,当前有一个有效证书,InternetKeyExchange(IKE)会话用VPN集线器验证,并且隧道成功设立.
8.
基于苏堤的授权第7步介入通过SCEP协议被发送的认证署名请求的手工的验证,也许是笨重和难为非技术性的人员实行.
为了强化安全和自动化进程,可以使用安全的唯一设备标识(苏堤)设备证书.
苏堤证书是证书被构件到ISR4K设备.
这些证书由CiscoCA签字.
每个制作的设备发出了与不同的身份验证,并且设备的序列号在认证的普通的名字内包含.
苏堤认证、相关的密匙对和其整个证书链在堵塞器抗性信任锚点芯片存储.
此外,密匙对密码一定对一块特定信任锚点芯片,并且专用密钥从未被导出.
此功能做克隆或伪装实际上不可能的身份信息.
苏堤专用密钥可以用于签署路由器生成的SCEP请求.
CA服务器能验证签名和读设备的苏堤认证的内容.
CA服务器可从苏堤认证提取信息(类似序列号)和执行根据该信息的授权.
RADIUS服务器可以用于回答这样授权请求.
管理员建立辐射路由器和他们相关的序列号列表.
序列号可以读从路由器的事例由非技术性的人员.
这些序列号在RADIUS服务器数据库存储,并且服务器核准根据允许认证自动地授予的该信息的SCEP请求.
注意序列号密码附加到一个特定设备通过Cisco签字的苏堤认证,因此被伪造无法的.
总之,配置CA服务器自动地同意满足这两个标准的请求:用与认证产生关联的专用密钥签字签字由Cisco苏堤CAq由根据序列号信息的RADIUS服务器核准采取从苏堤认证q部署方案在隧道可以被构建前,CA服务器也许显示直接地在互联网,因而允许客户端进行登记.
CA服务器在同一路由器可能甚而被配置作为VPN集线器.
此拓扑的优点是简单.
因为CA服务器为各种各样攻击直接地显示通过互联网,缺点是被减少的安全.
或者,拓扑可以通过配置注册审批机构服务器扩展.
注册审批机构服务器角色是估计和转发有效证书署名请求到CA服务器.
RA服务器不包含CA的专用密钥,并且不能单独生成证书.
在这样配置,CA服务器不需要显示在互联网,强化整体安全.
'网络流1.
分支路由器创建SCEP请求,用其苏堤认证专用密钥签署它并且发送它到CA服务器.
2.
如果请求适当地签字,RADIUS请求生成.
序列号使用作为用户名参数.
3.
RADIUS服务器接受或拒绝请求.
4.
如果请求被接受,CA服务器同意请求.
如果它被拒绝,CA服务器回复以"等待"状态,并且客户端再试请求,在退路计时器到期后.
与仅CA的配置!
CAserverradiusserverRADSRVaddressipv410.
10.
20.
30auth-port1812acct-port1813keycisco123aaagroupserverradiusRADSRVservernameRADSRVaaaauthorizationnetworkSUDIgroupRADSRVcryptopkiserverCA!
willgrantcertificateforrequestssignedbySUDIcertificateautomaticallygrantautotrustpointSUDIissuer-nameCN=ca.
example.
comhashsha256lifetimeca-certificate7200lifetimecertificate3600cryptopkitrustpointCArsakeypairCA2048cryptopkitrustpointSUDI!
NeedtoimporttheSUDICAcertificatemanually,forexamplewith"cryptopkiimport"commandenrollmentterminalrevocation-checknone!
AuthorizewithRadiusserverauthorizationlistSUDI!
SNextractedfromcertwillbeusedasusernameinaccess-requestauthorizationusernamesubjectnameserialnumber!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
CAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quitRADIUSserver:TheRadiusneedstoreturnAccess-AcceptwiththefollowingCiscoAVPairtoenablecertificateenrollment:pki:cert-application=all与CA和RA的配置!
CAservercryptopkiserverCATESTissuer-nameCN=CATEST.
example.
com,OU=TAC,O=Cisco!
willgranttherequestscomingfromRAautomaticallygrantra-autocryptopkitrustpointCATESTrevocation-checkcrlrsakeypairCATEST2048!
RAserverradiusserverRADSRVaddressipv410.
10.
20.
30auth-port1812acct-port1813keycisco123aaagroupserverradiusRADSRVservernameRADSRVaaaauthorizationnetworkSUDIgroupRADSRVcryptopkiserverRAnodatabasearchive!
willforwardcertificaterequestssignedbySUDIcertificateautomaticallygrantautotrustpointSUDImoderacryptopkitrustpointRA!
