収納の奥底に眠っていたCD-ROMの山から、奇跡的にもWindows2000 ServerのResource Kitがでてきたので、さっそくインストール。これでSCEPでCAから証明書enrollできるぜ!と思うのもつかの間・・
エラーでぜんぜんできません。。
いろいろ試してみるも、原因ぜんぜんわからず。。
ほぼあきらめかけたところ、なんとぜん吉さんが同じことやってるじゃないですか。
ここで決定的な間違い発見。crypto ca enrollで入力するパスワードは、One-Timeパスワードになってるんですね。しかもそれはhttp://(server)/certsrv/mscep/ から確認するものだと。
IEWBを見ながらやっていたんですが、そのソリューションには、"cisco"と書いてあったので、なにも考えずに自分で設定すればいいもんだと思ってました。。
これでもうできたも同然、と思いきや。。
やっぱりエラー。。
試行錯誤すること数時間。。なんとか証明書発行して、IPsec VPNまでたどりつきましたよ。
ダメポだったとこ
- CAとRAの名前が一緒だった?
Windows2000 ServerのCAサービスをインストールしたときのCAの名前と、cepsetup.exeインストールしたときのRAの名前が一緒だった(気がする。。debug crypto pki transactionsで、CAとRAのCertを区別できない!?みたいなメッセージがあった。。)
再インストール時に、名前を変えたところOK。
- キー長は1024bitで問題ない
いろいろ調べていたところでは、どうもCAおよびRAインストール時のキー長を512bitにしないといけない?といったものがあったが、デフォルトの1024bitで最終的に問題はなかった。
逆に、これを512bitにしたのが問題だった??
- crypto ca enroll で要求されるpasswordは、case sensitive故に注意。大文字でいれるべし。
- ルータの時間をあわせること!! (NTPを動かせばいいんだけれども)
