• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S1800G系列以太网交换机 用户手册-6W102

06-认证

本章节下载 06-认证  (443.47 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S1800/S1800G/Configure/User_Manual/H3C_S1800G_UM-6W102/201810/1119772_30005_0.htm

06-认证


1 用户

1.1  概述

用户模块提供了本地用户、用户组的配置功能。

1. 本地用户

本地用户是本地设备上设置的一组用户属性的集合。该集合以用户名为用户的唯一标识,可配置多种属性,比如用户密码、用户类型、服务类型、授权属性等。为使某个请求网络服务的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相应的表项。

2. 用户组

用户组是一个本地用户属性的集合,某些需要集中管理的授权属性可在用户组中统一配置和管理,用户组内的所有本地用户都可以继承这些属性。

每个新增的本地用户都默认属于一个系统自动创建的用户组system,且继承该组的所有属性,但本地用户的属性比用户组的属性优先级高。

1.2  配置用户

说明

本文档中,授权VLAN和授权ACL相关的功能,设备不支持。

 

1.2.1  配置本地用户

(1)     在导航栏中选择“认证 > 用户”,默认进入“本地用户”页签的页面,页面显示的是所有本地用户和来宾用户,如下图所示。

图1-1 本地用户

 

(2)     单击<新建>按钮,进入创建本地用户的配置页面,如下图所示。

图1-2 创建本地用户

 

(3)     配置本地用户,详细配置如下表所示。

(4)     单击<确定>按钮完成操作。

表1-1 本地用户的详细配置

配置项

说明

用户名

设置本地用户的名称

用户密码

设置本地用户的密码和确认密码

用户密码和确认密码必须一致

提示

输入的密码如果以空格开头,则开头的空格将被忽略

确认密码

加密方式

密码加密方式

·     可逆:能根据加密后的密文反算出原密码明文

·     不可逆:不能根据加密后的密文反算出原密码明文

用户组

设置本地用户所属的用户组

用户组的配置请参见“1.2.2  配置用户组

用户类型

设置本地用户的类型,包括普通用户、安全日志管理员、来宾管理员,目前设备仅支持普通用户的配置

授权等级

设置本地用户的授权等级,由低到高依次为Visitor、Monitor、Configure、Management

提示

授权等级只对服务类型为Web、FTP、Telnet和SSH的用户有效

服务类型

设置本地用户可以使用的服务类型,包括Web、FTP、Telnet和SSH

提示

·     服务类型是本地认证的检测项,如果没有用户可以使用的服务类型,则该用户无法正常认证通过

·     来宾管理员和安全日志管理员的服务类型为Web

过期时间

设置本地用户的有效截止时间

当指定了过期时间的用户进行本地认证时,接入设备检查当前系统时间是否在用户的过期时间内,若在过期时间内则允许用户登录,否则拒绝用户登录

授权VLAN

设置本地用户的授权VLAN ID

提示

授权VLAN只对服务类型为LAN-Access的用户有效

授权ACL

设置本地用户的授权ACL序号

提示

授权ACL只对服务类型为LAN-Access的用户有效

用户方案

设置本地用户的授权用户方案名称,目前设备暂不支持该配置

提示

授权用户方案只对服务类型为LAN-Access的用户有效

 

1.2.2  配置用户组

(1)     在导航栏中选择“认证 > 用户”。

(2)     单击“用户组”页签,进入用户组的显示页面,如下图所示。

图1-3 用户组

 

(3)     单击<新建>按钮,进入新建用户组的配置页面,如下图所示。

图1-4 新建用户组

 

(4)     配置用户组,详细配置如下表所示。

(5)     单击<确定>按钮完成操作。

表1-2 用户组的详细配置

配置项

说明

用户组名称

设置用户组的名称

访问等级

设置用户组的访问等级,由低到高依次为Visitor、Monitor、Configure、Management

授权VLAN

设置用户组的授权VLAN ID

授权ACL

设置用户组的授权ACL序号

用户方案

设置用户组的授权用户方案名称,目前设备暂不支持该配置

来宾用户可选

设置是否允许来宾用户加入该用户组,目前设备暂不支持该配置

提示

用户组system默认为来宾用户可选组,不可修改

 

 


