本文档包括有关如何在Cisco VPN 5000系列集中器上生成证书以及如何在VPN 5000客户端上安装证书的分步说明。
本文档没有任何特定的要求。
本文档中的信息基于以下软件和硬件版本:
Cisco VPN 5000集中器软件版本5.2.16US
思科VPN客户端5.0.12
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文件规则的更多信息请参见“ Cisco技术提示规则”。
完成下面这些步骤。
如果没有时间服务器,则必须使用sys clock命令设置日期和时间。
RTP-5008# sys clock 12/14/00 12:15
要验证日期和时间已正确设置,请运行sys date命令。
启用VPN集中器的证书生成器功能。
RTP-5008# configure certificates [ Certificates ]# certificategenerator=on *[ Certificates ]# validityperiod=365
创建根证书。
*RTP-5008# certificate generate root 512 locality rtp state nc country us organization "cisco" commonname "cisco" days 365
创建服务器证书。
*RTP-5008# certificate generate server 512 locality rtp state nc country us organization "cisco" commonname "cisco" days 365
验证证书。
*RTP-5008# certificate verify
以隐私增强邮件(PEM)格式显示证书,然后将证书复制到文本编辑器以导出到客户端。确保在结束行后包括起始行、结束行和回车。
*RTP-5008# show certificate pem root -----BEGIN PKCS7----- MIAGCSqGSIb3DQEHAqCAMIIBmAIBATEAMIAGAQAAAKCCAYYwggGCMIIBLKADAgEC AgRAP0AJMA0GCSqGSIb3DQEBBAUAMEgxDDAKBgNVBAcTA3J0cDELMAkGA1UECBMC bmMxCzAJBgNVBAYTAnVzMQ4wDAYDVQQKEwVjaXNjbzEOMAwGA1UEAxMFY2lzY28o HhcNMDAwNzE0MDYzOTIzWhcNMDEwNzE0MDYzOTIzWjBIMQwwCgYDVQQHEwNydHAx CzAJBgNVBAgTAm5jMQswCQYDVQQGEwJ1czEOMAwGA1UEChMFY2lzY28xDjAMBgNV BAMTBWNpc2NvMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAML/buEqz3PnWQ5M6Seq gE9uf7sZNUbHKZCp+GP9EpRkFuaYCD9vYZ3+MRTphiY55tDRmxTEglvK6l8sYIKd XDcCAwEAATANBgkqhkiG9w0BAQQFAANBABuRHckNTXEAXSwyj7c5bEnAMCvI4Whd ZRzVST5/QVRPjcaLXb0QJP47CzNecONfmM0bZ3n2nxBnbNDimJQbCgwxAAAAAAA= -----END PKCS7-----
打开VPN客户端以配置其进行证书身份验证。
在VPN Client的Configuration选项卡上,选择Add。
选择Certificate作为登录方法,然后输入登录名和主VPN服务器地址(或完全限定域名)。 如有必要,添加辅助VPN服务器条目。
选择确定以关闭“登录属性”窗口。
转到Certificates > Import,浏览到证书所在的位置,然后选择证书文件。
在Root Certificates字段中列出证书后,点击VPN客户端的Configuration选项卡。
选择Connect按钮以启动VPN连接。