要启用身份验证、授权和会计(AAA)访问控制模型，请使用 aaa新型号全局配置模式下的 命令。 要禁用AAA访问控制模型，请使用 否命令的 形式。

aaa新型号

没有 新款

该命令没有参数或关键字。

命令默认值： AAA未启用。

命令模式： 全局配置（配置）

使用指南： 此命令启用AAA访问控制系统。

要在登录时设置验证、授权和会计(AAA)验证，请使用 认证登录全局配置模式下的 命令。 要禁用AAA验证，请使用 否命令的 形式。

aaa验证登录{默认|列表名称}方法1[方法2…]

无 验证登录 {| -name } 1 [ 2…]

命令默认值： 登录时的AAA验证已禁用。

命令模式： 全局配置（配置）

使用指南： 如果 认值未设置 关键字，仅选中本地用户数据库。 这与以下命令的效果相同：

aaa authentication login default local

在控制台上，如果 ，登录将成功，无需任何身份验证检查 认值 未设置关键字。

您使用 创建的缺省和可选列表名称 认证登录 命令与 一起使用 验证 命令。

通过输入 创建列表 认证登录 用于特定协议的列表名称方法命令。 列表名称参数是用于命名用户登录时激活的验证方法列表的字符串。 方法参数确定了在给定序列中验证算法尝试的方法列表。 “无法用于列表名称参数的验证方法”部分列出了无法用于列表名称参数的验证方法，下表描述了方法关键字。

要创建在没有为线路分配列表时使用的缺省列表，请使用 验证 命令，带默认参数，后跟在默认情况下使用的方法。

密码只会提示一次以验证用户凭证，如果由于连接问题而出现错误，可通过其他验证方法进行多次重试。 但是，只有前一个方法返回错误，而不是失败时，才会切换到下一个验证方法。 要确保即使所有方法都返回错误，验证也成功，请指定 无 作为命令行中的最终方法。

如果没有专门为线路设置身份验证，则缺省设置为拒绝访问，不执行身份验证。 使用 多系统：run-config显示当前配置的验证方法列表的 命令。

无法用于列表名称参数的验证方法

无法用于列表名称参数的验证方法如下：

• 验证-访客

• 启用

• 来宾

• 如果已验证

• 如果需要

• kb5

• krb实例

• KRB-telnet

• 行

• 本地

• 无

• 半径

• rcmd

• 玉米饼

• 墨西哥煎饼

在下表中，组 、组tacacs +、组ldap和组组名方法指一组之前定义的<UNK>或TACACS+服务器。 使用radius-server host和tacacs-server host命令配置主机服务器。 使用aaa组服务器 、aaa组服务器ldap和aaa组服务器tacacs+命令创建一个命名的服务器组。

下表列出了方法关键字。

关键字	描述
缓存 组名称	使用缓存服务器组进行验证。
启用	使用启用密码进行验证。 无法使用此关键字。
组 组名称	使用<UNK>或TACACS+服务器子集进行 定义的验证 组服务器半径 或 aaa组服务器tacacs+ 命令。
组 dap	使用所有轻量级目录访问协议(LDAP)服务器的列表进行验证。
组 径	使用所有<UNK>服务器的列表进行验证。
组tacacs+	使用所有TACACS+服务器的列表进行验证。
kb5	使用Kerberos 5进行身份验证。
krb5-telnet	使用Telnet连接路由器时，使用Kerberos 5 Telnet验证协议。
行	使用线路密码进行验证。
本地	使用本地用户名数据库进行身份验证。
本地案例	使用区分大小写的本地用户名验证。
无	不使用身份验证。
过期时间	启用本地验证列表上的密码老化。   radius-server vsa发送验证 命令是必需的 过期 关键字工作。

要设置限制用户访问网络的参数，请使用 授权全局配置模式下的 命令。 要删除参数，请使用 否命令的 形式。

aaa级授权{验证代理|缓存|命令级别|配置-命令|配置|控制台|执行人|ip移动|多播|网络|策略-if|预付费|半径-代理|反向访问|subscriber服务|模板} {默认|列表名称} [方法1[方法2.[]]

没有aaa级授权{验证代理|缓存|命令级别|配置-命令|配置|控制台|执行人|ip移动|多播|网络|策略-if|预付费|半径-代理|反向访问|subscriber服务|模板} {默认|列表名称} [方法1[方法2.[]]

命令默认值： 对所有操作禁用授权（等效于方法关键字 ）。

命令模式： 全局配置（配置）

使用指南： 使用aaa授权命令可启用授权并创建命名方法列表，命名方法列表定义用户访问指定函数时可使用的授权方法。 用于授权的方法列表定义了执行授权的方式以及执行这些方法的顺序。 方法列表是一个命名列表，描述必须按顺序使用的授权方法（例如<UNK>或TACACS+）。 方法列表使您能够指定一个或多个用于授权的安全协议，从而确保在初始方法失败时备份系统。 Cisco IOS软件使用列出的第一个方法授权用户使用特定的网络服务；如果该方法无法响应，Cisco IOS软件将选择方法列表中列出的下一个方法。 此过程将持续，直至与列出的授权方法成功通信，或直至所有定义的方法都已用尽。

