Crypto pki trustpoint

Для реєстрації СА та локального сертифіката в базі продукту, а також списку відкликаних сертифікатів використовується утиліта cert_mgr import.

Синтаксис crypto pki trustpoint name

no crypto pki trustpoint name

ім'я СА. Якщо потрібно змінити параметри вже оголошеного СА, введіть ім'я, яке було призначено раніше.

Стандартне значення Значення за замовчуванням відсутнє.

Режими команди Global configuration. Виконання цієї команди здійснює вхід у режим ca trustpoint configuration.

Рекомендації щодо використання

Команда crypto pki trustpoint заміщає команду у старому форматі crypto ca trustpoint, яка використовувалася в Cisco IOS версії 12.2 та CSP VPN Gate версії 2.х.

crlquery– служить для налаштування параметрів отримання CRL;

revocation-check – вказує режим використання CRL;

exit – здійснює вихід із режиму ca trustpoint configuration.

Налаштування отримання та використання CRL беруться з першого за рахунком trustpoint. З решти trustpoint налаштування ігноруються.

Видалення СА trustpoint здійснюється командою no crypto pki trustpoint name. Після цього видається повідомлення:

% Removing an enrolled trustpoint will destroy all certificates

був отриманий від відповідного Certificate Authority.

Are you sure you want to do this? [yes/no]:

Якщо ввести "yes" (можна скоротити до однієї літери "y"), то trustpoint видаляється з конфігурації. Якщо при цьому існують CA-сертифікати, які прив'язані до цього trustpoint, вони видаляються як із Cisco-like конфігурації, так і з бази локальних налаштувань продукту.

Якщо ввести “no” (можна скоротити до однієї літери “n”), дія команди скасовується.

Відмінність цієї командивід подібної команди Cisco IOS:

  • Підкоманда enrollment ігнорується, виконується лише завдання сертифікатів за допомогою cert_mgr import.
  • Читаються лише сертифікати CA, локальні сертифікати (сертифікати пристроїв) ігноруються. Локальні сертифікати можуть бути зареєстровані у Продукті лише утилітою cert_mgr import.
  • Додавання одного trustpoint і перерахування кількох trustpoints фактично не відрізняється один від одного і завжди призводить до перерахування CA-сертифікатів:

Нижче наведено приклад використання команди crypto pki trustpoint. Оголошується СА з ім'ям "ka" і вказується, що при перевірці сертифіката CRL використовується, якщо він встановлений в базі продукту або отриманий в процесі IKE обміну. Якщо це не так, спроба отримати CRL за протоколом LDAP не робиться і сертифікат приймається: