5.8.5. 使用从属 CA
在路由器可以向 CA 验证前,CA 的证书链中的每个 CA 证书都必须导入到路由器中,从 root 开始。例如,以下命令序列将链中两个 CA 证书导入到路由器中:
scep(config)# crypto ca trusted-root1 scep(ca-root)# root CEP http://server.example.com:8080/ca/cgi-bin/pkiclient.exe scep(ca-root)# crl optional scep(ca-root)# exit scep(config)# cry ca authenticate 1 scep(config)# crypto ca trusted-root0 scep(ca-root)# root CEP http://server.example.com:8080/ca/cgi-bin/pkiclient.exe scep(ca-root)# crl optional scep(ca-root)# exit scep(config)# cry ca authenticate 0
如果 CA 证书没有设置 CRL 分布点扩展,请通过将它设置为 可选 来关闭 CRL 要求:
scep(ca-root)# crl optional
之后,按照 第 5.8.4 节 “为路由器生成 SCEP 证书” 所述设置 CA 身份。