预共享密钥和数字证书是IKE中的两个主要身份验证方法,可在IPSec VPN部署的上下文中使用。

数字证书提供数字验证设备和个人用户的方法。希望发送加密数据的个人从证书颁发机构(CA)获得数字证书。 CA发布包含申请人的公钥和各种其他识别信息的加密数字证书。 CA可以随时获得自己的公钥。加密消息的收件人使用CA的公钥来解码附加到消息的数字证书,将其验证如CA发布,然后在证书中获取发送方的公钥和身份证信息。有了此信息,收件人可以发送加密的回复。公钥基础架构(PKI)是用于管理IPSec VPN部署的数字证书的启动器。最广泛使用的数字证书格式是X.509,Cisco iOS支持。

在此博客中,已经有几个关于使用Symantec Digital证书的帖子来为检查点防火墙,瞻博网络防火墙和Cisco IOS路由器设置IPsec或SSL VPN。以下是一些帖子列表:

使用Symantec SSL PKI验证Cisco IOS IPSec VPN - HA部署 介绍了详细步骤如何使用第三方证书来验证您的IPsec IKE。

在此帖子中,我将再次总结所有配置步骤,并将更多的东西添加到新的实现中。我们将在每个对等网关中使用不同的CA。所有先前帖子中的安全网关仅使用相同的ca - symantec来验证IPsec IKE。我们将在每一侧使用不同的CA。
大多数步骤与以前相同,我们需要添加的唯一额外步骤是将对等体的CA证书导入不同的TrustPoint。

1.创建RSA密钥

r1(config)#Crypto密钥生成RSA常规键标签R1.Test.com模数2048可导出

2.为路由器创建TrustPoint

r1(config)#Crypto PKI TrustPoint Verisign2015
r1(ca-trustpoint)#注册终端
r1(ca-trustpoint)#主题名称cn = r1.test.com,ou =它,o = tt,c = ca,st =安大略省,l = markham
r1(ca-trustpoint)#rsaeeypair r1.test.com.
r1(ca-trustpoint)#fqdn r1.test.com.
r1(ca-trustpoint)#撤销 - 检查无
r1(ca-trustpoint)#exit

3.创建CSR.


r1(config)#Crypto密钥生成RSA常规键标签R1.Test.com模数2048可导出
键的名称将是:r1.test.com

键模数大小为2048位
%生成2048位RSA键,键将是可导出的...
[确定](经过时间为0秒)

4.将CSR提交给VeriSign和返回签名证书

5.安装中间/根证书

R1(Config)#cRypto PKI验证Verisign2015

输入Base 64编码CA证书。
以空行或“退出”一行的空白线条结束

--begin证书 -
miie0dcbdmgawagzo4dbhlp8rifffftxz4 / tangkqhkig9w0baqufadbf.
mqswcqydvqggggewjvuzexmbuga1uechmovmvnpz24sieluyyyy4xnza1bgnvbast.
lknsyxnzidmguhvibgljifbyaw1hcnkgq2vydglvbibbdxrob3jpdhkw
hhcnmdyxmta4mdawmdwhcnmjexmta3m1ou5wjcbyjelmakga1uebhmcvvmx.
fzavbgnvbaotdlzltawdulcbbmm8whqydvqqtzwzxju2lnbucnvz.
J + XTGOASJY5RW8 + AATRIGCX7GS4WJRYJAHR0CDOVL2XVZ28UDMVYAXNPZ24U9T
l3zzbg9nby5nawywnayikwybbquhaqekdammcqgccsgaqufbzabhhodhrwoi8v.
b2nzcc52zxjpc2lnbi5jb20wpgydvr0lbdcccccsgaqufbwmc.
BGGRBGEFBQCDAWYJD4QGBGPGPHFHAVHFHAVHFAQBMA0GSQSIBKBQUA.
a4gbabmc3fjohgdywvj4iaxzigihzs73tvm7agy5ee43u68zhjtresy8g3jbt5k
lcddplq9zvtgr0szek0sz6r1we2uifjxflluqz87nmwwq14lwaymfs77ooghz.
toxfnfekw / 9mz1cvxm1xjrl4t7mi0vfqh5plr7rjhjhj + xr3 /
- 译文 -

TrustPoint'Verisign2015'是一个下级CA并拥有非自签名证书
证书具有以下属性:
       指纹MD5:F91FFEE6 A36B9988 41D467DD E5F8977A
      指纹SHA1:32F30882 622B87CF 8856C63D B873DF08 53B4DD27