仅当上一个方法没有响应时，Cisco IOS软件才会尝试使用下一个列出的方法授权。 如果授权在此周期中的任何一点失败（即安全服务器或本地用户名数据库通过拒绝用户服务作出响应），则授权过程将停止，并且不会尝试其他授权方法。

如果发出特定授权类型的aaa授权命令时没有指定的命名方法列表，默认方法列表将自动应用于所有接口或线路（应用此授权类型的接口或线路），但明确定义了命名方法列表的接口或线路除外。 （已定义的方法列表将覆盖默认的方法列表。） 如果未定义默认方法列表，则不会发生授权。 默认授权方法列表必须用于执行出站授权，例如授权从<UNK>服务器下载IP池。

通过输入list-name和方法参数的值，使用aaa授权命令创建列表，其中list-name是用于命名此列表的任何字符串（不包括所有方法名称），方法标识在给定序列中尝试的授权方法列表。

aaa授权命令支持13个独立的方法列表。 例如：

aaa授权配置方法列表1组半径

aaa授权配置方法列表2组半径

...

aaa授权配置方法列表13组半径

在下表中，组-name、组ldap、组 和组tacacs+方法指一组先前定义的<UNK>或TACACS+服务器。 使用radius-server host和tacacs-server host命令配置主机服务器。 使用aaa组服务器radius 、 aaa组服务器ldap和aaa组服务器tacacs+命令创建一个命名的服务器组。

Cisco IOS软件支持以下授权方法：

• 缓存服务器组-路由器咨询其缓存服务器组，为用户授权特定的权限。

• If-Authenticated --如果已成功验证用户，用户可以访问请求的函数。

• 本地--路由器或访问服务器会根据用户名命令的定义访问本地数据库，以授权用户特定的权限。 只能通过本地数据库控制有限的函数集。

• 无-网络访问服务器不请求授权信息；授权不会在此线路或接口上执行。

• RADIUS --网络访问服务器请求<UNK>安全服务器组的授权信息。 <UNK>授权通过将存储在<UNK>服务器数据库中的属性与相应的用户关联来定义用户的特定权限。

• TACACS+ --网络访问服务器与TACACS+安全守护程序交换授权信息。 TACACS+授权通过将存储在TACACS+安全服务器数据库中的属性值(AV)对与相应的用户关联来定义用户的特定权限。

要允许网络语音网络中特定类型的终端之间的连接，请使用 连接语音服务配置模式下的 命令。 要拒绝特定类型的连接，请使用 否命令的 形式。

允许从类型 连接

无允许连接 类型

命令默认值： SIP到SIP连接默认禁用。

命令模式： 语音服务配置(config-voi-serv)

使用指南： 此命令用于允许在Cisco多服务IP到IP网关中的特定类型终端之间进行连接。 该命令默认启用，无法更改。

要允许在语音寄存器dn中的任何位置插入'#'，请使用 -hash-in-dn语音寄存器全局模式下的 命令。 要禁用此功能，请使用 否命令的 形式。

允许-hash in-dn

不允许-hash-in-dn

命令默认值： 默认情况下禁用该命令。

命令模式： 语音寄存器全局配置(config-register-global)

使用指南： 在引入此命令之前，语音寄存器dn中支持的字符为0-9、+和*。 每当用户需要在语音寄存器dn中插入#时，就会启用新命令。 默认情况下禁用该命令。 您只能在Cisco Unified SRST和Cisco Unified E-SRST模式中配置此命令。 字符#可以插入到语音寄存器dn中的任何位置。 启用此命令后，用户需要使用 将默认终止符(#)更改为另一个有效字符 号对等方终止器配置模式下的 命令。

要进入冗余应用程序配置模式，请使用 程序冗余冗余配置模式下的 命令。

应用程序 余

该命令没有参数或关键字。

命令默认值： 无

命令模式： 冗余配置（配置-红色）

使用指南： 使用此 程序冗余配置应用程序冗余以实现高可用性的 命令。

要设置应用程序的默认网关，请使用 程序默认网关应用程序托管配置模式下的 命令。 要移除缺省的闸道，请使用 否命令的 形式。

app-default-gateway [ -address -interface -interface-number]

no -default-gateway [ -address -interface -interface-number]

命令默认值： 未配置默认网关。

命令模式： 应用程序托管配置(config-app-host)

