预共享密钥和数字证书是IKE中的两种主要身份验证方法,可以在IPSec 虚拟专用网 部署的上下文中使用。

数字证书提供了一种对设备和个人用户进行数字身份验证的方法。希望发送加密数据的个人从证书颁发机构(CA)获得数字证书。 CA颁发了加密的数字证书,其中包含申请人的公钥和各种其他标识信息。 CA随时提供其自己的公钥。加密邮件的收件人使用CA的公钥对附加到该邮件的数字证书进行解码,验证它是否是CA颁发的,然后获取发件人的公钥和证书中保存的标识信息。利用此信息,收件人可以发送加密的回复。公钥基础结构(PKI)是用于管理IPSec 虚拟专用网 部署的数字证书的引擎。数字证书最广泛使用的格式是X.509,Cisco IOS支持该格式。

在此博客中,已经有几篇关于使用Symantec Digital 证书为Check Point防火墙,Juniper SRX防火墙和Cisco IOS路由器设置IPSec或SSL 虚拟专用网 的文章。以下是一些帖子列表:

使用Symantec SSL PKI对Cisco IOS IPSec 虚拟专用网 进行身份验证– HA部署 介绍了详细的步骤,说明如何使用第三方证书对IPSEC IKE进行身份验证。

在本文中,我将再次总结所有配置步骤,并在新的实现中添加更多内容。我们将在每个对等网关中使用不同的CA。以前所有文章中的安全网关都只使用一个相同的CA – 赛门铁克 对IPSec IKE进行身份验证。这次我们将在双方使用不同的CA。
大多数步骤与之前相同,我们唯一需要增加的步骤是将对等方的CA证书导入到其他Trustpoint中。

1.创建RSA密钥

R1(配置)# 加密密钥生成rsa通用密钥标签R1.test.com模数2048可导出

2.为您的路由器创建信任点

R1(配置)# 加密PKI Trustpoint Verisign2015
R1(ca-trustpoint)#登记终端
R1(ca-trustpoint)#主题名称CN = R1.test.com,OU = IT,O = TT,C = CA,ST =安大略省,L =万锦
R1(ca-trustpoint)#rsakeypair R1.test.com
R1(ca-trustpoint)#fqdn R1.test.com
R1(ca-trustpoint)#吊销检查无
R1(ca-trustpoint)#exit

3.创建企业社会责任


R1(配置)# 加密密钥生成rsa通用密钥标签R1.test.com模数2048可导出
密钥的名称为:R1.test.com

%密钥模数大小为2048位
%生成2048位RSA密钥,密钥将可导出…
[确定](经过的时间为0秒)

4.将CSR提交给Verisign和Retreive签名证书

5.安装中级/根证书

R1(设定)#c加密PKI验证Verisign2015

输入基本的64位编码的CA证书。
以空行或单词“ quit”结尾

––BEGIN证书-
MIIE0DCCBDmgAwIBAgIQJQzo4DBhLp8rifcFTXz4 / TANgkqhkiG9w0BAQUFADBf
MQswCQYDVQQGEwJVUzEXMBUGA1UEChMOVmVyaVNpZ24sIEluYy4xNzA1BgNVBAsT
LkNsYXNzIDMgUHVibGljIFByaW1hcnkgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkw
HhcNMDYxMTA4MDAwMDAwWhcNMjExMTA3MjM1OU5WjCByjELMAkGA1UEBhMCVVMx
FzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMR8wHQYDVQQLExZWZXJpU2InbiBUcnVz
j + XTGoasjY5rw8 + AatRIGCx7GS4wJRYjaHR0cDovL2xvZ28udmVyaXNpZ24uY29t
L3ZzbG9nby5naWYwNAYIKwYBBQUHAQEKDAmMCQGCCsGAQUFBzABhhhodHRwOi8v
b2NzcC52ZXJpc2lnbi5jb20wPgYDVR0lBDcwNQYIKwYBBQUHAwEGCCsGAQUFBwMC
BggrBgEFBQcDAwYJYIZIAYb4QgQBBgpghkgBhvhFAQgBMA0GCSqGSIb3DQEBBQUA
A4GBABMC3fjohgDyWvj4IAxZiGIHzs73Tvm7aGY5eE43U68ZhjTresY8g3JbT5K
lCDDPLq9ZVTGr0SzEK0saz6r1we2uIFjxfleLuUqZ87NMwwq14lWAyMfs77oOghZ
tOxFNfeKW / 9mz1Cvxm1XjRl4t7mi0VfqH5pLr7rJjhJ + xr3 /
-结束证书-

