配置路由器证书的自动重新注册
使用该 auto-re-enrollment
语句配置在现有到期日期之前自动重新注册指定的现有路由器证书。此函数会自动重新注册路由器证书。重新注册过程会请求证书颁发机构 (CA) 颁发具有新到期日期的新路由器证书。自动重新注册的日期由以下参数确定:
re-enroll-trigger-time
—路由器证书开始日期/时间(生成证书的时间)与有效期之间的差异百分比;用于指定在过期前应启动多长时间的自动重新注册。validity-period
— 颁发后路由器证书将过期的天数(生成证书时设置)。
默认情况下,除非显式配置,否则不会启用此功能。这意味着未配置自动重新注册的证书将在其正常到期日期过期。
该 ca-profile
语句指定将联系哪个 CA 以重新注册即将过期的证书。这是颁发原始路由器证书的 CA。
该 challenge-password
语句为颁发证书的 CA 提供路由器证书的密码,该密码由管理员设置,通常从 CA 的 SCEP 注册网页获取。密码长度为 16 个字符。
(可选)可以使用语句 re-generate-keypair
重新生成路由器证书密钥对。
要配置自动重新注册属性,请在层次结构级别包含以下语句 [edit security pki]
:
[edit security pki] auto-re-enrollment { certificate-id { ca-profile ca-profile-name; challenge-password password; re-enroll-trigger-time-percentage percentage; re-generate-keypair; validity-period days; } }
percentage
是重新注册触发时间的百分比。范围可以从 1% 到 99%。
days
是有效期的天数。范围可以是 1 到 4095。
配置证书自动重新注册的任务包括:
指定证书 ID
使用该 certificate-id
语句指定要为自动重新注册配置的路由器证书的名称。要指定证书 ID,请在层次结构级别包含语句 [edit security pki auto-re-enrollment]
:
[edit security pki auto-re-enrollment] certificate-id certificate-name;
指定 CA 配置文件
使用该 ca-profile
语句从先前由证书 ID 指定的路由器证书中指定 CA 配置文件的名称。要指定 CA 配置文件,请在层次结构级别包含语句 [edit security pki auto-re-enrollment certificate-id certificate-name]
:
[edit security pki auto-re-enrollment certificate-id certificate-name] ca-profile ca-profile-name;
引用 ca-profile
的必须在层次结构级别配置 [edit security pki ca-profile ca-profile-name enrollment url]
注册 URL。
指定质询密码
质询密码由 PKI 证书 ID 指定的 CA 用于重新注册和吊销。要指定质询密码,请在层次结构级别包含以下语句 [edit security pki auto-re-enrollment certificate-id certificate-name]
:
[edit security pki auto-re-enrollment certificate-id certificate-name] challenge-password password;
指定重新注册触发时间
使用该 re-enroll-trigger-time
语句可以设置到期前发生重新注册的有效期的百分比。要指定重新注册触发时间,请在层次结构级别包含以下语句 [edit security pki auto-re-enrollment certificate-id certificate-name]
:
[edit security pki auto-re-enrollment certificate-id certificate-name] re-enroll-trigger-time percentage;
percentage
是重新注册触发时间的百分比。范围可以从 1% 到 99%。
指定重新生成密钥对
配置重新生成的密钥对时,将在重新注册期间生成新的密钥对。成功重新注册后,新密钥对和新证书将替换旧证书和密钥对。要生成新的密钥对,请在层次结构级别包含以下语句 [edit security pki auto-re-enrollment certificate-id certificate-name]
:
[edit security pki auto-re-enrollment certificate-id certificate-name] re-generate-keypair;
指定有效期
该 validity-period
语句指定指定路由器证书保持有效的路由器证书有效期(以天数为单位)。要指定有效期,请在层次结构级别包含语句 [edit security pki auto-re-enrollment certificate-id certificate-name]
:
[edit security pki auto-re-enrollment certificate-id certificate-name] validity-period days;
days
是有效期的天数。范围可以是 1 到 4095。