使用指南： 使用 程序默认网关设置应用程序默认网关的 命令。 网关连接器是安装在Cisco IOS XE GuestShell容器上的应用程序。

要配置应用程序并进入应用程序托管配置模式，请使用 程序托管应用程序全局配置模式下的 命令。 要删除应用程序，请使用 否命令的 形式。

应用程序托管应用程序 程序名

命令默认值： 未配置应用程序。

命令模式： 全局配置（配置）

使用指南：应用程序名称参数最多可以包含32个字母数字字符。

配置此命令后，您可以更新应用程序主机配置。

要覆盖应用程序提供的资源配置文件，请使用 程序资源配置文件应用程序托管配置模式下的 命令。 要还原为应用程序指定的资源配置文件，请使用 否命令的 形式。

应用程序资源配置文件 -名称

无 程序资源配置文件 文件名称

命令默认值： 资源配置文件已配置。

命令模式： 应用程序托管配置(config-app-host)

使用指南： 可通过设置自定义资源配置文件来更改应用程序包中指定的预留资源。 只能更改CPU、内存和虚拟CPU (vCPU)资源。 要使资源更改生效，请停止并停用应用程序，然后激活并重新启动应用程序。

仅支持自定义配置文件。

该命令配置自定义应用程序资源配置文件，并进入自定义应用程序资源配置文件配置模式。

要为应用程序配置虚拟网络接口网关，请使用 程序-vnic网关应用程序托管配置模式下的 命令。 要删除配置，请使用 否命令的 形式。

此命令仅在路由平台上受支持。 切换平台不支持该选项。

app-vnic网关virtualportgroup -接口 -interface-number

无 -vnic网关 alportgroup -接口 -接口-号码

命令默认值： 未配置虚拟网络网关。

命令模式： 应用程序托管配置(config-app-host)

使用指南： 配置应用程序的虚拟网络接口网关后，命令模式将变为应用程序托管网关配置模式。 在此模式下，您可以配置来宾接口的IP地址。

要在传入会话发起协议(SIP)请求或响应消息中启用对断言ID标头的支持，以及在传出SIP请求或响应消息中发送断言的ID隐私信息，请使用 -id语音服务VoIP-SIP配置模式或语音类租户配置模式下的 命令。 要禁用对断言的ID标头的支持，请使用 否命令的 形式。

-id { i| }

no -id { i| }

命令默认值： 隐私信息使用Remote-Party-ID (RPID)标头或FROM标头发送。

命令模式： 语音服务VoIP-SIP配置(conf-serv-sip)和语音类租户配置(config-class)

使用指南： 如果您选择 关键字或 关键字，网关将PAI标头或PPI标头分别构建到通用SIP堆栈中。 关键字或 关键字的优先级高于Remote-Party-ID (RPID)标头，并从出站消息中删除RPID标头，即使路由器配置为在全局级别使用RPID标头。

要配置会话发起协议(SIP)不对称负载支持，请使用 对称负载SIP配置模式或语音类租户配置模式下的 命令。 要禁用不对称负载支持，请使用 否命令的 形式。

不对称 载 { dtmf |动态编解码器 ||系统}

无 对称 负载 { tmf | 编解码器 ||}

命令默认值： 该命令已禁用。

命令模式： 语音服务SIP配置(conf-serv-sip)、语音类租户配置(config-class)

使用指南： 从语音服务配置模式输入SIP配置模式，如示例中所示。

对于Cisco UBE，音频/视频编解码器、DTMF和NSE支持SIP非对称有效载荷类型。 因此， mf 和 编解码器 关键字在内部映射到 关键字，为音频/视频编解码器、DTMF和NSE提供不对称有效载荷类型支持。

要在单个拨号对等方上启用SIP摘要验证，请使用 拨号对等语音配置模式下的 命令。 要禁用SIP Digest验证，请使用 否命令的 形式。

验证用户名用户名密码 { 0|6|7} 密码 [domaindomain|challenge|all ]

无验证用户名用户名密码 { 0|6|7 } 密码 [领域领域|challenge|all ]

命令默认值： 已禁用SIP Digest验证。

命令模式： 拨号对等语音配置（配置拨号对等）

使用指南： 启用Digest验证时，以下配置规则适用：

• 每个拨号对等方只能配置一个用户名。 在配置其他用户名之前，必须删除任何现有用户名配置。

• 最多五个 或 参数可为任何一个用户名配置。

名 和 参数用于验证用户。 发出407/401挑战响应的验证服务器/代理在挑战响应中包含一个领域，用户提供对该领域有效的凭证。 由于假定信令路径中最多有五个代理服务器可以尝试验证从用户-代理客户端(UAC)到用户-代理服务器(UAS)的给定请求，用户最多可以为配置的用户名配置五个密码和领域组合。

用户以纯文本形式提供密码，但密码经过加密并保存以用于401质询响应。 如果密码未以加密形式保存，则发送垃圾密码，验证失败。

• 领域规范是可选的。 如果省略，为该用户名配置的密码将应用于尝试验证的所有领域。

• 每次只能为所有已配置的领域配置一个密码。 如果配置了新密码，之前配置的密码将被覆盖。

这意味着只能配置一个全局密码（一个没有指定领域的密码）。 如在配置新密码时未配置相应领域，新密码将覆盖上一个领域。

• 如果为之前配置的用户名和密码配置了一个领域，则该领域规范将添加到现有的用户名和密码配置中。 但是，在将领域添加到用户名和密码配置后，该用户名和密码组合仅对该领域有效。 除非先删除用户名和密码的整个配置，否则无法从用户名和密码配置中删除已配置的领域。然后，您可以使用或不使用不同领域重新配置该用户名和密码组合。

