- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
27-证书管理
本章节下载 (989.44 KB)
PKI(Public Key Infrastructure,公钥基础设施)是一个利用公开密钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。
公共密钥体制也称为非对称密钥体制,是目前应用最广泛的一种加密体制。这一体制使用一个非对称的密钥对,分别是一个公开的加密密钥(公钥)和一个保密的解密密钥(私钥),用公钥加密的信息只能用私钥解密,反之亦然。由于公钥是公开的,需要在网上传送,故公钥的管理问题就是公共密钥体制所需要解决的关键问题。
目前,PKI系统中引出的数字证书机制就是一个很好的解决方案。基于公共密钥技术的数字证书是一个用户的身份和他所持有的公钥的结合,是使用PKI系统的用户建立安全通信的信任基础。
基于数字证书的PKI系统,能够为网络通信和网络交易,特别是电子政务和电子商务业务,透明地提供一整套安全服务,主要包括身份认证、保密、数据完整性和不可否认性。
目前,我司的PKI可为安全协议IPsec、SSL、WAPI提供证书管理机制。
数字证书是一个经CA(Certificate Authority,证书机构)签名的、包含公开密钥及相关的用户身份信息的文件,它建立了用户身份信息与用户公钥的关联。CA对数字证书的签名保证了证书的合法性和权威性。数字证书的格式遵循ITU-T X.509国际标准,目前最常用的为X.509 V3标准。一个数字证书中包含多个字段,包括证书签发者的名称、主体的公钥信息、CA对证书的数字签名、证书的有效期等。
本手册中涉及两类证书:本地(Local)证书和CA(Certificate Authority)证书。本地证书是CA签发给实体的数字证书;CA证书是CA自身的证书。若PKI系统中存在多个CA,则会形成一个CA层次结构。最上层的CA是根CA,拥有一个CA“自签”的数字证书。
由于用户姓名的改变、私钥泄漏或业务中止等原因,需要存在一种方法将现行的证书撤消,即撤消公开密钥及相关的用户身份信息的绑定关系。在PKI中,所使用的这种方法为证书废除列表。任何一个证书被废除以后,CA就要发布CRL来声明该证书是无效的,并列出所有被废除的证书的序列号。CRL(Certificate Revocation List,证书废除列表)提供了一种检验证书有效性的方式。
当一个CRL的撤消信息过多时会导致CRL的发布规模变得非常庞大,且随着CRL大小的增加,网络资源的使用性能也会随之下降。为了避免这种情况,允许一个CA的撤消信息通过多个CRL发布出来,并且使用CRL发布点来指出这些小CRL的位置。
CA在受理证书请求、颁发证书、吊销证书和发布CRL时所采用的一套标准被称为CA策略。通常,CA以一种叫做CPS(Certification Practice Statement,证书惯例声明)的文档发布其策略,CA策略可以通过带外(如电话、磁盘、电子邮件等)或其他方式获取。由于不同的CA使用不同的方法验证公开密钥与实体之间的绑定,所以在选择信任的CA进行证书申请之前,必须理解CA策略,从而指导对实体进行相应的配置。
一个PKI体系由终端实体、证书机构、注册机构和PKI存储库四类实体共同组成,如图1-1所示。
图1-1 PKI体系结构图
终端实体是PKI产品或服务的最终使用者,可以是个人、组织、设备(如路由器、交换机)或计算机中运行的进程。
CA是PKI的信任基础,是一个用于签发并管理数字证书的可信实体。其作用包括:发放证书、规定证书的有效期和通过发布CRL确保必要时可以废除证书。
RA(Registration Authority,注册机构)是CA的延伸,可作为CA的一部分,也可以独立。RA功能包括个人身份审核、CRL管理、密钥对产生和密钥对备份等。PKI国际标准推荐由一个独立的RA来完成注册管理的任务,这样可以增强应用系统的安全性。
PKI存储库包括LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)服务器和普通数据库,用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理,并提供一定的查询功能。
LDAP提供了一种访问PKI存储库的方式,通过该协议来访问并管理PKI信息。LDAP服务器负责将RA服务器传输过来的用户信息以及数字证书进行存储,并提供目录浏览服务。用户通过访问LDAP服务器获取自己和其他用户的数字证书。
