考试网 >> IT认证 >> 思科 >> Cisco指导 >> 配置CA互操作性之－－配置任务列表

发布时间：2006-06-28 06:14     点击：

!ca互操作性配置任务列表

要开启你的cisco设备来支持ca，完整的任务有以下几个部分。一些任务是可选的；其他的是必须的：

#管理nvram内存使用情况

当使用了ca的时候，认证和认证撤销列表在你的路由器使用。正常情况下一定的认证和所有的crl是存储在路由器的nvram中的，且每个认证和crl使用一个中等级别数量的存储。

以下认证正常一般是存储在路由器的：R>·你的路由器的认证。

·ca的认证

·从ca服务器得到的根认证(在路由器初始化之后所有根认证是存在ram中的)

·两个注册认证者(ra)的认证(仅当ca支持ra时)

CRL在以下条件会存储在你的路由器中：

·如果你的ca不支持ra，只有一个crl会存在你的路由器里。

·如果你的ca支持一个ra，多个crl能存储在你的路由器里。

在有些案例中，本地存储这些认证和crl将不会存在任何问题。

在其他案例里，存储可能会是个问题-如果你的ca支持ra和大数量的crl存储还是可行的。如果nvram太小，那就不够存储这些信息的。

要保存nvram空间，你可以指定不存在本地的认证和crl，但是当需要的时候不能够从ca得到。这个可选择性将节省nvram空间，但是会导致对性能的轻微影响。

要指定认证和crl不存在你路由器的本地，但是需要当需要时重新得到，调到查询模式，使用以下全局命令：

router(config)#crypto ca certicate query

//调到查询模式，可以让认证和crl不用存在本地。

~注意，查询模式在ca挂了之后也是能用的。

如果你现在是查询模式，如果你想关你可以关掉查询模式。如果你关掉查询模式，你也可以使用命令

copy system:running-config nvram:startup-confifg (write)

来存储所有的当前认证和crl到nvram。除非你不想在重启之后见到他们丫。

#配置路由器主机名和ip域名你必须配置路由器的主机名和ip域名，如果还没配的话。这个是必须的因为路由器绑定一个完全查询域名(FQDN)给使用ipsec的key们和认证们，且FQDN是基于你绑定给路由器的主机名和ip域名的。例如，一个认证名叫“router20.example.com"是基于一名叫"router20"且ip域名是"example.com"的。

发表评论： 匿名发表 用户名: 查看评论

您将承担一切因您的行为、言论而直接或间接导致的民事或刑事法律责任 留言板管理人员有权保留或删除其管辖留言中的任意内容 本站提醒：不要进行人身攻击。谢谢配合。