2 证书管理

2.1  概述

PKI(Public Key Infrastructure,公钥基础设施)是通过使用公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。

PKI的功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥,为用户获取证书、访问证书和宣告证书作废提供了方便的途径。同时利用数字证书及相关的各种服务(证书发布、黑名单发布等)实现通信过程中各实体的身份认证,保证了通信数据的机密性、完整性和不可否认性。

2.1.1  相关术语

1. 数字证书

数字证书是一个经证书授权中心数字签名的、包含公开密钥及相关的用户身份信息的文件。最简单的数字证书包含一个公开密钥、名称及证书授权中心的数字签名。一般情况下数字证书中还包括密钥的有效时间、发证机关(证书授权中心)的名称和该证书的序列号等信息,证书的格式遵循ITU-T X.509国际标准。本手册中涉及两类证书:本地(local)证书和CA(Certificate Authority)证书。本地证书为CA签发给实体的数字证书;CA证书也称为根证书,为CA“自签”的数字证书。

2. 证书废除列表(CRL,Certificate Revocation List)

由于用户姓名的改变、私钥泄漏或业务中止等原因,需要存在一种方法将现行的证书撤消,即撤消公开密钥及相关的用户身份信息的绑定关系。在PKI中,所使用的这种方法为证书废除列表。任何一个证书被废除以后,CA就要发布CRL来声明该证书是无效的,并列出所有被废除的证书的序列号。CRL提供了一种检验证书有效性的方式。

当一个CRL的撤消信息过多时会导致CRL的发布规模变得非常庞大,且随着CRL大小的增加,网络资源的使用性能也会随之下降。为了避免这种情况,允许一个CA的撤消信息通过多个CRL发布出来。CRL片断也称为CRL发布点。

3. CA策略

CA在受理证书请求、颁发证书、吊销证书和发布CRL时所采用的一套标准被称为CA策略。通常,CA以一种叫做证书惯例声明(CPS,Certification Practice Statement)的文档发布其策略,CA策略可以通过带外(如电话、磁盘、电子邮件等)或其他方式获取。由于不同的CA使用不同的方法验证公开密钥与实体之间的绑定,所以在选择信任的CA进行证书申请之前,必须理解CA策略,从而指导对实体进行相应的配置。

2.1.2  体系结构

一个PKI体系由终端实体、证书机构、注册机构和PKI存储库四类实体共同组成,如下图所示。

图2-1 PKI体系结构图

 

1. 终端实体

终端实体是PKI产品或服务的最终使用者,可以是个人、组织、设备(如路由器、交换机)或计算机中运行的进程。

2. 证书机构(CA,Certificate Authority)

CA是PKI的信任基础,是一个用于签发并管理数字证书的可信实体。其作用包括:发放证书、规定证书的有效期和通过发布CRL确保必要时可以废除证书。

3. 注册机构(RA,Registration Authority)

证书申请的受理一般由一个独立的注册机构(即RA)来承担。RA功能包括:审查用户的申请资格,并决定是否同意CA给其签发数字证书;管理CRL;产生和备份密钥对等。注册机构并不给用户签发证书,而只是对用户进行资格审查。有时PKI把注册管理的职能交给CA来完成,而不设立独立运行的RA,但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理的任务,这样可以增强应用系统的安全性。

4. PKI存储库

PKI存储库包括LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)服务器和普通数据库,用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理,并提供一定的查询功能。

LDAP提供了一种访问PKI存储库的方式,通过该协议来访问并管理PKI信息。LDAP服务器负责将RA服务器传输过来的用户信息以及数字证书进行存储,并提供目录浏览服务。用户通过访问LDAP服务器获取自己和其他用户的数字证书。

2.1.3  主要应用

PKI技术的广泛应用能满足人们对网络交易安全保障的需求。作为一种基础设施,PKI的应用范围非常广泛,并且在不断发展之中,下面给出几个应用实例。

1. 虚拟专用网络(VPN,Virtual Private Network)

VPN是一种构建在公用通信基础设施上的专用数据通信网络,利用网络层安全协议(如IPSec)和建立在PKI上的加密与数字签名技术来获得机密性保护。

2. 安全电子邮件

电子邮件的安全也要求机密、完整、认证和不可否认,而这些都可以利用PKI技术来实现。目前发展很快的安全电子邮件协议S/MIME(Secure/Multipurpose Internet Mail Extensions,安全/多用途Internet邮件扩充协议),是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。

