4 Cấu hình sự mã hoá và IPSec
4.2 Cấu hình cổng vào cho sự thao tác giữa chứng chỉ số
Để cấu hình cổng vào IOS của bạn sử dụng chứng chỉ số như là phương pháp xác thực, sử dụng những bước theo sau, bắt đầu trong chế độ cấu hình toàn cục. Sự cấu hình này thừa nhận sử dụng IOS chính sách mặc định ISAKMP, mà được sử dụng giải thuật DES, SHA, RSA, Diffie-Hellman nhóm 1, và một khoảng thời gian tồn tại là 86,400s. Cisco sử dụng thuật toán mã hoá 3DES.
Lệnh Mục đích
Bước 1 Hq-sanjose(config)# cryto ca identity name
Khai báo một CA. Tên phải đặt là tên miền của CA. Lệnh này đặt bạn vào trong chế độ cấu hình nhận dạng CA
Bước 2 Hq-sanjose(config)# enrollment url url
Chỉ rõ URL của CA.
Bước 3 Hq-sanjose(config)# enrollment mode ra
(Để chọn) chỉ rõ kiểu RA nếu hệ thống CA cung cấp một uỷ quyền đăng ký (RA). Phần mềm Cisco IOS tự động xác định kiểu RA hoặc non-RA; bởi vậy, nếu kiểu RA được sử dụng, lệnh này được viết tới NVRAM trong thời gian “viết lên bộ nhơ”
Bước 4 Hq-sanjose(config)# query url url Chỉ rõ vị trí của dịch vụ LDAP nếu hệ thống CA của bạn cung cấp một RA và hỗ trợ giao thức LDAP.
Bước 5 Hq-sanjose(config)# enrollment retry period minutes
Chỉ rõ những Certificates khác tương đương có thể vẫn được chấp nhận bởi router thậm chí nếu CRT thích hợp thì không có thể tới được router của bạn. Bước 6 Hq-sanjose(config)# enrollment
retry cout number
chỉ rõ mức độ thời gian bao lâu router sẽ tiếp tục gửi Certificate không thành công đòi hỏi trước
khi từ bỏ.Theo mặc định, router sẽ không bao giờ từ bỏ thử. Bước 7 Hq-sanjose(config)# crt optional Chỉ rõ rằng những Certificate
tương đương khác có thể vẫn được chấp nhận bởi router của bạn thậm chí nếu CRL thích hợp thì không có thể tới được router của bạn
Bước 8 Hq-sanjose(config)# exit Thoát khỏi chế độ cấu hình nhận dạng CA