- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
31-PKI操作
本章节下载 (524.05 KB)
目 录
& 说明:
本章所指的路由器代表了运行路由协议的三层交换机。为提高可读性,在手册的描述中将不另行说明。
PKI(Public Key Infrastructure,公钥基础设施)是通过使用公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。它是一套软硬件系统和安全策略的集合,提供了一整套安全机制。
PKI的功能是通过为公开密钥及相关的用户身份信息签发数字证书,来绑定证书持有者的身份和相关的密钥对,为用户获取证书、访问证书发放环境、宣告证书作废提供了方便的途径,并进而利用数字证书及相关的各种服务(证书发布,黑名单发布等)实现通信中各实体的身份认证,保证通信数据的机密性,完整性和不可否认性。
是一个经证书授权中心数字签名的包含公开密钥及相关的用户身份信息的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUTX.509国际标准。本手册中涉及两类证书:本地(local)证书和CA证书。本地证书为CA签发给实体的数字证书;CA证书也称为根证书,为CA“自签”的数字证书。
由于用户姓名的改变、私钥被窃或泄漏、业务中止等原因,需要存在一种方法撤消公开密钥及相关的用户身份信息的绑定关系,将现行的证书撤消。在PKI中,所使用的这种方法为证书吊销列表。任何一个证书废除以后,CA就要公布CRL来声明该证书是无效的,并列出被认为不能再使用的证书的序列号。CRL为应用程序和其它系统提供了一种检验证书有效性的方式。
当一个CRL的撤消信息过多的时候会通过多个CRL发布出来,相应的CRL分段就称为CRL发布点。
LDAP提供了一种访问PKI存储库的方式,通过该协议来访问并管理PKI信息。LDAP服务器提供目录浏览服务,负责将RA服务器传输过来的用户信息以及数字证书加入到LDAP服务器中。用户通过访问LDAP服务器获取自己和其他用户的数字证书。
一个PKI体系由终端实体、证书机构、注册机构、PKI存储库四类实体共同组成。
终端实体是PKI产品或服务的最终使用者,可以是个人、组织或设备(如路由器、交换机)或计算机中运行的进程。
CA是PKI的信任基础,用于签发并管理数字证书,其作用包括:发放证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书。
PKI也允许一个组织通过证书级别或交叉认证等方式来同其他安全域建立信任关系。安全域是企业或组织利用相关PKI产品建立的一种信任关系。在一个安全域内,实体享受PKI提供的一套密钥管理、证书管理和策略管理等服务。
RA是CA的延伸,可作为CA的一部分,也可以独立,其功能包括个人身份审核、CRL管理、密钥产生和密钥对备份等。PKI国际标准推荐由一个独立的RA来完成注册管理的任务,可以增强应用系统的安全。
PKI存储库包括LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)服务器和普通数据库,用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理,并提供一定的查询功能。
PKI技术的广泛应用能满足人们对网络交易安全保障的需求。作为一种基础设施,PKI的应用范围非常广泛,并且在不断发展之中,下面给出几个应用实例。
VPN是一种架构在公用通信基础设施上的专用数据通信网络,利用网络层安全协议(尤其是IPSec)和建立在PKI上的加密与签名技术来获得机密性保护。
电子邮件的安全需求也是机密、完整、认证和不可否认,而这些都可以利用PKI技术来实现。目前发展很快的安全电子邮件协议是S/MIME(The Secure Multipurpose Internet Mail Extension),这是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。
为了透明地解决Web的安全问题,在两个实体进行通信之前,先要建立SSL(Secure Sockets Layer,安全套接字协议层)连接,以此实现对应用层透明的安全通信。利用PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外服务器端和浏览器端通信时双方可以通过数字证书确认对方的身份。
针对一个使用PKI的网络,配置PKI的目的就是为指定的设备向CA申请一个本地证书,并由设备对证书的有效性进行验证。
(1) 用户向CA提出证书申请,有离线和在线两种方式。离线申请方式下,CA允许用户通过带外方式(如电话、磁盘、电子邮件等)向CA提供申请信息。
(2) RA审核用户身份,将用户身份信息和公钥以数字签名的方式发送给CA;
(3) CA验证数字签名,同意用户的申请,颁发证书;
(4) RA接收CA返回的证书,发放到LDAP服务器以提供目录浏览服务,通知用户证书发行成功;
(5) 用户获取证书,利用该证书可以与其它实体使用加密、数字签名进行安全通信;
(6) 用户希望撤消自己的证书时,向CA提交申请。CA批准用户撤消证书,并更新CRL,发布到LDAP服务器。
(1) 证书的获取
