ASA在线证书申请过程分析

拓扑：

配置：

crypto key generate rsa usage-keys label sslkey modulus 1024
crypto ca trustpoint ssl***ca
enrollment retry period 2
 enrollment retry count 10
 enrollment url http://192.168.10.1:80/certsrv/mscep/mscep.dll
 fqdn asa.ssl***.net
 subject-name cn=asa.ssl***.net
 keypair sslkey
 crl configure

本文只分析CA没有配置RA的情况.

1 ASA通过HTTP向CA请求，获取CA证书。

2 CA以内容标识域Content-Type 为application/x-x509-ca-cert回复ASA。 

说明在没有RA的情况下收到的是CA的证书，不是证书链。

一旦接收到CA 证书，SCEP 必须使用“指纹“来验证证书是否可信。“指纹”是对整个 CA 证书使用摘要算法得到的（可以使用MD5、SHA1 等摘要算法），将计算得到的“指纹”与证书服务器的“指纹”比较，本文所举的例子中证书服务器test 的指纹可以通过访http://192.168.10.1/certsrv/mscep/mscep.dll 进行查询，若相同，则可以认为此证书确实是属于这个CA 服务器的。

验证过CA 证书之后，SCEP 就可以为SSL 服务器注册证书了。

3 SCEP 发送给CA 服务器的PKCSReq消息。

 4 CA返回消息给ASA.

通过scep申请证书的过程非常复杂，本文只是简单介绍了大体过程。