Hollow 10 Geschrieben 20. Mai 2007 Melden Teilen Geschrieben 20. Mai 2007 Hallo Zusammen, ich versuche derzeit eine PKI aufzubauen mittels einer W2K3 CA und Cisco Routern. Nur funktionniert dieses derzeit nicht so wie gewollt. Wenn ich den Befehl "crypto ca enroll casvr" ausführe, bekomme ich, nachdem ich das das challange Passwort eingegeben hab, folgende Fehlermeldung zurück: *May 14 09:36:44.867: %PKI-6-CERTREJECT: Certificate enrollment request was rejected by Certificate Authority Die Uhrzeit auf den Systemen stimmt überein. Ich habe auf dem W2K3 Server eine Eigenständige Stammzertifizierungsstelle installiert mit folgenden Angaben zum Key: Kryptografiedinstanbieter: Microsoft Strong Cryptographic Provider Hashalgorythmus: SHA-1 Schlüssellänge: 1024 Bit SCEP für Windows ist installiert. Die Konfig auf dem Cisco Router sieht wie folgend aus: sh version ++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++ Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(9)T1, RELEASE SOFTWARE (fc2) Technical Support: Cisco - Shortcut Copyright © 1986-2006 by Cisco Systems, Inc. Compiled Wed 30-Aug-06 14:24 by prod_rel_team ROM: System Bootstrap, Version 12.3(8r)YH6, RELEASE SOFTWARE (fc1) TACACS uptime is 24 minutes System returned to ROM by power-on System image file is "flash:c181x-advipservicesk9-mz.124-9.T1.bin" ..... Cisco 1812 (MPC8500) processor (revision 0x400) with 118784K/12288K bytes of mem ory. Processor board ID FCZ1051234K, with hardware revision 0000 10 FastEthernet interfaces 1 ISDN Basic Rate interface 31360K bytes of ATA CompactFlash (Read/Write) Configuration register is 0x2102 ++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++ sh run ++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++ Building configuration... Current configuration : 3468 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! logging buffered 4096 debugging enable secret 5 xxxxxxxxxxxxx ! no aaa new-model ! resource policy ! ! ! ip cef ! ! ip domain name domain.de ip host casvr xxx.xxx.xxx.xxx ! ! crypto pki trustpoint CASCR enrollment url http://casvr:80/certsrv/mscep/mscep.dll serial-number revocation-check none rsakeypair CASVR.domain.de ! ! crypto pki certificate chain CASVR certificate ca KEY quit ! ! ! crypto isakmp policy 1 encr 3des hash md5 crypto isakmp identity dn ! ! crypto ipsec transform-set CRYPTO des ! crypto ipsec profile DMVPNPROF set transform-set CRYPTO ! ! ! ! interface FastEthernet0 ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx duplex auto speed auto ! interface FastEthernet1 no ip address shutdown duplex auto speed auto ! interface BRI0 no ip address encapsulation hdlc shutdown ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ! interface FastEthernet5 ! interface FastEthernet6 ! interface FastEthernet7 ! interface FastEthernet8 ! interface FastEthernet9 ! interface Vlan1 no ip address ! ! ! no ip http server no ip http secure-server ! ! ! ! ! ! ! control-plane ! ! line con 0 privilege level 15 password xxxxx line aux 0 line vty 0 4 privilege level 15 password xxxxx no login ! end ++++++++++++++++++++++++++++++++++++++++++++++++++ ++ Ich bin über jeden gedankengang dankbar...;-) MfG Hollow Zitieren Link zu diesem Kommentar
#9370 10 Geschrieben 20. Mai 2007 Melden Teilen Geschrieben 20. Mai 2007 sind die im Link aufgeführten Erfordernisse erfüllt, vor allem die Rechte, die der Enrollment User haben muss? Download details: Simple Certificate Enrollment Protocol (SCEP) Add-on for Certificate Services /#9370 Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 21. Mai 2007 Melden Teilen Geschrieben 21. Mai 2007 SCEP für Windows ist installiert. Sicher? Ressource Kit 2003 ist installiert? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.