3. Web安全

为了透明地解决Web的安全问题,在两个实体进行通信之前,先要建立SSL(Secure Sockets Layer,安全套接字层)连接,以此实现对应用层透明的安全通信。利用PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外,服务器端和浏览器端通信时双方可以通过数字证书确认对方的身份。

2.1.4  PKI的工作过程

针对一个使用PKI的网络,配置PKI的目的就是为指定的实体向CA申请一个本地证书,并由设备对证书的有效性进行验证。下面是PKI的工作过程:

(1)     实体向CA提出证书申请;

(2)     RA审核实体身份,将实体身份信息和公开密钥以数字签名的方式发送给CA;

(3)     CA验证数字签名,同意实体的申请,颁发证书;

(4)     RA接收CA返回的证书,发送到LDAP服务器以提供目录浏览服务,并通知实体证书发行成功;

(5)     实体获取证书,利用该证书可以与其它实体使用加密、数字签名进行安全通信;

(6)     实体希望撤消自己的证书时,向CA提交申请。CA批准实体撤消证书,并更新CRL,发布到LDAP服务器。

2.2  配置PKI

2.2.1  配置概述

PKI证书的申请方式有两种:

·     手动申请证书方式:需要手工完成获取CA证书、生成密钥对、申请本地证书的工作。

·     自动申请证书方式:在没有本地证书时实体自动通过SCEP协议进行申请,而且在证书即将过期时自动申请新的证书并获取至本地。

证书申请的方式可在PKI域中进行配置。根据证书申请方式的不同,PKI的配置步骤也不同。

1. 手动申请证书方式

手动申请证书方式下PKI配置的推荐步骤如下表所示。

表2-1 PKI配置步骤(手动申请证书方式)

步骤

配置任务

说明

1

2.2.2  新建PKI实体

必选

新建实体并配置实体的身份信息参数

一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联,实体DN(Distinguished Name,识别名)的参数是实体的身份信息,CA根据实体提供的身份信息来唯一标识证书申请者

实体DN的配置必须与CA证书颁发策略相匹配,以确认实体DN的配置任务,如哪些实体参数为必选配置,哪些为可选配置。申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败

2

2.2.3  新建PKI域

必选

新建PKI域,配置证书申请方式为“Manual”

实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域

PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息

3

2.2.4  生成RSA密钥对

必选

配置生成本地RSA密钥对

缺省情况下,本地没有RSA密钥对

密钥对的产生是证书申请过程中重要的一步。申请过程使用了一对主机密钥:私钥和公钥。私钥由用户保留,公钥和其他信息则交由CA中心进行签名,从而产生证书

提示

若本地证书已存在,为保证密钥对与现存证书的一致性,必须在删除本地证书后,再生成新的密钥对

4

2.2.6  获取证书

必选

将CA证书获取至本地,详细配置请参见“2.2.6  获取证书

获取证书的目的是:

·     将CA签发的与实体所在安全域有关的证书存放到本地,以提高证书的查询效率,减少向PKI证书存储库查询的次数

·     为证书的验证做好准备

提示

如果本地已有CA证书存在,则不允许再执行获取CA证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书后,再重新获取

5

2.2.7  申请本地证书

必选

证书申请就是实体向CA自我介绍的过程,实体向CA提供身份信息和相应的公钥,这些信息将成为颁发给该实体证书的主要组成部分

申请本地证书有在线和离线两种方式:

·     在线申请成功后,会自动将本地证书获取至本地

·     离线申请成功后,需要用户通过离线方式将本地证书获取至本地

提示

如果本地已有本地证书存在,则不允许再执行申请本地证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书,再重新申请

6

2.2.5  销毁RSA密钥对

可选

销毁设备上已存在的RSA密钥对和对应的本地证书

如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的密钥对销毁,否则无法成功获取证书

7

2.2.6  获取证书

可选

将已存在的证书获取至本地

8

2.2.8  获取和查看CRL

可选

获取CRL至本地,获取后可以查看CRL的内容

 

