配置ps8
ps8 0序列号 时间:2021-02-26 阅读:()
配置零的联系配置(ZTD)VPN远程办公室/SpokeContentsIntroductionPrerequisitesRequirementsComponentsUsedConfigureNetworkDiagram网络流基于苏堤的授权部署方案网络流与仅CA的配置与CA和RA的配置配置/模板VerifyTroubleshoot已知警告和问题ZTD通过USB与默认配置文件摘要RelatedInformationIntroduction本文描述零的联系配置(ZTD)选项如何是配置的一个有成本效益的和可扩展的解决方案.
安全和高效的配置和远端办公室路由器提供(有时告诉Spokes)可以是一项困难任务.
远程办公室也许是在它是让的挑战现场工程师配置现场的路由器的位置,并且多数工程师选择不发送预先配置的分支路由器由于费用和可能性安全风险.
PrerequisitesRequirementsCisco建议您了解以下主题:有一个USB端口支持USB闪存驱动器的任何CiscoIOS路由器.
关于详细资料,请参阅USBeToken和USB闪存功能支持.
q此功能被确认在几乎所有Cisco8xx平台运作.
关于详细资料,请参阅默认配置文件白皮书(在Cisco800系列ISR的功能支持).
q有USB端口类似综合服务路由器的其他平台(ISR)系列G2和43xx/44xx.
qComponentsUsed本文档中的信息基于以下软件和硬件版本:简单认证登记协议(SCEP)q零的联系配置通过USBqDMVPN/FlexVPN/Site对站点VPNqTheinformationinthisdocumentwascreatedfromthedevicesinaspecificlabenvironment.
Allofthedevicesusedinthisdocumentstartedwithacleared(default)configuration.
Ifyournetworkislive,makesurethatyouunderstandthepotentialimpactofanycommand.
ConfigureNote:使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息.
NetworkDiagram网络流在中心站点(公司的总部),分支配置的模板被创建.
模板包含签署VPN集线路由器的认证的CertificateAuthority(CA)认证.
1.
配置模板是例示的在名为ciscortr.
cfg的文件的一个USB密钥.
此配置文件包含将配置的路由器的分支特定配置.
Note:除IP地址和CA证书之外,在USB的配置不包含任何敏感信息.
没有分支或CA服务器的专用密钥.
2.
USB闪存驱动器被发送到远程办公室通过邮件或程序包运送公司.
3.
分支路由器也派遣到远程办公室直接地从Cisco制造.
4.
在远程办公室,路由器被连接供给动力并且被缚住对网络按照被包括在USB闪存驱动器中的指令说明.
其次,USB闪存驱动器插入到路由器.
Note:有一点对在此步骤涉及的没有技术技能,因此可能由所有办公室人员容易地执行.
5.
一旦路由器启动,读从usbflash0:/ciscortr.
cfg的配置.
当路由器启动了,简单认证登记协议(SCEP)请求被发送到CA服务器.
6.
在CA服务器手工或自动授予能根据公司安全策略被配置.
当配置为授予手工的认证,必须进行SCEP请求的带外验证(IP地址验证检查、进行配置的证件验证人员的等等).
此步7.
骤也许有所不同基于使用的CA服务器.
一旦SCEP答复由分支路由器收到,当前有一个有效证书,InternetKeyExchange(IKE)会话用VPN集线器验证,并且隧道成功设立.
8.
基于苏堤的授权第7步介入通过SCEP协议被发送的认证署名请求的手工的验证,也许是笨重和难为非技术性的人员实行.
为了强化安全和自动化进程,可以使用安全的唯一设备标识(苏堤)设备证书.
苏堤证书是证书被构件到ISR4K设备.
这些证书由CiscoCA签字.
每个制作的设备发出了与不同的身份验证,并且设备的序列号在认证的普通的名字内包含.
苏堤认证、相关的密匙对和其整个证书链在堵塞器抗性信任锚点芯片存储.
此外,密匙对密码一定对一块特定信任锚点芯片,并且专用密钥从未被导出.
此功能做克隆或伪装实际上不可能的身份信息.
苏堤专用密钥可以用于签署路由器生成的SCEP请求.
CA服务器能验证签名和读设备的苏堤认证的内容.
CA服务器可从苏堤认证提取信息(类似序列号)和执行根据该信息的授权.