CAserveraddressenrollmenturlhttp://10.
10.
10.
10serial-numbernoneip-addressnonesubject-nameCN=ra1.
example.
com,OU=ioscsRA,OU=TAC,O=Ciscorevocation-checkcrlrsakeypairRA2048cryptopkitrustpointSUDI!
NeedtoimporttheSUDICAcertificatemanually,forexamplewith"cryptopkiimport"commandenrollmentterminalrevocation-checknone!
AuthorizewithRadiusserverauthorizationlistSUDI!
SNextractedfromcertwillbeusedasusernameinaccess-requestauthorizationusernamesubjectnameserialnumber!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
RAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quit!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
RAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quit配置/模板此输出示例:显示在闪存驱动器放置在usbflash0:/ciscortr.
cfg文件的一种模范FlexVPN远程办公室配置.
hostnameclient1!
interfaceGigabitEthernet0ipaddressdhcp!
cryptopkitrustpointclient1!
CAServer'sURLenrollmenturlhttp://10.
122.
162.
242:80!
Thesefieldsneedstobefilled,toavoidpromptwhiledoingenroll!
ThiswilldifferifyouuseSUDI,pleaseseeaboveserial-numbernoneip-addressnonepasswordsubject-namecn=client1.
cisco.
comou=ciscoou!
cryptopkicertificatechainclient1certificateca01!
CACertificateherequit!
cryptoikev2profiledefaultmatchidentityremoteanyauthenticationremotersa-sigauthenticationlocalrsa-sigpkitrustpointclient1aaaauthorizationgroupcertlistdefaultdefault!
interfaceTunnel1ipunnumberedGigabitEthernet0tunnelsourceGigabitEthernet0tunnelmodeipsecipv4!
DestinationisInternetIPAddressofVPNHubtunneldestination172.
16.
0.
2tunnelprotectionipsecprofiledefault!
eventmanagerappletimport-cert!
Startimportingcertificatesonlyafter60safterbootup!
JusttogiveDHCPtimetobootupeventtimerwatchdogtime60action1.
0clicommand"enable"action2.
0clicommand"configterminal"!
Enrollspoke'scertificateaction3.
0clicommand"cryptopkienrollclient1"!
Afterenrollementrequestissent,removethatEEMscriptaction4.
0clicommand"noeventmanagerappletimport-cert"action5.
0clicommand"exit"eventmanagerappletwrite-memeventsyslogpattern"PKI-6-CERTRET"action1.
0clicommand"enable"action2.
0clicommand"writememory"action3.
0syslogmsg"Automaticallysavedconfiguration"Verify使用本部分可确认配置能否正常运行.
命令输出解释程序工具(仅限注册用户)支持某些show命令.
使用输出解释器工具来查看show命令输出的分析.
如果隧道上升,您在分支能验证:client1#showcryptosessionCryptosessioncurrentstatusInterface:Tunnel1Profile:defaultSessionstatus:UP-ACTIVEPeer:172.
16.
0.
2port500SessionID:1IKEv2SA:local172.
16.
0.
1/500remote172.
16.
0.
2/500ActiveIPSECFLOW:permitip0.
0.
0.
0/0.
0.
0.
00.
0.
0.
0/0.
0.
0.
0ActiveSAs:2,origin:cryptomap如果认证正确地,被登记了您在分支能也验证:client1#showcryptopkicertificatesCertificateStatus:AvailableCertificateSerialNumber(hex):06CertificateUsage:GeneralPurposeIssuer:cn=CASubject:Name:client1hostname=client1cn=client1.
cisco.
comou=ciscoouValidityDate:startdate:01:34:34PSTApr262015enddate:01:34:34PSTApr252016AssociatedTrustpoints:client1Storage:nvram:CA#6.
cerCACertificateStatus:AvailableCertificateSerialNumber(hex):01CertificateUsage:SignatureIssuer:cn=CASubject:cn=CAValidityDate:startdate:01:04:46PSTApr262015enddate:01:04:46PSTApr252018AssociatedTrustpoints:client1Storage:nvram:CA#1CA.
cerTroubleshoot目前没有针对此配置的故障排除信息.
已知警告和问题CiscoBugIDCSCuu93989-设置向导终止在G2平台的PnP流也许造成系统从usbflash不装载配置:/ciscortr.
cfg.