• 在同时包含密码和领域的条目中，您可以更改密码或领域。

• 使用 验证 命令，用于删除用户的所有验证条目。

必须指定密码的加密类型。 如果是纯文本密码(输入 0)已配置，其加密为类型 6 然后将其保存到正在运行的配置中。

如果您将加密类型指定为 6 或 7，输入的密码将根据有效类型选中 6 或 7 密码格式并保存为类型 6 或 7分别。

类型-6密码使用AES密码和用户定义的主密钥进行加密。 这些密码相对更安全。 主键不会显示在配置中。 如果不知道主键，请输入 6 密码不可用。 如果主密钥已修改，保存为类型6的密码将使用新的主密钥重新加密。 如果删除了主键配置，类型 6 密码无法解密，这可能会导致呼叫和注册的验证失败。

备份配置或将配置迁移到其他设备时，主键不会被丢弃。 因此，必须再次手动配置主键。

要配置加密预设密钥，请参阅 加密预设密钥。

加密类型时 会显示以下警告消息7 已配置。 警告： 命令已使用类型7密码添加到配置中。 但是，类型7的密码将很快被弃用。 迁移到受支持的密码类型6。

要将信令和媒体数据包的源地址绑定到特定接口的IPv4或IPv6地址，请使用 SIP配置模式下的命令。 要禁用绑定，请使用 否命令的 形式。

绑定{控制|媒体|全部}源接口接口-id{ipv4地址ipv4地址|ipv6地址ipv6地址}

无绑定 {控制|媒体|all} 源接口interface-id { ipv4-addressipv4-address|ipv6-addressipv6-address }

命令默认值： 绑定已禁用。

命令模式： SIP配置(conf-serv-sip)和语音类租户。

使用指南： 异步、以太网、快速以太网、环回和串行（包括帧继电器）是SIP应用程序中的接口。

如果 命令未启用，IPv4层仍提供最佳本地地址。

要启用Call-Home的基本配置，请使用 户报告全局配置模式下的 命令。

呼叫户报告{匿名|联系人-电子邮件-地址} [http-代理{ipv4地址|ipv6地址|名称}端口端口号]

命令默认值： 无缺省行为或值

命令模式： 全局配置（配置）

使用指南： 在 以匿名或完全注册模式成功启用Call-Home后 户报告 命令，发出清单消息。 如果在完全注册模式下启用了Call-Home，则会发送完全注册模式的完整库存消息。 如果在匿名模式下启用了Call-Home，则会发送匿名库存消息。 有关消息详细信息的更多信息，请参阅警告组触发事件和命令。

要启用Cisco Unified SRST支持并输入呼叫管理器回退配置模式，请使用 管理器回退全局配置模式下的 命令。 要禁用Cisco Unified SRST支持，请使用 否命令的 形式。

呼叫管理器回退

无 管理器回退

该命令没有参数或关键字。

命令默认值： 无默认行为或值。

命令模式： 全局配置

要在TLS握手期间启用对等证书的服务器、客户端或双向身份验证，请使用命令 -san验证 在语音类tls配置文件配置模式中。 要禁用证书身份验证，请使用 否命令的 形式。

cn-san { | 端| }

无cn-san { | 端|双向}

命令默认值： 身份验证已禁用。

命令模式： 语音类配置（配置类）

使用指南： 服务器身份验证与通过全局 的安全信令连接相关联 信令 和 类TLS配置文件 配置。

该命令已增强，以包括 和 关键词。 客户端选项允许服务器通过检查所提供证书中包含的CN和SAN主机名与受信任的cn-san FQDN列表中的CN和SAN主机名来验证客户端的身份。 仅当找到匹配项时才会建立连接。 除了会话目标主机名外，该cn-san FQDN列表现在还用于验证服务器证书。 选项通过将客户端和服务器连接的对等成员身份结合 和 模式。 配置后 -san验证，会为每个新的TLS连接验证对等证书的身份。

要配置完全限定域名(FQDN)名称列表以验证入站或出站TLS连接的对等证书，请使用 cn-san语音类tls配置文件配置模式下的 命令。 要删除cn-san证书验证条目，请使用 否命令的 形式。

cn-san{1-10} qdn

无 -{1-10} <UNK> QDN

命令默认值： 未配置cn-san名称。

命令模式： 语音类tls配置文件配置模式（配置类）

使用指南： 用于对等证书验证的FQDN分配给最多十个 的TLS配置文件cn-san 条目。 在建立TLS连接之前，这些条目中至少有一个必须与证书通用名称(CN)或主题备用名称(SAN)字段中的FQDN匹配。 要匹配CN或SAN字段中使用的任何域主机，cn-san 条目可以使用域通配符配置，严格采用*。域名（例如*。cisco.com）格式。 不允许使用其他通配符。