Trustpoint“ Verisign2015”是从属CA,并持有非自签名证书
证书具有以下属性:
       指纹MD5:F91FFEE6 A36B9988 41D467DD E5F8977A
     指纹SHA1:32F30882 622B87CF 8856C63D B873DF08 53B4DD27

%您接受此证书吗? [是/否]:是
接受Trustpoint CA证书。
%证书成功导入

6.在思科路由器上安装签名的SSL证书

R1(配置)# crypto pki导入Verisign2015证书

输入基数为64的编码证书。
以空行或单词“ quit”结尾

––BEGIN证书-
MIIFgTCCBGmgAwIBAgIQKjCOdOIFbDkbDAxmz + KJjANBgkqhkiG9w0BAQUFADCB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 + wlVsmCpgCe5MPMUw / SpQj0gV3zIv5oeMvDfpJN + olwhqJI
hOfPbPdr7dX / ep5JELJUDaAl5AFiON75PYJBtUcrnYuduzqdpY51MV0lUXsa7GP
0kR0ngAfTotDmE76iV5Uno / FiJtVTTM0ZqidPWihJprmtNUjH8BnLO8jA3Kwqw
qvKgAXbJnBOrYb7gGVlPC6r4LPhX7B6dwDaoRDpliSvGBpGAEx6POIW5tD8lvUW
RCZisxlco3oFnxJj6V7hm17dzfnELz49Nisa4vcgfW9eI3Z + 2gtM0fT5 / oVGDKb
4zRQ + 2tLUF72B1WlfFZ4YFl7 / m7
-结束证书-

%路由器证书成功导入

7.在新的TrustPoint中导入对等中间/根证书

crypto pki trustpoint客户
 enrollment terminal
 吊销检查无
!

R1(配置)# crypto pki验证客户

输入基本的64位编码的CA证书。
以空行或单词“ quit”结尾

––BEGIN证书-
MIIE0DCCBDmgAwIBAgIQJQzo4DBhLp8rifcFTXz4 / TANgkqhkiG9w0BAQUFADBf
MQswCQYDVQQGEwJVUzEXMBUGA1UEChMOVmVyaVNpZ24sIEluYy4xNzA1BgNVBAsT
LkNsYXNzIDMgUHVibGljIFByaW1hcnkgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkw
HhcNMDYxMTA4MDAwMDAwWhcNMjExMTA3MjM1OU5WjCByjELMAkGA1UEBhMCVVMx
FzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMR8wHQYDVQQLExZWZXJpU2InbiBUcnVz
j + XTGoasjY5rw8 + AatRIGCx7GS4wJRYjaHR0cDovL2xvZ28udmVyaXNpZ24uY29t
L3ZzbG9nby5naWYwNAYIKwYBBQUHAQEKDAmMCQGCCsGAQUFBzABhhhodHRwOi8v
b2NzcC52ZXJpc2lnbi5jb20wPgYDVR0lBDcwNQYIKwYBBQUHAwEGCCsGAQUFBwMC
BggrBgEFBQcDAwYJYIZIAYb4QgQBBgpghkgBhvhFAQgBMA0GCSqGSIb3DQEBBQUA
A4GBABMC3fjohgDyWvj4IAxZiGIHzs73Tvm7aGY5eE43U68ZhjTresY8g3JbT5K
lCDDPLq9ZVTGr0SzEK0saz6r1we2uIFjxfleLuUqZ87NMwwq14lWAyMfs77oOghZ
tOxFNfeKW / 9mz1Cvxm1XjRl4t7mi0VfqH5pLr7rJjhJ + xr3 /
-结束证书-

Trustpoint“客户”是下级CA,并持有非自签名证书
证书具有以下属性:
       指纹MD5:F91FFEE6 A36B9988 41D467DD E5F8977A
     指纹SHA1:32F30882 622B87CF 8856C63D B873DF08 53B4DD27

