Обновление существующего сертификата на маршрутизаторе Cisco

Включим terminal monitor, чтобы получить логи:

Router# terminal monitor

В режиме конфигурации удаляем старый сертификат:

Router(config)# no crypto pki certificate chain %TRUSTPOINT%

Получаем сертификат CA-сервера:

Router(config)# crypto pki authenticate %TRUSTPOINT%

Запрашиваем собственный сертификат:

Router(config)# crypto pki enroll %TRUSTPOINT%

При отправке необходимо указать пароль (если он не указан в транспоинте). Так как у нас виндовый центр сертификации, то пароль мы можем узнать на IIS сервера: Default Web Site — CertSrv — mscep — Browse.

Если все ок — то получим ответ:

CRYPTO_PKI: Certificate Request Fingerprint MD5: BB0EE109 A7165C7E C9574C79 6211ACF7
CRYPTO_PKI: Certificate Request Fingerprint SHA1: 2E95A239 93D8546C E19F709B A4CD9C5E A15FA943
%PKI-6-CERTRET: Certificate received from Certificate Authority

Если же пароль неправильный или ошибка в конфигурации, то получим в консоль ответ:

%PKI-6-CERTRENEWAUTO: Renewing the router certificate for trustpoint %имятрастпоинта%
CRYPTO_PKI: Certificate Request Fingerprint MD5: DBC61896 0CF48A68 259D80B7 E831F96E
CRYPTO_PKI: Certificate Request Fingerprint SHA1: FD7D677B 40A6F538 9B6AB6CF BD0F6360 8956CE90
%PKI-6-CERTREJECT: Certificate enrollment request was rejected by Certificate Authoritypassword

Тогда на сервере перезапускаем центр сертификации и IIS. После этого смотрим еще раз пароль (должен быть другим) и повторяем:

Router(config)# crypto pki enroll %TRUSTPOINT%

Запрос сертификата «с нуля» на маршрутизаторе Cisco

Генерируем пару ключей:

Router(config)# crypto key generate rsa

Создаем трастпоинт:

Router(config)# crypto pki trustpoint %TRUSTPOINT%

И указываем URL для запроса сертификатов:

Router(ca-trustpoint)# enrollment url http://%CA%:80/certsrv/mscep/mscep.dll

Получаем сертификат CA-сервера:

Router(config)# crypto pki authenticate %TRUSTPOINT%

Запрашиваем собственный сертификат:

Router(config)# crypto pki enroll %TRUSTPOINT%

http://www.rublin.org/article/cisco