PKI技术的广泛应用能满足人们对网络交易安全保障的需求。作为一种基础设施,PKI的应用范围非常广泛,并且在不断发展之中,下面给出几个应用实例。
VPN(Virtual Private Network,虚拟专用网络)是一种构建在公用通信基础设施上的专用数据通信网络,利用网络层安全协议(如IPSec)和建立在PKI上的加密与数字签名技术来获得机密性保护。
电子邮件的安全也要求机密、完整、认证和不可否认,而这些都可以利用PKI技术来实现。目前发展很快的安全电子邮件协议S/MIME(Secure/Multipurpose Internet Mail Extensions,安全/多用途Internet邮件扩充协议),是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。
为了透明地解决Web的安全问题,在两个实体进行通信之前,先要建立SSL(Secure Sockets Layer,安全套接字层)连接,以此实现对应用层透明的安全通信。利用PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外,服务器端和浏览器端通信时双方可以通过数字证书确认对方的身份。
针对一个使用PKI的网络,配置PKI的目的就是为指定的实体向CA申请一个本地证书,并由设备对证书的有效性进行验证。下面是PKI的工作过程:
(1) 实体向CA提出证书申请。
(2) RA审核实体身份,将实体身份信息和公开密钥以数字签名的方式发送给CA。
(3) CA验证数字签名,同意实体的申请,颁发证书。
(4) RA接收CA返回的证书,发送到LDAP服务器以提供目录浏览服务,并通知实体证书发行成功。
(5) 实体获取证书,利用该证书可以与其它实体使用加密、数字签名进行安全通信。
(6) 实体希望撤消自己的证书时,向CA提交申请。CA批准实体撤消证书,并更新CRL,发布到LDAP服务器。
PKI证书的申请方式有两种:
l 手动申请证书方式:需要手工完成获取CA证书、生成密钥对、申请本地证书的工作。
l 自动申请证书方式:在没有本地证书时实体自动通过SCEP(Simple Certification Enrollment Protocol,简单证书注册协议,专门用于与认证机构进行通信)协议进行申请,而且在证书即将过期时自动申请新的证书并获取至本地。
证书申请的方式可在PKI域中进行配置。根据证书申请方式的不同,PKI的配置步骤也不同。
手动申请证书方式下PKI配置的推荐步骤如表1-1所示。
表1-1 PKI配置步骤(手动申请证书方式)
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 新建实体并配置实体的身份信息参数 一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联。实体DN(Distinguished Name,可识别名称)的参数是实体的身份信息,CA根据实体提供的身份信息来唯一标识证书申请者 实体身份信息的配置必须与CA证书颁发策略相匹配,申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败 |
|
|
2 |
必选 新建PKI域,配置证书申请方式为“手动” 实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域 PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息 |
|
|
3 |
必选 配置生成本地RSA密钥对 缺省情况下,本地没有RSA密钥对 密钥对的产生是证书申请过程中重要的一步。申请过程使用了一对主机密钥:私钥和公钥。私钥由用户保留,公钥和其他信息则交由CA中心进行签名,从而产生证书
若本地证书已存在,为保证密钥对与现存证书的一致性,必须在删除本地证书后,再生成新的密钥对 |
|
|
4 |
获取CA证书 |
必选 将CA证书获取至本地,详细配置请参见“1.2.6 获取和查看证书” 获取证书的目的是: l 将CA签发的与实体所在安全域有关的证书存放到本地,以提高证书的查询效率,减少向PKI证书存储库查询的次数 l 为证书的验证做好准备
如果本地已有CA证书存在,则不允许再执行获取CA证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书后,再重新获取 |