%您接受此证书吗? [是/否]:是
接受Trustpoint CA证书。
%证书成功导入

8.验证TrustPoint

R1#s加密PKI信任点如何
Trustpoint Verisign2015:
    Subject Name:
   cn = 赛门铁克 3类安全服务器CA – G4
   ou =赛门铁克信任网络
   o = 赛门铁克 Corporation
    c=US
         序列号(十六进制):513FB9743870B73440418D30930699FF
   证书已配置。


Trustpoint客户:
    Subject Name:
   o =客户根证书颁发机构
    c=CA
    st=Saskatchewan
    cn=Customer CA 2025
         序列号(十六进制):0082809023512072AD
   证书已配置。

9.验证证书和隧道

R1#s如何加密PKI证书
CA证书
  Status: Available
 证书序列号(十六进制):0082809023512072AD
 证书用法:通用
  Issuer:
   o =客户根证书颁发机构
    c=CA
    st=Saskatchewan
    cn=Customer CA 2025
  Subject:
   o =客户根证书颁发机构
    c=CA
    st=Saskatchewan
    cn=Customer CA 2025
  Validity Date:
   开始日期:2015年3月30日美国东部时间10:55:50
    结束  日期:2025年3月27日美国东部时间10:55:50
 关联的信任点:客户
 存储:nvram:CustomerRootCerti#72ADCA.cer

证书
  Status: Available
 证书序列号(十六进制):44FC828CB095BC3BA7D553F4F4BF9EBA
 证书用法:通用
  Issuer:
   cn = 赛门铁克 3类安全服务器CA – G4
   ou =赛门铁克信任网络
   o = 赛门铁克 Corporation
    c=US
  Subject:
    Name: R1.gi-de.com
    cn=R1.gi-de.com
    o=Giesecke &Devrient Systems加拿大公司
    l=Markham
    st=Ontario
    c=CA
 CRL分发点:
    http://ss.symcb.com/ss.crl
  Validity Date:
   开始日期:2015年12月30日美国东部时间19:00:00
    结束  日期:2018年12月30日美国东部时间18:59:59
 关联的信任点:Verisign2015
 存储:nvram:SymantecClas#9EBA.cer

CA证书
  Status: Available
 证书序列号(十六进制):513FB9743870B73440418D30930699FF
 证书用法:签名
  Issuer:
   cn = VeriSign 3类公共一级证书颁发机构– G5
   ou =(c)2006 VeriSign
     Inc. –仅供授权使用
   ou = VeriSign信任网络
    o=VeriSign
     Inc.
    c=US
  Subject:
   cn = 赛门铁克 3类安全服务器CA – G4
   ou =赛门铁克信任网络
   o = 赛门铁克 Corporation
    c=US
 CRL分发点:
    http://s1.symcb.com/pca3-g5.crl
  Validity Date:
   开始日期:2013年10月30日美国东部时间20:00:00
    结束  日期:美国东部时间2023年10月30日19:59:59
 关联的信任点:Verisign2015
 存储:nvram:VeriSignClas#99FFCA.cer



R1#显示crypto isakmp sa详细信息
代码:C – IKE配置模式,D –失效对等检测
       K – Keepalive,N –遍历NAT
       T – cTCP封装,X – IKE扩展身份验证
       psk –预共享密钥,rsig – RSA签名
       renc – RSA加密
IPv4加密ISAKMP SA

编号 Local           Remote          I-VRF    状态Encr哈希身份验证DH生命周期上限。

1073 19.26.116.141 20.19.60.26           ACTIVE aes  sha2 西格 14 20:28:46 D
       Engine-id:Conn-id =  SW:73