对于入站连接，列表用于验证客户端证书中的CN和SAN字段。 对于出站连接，该列表将与会话终端主机名一起使用，以验证服务器证书中的CN和SAN字段。

还可以通过将SIP会话目标FQDN与CN或SAN字段匹配来验证服务器证书。

要指定要在拨号对等方上使用的首选编解码器列表，请使用 码器 项语音类配置模式下的 命令。 要禁用此功能，请使用 否命令的 形式。

编解码器 项 码器类型

无编解码器首选项值编解码器类型

命令默认值： 如果未输入此命令，则不会识别具有首选项的特定编解码器类型。

命令模式： 语音类配置（配置类）

使用指南： WAN两端的路由器可能需要协商网络拨号对等方的编解码器选择。 码器 项 命令指定为连接选择协商编解码器的优先顺序。 下表介绍了编解码器和数据包语音协议的语音有效载荷选项和默认值。

要使用全局侦听器端口通过UDP发送请求，请使用 重复使用sip-ua模式或voice class 配置模式下的 命令。 要禁用，请使用 否命令的 形式。

连接复用 { 端口| }

无 -复用 {| }

命令默认值： 本地网关使用临时UDP端口通过UDP发送请求。

命令模式： SIP UA配置(config-sip-ua)、语音类租户配置(config-class)

使用指南： 执行此命令将启用使用侦听器端口通过UDP发送请求。 常规非安全SIP的默认侦听器端口为5060，安全SIP为5061。 配置 -port [非安全| 安全] （ voice service voip > sip配置模式）命令，以更改全局UDP端口。

要更改为应用程序分配的CPU配额或单位，请使用 pu自定义应用程序资源配置文件配置模式下的 命令。 要恢复为应用程序提供的CPU配额，请使用 否命令的 形式。

cpu

无 pu

命令默认值： 默认CPU取决于平台。

命令模式： 自定义应用程序资源配置文件配置(config-app-resource-profile-custom)

使用指南： CPU单元是应用程序分配的最小CPU。 总CPU单位基于终端设备测量的归一化CPU单位。

每个应用程序程序包均提供特定于应用程序的资源配置文件，其中定义了推荐的CPU负载、内存大小以及应用程序所需的虚拟CPU(vCPU)数量。 使用该命令更改自定义资源配置文件中特定进程的资源分配。

可通过设置自定义资源配置文件来更改应用程序包中指定的预留资源。 只能更改CPU、内存和vCPU资源。 要使资源更改生效，请停止并停用应用程序，然后激活并重新启动。

资源值是特定于应用程序的，对这些值进行的任何调整必须确保应用程序能够可靠地运行这些更改。

要配置Cisco IOS会话发起协议(SIP)时分多路复用(TDM)网关、Cisco Unified Border Element (Cisco UBE)或Cisco Unified Communications Manager Express (Cisco Unified CME)以在处于UP状态时发送SIP注册消息，请使用 SIP UA配置模式或语音类租户配置模式下的 命令。 要禁用SIP Digest凭证，请使用 否命令的 形式。

凭证 { dhcp|numbernumber用户名用户名} 密码 { 0|6|7 } 密码kingdomkingdom

没有凭证{dhcp|号码号码用户名用户名}密码{0|6|7}密码领域领域

命令默认值： SIP Digest凭证已禁用。

命令模式： SIP UA配置(config-sip-ua)和语音类租户配置(config-class)。

使用指南： 启用凭证时，以下配置规则适用：

• 只有一个密码对所有域名有效。 新配置的密码将覆盖之前配置的密码。

• 当 时，密码将始终以加密格式显示 命令已配置，并且 配置 命令已使用。

dhcp命令中的 关键字表示主号码是通过DHCP获得的，启用该命令的Cisco IOS SIP TDM网关、Cisco UBE或Cisco Unified CME使用此号码注册或取消注册收到的主号码。

必须指定密码的加密类型。 如果是纯文本密码(输入 0)已配置，其加密为类型 6 然后将其保存到正在运行的配置中。

如果您将加密类型指定为 6 或 7，输入的密码将根据有效类型选中 6 或 7 密码格式并保存为类型 6 或 7分别。

类型-6密码使用AES密码和用户定义的主密钥进行加密。 这些密码相对更安全。 主键不会显示在配置中。 如果不知道主键，请输入 6 密码不可用。 如果主密钥已修改，保存为类型6的密码将使用新的主密钥重新加密。 如果删除了主键配置，类型 6 密码无法解密，这可能会导致呼叫和注册的验证失败。