|
5 |
必选 证书申请就是实体向CA自我介绍的过程,实体向CA提供身份信息和相应的公钥,这些信息将成为颁发给该实体证书的主要组成部分 申请本地证书有在线和离线两种方式: l 在线申请成功后,会自动将本地证书获取至本地 l 离线申请成功后,需要用户通过离线方式将本地证书获取至本地
如果本地已有本地证书存在,则不允许再执行申请本地证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书,再重新申请 |
|
|
6 |
可选 销毁设备上已存在的RSA密钥对和对应的本地证书 如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的RSA密钥对销毁,否则无法成功获取证书 |
|
|
7 |
可选 将已存在的证书获取至本地,获取后可以查看证书的详细信息
在线获取本地证书之前必须完成LDAP服务器的配置 |
|
|
8 |
可选 获取CRL至本地,获取后可以查看CRL的内容 |
自动申请证书方式下PKI配置的推荐步骤如表1-2所示。
表1-2 PKI配置步骤(自动申请证书方式)
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 新建实体并配置实体的身份信息参数 一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联。实体DN(Distinguished Name,可识别名称)的参数是实体的身份信息,CA根据实体提供的身份信息来唯一标识证书申请者 实体身份信息的配置必须与CA证书颁发策略相匹配,申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败 |
|
|
2 |
必选 新建PKI域,配置证书申请方式为“自动” 实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域 PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息 |
|
|
3 |
可选 销毁设备上已存在的RSA密钥对和对应的本地证书 如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的RSA密钥对销毁,否则无法成功获取证书 |
|
|
4 |
可选 将已存在的证书获取至本地,获取后可以查看证书的详细信息
l 在线获取本地证书之前必须完成LDAP服务器的配置 l 如果本地已有CA证书存在,则不允许再执行获取CA证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书后,再重新获取 |
|
|
5 |
可选 获取CRL至本地,获取后可以查看CRL的内容 |
在导航栏中选择“证书管理 > PKI实体”,进入PKI实体的显示页面,如图1-2所示。单击<新建>按钮,进入新建PKI实体的配置页面,如图1-3所示。
图1-2 PKI实体
新建PKI实体的详细配置如表1-3所示。
表1-3 新建PKI实体的详细配置
|
配置项 |
说明 |
|
PKI实体名称 |
设置要新建的PKI实体的名称 |
|
通用名 |
设置实体的通用名,比如用户名称 |
|
实体IP地址 |
设置实体的IP地址 |
|
FQDN |
设置实体的FQDN(Fully Qualified Domain Name,合格域名) FQDN是实体在网络中的唯一标识,由一个主机名和域名组成,可被解析为IP地址。例如,www是一个主机名,whatever.com是一个域名,则www.whatever.com就是一个FQDN |
|
国家/地区 |
设置实体所属的国家或地区代码 |
|
州省 |
设置实体所属的州省 |
|
地理区域 |
设置实体所在地理区域的名称 |
|
组织 |
设置实体所属组织的名称 |
|
部门 |
设置实体所属部门的名称 |
可点击返回“表1-1 PKI配置步骤(手动申请证书方式)”。
可点击返回“表1-2 PKI配置步骤(自动申请证书方式)”。
在导航栏中选择“证书管理 > PKI域”,进入PKI域的显示页面,如图1-4所示。单击<新建>按钮,进入新建PKI域的配置页面,如图1-5所示。
新建PKI域的详细配置如表1-4所示。
表1-4 新建PKI域的详细配置
|
配置项 |
说明 |
|
PKI域名称 |
设置要新建的PKI域的名称 |
|
CA标识符 |