2. 自动申请证书方式

自动申请证书方式下PKI配置的推荐步骤如下表所示。

表2-2 PKI配置步骤(自动申请证书方式)

步骤

配置任务

说明

1

2.2.2  新建PKI实体

必选

新建实体并配置实体的身份信息参数

一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联,实体DN(Distinguished Name,识别名)的参数是实体的身份信息,CA根据实体提供的身份信息来唯一标识证书申请者

实体DN的配置必须与CA证书颁发策略相匹配,以确认实体DN的配置任务,如哪些实体参数为必选配置,哪些为可选配置。申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败

2

2.2.3  新建PKI域

必选

(配置“证书申请方式”为“自动”)

实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域

PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息

3

2.2.5  销毁RSA密钥对

可选

销毁设备上已存在的RSA密钥对和对应的本地证书

如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的密钥对销毁,否则无法成功获取证书

4

2.2.6  获取证书

可选

将已存在的证书获取至本地

5

2.2.8  获取和查看CRL

可选

获取CRL至本地,获取后可以查看CRL的内容

 

2.2.2  新建PKI实体

(1)     在导航栏中选择“认证 > 证书管理”,默认进入“PKI实体”页签的页面,如下图所示。

图2-2 PKI实体

 

(2)     单击<新建>按钮,进入新建PKI实体的配置页面,如下图所示。

图2-3 新建PKI实体

 

(3)     进行新建PKI实体的配置,详细配置如下表所示。

(4)     单击<确定>按钮完成操作。

表2-3 新建PKI实体的详细配置

配置项

说明

PKI实体名称

设置要新建的PKI实体的名称

通用名

设置实体的通用名,比如用户名称

实体IP地址

设置实体的IP地址

FQDN

设置实体的FQDN(Fully Qualified Domain Name,完全合格域名)

FQDN是实体在网络中的唯一标识,由一个主机名和域名组成,可被解析为IP地址。例如,www是一个主机名,whatever.com是一个域名,则www.whatever.com就是一个FQDN

国家/地区

设置实体所属的国家或地区代码

州省

设置实体所属的州省

地理区域

设置实体所在地理区域的名称

组织

设置实体所属组织的名称

部门

设置实体所属部门的名称

 

2.2.3  新建PKI域

(1)     在导航栏中选择“认证 > 证书管理”。

(2)     单击“PKI域”页签,进入PKI域的显示页面,如下图所示。

图2-4 PKI

 

(3)     单击<新建>按钮,进入新建PKI域的配置页面。

(4)     单击“高级设置”前的扩展按钮,进入如下图所示页面。

图2-5 新建PKI

 

(5)     进行新建PKI域的配置,详细配置如下表所示。

(6)     单击<确定>按钮完成操作。

表2-4 新建PKI域的详细配置

配置项

说明

PKI域名称

设置要新建的PKI域的名称

CA标识符

设置设备信任的CA标识符

在申请证书时,是通过一个可信实体认证机构,来完成实体证书的注册颁发,因此必须指定一个信任的CA名称,将设备与该CA进行绑定,该设备证书的申请、获取、废除及查询均通过该CA执行

当采用离线方式申请证书时,此项可以不配置,否则必须配置

本端实体

设置本端PKI实体名称

向CA发送证书申请请求时,必须指定所使用的实体名,以向CA表明自己的身份

可选的PKI实体名称需通过新建PKI实体来配置

注册机构

设置证书申请的注册审理机构

·     CA:表示由CA来完成注册机构的功能

·     RA:表示有独立的RA作为注册审理机构

PKI推荐独立使用RA作为注册审理机构

证书申请URL

设置注册服务器的URL

证书申请之前必须指定注册服务器的URL,随后实体可通过简单证书注册协议(SCEP,Simple Certification Enrollment Protocol)向该服务器提出证书申请,SCEP是专门用于与认证机构进行通信的协议