IPv6加密ISAKMP SA


注意:路由器的完整配置

R1#
建筑配置…

当前配置:15460字节
!
!上次配置更改于2016年1月8日(美国东部标准时间)16:00:32,由john
! NVRAM配置最后更新时间为2016年1月8日美国东部时间16:01:19 约翰
! NVRAM配置最后更新时间为2016年1月8日美国东部时间16:01:19 约翰
版本15.1
没有服务垫
服务tcp-keepalives-in
服务tcp-keepalives-out
服务时间戳调试日期时间毫秒本地时间显示时区
服务时间戳记日志日期时间毫秒本地时间显示时区
服务密码加密
服务序列号
!
主机名R1
!
引导开始标记
引导结束标记
!
!
日志记录缓冲409600
启用秘密5 $ 1 $ iNJa $ 8RiUCW5Tt9nPa5kMW.PT0 /
!
!      
ipc区域默认
 association 1
  no 关掉
  protocol sctp
   local-port 5000
   本地IP 192.168.20.139
   重传超时300 10000
    path-retransmit 10
    assoc-retransmit 10
   remote-port 5000
   远程IP 192.168.20.140
!
aaa新模型
!
!
aaa身份验证登录默认本地组半径组tacacs +
aaa身份验证启用默认启用组半径组tacacs +
aaa授权控制台
aaa授权执行程序默认本地组半径组tacacs +
aaa会计执行官默认启动-停止组tacacs +
aaa accounting命令1个默认的仅停止组tacacs +
aaa accounting命令5个默认的仅停止组tacacs +
aaa记帐命令15个默认的仅停止组tacacs +
aaa会计系统默认的起止组tacacs +
!
!
!
!
!
aaa session-id common
!
时钟时区EST -5 0
夏令时定期重播
错误恢复导致bpduguard
!
没有ipv6 cef
没有ip源路由
没有ip免费的arps
ip cef
!
!
!
ip dhcp bootp忽略
!
!
没有IP Bootp服务器
ip域名gd.com
ip名称服务器8.8.8.8
ip名称服务器8.8.4.4
登录块-60内进行120次尝试3
登录失败日志
登录成功日志
!
多链路捆绑名称已认证
!
crypto pki令牌默认删除超时0
!
加密PKI Trustpoint Verisign2015
 enrollment terminal
 fqdn R1.gi-de.com
 主题名称CN = R1.test.com,OU = IT,O = G&D,C = CA,ST =安大略省,L =万锦
 吊销检查无
 rsakeypair R1.test.com
!
crypto pki trustpoint客户
 enrollment terminal
 吊销检查无
!
!
加密pki证书链Verisign2015
 证书44FC828CB095BC3BA7D553F4F4BF9EBA
 308204FD 308203E5 A0030201 02021044 FC828CB0 95BC3BA7 D553F4F4 BF9EBA30
 0D06092A 864886F7 0D01010B 0500307E 310B3009 06035504 06130255 53311D30
 1B060355 040A1314 53796D61 6E746563 20436F72 706F7261 74696F6E 311F301D
 06035504 0B131653 796D616E 74656320 54727573 74204E65 74776F72 6B312F30
 2D060355 04031326 53796D61 6E746563 20436C61 73732033 20536563 75726520
 53657276 65722043 41202D20 4734301E 170D3135 31323331 30303030 30305A17
 0D313831 32333032 33353935 395A3081 85310B30 09060355 04061302 43413110
 300E0603 5504080C 074F6E74 6172696F 3110300E 06035504 070C074D 61726B68
 616D312F 302D0603 55040A0C 26476965 7365636B 65202620 44657672 69656E74
 20537973 74656D73 2043616E 61646120 496E6331 21301F06 03550403 0C18522D
 544F5231 2D495053 65632D31 2E67692D 64652E63 6F6D3082 0122300D 06092A86
 4886F70D 01010105 00038201 0F003082 010A0282 010100A7 FC4C44EB B6663518
 6E3B5521 90241DE0 10F831FC B291F54D 2A5A0824 38C6BD63 526A4C01 8994442A
 2C4543FB 58C29C01 7F820CEE 1CC89537 083FDAAD DE15CB65 76F3188F 8977B1E9
 36FDFAC9 0DB9C7E1 A3781D41 DD0B8F78 5ED6BF2A 71862C17 06E5E2C4 C1505FA9
 BB8E3A97 9226C8AD 6BA596A8 A717003A 57E3E3FC 68CADDD3 00715B72 5F729321
 6CF031E0 614AB912 2A75B121 ED4FDC0B 80846343 F6AED8DF 911759A7 8A897F49
