hostname R3
ip domain name cisco.com
//这两个命令必须配，用来生成key
!
crypto pki server R3
cdp-url tftp://10.0.78.102/R3.crl  //生成正书后，把相应的R3.crl文件上传到tftp服务 器上去
database level complete
database archive pem password 0 cisco123
issuer-name cn=CAServer, c=CN, o=BJENET
//这上面的4行是需要配置的，底下的两组pki命令都是router自己生成的，配置完后要no shutdown一下，只会ios会自己生成key(默认1024位)，如果你仔细的话会发现key的名字和pki server的名字是一样的，对头，你要是出于安全考虑，想自己生成一个2048位的key，那么就要注意pki server的名字需要和key的名字一样
!
crypto pki trustpoint R3
revocation-check crl
rsakeypair R3
!
crypto pki certificate chain R3
certificate ca 01
 3082023B 308201A4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
 31310F30 0D060355 040A1306 424A454E 4554310B 30090603 55040613 02434E31
 11300F06 03550403 13084341 53657276 6572301E 170D3036 30373231 31393332
 35325A17 0D303930 37323031 39333235 325A3031 310F300D 06035504 0A130642
 4A454E45 54310B30 09060355 04061302 434E3111 300F0603 55040313 08434153
 65727665 7230819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
 8100A80B 2C3A575A 8EE6C334 597DBF04 B2BFAE6F 900C37A6 2485D6A8 DDF2AD92
 899AA91E 353BE83C D28347D4 B2567602 E855D748 021F4E66 5F31C68C DAEB7D55
 8D4DB11E 2595BE5A 890BD2FD 5DF341E1 25EC8E4A C29B63FC F70A73E2 6B15B5EB
 9D5AA193 99A886CE 58FCE9F4 037EEADF E056AE02 10EC2B54 E27E51DA 4E5F00DA
 F0670203 010001A3 63306130 0F060355 1D130101 FF040530 030101FF 300E0603
 551D0F01 01FF0404 03020186 301F0603 551D2304 18301680 14AC9683 4830127C
 FA790371 5F41EAE2 27A72185 A9301D06 03551D0E 04160414 AC968348 30127CFA
 7903715F 41EAE227 A72185A9 300D0609 2A864886 F70D0101 04050003 81810061
 C47440E3 E0CA2B14 C144CAFA 8BFC1EF8 33992F65 E477A0E8 40B1DCA1 ED9DBD56
 FF98E71B 4CF12CB1 257AF839 C7667BFC E8DDD837 4DAB5268 7F82F1A9 86552A82
 18E397B3 7CFD3387 AFDFA7B4 60B39FEB 8B94A996 099C620E 0A2EB3A3 D0B54AC0
 CB60B2BC 4ED1F2C6 E337328C 4944877E BC64C241 AEAC546D 06D99D6A 10759C
 quit
!
ip http server
//把80端口打开，vpn client正是用这个端口从这个ca server获取证书
!
ntp server 129.6.15.28  //一定要让ca和vpn client的时间同步，当然最好的方法就是ntp了