簡介
本文檔包含有關如何在Cisco VPN 5000系列集中器上生成證書以及如何在VPN 5000客戶端上安裝證書的逐步說明。
必要條件
需求
本文件沒有特定需求。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
慣例
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
適用於VPN使用者端的VPN 5000集中器憑證
請完成以下步驟。
-
如果沒有時間伺服器,則必須使用sys clock命令設定日期和時間。
RTP-5008# sys clock 12/14/00 12:15
要驗證日期和時間設定是否正確,請運行sys date命令。
-
啟用VPN集中器的證書生成器功能。
RTP-5008# configure certificates
[ Certificates ]# certificategenerator=on
*[ Certificates ]# validityperiod=365
-
建立根證書。
*RTP-5008# certificate generate root 512 locality rtp state nc
country us organization "cisco" commonname "cisco" days 365
-
建立伺服器證書。
*RTP-5008# certificate generate server 512 locality rtp state nc
country us organization "cisco" commonname "cisco" days 365
-
驗證憑證。
*RTP-5008# certificate verify
-
以Privacy Enhanced Mail(PEM)格式顯示證書,然後將證書複製到文本編輯器以匯出到客戶端。確保包括開始行、結束行以及結束行後的回車。
*RTP-5008# show certificate pem root
-----BEGIN PKCS7-----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=
-----END PKCS7-----
-
開啟VPN客戶端以將其配置為進行證書身份驗證。
-
在VPN客戶端的Configuration頁籤上,選擇Add。
-
選擇Certificate作為Login Method,然後輸入登入名和主VPN伺服器地址(或完全限定的域名)。 如有必要,新增輔助VPN伺服器條目。
-
選擇OK以關閉「登入屬性」視窗。
-
轉到Certificates > Import,瀏覽到證書所在的位置,然後選擇證書檔案。
-
在Root Certificates欄位中列出證書後,點選VPN客戶端的Configuration頁籤。
-
選擇Connect按鈕以啟動VPN連線。
相關資訊
意見