https://www.opennet.ru/openforum/vsluhforumID6/16469.html Здравствуйте.<br><br>Есть желание сделать, что бы IPSec работал через сертификаты а не через preshare key.<br>Для этого я хочу поднять на 2811 сервер сертификатов, а 871 что бы была клиентом. Очень может быть что просто не понимаю что делаю. Перечитал <br>http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_pki_overview_ps9587_TSD_Products_Configuration_Guide_Chapter.html<br>http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_cert_enroll_pki_ps9587_TSD_Products_Configuration_Guide_Chapter.html<br>http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_cfg_mng_cert_serv_ps9587_TSD_Products_Configuration_Guide_Chapter.html<br><br>после чего на 2811 сотворил вот такое<br>crypto pki server с2811<br> grant auto rollover ca-cert<br> auto-rollover 25<br>!<br>crypto pki trustpoint с2811<br> revocation-check crl<br> rsakeypair с2811<br>!<br>!<br>crypto pki certificate chain с2811<br> certificate ca 01<br> 308201FF 30820168 A0030201 02020101 300D0609 2A864886 F70D0101 04050030<br> 13311130 0F060355 04031308 67736 https://www.opennet.ru/openforum/vsluhforumID6/16469.html#17 Mon, 09 Jun 2008 13:54:12 GMT &gt;&gt;crypto pki server CA <br>&gt;&gt; issuer-name CN=CA-VPN,DC=****,DC=lan <br>&gt;<br>&gt;это случайность или так и надо что сервер СА, а issuer-name CN=CA-VPN? <br>&gt;<br><br>да. <br> https://www.opennet.ru/openforum/vsluhforumID6/16469.html#16 Mon, 09 Jun 2008 11:21:37 GMT &gt;не знаю важно это или нет но крипто мапы у меня висят <br>&gt;на тех интерфейсах на которых висит сервер и т.д. Может быть <br>&gt;после включения криптомапов у меня пиры не могу договориться потому что <br>&gt;ipsec не поднялся? <br><br>я оказался прав после того как это недорозумение было иправлено тунел сразу заработал<br>спасибо ilya за участие.<br> https://www.opennet.ru/openforum/vsluhforumID6/16469.html#15 Mon, 09 Jun 2008 09:26:39 GMT последние новости такие.<br>сам роутер мне удалось зарегистрировать на сервере сертификатов<br>фишка была в том что при регистрации строка должна была выглядеть вот так<br>crypto ca auth CA-local, а не crypto ca auth с2811<br><br>crypto pki server c2811<br> grant auto<br> lifetime certificate 3<br> lifetime ca-certificate 1825<br>!<br>crypto pki trustpoint с2811<br> enrollment url http://с2811:80<br> revocation-check crl<br> rsakeypair с2811<br>!<br>crypto pki trustpoint CA-local<br> enrollment url http://192.168.1.2:80<br> serial-number<br> revocation-check none<br><br>теперь в логаз ipsec исчезли те ошибки которые были, зато появились другие, вот полный лог:<br><br><br>Jun 9 12:18:58 192.168.1.2 95534: Jun 9 09:15:08.386: ISAKMP:(1021):purging SA., sa=49E0E13C, delme=49E0E13C<br>Jun 9 12:18:58 192.168.1.2 95535: Jun 9 09:15:09.358: ISAKMP (0:0): received packet from 192.168.1.33 dport 500 sport 500 Global (N) NEW SA<br>Jun 9 12:18:58 192.168.1.2 95536: Jun 9 09:15:09.358: ISAKMP: Created a peer struct for 192.168.1.33, peer port 500<br>Jun 9 12:18:58 https://www.opennet.ru/openforum/vsluhforumID6/16469.html#14 Mon, 09 Jun 2008 06:49:59 GMT &gt;crypto pki server CA <br>&gt; issuer-name CN=CA-VPN,DC=****,DC=lan <br><br>это случайность или так и надо что сервер СА, а issuer-name CN=CA-VPN?<br> https://www.opennet.ru/openforum/vsluhforumID6/16469.html#13 Mon, 09 Jun 2008 06:46:02 GMT &gt;[оверквотинг удален]<br>&gt; serial-number <br>&gt; revocation-check crl <br>&gt; rsakeypair CA-rsa-key <br>&gt; auto-enroll <br>&gt;! <br>&gt;crypto pki trustpoint CA-local <br>&gt; enrollment url http://local_ip:80 <br>&gt; revocation-check none <br>&gt;! <br>&gt;CA-local у меня используется для IPSEC сертификатов. <br><br>мой пост номер 4<br>цитата:<br>---------------<br>вот тут я пытался создать еще один trustpoint на 2811, что бы сам сервер получил сертификат.<br>так после crypto ca authenticate c2811<br><br>% Please delete your existing CA certificate first.<br>% You must use 'no crypto pki trustpoint &lt;trustpoint-name&gt;' to delete the CA certificate.<br>---------------<br> https://www.opennet.ru/openforum/vsluhforumID6/16469.html#12 Mon, 09 Jun 2008 06:23:20 GMT &gt;&gt;а зачем вам са сертификат? сделайте енлолл. <br>&gt;<br>&gt;crypto ca enroll с2811 <br>&gt;% Trustpoint с2811 is used by the IOS CA. Manual enrollment not <br>&gt;permitted. <br><br>брр. погодите - сделайте отдельный трастпойнт. по аналогии с 870й.<br><br><br>crypto pki server CA<br> database level complete<br> issuer-name CN=CA-VPN,DC=****,DC=lan<br> lifetime crl 48<br> lifetime certificate 1095<br> lifetime ca-certificate 1825<br> cdp-url http://*********<br> database url flash:/CA/<br>!<br>crypto pki trustpoint CA<br> serial-number<br> revocation-check crl<br> rsakeypair CA-rsa-key<br> auto-enroll<br>!<br>crypto pki trustpoint CA-local<br> enrollment url http://local_ip:80<br> revocation-check none<br>!<br>CA-local у меня используется для IPSEC сертификатов.<br> https://www.opennet.ru/openforum/vsluhforumID6/16469.html#11 Mon, 09 Jun 2008 06:02:21 GMT &gt;а зачем вам са сертификат? сделайте енлолл. <br><br>crypto ca enroll с2811<br>% Trustpoint с2811 is used by the IOS CA. Manual enrollment not permitted.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/16469.html#10 Sat, 07 Jun 2008 17:20:01 GMT &gt;тоесть всетаки сервер тоже должен получить сертификат от самого себя и стать <br>&gt;членом PKI <br>&gt;но как это сделать если: <br>&gt;#crypto ca authenticate c2811 <br>&gt;<br>&gt;% Please delete your existing CA certificate first. <br>&gt;% You must use 'no crypto pki trustpoint &lt;trustpoint-name&gt;' to delete the CA certificate.<br><br>а зачем вам са сертификат? сделайте енлолл.<br> https://www.opennet.ru/openforum/vsluhforumID6/16469.html#9 Sat, 07 Jun 2008 09:22:45 GMT тоесть всетаки сервер тоже должен получить сертификат от самого себя и стать членом PKI<br>но как это сделать если:<br>#crypto ca authenticate c2811<br><br>% Please delete your existing CA certificate first.<br>% You must use 'no crypto pki trustpoint &lt;trustpoint-name&gt;' to delete the CA certificate.<br>