请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 192|回复: 3

CSR1000v 证书导入问题

[复制链接]
发表于 2019-1-8 20:32:12 | 显示全部楼层 |阅读模式
0可用金钱
最近实验用csr1000v做实验,查看config guide 可以搭建vpn。于是想测试解决一下自签名证书报错的问题,从letsencrypt上签发了一张有效的证书,然后尝试导入到设备上面,提示CA cert is not found,show crypto pki trustpoint 对应的trustpoint也是空白的。查了查cisco的文档,大部分都是设备作为根ca的操作,或者将其关联到ca服务器。对于绑定外部证书的资料几乎没有找到
相关配置信息如下:
crypto pki trustpoint localtrust
enrollment terminal pem
revocation-check crl
!

CSR1000v(config)#crypto pki import localtrust pkcs12 terminal password passwd321  //在此导入的是p12文件
Enter the base 64 encoded pkcs12.
End with a blank line or the word "quit" on a line by itself:
MIILuQIBAzCCC38GCSqGSIb3DQEHAaCCC3AEggtsMIILaDCCBh8GCSqGSIb3DQEH
BqCCBhAwggYMAgEAMIIGBQYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQIp8tO
…………省略部分证书内容…………
SsjPAdgCAggAgIIF2PKxADDYR6khxZLjr22re4ukYSbLkTp8CYIofJK9wqLUe2qZ
jxovEqc+djiDBULygmpfBAgh00qrZNjJwgICCAA=

% Warning: CA cert is not found. The imported certs might not be usable.
CRYPTO_PKI: Import PKCS12 operation failed to create trustpoint localtrust

CSR1000v(config)#
*Jan  8 11:58:18.581: %PKI-6-PKCS12IMPORT_FAIL: PKCS #12 Import Failed.
CSR1000v(config)#end

CSR1000v#sh crypto pki trustpoints // 查看trustpoint 仅包含设备自身的,自建的localtrust 没有相关信息
Trustpoint HTTPS_SS_CERT_KEYPAIR:
    Subject Name:
    serialNumber=9M68NV1D4W3+hostname=CSR1000v.abc.com
    cn=CSR1000v.abc.com
          Serial Number (hex): 01
    Application generated trust point


Trustpoint localtrust:

CSR1000v#

CSR1000v#sh run | se crypto
crypto pki trustpoint localtrust
enrollment terminal pem
revocation-check crl
crypto pki certificate chain localtrust
certificate 012645A50C10040FEAAD046C3F2C6F8D
  30820577 3082045F A0030201 02021001 2645A50C 10040FEA AD046C3F 2C6F8D30
  0D06092A 864886F7 0D01010B 0500306E 310B3009 06035504 06130255 53311530
  13060355 040A130C 44696769 43657274 20496E63 31193017 06035504 0B131077
……省略部分输出


求各位大佬指导一下,不胜感激~~


最佳答案

查看完整内容

你还没有认证根证书,无法导入,看我几年前的笔记。 【原创】CISCO IOS申请沃通PKI证书 http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=988724&fromuid=4603 (出处: 思科社区)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-1-8 20:32:13 | 显示全部楼层
你还没有认证根证书,无法导入,看我几年前的笔记。
【原创】CISCO IOS申请沃通PKI证书
http://bbs.csc-china.com.cn/foru ... 24&fromuid=4603
(出处: 思科社区)

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-1-9 23:16:04 | 显示全部楼层
wuhao0015 发表于 2019-1-8 20:32
你还没有认证根证书,无法导入,看我几年前的笔记。
【原创】CISCO IOS申请沃通PKI证书
http://bbs.csc-c ...

十分感谢~

在添加证书链之后,trustpoint就正常了。

第一步,导入p12文件
第二步,修改trustpoint 改为enrollment terminal
第三步,导入颁发机构的CA证书
第四步,导入用户的证书

ps测试了好久没研究出来怎么吧rsa key单独导入,只能通过p12文件将private key加载到设备上,然后再操作,着实比较麻烦。好在问题成功解决~~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 7 天前 | 显示全部楼层
gengchunlin 发表于 2019-1-9 23:16
十分感谢~

在添加证书链之后,trustpoint就正常了。

感谢楼上专家帮助解答,
感谢楼主分享解决方案
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-1-18 02:16 , Processed in 0.087771 second(s), 36 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表