Команда crypto pki trustpoint используется для объявления имени СА (Сertificate Authority – Сертификационный Центр), а также для входа в режим ca trustpoint configuration для настройки параметров получения списка отозванных сертификатов (CRL). Для удаления всех идентификаторов и сертификатов, связанных с СА, используйте ту же команду с префиксом no.
Для регистрации СА и локального сертификата в базе продукта, а также списка отозванных сертификатов используется утилита cert_mgr import.
Синтаксис crypto pki trustpoint name
no crypto pki trustpoint name
name имя СА. Если нужно изменить параметры уже объявленного СА, введите имя, которое этому СА было назначено ранее.
Значение по умолчанию Значение по умолчанию отсутствует.
Режимы команды Global configuration. Выполнение этой команды осуществляет вход в режим ca trustpoint configuration.
Рекомендации по использованию
Команда crypto pki trustpoint замещает команду в старом формате crypto ca trustpoint, которая использовалась в Cisco IOS версии 12.2 и CSP VPN Gate версии 2.х.
Используйте эту команду для объявления имени корневого СА, который имеет самоподписанный сертификат. Выполнение этой команды также осуществляет вход в режим ca trustpoint configuration, в котором могут выполняться следующие команды:
crl query – служит для настройки параметров получения CRL;
revocation-check – указывает режим использования CRL;
exit – осуществляет выход из режима ca trustpoint configuration.
Настройки получения и использования CRL берутся из первого по счету trustpoint. Из остальных trustpoint настройки игнорируются.
Удаление
Удаление СА trustpoint осуществляется командой no crypto pki trustpoint name. После этого выдается сообщение:
% Removing an enrolled trustpoint will destroy all certificates
received from the related Certificate Authority.
Are you sure you want to do this? [yes/no]:
Если ввести “yes” (можно сократить до одной буквы “y”), то trustpoint удалится из конфигурации. Если при этом существуют CA-сертификаты, которые привязаны к данному trustpoint, они удаляются как из Cisco-like конфигурации, так и из базы локальных настроек продукта.
Если ввести “no” (можно сократить до одной буквы “n”), то действие команды отменяется.
Отличие данной команды от подобной команды Cisco IOS:
· Подкоманда enrollment игнорируется, производится только задание сертификатов с помощью cert_mgr import.
· Читаются только CA-сертификаты, локальные сертификаты (сертификаты устройств) игнорируются. Локальные сертификаты могут быть зарегистрированы в Продукте только утилитой cert_mgr import.
· Добавление одного trustpoint и перечисление нескольких trustpoints фактически не отличается друг от друга и всегда приводит к перечислению CA-сертификатов:
· единственное отличие – адрес LDAP-сервера и настройки режима получения CRL всегда берутся из первого по счету trustpoint в конфигурации, остальные – игнорируются.
Пример
Ниже приведен пример использования команды crypto pki trustpoint. Объявляется СА с именем "ka" и указывается, что при проверке сертификата действующий CRL используется, если он предустановлен в базе продукта или получен в процессе IKE обмена. Если это не так, то попытка получить CRL по протоколу LDAP не предпринимается и сертификат принимается:
Router(config)#crypto pki trustpoint ka
Router(ca-trustpoint)#revocation-check none