目次
特徴
ルーターはオフラインアプリケーションを通じてデジタル証明書を取得するため、ルーターは CA サーバーと通信する必要がありません。
歩数の取得
1) ルーターはルート証明書を登録することで CERTIFICATE REQUEST リクエスト コードを生成します (ステップ 4)。
2) REQUEST リクエスト コードをクライアントに返します。クライアントはリクエスト コードを通じてルーター証明書を生成します。
3) ルーター証明書を取得後、お客様からご提供いただいたCAルート証明書を追加し、証明書のインポート作業を完了します。
1. ネットワーク要件
ルーターはオフライン アプリケーションを通じてデジタル証明書を取得します。
2. ネットワークトポロジ
なし
3. 構成のポイント
1.ルーターのシステム時間が正しいかどうかを確認します
2. トラストポイントを設定して認証局を定義する
3. ルート証明書を登録し、Request リクエストコードを生成して顧客に提出し、顧客はルーター証明書を提供します。
4. お客様が提供したルーター証明書と CA 証明書をルーターにインポートします (当社が情報を提供する必要はありません。お客様はいつでもエクスポートできます)。
5. 証明書の有効性と時間のチェックを無視するように構成します (オプション)
4. 設定手順
1.ルーターのシステム時間が正しいかどうかを確認します
Ruijie#時計を表示2003 年 3 月 6 日木曜日 05:01:40 UTC注: 証明書には、失効リストや証明書の有効期間など、時間に関連付けられた属性が含まれるため、証明書を作成する前に、時間が同期されていることを確認する必要があります。条件が許せば、NTP を設定することをお勧めします。
2. トラストポイントを設定して認証局を定義する
Internet(config)# crypto pki trustpoint ruijie //名前は ruijie ですInternet(ca-trustpoint)#revocation-check none //失効リストをチェックしませんInternet(ca-trustpoint)# オフライン登録 // オフラインで証明書を申請する方法を定義しますに組み込まれる識別名 (DN) 情報の入力を求められます。証明書リクエスト。かなりの数のフィールドがありますが、一部を空白のままにしても構いません //オフライン証明書の DN 情報を設定します共通名 (例: あなたの名前) []:tac //あなたの姓名組織単位名 (セクションなど) []:tac //組織単位名組織名 (例:会社) []:ruijie //あなたの会社地域名 (例: 都市) []福州 //あなたの都市州または省名 (フルネーム) []: 福建省 //あなたの省国名 (2 文字コード) [CN]:CN //あなたの国コード件名: cn=tac、ou=tac、o=ruijie、l=福州、st=福建、c=CN正しいですか[はい/いいえ]:はい //DN 情報上記の[]オプションは任意に設定できます。インターネット(ca-トラストポイント)#
3. ルート証明書を登録し、Request リクエストコードを生成して顧客に提出し、顧客はルーター証明書を提供します。
インターネット(構成) #crypto pki 登録 ruijie汎用キーのキー係数のサイズを 384 ~ 2048 の範囲で選択します。512 より大きいキー係数を選択するには、数分かかる場合があります。モジュラスのビット数[1024]: //ここで Enter キーを押すことができます%証明書のサブジェクト名には、cn=tac,ou=tac,o=1,l=1,st=1,c=3 が含まれます。-----証明書リクエストの開始-----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-----証明書リクエストの終了-----% PEM 形式の CA 証明書を入力します。% 空白行で終了するか、行だけで「終了」します。//ここで Enter を押してください。このステップは、上の赤い部分のリクエストのリクエスト コードを取得するだけです。Enter キーを押すと、証明書のインポートが失敗したことを示すメッセージが表示されます。それは問題ではありません。CA 証明書のデコードに失敗しました。CA 証明書のインポートに失敗しました。オフラインでの登録に失敗しました。
4. お客様が提供したルーター証明書と CA 証明書をルーターにインポートします (当社が情報を提供する必要はありません。お客様はいつでもエクスポートできます)。