RADIUS服务器可以用于回答这样授权请求.
管理员建立辐射路由器和他们相关的序列号列表.
序列号可以读从路由器的事例由非技术性的人员.
这些序列号在RADIUS服务器数据库存储,并且服务器核准根据允许认证自动地授予的该信息的SCEP请求.
注意序列号密码附加到一个特定设备通过Cisco签字的苏堤认证,因此被伪造无法的.
总之,配置CA服务器自动地同意满足这两个标准的请求:用与认证产生关联的专用密钥签字签字由Cisco苏堤CAq由根据序列号信息的RADIUS服务器核准采取从苏堤认证q部署方案在隧道可以被构建前,CA服务器也许显示直接地在互联网,因而允许客户端进行登记.
CA服务器在同一路由器可能甚而被配置作为VPN集线器.
此拓扑的优点是简单.
因为CA服务器为各种各样攻击直接地显示通过互联网,缺点是被减少的安全.
或者,拓扑可以通过配置注册审批机构服务器扩展.
注册审批机构服务器角色是估计和转发有效证书署名请求到CA服务器.
RA服务器不包含CA的专用密钥,并且不能单独生成证书.
在这样配置,CA服务器不需要显示在互联网,强化整体安全.
'网络流1.
分支路由器创建SCEP请求,用其苏堤认证专用密钥签署它并且发送它到CA服务器.
2.
如果请求适当地签字,RADIUS请求生成.
序列号使用作为用户名参数.
3.
RADIUS服务器接受或拒绝请求.
4.
如果请求被接受,CA服务器同意请求.
如果它被拒绝,CA服务器回复以"等待"状态,并且客户端再试请求,在退路计时器到期后.
与仅CA的配置!
CAserverradiusserverRADSRVaddressipv410.
10.
20.
30auth-port1812acct-port1813keycisco123aaagroupserverradiusRADSRVservernameRADSRVaaaauthorizationnetworkSUDIgroupRADSRVcryptopkiserverCA!
willgrantcertificateforrequestssignedbySUDIcertificateautomaticallygrantautotrustpointSUDIissuer-nameCN=ca.
example.
comhashsha256lifetimeca-certificate7200lifetimecertificate3600cryptopkitrustpointCArsakeypairCA2048cryptopkitrustpointSUDI!
NeedtoimporttheSUDICAcertificatemanually,forexamplewith"cryptopkiimport"commandenrollmentterminalrevocation-checknone!
AuthorizewithRadiusserverauthorizationlistSUDI!
SNextractedfromcertwillbeusedasusernameinaccess-requestauthorizationusernamesubjectnameserialnumber!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
CAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quitRADIUSserver:TheRadiusneedstoreturnAccess-AcceptwiththefollowingCiscoAVPairtoenablecertificateenrollment:pki:cert-application=all与CA和RA的配置!
CAservercryptopkiserverCATESTissuer-nameCN=CATEST.
example.
com,OU=TAC,O=Cisco!
willgranttherequestscomingfromRAautomaticallygrantra-autocryptopkitrustpointCATESTrevocation-checkcrlrsakeypairCATEST2048!
RAserverradiusserverRADSRVaddressipv410.
10.
20.
30auth-port1812acct-port1813keycisco123aaagroupserverradiusRADSRVservernameRADSRVaaaauthorizationnetworkSUDIgroupRADSRVcryptopkiserverRAnodatabasearchive!
willforwardcertificaterequestssignedbySUDIcertificateautomaticallygrantautotrustpointSUDImoderacryptopkitrustpointRA!
CAserveraddressenrollmenturlhttp://10.
10.
10.
10serial-numbernoneip-addressnonesubject-nameCN=ra1.
example.
com,OU=ioscsRA,OU=TAC,O=Ciscorevocation-checkcrlrsakeypairRA2048cryptopkitrustpointSUDI!
NeedtoimporttheSUDICAcertificatemanually,forexamplewith"cryptopkiimport"commandenrollmentterminalrevocation-checknone!
AuthorizewithRadiusserverauthorizationlistSUDI!
SNextractedfromcertwillbeusedasusernameinaccess-requestauthorizationusernamesubjectnameserialnumber!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
RAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quit!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
RAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quit配置/模板此输出示例:显示在闪存驱动器放置在usbflash0:/ciscortr.
cfg文件的一种模范FlexVPN远程办公室配置.
hostnameclient1!
interfaceGigabitEthernet0ipaddressdhcp!
cryptopkitrustpointclient1!