%您是否接受此证书? [是/否]:是的
ReterPoint CA证书接受。
%证书成功导入

6.在Cisco Router上安装签名的SSL证书

r1(config)#Crypto PKI Import Verisign2015证书

输入Base 64编码证书。
以空行或“退出”一行的空白线条结束

--begin证书 -
miifgtccbgmgawagiqkjcodoifbdkbdaxmz + kjjanbgkqhkig9w0baqufadcb.
ttelmakga1uebhmcvvmxfzavbgnvbaotlzlcmltawdulcbjbmmumr8whqydvqql.
exzwzxju2lnbucnvzdcbozxr3b3jrmtsoquzxjuzxjuzxjtcyb1c2ug.
lmnvbs9tvljtzwn1cmvhmy5jmwwqwydvr0gbdwwoja4bgpghkgbhvhfaqc2mcow
kayikwybquhaghghghggh0dhbzoi8vd3d3lnzlcmlzawdulmnvbs9jchmwhqydvr0l
bbywfayikwybquhawegccfbwmcmb8ga1udiwqymbava1exbztrmgcfh0g.
qyx0awpyvnmlmhygcsgaqubwebbbgowadakbggrbgebgefbqcwayyahr0cdovl29j.
c3audmvyaxnpz24uy29tmeagcsgaqufbzachjrodehrwoi8vu1zsuvjdxjllucz.
lwfpys52zxjpc2lnbi5jb20vu1zs2vjdxjlrzmuy2vyma0gcsqsib3bqua.
A4ibaqcpzzarqkr + wlvsmcpgce5mpmuw / spqj0gvv3ziv5oemvdfpjn + olwhqji
hofpbpdr7dx / ep5jeljudaal5afion75pyjbtucrnyuduzqdpy51mv0lux​​sa7gp.
0kr0ngaftotdme76iv5uno / fijtvttm0zqidpwihjprmtnujh8bnlo8ja3kwqw
qvkgaxbjnboryb7ggvlpc6r4lphx7b6dwdaordplisvgbpgaex6poiw5td8lvuw
Rczisxlco3ofnxjjj6v7hm17dzfnelz49nisa4vcgfw9ei3z + 2gtm0ft5 / ovgdkb
4ZRQ + 2TLUF72B1WLFFZ4YFL7 / M7
- 译文 -

%路由器证书成功导入

7.在新的TrustPoint中导入对等中间/根证书

Crypto PKI TrustPoint客户
 enrollment terminal
 撤销 - 检查无
!

r1(config)#Crypto PKI身份验证客户

输入Base 64编码CA证书。
以空行或“退出”一行的空白线条结束

--begin证书 -
miie0dcbdmgawagzo4dbhlp8rifffftxz4 / tangkqhkig9w0baqufadbf.
mqswcqydvqggggewjvuzexmbuga1uechmovmvnpz24sieluyyyy4xnza1bgnvbast.
lknsyxnzidmguhvibgljifbyaw1hcnkgq2vydglvbibbdxrob3jpdhkw
hhcnmdyxmta4mdawmdwhcnmjexmta3m1ou5wjcbyjelmakga1uebhmcvvmx.
fzavbgnvbaotdlzltawdulcbbmm8whqydvqqtzwzxju2lnbucnvz.
J + XTGOASJY5RW8 + AATRIGCX7GS4WJRYJAHR0CDOVL2XVZ28UDMVYAXNPZ24U9T
l3zzbg9nby5nawywnayikwybbquhaqekdammcqgccsgaqufbzabhhodhrwoi8v.
b2nzcc52zxjpc2lnbi5jb20wpgydvr0lbdcccccsgaqufbwmc.
BGGRBGEFBQCDAWYJD4QGBGPGPHFHAVHFHAVHFAQBMA0GSQSIBKBQUA.
a4gbabmc3fjohgdywvj4iaxzigihzs73tvm7agy5ee43u68zhjtresy8g3jbt5k
lcddplq9zvtgr0szek0sz6r1we2uifjxflluqz87nmwwq14lwaymfs77ooghz.
toxfnfekw / 9mz1cvxm1xjrl4t7mi0vfqh5plr7rjhjhj + xr3 /
- 译文 -

TrustPoint'客户'是一个下级CA并拥有一个非自我签名的证书
证书具有以下属性:
       指纹MD5:F91FFEE6 A36B9988 41D467DD E5F8977A
      指纹SHA1:32F30882 622B87CF 8856C63D B873DF08 53B4DD27

%您是否接受此证书? [是/否]:是的
ReterPoint CA证书接受。
%证书成功导入

8.验证TrustPoint.

