IPSEC VPN -失败的身份认证更新

Question

我有一个ASA和多个Cisco路由器之间的站点对站点VPN连接。身份证明需要不时更新在CA网站，我没有问题，直到现在。我无法用我的三个设备导入更新的证书：

RouterA(config)#crypto ca import Trustpoint_A certificate 

Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself

...
<renewed certificate>
....

% Failed to parse or verify imported certificate

RouterA(config)#
Aug 23 13:09:37.994: Read 960 bytes as CA certificate: 
...
<hexa>
...
Aug 23 13:09:38.102: E /users/michaelr/unpack/tk-003.commit/src/obj-4k/../cert-c/source/certobj.c(715) : Error #722h
Aug 23 13:09:38.106: CRYPTO_PKI: can not set ca cert object (0x722)
Aug 23 13:09:38.106: CRYPTO_PKI: status = 65535: failed to get key usage from cert
Aug 23 13:09:38.106: CRYPTO_PKI: status = 65535: failed to verify or insert the cert into storage

所有三个设备都是Cisco 1841，具有以下IOS：

• C 1841-advipservicesk9-mz.124-3i.bin x2
• c1841-advipservicesk9-mz.124-19b.bin

我在思科1941年和2821做了两次续约，没有问题(今天也是如此)。几个月前，我成功地更新了其他3个思科1841的认证

• c1841-advipservicesk9-mz.124-13f.bin
• c1841-adventerprisek9-mz.124-15.T13.bin
• c1841-advipservicesk9-mz.124-15.T6.bin

我没有发现任何异常的配置。我在任何地方都使用相同的设置。你知道我该找什么吗？有什么有用的调试什么的吗？我现在一点线索都没有.

非常感谢!

Answer 1

@hertitu:我没有看到错误证书和工作证书之间的任何区别。

最后，我们执行了IOS升级(从c 1841到Advancityk9-mz.124-15.T17.bin)，这解决了我们的问题。