演示：各种网络安全设备、***设备向微软证书服务器申请证书

配套演示录像：http://edu.51cto.com/course/course_id-485-page-2.html

在很多时候，非对称式加密的应用不止局限于服务器上，在很多时候网络设备上也需要使用，比如前面所描述的SSH，而证书则是非对称式加密最典型的应用，特别以基于IPsec的***中的应用而闻名，比如：配置基于思科IOS、ASA、PIX、***集中器上的***时都可以使用证书，所以网络设备特别是安全设备随时都可能向证书服务器申请证书，那么如何部署这些网络设备向证书服务器申请证书将是任务的重点。

注意：本任务只演示思科的网络设备向微软的证书服务器申请证书的过程，并不包括***的完整的配置，因为这不属于本课程讨论的范围，如果需要进一步的理解如何将证书应用于***，那么请以参看该系列课程的***技术部分。

关于网络设备申请CA的过程：

如图3.170所示为路由器向CA申请证书的过程，具体描述如下所示：

第一步：首先要配置网络设备，比如路由器支持CA，然后路由器R1在本地产生一个公私钥对，关于具体使用什么指令产生公私钥对将在本任务的演示部分做描述。

第二步：在路由器向CA申请证书之前，路由器必须验证CA服务器的合法性，事实上这个过程是路由器将获取一张CA服务器的自签发证书，这张自签发证书可以体现CA的身份，并包含CA的公钥，以此目标来体现CA的合法性。

第三步：路由器正式向CA提交证书申请，实际上的操作也就是路由器R1将自己在第一步中生成的公私钥对中的公钥拿到CA上去做一个合法性的签名，为什么要做这个合法性的签名？因为：当有其它的网络设备比如R2需要使用R1的公钥来加密数据时，R2必须要确定这个公钥一定是属于R1的，而不属于某个“恶棍”的公钥，那么R2如何确定该公钥是否属于R1，最科学的办法就是查看该公钥有没有自己信任CA的签名，如果有，那么该公钥一定就是R1的，这就是所谓的第三方信任机构存在的价值。

第四步：证书服务器CA审查R1的证书申请后，为R1颁发证书，同时备份相关信息到自己的知识库中。

注意：上述整个过程中，公私钥对是在路由器本地产生，而CA只是通过发放证书的形式来确认公钥的合法性，也就是说CA颁发给路由器的证书中的公钥并不是CA生成的，而是路由器自己生成的，CA只对它做了合法性认可而已。

实训演示：各种网络安全设备、***设备向微软证书服务器申请证书

演示目标：配置思科的路由器R1向微软的证书服务器申请证书

演示环境：如下图3.171所示。

演示工具：思科路由器、基于windows 2003服务器的证书组件、SCEP插件。

演示步骤：

第一步：配置路由器R1与证书服务器的通信连接，具体配置如下所示，必须保证证书服务器能与路由器相互ping通，结果应如下图3.172所示。

路由器R1上的基本配置：

R1(config)#interfacee1/0*　进入E1/0接口配置模式

R1(config-if)#ipaddress 192.168.201.2 255.255.255.0*为该接口配置IP地址

R1(config-if)#noshutdown*　激活该接口

R1(config-if)#exit

第二步：在证书服务器上安装证书组件，在正式安装证书组件前，必须确保证书服务器安装了IIS组件，具体如下图3.173所示，因为路由器也是通过URL的形式来申请证书。然后在正式安装证书组件时，必须保证如图3.175所示选中独立根CA。

注意：当配置路由器向微软的证书服务器申请证书时，只安装上述第二步中的证书组件是不够的，还必须安装SCEP的插件，什么是SCEP，为什么要安装SCEP的插件？

SCEP(Simple Certificate Enrollment Protocol):

它是由Cisco、VerSign、Entrust、Microsoft、SunMicrosystems联合开发的一个简单证书注册协议，提供了一个管理证书存活周期的标准方法，提供了多个不同厂商设备之间相互操作的证书处理，所以如果两个不同厂商设备之间要相互操作证书，那么必须为证书服务器安装SCEP协议，它以一个独立插件的形式体现。

第三步：安装SCEP协议，点击SCEP的安装包，出现如图3.175所示的提示，寻问你，是否在证书服务器上附加安装简单证书注册协议，因为现在的演示环境是两个不同的厂商在相互操作证书服务，所以必须选择是。

然后出现如图3.176所示的对话框，要求为附加到证书服务器上的SCEP协议选择一个应用身份，在这里请选择使用本地系统账户。然后下一步，在图3.177的对话框中填写SCEP注册授理机构(RA)的相关内容，然后下一步，如果选择了Advanced EnrollmentOptions（高级选项），会出现如图3.178所示的内容，分别指示为加密或者数据签字配置密钥的长度，默认是1024位，您可以根据自身环境的需求来进行调整，一般情况下，密钥的位数越长，那么安全性就越高，当然成生密钥或加密数据的时间也就越长。