反而系统也许终止在设置向导功能:client1#showcryptopkicertificatesCertificateStatus:AvailableCertificateSerialNumber(hex):06CertificateUsage:GeneralPurposeIssuer:cn=CASubject:Name:client1hostname=client1cn=client1.
cisco.
comou=ciscoouValidityDate:startdate:01:34:34PSTApr262015enddate:01:34:34PSTApr252016AssociatedTrustpoints:client1Storage:nvram:CA#6.
cerCACertificateStatus:AvailableCertificateSerialNumber(hex):01CertificateUsage:SignatureIssuer:cn=CASubject:cn=CAValidityDate:startdate:01:04:46PSTApr262015enddate:01:04:46PSTApr252018AssociatedTrustpoints:client1Storage:nvram:CA#1CA.
cerNote:保证您使用包含此缺陷的一个修正的一个版本.
ZTD通过USB与默认配置文件注意默认配置文件以为特色本文比零的联系配置使用是一个不同的功能通过在Cisco800系列ISR配置概述描述的USB.
--通过USB调零联系配置默认配置文件支持的平台对只有少量8xx路由器限制.
关于详细资料,请参阅Cisco800系列ISR配置概述所有ISRG2、43xx和44xx.
文件名*.
cfgciscortr.
cfg在本地闪存保存配置是,自动地不,嵌入式活动管理器(EEM)要求由于默认配置文件功能支持更多平台,此技术为在此条款上提交的解决方案被选择了.
摘要USB默认配置(与从USB闪存驱动器的文件名ciscortr.
cfg)在远端位置产生网络管理员能力配置远程办公室分支路由器VPN(但是没限制对VPN),不用需要登录到设备.
RelatedInformation简单认证登记协议(SCEP)q零的联系配置通过USBqDMVPN/FlexVPN/Site对站点VPNqTechnicalSupport&Documentation-CiscoSystemsqCisco锚点技术q
安全和高效的配置和远端办公室路由器提供(有时告诉Spokes)可以是一项困难任务.
远程办公室也许是在它是让的挑战现场工程师配置现场的路由器的位置,并且多数工程师选择不发送预先配置的分支路由器由于费用和可能性安全风险.
PrerequisitesRequirementsCisco建议您了解以下主题:有一个USB端口支持USB闪存驱动器的任何CiscoIOS路由器.
关于详细资料,请参阅USBeToken和USB闪存功能支持.
q此功能被确认在几乎所有Cisco8xx平台运作.
关于详细资料,请参阅默认配置文件白皮书(在Cisco800系列ISR的功能支持).
q有USB端口类似综合服务路由器的其他平台(ISR)系列G2和43xx/44xx.
qComponentsUsed本文档中的信息基于以下软件和硬件版本:简单认证登记协议(SCEP)q零的联系配置通过USBqDMVPN/FlexVPN/Site对站点VPNqTheinformationinthisdocumentwascreatedfromthedevicesinaspecificlabenvironment.
Allofthedevicesusedinthisdocumentstartedwithacleared(default)configuration.
Ifyournetworkislive,makesurethatyouunderstandthepotentialimpactofanycommand.
ConfigureNote:使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息.
NetworkDiagram网络流在中心站点(公司的总部),分支配置的模板被创建.
模板包含签署VPN集线路由器的认证的CertificateAuthority(CA)认证.
1.
配置模板是例示的在名为ciscortr.
cfg的文件的一个USB密钥.
此配置文件包含将配置的路由器的分支特定配置.
Note:除IP地址和CA证书之外,在USB的配置不包含任何敏感信息.
没有分支或CA服务器的专用密钥.
2.
USB闪存驱动器被发送到远程办公室通过邮件或程序包运送公司.
3.
分支路由器也派遣到远程办公室直接地从Cisco制造.
4.
在远程办公室,路由器被连接供给动力并且被缚住对网络按照被包括在USB闪存驱动器中的指令说明.
其次,USB闪存驱动器插入到路由器.
Note:有一点对在此步骤涉及的没有技术技能,因此可能由所有办公室人员容易地执行.
5.
一旦路由器启动,读从usbflash0:/ciscortr.
cfg的配置.
当路由器启动了,简单认证登记协议(SCEP)请求被发送到CA服务器.
6.
在CA服务器手工或自动授予能根据公司安全策略被配置.
当配置为授予手工的认证,必须进行SCEP请求的带外验证(IP地址验证检查、进行配置的证件验证人员的等等).
