配置ios ca server时需要注意的cdp-url问题
以前还是没有注意看文档,其实就是没有理解用证书认证的过程,具体咋回事,往下看吧。我原来的ios ca server是这样配置的
crypto pki server R3 database level complete database archive pem password 7 01100F175804575D72 issuer-name cn=CAServer
grant auto cdp-url http://10.0.78.203/R3.crl
“cdp-url http://10.0.78.203/R3.crl” //10.0.78.203是CA的ip地址
这么配置是错误的,这样配置就导致了申请证书的router或者pix把cdp设置为http://10.0.78.203/R3.crl,但ios ca router本身是不能用http来发布crl。这就导致了,当我用7206VXR使用rsa-sig做ra的vpn server时,一旦vpn client拨入,7206VXR首先会查询revocation状态,看看这个证书是否可用,根据证书里的配置,cdp的地址是http://10.0.78.203/R3.crl,从这个地址是根本无法获取crl的,所以导致了这个证书被7206VXR拒绝,认证就失败了。
解决方法:
1。在ios ca server本身起一个tftp服务,然后把cdp-url设置成自己就可以了
crypto pki server R3
database level complete
database archive pem password 7 01100F175804575D72
issuer-name cn=CAServer
grant auto
cdp-url tftp://10.0.78.203/R3.crl
tftp-server nvram:R3.crl
2。把ca server的生成的crl文件上传到一个tftp服务器,然后把cdp-url指向那个tfpt服务器就可以了,原理和方法1是一样的。
3。在vpn server上关闭revocation-check
crypto pki trustpoint R3
revocation-check none
4。在vpn server上建立certificate-map,对某个证书关闭revocation check,其实跟方法3是一个道理。
crypto pki trustpoint R3
match certificate vpn skip revocation-check
!
crypto pki certificate map vpn 10
subject-name co yunwei
总结:最好的方法是用ocsp服务器,其次是用方法1和2,不推荐方法3和4,不安全。
另外:ios router的默认revocation-check是crl,而pix的是none |
