Как заставить работать PKI с CRL на Cisco?

Question

[SmartPony]

Никак не могу победить. Казалось бы простейший конфиг, но не работает в абсолютно чистой лабе. Без CRL всё прекрасно, но как только включаю провреку CRL, в дебаге на клиенте выдаёт 404 при попытке забрать CRL и соответственно ничего не пашет.

Сервер

ip http server
ip http port 8080
ntp master

crypto key generate rsa general-keys label MAIN-CA modulus 1024 exportable

crypto pki server MAIN-CA
 database url nvram:
 issuer-name CN=MAIN-CA.lab.local L=LOC C=RU
 lifetime ca-certificate 365
 lifetime certificate 365
 lifetime crl 1
 cdp-url http://198.0.0.1:8080/main-ca.crl
 no shutdown

Клиент

ntp server 198.0.0.1

crypto key generate rsa general-keys label CLIENT-CA modulus 1024

crypto pki trustpoint CLIENT-CA
 enrollment url http://198.0.0.1:8080
 revocation-check crl
 rsakeypair CLIENT-CA

crypto pki authenticate CLIENT-CA
crypto pki enroll CLIENT-CA

На сервере
crypto pki server MAIN-CA grant all
И на клиенте
crypto pki crl request CLIENT-CA
И всё, дальше 404 в логах debug crypto pki transactions.
Поделитесь кто-нибудь используемым конфигом, чтобы можно было просто копипастнуть.

Answer 1

[RMavrichev]

Лечится заданием корректного cdp-url, согласно этому документу: www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn...

Если кратко, то как-то так:

crypto pki server MAIN-CA
 !!! add Ctrl-v before "?"
 cdp-url http://198.0.0.1:8080/cgi-bin/pkiclient.exe?operation=GetCRL