23、高级IPsec VPN与Cisco路由器及CA的配置与故障排除

高级IPsec VPN与Cisco路由器及CA的配置与故障排除

1. 高级IPsec VPN与CA基础

配置与CA服务器的连接虽然复杂，但配置正确后，其功能具有可扩展性且易于管理。Cisco IOS软件通过CA互操作性支持以下CA产品：
- VeriSign OnSite 4.5
- Entrust Technologies
- Baltimore Technologies
- Microsoft Windows 2000 Certificate Server 5.0

要让路由器支持CA，需要完成多项任务：
1. 配置路由器的主机名和域名。
2. 设置路由器的日期、时间、时区，并配置NTP。
3. 将CA服务器添加到路由器的主机表中。
4. 生成RSA密钥对。
5. 声明CA。
6. 认证CA。
7. 请求证书。
8. 将配置保存到路由器。
9. 管理NVRAM中的密钥存储。
10. 管理路由器上的密钥。
11. 验证CA配置。

1.1 Q&A回顾

以下是一些常见问题及相关概念：
1. 数字签名 ：用于验证数据的完整性和发送者的身份。
2. 使用CA的对等体之间交换的密钥 ：通常是公钥。
3. CA维护的无效证书列表 ：称为证书吊销列表（CRL）。
4. 促进Cisco设备上CA之间数字证书传输的组件 ：未提及具