要上sslvpn了，突然发现IE8/9之类的不认cisco router自己颁发的证书了。

无奈，只好去myssl.cn申请。问题也随之而来。

原先想用SDM，发现SDM申请CA真慢，验证SSH登录起码30分钟，还要设置NTP时间同步（设置好时区后ntp peer 2.cn.pool.ntp.org即可）。

在SDM生成RSA KEY，CSR，结果myssl一直提示CSR不合法，起初是Location没写，SDM里面根本没提示这个字段。后来在router里面手动加了，再生成CSR，还是提示不合法…无语。

只好在myssl自动生成private key和CSR了，付款加webmaster验证基本上半个小时就搞定了。接着是如何搞定import证书到router了。

SDM是不行了，只好command来。Cisco的这篇文章还是蛮有参考意义的。可是试了几个小时，好几回，一直提示key不对。

开始觉得myssl提供的key非加密过的RSA Key，怎么转换呢？想起来之前startcom ssl有个在线工具的，去试了试，还是不行…

无奈找到myssl的技术，恩，交流下来，用openssl加密，即可。重新测试，证书导入成功！

命令就这么几个：

（注意：ca和intermediate ca的证书从IE浏览器直接export出 base64格式即可）

1. import ca

crypto pki trustpoint ca
enrollment terminal pem

crypto pki authen ca

2. import intermediate ca, rsa key and server certificate

crypto pki trustpoint vo
enrollment terminal pem

crypto pki import vo pem terminal <password>

问题还没有完全解决。chrome之类浏览器没问题了，IE8/9不行…提示证书还是有问题…唉，http分析了下，forward到IP地址去了，原来有个hostname命令。ssl encryption那句还真不知道是不是关键。。。

webvpn gateway gateway_1
hostname <domain>
ssl encryption rc4-md5
ssl trustpoint <server ca>
inservice

好了，大功告成。

技术工作很细啊，老了会吃不消。PKI体系真的不熟悉…