在实际应用中,为了验证信息的数字签名,用户首先必须获取信息发送者的公钥证书,以对信息进行解密验证,同时还需要获取CA证书对发送者所发的证书进行验证,以确定发送者身份的有效性。
(2) 证书的验证
验证证书需要对签发时间、签发者信息以及证书的有效性几方面进行验证。证书验证的核心是检查CA在证书上的签名,并确定证书仍在有效期内,而且未被废除。比如你收到的一封邮件,邮件中附有一个包含公开密钥的证书,使用了私有密钥进行了签名,为了确定该用户是否合法持有该证书并且证书没有过期(通过CRL判断),以及该证书是否值得信任,就必须验证证书是否有效。
表1-1 PKI配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
|
配置实体命名空间 |
必选 |
||
|
创建PKI域 |
必选 |
||
|
配置PKI域参数 |
必选 |
||
|
PKI证书申请 |
自动申请 |
二者必选其一 |
|
|
手工申请 |
|||
|
手工获取证书 |
可选 |
||
|
验证证书 |
可选 |
||
|
销毁本地RSA密钥对 |
可选 |
||
|
删除证书 |
可选 |
||
|
配置证书属性的访问控制策略 |
可选 |
||
实体命名空间是组成实体名称的元素集合。CA用它认为重要的信息对一个实体进行细致的描述,通过唯一标识符(DN,Distinguished Name)来唯一确定证书持有者。
DN在网络上是唯一的,它由许多部分组成,包括:
l 实体通用名。
l 实体所属国家代码,用标准的2字符代码表示。例如,CN是中国的合法国家代码,US是美国的合法国家代码。
l 实体FQDN(Fully Qualified Domain Name,合格域名),是实体在网络中的唯一标识,由一个主机名和域名组成,可被解析为IP地址。例如,www是一个主机名,whatever.com是一个域名,则www.whatever.com就是一个FQDN。
l 实体IP地址。
l 实体所在地理区域名称。
l 实体所属组织名称。
l 实体所属组织部门。
l 实体所属州省。
& 说明:
实体的配置信息必须与CA证书颁发策略相匹配,以确认实体DN配置任务,如哪些实体参数必须配置,哪些为选配。申请者的注册信息必须符合CA证书颁发策略,否则证书申请可能会失败。
表1-2 配置实体命名空间
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置实体名称,并进入该实体视图 |
pki entity name |
- |
|
配置实体通用名 |
common-name name |
可选 缺省情况下,未指定实体的通用名 |
|
配置实体所属国家代码 |
country country-code-str |
可选 缺省情况下,未指定实体所属国家代码 |
|
配置实体FQDN名称 |
fqdn name-str |
可选 缺省情况下,未指定实体FQDN |
|
配置实体IP地址 |
ip ip-address |
可选 缺省情况下,未指定实体IP地址 |
|
配置实体所在地理区域名称 |
locality locality-name |
可选 缺省情况下,未指定实体所在地理区域 |
|
配置实体所属组织名称 |
organization org-name |
可选 缺省情况下,未指定实体所属组织 |
|
配置实体所属组织部门 |
organization-unit org-unit-name |
可选 缺省情况下,未指定实体所属部门 |
|
配置实体所属州省 |
state state-name |
可选 缺省情况下,未指定实体所属州省 |
& 说明:
l 实体名称只是用来方便引用,不用于证书的任何字段。目前设备上最多可以定义两个实体。
l Windows 2000 CA服务器对证书申请的数据长度有一定的限制。实体名称配置项超过一定数据长度时,申请证书没有回应。
PKI域完全是一个本地概念,并不涉及用户管理和多个用户之间的关系。一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有其单独的域参数配置信息。使用PKI域的目的是便于其它应用引用PKI的配置,比如SSL。
表1-3 创建PKI域
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建PKI域并进入域视图 |
pki domain name |
必选 缺省情况下,不存在PKI域 |
& 说明:
目前一个设备只支持同时配置两个PKI域,所以若在两个域已存在的情况下创建新域,则需使用相应的undo命令删除旧域。
实体在进行申请操作之前需要配置一些登记信息来配合完成申请的过程,例如指定信任的CA名称、指定实体名称、指定受理机构及其URL等。这些配置信息的集合就是一个实体的PKI域。
PKI域中包括以下参数:
l 信任的CA名称
在申请证书时,是通过一个可信实体认证机构,来完成实体证书的注册颁发。
l 实体名称
向CA发送证书申请请求时,必须指定所使用的实体名,以向CA表明自己的身份。
l 证书申请的注册机构
证书申请的受理一般由一个独立的注册机构(即RA)来承担,它接受用户的注册申请,审查用户的申请资格,并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书,而只是对用户进行资格审查。有时PKI把注册管理的职能交给CA来完成,而不设立独立运行的RA,但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能而已。PKI推荐使用RA作为注册审理机构。