备份配置或将配置迁移到其他设备时，主键不会被丢弃。 因此，必须再次手动配置主键。

要配置加密预设密钥，请参阅 加密预设密钥。

警告： 命令已使用类型7密码添加到配置中。 但是，类型7的密码将很快被弃用。 迁移到受支持的密码类型6。

在YANG中，您不能在两个不同的领域中配置相同的用户名。

要指定Cisco Unified Border Element (CUBE)将在提供和应答的SDP中提供的SRTP密码套件的首选项，请使用 加密语音类配置模式下的 命令。 要禁用此功能，请使用 否命令的 形式。

加密 套组

无 套件

命令默认值： 如果未配置此命令，默认行为是按以下优先顺序提供srtp-密码套件：

• AEAD_AES_256_GCM

• AEAD_AES_128_GCM

• AES_CM_128_HMAC_SHA1_80

• AES_CM_128_HMAC_SHA1_32

命令模式： 语音类srtp-crypto（配置类）

使用指南： 如果更改已配置的密码套件的首选项，该首选项将被覆盖。

要生成Rivest、Shamir和Adelman (RSA)密钥对，请使用 加密密钥生成rsa全局配置模式下的 命令。

加密密钥生成rsa[ {通用键|使用情况-键|签名|加密} ] [标签密钥标签] [可导出] [模量模量大小] [存储德维克名：] [冗余开启德维克名：]

命令默认值： RSA密钥对不存在。

命令模式： 全局配置（配置）

使用指南： 使用 加密密钥生成rsa 命令，以生成思科设备（如路由器）的RSA密钥对。

RSA密钥成对生成-一个公共RSA密钥和一个专用RSA密钥。

如果您发出此命令时路由器已经有RSA密钥，您将收到警告并提示以新密钥替换现有密钥。

加密密钥生成rsa 命令不会保存在路由器配置中；但是，在下次将配置写入NVRAM时，此命令生成的RSA密钥会保存在NVRAM的私有配置中（不会向用户显示或备份到其他设备）。

• 特殊使用密钥： 如果您生成特殊用途密钥，将生成两对RSA密钥。 其中一对将与指定RSA签名为验证方法的任何互联网密钥交换(IKE)策略配合使用，另一对将与指定RSA加密密钥为验证方法的任何IKE策略配合使用。

  CA仅适用于指定RSA签名的IKE策略，而不适用于指定RSA加密的非项的IKE策略。 （但是，您可以指定多个IKE策略，并在一项策略中指定RSA签名，在另一项策略中指定RSA加密的无符号。）

  如果您计划在IKE策略中同时使用两种类型的RSA验证方法，您可能希望生成特殊使用密钥。 对于特殊使用键，每个键不会不必要地公开。 （如果没有特殊使用密钥，两种身份验证方法都会使用一个密钥，从而增加该密钥的曝光次数）。

• 通用密钥： 如果您生成通用密钥，则只会生成一对RSA密钥。 此对将与指定RSA签名或RSA加密密钥的IKE策略一起使用。 因此，通用密钥对可能比特殊用途密钥对更频繁地使用。

• 指定密钥对： 如果您使用密钥标签参数生成命名密钥对，还必须指定 -密钥 关键字或 键 关键字。 命名密钥对允许您拥有多个RSA密钥对，使Cisco IOS软件能够为每个身份证书维护不同的密钥对。

• 模数长度： 生成RSA密钥时，系统会提示您输入模长。 模量越长，安全性越强。 但是，较长的模块需要更长的生成时间（采样时间见下表）和更长的使用时间。

  表 2. 生成RSA密钥的采样时间（按模数长度）

  路由器	360位	512位	1024位	2048位（最大）
  Cisco 2500	11秒	20 秒	4分钟38秒	1小时以上
  Cisco 4700	少于1秒	1 秒	4秒	50秒

  Cisco IOS软件不支持大于4096位的模数。 通常不推荐小于512位的长度。 在某些情况下，较短模数可能无法在IKE中正常工作，因此我们建议使用2048位的最小模数。

  当RSA密钥由加密硬件生成时，可能会存在其他限制。 例如，当Cisco VPN服务端口适配器(VSPA)生成RSA密钥时，RSA密钥模数必须至少为384位，并且必须是64的倍数。

• 指定RSA密钥的存储位置： 当您发布 时加密密钥生成rsa 命令与 名 ： 关键字和参数，RSA密钥将存储在指定设备上。 此位置将取代任何 密钥存储 命令设置。

• 指定用于RSA密钥生成的设备： 您可以指定生成RSA密钥的设备。 支持的设备包括NVRAM、本地磁盘和USB令牌。 如果路由器配置了USB令牌且可用，除了存储设备外，该USB令牌还可用作加密设备。 使用USB令牌作为加密设备可在令牌上执行密钥生成、签名和凭证验证等RSA操作。 私有密钥从不离开USB令牌，并且不可导出。 公共密钥可导出。

  RSA密钥可通过使用 在配置的可用USB令牌上生成于 名 ： 关键字和参数。 驻留在USB令牌上的密钥生成后保存到永久令牌存储。 USB令牌上可生成的密钥数量受可用空间限制。 如果您尝试在USB令牌上生成密钥并且密钥已满，您将收到以下消息：