R1#sCrypto PKI的信任点
TrustPoint Verisign2015:
    Subject Name:
    CN = Symantec第3类安全服务器CA - G4
    ou =赛门铁克信任网络
    o =赛门铁克公司
    c=US
          序列号(十六进制):513FB9743870B73440418D30930699FF
    配置了证书。


TrustPoint客户:
    Subject Name:
    o =客户根本证书颁发机构
    c=CA
    st=Saskatchewan
    cn=Customer CA 2025
          序列号(十六进制):0082809023512072AD
    配置了证书。

9.验证证书和隧道

R1#sCrypto PKI证书如何
CA证书
  Status: Available
  证书序列号(十六进制):0082809023512072AD
  证书使用:通用
  Issuer:
    o =客户根本证书颁发机构
    c=CA
    st=Saskatchewan
    cn=Customer CA 2025
  Subject:
    o =客户根本证书颁发机构
    c=CA
    st=Saskatchewan
    cn=Customer CA 2025
  Validity Date:
    开始日期:2015年3月30日10:55:50 EDT
    结束日期:10:55:50 EDT 3月27日2025
  关联的信任点:客户
  存储:nvram:customerrootcerti#72adca.cer

证书
  Status: Available
  证书序列号(十六进制):44FC828CB095BC3BA7D553F4F4BF9EBA
  证书使用:通用
  Issuer:
    CN = Symantec第3类安全服务器CA - G4
    ou =赛门铁克信任网络
    o =赛门铁克公司
    c=US
  Subject:
    Name: R1.gi-de.com
    cn=R1.gi-de.com
    o=Giesecke &Devrient Systems Canada Inc
    l=Markham
    st=Ontario
    c=CA
  CRL分配点:
    http://ss.symcb.com/ss.crl
  Validity Date:
    开始日期:2015年12月30日上午19:00:00
    结束日期:2018年12月30日18:59:59
  关联的信任点:Verisign2015
  存储:nvram:symantecclas#9eba.cer

CA证书
  Status: Available
  证书序列号(十六进制):513FB9743870073440418d30930699ff
  证书用法:签名
  Issuer:
    CN = VeriSign类3公共主证书颁发机构 - G5
    ou=(c) 2006 VeriSign
     Inc.仅限授权使用
    ou = VeriSign Trust网络
    o=VeriSign
     Inc.
    c=US
  Subject:
    CN = Symantec第3类安全服务器CA - G4
    ou =赛门铁克信任网络
    o =赛门铁克公司
    c=US
  CRL分配点:
    http://s1.symcb.com/pca3-g5.crl
  Validity Date:
    开始日期:2013年10月30日20:00:00 EDT
    结束日期:19:59:59 EDT 10月30日2023
  关联的信任点:Verisign2015
  存储:nvram:verisignclas#99ffca.cer



r1#显示加密isakmp sa细节
代码:C - IKE配置模式,D - 死路检测
       K - Keepalives,N - Nat-Traversal
       T - CTCP封装,X - IKE扩展身份验证
       PSK - PreRhed键,RSIG - RSA签名
       renc-rsa加密
IPv4 Crypto Isakmp SA

C-ID本地远程I-VRF状态汇总HASH AUTH DH Lifetime Cap。

1073 19.26.116.141 20.19.60.26活跃的AES SHA2 rsig. 14 20:28:46 D.
       Engine-ID:Conn-ID = SW:73

IPv6 Crypto Isakmp SA


注意:路由器的完整配置

R1#逃跑
建筑配置......