设置设备信任的CA标识符 在申请证书时,是通过一个可信实体认证机构,来完成实体证书的注册颁发,因此必须指定一个信任的CA标识符,将设备与该CA进行绑定,该设备证书的申请、获取、废除及查询均通过该CA执行
l 当采用离线方式申请证书时,此项可以不配置,否则必须配置 l CA标识符只是在获取CA证书时使用,申请本地证书时不会用到 |
|
本地实体 |
设置本地PKI实体名称 向CA发送证书申请请求时,必须指定所使用的实体名,以向CA表明自己的身份 |
|
注册机构 |
设置证书申请的注册审理机构 l CA:表示实体从CA注册申请证书 l RA:表示实体从RA注册申请证书 证书申请的受理一般由一个独立的注册机构(即RA)来承担,它接收用户的注册申请,审查用户的申请资格,并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书,而只是对用户进行资格审查。有时PKI把注册管理的职能交给CA来完成,而不设立独立运行的RA,但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能而已。PKI推荐独立使用RA作为注册审理机构 |
|
证书申请URL |
设置注册服务器的URL 证书申请前必须指定注册服务器的URL,随后实体可通过SCEP向该服务器提出证书申请
l 当采用离线方式申请证书时,此项可以不配置,否则必须配置 l 目前,注册服务器URL的配置不支持域名解析 |
|
LDAP服务器IP地址 |
设置LDAP服务器的IP地址、端口号和版本号 在PKI系统中,用户的证书和CRL信息的存储是一个非常核心的问题。一般采用LDAP服务器来存储证书和CRL,这时就需要指定LDAP服务器的信息 |
|
端口 |
|
|
版本 |
|
|
证书申请方式 |
设置在线证书申请的方式,有Auto(自动)和Manual(手动)两种方式 |
|
挑战码加密 |
当证书申请方式选择“Auto”时,设置挑战码以及是否对挑战码进行密文显示 挑战码是指撤销证书时使用的密码 |
|
挑战码 |
|
|
根证书散列算法 |
设置验证CA根证书时所使用的散列算法和指纹 当设备从CA获得根证书时,需要验证CA根证书的指纹,即根证书内容的散列值,该值对于每一个证书都是唯一的。如果CA根证书的指纹与在PKI域中配置的指纹不同,则设备将拒绝接收根证书
当证书申请方式选择“Auto”时,根证书指纹必须设置;当证书申请方式选择“Manual”时,根证书指纹可以不设置,若不设置,则需要用户自行确认CA服务器是否可信 |
|
根证书指纹 |
|
|
证书查询次数 |
设置客户端发送证书申请状态查询的周期和每个周期内发送查询的次数 实体在发送证书申请后,如果CA采用手工验证申请,证书的发布会需要很长时间。在此期间,客户端需要定期发送状态查询,以便在证书签发后能及时获取到证书。客户端可以配置证书申请状态的查询周期和次数 |
|
证书查询间隔 |
|
|
启用CRL查询 |
设置在证书验证时是否进行CRL检查 如果启用CRL检查,则验证证书的有效性,必须通过CRL判断 |
|
CRL更新间隔 |
设置CRL更新间隔,即使用证书的PKI实体从CRL存储服务器下载CRL的时间间隔 选中“启用CRL查询”时可配置 缺省情况下,CRL的更新间隔由CRL文件中的下次更新域决定
手工配置的CRL更新间隔将优先于CRL文件中指定的更新间隔 |
|
获取CRL的URL |
设置CRL发布点的URL 选中“启用CRL查询”时可配置 需要注意的是,未配置CRL发布点的URL时,通过SCEP协议获取CRL,该操作在获取CA证书和本地证书之后进行
目前,CRL发布点URL的配置不支持域名解析 |
可点击返回“表1-1 PKI配置步骤(手动申请证书方式)”。
可点击返回“表1-2 PKI配置步骤(自动申请证书方式)”。
在导航栏中选择“证书管理 > 证书”,进入PKI证书的显示页面,如图1-6所示。单击页面上的<创建密钥>按钮,进入生成RSA密钥对的配置页面,如图1-7所示。
生成RSA密钥对的详细配置如表1-5所示。
表1-5 生成RSA密钥对的详细配置
|
配置项 |
说明 |
|
密钥长度 |
设置RSA密钥的长度 |
可点击返回“表1-1 PKI配置步骤(手动申请证书方式)”。
在导航栏中选择“证书管理 > 证书”,进入PKI证书的显示页面,如图1-6所示。单击页面上的<销毁密钥>按钮,进入销毁RSA密钥对的配置页面,如图1-8所示。单击<确定>按钮将销毁设备上已存在的RSA密钥对和对应的本地证书。