当采用离线方式申请证书时,此项可以不配置,否则必须配置

提示

目前,注册服务器URL的配置不支持域名解析

LDAP服务器IP地址

设置LDAP服务器的IP地址、端口号和版本号

要获取本地证书,必须正确配置LDAP服务器

端口

版本

证书申请方式

设置在线证书申请的方式,有手动和自动两种方式

挑战码

证书申请方式选择“Auto”时,设置挑战码,即撤销证书时使用的密码

输入的挑战码和确认挑战码必须一致

确认挑战码

根证书指纹散列算法

设置验证CA根证书时所使用的指纹

当设备从CA获得根证书时,需要验证CA根证书的指纹,即根证书内容的散列值,该值对于每一个证书都是唯一的。如果CA根证书的指纹与在PKI域中配置的指纹不同,则设备将拒绝接收根证书

·     当根证书指纹散列算法选择“MD5”时,使用MD5指纹验证CA根证书,输入的根证书指纹必须为32个字符,并且以16进制的形式输入

·     当根证书指纹散列算法选择“SHA1”时,使用SHA1指纹验证CA根证书,输入的根证书指纹必须为40个字符,并且以16进制的形式输入

·     当根证书指纹散列算法选择空时,将不对根证书指纹进行验证,需要用户自行确认CA服务器是否可信

提示

当证书申请方式选择“Auto”时,必须设置验证根证书时所使用的指纹;当证书申请方式选择“Manual”时,可以不设置验证根证书时所使用的指纹,则在获取CA证书时将不对根证书指纹进行验证,需要用户自行确认CA服务器是否可信

根证书指纹

证书查询次数

设置客户端发送证书申请状态查询的周期和每个周期内发送查询的次数

实体在发送证书申请后,如果CA采用手工验证申请,证书的发布会需要很长时间。在此期间,客户端需要定期发送状态查询,以便在证书签发后能及时获取到证书

证书查询间隔

启用CRL查询

设置在证书验证时是否进行CRL检查

CRL更新间隔

启用CRL查询时,设置CRL更新间隔,即使用证书的PKI实体从CRL存储服务器下载CRL的时间间隔

缺省情况下,CRL的更新间隔由CRL文件中的下次更新域决定

获取CRL的URL

启用CRL查询时,设置CRL发布点的URL,支持IP地址和DNS域名两种表示方式

需要注意的是,未配置CRL发布点的URL时,通过SCEP协议获取CRL,该操作在获取CA证书和本地证书之后进行

 

2.2.4  生成RSA密钥对

(1)     在导航栏中选择“认证 > 证书管理”。

(2)     单击“证书”页签,进入PKI证书的显示页面,如下图所示。

图2-6 证书

 

(3)     单击页面上的<创建密钥>按钮,进入生成RSA密钥对的配置页面,如下图所示。

图2-7 创建密钥

 

(4)     进行生成RSA密钥对的配置,详细配置如下表所示。

(5)     单击<确定>按钮完成操作。

表2-5 生成RSA密钥对的详细配置

配置项

说明

密钥长度

设置RSA密钥的长度

 

2.2.5  销毁RSA密钥对

(1)     在导航栏中选择“认证 > 证书管理”。

(2)     单击“证书”页签,进入PKI证书的显示页面,如图2-6所示。

(3)     单击页面上的<销毁密钥>按钮,进入销毁RSA密钥对的配置页面,如下图所示。

(4)     单击<确定>按钮将销毁设备上已存在的RSA密钥对和对应的本地证书。

图2-8 销毁密钥

 

2.2.6  获取证书

用户通过此配置可以将已存在的CA证书或本地证书获取至本地。获取证书有两种方式:离线方式和在线方式。离线方式下获取证书需要通过带外方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地。成功获取到本地的证书被保存在设备的根目录下,文件名称为domain-name_ca.cer(CA证书)、domain-name_local.cer(本地证书)。

(1)     在导航栏中选择“认证 > 证书管理”。

(2)     单击“证书”页签,进入PKI证书的显示页面,如图2-6所示。

(3)     单击页面上的<获取证书>按钮,进入获取PKI证书的配置页面,如下图所示。

图2-9 获取证书设置

 

(4)     进行获取PKI证书的配置,详细配置如下表所示。

表2-6 获取PKI证书的详细配置

配置项

说明

PKI域名称

设置证书所在的PKI域

证书类型

设置要获取的证书的为CA证书或Local证书

启用离线方式

设置是否启用离线方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地

选中“启用离线方式”前的复选框后,可以显示下面的配置项

从设备取得文件

设置要导入的证书文件的存放路径和文件名

·     当证书文件保存在设备上时,选择“从设备取得文件”,并选择证书文件在设备上的存放路径和文件名。如果不指定具体的文件,则默认为设备根目录下名为domain-name_ca.cer(CA证书)或domain-name_local.cer(本地证书)的文件