　在配置SCEP的最后会出现如图3.179所示的提示，指示安装成功，然后为用户申请了以后要使用SCEP注册证书时的URL地址，在这里，要记住这个地址，因为在后面步骤中，将会把这个UEL地址配置到路由器上，使其路由器可以成功的定位安装了SCEP组件的证书服务器位置。

第四步：现在开始配置路由器向证书服务器申请证书。为了让大家更有条理的来配置路由器申请证书，把整个配置分成如下８个部分：１、配置路由器的时间２、配置路由器的主机名３、配置路由器的域名４、生成本地的密钥对５、配置路由器支持CA６、验证证书服务器７、在路由器上正式向CA申请证书８、在路由器上查看申请的证书

配置路由器的时间：

R1#clock set07:07:00 april 25 2013  

配置路由器的主机名：

R1(config)#hostnameR1

配置路由器的域名：

R1(config)#ipdomain-name catesting.com

生成本地的密钥对：

R1(config)#cryptokey generate rsa

如下为系统的提示：

The name for the keys will be:R1.catesting.com

Choose the size of the key modulus inthe range of 360 to 2048 for your

General Purpose Keys. Choosing a key modulus greater than 512 may take

a few minutes.

How many bits in the modulus [512]:*指定密钥的长度

% Generating 512 bit RSA keys, keys willbe non-exportable...[OK]

注意：在路由器本地生产的RSA密钥对，也就是路由器在安全应用中需要使用的公私钥对，而待会儿CA只是对该密钥对中的公钥进行合法性认证，并签发证书。

配置路由器支持CA：

R1(config)#crypto catrustpoint myca

*　申明一个名为myca的CA信任点。

R1(ca-trustpoint)#enrollmentmode ra

*　申明为注册授理机构模式。

R1(ca-trustpoint)#enrollmenturl http://192.168.201.1/certsrv/mscep/mscep.dll

*　申明证书服务器的URL注册地址。

R1(ca-trustpoint)#exit

验证证书服务器：

R1(config)#crypto caauthenticate myca

Certificate has the following attributes:*提供的证书服务器自签发证书的指纹

     Fingerprint MD5: 67222CEF DACC9750 2A6DFE6C FCFE9DD3

    Fingerprint SHA1: 3A5DB0C1 6FC94736 EF1194B8 E1F965D1 C06A46D6

% Do you accept this certificate?[yes/no]: y*寻问是否要接收证书服务器自签发的证书

TrustpointCA certificateaccepted.

注意：路由器验证证书服务器时，实际上是路由器去接受一张来自于证书服务器CA自签发的一张证书。

在路由器上正式向CA申请证书：首先要到证书服务器CA上通过在IE中输入URL名称:http://192.168.201.1/certsrv/mscep/mscep.dll获得如下图3.180所示的挑战密码，因为路由器正式向CA申请证书时会使用该密码。

R1(config)#cryptoca enroll myca

*　在路由器上正式发起证书申请

系统提示：

% Start certificate enrollment..

% Create a challenge password.You will need to verbally provide this

  password to the CA Administrator in order torevoke your certificate.

For security reasons yourpassword will not be saved in the configuration.

  Please make anote of it.

Password:*使用图3.180所示的密码

Re-enter password:*再次输入密码

% The subject name in the certificate will include:R1.catesting.com*指示路由器的域名

% Include the router serial number in the subject name?[yes/no]: n*是否在主题中包括路由器的序列号

% Include an IP address in the subject name? [no]: n*是否在这个主题中包括IP地址

Request certificate from CA? [yes/no]: y*　是否申请证书，该处必须选择是。

% Certificate request sent to Certificate Authority

% The 'show crypto ca certificate myca verbose'commandwill show the fingerprint.

当在路由器上申请证书后，然后来到证书服务器CA上，打开证书颁发机构的管理控制台，如下图3.181所示，在挂起的申请容器中，可以看到一张待处理的证书，选择将其颁发给路由器R1，完成颁发后，在颁发的证书容器中，可以看到如下图3.182所示的证书，这张证书就是CA颁发给路由器R1的证书，注意观察颁发给和颁发者的内容便知。

　　至此完成整个网络设备向微软证书服务器申请证书的实训演示过程，此时，用户可将路由器R1上的证书用作不同的安全目的，比如IPsec的***等，但这不属于本课程的描述范围，所以在此不多作描述。