CAServer'sURLenrollmenturlhttp://10.
122.
162.
242:80!
Thesefieldsneedstobefilled,toavoidpromptwhiledoingenroll!
ThiswilldifferifyouuseSUDI,pleaseseeaboveserial-numbernoneip-addressnonepasswordsubject-namecn=client1.
cisco.
comou=ciscoou!
cryptopkicertificatechainclient1certificateca01!
CACertificateherequit!
cryptoikev2profiledefaultmatchidentityremoteanyauthenticationremotersa-sigauthenticationlocalrsa-sigpkitrustpointclient1aaaauthorizationgroupcertlistdefaultdefault!
interfaceTunnel1ipunnumberedGigabitEthernet0tunnelsourceGigabitEthernet0tunnelmodeipsecipv4!
DestinationisInternetIPAddressofVPNHubtunneldestination172.
16.
0.
2tunnelprotectionipsecprofiledefault!
eventmanagerappletimport-cert!
Startimportingcertificatesonlyafter60safterbootup!
JusttogiveDHCPtimetobootupeventtimerwatchdogtime60action1.
0clicommand"enable"action2.
0clicommand"configterminal"!
Enrollspoke'scertificateaction3.
0clicommand"cryptopkienrollclient1"!
Afterenrollementrequestissent,removethatEEMscriptaction4.
0clicommand"noeventmanagerappletimport-cert"action5.
0clicommand"exit"eventmanagerappletwrite-memeventsyslogpattern"PKI-6-CERTRET"action1.
0clicommand"enable"action2.
0clicommand"writememory"action3.
0syslogmsg"Automaticallysavedconfiguration"Verify使用本部分可确认配置能否正常运行.
命令输出解释程序工具(仅限注册用户)支持某些show命令.
使用输出解释器工具来查看show命令输出的分析.
如果隧道上升,您在分支能验证:client1#showcryptosessionCryptosessioncurrentstatusInterface:Tunnel1Profile:defaultSessionstatus:UP-ACTIVEPeer:172.
16.
0.
2port500SessionID:1IKEv2SA:local172.
16.
0.
1/500remote172.
16.
0.
2/500ActiveIPSECFLOW:permitip0.
0.
0.
0/0.
0.
0.
00.
0.
0.
0/0.
0.
0.
0ActiveSAs:2,origin:cryptomap如果认证正确地,被登记了您在分支能也验证:client1#showcryptopkicertificatesCertificateStatus:AvailableCertificateSerialNumber(hex):06CertificateUsage:GeneralPurposeIssuer:cn=CASubject:Name:client1hostname=client1cn=client1.
cisco.
comou=ciscoouValidityDate:startdate:01:34:34PSTApr262015enddate:01:34:34PSTApr252016AssociatedTrustpoints:client1Storage:nvram:CA#6.
cerCACertificateStatus:AvailableCertificateSerialNumber(hex):01CertificateUsage:SignatureIssuer:cn=CASubject:cn=CAValidityDate:startdate:01:04:46PSTApr262015enddate:01:04:46PSTApr252018AssociatedTrustpoints:client1Storage:nvram:CA#1CA.
cerTroubleshoot目前没有针对此配置的故障排除信息.
已知警告和问题CiscoBugIDCSCuu93989-设置向导终止在G2平台的PnP流也许造成系统从usbflash不装载配置:/ciscortr.
cfg.
反而系统也许终止在设置向导功能:client1#showcryptopkicertificatesCertificateStatus:AvailableCertificateSerialNumber(hex):06CertificateUsage:GeneralPurposeIssuer:cn=CASubject:Name:client1hostname=client1cn=client1.
cisco.
comou=ciscoouValidityDate:startdate:01:34:34PSTApr262015enddate:01:34:34PSTApr252016AssociatedTrustpoints:client1Storage:nvram:CA#6.
cerCACertificateStatus:AvailableCertificateSerialNumber(hex):01CertificateUsage:SignatureIssuer:cn=CASubject:cn=CAValidityDate:startdate:01:04:46PSTApr262015enddate:01:04:46PSTApr252018AssociatedTrustpoints:client1Storage:nvram:CA#1CA.
cerNote:保证您使用包含此缺陷的一个修正的一个版本.
