Hallo Zusammen,
ich versuche derzeit eine PKI aufzubauen mittels einer W2K3 CA und Cisco Routern. Nur funktionniert dieses derzeit nicht so wie gewollt.
Wenn ich den Befehl "crypto ca enroll casvr" ausführe, bekomme ich, nachdem ich das das challange Passwort eingegeben hab, folgende Fehlermeldung zurück:
*May 14 09:36:44.867: %PKI-6-CERTREJECT: Certificate enrollment request was rejected by Certificate Authority
Die Uhrzeit auf den Systemen stimmt überein.
Ich habe auf dem W2K3 Server eine Eigenständige Stammzertifizierungsstelle installiert mit folgenden Angaben zum Key:
Kryptografiedinstanbieter: Microsoft Strong Cryptographic Provider
Hashalgorythmus: SHA-1
Schlüssellänge: 1024 Bit
SCEP für Windows ist installiert.
Die Konfig auf dem Cisco Router sieht wie folgend aus:
sh version
++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++
Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(9)T1,
RELEASE SOFTWARE (fc2)
Technical Support:
Cisco - Shortcut
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Wed 30-Aug-06 14:24 by prod_rel_team
ROM: System Bootstrap, Version 12.3(8r)YH6, RELEASE SOFTWARE (fc1)
TACACS uptime is 24 minutes
System returned to ROM by power-on
System image file is "flash:c181x-advipservicesk9-mz.124-9.T1.bin"
.....
Cisco 1812 (MPC8500) processor (revision 0x400) with 118784K/12288K bytes of mem
ory.
Processor board ID FCZ1051234K, with hardware revision 0000
10 FastEthernet interfaces
1 ISDN Basic Rate interface
31360K bytes of ATA CompactFlash (Read/Write)
Configuration register is 0x2102
++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++
sh run
++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++
Building configuration...
Current configuration : 3468 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
enable secret 5 xxxxxxxxxxxxx
!
no aaa new-model
!
resource policy
!
!
!
ip cef
!
!
ip domain name domain.de
ip host casvr xxx.xxx.xxx.xxx
!
!
crypto pki trustpoint CASCR
enrollment url
http://casvr:80/certsrv/mscep/mscep.dll
serial-number
revocation-check none
rsakeypair CASVR.domain.de
!
!
crypto pki certificate chain CASVR
certificate ca
KEY
quit
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
crypto isakmp identity dn
!
!
crypto ipsec transform-set CRYPTO des
!
crypto ipsec profile DMVPNPROF
set transform-set CRYPTO
!
!
!
!
interface FastEthernet0
ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
duplex auto
speed auto
!
interface FastEthernet1
no ip address
shutdown
duplex auto
speed auto
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
no ip address
!
!
!
no ip http server
no ip http secure-server
!
!
!
!
!
!
!
control-plane
!
!
line con 0
privilege level 15
password xxxxx
line aux 0
line vty 0 4
privilege level 15
password xxxxx
no login
!
end
++++++++++++++++++++++++++++++++++++++++++++++++++ ++
Ich bin über jeden gedankengang dankbar...;-)
MfG Hollow
