以前还是没有注意看文档，其实就是没有理解用证书认证的过程，具体咋回事，往下看吧。我原来的ios ca server是这样配置的 注意，最后一行命令
“cdp-url http://10.0.78.203/R3.crl”   //10.0.78.203是CA的ip地址
这么配置是错误的，这样配置就导致了申请证书的router或者pix把cdp设置为http://10.0.78.203/R3.crl，但ios ca router本身是不能用http来发布crl。这就导致了，当我用7206VXR使用rsa-sig做ra的vpn server时，一旦vpn client拨入，7206VXR首先会查询revocation状态，看看这个证书是否可用，根据证书里的配置，cdp的地址是http://10.0.78.203/R3.crl，从这个地址是根本无法获取crl的，所以导致了这个证书被7206VXR拒绝，认证就失败了。

解决方法：
1。在ios ca server本身起一个tftp服务，然后把cdp-url设置成自己就可以了
2。把ca server的生成的crl文件上传到一个tftp服务器，然后把cdp-url指向那个tfpt服务器就可以了，原理和方法1是一样的。

3。在vpn server上关闭revocation-check
4。在vpn server上建立certificate-map，对某个证书关闭revocation check，其实跟方法3是一个道理。

总结：最好的方法是用ocsp服务器，其次是用方法1和2，不推荐方法3和4，不安全。
另外：ios router的默认revocation-check是crl，而pix的是none