ZTD通过USB与默认配置文件注意默认配置文件以为特色本文比零的联系配置使用是一个不同的功能通过在Cisco800系列ISR配置概述描述的USB.
--通过USB调零联系配置默认配置文件支持的平台对只有少量8xx路由器限制.
关于详细资料,请参阅Cisco800系列ISR配置概述所有ISRG2、43xx和44xx.
文件名*.
cfgciscortr.
cfg在本地闪存保存配置是,自动地不,嵌入式活动管理器(EEM)要求由于默认配置文件功能支持更多平台,此技术为在此条款上提交的解决方案被选择了.
摘要USB默认配置(与从USB闪存驱动器的文件名ciscortr.
cfg)在远端位置产生网络管理员能力配置远程办公室分支路由器VPN(但是没限制对VPN),不用需要登录到设备.
RelatedInformation简单认证登记协议(SCEP)q零的联系配置通过USBqDMVPN/FlexVPN/Site对站点VPNqTechnicalSupport&Documentation-CiscoSystemsqCisco锚点技术q
安全和高效的配置和远端办公室路由器提供(有时告诉Spokes)可以是一项困难任务.
远程办公室也许是在它是让的挑战现场工程师配置现场的路由器的位置,并且多数工程师选择不发送预先配置的分支路由器由于费用和可能性安全风险.
PrerequisitesRequirementsCisco建议您了解以下主题:有一个USB端口支持USB闪存驱动器的任何CiscoIOS路由器.
关于详细资料,请参阅USBeToken和USB闪存功能支持.
q此功能被确认在几乎所有Cisco8xx平台运作.
关于详细资料,请参阅默认配置文件白皮书(在Cisco800系列ISR的功能支持).
q有USB端口类似综合服务路由器的其他平台(ISR)系列G2和43xx/44xx.
qComponentsUsed本文档中的信息基于以下软件和硬件版本:简单认证登记协议(SCEP)q零的联系配置通过USBqDMVPN/FlexVPN/Site对站点VPNqTheinformationinthisdocumentwascreatedfromthedevicesinaspecificlabenvironment.
Allofthedevicesusedinthisdocumentstartedwithacleared(default)configuration.
Ifyournetworkislive,makesurethatyouunderstandthepotentialimpactofanycommand.
ConfigureNote:使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息.
NetworkDiagram网络流在中心站点(公司的总部),分支配置的模板被创建.
模板包含签署VPN集线路由器的认证的CertificateAuthority(CA)认证.
1.
配置模板是例示的在名为ciscortr.
cfg的文件的一个USB密钥.
此配置文件包含将配置的路由器的分支特定配置.
Note:除IP地址和CA证书之外,在USB的配置不包含任何敏感信息.
没有分支或CA服务器的专用密钥.
2.
USB闪存驱动器被发送到远程办公室通过邮件或程序包运送公司.
3.
分支路由器也派遣到远程办公室直接地从Cisco制造.
4.
在远程办公室,路由器被连接供给动力并且被缚住对网络按照被包括在USB闪存驱动器中的指令说明.
其次,USB闪存驱动器插入到路由器.
Note:有一点对在此步骤涉及的没有技术技能,因此可能由所有办公室人员容易地执行.
5.
一旦路由器启动,读从usbflash0:/ciscortr.
cfg的配置.
当路由器启动了,简单认证登记协议(SCEP)请求被发送到CA服务器.
6.
在CA服务器手工或自动授予能根据公司安全策略被配置.
当配置为授予手工的认证,必须进行SCEP请求的带外验证(IP地址验证检查、进行配置的证件验证人员的等等).
此步7.
骤也许有所不同基于使用的CA服务器.
一旦SCEP答复由分支路由器收到,当前有一个有效证书,InternetKeyExchange(IKE)会话用VPN集线器验证,并且隧道成功设立.
8.
基于苏堤的授权第7步介入通过SCEP协议被发送的认证署名请求的手工的验证,也许是笨重和难为非技术性的人员实行.
为了强化安全和自动化进程,可以使用安全的唯一设备标识(苏堤)设备证书.
苏堤证书是证书被构件到ISR4K设备.
