https://mobile.opennet.me/openforum/vsluhforumID6/23888.html Доброго времени суток<br><br>В цисках новичек, помогите плз разобраться с подключением Cisco VPN Client к EasyVPN на роутере c2801 с использованием сертификата. Через pre-share способ аутентификации работает, но надо по сертификатам чтобы работало. Примерно в какую сторону надо копать, ссылки может какие наводящие подскажете. VPN Client не получает сертификат от VPN сервера, в этом загвоздка. Не знаю как настроить сервер, чтобы он выдавал сертификат при подключении клиента через rsa-sig аутентификацию...<br><br>Вот конфиг роутера<br><br>---<br>version 12.3<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>service password-encryption<br>!<br>hostname c2801<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>enable secret 5 $1$GawZ$a1xodhe5YijfnqpQRkcME1<br>!<br>aaa new-model<br>!<br>!<br>aaa authentication login default local<br>aaa authentication login userauthen local<br>aaa authorization exec default local <br>aaa authorization network groupauthor local <br>!<br>aaa session-id common<br>!<br>resource policy<br>!<br>clock timezone MS https://mobile.opennet.me/openforum/vsluhforumID6/23888.html#3 Thu, 05 Jul 2012 05:25:05 GMT &gt;&gt;&gt;[оверквотинг удален] <br><br>Вопрос решился<br>Создал еще один trustpoint, для enroll сертификата, вдобавок к trustpoint самого СА сервера, потом проблема была в "длине" генерируемого ключа, он соотносится с группой, я не знал об этом. Генерил ключевую пару с длиной 2048, а группу ставил в политике group 2, а надо было group 5, group 2 для длины ключевой пары 1024. Потом не проходила вторая фаза IKE пока не поставил crypto isakmp identity dn вместо crypto isakmp identity hostname.<br><br>вот конфиг рутера, может пригодится кому:<br><br><br>Building configuration...<br><br>Current configuration : 10201 bytes<br>!<br>!<br>version 12.3<br>service timestamps debug datetime localtime<br>service timestamps log datetime msec<br>no service password-encryption<br>!<br>hostname c2801<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>logging buffered 52000 debugging<br>enable secret 5 $1$GawZ$a1xohwc5YijfnqpQRkcME1<br>!<br>aaa new-model<br>!<br>!<br>aaa authentication login vpnauth local<br>aaa authorization network vpngroup local <br>!<br>aaa session-id common<br>!<br>resource pol https://mobile.opennet.me/openforum/vsluhforumID6/23888.html#2 Wed, 20 Jun 2012 12:11:31 GMT &gt;&gt;[оверквотинг удален] <br>&gt; Читайте <br>&gt; http://www.socialit.ru/vopros-otvet/vopros-otvet_148.html <br>&gt; http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/guide/ft_key.html#wp1027188 <br><br>делал примерно так же:<br><br>с2801(config)#crypto key generate rsa general-keys label с2801 exportable <br><br>после того как сгенерировалась пара exportable ключей, делаю экспорт<br><br>с2801(config)#crypto key export rsa с2801 pem url nvram: 3des cisco123<br><br>с2801#show crypto key mypubkey rsa<br><br>показывает что ключ экспортирован в nvram, он там есть<br><br>Key name: c2801<br>Usage: General Purpose Key<br>Key is exportable.<br>Key Data:<br><br>потом<br><br>с2801 (config)#crypto pki trustpoint c2801 и там добавил<br>enrollment url http://123.123.123.1:80<br>revocation-check crl<br>rsakeypair c2801<br><br>потом <br> <br>c2801(config)#crypto pki server c2801, и в нем<br>grant auto<br>lifetime crl 336<br>lifetime certificate 1825<br>lifetime ca-certificate 1825<br>cdp-url http://123.123.123.1<br>no shut<br>exit<br><br>На Cisco VPN Client меню Certificates-Enroll и заполняю поля:<br><br>CA https://mobile.opennet.me/openforum/vsluhforumID6/23888.html#1 Wed, 20 Jun 2012 09:38:56 GMT &gt;[оверквотинг удален]<br>&gt; line con 0 <br>&gt; line aux 0 <br>&gt; line vty 0 4 <br>&gt; privilege level 15 <br>&gt; transport input telnet ssh <br>&gt; !<br>&gt; ntp clock-period 17179760 <br>&gt; ntp server 62.117.76.142 <br>&gt; ntp server 88.147.255.85 <br>&gt; end <br><br>Читайте<br>http://www.socialit.ru/vopros-otvet/vopros-otvet_148.html<br>http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/guide/ft_key.html#wp1027188<br>