j'ai compris

Un certificat CA n'a pas pu être obtenu

publié il y a  2020-8-30 12:52:56 90 0 0 0 0

Un certificat CA n'a pas pu être obtenu

Symptôme de panne

  • L'administrateur réseau a demandé manuellement un certificat CA; cependant, le certificat CA n'existe pas dans le stockage de l'appareil. La raison en est que la configuration du téléchargement des certificats CA à l'aide de HTTP ou LDAP est incorrecte.

  • L'administrateur demande un certificat CA à l'aide de SCEP. Cependant, le certificat CA n'existe pas dans le stockage de l'appareil. Les causes possibles sont les suivantes:

    • La commande d'obtention du certificat CA n'est pas exécutée.

    • Le nom de l'autorité de certification approuvée est incorrect ou n'est pas configuré.

    • L'URL du serveur d'inscription de certificats est incorrecte ou n'est pas configurée.

    • L'entité PKI n'est pas configurée.

    • L'empreinte digitale est incorrecte ou n'est pas configurée.

    • La paire de clés RSA n'est pas configurée.

    • L'interface source pour la connexion TCP est incorrecte.

Procédure

  • Obtenez un certificat CA manuellement.


    Vérifiez si la configuration du téléchargement d'un certificat CA à l'aide de HTTP ou LDAP est correcte. Sinon, modifiez la configuration à l'aide de la commande pki http ou pki ldap .


  • Obtenez un certificat CA à l'aide de SCEP.

  1. Vérifiez si la commande pki get-certificate a été exécutée dans la vue système.

    Sinon, exécutez la commande pki get-certificate . Vous serez promu si la configuration de l'application de certificat CA est incorrecte.

  2. Vérifiez si la configuration de l'application de certificat CA est correcte dans le domaine PKI.


    Exécutez la commande display pki realm dans n'importe quelle vue ou display this commande dans la vue PKI realm.

    Voici un exemple de configuration d'application de certificat CA:
pki realm test                                                                   
 ca id ca_server   //Specify the CA trusted by the PKI realm.
 enrollment-url http://10.13.14.15:8080/certsrv/mscep/mscep.dll   //Configure the URL for the certificate enrollment server.
 entity zzz   //Specify the PKI entity.
 fingerprint sha1 7a34d94624b1c1bcbf6d763c4a67035d5b578eaf   //Configure the fingerprint for CA certificate verification. The fingerprint is obtained from the CA server.
 rsa local-key-pair 8   //Specify the RSA key pair.
 source interface GigabitEthernet0/0/2   //Specify the source interface (a Layer 3 interface with IP address assigned) for the TCP connection. By default, source interface of a TCP connection is the egress interface.
  1. Assurez-vous que la configuration est correcte. Pour plus de détails, consultez Demande et mise à jour du certificat local pour une entité PKI via SCEP .


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.