此步7.
骤也许有所不同基于使用的CA服务器.
一旦SCEP答复由分支路由器收到,当前有一个有效证书,InternetKeyExchange(IKE)会话用VPN集线器验证,并且隧道成功设立.
8.
基于苏堤的授权第7步介入通过SCEP协议被发送的认证署名请求的手工的验证,也许是笨重和难为非技术性的人员实行.
为了强化安全和自动化进程,可以使用安全的唯一设备标识(苏堤)设备证书.
苏堤证书是证书被构件到ISR4K设备.
这些证书由CiscoCA签字.
每个制作的设备发出了与不同的身份验证,并且设备的序列号在认证的普通的名字内包含.
苏堤认证、相关的密匙对和其整个证书链在堵塞器抗性信任锚点芯片存储.
此外,密匙对密码一定对一块特定信任锚点芯片,并且专用密钥从未被导出.
此功能做克隆或伪装实际上不可能的身份信息.
苏堤专用密钥可以用于签署路由器生成的SCEP请求.
CA服务器能验证签名和读设备的苏堤认证的内容.
CA服务器可从苏堤认证提取信息(类似序列号)和执行根据该信息的授权.
RADIUS服务器可以用于回答这样授权请求.
管理员建立辐射路由器和他们相关的序列号列表.
序列号可以读从路由器的事例由非技术性的人员.
这些序列号在RADIUS服务器数据库存储,并且服务器核准根据允许认证自动地授予的该信息的SCEP请求.
注意序列号密码附加到一个特定设备通过Cisco签字的苏堤认证,因此被伪造无法的.
总之,配置CA服务器自动地同意满足这两个标准的请求:用与认证产生关联的专用密钥签字签字由Cisco苏堤CAq由根据序列号信息的RADIUS服务器核准采取从苏堤认证q部署方案在隧道可以被构建前,CA服务器也许显示直接地在互联网,因而允许客户端进行登记.
CA服务器在同一路由器可能甚而被配置作为VPN集线器.
此拓扑的优点是简单.
因为CA服务器为各种各样攻击直接地显示通过互联网,缺点是被减少的安全.
或者,拓扑可以通过配置注册审批机构服务器扩展.
注册审批机构服务器角色是估计和转发有效证书署名请求到CA服务器.
RA服务器不包含CA的专用密钥,并且不能单独生成证书.
在这样配置,CA服务器不需要显示在互联网,强化整体安全.
'网络流1.
分支路由器创建SCEP请求,用其苏堤认证专用密钥签署它并且发送它到CA服务器.
2.
如果请求适当地签字,RADIUS请求生成.
序列号使用作为用户名参数.
3.
RADIUS服务器接受或拒绝请求.
4.
如果请求被接受,CA服务器同意请求.
如果它被拒绝,CA服务器回复以"等待"状态,并且客户端再试请求,在退路计时器到期后.
与仅CA的配置!
CAserverradiusserverRADSRVaddressipv410.
10.
20.
30auth-port1812acct-port1813keycisco123aaagroupserverradiusRADSRVservernameRADSRVaaaauthorizationnetworkSUDIgroupRADSRVcryptopkiserverCA!
willgrantcertificateforrequestssignedbySUDIcertificateautomaticallygrantautotrustpointSUDIissuer-nameCN=ca.
example.
comhashsha256lifetimeca-certificate7200lifetimecertificate3600cryptopkitrustpointCArsakeypairCA2048cryptopkitrustpointSUDI!
NeedtoimporttheSUDICAcertificatemanually,forexamplewith"cryptopkiimport"commandenrollmentterminalrevocation-checknone!
AuthorizewithRadiusserverauthorizationlistSUDI!
SNextractedfromcertwillbeusedasusernameinaccess-requestauthorizationusernamesubjectnameserialnumber!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
CAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quitRADIUSserver:TheRadiusneedstoreturnAccess-AcceptwiththefollowingCiscoAVPairtoenablecertificateenrollment:pki:cert-application=all与CA和RA的配置!
CAservercryptopkiserverCATESTissuer-nameCN=CATEST.
example.
com,OU=TAC,O=Cisco!
willgranttherequestscomingfromRAautomaticallygrantra-autocryptopkitrustpointCATESTrevocation-checkcrlrsakeypairCATEST2048!
RAserverradiusserverRADSRVaddressipv410.
10.
20.