可点击返回“表1-1 PKI配置步骤(手动申请证书方式)”。
可点击返回“表1-2 PKI配置步骤(自动申请证书方式)”。
用户通过此配置可以将已存在的CA证书或本地证书获取至本地。获取证书有两种方式:离线方式和在线方式。离线方式下获取证书需要通过带外方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地。
在导航栏中选择“证书管理 > 证书”,进入PKI证书的显示页面,如图1-6所示。单击页面上的<获取证书>按钮,进入获取PKI证书的配置页面,如图1-9所示。
获取PKI证书的详细配置如表1-6所示。
表1-6 获取PKI证书的详细配置
|
配置项 |
说明 |
|
PKI域名称 |
设置证书所在的PKI域 |
|
证书类型 |
设置要获取的证书的为CA证书或Local证书 |
|
启用离线方式 |
设置是否启用离线方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地 |
|
从设备取得文件 |
设置要导入的证书文件的存放路径和文件名 l 当证书文件保存在设备上时,选择“从设备取得文件”,并选择证书文件在设备上的存放路径和文件名 l 当证书文件保存在本地主机上时,选择“从PC取得文件”,并设置证书文件在PC上的存放路径和文件名,以及文件上传到设备后存放在哪个分区 |
|
从PC取得文件 |
|
|
口令 |
设置导入证书的口令,该口令在导出证书时指定,用于保护私钥的口令 |
获取证书后,可以在PKI证书的显示页面,单击指定证书对应的<查看证书>按钮,查看证书的详细信息,如图1-10所示。
可点击返回“表1-1 PKI配置步骤(手动申请证书方式)”。
可点击返回“表1-2 PKI配置步骤(自动申请证书方式)”。
在导航栏中选择“证书管理 > 证书”,进入PKI证书的显示页面,如图1-6所示。单击页面上的<申请证书>按钮,进入申请本地证书的配置页面,如图1-11所示。
申请本地证书的详细配置如表1-7所示。
|
配置项 |
说明 |
|
PKI域名称 |
设置证书所在的PKI域 |
|
挑战码 |
设置挑战码,即撤销证书时使用的密码 |
|
启用离线方式 |
设置是否启用离线方式(如电话、磁盘、电子邮件等)申请本地证书 当无法通过SCEP协议向CA在线申请证书时,可以选择启用离线方式申请本地证书,在单击<确定>按钮完成配置后,页面会显示离线申请证书的信息,如图1-12所示。用户可以保存这些信息,并将其通过带外方式发送给CA进行证书申请 |
可点击返回“表1-1 PKI配置步骤(手动申请证书方式)”。
在导航栏中选择“证书管理 > CRL”,进入CRL的显示页面,如图1-13所示。
l 在列表中单击指定PKI域对应的操作列的<获取CRL>按钮,可将CRL获取到本地。
l 获取CRL后,在列表中单击指定PKI域对应的操作列的<查看CRL>按钮,可查看CRL的详细信息,如图1-14所示。
图1-14 查看CRL的详细信息
可点击返回“表1-1 PKI配置步骤(手动申请证书方式)”。
可点击返回“表1-2 PKI配置步骤(自动申请证书方式)”。
在作为PKI实体的设备Router上进行相关配置,实现以下需求:
l 设备向CA服务器申请本地证书,CA服务器采用Windows 2003 server。
l 获取CRL为证书验证做准备。
图1-15 PKI实体向CA申请证书配置组网图
(1) 配置CA服务器
# 安装证书服务器组件。
打开[控制面板]/[添加/删除程序],选择[添加/删除Windows组件]中的“证书服务”进行安装。
# 安装SCEP插件。
由于Windows 2003 server作为CA服务器时,缺省情况下不支持SCEP,所以需要安装SCEP插件,才能使设备具备证书自动注册、获取等功能。插件安装完毕后,弹出提示框,提示框中的URL地址即为设备上配置的注册服务器地址。
# 修改证书服务的属性。
完成上述配置后,打开[控制面板/管理工具]中的[证书颁发机构],如果安装成功,在[颁发的证书]中将存在两个CA颁发给RA的证书。选择[CA server 属性]中的“策略模块”的属性为“如果可以的话,按照证书模板中的设置。否则,将自动颁发证书(F)。”
# 修改IIS服务的属性。
打开[控制面板/管理工具]中的[Internet 信息服务(IIS)管理器],将[默认网站 属性]中“主目录”的本地路径修改为证书服务保存的路径。另外,为了避免与已有的服务冲突,建议修改默认网站的TCP端口号为未使用的端口号。