l 注册服务器的URL
证书申请之前必须指定注册服务器的URL,随后实体可通过简单证书注册协议(SCEP,Simple Certification Enrollment Protocal)向该服务器提出证书申请,SCEP是专门用于与认证机构进行通信的协议。
l 证书申请状态查询的周期和次数
实体在发送证书申请后,如果CA采用手工验证申请,证书的发布会需要很长时间。在此期间,客户端需要定期发送状态查询,以便在证书签发后能及时获取到证书。客户端可以配置证书申请状态的查询周期和次数。
l LDAP服务器IP地址
在PKI系统中,用户的证书和CRL信息的存储是一个非常核心的问题。一般采用LDAP服务器来存储证书和CRL,这时就需要指定LDAP服务器的位置。
l 验证根证书时使用的指纹
当设备从CA获得其根证书时,需要验证CA根证书的指纹,即根证书内容的散列值,该值对于每一个证书都是唯一的。如果CA根证书的指纹与在PKI域中配置的指纹不同,则设备将拒绝接收根证书。
表1-4 配置PKI域参数
|
操作 |
命令 |
说明 |
|
配置信任的CA名称 |
ca identifier name |
必选 缺省情况下,未配置信任的CA名称 |
|
指定实体名称 |
certificate request entity entity-name |
必选 缺省情况下,未指定实体名称 |
|
配置证书申请的注册机构 |
certificate request from { ca | ra } |
必选 缺省情况下,未指定证书申请的注册机构 |
|
配置注册服务器URL |
certificate request url url-string |
必选 缺省情况下,未指定注册服务器URL |
|
配置证书申请状态查询的周期和次数 |
certificate request polling { count count | interval minutes } |
可选 缺省情况下,证书申请状态查询周期为20分钟,每一个周期查询50次 |
|
配置LDAP服务器IP地址 |
ldap-server ip ip-address [ port port-number ] [ version version-number ] |
可选 缺省情况下,未指定LDAP服务器IP地址 |
|
配置验证根证书时使用的指纹 |
root-certificate fingerprint { md5 | sha1 } string |
可选 缺省情况下,没有指定验证根证书时使用的指纹 |
& 说明:
l CA在受理证书请求(以及颁发证书、吊销证书和发布CRL)时所采用的一套标准被称为CA策略。通常,CA以一种叫做证书惯例声明(CPS,Certification Practice Statement)的文档发布其策略,CA策略可以通过带外或其他方式获取。由于不同的CA使用不同的方法验证公钥与主体之间的绑定,所以在选择信任的CA进行证书申请之前,必须理解CA策略。
l CA的名称只是在获取CA证书时使用,申请本地证书时不会用到。
证书申请就是实体向CA自我介绍的过程。实体向CA提供身份信息,以及相应的公开密钥,这些信息将成为颁发给该实体证书的主要组成部分。
证书申请有手工发起和自动发起两种方式。
自动方式下,在没有本地证书时自动通过SCEP协议进行申请,而且在证书快要过期时自动申请新的证书。
表1-5 自动申请证书
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入PKI域视图 |
pki domain name |
- |
|
配置证书申请为自动方式 |
certificate request mode auto [ key-length key-length | password { cipher | simple } password ] * |
必选 缺省情况下,证书申请为手工方式 |
手工方式下,需要手工完成获取CA证书、生成密钥对、申请本地证书的工作。
获取CA根证书的目的是用来验证本地证书的真实性和合法性。
密钥对的产生是证书申请过程中重要的一步。申请过程使用了一对密钥:私钥和公钥。私钥由用户保留,公钥和其他信息则交由CA中心进行签名,从而产生证书。
表1-6 手工申请证书
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入PKI域视图 |
pki domain name |
- |
|
配置证书申请为手工方式 |
certificate request mode manual |
可选 缺省情况下,证书申请为手工方式 |
|
退回系统视图 |
quit |
- |
|
手工获取CA证书 |
必选 |
|
|
生成本地RSA密钥对 |
rsa local-key-pair create |
必选 缺省情况下,本地没有RSA密钥对 |
|
手工申请本地证书 |
pki request-certificate domain domain-name [ password ] [ pkcs10 [ filename filename ] ] |
必选 |
& 说明:
l 若本地证书已存在,为保证密钥对与现存证书的一致性,不应执行创建密钥对命令,必须在删除本地证书后再执行此命令生成新的密钥对。