30auth-port1812acct-port1813keycisco123aaagroupserverradiusRADSRVservernameRADSRVaaaauthorizationnetworkSUDIgroupRADSRVcryptopkiserverRAnodatabasearchive!
willforwardcertificaterequestssignedbySUDIcertificateautomaticallygrantautotrustpointSUDImoderacryptopkitrustpointRA!
CAserveraddressenrollmenturlhttp://10.
10.
10.
10serial-numbernoneip-addressnonesubject-nameCN=ra1.
example.
com,OU=ioscsRA,OU=TAC,O=Ciscorevocation-checkcrlrsakeypairRA2048cryptopkitrustpointSUDI!
NeedtoimporttheSUDICAcertificatemanually,forexamplewith"cryptopkiimport"commandenrollmentterminalrevocation-checknone!
AuthorizewithRadiusserverauthorizationlistSUDI!
SNextractedfromcertwillbeusedasusernameinaccess-requestauthorizationusernamesubjectnameserialnumber!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
RAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quit!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
RAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quit配置/模板此输出示例:显示在闪存驱动器放置在usbflash0:/ciscortr.
cfg文件的一种模范FlexVPN远程办公室配置.
hostnameclient1!
interfaceGigabitEthernet0ipaddressdhcp!
cryptopkitrustpointclient1!
CAServer'sURLenrollmenturlhttp://10.
122.
162.
242:80!
Thesefieldsneedstobefilled,toavoidpromptwhiledoingenroll!
ThiswilldifferifyouuseSUDI,pleaseseeaboveserial-numbernoneip-addressnonepasswordsubject-namecn=client1.
cisco.
comou=ciscoou!
cryptopkicertificatechainclient1certificateca01!
CACertificateherequit!
cryptoikev2profiledefaultmatchidentityremoteanyauthenticationremotersa-sigauthenticationlocalrsa-sigpkitrustpointclient1aaaauthorizationgroupcertlistdefaultdefault!
interfaceTunnel1ipunnumberedGigabitEthernet0tunnelsourceGigabitEthernet0tunnelmodeipsecipv4!
DestinationisInternetIPAddressofVPNHubtunneldestination172.
16.
0.
2tunnelprotectionipsecprofiledefault!
eventmanagerappletimport-cert!
Startimportingcertificatesonlyafter60safterbootup!
JusttogiveDHCPtimetobootupeventtimerwatchdogtime60action1.
0clicommand"enable"action2.
0clicommand"configterminal"!
Enrollspoke'scertificateaction3.
0clicommand"cryptopkienrollclient1"!
Afterenrollementrequestissent,removethatEEMscriptaction4.
0clicommand"noeventmanagerappletimport-cert"action5.
0clicommand"exit"eventmanagerappletwrite-memeventsyslogpattern"PKI-6-CERTRET"action1.
0clicommand"enable"action2.
0clicommand"writememory"action3.
0syslogmsg"Automaticallysavedconfiguration"Verify使用本部分可确认配置能否正常运行.
命令输出解释程序工具(仅限注册用户)支持某些show命令.
使用输出解释器工具来查看show命令输出的分析.
如果隧道上升,您在分支能验证:client1#showcryptosessionCryptosessioncurrentstatusInterface:Tunnel1Profile:defaultSessionstatus:UP-ACTIVEPeer:172.
16.
0.
2port500SessionID:1IKEv2SA:local172.
16.
0.
1/500remote172.
16.
0.
2/500ActiveIPSECFLOW:permitip0.
0.
0.
0/0.
0.
0.
00.
0.
0.
0/0.
0.
0.
0ActiveSAs:2,origin:cryptomap如果认证正确地,被登记了您在分支能也验证:client1#showcryptopkicertificatesCertificateStatus:AvailableCertificateSerialNumber(hex):06CertificateUsage:GeneralPurposeIssuer:cn=CASubject:Name:client1hostname=client1cn=client1.
cisco.
comou=ciscoouValidityDate:startdate:01:34:34PSTApr262015enddate:01:34:34PSTApr252016AssociatedTrustpoints:client1Storage:nvram:CA#6.
cerCACertificateStatus:AvailableCertificateSerialNumber(hex):01CertificateUsage:SignatureIssuer:cn=CASubject:cn=CAValidityDate:startdate:01:04:46PSTApr262015enddate:01:04:46PSTApr252018AssociatedTrustpoints:client1Storage:nvram:CA#1CA.
cerTroubleshoot目前没有针对此配置的故障排除信息.
