简介
本文档包括有关如何在Cisco VPN 5000系列集中器上生成证书以及如何在VPN 5000客户端上安装证书的分步说明。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于以下软件和硬件版本:
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文件规则的更多信息请参见“ Cisco技术提示规则”。
用于 VPN 客户端的 VPN 5000 集中器证书
完成下面这些步骤。
-
如果没有时间服务器,则必须使用sys clock命令设置日期和时间。
RTP-5008# sys clock 12/14/00 12:15
要验证日期和时间已正确设置,请运行sys date命令。
-
启用VPN集中器的证书生成器功能。
RTP-5008# configure certificates
[ Certificates ]# certificategenerator=on
*[ Certificates ]# validityperiod=365
-
创建根证书。
*RTP-5008# certificate generate root 512 locality rtp state nc
country us organization "cisco" commonname "cisco" days 365
-
创建服务器证书。
*RTP-5008# certificate generate server 512 locality rtp state nc
country us organization "cisco" commonname "cisco" days 365
-
验证证书。
*RTP-5008# certificate verify
-
以隐私增强邮件(PEM)格式显示证书,然后将证书复制到文本编辑器以导出到客户端。确保在结束行后包括起始行、结束行和回车。
*RTP-5008# show certificate pem root
-----BEGIN PKCS7-----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=
-----END PKCS7-----
-
打开VPN客户端以配置其进行证书身份验证。
-
在VPN Client的Configuration选项卡上,选择Add。
-
选择Certificate作为登录方法,然后输入登录名和主VPN服务器地址(或完全限定域名)。 如有必要,添加辅助VPN服务器条目。
-
选择确定以关闭“登录属性”窗口。
-
转到Certificates > Import,浏览到证书所在的位置,然后选择证书文件。
-
在Root Certificates字段中列出证书后,点击VPN客户端的Configuration选项卡。
-
选择Connect按钮以启动VPN连接。
相关信息
反馈