 73B712FB 3720910E A9CBC536 6890BE1E EC0EF021 9A5674C6 CA33DDF6 DC663AFA
 FED35E2B AF9B0B4E DC11FB19 2832E02E F339A23F 99172FFF 460D480C 8BA25283
 82FA8EAC 043DC71A 41ED7C32 AECC9B37 EF87BF06 F899F902 03010001 A382016D
 30820169 30230603 551D1104 1C301A82 18522D54 4F52312D 49505365 632D312E
 67692D64 652E636F 6D300906 03551D13 04023000 300E0603 551D0F01 01FF0404
 030205A0 302B0603 551D1F04 24302230 20A01EA0 1C861A68 7474703A 2F2F7373
 2E73796D 63622E63 6F6D2F73 732E6372 6C306106 03551D20 045A3058 30560606
 67810C01 0202304C 30230608 2B060105 05070201 16176874 7470733A 2F2F642E
 73796D63 622E636F 6D2F6370 73302506 082B0601 05050702 0230190C 17687474
 70733A2F 2F642E73 796D6362 2E636F6D 2F727061 301D0603 551D2504 16301406
 082B0601 05050703 0106082B 06010505 07030230 1F060355 1D230418 30168014
 5F60CF61 9055DF84 43148A60 2AB2F57A F44318EF 30570608 2B060105 05070101
 044B3049 301F0608 2B060105 05073001 86136874 74703A2F 2F73732E 73796D63
 642E636F 6D302606 082B0601 05050730 02861A68 7474703A 2F2F7373 2E73796D
 63622E63 6F6D2F73 732E6372 74300D06 092A8648 86F70D01 010B0500 03820101
 00A9EA06 9A561D11 EB72E8C3 0FA4453C FFE376C8 E389BC20 B1A93B72 FA576E4F
 5E598F26 F12E8636 77944F89 105C0802 B4D7D3EC E1E2F550 FC0DB830 B8336C29
 407BC555 E36BB83B 83E29399 55379BCC A2AF808D 2A4CD262 9C1787C5 7CA2029B
 AAF5F6C0 57B0A869 4B822E2A 3355A2A5 F6F8D261 DBE46DB4 3782C9E8 186D739A
 5865E249 FE9CA2CF 4D5F6974 4E959F51 8BB69E49 C4339211 978652F3 2A08858B
 6859D3C5 30E3642C 4E670C9F C554C59A 648FF9E3 C1BAD434 062832B3 23B72814
 60E8962E FA62F32A 38C2D432 57BD06D3 91DABA89 24A1B688 5409DA04 1EA0A93E
 CF4CA550 4A0378DF FF74B724 C48F8A43 FE5B36F3 C95C25A3 C488D881 8E40BE1F
  C0
        quit
 证书ca 513FB9743870B73440418D30930699FF
 30820538 30820420 A0030201 02021051 3FB97438 70B73440 418D3093 0699FF30
 0D06092A 864886F7 0D01010B 05003081 CA310B30 09060355 04061302 55533117
 30150603 55040A13 0E566572 69536967 6E2C2049 6E632E31 1F301D06 0355040B
 13165665 72695369 676E2054 72757374 204E6574 776F726B 313A3038 06035504
 0B133128 63292032 30303620 56657269 5369676E 2C20496E 632E202D 20466F72
 20617574 686F7269 7A656420 75736520 6F6E6C79 31453043 06035504 03133C56
 65726953 69676E20 436C6173 73203320 5075626C 69632050 72696D61 72792043
 65727469 66696361 74696F6E 20417574 686F7269 7479202D 20473530 1E170D31
 33313033 31303030 3030305A 170D3233 31303330 32333539 35395A30 7E310B30
 09060355 04061302 5553311D 301B0603 55040A13 1453796D 616E7465 6320436F
 72706F72 6174696F 6E311F30 1D060355 040B1316 53796D61 6E746563 20547275
 7374204E 6574776F 726B312F 302D0603 55040313 2653796D 616E7465 6320436C
 61737320 33205365 63757265 20536572 76657220 4341202D 20473430 82012230
