Leaflet
9-34
思科 ASA 系列命令参考,A 至 H 命令
第 9 章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令
crypto ca trustpoint
• crl configure - 进入 CRL 配置模式(请参阅 crl 命令)。
• default enrollment - 将所有注册参数恢复为系统默认值。此命令的调用不会成为活动配置的
一部分。
• email address - 在注册过程中,要求 CA 在证书的主题备用扩展名中包括指定的邮件地址。
• enrollment retry period - 指定 SCEP 注册的重试时间段(以分钟为单位)。
• enrollment retry count - 指定 SCEP 注册允许的最大重试次数。
• enrollment terminal - 指定使用此信任点进行剪切和粘贴注册。
• enrollment self - 指定生成自签证书的注册。
• enrollment url url - 指定 SCEP 注册使用此信任点进行注册并配置注册 URL (url)。
• exit - 退出配置模式。
• fqdn fqdn - 在注册过程中要求 CA 将指定 FQDN 包括在证书的主题备用扩展名中。
• id-cert-issuer - 已弃用。指示系统是否接受与此信任点关联的 CA 颁发的对等设备证书。
• id-usage - 指定如何使用信任点的已注册身份。
• ip-addr ip-address - 在注册过程中要求 CA 将 ASA 的 IP 地址包括在证书中。
• keypair name - 指定其公钥将经过认证的密钥对。
• match certificate map-name override ocsp - 将证书映射与 OCSP 覆盖规则匹配。
• ocsp disable-nonce - 禁用 nonce 扩展,这样可通过加密方式将撤销请求与响应绑定以避免重
播攻击。
• ocsp url - 指定此 URL 中的 OCSP 服务器检查与此信任点关联的所有证书,以了解撤销状态。
• exit - 退出配置模式。
• password string - 指定在注册过程中向 CA 注册时的质询短语。CA 通常使用此短语对后续撤
销请求进行身份验证。
• revocation check - 指定撤销检查方法,包括 CRL、OCSP 和 none。
• serial-number - 在注册过程中要求 CA 将 ASA 序列号包括在证书中。
• subject-name X.500 name - 在注册过程中要求 CA 将指定主题 DN 包括在证书中。如果 DN 字
符串包括逗号,请用双引号将值字符串括起来(例如 O="Company, Inc.")
• support-user-cert-validation - 已弃用。如果启用,则该信任点向颁发远程证书的 CA 进行身
份验证时,可从此信任点获取验证远程用户证书的配置设置。此选项适用于与子命令 crl
required | optional | nocheck 关联的配置数据和 CRL 模式下的所有设置。
• validation-policy - 指定验证与用户连接关联的证书的信任点条件。
注意 当您尝试连接时,在尝试从信任点检索 ID 证书的过程中会出现表示信任点不包含 ID 证书的警告。
示例 以下示例进入 CA 信任点配置模式,以管理名为 central 的信任点:
ciscoasa(config)# crypto ca trustpoint central
ciscoasa(ca-trustpoint)#