Leaflet
9-33
思科 ASA 系列命令参考,A 至 H 命令
第 9 章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令
crypto ca trustpoint
crypto ca trustpoint
要进入指定信任点的加密 CA 信任点配置模式,请在全局配置模式下使用 crypto ca trustpoint 命
令。要删除指定的信任点,请使用此命令的 no 形式。
crypto ca trustpoint trustpoint-name
no crypto ca trustpoint trustpoint-name [noconfirm]
语法说明
默认值 没有默认行为或值。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 使用 crypto ca trustpoint 命令声明 CA。执行此命令可使您进入加密 CA 信任点配置模式。
此命令管理信任点信息。一个信任点代表一个 CA 身份,也可能代表一个基于 CA 签发的证书的
设备身份。信任点模式中的命令控制特定于 CA 的配置参数,这些参数指定 ASA 如何获取 CA 证
书、ASA 如何从 CA 获取其证书以及 CA 颁发的用户证书的身份验证策略。
您可以使用以下命令指定信任点的特征:
• accept-subordinates - 已弃用。指示如果在一期 IKE 交换期间传输,是否接受与信任点关联的
CA 下级证书(之前未在 ASA 上安装时)。
• crl required | optional | nocheck - 指定 CRL 配置选项。
noconfirm
抑制所有交互式提示
ipsec
表示可使用此信任点验证 IPsec 客户端连接。
ssl-client
表示可使用此信任点验证 SSL 客户端连接。
trustpoint-name
标识要管理的信任点的名称。允许的最大名称长度为 128 个字符。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是 • 是 • 是 • 是
—
版本 修改
7.0(1)
引入了此命令。
7.2(1)
增加了支持 OCSP 的选项。其中包括 match certificate map、ocsp
disable-nonce、ocsp url 和 revocation-check。
8.0(2)
增加了支持证书验证的选项。其中包括 id-usage 和 validation-policy。
以下项被弃用:accept-subordinates、id-cert-issuer 和
support-user-cert-validation。
8.0(4)
增加了 self 选项以支持受信任企业间(例如电话代理和 TLS 代理之间)
自签证书 enrollment 的注册。