 0D06092A 864886F7 0D010101 05000382 010F0030 82010A02 82010100 B2D805CA
 1C742DB5 175639C5 4A520996 E84BD80C F1689F9A 422862C3 A530537E 5511825B
 037A0D2F E17904C9 B4967719 81019459 F9BCF77A 9927822D B783DD5A 277FB203
 7A9C5325 E9481F46 4FC89D29 F8BE7956 F6F7FDD9 3A68DA8B 4B823341 12C3C83C
 CCD6967A 84211A22 04032717 8B1C6861 930F0E51 80331DB4 B5CEEB7E D062ACEE
 B37B0174 EF6935EB CAD53DA9 EE9798CA 8DAA440E 25994A15 96A4CE6D 02541F2A
 6A26E206 3A6348AC B44CD175 9350FF13 2FD6DAE1 C618F59F C9255DF3 003ADE26
 4DB42909 CD0F3D23 6F164A81 16FBF283 10C3B8D6 D855323D F1BD0FBD 8C52954A
 16977A52 2163752F 16F9C466 BEF5B509 D8FF2700 CD447C6F 4B3FB0F7 02030100
 01A38201 63308201 5F301206 03551D13 0101FF04 08300601 01FF0201 00303006
 03551D1F 04293027 3025A023 A021861F 68747470 3A2F2F73 312E7379 6D63622E
 636F6D2F 70636133 2D67352E 63726C30 0E060355 1D0F0101 FF040403 02010630
 2F06082B 06010505 07010104 23302130 1F06082B 06010505 07300186 13687474
 703A2F2F 73322E73 796D6362 2E636F6D 306B0603 551D2004 64306230 60060A60
 86480186 F8450107 36305230 2606082B 06010505 07020116 1A687474 703A2F2F
 7777772E 73796D61 7574682E 636F6D2F 63707330 2806082B 06010505 07020230
 1C1A1A68 7474703A 2F2F7777 772E7379 6D617574 682E636F 6D2F7270 61302906
 03551D11 04223020 A41E301C 311A3018 06035504 03131153 796D616E 74656350
 4B492D31 2D353334 301D0603 551D0E04 1604145F 60CF6190 55DF8443 148A602A
 B2F57AF4 4318EF30 1F060355 1D230418 30168014 7FD365A7 C2DDECBB F03009F3
 4339FA02 AF333133 300D0609 2A864886 F70D0101 0B050003 82010100 5E945649
 DD8E2D65 F5C13651 B603E3DA 9E7319F2 1F59AB58 7E6C2605 2CFA81D7 5C231722
 2C3793F7 86EC85E6 B0A3FD1F E232A845 6FE1D9FB B9AFD270 A0324265 BF84FE16
 2A8F3FC5 A6D6A393 7D43E974 21913528 F463E92E EDF7F55C 7F4B9AB5 20E90ABD
 E045100C 14949A5D A5E34B91 E8249B46 4065F422 72CD99F8 8811F5F3 7FE63382
 E6A8C57E FED008E2 25580871 68E6CDA2 E614DE4E 52242DFD E5791353 E75E2F2D
 4D1B6D40 15522BF7 87897812 416ED94D AA2D78D4 C22C3D08 5F87919E 1F0EB0DE
 30526486 89AA9D66 9C0E760C 80F274D8 2AF8B83A CED7D60F 11BE6BAB 14F5BD41
 A0226389 F1BA0F6F 2963662D 3FAC8C72 C5FBC7E4 D40FF23B 4F8C29C7
        quit
加密pki证书链客户
 证书ca 0082809023512072AD
 3082035D 30820245 A0030201 02020900 82809023 512072AD 300D0609 2A864886
 F70D0101 0B050030 65311430 12060355 0403130B 53474920 43412032 30323531
 15301306 03550408 130C5361 736B6174 63686577 616E310B 30090603 55040613
 02434131 29302706 0355040A 13205347 4920526F 6F742043 65727469 66696361
 74696F6E 20417574 686F7269 7479301E 170D3135 30333330 31343535 35305A17
 0D323530 33323731 34353535 305A3065 31143012 06035504 03130B53 47492043