这些证书由CiscoCA签字.
每个制作的设备发出了与不同的身份验证,并且设备的序列号在认证的普通的名字内包含.
苏堤认证、相关的密匙对和其整个证书链在堵塞器抗性信任锚点芯片存储.
此外,密匙对密码一定对一块特定信任锚点芯片,并且专用密钥从未被导出.
此功能做克隆或伪装实际上不可能的身份信息.
苏堤专用密钥可以用于签署路由器生成的SCEP请求.
CA服务器能验证签名和读设备的苏堤认证的内容.
CA服务器可从苏堤认证提取信息(类似序列号)和执行根据该信息的授权.
RADIUS服务器可以用于回答这样授权请求.
管理员建立辐射路由器和他们相关的序列号列表.
序列号可以读从路由器的事例由非技术性的人员.
这些序列号在RADIUS服务器数据库存储,并且服务器核准根据允许认证自动地授予的该信息的SCEP请求.
注意序列号密码附加到一个特定设备通过Cisco签字的苏堤认证,因此被伪造无法的.
总之,配置CA服务器自动地同意满足这两个标准的请求:用与认证产生关联的专用密钥签字签字由Cisco苏堤CAq由根据序列号信息的RADIUS服务器核准采取从苏堤认证q部署方案在隧道可以被构建前,CA服务器也许显示直接地在互联网,因而允许客户端进行登记.
CA服务器在同一路由器可能甚而被配置作为VPN集线器.
此拓扑的优点是简单.
因为CA服务器为各种各样攻击直接地显示通过互联网,缺点是被减少的安全.
或者,拓扑可以通过配置注册审批机构服务器扩展.
注册审批机构服务器角色是估计和转发有效证书署名请求到CA服务器.
RA服务器不包含CA的专用密钥,并且不能单独生成证书.
在这样配置,CA服务器不需要显示在互联网,强化整体安全.
'网络流1.
分支路由器创建SCEP请求,用其苏堤认证专用密钥签署它并且发送它到CA服务器.
2.
如果请求适当地签字,RADIUS请求生成.
序列号使用作为用户名参数.
3.
RADIUS服务器接受或拒绝请求.
4.
如果请求被接受,CA服务器同意请求.
如果它被拒绝,CA服务器回复以"等待"状态,并且客户端再试请求,在退路计时器到期后.
与仅CA的配置!
CAserverradiusserverRADSRVaddressipv410.
10.
20.
30auth-port1812acct-port1813keycisco123aaagroupserverradiusRADSRVservernameRADSRVaaaauthorizationnetworkSUDIgroupRADSRVcryptopkiserverCA!
willgrantcertificateforrequestssignedbySUDIcertificateautomaticallygrantautotrustpointSUDIissuer-nameCN=ca.
example.
comhashsha256lifetimeca-certificate7200lifetimecertificate3600cryptopkitrustpointCArsakeypairCA2048cryptopkitrustpointSUDI!
NeedtoimporttheSUDICAcertificatemanually,forexamplewith"cryptopkiimport"commandenrollmentterminalrevocation-checknone!
AuthorizewithRadiusserverauthorizationlistSUDI!
SNextractedfromcertwillbeusedasusernameinaccess-requestauthorizationusernamesubjectnameserialnumber!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
CAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quitRADIUSserver:TheRadiusneedstoreturnAccess-AcceptwiththefollowingCiscoAVPairtoenablecertificateenrollment:pki:cert-application=all与CA和RA的配置!
CAservercryptopkiserverCATESTissuer-nameCN=CATEST.
example.
com,OU=TAC,O=Cisco!
willgranttherequestscomingfromRAautomaticallygrantra-autocryptopkitrustpointCATESTrevocation-checkcrlrsakeypairCATEST2048!
RAserverradiusserverRADSRVaddressipv410.
10.
20.
30auth-port1812acct-port1813keycisco123aaagroupserverradiusRADSRVservernameRADSRVaaaauthorizationnetworkSUDIgroupRADSRVcryptopkiserverRAnodatabasearchive!
willforwardcertificaterequestssignedbySUDIcertificateautomaticallygrantautotrustpointSUDImoderacryptopkitrustpointRA!
CAserveraddressenrollmenturlhttp://10.
10.
10.