以上配置完成之后,还需要保证设备的系统时钟与CA的时钟同步才可以正常使用设备来申请证书。
(2) 配置Router
# 新建PKI实体。
l 在导航栏中选择“证书管理 > PKI实体”,单击<新建>按钮,进行如下配置,如图1-16所示。
l 输入PKI实体名称为“aaa”。
l 输入通用名为“router”。
l 单击<确定>按钮完成操作。
# 新建PKI域。
l 在导航栏中选择“证书管理 > PKI域”,单击<新建>按钮,进行如下配置,如图1-17所示。
l 输入PKI域名称为“torsa”。
l 输入CA标识符为“CA server”。
l 选择本端实体为“aaa”。
l 选择注册机构为“RA”。
l 以“http://host:port/certsrv/mscep/mscep.dll”的格式(其中的“host”和“port”为CA服务器的主机地址和端口号)输入证书申请URL为“http://4.4.4.1:8080/certsrv/mscep/mscep.dll”。
l 选择证书申请方式为“Manual”。
l 单击<确定>按钮,弹出的对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证”,再次单击<确定>按钮完成操作。
# 生成RSA密钥对。
l 在导航栏中选择“证书管理 > 证书”,单击<创建密钥>按钮,进行如下配置,如图1-18所示。
图1-18 生成RSA密钥对
l 单击<确定>按钮开始生成RSA密钥对。
# 获取CA证书至本地。
l 生成密钥对成功后,在“证书管理 > 证书”的页面单击<获取证书>按钮,进行如下配置,如图1-19所示。
图1-19 获取CA证书至本地
l 选择PKI域为“torsa”。
l 选择证书类型为“CA”。
l 单击<确定>按钮开始获取CA证书。
# 申请本地证书。
l 获取CA证书成功后,在“证书管理 > 证书”的页面单击<申请证书>按钮,进行如下配置,如图1-20所示。
l 选择PKI域为“torsa”。
l 选中“挑战码”前的单选按钮,输入挑战码为“challenge-word”。
l 单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框,单击<确定>安全完成操作。
完成上述配置后,在“证书管理 > 证书”的页面单击PKI域torsa的本地证书对应的<查看证书>按钮可以查看本地证书的详细信息,单击PKI域torsa的CA证书对应的<查看证书>按钮可以查看CA证书的详细信息。
在作为PKI实体的设备Router上进行相关配置,实现以下需求:
l 设备向CA服务器申请本地证书,CA服务器上采用RSA Keon软件。
l 获取CRL为证书验证做准备。
图1-21 PKI实体向CA申请证书配置组网图
(1) 配置CA服务器
# 创建CA服务器myca。
在本例中,CA服务器上首先需要进行基本属性Nickname和Subject DN的配置。其它属性选择默认值。其中,Nickname为可信任的CA名称,Subject DN为CA的DN属性,包括CN、OU、O和C。
# 配置扩展属性。
基本属性配置完毕之后,还需要在生成的CA服务器管理页面上对“Jurisdiction Configuration”进行配置,主要内容包括:根据需要选择合适的扩展选项;启动自动颁发证书功能;添加可以自动颁发证书的地址范围。
# 配置CRL发布
CA服务器的基本配置完成之后,需要进行CRL的相关配置。
本例中选择CRL的发布方式为HTTP,自动生成CRL发布点的URL为http://4.4.4.133:447/myca.crl。
以上配置完成之后,还需要保证设备的系统时钟与CA的时钟同步才可以正常使用设备来申请证书和获取CRL。
(2) 配置Router
# 新建PKI实体。
l 在导航栏中选择“证书管理 > PKI实体”,单击<新建>按钮,进行如下配置,如图1-22所示。
l 输入PKI实体名称为“aaa”。
l 输入通用名为“router”。
l 单击<确定>按钮完成操作。
# 新建PKI域。
l 在导航栏中选择“证书管理 > PKI域”,单击<新建>按钮,进行如下配置,如图1-23所示。
l 输入PKI域名称为“torsa”。
l 输入CA标识符为“myca”。
l 选择本端实体为“aaa”。
l 选择注册机构为“CA”。