インターネット(構成))# crypto pki enroll ruijieルータには既に RSA キー ペアがあり、%% 新しい秘密キーを生成しますか?[はい/いいえ]:いいえ%証明書のサブジェクト名には、cn=tac,ou=tac,o=1,l=1,st=1,c=3 が含まれます。-----証明書リクエストの開始-----MIIBfzCB6QIBADBAMQwwCgYDVQQDEwN0YWMxDDAKBgNVBAsTA3RhYzEKMAGGA1UEChMBMTEKMAGGA1UEBxMBMTEKMAGGA1UECBMBMTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgyEAwyaNhZM2Jpu9f1Yl+6gLujobTHHS0Ut+dfVunk1ZKy8iPrKlnjEsRU67g/dsj8bqvUGxw0Zv/aer4TwJTxS57SWBblaMiKBW87yHptBT6GbSG7N05kJ5trb20NHERO3SLmQ9bKCuho5ah1Q55kUWFi8+rvn2H+xLf5inZIMHxv8CAwEAaAAAMA0GCSqGSIb3DQEBBAUAA4GBAAsuOQKkav++74tzGtOjLSP6KZXTtMNVz0v6WPFxt4zZMp9JYkV24rmCDkGwEityV+byP0q8TYW8x0a3LfJWrjpmfoHu5u0WAebs9qTtOY4LTlnk3V/dQBUKJt5lnOeozTIzbbEl7UAV1hXc3eD5a0clcS7PB5NNqm/dQnMJr55w-----証明書リクエストの終了-----% PEM 形式の CA 証明書を入力します。% 空白行で終了するか、単独の行で "quit" を指定します。 // 顧客が提供した CA ルート証明書を貼り付けます-----証明書を開始-----MIIDTzCCAjegAwIBAgIQN55wTyRR+5FLPBhQ7hYWDDANBgkqhkiG9w0BAQUFADA6MRMwEQYKCZImiZPyLGQBGRYDY29tMRQwEgYKCZImiZPyLGQBGRYEY25jYzENMAsGA1UEAxMEQ05DQzAeFw0xNTA0MjAwMTUxMTFaFw0yNTA0MjAwMjaAxMTBaMDoxEzARBgoJkiaJk/IsZAEZFgNjb20xFDASBgoJkiaJk/IsZAEZFgRjbmNjMQ0wCwYDVQQDEwRDTkNDMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAxCjE7U9YVzco3Gm3nj1NiyqCFiUcj9eYMTV+Ma5SgcRbkZkQxBl1/OfnnJwrB3tolieWXjFOdVNch4Z0fSMzgFqjv0q4VXa9H7R+LoRKUYB07beQ33YdVu1AobpgpLFadzkg5gRYcvm/xa0Z7LIVAZ3yR6zY4HwaevCUrdxn5PeUg77fVg2COWh1Esqw4sBxXhrCfFCWGmhYb8n1q4WiHqjk/UB4C0o6bOrvJ93q/5RQqsj95xtLb1AXmbUT8DV8Roa9mm5YJT/bBgvNNQijApuoRXK5pLIimU1Ie89vK7LlaetuePNsXr+mW7Ya9EsVRcbYJKKQ47vGr9jIwrSe5QIDAQABo1EwTzALBgNVHQ8EBAMCAYYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQU/svlla2w9YaRIxYCw+JTCMRKuhEwEAYJKwYBBAGCNxUBBAMCAQAwDQYJKoZIhvcNAQEFBQADggEBAHhFt+r4gTjZ7L1dxqDwnBOaGAESM/LoimjhNVG7lgIbPHO7cMDbFj56yingkKSI/si8Y6TBwmPo9IhTHvNUh66pxEhxzs/8kPOJilFqqxZLmmYInT1TJQoDWBr7gmsec3lmKL+2s8AgGnHa+PYWrodT+ZWCHLe7gZDjyjYRLHSqmSJHp5QvRUg2DziXhqmoGrIxbXpOSynJSdXTTXHByj17dv6LRY09/6rxx/UyiPEO3q5PrQ3xPluBfNnaTGpEVAK+i64TDVNPuM9y2ULRWRP/mWACw7y8uSv0fpr7QHkNaxXcbzuUvWmWEGkuKDBf45Qg5a3Gvr+Ua++O935lDzOU=-----証明書終了-----終了 //終了と入力してください証明書には次の属性があります。MD5 フィンガープリント: 90AD60A5 DFEA40D0 1F97E9BD 6CA8589FSHA1 フィンガープリント: 6848FBC4 CF53FA89 BE239913 5F705F2E 239A3850%% この証明書を受け入れますか?[はい/いいえ]:y% CA 証明書が正常に読み取られました%% すべての CA 証明書がインポートされました?[はい/いいえ]: y% PEM 形式の証明書を入力します。 // 顧客が提供したルーター証明書の貼り付けを開始するよう求めるプロンプトが表示されます% 空白行で終了するか、行だけで「終了」します。