10serial-numbernoneip-addressnonesubject-nameCN=ra1.
example.
com,OU=ioscsRA,OU=TAC,O=Ciscorevocation-checkcrlrsakeypairRA2048cryptopkitrustpointSUDI!
NeedtoimporttheSUDICAcertificatemanually,forexamplewith"cryptopkiimport"commandenrollmentterminalrevocation-checknone!
AuthorizewithRadiusserverauthorizationlistSUDI!
SNextractedfromcertwillbeusedasusernameinaccess-requestauthorizationusernamesubjectnameserialnumber!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
RAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quit!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
RAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quit配置/模板此输出示例:显示在闪存驱动器放置在usbflash0:/ciscortr.
cfg文件的一种模范FlexVPN远程办公室配置.
hostnameclient1!
interfaceGigabitEthernet0ipaddressdhcp!
cryptopkitrustpointclient1!
CAServer'sURLenrollmenturlhttp://10.
122.
162.
242:80!
Thesefieldsneedstobefilled,toavoidpromptwhiledoingenroll!
ThiswilldifferifyouuseSUDI,pleaseseeaboveserial-numbernoneip-addressnonepasswordsubject-namecn=client1.
cisco.
comou=ciscoou!
cryptopkicertificatechainclient1certificateca01!
CACertificateherequit!
cryptoikev2profiledefaultmatchidentityremoteanyauthenticationremotersa-sigauthenticationlocalrsa-sigpkitrustpointclient1aaaauthorizationgroupcertlistdefaultdefault!
interfaceTunnel1ipunnumberedGigabitEthernet0tunnelsourceGigabitEthernet0tunnelmodeipsecipv4!
DestinationisInternetIPAddressofVPNHubtunneldestination172.
16.
0.
2tunnelprotectionipsecprofiledefault!
eventmanagerappletimport-cert!
Startimportingcertificatesonlyafter60safterbootup!
JusttogiveDHCPtimetobootupeventtimerwatchdogtime60action1.
0clicommand"enable"action2.
0clicommand"configterminal"!
Enrollspoke'scertificateaction3.
0clicommand"cryptopkienrollclient1"!
Afterenrollementrequestissent,removethatEEMscriptaction4.
0clicommand"noeventmanagerappletimport-cert"action5.
0clicommand"exit"eventmanagerappletwrite-memeventsyslogpattern"PKI-6-CERTRET"action1.
0clicommand"enable"action2.
0clicommand"writememory"action3.
0syslogmsg"Automaticallysavedconfiguration"Verify使用本部分可确认配置能否正常运行.
命令输出解释程序工具(仅限注册用户)支持某些show命令.
使用输出解释器工具来查看show命令输出的分析.
如果隧道上升,您在分支能验证:client1#showcryptosessionCryptosessioncurrentstatusInterface:Tunnel1Profile:defaultSessionstatus:UP-ACTIVEPeer:172.
16.
0.
2port500SessionID:1IKEv2SA:local172.
16.
0.
1/500remote172.
16.
0.
2/500ActiveIPSECFLOW:permitip0.
0.
0.
0/0.
0.
0.
00.
0.
0.
0/0.
0.
0.
0ActiveSAs:2,origin:cryptomap如果认证正确地,被登记了您在分支能也验证:client1#showcryptopkicertificatesCertificateStatus:AvailableCertificateSerialNumber(hex):06CertificateUsage:GeneralPurposeIssuer:cn=CASubject:Name:client1hostname=client1cn=client1.
cisco.
comou=ciscoouValidityDate:startdate:01:34:34PSTApr262015enddate:01:34:34PSTApr252016AssociatedTrustpoints:client1Storage:nvram:CA#6.
cerCACertificateStatus:AvailableCertificateSerialNumber(hex):01CertificateUsage:SignatureIssuer:cn=CASubject:cn=CAValidityDate:startdate:01:04:46PSTApr262015enddate:01:04:46PSTApr252018AssociatedTrustpoints:client1Storage:nvram:CA#1CA.
cerTroubleshoot目前没有针对此配置的故障排除信息.
已知警告和问题CiscoBugIDCSCuu93989-设置向导终止在G2平台的PnP流也许造成系统从usbflash不装载配置:/ciscortr.
cfg.