 41203230 32353115 40130603 55040813 0C536173 6B617463 68657761 6E310B30
 09060355 04061302 43413129 30270603 55040A13 20534749 20526F6F 74204365
 72746966 69636174 696F6E20 41757468 6F726974 79308201 22300D06 092A8648
 86F70D01 01010500 0382010F 00308201 0A028201 0100D005 9F2F2CF8 1C09E988
 56577004 EECEE3A2 545AE573 7FE704C8 E1E6F722 CC4B745E 36C860A7 5E0590A1
 7CE42928 3CD72621 7290E6FC 250F2E34 647D3DDE DF8306D8 6C28E3BD 3FD5FA92
 D2B3406C 44DBD66C 2F69E895 861F93C6 A052143E F814245D 0C8DDE69 A2A0FAAC
 F337E69C 843426AB DD19E5C9 F60DB892 503414B9 1E678FE0 93652A7F E4FB8990
 8894D38E 9795C691 F52D331C CA529033 CF90F4E3 98E7177E B69882EF CD2D9532
 32180C7D 12C517A5 8C737C63 FED361C9 CEB8C8AD 59399CCF 3C7B1810 E0EA5CCA
 D774519D 76C0C50A 293322CF 44339523 6F8339F7 18CB539A 19D01136 70D46A13
 21E50BBE C0C8B7DC 8955E88D 48DD7D31 1511986B B5DD0203 010001A3 10300E30
 0C060355 1D130405 30030101 FF300D06 092A8648 86F70D01 010B0500 03820101
 006302EE 40D8BADA 7D69A3C1 A7C03BE0 6BBD1410 B65679CC 7FAFC590 F0500E0A
 1E44A841 B44F11C4 17E8DC94 124476C1 C7D352D3 5967554F 6571F067 D366622F
 C3A6ABAA 2FF2433C D9773D80 F99875BA 593D4F55 40194E12 AE01CC57 51E43C53
 063EE6A0 580E837C B9C65739 E6BBC58F 752CFA34 7CE9BB45 4C494B49 FA90FBEB
 1FE60AC2 7010EE86 644D1414 C402436B 26C58B9D FDA1D3DD 27DECDE7 123CDBB7
 8C640943 3C56945C 9A7E4AA7 DDF70EDE 379BA01B 2E4D0A1D 624B8E8D BEC63755
 529C9025 23632ABA 0365EAC2 A99C0B2F BB71C451 63BCD096 FA9501E3 C8976C2B
 832E80D5 2FF61A7D 72215D6A 12E5F1CE 09722146 2AC182F4 FE00A902 62EE3D31 39
        quit
许可证udi pid CISCO1921 / K9 sn FGL1529E0
!
!
封存
 log config
  logging enable
  logging size 200
 通知syslog contenttype纯文本
  hidekeys
!
没有生成树优化bpdu传输
生成树uplinkfast
生成树骨干
vtp域gd
VTP模式透明
用户名localit权限15秘密5 $ 1 $ P3q。$ qQBIHNYDUCZH5y0XWTXzbq0
用户名localit自动命令显示正在运行
用户名localadmin权限7秘密5 $ 1 $ OgOX $ owjSeZlPaU0A3K8DQJechd。
用户名cadmin权限15秘密5 $ 1 $ PE7E $ Yyud3NJ2bl0OPSVkN0PQ //
!
冗余设备间
 scheme standby 虚拟专用网 HA
!
!
冗余
加密ikev2提案aes-sha-256提案
 加密AES-CBC-256
 integrity sha256
 group 14
!
加密ikev2策略ike2policy
 提案AES-SHA-256-提案
!
加密ikev2密钥环VPN-KEYS
 peer Customer
  address 20.19.60.26
 预共享密钥本地cisco123
 预共享密钥远程cisco123
 !
!
加密ikev2密钥环Test-KEYS
 peer Test
 地址19.26.116.137
 预共享密钥cisco123
 !
!
!
crypto ikev2个人资料客户
 匹配身份远程地址20.19.60.26 255.255.255.255
 身份本地地址19.26.116.141
 身份验证本地预共享
 身份验证远程预共享
 keyring 虚拟专用网 -KEYS
!
加密ikev2配置文件测试
 匹配身份远程地址0.0.0.0
 匹配身份远程地址19.26.116.137 255.255.255.255
 身份本地地址19.26.116.141
 身份验证本地预共享
 身份验证远程预共享
 keyring Test-KEYS
!
!
!
ip ssh超时10
ip ssh记录事件
ip ssh版本2
!
Track 1接口GigabitEthernet0 / 0线路协议
!
Track 2接口GigabitEthernet0 / 1线路协议
!
类映射类型端口过滤器匹配任何TCP23
 match  port tcp 23
