#配置一个根ca(被信任的root)

router(config)#crypto ca trusted-root 名
router(config)#crl query 统一资源
router(config)#exit
router(config)#crypto ca identity 名
router(ca-identity)#crl optional
router(ca-identity)#exit
router(config)#crypto ca trusted-root 名
router(ca-root)#root CEP 统一资源
或者/
router(ca-root)#root tftp 服务器名 文件名
router(ca-root)#root PROXY 统一资源
#认证ca
router(config)#crypto ca authenticate 名
//得到ca的公钥。使用与申请ca或当使用cryto ca identity命令时候一样的“名”。
#请求你自己的认证
router(config)#crypto ca enroll 名//请求认证给所有你的rsa钥匙对。这个命令导致你的路由器请求有多少认证就多少rsa钥匙对，所以你只需要这个运行这个命令一次，甚至你有指定用途的rsa钥匙对。
注意：这个命令需要你建立一个挑战密码，不存在配置中。这个密码需要在甚至你认证的时候需要使用，所以你必须记住这个密码。
再注意：如果你的路由器在你敲了cryto ca enroll命令之后重启了，但是又是在你收到认证之前，你必须再敲这个命令，告之ca管理员。

#保存你的配置
经常记起，当你改变配置之后要保存配置到你的网络中。

!监视和管理ca互操作性：
以下任务是可选的，根据实践所需：
#请求一个CRL
router(config)crypto ca crl request 名#查询一个crl
router(ca-root)#crl query#从你的路由器上删除一个rsa钥匙。
router(config)#crypto key zeroize rsa#删除一个对等体的公钥
router(confg)#cryto key pubkey-chain rsa
router(config-pubkey-c)no named-key 钥匙名 [encryptin | signature]
或者router(config-pubkey-c)#no addressed-key key地址[encryption | signature]exit#从配置中删除认证
router#show crypto ca certificates
router(config)#crypto ca certificate chain 名
router(config-cert-cha)#no certificate 认证序列号#全局下删除ca标识
router(config)#no crypto ca identity#察看keys和认证
router#show crypto key mypubkey rsa//看rsa公共key们。
router#show crypto key pubkey-chain rsa//看所有的rsa公共keys。
router#show crypto key pubkey-chain rsa [name 钥匙名 |address key地址]
router#show crypto ca certifacates
router#show crypto ca roots

你配完了这个特性之后，你就配ike和ipsec吧。

转载地址：http://www.net130.com/CMS/Pub/Tech/tech_zh/2005_10_23_19396_2.htm