拓扑:
配置:
crypto key generate rsa usage-keys label sslkey modulus 1024
crypto ca trustpoint sslvpnca
enrollment retry period 2
enrollment retry count 10
enrollment url http://192.168.10.1:80/certsrv/mscep/mscep.dll
fqdn asa.sslvpn.net
subject-name cn=asa.sslvpn.net
keypair sslkey
crl configure
本文只分析CA没有配置RA的情况.
1 ASA通过HTTP向CA请求,获取CA证书。
2 CA以内容标识域Content-Type 为application/x-x509-ca-cert回复ASA。
说明在没有RA的情况下收到的是CA的证书,不是证书链。
一旦接收到CA 证书,SCEP 必须使用“指纹“来验证证书是否可信。“指纹”是对整个 CA 证书使用摘要算法得到的(可以使用MD5、SHA1 等摘要算法),将计算得到的“指纹”与证书服务器的“指纹”比较,本文所举的例子中证书服务器test 的指纹可以通过访http://192.168.10.1/certsrv/mscep/mscep.dll 进行查询,若相同,则可以认为此证书确实是属于这个CA 服务器的。
验证过CA 证书之后,SCEP 就可以为SSL 服务器注册证书了。
3 SCEP 发送给CA 服务器的PKCSReq消息。
4 CA返回消息给ASA.
通过scep申请证书的过程非常复杂,本文只是简单介绍了大体过程。