当前配置:15460字节
!
!!最后一次配置在2016年1月8日星期五上午16:00:32
!! nvram config最后在2016年1月8日星期五的16:01:19 2016年John
!! nvram config最后在2016年1月8日星期五的16:01:19 2016年John
版本15.1.
没有服务垫
服务TCP-Keepalives-In
服务TCP-Keepalives-Out
服务时间戳Debug DateTime Msec LocalTime Show-TimeZone
服务时间戳日志DateTime Msec localtime show-timezone
服务密码加密
服务序列号
!
Hostname R1.
!
启动启动标记
启动端标记
!
!
日志记录缓冲409600.
启用秘密5 $ 1 $ 1 $ 4 $ 8RIUCW5tt9npa5kmw.pt0 /
!
!      
IPC区域默认为默认值
 association 1
  no shutdown
  protocol sctp
   local-port 5000
    Local-IP 192.168.20.139
    重传 - 超时300 10000
    path-retransmit 10
    assoc-retransmit 10
   remote-port 5000
    远程IP 192.168.20.140
!
AAA新型号
!
!
AAA身份验证登录默认默认本地组RADIUS组TACACS
AAA身份验证启用默认启用组RADIUS组TACACS
AAA授权控制台
AAA授权exec默认本地组RADIUS组TACACS +
AAA会计exec默认开始 - 停止组TACACS +
AAA计费命令1默认停止组TACACS +
AAA会计命令5默认停止组TACACS +
AAA会计命令15默认停止组TACACS +
AAA会计系统默认开始 - 停止组TACACS +
!
!
!
!
!
AAA会话-ID常见
!
时钟TimeZone EST -5 0
时钟夏季时间EDT重复
errdisable恢复原因bpduguard
!
没有IPv6 CEF
没有IP源路线
没有IP Gratuit-ARPS
IP CEF
!
!
!
ip dhcp bootp忽略
!
!
没有IP BootP服务器
IP域名gd.com
IP name-server 8.8.8.8
IP name-server 8.8.4.4
登录块 - 120在60内尝试3
登录失败日志
登录成功日志
!
MultiLink Bundle-name经过身份验证
!
Crypto PKI令牌默认删除超时0
!
Crypto PKI TrustPoint Verisign2015
 enrollment terminal
 fqdn R1.gi-de.com
 主题名称cn = r1.test.com,ou =它,o = g&d,c = ca,st =安大略省,l = markham
 撤销 - 检查无
 rsaeeypair r1.test.com.
!
Crypto PKI TrustPoint客户
 enrollment terminal
 撤销 - 检查无
!
!
Crypto PKI证书链Verisign2015
 证书44FC828CB095BC3BA7D553F4F4BF9EBA
  308204FD 308203E5 A0030201 02021044 FC828CB0 95BC3BA7 D553F4F4 BF9EBA30
  0D06092A 864886F7 0D01010B 0500307E 310B3009 06035504 06130255 53311D30
  1B060355 040A1314 53796D61 6E746563 20436F72 706F7261 74696F6E 311F301D
  06035504 0B131653 796D6162 74656320 542047573 742047573 742047573 74776F72 6B312F30
  2D060355 04031326 53796D61 20436563 20436C61 73732033 20536563 7536563 75726520
  53657276 65722043 41202D20 4734301e 170d3135 31323331 303030 30305a17
  0D313831 32333032 33353935 395A3081 85310B30 040315 04061302 43413110
  300E0603 55040C 074F6E74 6172696F 3110300E 06035504 070C074D 61726B68
  616D312F 302D0603 55040A0C 26476965 7365636B 65202620 44657672 69656244
  20537973 74656D73 2043616C 61646120493616CH20301F06 03550403 0C18522D
  544F5231 2D495053 65632D31 2E67692D31 2E67692D 64652E63 6F6D3082 0122300D 06092A86
  4886F70D 0101010201 00038201 010A0282 010100A7 FC4C44B B6663518
  6E3B5521 90241DE0 10F831FC B291F54D 2A5A0824 38C6BD63 526A4C01 8994442A
  2C4543FB 58C29C01 7F820CEE 1CC89537 083FDAAD DE15CB65 76F3188F 8977B1E9
  36FDFAC9 0DB9C7E1 A3781D41 DD0B8F78 5ED6BF2A 71862C17 06E5E2C4 C1505FA9
  BB8E3A97 9226C8AD 6BA596A8 A717003A 57E3E3FC 68CADDD3 00715B72 5F729321
  6CF031E0 614AB912 2A75B121 ED4FDC0B 80846343 F6AED8DF 911759A7 8A897F49
  73B712FB 3720910E A9CBC536 6890BE1E EC0EF021 9A5674C6 CA33DDF6 DC663AFA
  FED35E2B AF9B0B4E DC11FB19 2832E02E F339A23F 99172FFF 460D480C 8BA25283
  82FA8AC 043DC71A 41ED7C32 AECC9B37 EF87BF06 F899F902 03010001 A382016D
  30820169 30230651D1104 1C301A82 18522D54 4F52312D 49505365 632D312E
  67692D64 652E636F 6D300906 03551D13 0451D0F01 0451D0F01065551D13 0451D0F01 04551D0F01 04551D03035551D13 0451D0F010351D0F01 01F0404
  030205A0 302B0603 551D1F04 24302230 20A01EA0 1C861A68 7474703A 2F2F7373
  2E73796D 63622E63 6F6D2F73 732E6372 6C306106 03551D20 045A3058 30560606
  67810C01 0202304C 30230408 2B060105 0507020161770733A 7470733A 7470733A 7470733A 7470733A 2F2F642E
  73796D63 622E636F 6D2F6370 73302506 082B0601 05050702 0230190C 17687474 17687474
  70733A2F 2F642E73 796D6362 2E636F6D 2F727061 301D0603 551D2504 16301406
  082B0601 050505082B 0601050501030303014
  5F60CF61 9055DF84 43148A60 2AB2F57A F44318EF 30570608 2B060105 05070101 05070101 05070101 05070101
  044b3049 301f0608 2b060105 05073001 86136874 74703874 74703874 74703874 74703874 74703874 7470382F 2F73732C 73796D63
  642E636F 6D302606 082B0601 05050730 02861A68 7474703A 2F2F7373 2E73796D
  63622E63 6F6D2F73 732E6372 74300D06 092A8648 86F70D01 010B0500 0382011
  00A9EA06 9A561D11 EB72E8C3 0FA4453C FFE376C8 E389BC20 B1A93B72 FA576E4F
  5598F26 F12E8636 77944F89 105C0802 B4D7D3EC E1E2F550 FC0DB830 B8336C29
  407BC555 E36BB83B 83E29399 55379BCC A2AF808D 2A4CD262 9C1787C5 7CA2029B
  AAF5F6C0 57B0A869 4B822E2A 3355A2A5 F6F8D261 DBE46DB4 3782C9E8 186D739A
  5865E249 FE9CA2CF 4D5F6974 4E959F51 8BB69E49 C4339211 978652F3 2A08858B
  6859D3C5 30E3642C 4E670C9F C554C59A 648FF9E3 C1BAD434 062832B3 23B72814
  60E8962E FA62F32A 38C2D432 57BD06D3 91DABA89 24A1B688 5409DA04 1EA0A93E
  CF4CA550 4A0378DF FF74B724 C48F8A43 FE5B36F3 C95C25A3 C488D881 8E40BE1F
  C0
        quit
 证书CA 513FB9743870B73440418D30930699FF
  30820538 30820420 A0030201 02021051 3FB97438 70B73440 418D3093 0699F3
  0D01010B 05003081/4063117
  30150603 55040A13 0566572 69536967 6E2C2049 6E2C2049 6E632E31 1F301D06 0355040B
  13165665 72695369 676E2054 72757374 204E6574 776F726B 313A3038 06035504
  0B133128 63292032 30303620 56657269 53696762SC204962S 2C204962D 20466F72
  20617574 686F7269 7A656420 75736520 6F6E6C79 31453043 06035504 03133C56
  65726953 69676E20 436C6173 73203320 5075626C 69632050 72632050 7269626C 69632050 72696050 72696043 72792043
  65727469 66696369 20417574 686F7269 7479202D 20473530 1E170D31
  33313033 31303030303030303030303030303030303330 32333539 35395A3073330 32333539 35395A30 7E310B30
  0906035 04061302 5553311D 301B0603 55040A13 1453796D 616E7465 6320436F 6320436F 6320436F 6320436F
  72706F72 6174696F 6E311F301F30 1D060355 040B1316 53796D61 6E746563 20547275 20547275
