Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:为对等证书链验证配置设备

此示例说明如何为用于在 IKE 协商期间验证对等设备的证书链配置设备。

要求

开始之前,在提交本地证书请求时,获取证书颁发机构 (CA) 的地址及其所需的信息(如质询密码)。

概述

此示例说明如何为证书链配置本地设备,注册 CA 和本地证书,检查注册证书的有效性,以及检查对等设备的撤销状态。

拓扑

此示例显示了 Host-A 上的配置和操作命令,如图 1 所示。系统会自动在 Host-A 上创建动态 CA 配置文件,以允许 Host-A 从 Sales-CA 下载 CRL 并检查 Host-B 证书的撤销状态。

图 1:证书链示例 Certificate Chain Example
注意:

此示例显示了主机 A 的第 1 阶段和第 2 阶段协商的 IPsec VPN 配置。必须正确配置对等设备 (Host-B),以便成功协商第 1 阶段和第 2 阶段选项并建立安全关联 (SA)。

配置

要为证书链配置设备:

配置 CA 配置文件

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要配置 CA 配置文件:

  1. 为 Root-CA 创建 CA 配置文件。

  2. 创建 Eng-CA 的 CA 配置文件。

  3. 创建 Dev-CA 的 CA 配置文件。

结果

在配置模式下,输入命令以确认 show security pki 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

注册证书

逐步过程

要注册证书:

  1. 注册 CA 证书。

    提示时键入 yes 以加载 CA 证书。

  2. 验证设备中是否已注册 CA 证书。

  3. 验证注册的 CA 证书的有效性。

  4. 注册本地证书。

  5. 验证设备中是否已注册本地证书。

  6. 验证注册的本地证书的有效性。

  7. 检查 CRL 下载中配置的 CA 配置文件。

配置 IPsec VPN 选项

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要配置 IPsec VPN 选项:

  1. 配置第 1 阶段选项。

  2. 配置第 2 阶段选项。

结果

在配置模式下,输入和 show security ipsec 命令以确认show security ike您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证

如果在对等设备之间的 IKE 协商期间证书验证成功,将同时建立 IKE 和 IPsec 安全关联 (SA)。

验证 IKE 第 1 阶段状态

目的

验证 IKE 第 1 阶段状态。

行动

show services ipsec-vpn ike security-associations 操作模式下输入命令。

验证 IPsec 第 2 阶段状态

目的

验证 IPsec 第 2 阶段状态。

行动

show services ipsec-vpn ipsec security-associations 操作模式下输入命令。

已撤销证书的 IKE 和 IPsec SA 故障

检查撤销的证书

问题

如果在对等设备之间的 IKE 协商期间证书验证失败,请检查以确保对等方证书是否已被撤销。动态 CA 配置文件允许本地设备从对等方 CA 下载 CRL 并检查对等方证书的撤销状态。要启用动态 CA 配置文件, revocation-check crl 必须在父 CA 配置文件上配置选项。

解决 方案

检查对等方证书的撤销状态:

  1. 通过从操作模式输入 show security pki crl 命令,识别显示对等设备的 CRL 的动态 CA 配置文件。

    会在主机 A 上自动创建 CA 配置文件 dynamic-001 ,以便 Host-A 可以从主机 B 的 CA (Sales-CA) 下载 CRL 并检查对等方证书的撤销状态。

  2. 从操作模式输入命令,显示动态 CA 配置文件的 show security pki crl ca-profile dynamic-001 detail CRL 信息。

    进入

    Host-B 的证书(序列号 10647084)已被撤销。