·     当证书文件保存在本地主机上时,选择“从PC取得文件”,并设置证书文件在PC上的存放路径和文件名,以及文件上传到设备后存放在哪个分区

从PC取得文件

口令

设置导入证书的口令,该口令在导出证书时指定,用于保护私钥的口令

 

(5)     获取证书后,可以在PKI证书的显示页面,单击指定证书对应的<查看证书>按钮,查看证书的详细信息,如下图所示。证书详细信息各字段的说明如下表所示。

图2-10 查看证书的详细信息

 

表2-7 证书详细信息的说明

字段

说明

Version

证书版本号

Serial Number

证书序列号

Signature Algorithm

签名算法

Issuer

证书颁发者

Validity

证书有效期

Subject

证书申请实体

Subject Public Key Info

申请实体公钥信息

X509v3 extensions

X509版本3格式证书扩展属性

X509v3 CRL Distribution Points

X509版本3格式CRL发布点

 

2.2.7  申请本地证书

(1)     在导航栏中选择“认证 > 证书管理”,单击“证书”页签。

(2)     进入PKI证书的显示页面,如图2-6所示。

(3)     单击页面上的<申请证书>按钮,进入申请本地证书的配置页面,如下图所示。

图2-11 申请证书设置

 

(4)     进行申请本地证书的配置,详细配置如下表所示。

表2-8 申请本地证书的详细配置

配置项

说明

PKI域名称

设置证书所在的PKI域

挑战码

设置挑战码,即撤销证书时使用的密码

启用离线方式

设置是否启用离线方式(如电话、磁盘、电子邮件等)申请本地证书

 

(5)     单击<确定>按钮。此时,如果采用在线方式申请证书,则会弹出提示框“证书申请已提交。”,再次单击<确定>按钮完成操作;如果采用离线方式申请证书,则页面上将显示离线申请证书的信息,如下图所示,用户可以将这些信息通过带外方式发送给CA进行证书申请。

图2-12 离线申请证书的信息

 

2.2.8  获取和查看CRL

(1)     在导航栏中选择“认证 > 证书管理”。

(2)     单击“CRL”页签,进入CRL的显示页面,如下图所示。

图2-13 CRL

 

(3)     在列表中单击指定PKI域对应的操作列的<获取CRL>按钮,可将CRL获取到本地。

(4)     获取CRL后,在列表中单击指定PKI域对应的操作列的<查看CRL>按钮,可查看CRL的详细信息,如下图所示。CRL详细信息各字段的说明如下表所示。

图2-14 查看CRL的详细信息

 

表2-9 CRL详细信息的说明

字段

说明

Version

CRL版本号

Signature Algorithm

CRL采用的签名算法

Issuer

颁发该CRL的CA

Last Update

上次更新时间

Next Update

下次更新时间

CRL extensions

CRL扩展属性

X509v3 CRL Number

CRL序列号

X509v3 Authority Key Identifier

发布该无效证书的CA标识符,证书版本为X509v3

keyid

公钥标识符

一个CA可能有多个密钥对,该字段用于标识该CRL的签名使用哪个密钥对

No Revoked Certificates.

没有被撤销的证书

 

2.3  PKI典型配置举例

2.3.1  PKI实体向CA申请证书

1. 组网需求

在作为PKI实体的设备Switch上进行相关配置,实现以下需求:

·     Switch向CA服务器申请本地证书,CA服务器上采用RSA Keon软件。

·     获取CRL为证书验证做准备。

图2-15 PKI实体向CA申请证书组网图

 

2. 配置CA服务器

(1)     创建CA服务器myca。

在本例中,CA服务器上首先需要进行基本属性Nickname和Subject DN的配置。其它属性选择默认值。其中,Nickname为可信任的CA名称,Subject DN为CA的DN属性,包括CN、OU、O和C。

