H3C 安全产品PKI证书 部署指导-6W101

手册下载

H3C安全产品PKI证书 部署指导

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



证书

1.1  证书简介

证书的全称为公钥证书或数字证书,里面记录着拥有者的相关身份信息及公钥,并由认证机构(Certification AuthorityCA)施加数字签名的文件。

1.2  证书格式

证书究竟属于哪种编码方式是通过证书文件的内容进行判断的,证书文件的扩展名只能作为参考。设备支持如下三种格式的证书。

表1 证书格式

格式

说明

PKCS#12

以二进制格式保存证书,可以包含私钥,也可以不包含私钥。常用的后缀有:.P12.PFX

DER

以二进制格式保存证书,不包含私钥。常用的后缀有:.DER.CER.CRT

PEM

ASCII码格式保存证书,可以包含私钥,也可以不包含私钥。常用的后缀有:.PEM.CER.CRT

 

另外还有后缀为.key的文件,一般指PEM格式的私钥文件;后缀为.csr的文件是指证书请求文件。

1.3  认证机构

认证机构即CACertification Authority),用于颁发并管理证书的可信实体,它是具有权威性、可信任性和公正性的第三方机构。

CA通常采用分层结构,根据认证机构的层级,可以分为根CA和子级CA

·     CA是第一个认证机构,通常持有一个自签名证书,可以为子级CA颁发证书。

·     子级CA必须从根CA或上级CA处获取证书,最下一级的CA直接面向用户(实体)。

PKI用户(实体)通过证书链依次验证CA证书的合法性,证书链是指从用户(实体)证书到根CA证书所经过的一系列证书的合集。证书链结构如下图,在验证CA证书合法性时,会自下而上一层层寻找证书颁发者,直至找到根CA证书,然后再反过来通过上级CA的公钥来验证下一级CA证书签名的正确性。

图1 证书链

 

证书安装流程

证书安装流程如下:

(1)     设备上新建PKI域;

(2)     PKI域中安装CA证书和本地证书。

·     对于不完整的证书链CA证书,需要分离出根CA。先安装根CA,最后安装子级CA

·     对于非证书链CA证书以及完整的证书链CA证书可以直接安装。

·     对于无保护密码及私钥的本地证书,需要将key文件的密钥部分复制并粘贴至本地证书中安装。

·     对于有保护密码及私钥的本地证书,安装本地证书时输入证书口令。

·     对于有保护密码无私钥的本地证书,需要将key文件的密钥部分复制并粘贴至本地证书中,安装本地证书时需要输入证书口令。

证书安装流程如下图所示:

图2 证书安装流程

 

证书安装指导

证书分为CA证书和本地证书。

·     CA证书:用来验证它所颁发的本地证书的合法性。CA证书分为不完整证书链CA证书、完整证书链CA证书和非证书链CA证书。

·     本地证书:由CA施加数字签名的证书,包含有SSL服务器端的公钥等。

3.1  不完整证书链CA证书、无保护密码及私钥的本地证书安装

# 如下图所示,“1etrip_ca_new.crt”为子级CA证书,“1etrip_new.crt”为本地证书,“1etrip_new.key”为本地证书对应的key文件。

图3 证书文件

 

3.1.1  分离证书链CA证书

(1)     双击打开“1etrip_ca_new.crt”文件,选择证书路径,选中根证书“GeoTrust”,单击<查看证书>按钮,如下图所示。

图4 查看根CA证书

 

(2)     单击<复制到文件>按钮,复制根CA证书,如下图所示。

图5 导出根CA证书

 

(3)     单击<下一步>,如下图所示。

图6 证书导出向导

 

(4)     如下图所示,选择“Base64编码X.509”,单击<下一步>按钮。

图7 选择Base64编码

 

(5)     单击<浏览>按钮,选择导出文件的保存路径,如下图所示,。

图8 选择文件保存路径

 

# 输入文件名称并单击<保存>按钮,如下图所示。

图9 保存文件

 

(6)     如下图所示,单击<完成>按钮,完成根CA证书的导出。

图10 导出CA证书成功

 

3.1.2  将本地证书与key文件合并

# 使用记事本工具打开本地证书1etrip_new.crt”和与该证书对应的key文件“1etrip_new.key”。1etrip_new.key”文件的所有内容复制至1etrip_new.crt文件中,并将合并后的文件另存为“1etrip_new+key.crt”。合并后的文件内容如下图所示。

图11 合并证书文件和key文件

 

# 最终生成的文件清单如下图所示。

图12 最终生成的文件清单

 

3.1.3  安装CA证书与本地证书

(1)     新建PKI

# 选择“对象 > PKI > 证书”,进入证书页面,单击<新建PKI>按钮,新建PKI域,参数配置如下图所示。

图13 新建PKI

 

# 单击<确定>按钮,完成配置。

(2)     导入CA证书

# 选择“对象 > PKI > 证书”,进入证书页面。

# 首先导入根CA证书。选中PKI域“1etrip_ca_new”,单击<导入证书>按钮,证书类型选择“CA证书”,证书文件选择根CA证书“1etrip_ca_new_root.cer”,如下图所示。

图14 导入根CA证书

 