  % Error in generating keys:no available resources 

  密钥删除将立即从永久存储中删除存储在令牌上的密钥。 (当时，不在令牌上的密钥将保存到非令牌存储位置或从非令牌存储位置删除 或发出类似命令)。

• 指定设备上的RSA密钥冗余生成： 仅当现有密钥可导出时，才可为其指定冗余。

要验证证书颁发机构(CA)（通过获取CA的证书），请使用 cryptopki在全局配置模式下验证 命令。

crypto ki

命令默认值： 无默认行为或值。

命令模式： 全局配置（配置）

使用指南： 当您在路由器上初始配置CA支持时，此命令是必需的。

此命令通过获取包含CA公钥的CA自签名证书来向路由器验证CA身份。 由于CA签署自己的证书，您应在输入此命令时联系CA管理员，手动验证CA的公钥。

如果您使用路由器广告(RA)模式(请使用 命令)，当您发出 基 命令，然后将从CA和CA证书返回注册颁发机构签名和加密证书。

此命令不会保存到路由器配置中。 但是，所接收的CA（和RA）证书中嵌入的公钥将作为Rivest、Shamir和Adelman (RSA)公钥记录（称为“RSA公钥链”）的一部分保存到配置中。

如该命令发出后CA没有响应超时，将返回接线端控件以保持可用状态。 如果发生这种情况，必须重新输入命令。 Cisco IOS软件将不会识别设置为2049年之后的CA证书到期日期。 如果CA证书的有效期设置为2049年之后到期，则尝试通过CA服务器验证时将显示以下错误消息： 错误获取证书：不完整链如果收到类似于此的错误消息，请检查CA证书的到期日期。 如果CA证书的到期日期设置为2049年之后，则必须将到期日期减少一年或更长。

要通过TFTP手动导入证书或作为终端的剪切粘贴方式导入证书，请使用 全局配置模式下的cryptopki导入命令。

crypto ki

命令默认值： 无缺省行为或值

命令模式： 全局配置（配置）

使用指南： 您必须输入 加密pki导入 如果使用了使用密钥（签名和加密密钥），命令两次。 第一次输入命令时，其中一个证书粘贴到路由器中；第二次输入命令时，另一个证书粘贴到路由器中。 （首先粘贴哪个证书无关紧要。）

要声明路由器应使用的信任点，请使用 全局配置模式下的 cryptopkitrustpoint 命令。 要删除与信任点关联的所有身份信息和证书，请使用 否命令的 形式。

crypto ki point 余

无 ki point 余

命令默认值： 在您使用此命令声明信任点之前，路由器不会识别任何信任点。 您的路由器在与在线证书状态协议(OCSP)服务器通信时使用唯一标识符，如您的网络中所配置。

命令模式： 全局配置（配置）

使用指南：

声明信任点

使用 基 点 命令声明信任点，该信任点可以是自签名根证书颁发机构(CA)或从属CA。 发出 基 点 命令将您设置为ca-trustpoint配置模式。

您可以使用下列子命令为信任点指定特征：

• crl—查询证书吊销列表(CRL)，以确保对等证书未被吊销。

• default(ca-trustpoint)—将ca-trustpoint配置模式子命令的值重置为默认值。

• 注册—指定注册参数（可选）。

• 注册—通过代理服务器通过HTTP访问CA。

• 注册 签名—指定自签名注册（可选）。

• 匹配—关联一个 基于证书的访问控制列表(ACL)cryptoca证书映射 命令。

• ocspdisable-nonce -指定路由器在OCSP通信期间不发送唯一标识符或非。

• 主要-将指定的信任点指定为路由器的主要信任点。

• root—定义获取CA证书的TFTP，并指定服务器名称和存储CA证书的文件名称。

指定唯一标识符的使用

使用OCSP作为吊销方法时，在与OCSP服务器的对等通信期间，缺省情况下会发送唯一标识符或非。 在OCSP服务器通信期间使用唯一标识符可实现更安全和可靠的通信。 但是，并非所有OCSP服务器都支持使用唯一的假牙，请参阅您的OCSP手册了解详细信息。 要禁止在OCSP通信期间使用唯一标识符，请使用 码 禁用 子命令。

要手动将（下载）证书颁发机构(CA)证书包导入公共密钥基础设施(PKI)信任池以更新或替换现有CA套件，请使用 to pki trustpool导入全局配置模式下的 命令。 要删除任何已配置的参数，请使用 否命令的 形式。

cryptopkitrustpool导入干净[ 终端|urlurl ]

无加密pkitrustpool导入干净 [ 终端|urlurl ]

