取消
显示结果 
搜索替代 
您的意思是: 
cancel
5270
查看次数
0
有帮助
5
回复

CSR1000v 证书导入问题

ilay
VIP
VIP
最近实验用csr1000v做实验,查看config guide 可以搭建vpn。于是想测试解决一下自签名证书报错的问题,从letsencrypt上签发了一张有效的证书,然后尝试导入到设备上面,提示CA cert is not found,show crypto pki trustpoint 对应的trustpoint也是空白的。查了查cisco的文档,大部分都是设备作为根ca的操作,或者将其关联到ca服务器。对于绑定外部证书的资料几乎没有找到
相关配置信息如下:
crypto pki trustpoint localtrust
enrollment terminal pem
revocation-check crl
!
CSR1000v(config)#crypto pki import localtrust pkcs12 terminal password passwd321 //在此导入的是p12文件
Enter the base 64 encoded pkcs12.
End with a blank line or the word "quit" on a line by itself:
MIILuQIBAzCCC38GCSqGSIb3DQEHAaCCC3AEggtsMIILaDCCBh8GCSqGSIb3DQEH
BqCCBhAwggYMAgEAMIIGBQYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQIp8tO
…………省略部分证书内容…………
SsjPAdgCAggAgIIF2PKxADDYR6khxZLjr22re4ukYSbLkTp8CYIofJK9wqLUe2qZ
jxovEqc+djiDBULygmpfBAgh00qrZNjJwgICCAA=
% Warning: CA cert is not found. The imported certs might not be usable.
CRYPTO_PKI: Import PKCS12 operation failed to create trustpoint localtrust
CSR1000v(config)#
*Jan 8 11:58:18.581: %PKI-6-PKCS12IMPORT_FAIL: PKCS #12 Import Failed.
CSR1000v(config)#end
CSR1000v#sh crypto pki trustpoints // 查看trustpoint 仅包含设备自身的,自建的localtrust 没有相关信息
Trustpoint HTTPS_SS_CERT_KEYPAIR:
Subject Name:
serialNumber=9M68NV1D4W3+hostname=CSR1000v.abc.com
cn=CSR1000v.abc.com
Serial Number (hex): 01
Application generated trust point
Trustpoint localtrust:
CSR1000v#
CSR1000v#sh run | se crypto
crypto pki trustpoint localtrust
enrollment terminal pem
revocation-check crl
crypto pki certificate chain localtrust
certificate 012645A50C10040FEAAD046C3F2C6F8D
30820577 3082045F A0030201 02021001 2645A50C 10040FEA AD046C3F 2C6F8D30
0D06092A 864886F7 0D01010B 0500306E 310B3009 06035504 06130255 53311530
13060355 040A130C 44696769 43657274 20496E63 31193017 06035504 0B131077
……省略部分输出
求各位大佬指导一下,不胜感激~~
1 个已接受解答

已接受的解答

wuhao0015
Spotlight
Spotlight
你还没有认证根证书,无法导入,看我几年前的笔记。
【原创】CISCO IOS申请沃通PKI证书
http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=988724&fromuid=4603
(出处: 思科社区)

在原帖中查看解决方案

5 条回复5

wuhao0015
Spotlight
Spotlight
你还没有认证根证书,无法导入,看我几年前的笔记。
【原创】CISCO IOS申请沃通PKI证书
http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=988724&fromuid=4603
(出处: 思科社区)

ilay
VIP
VIP
wuhao0015 发表于 2019-1-8 20:32
你还没有认证根证书,无法导入,看我几年前的笔记。
【原创】CISCO IOS申请沃通PKI证书
http://bbs.csc-c ...

十分感谢~
在添加证书链之后,trustpoint就正常了。
第一步,导入p12文件
第二步,修改trustpoint 改为enrollment terminal
第三步,导入颁发机构的CA证书
第四步,导入用户的证书
ps测试了好久没研究出来怎么吧rsa key单独导入,只能通过p12文件将private key加载到设备上,然后再操作,着实比较麻烦。好在问题成功解决~~

Yanli Sun
Community Manager
Community Manager
gengchunlin 发表于 2019-1-9 23:16
十分感谢~
在添加证书链之后,trustpoint就正常了。

感谢楼上专家帮助解答,
感谢楼主分享解决方案:handshake

leathy001
Level 1
Level 1
楼主,请问一下用户证书这个是指哪个证书?

ilay
VIP
VIP
lucasss 发表于 2019-6-4 09:11
楼主,请问一下用户证书这个是指哪个证书?

就是从CA申请的证书啊,申请的对应域名的证书文件(个人拥有证书文件和私钥)
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接