l 以“http://host:port/Issuing Jurisdiction ID”(其中的Issuing Jurisdiction ID为CA服务器上生成的16进制字符串)的格式输入证书申请URL为“http://4.4.4.133:446/c95e970f632d27be5e8cbf80e971d9c4a9a93337”。
l 选择证书申请方式为“Manual”。
l 单击“高级设置”前的扩展按钮。
l 选中“启用CRl查询”前的复选框。
l 输入获取CRL的URL为“http://4.4.4.133:447/myca.crl”。
l 单击<确定>按钮完成操作。
# 生成RSA密钥对。
l 在导航栏中选择“证书管理 > 证书”,单击<创建密钥>按钮,进行如下配置,如图1-24所示。
图1-24 生成RSA密钥对
l 单击<确定>按钮开始生成RSA密钥对。
# 获取CA证书至本地。
l 生成密钥对成功后,在“证书管理 > 证书”的页面单击<获取证书>按钮,进行如下配置,如图1-25所示。
图1-25 获取CA证书至本地
l 选择PKI域为“torsa”。
l 选择证书类型为“CA”。
l 单击<确定>按钮开始获取CA证书。
# 申请本地证书。
l 获取CA证书成功后,在“证书管理 > 证书”的页面单击<申请证书>按钮,进行如下配置,如图1-26所示。
l 选择PKI域为“torsa”。
l 选中“挑战码”前的单选按钮,输入挑战码为“challenge-word”。
l 单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框,单击<确定>安全完成操作。
# 获取CRL至本地。
l 在导航栏中选择“证书管理 > CRL”。
图1-27 获取CRL至本地
l 如图1-27所示,单击PKI域“torsa”对应的<获取CRL>按钮开始获取CRL。
完成上述配置后,可以在“证书管理 > 证书”中查看获取的CA证书和本地证书的详细信息;可以在“证书管理 > CRL”中查看获取的CRL文件的详细信息。
l 在Router A和Router B之间建立一个IPSec安全隧道对子网10.1.1.0/24上的Host A与子网11.1.1.0/24上的Host B之间的数据流进行安全保护。
l 在Router A和Router B之间使用IKE自动协商建立安全通信,IKE认证策略采用PKI证书体系的RSA证书签名方法进行身份认证。
l Router A和Router B使用不同的CA(可以相同,根据实际情况确定)。
图1-28 使用PKI进行IKE协商认证配置组网图
(1) 配置Router A
# 新建PKI实体。
l 在导航栏中选择“证书管理 > PKI实体”,单击<新建>按钮,进行如下配置,如图1-29所示。
l 输入PKI实体名称为“en”。
l 输入通用名为“router-a”。
l 输入实体IP地址为“2.2.2.1”。
l 单击<确定>按钮完成操作。
# 新建PKI域。
l 在导航栏中选择“证书管理 > PKI域”,单击<新建>按钮,进行如下配置,如图1-30所示。
l 输入PKI域名称为“1”。
l 输入CA标识符为“CA1”。
l 选择本端实体为“en”。
l 选择注册机构为“RA”。
l 输入证书申请URL为“http://1.1.1.100/certsrv/mscep/mscep.dll”(证书申请URL根据所使用的CA服务器的不同而有所不同,这里的配置只作为示例,请根据具体情况配置)。
l 输入LDAP服务器IP地址为“1.1.1.102”、端口为“389”,选择版本为“2”。
l 选择证书申请方式为“Manual”。
l 单击“高级设置”前的扩展按钮。
l 选中“启用CRl查询”前的复选框。
l 输入获取CRL的URL为“ldap://1.1.1.102”。
l 单击<确定>按钮,弹出的对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证”,再次单击<确定>按钮完成操作。
# 生成RSA密钥对。
l 在导航栏中选择“证书管理 > 证书”,单击<创建密钥>按钮,进行如下配置,如图1-31所示。
图1-31 生成RSA密钥对
l 单击<确定>按钮开始生成RSA密钥对。
# 获取CA证书至本地。
l 生成密钥对成功后,在“证书管理 > 证书”的页面单击<获取证书>按钮,进行如下配置,如图1-32所示。
图1-32 获取CA证书至本地
l 选择PKI域为“1”。
l 选择证书类型为“CA”。
l 单击<确定>按钮开始获取CA证书。