# 单击<确定>按钮,界面会弹出“指纹信息是否有效”的提示信息,如下图所示。

图15 提示信息

 

# 单击<>,完成根CA证书的导入。

# 接着导入子级CA证书。选中PKI域“1etrip_ca_new”,单击<导入证书>按钮,证书类型选择“CA证书”,证书文件选择子级CA证书“1etrip_new.crt”,如下图所示。

图16 导入子级CA证书

 

# 单击<确定>按钮,界面会弹出“是否替换CA证书”的提示信息,如下图所示。

图17 提示信息

 

# 单击<>,完成子级CA证书的导入。

(3)     导入本地证书

# 选中PKI域“1etrip_ca_new”,单击<导入证书>按钮,证书类型选择“本地证书”,导入本地证书“1etrip_new+key.crt”,如下图所示。

图18 导入本地证书

 

# 单击<确定>按钮,完成证书导入。

3.2  非证书链CA证书、有保护密码及私钥的本地证书安装

# 以下图所示的证书为例(本地证书的加密密码123456)。

图19 证书文件

 

3.2.1  安装CA证书与本地证书

(1)     新建PKI

# 选择“对象 > PKI > 证书”,进入证书页面,单击<新建PKI>按钮,新建PKI域,参数配置如下图所示。

图20 新建PKI

 

(2)     导入CA证书

# 选择“对象 > PKI > 证书”,进入证书页面。

# 首先导入CA证书。选中PKI域“h3cts-security”,单击<导入证书>按钮,证书类型选择“CA证书”,证书文件选择根CA证书“ca.cer”,如下图所示。

图21 导入CA证书

 

# 单击<确定>按钮,界面会弹出“指纹信息是否有效”的提示信息,如下图所示。

图22 提示信息

 

# 单击<>,完成CA证书的导入。

(3)     导入本地证书

# 选中PKI域“h3cts-security”,单击<导入证书>按钮,证书类型选择“本地证书”,导入本地证书“123456.pfx”,证书口令处输入本地证书的加密密码123456。如下图所示。

图23 导入本地证书

 

# 单击<确定>按钮,完成证书导入。

证书安装常见问题

4.1  CA证书安装常见问题

(1)     安装CA证书时提示“unable to get local issuer certificate

# 原因是安装的CA证书为非完整证书链的CA证书,该证书查询不到上级CA信息。H3C安全设备对证书的完整性执行严格检查,最终会导致安装失败。对于这种不完整的证书需先进行证书链证书分离,然后安装根CA最后安装子级CA

图24 错误提示

 

(2)     安装CA证书时提示“certificate has expired

# 原因是CA证书已过期或者设备时间不准确。解决方法为重新获取有效的CA证书或者设置正确的设备时间。

图25 错误提示

 

# 查看证书有效期的方法:双击证书,在<常规>中即可查看,如下图所示。

图26 查看证书有效期

 

# 查看和设置设备时间的方法:# 选择“系统 > 维护 > 系统设置 > 日期和时间”,进入日期和时间页面,便可进行相关操作。

(3)     安装CA证书时提示“certificate is not yet valid

# 原因是当前设备的时间还没有到证书生效的时间。解决方法为重新获取有效的CA证书或者设置正确的设备时间。

图27 错误提示

 

4.2  本地证书安装常见问题

(1)     安装有保护密码及私钥的本地证书时提示“导入失败,请查检证书文件或者口令是否正确”

# 原因是安装本地证书时输入的加密口令不正确。

图28 错误提示

 

(2)     安装本地证书时提示“缺少CA证书”

# 原因是没有安装CA证书或安装的本地证书的颁发机构非当前已安装CA证书机构颁发。

图29 错误提示

 

(3)     安装本地证书时提示“设备和文件中没有密钥对”

# 原因是本地证书缺少key文件,解决方法请参3.1.2 

图30 错误提示

 

(4)     安装本地证书时提示“certificate has expired

# 原因是本地证书已过期或者设备时间不准确。解决方法为重新申请新的有效本地证书或者设置正确的设备时间。

图31 错误提示

 

# 查看证书有效期的方法:双击证书,在<常规>中即可查看,如下图所示。

图32 查看证书有效期

 

# 查看和设置设备时间的方法:# 选择“系统 > 维护 > 系统设置 > 日期和时间”,进入日期和时间页面,便可进行相关操作。

(5)     安装本地证书时提示“certificate is not yet valid

# 原因是当前设备的时间还没有到证书生效的时间。解决方法为重新申请新的有效本地证书或者设置正确的设备时间。

图33 错误提示

 

(6)     将本地证书与key文件合并后再安装时提示“操作失败”

# 原因是本地证书有加密密码。解决方法为导入本地证书时在证书的口令栏输入本地证书的加密密码。

图34 错误提示

 

(7)     将本地证书与key文件合并后再安装时提示“导入失败,请检查证书文件或者口令是否正确”

# 原因是key文件内容不正确或者证书加密密码不正确。解决方法为合并正确的key文件或者在导入本地证书输入正确的口令。

图35 错误提示

 

联系我们