  7374204E 6574776F 726B312F 302D0603 55040313 2653796D 616E7465 6320436C 6320436C 6320436C
  61737320 33205365 6375726 205357220 4341202D 20473430 42012230
  0D06092A 864886F7 0D010101 05000382 010F0030 82010A02 82010100 B2D805CA
  1C742DB5 175639C5 4A520996 E84BD80C F1689F9A 422862C3 A530537E 5511825B
  037A0D2F E17904C9 B4967719 81019459 F9BCF77A 9927822D B783DD5A 277FB203
  7A9C5325 E9481F46 4FC89D29 F8BE7956 F6F7FDD9 3A68DA8B 4B823341 12C3C83C
  CCD6967A 84211A22 04032717 8B1C6861 930F0E51 80331DB4 B5CEB7E D062ACEE
  B37B0174 EF6935E9 CAD53DA9 EE9798CA 8DAA440E 25994A15 96A4CE6D 02541F2A
  6A26E206 3A6348AC B44CD175 9350FF13 2FD6DAE1 C618F59F C9255DF3 003ADE26
  4dB42909 CD0F3D23 6F164A81 16FBF283 10C3B8D6 D855323D F1BD0FBD 8C52954A
  16977A52 2163752F 16F9C466 BF5B509 D8FF2700 CD447C6F 4B3FB0F7 02030100
  01A38201 63308201 5F301206 03551D13 0101FR04 08300601 01FR200201 00303006
  03551D1F 04293027 3025A023 A021861F 68747470 3A2F2F73 312E7379 6D63622E
  636F6D2F 70636133 2D67352E 63726C30 0E060355 1D050101 FF040403 02010630
  2F06082B 06010505 07010104 23302130 1F06082B 06010505 07300186 13687474
  703A2F2F 73322E73 796D6362 2E636F6D 306B0603 551D2004 64306230 60060A60 60060A60
  86480186 F8450107 36305230 2606082B 060152B 06010505 07020116 07020116 1A687474 703A2F2F
  7777772E 73796D61 7574682E 636F6D2F 63707330 2806082B 06010505/7082B 060105050506082
  1C1A1A68 7474703A 2F2F7777 772E7379 6D617574 6D617575 6D2F7270 6D2F7270 61302906
  03551D11 04223020 A41E301C 311A3018 03A3018 031311530 03131153 796D6162 74656350
  4b492d31 2d353334 301d0603 551d0e4 1604145f 60cf6190 55df8443 148a602a
  B2F57AF4 4318EF30 1F060355 1D230418 30168014 7FD365A7 C2DDECBB F03009F3
  4339FA02 AF333133 300D0609 2A864886 F70D0101 0B050003 82010100 5E945649
  DD8E2D65 F5C13651 B603E3DA 9E7319F2 1F59AB58 7E6C2605 2CFA81D7 5C231722
  2C3793F7 86EC85E6 B0A3FD1F E232A845 6FE1D9FB B9AFD270 A0324265 BF84FE16
  2A8F3FC5 A6D6A393 7D43E974 21913528 F463522E EDF7F55C 7F4B9AB5 20E90ABD
  E045100C 14949A5D A5E34B91 E8249B46 4065F422 72CD99F8 8811F5F3 7FE63382
  E6A8C57E FED008E2 25580871 68E6CDA2 E614DE4E 52242DFD E5791353 E75E2F2D
  4D1B6D40 15522BF7 87897812 416ED94D AA2D78D4 C22C3D08 5F87919E 1F0EB0DE
  30526486 89AA9D66 9C0E760C 80F274D8 2AF8B83A CED7D60F 11BE6BAB14F5BD41
  A0226389 F1BA0F6F 2963662D 3FAC8C72 C5FBC7E4 D40FF23B 4F8C29C7
        quit
Crypto PKI证书链客户
 证书CA 0082809023512072AD
  3082035D 30820245 A00302018 0202020900 82809023 512072AD 300D0609 2A864886
  F70D0101 0B050030 6531430 12060355 040355 040355 040355 040355 040355 040355 0403130B 53474920 423474920 423474920 43412032 30323531
  15301306 03550408 130C5361 736B6174 616E310B 30090303 55040613
  02434131 29302706 0355040A 13205347 4920526F 65742043 65727466 66696366 66696366 66696361