!      
!
策略映射类型端口过滤器FILTERTCP23
 class TCP23
   drop
    log
!
!
!
crypto isakmp策略1
 encr aes 256
 hash sha256
 group 14
加密isakmp密钥cisco123地址20.19.60.26 no-xauth
加密货币isakmp keepalive 10
crypto isakmp主动模式禁用
!
!
加密ipsec转换集mysec esp-aes 256 esp-sha256-hmac
!
加密地图VPN 10 ipsec-isakmp
 set peer 20.19.60.26
 设置转换集mysec
 set pfs group14
 match address Gand
 reverse-route
!
!
!
!
!
接口Embedded-Service-Engine0 / 0
 no ip address
 shutdown
!
接口GigabitEthernet0 / 0
 IP地址19.26.116.139 255.255.255.192
 ip计费输出包
 待机199 ip 19.26.116.141
 待机199优先级105
 standby 199 preempt
 备用199名称VPNHA
 待机199轨道2递减10
 duplex auto
 speed auto
 加密映射vpn冗余VPNHA有状态
!
接口GigabitEthernet0 / 1
 IP地址192.168.20.139 255.255.255.0
 备用200 ip 192.168.20.141
 待机200优先105
 standby 200 preempt
 备用200名客户
 待机200磁道1递减10
 duplex auto
 speed auto
!
ip转发协议
!
没有IP HTTP服务器
没有IP HTTP安全服务器
!
ip路由0.0.0.0 0.0.0.0 19.26.116.161
!
ip访问列表扩展Gand
 允许IP主机192.168.20.25 172.21.90.0 0.0.1.255
 允许icmp主机192.168.20.25 172.21.90.0 0.0.1.255
!
日志陷阱调试
日志10.9.20.33
访问列表101允许ip 10.9.200.0 0.0.0.255任何日志
访问列表101许可ip 19.26.116.0 0.0.0.255任何日志
访问列表110许可ip主机192.168.20.25主机17.2.1.91.37
访问列表110许可ip主机172.21.91.37主机192.168.20.25
!
!
!
!
!
!
!
!
控制平面
!
!
特权执行级别7显示配置
特权执行级7显示
横幅motd ^ C
****************************************************** **************
*这是一个私人计算机设施。                       *
*严禁未经授权使用本设备。     *
*违者将受到最大程度的起诉。 *
*                                                              *
*已完成TACACS + / RADIUS身份验证和授权。
*所有动作/命令均受到监视和记录。            *
*使用网络即表示您明确同意          *
*监视和记录。                                   *
****************************************************** **************
^ C
!
线骗子0
 exec-timeout 5 0
 logging synchronous
 登录身份验证CONAUTH
 stopbits 1
辅助线0
line 2
 没有激活字符
 no exec
 首选运输
 transport input all
 传输输出垫telnet rlogin lapb-ta拖把udptn v120 ssh
 stopbits 1
行vty 0 4
 access-class 101 in
 exec-timeout 5 0
 logging synchronous
 登录认证VTYAUTH
 transport input ssh
vty 5 15行
 access-class 101 in
 exec-timeout 5 0
 absolute-timeout 15
 logging synchronous
 登录认证VTYAUTH
 transport input ssh
!
调度程序分配20000 1000
ntp服务器0.ca.pool.ntp.org
ntp服务器1.ca.pool.ntp.org
ntp服务器2.ca.pool.ntp.org
ntp服务器3.ca.pool.ntp.org
结束


以下是思科论坛所有步骤的摘要 发布 :

通常,您需要做的是(典型情况)

在所有系统上(包括CA)
–设置正确的时间(强烈建议使用NTP)
–配置主机名和域名。
–生成RSA密钥。私人和公共它们将用于加密/签名证书。

在ASA / IOS设备上,您要注册:
–根据需要配置信任点(crl,enrollemtn方法等)。
–您通过引入颁发证书的CA来认证​​信任点。
–然后,您生成CSR或通过SCEP注册。
–您从CA下载/导入证书。它由CA的公钥签名。

您的证书通常分为两部分-您的身份证书,向您颁发证书的受信任的第三方证书。

一切归结为您信任的人,如果您希望一方使用委托,另一方使用Verisign,则需要在设备中对适当的CA进行认证。

现在,所有现代操作系统都将为您提供证书存储中知名的受信任第三方的列表。这就是为什么当您作为用户进入“ my_internet_bank.com”时不需要信任任何东西。
在ASA或IOS上不是这种情况,没有默认的受信任第三方列表,所有操作都必须手动完成。

通过 约翰

发表评论