l 创建的新密钥对将覆盖旧密钥对。若本地已有RSA密钥对,执行此命令时,系统会提示是否替换原有密钥对。
l 命令rsa local-key-pair create用来产生两个密钥对,即本地服务器密钥对和主机密钥对,其中主机密钥对用于申请证书。有关RSA的具体配置请参见“SSH终端服务”。
l 如果本地证书已存在,则不允许再执行证书申请操作,以避免因相关配置的修改使得证书与登记信息不匹配。若想重新申请,请先使用pki delete-certificate命令删除存储于本地的CA证书与本地证书,然后再执行此申请命令。
l 当无法通过SCEP协议向CA申请证书时,可以使用可选参数pkcs10打印出本地的证书申请信息。用户保存证书申请信息,并将其通过带外方式发送给CA进行证书申请。
l 证书申请之前必须保证实体时钟与CA同步,否则申请证书的有效期会出现异常。
l 命令pki request-certificate domain不被保存在配置文件中。
用户通过此配置可以将已存在的CA证书或本地证书获取至本地。获取证书有两种方式:离线方式和在线方式。离线方式下获取证书需要通过带外方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地。
获取证书的目的有两个:
l 将CA签发的与实体所在安全域有关的证书存放到本地,以提高证书的查询效率,减少向PKI证书存储库查询的次数。
l 为证书的验证做好准备。
表1-7 手工获取证书
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
手工获取证书 |
在线方式 |
pki retrieval-certificate { ca | local } domain domain-name |
二者必选其一 |
|
离线方式导入证书 |
pki import-certificate { ca | local } domain domain-name { der | p12 | pem } [ filename filename ] |
||
注意:
l 如果本地已有CA证书存在,则不允许执行手工获取CA证书的操作,避免因相关配置的修改使得证书与登记信息不匹配。若想重新获取,请先使用pki delete-certificate命令删除CA证书与本地证书后,再执行此命令。
l 命令pki retrieval-certificate不被保存在配置文件中。
在使用每一个证书之前,必须检查相应的CRL,实现CA或本地证书有效性的验证。
表1-8 配置PKI证书验证
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入PKI域视图 |
pki domain name |
- |
|
配置CRL发布点的URL |
crl url url-string |
可选 缺省情况下,未指定CRL发布点的URL |
|
配置CRL的更新周期 |
crl update-period hours |
可选 缺省情况下,根据CRL文件中的下次更新域进行更新 |
|
使能或者禁止CRL检查 |
crl check { disable | enable } |
可选 缺省情况下,CRL检查处于开启状态 |
|
退回系统视图 |
quit |
- |
|
获取CA证书 |
可选 |
|
|
获取CRL并下载至本地 |
pki retrieval-crl domain domain-name |
必选 |
|
检验证书的有效性 |
pki validate-certificate { ca | local } domain domain-name |
必选 |
& 说明:
l CRL的更新周期是指本地从CRL存储服务器下载CRL的时间间隔。手工配置的CRL更新时间将优先于CRL文件中下次更新域所指定的时间。
l CRL文件不会被保存在配置文件中。
由CA颁发的证书都会设置有效期,证书生命周期的长短由签发证书的CA中心来确定。当用户的私钥被泄漏或证书的有效期快到时,用户应该删除旧的密钥对,产生新的密钥对,重新申请新的证书。通过此配置用户可以销毁本地RSA密钥对。
表1-9 销毁本地RSA密钥对
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
销毁本地RSA密钥对 |
rsa local-key-pair destroy |
必选 |
通过此配置用户可以删除一个已经存在的本地证书或CA证书。
表1-10 配置删除证书
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置删除证书 |
pki delete-certificate { ca | local } domain domain-name |
必选 |
通过配置基于证书属性的访问控制策略,可以对用户端的访问权限进行进一步的控制,保证了与之通信的服务器端的安全性。
表1-11 配置基于证书属性的访问控制策略
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建证书属性组,并进入证书属性组视图 |
pki certificate attribute-group group-name |
必选 缺省情况下,不存在证书属性组 |
|
配置证书颁发者名、证书主题名及备用主题名的属性规则 |