已知警告和问题CiscoBugIDCSCuu93989-设置向导终止在G2平台的PnP流也许造成系统从usbflash不装载配置:/ciscortr.
cfg.
反而系统也许终止在设置向导功能:client1#showcryptopkicertificatesCertificateStatus:AvailableCertificateSerialNumber(hex):06CertificateUsage:GeneralPurposeIssuer:cn=CASubject:Name:client1hostname=client1cn=client1.
cisco.
comou=ciscoouValidityDate:startdate:01:34:34PSTApr262015enddate:01:34:34PSTApr252016AssociatedTrustpoints:client1Storage:nvram:CA#6.
cerCACertificateStatus:AvailableCertificateSerialNumber(hex):01CertificateUsage:SignatureIssuer:cn=CASubject:cn=CAValidityDate:startdate:01:04:46PSTApr262015enddate:01:04:46PSTApr252018AssociatedTrustpoints:client1Storage:nvram:CA#1CA.
cerNote:保证您使用包含此缺陷的一个修正的一个版本.
ZTD通过USB与默认配置文件注意默认配置文件以为特色本文比零的联系配置使用是一个不同的功能通过在Cisco800系列ISR配置概述描述的USB.
--通过USB调零联系配置默认配置文件支持的平台对只有少量8xx路由器限制.
关于详细资料,请参阅Cisco800系列ISR配置概述所有ISRG2、43xx和44xx.
文件名*.
cfgciscortr.
cfg在本地闪存保存配置是,自动地不,嵌入式活动管理器(EEM)要求由于默认配置文件功能支持更多平台,此技术为在此条款上提交的解决方案被选择了.
摘要USB默认配置(与从USB闪存驱动器的文件名ciscortr.
cfg)在远端位置产生网络管理员能力配置远程办公室分支路由器VPN(但是没限制对VPN),不用需要登录到设备.
RelatedInformation简单认证登记协议(SCEP)q零的联系配置通过USBqDMVPN/FlexVPN/Site对站点VPNqTechnicalSupport&Documentation-CiscoSystemsqCisco锚点技术q
ProfitServer$34.56/年,5折限时促销/可选西班牙vps、荷兰vps、德国vps/不限制流量/支持自定义ISO
ProfitServer怎么样?ProfitServer好不好。ProfitServer是一家成立于2003的主机商家,是ITC控股的一个部门,主要经营的产品域名、SSL证书、虚拟主机、VPS和独立服务器,机房有俄罗斯、新加坡、荷兰、美国、保加利亚,VPS采用的是KVM虚拟架构,硬盘采用纯SSD,而且最大的优势是不限制流量,大公司运营,机器比较稳定,数据中心众多。此次ProfitServer正在对...
随风云25元/月 ,德阳高防云服务器 2核2G 10M 75元/月 内蒙古三线BGP服务器 2核2G 5M
公司介绍成都随风云科技有限公司成立于2021年,是国内领先的互联网业务平台服务提供商。公司专注为用户提供低价高性能云计算产品,致力于云计算应用的易用性开发,并引导云计算在国内普及。目前公司研发以及运营云服务基础设施服务平台(IaaS),面向全球客户提供基于云计算的IT解决方案与客户服务,拥有丰富的国内BGP、双线高防、香港等优质的IDC资源。公司一直秉承”以人为本、客户为尊、永续创新&...
UCloud 618活动:香港云服务器月付13元起;最高可购3年,AMD/Intel系列
ucloud6.18推出全球大促活动,针对新老用户(个人/企业)提供云服务器促销产品,其中最低配快杰云服务器月付5元起,中国香港快杰型云服务器月付13元起,最高可购3年,有AMD/Intel系列。当然这都是针对新用户的优惠。注意,UCloud全球有31个数据中心,29条专线,覆盖五大洲,基本上你想要的都能找到。注意:以上ucloud 618优惠都是新用户专享,老用户就随便看看!点击进入:uclou...
ps8 0序列号为你推荐
-
伪装微信地理位置伪装微信地理位置 朋友圈显示地理位置怎么改暴风影音怎么截图暴风影音怎么截屏啊?51自学网站有哪些免费自学网真正免费的网络电话有真正的免费的网络电话吗 ?显卡温度多少正常显卡温度多少算正常?今日热点怎么删除今日热点自动弹出怎么卸载或屏蔽淘宝店推广如何推广淘宝店网络广告投放怎样在网络上进行广告的投放?小米手柄手机用小米手柄能玩什么游戏三星s8什么时候上市大约什么时候买S8合适