配置CA互操作性之－－配置

!ca互操作性配置任务列表
要开启你的cisco设备来支持ca，完整的任务有以下几个部分。一些任务是可选的；其他的是必须的：
#管理nvram内存使用情况
当使用了ca的时候，认证和认证撤销列表在你的路由器使用。正常情况下一定的认证和所有的crl是存储在路由器的nvram中的，且每个认证和crl使用一个中等级别数量的存储。
以下认证正常一般是存储在路由器的：R>·你的路由器的认证。
·ca的认证
·从ca服务器得到的根认证(在路由器初始化之后所有根认证是存在ram中的)
·两个注册认证者(ra)的认证(仅当ca支持ra时)
CRL在以下条件会存储在你的路由器中：
·如果你的ca不支持ra，只有一个crl会存在你的路由器里。
·如果你的ca支持一个ra，多个crl能存储在你的路由器里。
在有些案例中，本地存储这些认证和crl将不会存在任何问题。
在其他案例里，存储可能会是个问题-如果你的ca支持ra和大数量的crl存储还是可行的。如果nvram太小，那就不够存储这些信息的。
要保存nvram空间，你可以指定不存在本地的认证和crl，但是当需要的时候不能够从ca得到。这个可选择性将节省nvram空间，但是会导致对性能的轻微影响。
要指定认证和crl不存在你路由器的本地，但是需要当需要时重新得到，调到查询模式，使用以下全局命令：
router(config)#crypto ca certicate query
//调到查询模式，可以让认证和crl不用存在本地。
~注意，查询模式在ca挂了之后也是能用的。
如果你现在是查询模式，如果你想关你可以关掉查询模式。如果你关掉查询模式，你也可以使用命令
copy system:running-config nvram:startup-confifg (write)
来存储所有的当前认证和crl到nvram。除非你不想在重启之后见到他们丫。
#配置路由器主机名和ip域名你必须配置路由器的主机名和ip域名，如果还没配的话。这个是必须的因为路由器绑定一个完全查询域名(FQDN)给使用ipsec的key们和认证们，且FQDN是基于你绑定给路由器的主机名和ip域名的。例如，一个认证名叫“router20.andsky.com"是基于一名叫"router20"且ip域名是"andsky.com"的。
要配置主机名和ip域名给路由器，使用以下全局命令：
第一步:
router(config)#hostname 名//配置主机名
第二步:
router(config)#ip domain-name 名//配置路由器的ip域名。
#生成一个rsa钥匙对。
rsa钥匙对视用来标识和加密ike钥匙管理消息，又，他是在你的路由器得到认证之前必须的。
要生成一个rsa钥匙对，使用以下命令：
router(config)#crypto key generate rsa [usage-keys]//生成一个rsa钥匙对。使用usage-keys关键字来指定特殊用途的keys代替生成_目的的keys。 #申报一个CA
你应该申报一个在路由器上使用的ca。
要申报指定一个ca，使用以下全局命令：
第一步：
router(config)#crypto ca identity 名//申报一个ca，这个名应该是ca的域名。这个命令带你进入ca标识配置模式。
第二步：
router(ca-identity)#enrollment url 统一资源//指定ca的url(这个url可以包含认证非标准cgi-bin脚本位置)
第三步：
router(ca-identity)#enrollment mode ra//(可选)指定ra模式，如果ca系统指出ra。
注意：cisco ios软件自动决定模式-ra或者非ra；因此，如果
使用了ra模式，这个子命令wr mem时候就写到nvram了。
第四步：
router(ca-identity)enrollment retry period 分钟//(可选)指定重传超时。在请求一个认证之后，一个路由器等待接受来自ca的认证。如果这个路由器在一定时间(这个重传超时)内没有收到认证，那么路由器就会再发送另一个认证请求。你可以从默认的1分钟改变为其他重传超时。
第六步：
router(ca-identity)#enrollment retry count 数字//(可选)指定重新发送认证请求多少次之后放弃。默认是死皮赖脸，决不放弃。
第七步：
router(ca-identify)#crl optional//(可选)指定其他对等体的认证能够被你的路由器允许验证，甚至适当的crl在你的路由器上都不允许。
router(ca-identity)#exit
//退出ca-identity配置模式。