attribute id { alt-subject-name { fqdn | ip } | { issuer-name | subject-name } { dn | fqdn | ip } } { ctn | equ | nctn | nequ} attribute-value |
可选 缺省情况下,对证书颁发者名、证书主题名及备用主题名没有限制 |
|
退回系统视图 |
quit |
- |
|
创建证书属性访问控制策略,并进入证书属性访问控制策略视图 |
pki certificate access-control-policy policy-name |
必选 缺省情况下,不存在证书属性访问控制策略 |
|
配置证书属性控制规则 |
rule [ id ] { deny | permit } group-name |
可选 缺省情况下,不存在证书属性控制规则 |
注意:
l 证书备用主题名属性不会以域名的方式出现,所以在证书备用主题名属性的规则配置中没有出现dn。
l 配置证书属性控制规则时,group-name必须是已存在的证书属性组的名称。
在完成上述配置后,在任意视图下执行display命令可以显示配置后PKI的运行情况,通过查看显示信息验证配置的效果。
表1-12 PKI显示和维护
|
操作 |
命令 |
|
显示证书内容 |
display pki certificate { { ca | local } domain domain-name | request-status } |
|
显示CRL内容 |
display pki crl domain domain-name |
|
显示证书属性组的信息 |
display pki certificate attribute-group { group-name | all } |
|
显示证书属性访问控制策略的信息 |
display pki certificate access-control-policy { policy-name | all } |
& 说明:
l 证书格式及内容遵循X.509标准,包含关于用户及CA自身的各种信息。比如,能唯一标识用户的姓名及其他标识信息,如个人的E-mail地址、证书持有者的公钥、签发个人证书的认证机构的名称、个人证书的序列号和个人证书的有效期(证书有效起止日期)等。
l CRL内容遵循X.509标准,包含的内容有CRL的版本号、签名算法、证书签发机构名、上次更新时间、下次更新时间、用户公钥信息、签名算法、签名值、序列号、撤销日期等。
注意:
l 当采用Windows server作为CA时,需要安装Simple Certificate Enrollment Protocol插件。此时,配置PKI domain时,需要使用certificate request from ra命令指定实体从RA注册申请证书。
l 当采用RSA Keon软件时,不需要安装Simple Certificate Enrollment Protocol插件,此时,配置PKI domain时,需要使用certificate request from ca命令指定实体从CA注册申请证书。
l 本配置举例中,CA服务器上采用RSA Keon软件。
在作为PKI实体的设备上进行相关配置,实现以下需求:
l 设备向RSA CA服务器申请本地证书
l 获取CRL为证书验证做准备
图1-2 PKI实体向CA申请证书组网图
(1) 配置实体命名空间
# 配置实体名称为ant,通用名为1。
<Sysname> system-view
[Sysname] pki entity ant
[Sysname-pki-entity-ant] common-name 1
[Sysname-pki-entity-ant] quit
(2) 配置PKI域参数
# 创建并进入PKI域torsa。
[Sysname] pki domain torsa
# 配置可信任的CA名称为rsa。
[Sysname-pki-domain-torsa] ca identifier rsa
# 配置注册服务器URL。
[Sysname-pki-domain-torsa] certificate request url http://4.4.4.133:446/6953bf7fb5b1cf514376243ce67ebed1209c292a
# 配置证书申请受理机构为CA。
[Sysname-pki-domain-torsa] certificate request from ca
# 指定实体名称为ant。
[Sysname-pki-domain-torsa] certificate request entity ant
# 配置CRL发布点位置。
[Sysname-pki-domain-torsa] crl url http://4.4.4.133:447/security_rsa.crl
[Sysname-pki-domain-torsa] quit
(3) 用RSA算法生成本地密钥对
[Sysname] rsa local-key-pair create
(4) 证书申请
# 获取CA证书并下载至本地。
[Sysname] pki retrieval-certificate ca domain torsa
# 获取CRL并下载至本地。
[Sysname] pki retrieval-crl domain torsa