# 申请本地证书。
l 获取CA证书成功后,在“证书管理 > 证书”的页面单击<申请证书>按钮,进行如下配置,如图1-33所示。
l 选择PKI域为“1”。
l 单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框,单击<确定>安全完成操作。
# 配置IPsec连接。
l 在导航栏中选择“VPN > IPsec VPN”,默认进入“IPsec连接”页签的页面,单击<新建>按钮,进行如下配置,如图1-34所示。
l 输入IPsec连接名称为“con”。
l 选择接口为“Ethernet0/2”。
l 输入对端网关地址/主机名为“3.3.3.1”。
l 选择认证方式为“证书”,选择证书为“CN=router-a”。
l 选择筛选方式为“流量特征”。
l 输入源地址/通配符为“11.1.1.0/0.0.0.255”。
l 输入目的地址/通配符为“10.1.1.0/0.0.0.255”。
l 单击<确定>按钮完成操作。
(2) 配置Router B(Router B与Router A上配置的页面图相似,此处不再提供,请参见Router A配置中的页面图)
# 新建PKI实体。
l 在导航栏中选择“证书管理 > PKI实体”,单击<新建>按钮。
l 输入PKI实体名称为“en”。
l 输入通用名为“router-b”。
l 输入实体IP地址为“3.3.3.1”。
l 单击<确定>按钮完成操作。
# 新建PKI域。
l 在导航栏中选择“证书管理 > PKI域”,单击<新建>按钮。
l 输入PKI域名称为“1”。
l 输入CA标识符为“CA2”。
l 选择本端实体为“en”。
l 选择注册机构为“RA”。
l 输入证书申请URL为“http://2.1.1.100/certsrv/mscep/mscep.dll”(证书申请URL根据所使用的CA服务器的不同而有所不同,这里的配置只作为示例,请根据具体情况配置)。
l 输入LDAP服务器IP地址为“2.1.1.102”、端口为“389”,选择版本为“2”。
l 选择证书申请方式为“Manual”。
l 单击“高级设置”前的扩展按钮。
l 选中“启用CRl查询”前的复选框。
l 输入获取CRL的URL为“ldap://2.1.1.102”。
l 单击<确定>按钮完成操作,弹出的对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证”,再次单击<确定>按钮完成操作。
# 生成RSA密钥对。
l 在导航栏中选择“证书管理 > 证书”,单击<创建密钥>按钮。
l 单击<确定>按钮开始生成RSA密钥对。
# 获取CA证书至本地。
l 生成密钥对成功后,在“证书管理 > 证书”的页面单击<获取证书>按钮。
l 选择PKI域为“1”。
l 选择证书类型为“CA”。
l 单击<确定>按钮开始获取CA证书。
# 申请本地证书。
l 获取CA证书成功后,在“证书管理 > 证书”的页面单击<申请证书>按钮。
l 选择PKI域为“1”。
l 单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框,单击<确定>安全完成操作。
# 配置IPsec连接。
l 在导航栏中选择“VPN > IPsec VPN”,默认进入“IPsec连接”页签的页面,单击<新建>按钮。
l 输入IPsec连接名称为“con”。
l 选择接口为“Ethernet0/2”。
l 输入对端网关地址/主机名为“2.2.2.1”。
l 选择认证方式为“证书”,选择证书为“CN=router-b”。
l 选择筛选方式为“流量特征”。
l 输入源地址/通配符为“10.1.1.0/0.0.0.255”。
l 输入目的地址/通配符为“11.1.1.0/0.0.0.255”。
l 单击<确定>按钮完成操作。
配置PKI时需要注意如下事项:
(1) 申请本地证书时,必须保证实体时钟与CA的时钟同步,否则申请证书的有效期会出现异常。
(2) Windows 2000 CA服务器对证书申请的数据长度有一定的限制。PKI实体身份信息配置项超过一定数据长度时,申请证书没有回应。
(3) 当采用Windows Server作为CA时,需要安装SCEP插件。此时,配置PKI域时,需要指定注册机构为RA。
(4) 当采用RSA Keon软件作为CA时,不需要安装SCEP插件。此时,配置PKI域时,需要指定注册机构为CA。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