- ----証明書を開始-----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アシップマWxlOi8vV0lOLUFRSzFDN0czMTlWL0NlcnRFbnJvbGwvQ05DQy5jcmwwVgYIKwYBBQUHAQEESjBIMEYGCCsGAQUFBzAChjpmaWxlOi8vV0lOLUFRSzFDN0czMTlWL0NlcnRFbnJvbGwvV0lOLUFRSzFDN0czMTlWX0NOQ0MuY3J0MCEGCSsGAQQBgjcUAgQUhiaVwBlagiauwBLAHIAdgBLAHIwDQYJKoZIhvcNAQEFBQADggEBABLTyq2tAkpJMsgJFrfkh2QBgA6DCsFN5kDk4Fps15TrGfQSZf+xgKSBRNNrSQP0Y/X/Gke8rEugv55QC/LsuWrKQHKadfptU4J4tvsc2WhIgLPzdvUKZqqeB4ySbAjJTQ2FSXvgDvyDdlQr68URrT7ji5ghm+596Dz+xLtIfX7b55gXSfZLHDhI1ISojOtgL4D2JWFUkv1CKvHJN1YAj8UfzmKnQQDcNS1eFRQ1GddwfuD6pJ0KdSEPYG4iBCFAmqc/6YByFOVgx+Jls2Jrrt9/MpQ3VKhBgOnCjgBiaIDagZGR3AVZBZ9fXvfiCcy6DOm87k1ZvvV56fbspEjQgHM=-----証明書終了-----quit //終了するには「quit」と入力します。ルーター証明書が正常にインポートされた%
5. 証明書の有効性と時間のチェックを無視するように構成します (オプション)
crypto pki trustpoint ruijie //証明書の対応するトラストポイントを入力しますtime-check none //証明書の時刻チェックをオフにするrevocation-check none //証明書が失効しているかどうかをチェックしません知らせ:1. RSR10-02 デバイスにはクロック チップがありません。停電後、時刻は 1970-01-01 に初期化され、デジタル証明書に基づく IPSEC VPN ネゴシエーションが失敗します。NTP 時刻同期を設定するかタイムアウトする必要があります。 -check は証明書暗号 pki トラストポイント XX モードで設定する必要があります。時間チェックをオフにするには none を指定します。2. デジタル証明書をオンラインで申請しないすべての 3G クライアントは、デバイスが CA サービスのドメイン名アドレスを解決できない場合を除き、crypto pki trustpoint XX モードで失効チェックを設定してデバイスの CRL チェックをオフにする必要があります。
5. 構成の検証
show crypto pkicertificates ruijie を実行すると、「ruijie」という名前の証明書情報を表示できます。
Ruijie#
暗号 pki 証明書を表示する ruijie
% CA 証明書情報:
//CA ルート証明書情報
証明書:
データ:
バージョン: 3 (0x2)
シリアルナンバー:
65:c7:3a:80:2a:e8:cc:85:4f:fb:ae:69:48:33:68:5c
発行者: DC=com、DC=rsc、CN=RSC CA
有効
以前: 2010 年 12 月 29 日 05:30:00 GMT
Not After : Dec 29 05:39:30 GMT
//証明書の有効期間 デバイスの時刻が証明書の有効期間外の場合、証明書は使用できません。
件名: DC=com、DC=rsc、CN=RSC CA
関連するトラストポイント: ruijie
% ルーター証明書情報:
//ルーター証明書情報
証明書:
データ:
バージョン: 3 (0x2)
シリアルナンバー:
61:0e:8b:73:00:00:00:00:00:19
発行者: DC=com、DC=rsc、CN=RSC CA
有効
以前: 2011 年 5 月 15 日 07:55:30 GMT
それ以降: 2012 年 5 月 15 日 08:05:30 GMT
件名: C=CN、ST=福建省、L=福州、O=ruijie、OU=tac、CN=test/[email protected]
関連するトラストポイント: ruijie
"付録"
1. CA からルート証明書をエクスポートする手順
.cer ファイルはワードパッドで開いて表示できます。
2. お客様がルーター証明書をリクエストして取得する方法
(1) CA 証明書サーバーのhttp://202.100.1.11/certsrv/を開き、「証明書の申請」をクリックします。
(3) 以下のページが表示されるので、「高度な証明書申請」をクリックします。
(4) 以下のページが表示されるので、「base64 でエンコードされた CMC または PKCS #10 ファイルを使用して証明書申請を送信するか、base64 でエンコードされた PKCS #7 ファイルを使用して証明書申請を更新します」をクリックします。
(5) 以下のページが表示されるので、「Saved Application:」にルーターから取得したリクエスト文字列の内容を入力し、「Submit」をクリックします。
注: 証明書を申請する場合は、「-----BEGIN CERTIFICATE REQUEST----- ~ -----END CERTIFICATE REQUEST-」の内容をすべてコピーする必要があります。
(6) CAで証明書を発行する
(7) 発行された証明書を確認する
(8) 以下のページが表示されるので、「BASE 64 エンコード」をクリックし、証明書をダウンロードします。
6. 証明書をインポートします
(1) ダウンロード後の証明書の名前はデフォルトで certnew.cer になっているので、ワードパッドで開きます。