命令默认值： PKI信任池功能已启用。 路由器使用PKI信任池中的内置CA证书包，该包会从Cisco自动更新。

命令模式： 全局配置（配置）

安全威胁以及帮助防范这些威胁的加密技术都在不断变化。 有关最新思科加密建议的更多信息，请参阅 代加密 (NGE)白皮书。

PKI信任池证书会自动从Cisco更新。 如果PKI信任池证书不是最新的，请使用 to pki trustpool导入 从其他位置更新它们的命令。

url 参数指定或更改CA的URL文件系统。 下表列出了可用的URL文件系统。

表 3. URL文件系统

文件系统	描述
存档：	从存档文件系统导入。
中枢：	从群集命名空间(CNS)文件系统导入。
磁盘0：	从cd0文件系统导入。
磁盘1：	从磁盘1文件系统导入。
ftp：	从FTP文件系统导入。
http:	从HTTP文件系统导入。 URL必须采用以下格式： http：///CAname：80，其中 客户名称 是域名系统(DNS) http：/// v4-地址：80。 例如： http://10.10.10.1:80. http：///[ipv6-address]：80。 例如： http：//[2001：DB8：1：1：：1]：80。 IPv6地址为十六进制，必须在URL中包含在括号内。
https：	从HTTPS文件系统导入。 URL必须使用与HTTP相同的格式： 文件系统格式。
空：	从空文件系统导入。
nvram：	从NVRAM文件系统导入。
婴儿车：	从参数随机访问存储器(PRAM)文件系统导入。
rcp：	从远程复制协议(rcp)文件系统导入。
scp：	从安全复制协议(scp)文件系统导入。
snmp：	从简单网络管理协议(SNMP)导入。
系统：	从系统文件系统导入。
tar：	从UNIX tar文件系统导入。
tftp：	从TFTP文件系统导入。   URL必须来自： tftp：//CA名/文件专化。
tmpsy：	从Cisco IOS tmpsys文件系统导入。
unix：	从UNIX文件系统导入。
x调制解调器：	从xmodem简单的文件传输协议系统导入。
调制解调器：	从ymodem简单的文件传输协议系统导入。

要识别 trustpointtrustpoint-name 关键字和参数在对应于远程设备地址的传输层安全性(TLS)握手中使用，请使用 信令 SIP用户代理(UA)配置模式下的命令。 要重置为缺省值 点 字符串，使用 否命令的 形式。

加密信令{默认|远程加载项ip地址子网掩码} [tls配置文件标签|信任点信任点名称] [cn-san验证服务器] [客户端-vtp信任点名称] [ecdsa-密码|曲线大小384|严格密码]

没有加密信令{默认|远程加载项ip地址子网掩码} [tls配置文件标签|信任点信任点名称] [cn-san验证服务器] [客户端-vtp信任点名称] [ecdsa-密码|曲线大小384|严格密码]

命令默认值： 加密信令命令已禁用。

命令模式： SIP UA配置(sip-ua)

使用指南： trustpointtrustpoint-name 关键字和参数是指在使用Cisco IOS PKI命令的注册过程中生成的CUBE证书。

配置单个证书后，所有远程设备都将使用该证书并由 配置 认值 关键字。

使用多个证书时，它们可能会与使用 的远程服务关联 地址 每个信任点的参数。 地址 和默认参数可以一起使用，以涵盖所需的所有服务。

在这种情况下，默认密码套件是CUBE上SSL层支持的以下集合： TLS_RSA_使用_RC4_128人_MD5 具有_ <UNK> ES_ 128_ <UNK> BC_ <UNK>的TLS_ <UNK> SA_ TLS_德赫_RSA_使用_AES_128人_CBC_SHA1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_使用_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ <UNK> DHE_ <UNK> DSA__ <UNK> ES_256_ <UNK> CM_ <UNK> 384

关键字 -san验证 建立客户端SIP/TLS连接时，通过证书中的CN和SAN字段 启用服务器身份验证。 验证服务器证书的CN和SAN字段可确保服务器端域是有效的实体。 创建与SIP服务器的安全连接时，CUBE会在建立TLS会话之前根据服务器证书中的CN/SAN字段验证配置的会话目标域名。 配置后 -san验证 ，每次新的TLS连接都会验证服务器身份。

tls配置文件 选项关联通过关联的 TLS策略配置 类TLS配置文件 配置。 除了直接在 中提供的TLS策略选项 信令 命令， tls配置文件 还包括 sni发送 选项。

sni send 启用服务器名称指示(SNI)，这是一种TLS扩展，允许TLS客户端指示其在初始TLS握手过程中尝试连接的服务器的名称。 只有服务器的完全限定DNS主机名会在客户端hello中发送。 SNI不支持客户端HELLO扩展中的IPv4和IPv6地址。 从TLS客户端收到带有服务器名称的"HELLO"后，服务器将在后续TLS握手过程中使用相应的证书。 SNI需要TLS版本1.2。

TLS策略功能只能通过 提供。 类TLS配置文件 配置。 信令 命令继续支持先前存在的TLS加密选项。 您可以使用 类TLS配置文件 或 信令配置信任点的 命令。 我们建议您使用 类TLS配置文件 命令，用于执行TLS配置文件配置。