目录
功能介绍
“.pfx”为微软CA证书服务器证书导出的默认格式,我司路由器支持将“.pfx”格式的证书通过TFTP、FLASH直接导入,或转换为".pem格式"后导入。可通过“pfx2pem.exe”工具将“.pfx”格式的证书转换为".pem"格式。pfx到pem的转换软件,参见附件。
一、组网需求
将“.pem”格式的证书文件转换为PEM格式后导入路由器。
二、组网拓扑
三、配置要点
1、确认路由器的系统时间是否正确
2、将“.pfx”格式证书转换为“.pem”格式
3、将“.pem”格式证书导入路由器
4、配置忽略证书有效性和时间检查(可选)
四、配置步骤
1、确认路由器的系统时间是否正确
Ruijie#show clock
05:01:40 UTC Thu, Mar 6, 2003
注意:证书涉及到吊销列表,证书的有效期等属性,和时间关联,做证书之前,需要保证时间同步。
条件允许的情况下,建议设置NTP。
2、将“.pfx”格式证书转换为“.pem”格式
(1)打开“pfx2pem”工具。这里的源文件口令是从IE导出证书时输入的口令;目的文件口令是您当前需要定义的口令,该口令在将证书导入到设备时必须输入。
(2)点击转换按钮,弹出下图:
3、将“.pem”格式证书导入路由器
(配置方式参见 典型场景说明--->常见功能配置--->安全--->IPSEC--->CA数字证书--->离线导入PEM格式的数字证书)
4、配置忽略证书有效性和时间检查(可选)
crypto pki trustpoint ruijie//进入证书的相应trustpoint
time-check none//关闭证书的时间检查
revocation-check none //不检查证书是否被吊销
注意:
1、RSR10-02设备没有时钟芯片,断电后时间会初始化为1970-01-01导致基于数字证书的IPSEC VPN协商失败,必须配置NTP时间同步或在证书crypto pki trustpoint XX模式下配置timeout-check none来关闭时间检查。
2、所有非在线申请数字证书的3G客户端,需要在crypto pki trustpoint XX模式下配置revocation-check来关闭设备的CRL检查,除非设备能解析CA服务的域名地址。
五、配置验证
通过show crypto pki certificates ruijie可以查看名称为“ruijie”的证书信息:
Ruijie#show crypto pki certificates ruijie
% CA certificate info://CA根证书信息
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
65:c7:3a:80:2a:e8:cc:85:4f:fb:ae:69:48:33:68:5c
Issuer: DC=com, DC=rsc, CN=RSC CA
Validity
Not Before: Dec 29 05:30:00 2010 GMT
Not After : Dec 29 05:39:30 2020 GMT//证书的有效期,如果设备时间不在证书有效期内则证书无法使用
Subject: DC=com, DC=rsc, CN=RSC CA
Associated Trustpoints: ruijie
% Router certificate info://路由器证书信息
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
61:0e:8b:73:00:00:00:00:00:19
Issuer: DC=com, DC=rsc, CN=RSC CA
Validity
Not Before: May 15 07:55:30 2011 GMT
Not After : May 15 08:05:30 2012 GMT
Subject: C=CN, ST=fujian, L=fuzhou, O=ruijie, OU=tac, CN=test/[email protected]
Associated Trustpoints: ruijie