# 手工申请本地证书。
[Sysname] pki request-certificate domain torsa challenge-word
l 客户端通过HTTPS(HTTP Security,HTTP安全)协议远程访问设备(HTTPS服务器)。
l 通过SSL协议保证合法客户端安全登录HTTPS服务器。
l 为HTTPS服务器制定证书属性的访问控制策略,对客户端的访问权限进行控制。
图1-3 证书属性的访问控制策略应用组网图
& 说明:
SSL和HTTPS配置的相关内容请参见“SSL-HTTPS操作手册”。
(1) 配置HTTPS服务器
# 配置HTTPS服务器使用的SSL策略。所引用的PKI域必须已经创建。
<Sysname> system-view
[Sysname] ssl server-policy myssl
[Sysname-ssl-server-policy-myssl] pki-domain 1
[Sysname-ssl-server-policy-myssl] client-verify enable
[Sysname-ssl-server-policy-myssl] quit
(2) 配置证书属性组
# 配置证书属性组mygroup1,并创建两个属性规则。规则1定义证书主题名的DN包含字符串aabbcc;规则2定义证书颁发者名中的IP地址等于10.0.0.1。
[Sysname] pki certificate attribute-group mygroup1
[Sysname-pki-cert-attribute-group-mygroup1] attribute 1 subject-name dn ctn aabbcc
[Sysname-pki-cert-attribute-group-mygroup1] attribute 2 issuer-name ip equ 10.0.0.1
[Sysname-pki-cert-attribute-group-mygroup1] quit
# 配置证书属性组mygroup2,并创建两个属性规则。规则1定义证书备用主题名中的FQDN不包含字符串apple;规则2定义证书颁发者名的DN包含字符串aabbcc。
[Sysname] pki certificate attribute-group mygroup2
[Sysname-pki-cert-attribute-group-mygroup2] attribute 1 alt-subject-name fqdn nctn apple
[Sysname-pki-cert-attribute-group-mygroup2] attribute 2 issuer-name dn ctn aabbcc
[Sysname-pki-cert-attribute-group-mygroup2] quit
(3) 配置证书访问控制策略
# 配置访问控制策略myacp,并建立两个控制规则。
[Sysname] pki certificate access-control-policy myacp
[Sysname-pki-cert-acp-myacp] rule 1 deny mygroup1
[Sysname-pki-cert-acp-myacp] rule 2 permit mygroup2
[Sysname-pki-cert-acp-myacp] quit
(4) 配置HTTPS服务器与相关策略进行关联,并启动HTTPS服务器
# 配置指定HTTPS服务器的SSL策略为myssl。
[Sysname] ip https ssl-server-policy myssl
# 配置指定HTTPS服务器的证书访问控制策略为myacp。
[Sysname] ip https certificate access-control-policy myacp
# 启动HTTPS服务器。
[Sysname] ip https enable
发出手工CA证书请求时失败,可能有以下原因:
(1) 软件原因
l 没有设置信任的CA名称。
l 在CA服务器上没有安装SCEP。
l SCEP证书请求的服务器URL位置不正确或未配置,可通过ping命令测试服务器是否连接正常。
l 没有设置证书注册机构。
l 系统时钟与CA不同步。
(2) 硬件原因
l 网络连接故障,如网线折断,接口松动。
在路由器上完成配置PKI域参数、实体DN、创建新RSA密钥对后,发出手工证书请求时失败,可能有以下原因:
(1) 软件原因
l 申请之前没有先获取CA/RA的证书。
l 当前的密钥对已有证书。
l 没有设置信任的CA名称。
l 在CA服务器上没有安装SCEP。
l SCEP证书请求的服务器URL位置不正确或未配置,可通过ping命令测试服务器是否连接正常。
l 没有设置证书注册机构。
l 没有配置实体DN中必配属性,可通过查看CA/RA注册策略选择相关的属性进行配置。
(2) 硬件原因
l 网络连接故障,如网线折断,接口松动。
获取CRL发生失败,可能有以下原因:
(1) 软件原因
l 获取CRL之前未先取得CA证书。
l 未设置LDAP服务器的IP地址。
l 未设置CRL分布点位置。
l LDAP服务器版本配置错误。
(2) 硬件原因
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