反而系统也许终止在设置向导功能:client1#showcryptopkicertificatesCertificateStatus:AvailableCertificateSerialNumber(hex):06CertificateUsage:GeneralPurposeIssuer:cn=CASubject:Name:client1hostname=client1cn=client1.
cisco.
comou=ciscoouValidityDate:startdate:01:34:34PSTApr262015enddate:01:34:34PSTApr252016AssociatedTrustpoints:client1Storage:nvram:CA#6.
cerCACertificateStatus:AvailableCertificateSerialNumber(hex):01CertificateUsage:SignatureIssuer:cn=CASubject:cn=CAValidityDate:startdate:01:04:46PSTApr262015enddate:01:04:46PSTApr252018AssociatedTrustpoints:client1Storage:nvram:CA#1CA.
cerNote:保证您使用包含此缺陷的一个修正的一个版本.
ZTD通过USB与默认配置文件注意默认配置文件以为特色本文比零的联系配置使用是一个不同的功能通过在Cisco800系列ISR配置概述描述的USB.
--通过USB调零联系配置默认配置文件支持的平台对只有少量8xx路由器限制.
关于详细资料,请参阅Cisco800系列ISR配置概述所有ISRG2、43xx和44xx.
文件名*.
cfgciscortr.
cfg在本地闪存保存配置是,自动地不,嵌入式活动管理器(EEM)要求由于默认配置文件功能支持更多平台,此技术为在此条款上提交的解决方案被选择了.
摘要USB默认配置(与从USB闪存驱动器的文件名ciscortr.
cfg)在远端位置产生网络管理员能力配置远程办公室分支路由器VPN(但是没限制对VPN),不用需要登录到设备.
RelatedInformation简单认证登记协议(SCEP)q零的联系配置通过USBqDMVPN/FlexVPN/Site对站点VPNqTechnicalSupport&Documentation-CiscoSystemsqCisco锚点技术q
数脉科技8月促销,新客减400港币,BGP、CN2+BGP、阿里云线路低至350元
数脉科技(shuhost)8月促销:香港独立服务器,自营BGP、CN2+BGP、阿里云线路,新客立减400港币/月,老用户按照优惠码减免!香港服务器带宽可选10Mbps、30Mbps、50Mbps、100Mbps带宽,支持中文本Windows、Linux等系统。官方网站:https://www.shuhost.com* 更大带宽可在选购时选择同样享受优惠。* 目前仅提供HKBGP、阿里云产品,香港...
CloudCone($82/月)15-100M不限流量,洛杉矶CN2 GIA线路服务器
之前分享过很多次CloudCone的信息,主要是VPS主机,其实商家也提供独立服务器租用,同样在洛杉矶MC机房,分为两种线路:普通优化线路及CN2 GIA,今天来分享下商家的CN2 GIA线路独立服务器产品,提供15-100Mbps带宽,不限制流量,可购买额外的DDoS高防IP,最低每月82美元起,支持使用PayPal或者支付宝等付款方式。下面分享几款洛杉矶CN2 GIA线路独立服务器配置信息。配...
BuyVM迈阿密KVM上线,AMD Ryzen 3900X+NVMe硬盘$2/月起
BuyVM在昨天宣布上线了第四个数据中心产品:迈阿密,基于KVM架构的VPS主机,采用AMD Ryzen 3900X CPU,DDR4内存,NVMe硬盘,1Gbps带宽,不限制流量方式,最低$2/月起,支持Linux或者Windows操作系统。这是一家成立于2010年的国外主机商,提供基于KVM架构的VPS产品,数据中心除了新上的迈阿密外还包括美国拉斯维加斯、新泽西和卢森堡等,主机均为1Gbps带...
ps8 0序列号为你推荐
-
安装程序配置服务器失败sql安装程序配置服务器失败手游运营手册剑三的方士使开启阴阳之力凝聚而成的魂匣怎么做啊 有详细说明吗最新qq空间代码qq空间都是有哪些免费代码!(要全部)无线路由器限速设置无线路由器能设置限速吗?或者说那个牌子的能。金山杀毒怎么样金山杀毒好吗?怎么在qq空间里添加背景音乐怎样在qq空间里免费添加背景音乐?如何建立一个网站如何建立一个网站?腾讯文章腾讯罗剑楠是何许人也?qq怎么发邮件手机QQ怎么发邮件xp系统停止服务XP系统停止服务后怎么办?