  74696F6E 20417574 686F7269 74793012 170D3135 30333330 31343535 35305A17
  0D323530 33323731 34353535 305A3065 31143012 0313012 03130B53 47492043
  41203230 32353115 40130603 55040813 0C536173 6B617463 68657761 6E310B30
  09060355 04061302 43413129 30270603 55040A13 20534749 20526F6F 74204365
  72746966 69636174 696F6224 696F6E20 41757468 6F726974 79308201 22300D06 092A8648
  86F70D01 01010500 0382010F 00308201 0A028201 0100D005 9F2F2CF8 1C09E988
  56577004 EECEE3A2 545A573 7FE704C8 E1E6F722 CC4B745E 36C860A7 5E0590A1
  7CE42928 3CD72621 7290E6FC 250F2E34 647D3DDE DF8306D8 6C28E3BD 3FD5FA92
  D2B3406C 44DBD66C 2F69E895 861F93C6 A052143E F814245D 0C8DDE69 A2A0FAAC
  F337E69C 843426AB DD19E5C9 F60DB892 503414B9 1E678FE0 93652A7F E4FB8990
  8894D38E 9795C691 F52D331C CA529033 CF90F4E3 98E7177E B69882EF CD2D9532
  32180C7D 12C517A5 8C737C63 FED361C9 CEB8C8AD 59399CCF 3C7B1810 E0EA5CCA
  D774519D 76C0C50A 293322CF 44339523 6F8339F7 18CB539A 19D01136 70D46A13
  21E50BBE C0C8B7DC 8955E88D 48DD7D31 1511986B B5DD0203 010001A3 10300E30
  0C060355 1D130405 30030101 FF300D06 092A8648 86F70D01 010B0500 03820101
  006302EE 40D8BADA 7D69A3C1 A7C03BE0 6BBD1410 B65679CC 7FAFC590 F0500E0A
  1E44A841 B44F11C4 17E8DC94 124476C1 C7D352D3 5967554F 6571F067 D366622F
  C3A6ABAA 2FF2433C D9773D80 F99875BA 593D4F55 40194E12 AE01C57 51E43C53
  063EE6A0 580E837C B9C65739 E6BBC58F 752CFA34 7CE9BB45 4C494B49 FA90FBEB
  1FE60AC2 7010EE86 644D1414 C402436B 26C58B9D FDA1D3DD 27DECDE7 123CDBB7
  8C640943 3C56945C 9A7E4AA7 DDF70EDE 379BA01B 2E4D0A1D 624B8E8D BEC63755
  529C9025 23632ABA 0365AC2 A99C0B2F BB71C451 63BCD096 FA9501E3 C8976C2B
  832E80D5 2FF61A7D 72215D6A 12E5F1CE 09722146 2AC182F4 FE00A902 62EE3D31 39
        quit
许可UDI PID CISCO1921 / K9 SN FGL1529E0
!
!
档案
 log config
  logging enable
  logging size 200
  通知Syslog ContentType明文
  hidekeys
!
没有生成树优化BPDU传输
跨越树上行
跨越树的Backbonefast
VTP域Gd.
VTP模式透明
Username Localit特权15秘密$ 5 $ 1 $ P3Q。$ qqbihnyduczh5y0xwtxzbq0
Username Localit AutoCommand Show Runking
用户名localadmin权限7秘密5 $ 1 $ OGOX $ OWJSEZLPAU0A3K8DQJECHD。
用户名cadmin特权15秘密$ 5 $ 1 $ pe7e $ yyud3nj2bl0opsvkn0pq //
!
冗余帧间
 scheme standby VPNHA
!
!
冗余
Crypto Ikev2提案AES-SHA-256-提案
 加密AES-CBC-256
 integrity sha256
 group 14
!
Crypto ikev2政策ike2policy
 提案AES-SHA-256-提案
!
Crypto ikev2 keyring vpn-keys
 peer Customer
  address 20.19.60.26
  预共享关键当地Cisco123
  预共享关键远程Cisco123
 !
!
Crypto ikev2键入测试键
 peer Test
  地址19.26.116.137
  预共享关键Cisco123
 !
!
!
Crypto ikev2个人资料客户
 匹配标识远程地址20.19.60.26 255.255.255.255
 身份本地地址19.26.116.141
 身份验证本地预共享
 身份验证远程分享
 keyring VPN-KEYS
!
Crypto ikev2配置文件测试
 匹配标识远程地址0.0.0.0
 匹配标识远程地址19.26.116.137 255.255.255.255
 身份本地地址19.26.116.141
 身份验证本地预共享
 身份验证远程分享
 keyring Test-KEYS
!
!