(2)     配置扩展属性。

基本属性配置完毕之后,还需要在生成的CA服务器管理页面上对“Jurisdiction Configuration”进行配置,主要内容包括:根据需要选择合适的扩展选项;启动自动颁发证书功能;添加可以自动颁发证书的地址范围。

(3)     配置CRL发布。

CA服务器的基本配置完成之后,需要进行CRL的相关配置。

本例中选择CRL的发布方式为HTTP,自动生成CRL发布点的URL为http://4.4.4.133:447/myca.crl。

说明

以上配置完成之后,还需要保证设备的系统时钟与CA的时钟同步才可以正常使用设备来申请证书和获取CRL。

 

3. 配置Switch

(1)     新建PKI实体。

步骤1:在导航栏中选择“认证 > 证书管理”,默认进入“PKI实体”页签的页面。

步骤2:单击<新建>按钮,进入新建PKI实体的配置页面。

步骤3:进行如下配置,如下图所示。

·     输入PKI实体名称为“aaa”。

·     输入通用名为“ac”。

步骤4:单击<确定>按钮完成操作。

图2-16 新建PKI实体

 

(2)     新建PKI域。

步骤1:单击“PKI域”页签。

步骤2:单击<新建>按钮,进入新建PKI域的配置页面。

步骤3:进行如下配置,如下图所示。

·     输入PKI域名称为“torsa”。

·     输入CA标识符为“myca”。

·     选择本端实体为“aaa”。

·     选择注册机构为“CA”。

·     以“http://host:port/Issuing Jurisdiction ID”(其中的Issuing Jurisdiction ID为CA服务器上生成的16进制字符串)的格式输入证书申请URL为“http://4.4.4.133:446/c95e970f632d27be5e8cbf80e971d9c4a9a93337”。

·     选择证书申请方式为“Manual”。

·     单击“高级设置”前的扩展按钮。

·     选中“启用CRl查询”前的复选框。

·     输入获取CRL的URL为“http://4.4.4.133:447/myca.crl”。

步骤4:单击<确定>按钮,页面弹出对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”。

步骤5:单击<确定>按钮,关闭弹出的对话框,完成操作。

图2-17 新建PKI

 

(3)     生成RSA密钥对。

步骤1:单击“证书”页签,进入证书的配置页面。

步骤2:单击<创建密钥>按钮。

步骤3:输入密钥长度为“1024”,如下图所示。

步骤4:单击<确定>按钮开始生成RSA密钥对。

图2-18 生成RSA密钥对

 

(4)     获取CA证书至本地。

步骤1:生成密钥对成功后,单击<获取证书>按钮。

步骤2:进行如下配置,如下图所示。

·     选择PKI域为“torsa”。

·     选择证书类型为“CA”。

步骤3:单击<确定>按钮开始获取CA证书。

图2-19 获取CA证书至本地

 

(5)     申请本地证书。

步骤1:获取CA证书成功后,单击<申请证书>按钮。

步骤2:进行如下配置,如下图所示。

·     选择PKI域为“torsa”。

·     选中“挑战码”前的单选按钮,输入挑战码为“challenge-word”。

步骤3:单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框。

步骤4:单击提示框中的<确定>按钮完成操作。

图2-20 申请证书设置

 

 

(6)     获取CRL至本地。

步骤1:单击“CRL”页签。

步骤2:单击PKI域“torsa”对应的<获取CRL>按钮开始获取CRL,如下图所示。

图2-21 获取CRL至本地

 

4. 配置结果验证

完成上述配置后,可以在“证书”页签的页面中查看获取的CA证书和本地证书的详细信息;可以在“CRL”页签的页面中查看获取的CRL文件的详细信息。

2.4  注意事项

配置PKI时需要注意如下事项:

(1)     申请本地证书时,必须保证实体时钟与CA的时钟同步,否则申请证书的有效期会出现异常。

(2)     Windows 2000 CA服务器对证书申请的数据长度有一定的限制。PKI实体身份信息配置项超过一定数据长度时,申请证书没有回应。

(3)     当采用Windows Server作为CA时,需要安装SCEP插件。此时,配置PKI域时,需要指定注册机构为RA。

(4)     当采用RSA Keon软件作为CA时,不需要安装SCEP插件。此时,配置PKI域时,需要指定注册机构为CA。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们