Команда crypto pki trustpoint используется для объявления имени СА (Сertificate Authority - Сертификационный Центр),
а также для входа в режим ca trustpoint configuration для настройки параметров получения списка отозванных сертификатов (CRL).
Для удаления всех идентификаторов и сертификатов, связанных с СА, используйте ту же команду с префиксом no.
Для регистрации СА и локального сертификата в базе продукта, а также списка отозванных сертификатов используется утилита cert_mgr import.
Синтаксис crypto pki trustpoint name no crypto pki trustpoint name |
|
name |
имя СА. Если нужно изменить параметры уже объявленного СА, введите имя, которое этому СА было назначено ранее. |
Значение по умолчанию |
отсутствует |
Режимы команды |
Global configuration Выполнение этой команды осуществляет вход в режим ca trustpoint configuration. |
Рекомендации по использованию |
Команда crypto pki trustpoint замещает команду в старом формате crypto ca trustpoint, которая использовалась в Cisco IOS версии 12.2 и CSP VPN Gate версии 2.х. Используйте эту команду для объявления имени корневого СА, который имеет самоподписанный сертификат. Выполнение этой команды также осуществляет вход в режим ca trustpoint configuration, в котором могут выполняться следующие команды: • crl query - служит для настройки получения CRL с LDAP-сервера; • crl download group - для настройки периодической загрузки CRL по HTTP; • crl download time - устанавливает период между загрузками CRL по HTTP; • no crl download - удаляет записи, относящиеся к периодической загрузке CRL по HTTP; • revocation-check - указывает режим использования CRL; • exit - осуществляет выход из режима ca trustpoint configuration. Настройки получения и использования CRL берутся из первого по счету trustpoint. Из остальных trustpoint настройки игнорируются. |
Удаление |
Удаление СА trustpoint осуществляется командой no crypto pki trustpoint name. После этого выдается сообщение: % Removing an enrolled trustpoint will destroy all certificates received from the related Certificate Authority. Are you sure you want to do this? [yes/no]: • Если ввести “yes” (можно сократить до одной буквы “y”), то trustpoint удалится из конфигурации. Если при этом существуют CA-сертификаты, которые привязаны к данному trustpoint, они удаляются как из Cisco-like конфигурации, так и из базы локальных настроек Продукта. • Если ввести “no” (можно сократить до одной буквы “n”), то действие команды отменяется. |
Отличие данной команды от подобной команды Cisco IOS |
• Подкоманда enrollment игнорируется, производится только задание сертификатов с помощью cert_mgr import. • Читаются только CA-сертификаты, локальные сертификаты (сертификаты устройств) игнорируются. Локальные сертификаты могут быть зарегистрированы в Продукте только утилитой cert_mgr import. • Добавление одного trustpoint и перечисление нескольких trustpoints фактически не отличается друг от друга и всегда приводит к перечислению CA-сертификатов: • единственное отличие - адрес LDAP-сервера и настройки режима получения CRL всегда берутся из первого по счету trustpoint в конфигурации, остальные - игнорируются. |
Пример |
Ниже приведен пример использования команды crypto pki trustpoint. Объявляется СА с именем "ka" и указывается, что при проверке сертификата действующий CRL используется, если он предустановлен в базе продукта или получен в процессе IKE обмена. Если это не так, то попытка получить CRL по протоколу LDAP не предпринимается и сертификат принимается: Router(config)#crypto pki trustpoint ka Router(ca-trustpoint)#revocation-check none |