!
IP SSH超时10
IP SSH日志记录事件
IP SSH版本2
!
轨道1接口GigabitEthernet0 / 0行协议
!
跟踪2接口GigabitEthernet0 / 1行协议
!
类地图类型端口过滤器匹配 - 任何TCP23
 match  port tcp 23
!      
!
策略地图类型端口过滤器过滤器TCP23
 class TCP23
   drop
    log
!
!
!
Crypto Isakmp政策1
 encr aes 256
 hash sha256
 group 14
Crypto Isakmp键Cisco123地址20.19.60.26 No-XAuth
Crypto Isakmp Keepalive 10
Crypto Isakmp积极模式禁用
!
!
Crypto IPSec Transform-Set MySec ESP-AES 256 ESP-SHA256-HMAC
!
Crypto地图VPN 10 IPSec-Isakmp
 set peer 20.19.60.26
 设置变换集mysec
 set pfs group14
 match address Gand
 reverse-route
!
!
!
!
!
接口嵌入式服务 - Engine0 / 0
 no ip address
 shutdown
!
接口GigabitEthernet0 / 0
 IP地址19.26.116.139 255.255.255.192
 IP计费输出数据包
 备用199 IP 19.26.116.141
 待机199优先权105
 standby 199 preempt
 待机199名vpnha
 备用199轨道2减少10
 duplex auto
 speed auto
 Crypto地图VPN冗余VPNHA状态
!
接口GigabitEthernet0 / 1
 IP地址192.168.20.139 255.255.255.0
 待机200 IP 192.168.20.141
 待机200优先权105
 standby 200 preempt
 备用200名称客户端
 备用200轨道1减少10
 duplex auto
 speed auto
!
IP前向协议ND
!
没有IP HTTP服务器
没有IP HTTP Secure-Server
!
IP路线0.0.0.0 0.0.0.0 19.26.116.161
!
IP Access-List扩展Gand
 允许IP主机192.168.20.25 172.21.90.0 0.0.1.255
 允许ICMP主机192.168.20.25 172.21.90.0 0.0.1.255
!
记录陷阱调试
记录10.9.20.33
访问列表101允许IP 10.9.200.0 0.0.0.255任何日志
访问列表101 Permin IP 19.26.116.0 0.0.0.255任何日志
访问列表110允许IP主机192.168.20.25主机172.21.91.37
访问列表110允许IP主机172.21.91.37主机192.168.20.25
!
!
!
!
!
!
!
!
控制面
!
!
权限EXEC级别7显示配置
Privilege Exec级别7显示
横幅motd ^ c
************************************************** ** **************
*这是一个私人计算设施。 *
*严格禁止未经授权使用此设备。 *
*违规者将被起诉以可能的最大壮大。 *
* * *
* Tacacs + / RADIUS认证和授权到位。*
*监视和录制所有操作/命令。 *
*通过使用您明确同意的网络*
*监控和录制。 *
************************************************** ** **************
^ C.
!
线0.
 exec-timeout 5 0
 logging synchronous
 登录身份验证Conauth.
 stopbits 1
线AUX 0.
line 2
 没有激活 - 角色
 no exec
 运输首选无
 transport input all
 运输输出垫Telnet Rlogin Lapb-Ta Mop Udptn V120 SSH
 stopbits 1
线VTY 0 4
 access-class 101 in
 exec-timeout 5 0
 logging synchronous
 登录身份验证Vtyauth.
 transport input ssh
线VTY 5 15
 access-class 101 in
 exec-timeout 5 0
 absolute-timeout 15
 logging synchronous
 登录身份验证Vtyauth.
 transport input ssh
!
Scheduler分配20000 1000
ntp server 0.ca.pool.ntp.org.
ntp server 1.ca.pool.ntp.org.
ntp server 2.ca.pool.ntp.org.
ntp server 3.ca.pool.ntp.org.
结尾


以下是思科论坛的所有步骤总结 邮政:

一般来说,你需要做的是(典型的情景)

关于所有系统(包括CA)
- 设置正确的时间(强烈推荐的NTP)
- 配置主机名和域名。
- 生成RSA键。私人和公众将用于加密/签名证书。

在您要注册的ASA / IOS设备上:
- 配置与您的基于什么(CRL,Angrollemtn方法等)的信任点。
- 您通过介绍发出证书的CA来验证信任点。
- 然后您生成CSR或通过SCEP注册。
- 您从CA下载/导入证书。它由CA的公钥签署。

您的认证通常是两个部分 - 您的身份证书,可信赖的第三方证书,谁向您发出证书。

这一切都归结为您信任的人,如果您想要一边使用entrust和其他使用VeriSign,则需要在您的设备上进行合适的CA。

现在所有现代操作系统系统都会提供您的证书商店中众所周知的可信第三方列表。这就是为什么当你作为“my_internet_bank.com”时,你不需要信任任何东西。
这不是ASA或iOS的情况,没有可信第三方的默认列表,所有这些都必须手动完成。

经过 Jon.

发表评论