• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 Web配置指导(E6411 R6609)-6W106

23-本地证书

本章节下载 23-本地证书  (497.58 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Operation_Manual/ACG1000_WCG(E6411_R6609)-6W106/202009/1334413_30005_0.htm

23-本地证书


1 本地证书

1.1  本地证书简介

本地证书包含本地用户证书,本地CA证书,CRL,以及CRL自动更新。本地用户证书是用于设备某些模块,如IPsec,在建立连接时,向远端设备进行身份验证;本地CA证书是用于设备在与远端设备建立连接时,对远端设备进行身份验证;CRL为远端设备的身份验证提供验证条件。

本功能具有如下功能点:

·     本地用户证书的管理和维护。

·     本地CA证书的管理和维护。

·     本地CRL的管理和维护。包括通过TFTP Server 进行CRL文件的管理和维护,以及自动获取CRL文件的配置管理。

1.2  本地用户证书

通过菜单“对象管理 > 本地证书 > 证书 > 本地证书”,进入如图1-1所示页面。在该页面上,可以导入、导出、删除、查看本地用户证书。

图1-1 本地用户证书页面

 

点击<导入>按钮,导入本地用户证书,如图1-2所示。各个配置项的含义如表1-1所示。

图1-2 导入本地用户证书

 

表1-1 导入证书各个配置项含义描述表

标题项

说明

上传证书类型

上传证书的类型,可以上传如下类型:

·     单个证书:PKCS12格式的证书,证书和密钥文件一体。

·     证书密钥分离:PEM格式的证书,证书文件和密钥文件分离。

证书文件

证书密钥分离格式的证书文件。

密钥文件

证书密钥分离格式的密钥文件。

有密钥文件的证书

单个证书格式的证书文件。

密码

单个证书格式证书的保护密码。

 

点击<提交>按钮,提交配置后,可以通过如图1-3所示的本地用户证书页面导出、查看、删除导入的用户证书。

图1-3 本地用户证书概览页面

 

点击<删除>按钮,可以删除选中的条目。

点击<详细信息>按钮,可以查看证书的详细信息。如图1-4所示。

图1-4 查看本地用户证书的详细信息

 

点击<导出>按钮,可以导出本地用户证书。如图1-5所示。

图1-5 导出本地用户证书页面

 

可以选择导出PKCS12格式的单个证书文件,或者PEM格式的证书密钥分离文件。

1.3  本地CA证书

通过菜单“对象管理 > 本地证书 > 证书 > CA”,进入如图1-6所示页面。在该页面上,可以导入、导出、删除、查看本地CA证书。

图1-6 本地CA证书页面

 

点击<导入>按钮,导入本地CA证书,如图1-7所示。各个配置项的含义如表1-2所示。

图1-7 导入本地CA证书

 

表1-2 导入证书各个配置项含义描述表

标题项

说明

上传文件

上传的CA证书文件,支持.cer、.pem格式的证书文件。

 

点击<提交>按钮,提交配置后,可以通过如图1-8所示的本地CA证书页面导出、查看、删除导入的CA证书。

图1-8 本地CA证书概览页面

 

点击<删除>按钮,可以删除选中的条目。

点击<详细信息>按钮,可以查看证书的详细信息。如图1-9所示。

图1-9 查看本地CA证书的详细信息

 

点击<导出>按钮,可以导出本地CA证书。

1.4  本地CRL

通过菜单“对象管理 > 本地证书 > 证书 > CRL”,进入如图1-10所示页面。在该页面上,可以导入、导出、删除、查看本地CRL文件。

图1-10 本地CRL文件页面

 

点击<导入>按钮,导入CRL文件,如图1-11所示。各个配置项的含义如表1-3所示。

图1-11 导入CRL文件

 

表1-3 导入CRL各个配置项含义描述表

标题项

说明

上传文件

上传的CRL文件,支持.crl格式的文件。

 

点击<提交>按钮,提交配置后,可以通过如图1-12所示的本地CRL页面导出、查看、删除导入的CRL文件。

图1-12 本地CRL文件概览页面

 

点击<删除>按钮,可以删除选中的条目。

点击<详细信息>按钮,可以查看CRL的详细信息。如图1-13所示。

图1-13 查看本地CRL文件的详细信息

 

点击<导出>按钮,可以导出本地CRL文件。

1.5  国密证书

通过菜单“对象管理 > 本地证书 > 证书 > 国密”,进入如1-14所示页面。在该页面可以新建、编辑、删除、查看本地国密配置

图1-14 本地国密页面

 

点击<导入>按钮,导入国密证书,如1-15所示。各个配置项的含义如1-4所示。

图1-15 导入国密证书配置页面

 

 

表1-4 导入国密证书各个配置项含义描述表

标题项

说明

上传证书类型

上传的CA证书文件,支持.cer、.pem格式的证书文件。

证书文件

证书密钥分离格式的证书文件。

密钥文件

证书密钥分离格式的密钥文件。

 

点击<提交>按钮,提交配置后,可以通过如1-16所示的本地国密页面导出、查看、删除导入的CRL文件。

图1-16 国密证书概览页面

 

点击<删除>按钮,可以删除选中的条目。

注意

国密证书不支持查看详细信息及导出,<详细信息>和<导出>按钮置灰。

 

1.6  自动获取CRL

通过菜单“对象管理 > 本地证书 > 证书 > 自动获取CRL”,进入如图1-17所示页面。在该页面上,可以新建、编辑、删除、查看自动获取CRL配置。

图1-17 自动获取CRL文件页面

 

点击<新建>按钮,新建自动获取CRL配置,如图1-18所示。各个配置项的含义如表1-5所示。

图1-18 新建自动获取CRL配置页面

 

表1-5 新建自动获取CRL各个配置项含义描述表

标题项

说明

名称

自动获取CRL文件的配置名称。

自动下载周期

自动获取CRL文件的周期。

协议类型

自动获取CRL使用的协议类型。

HTTP服务器URL

使用HTTP获取CRL时使用的URL。

LDAP服务器名称

使用LDAP获取CRL时使用的LDAP服务器名称。

 

点击<提交>按钮,提交配置后,可以通过如图1-19所示的页面编辑、删除、立即获取CRL文件。

图1-19 自动获取CRL文件配置概览页面

 

点击<编辑>按钮,可以编辑选中的条目。

点击<立即获取>按钮,可以立即从配置的服务器处获取CRL文件。

点击<删除>按钮,可以删除选中的条目。

注意

自动获取到的CRL文件将以配置条目名称命名。

 

1.7  典型配置举例

1.7.1  用户证书配置举例

1. 组网需求

通过浏览器,向设备导入本地用户证书。

·     Host与设备网络可达。

·     Host上存在用户证书。

2. 组网图

图1-20 用户证书组网图

 

3. 配置步骤

(1)     按图1-20所示组网。

(2)     进入本地用户证书页面,点击<导入>按钮,进入如图1-21所示页面,选择上传文件。

图1-21 导入本地用户证书

 

点击<提交>按钮,上传用户证书。

4. 验证配置

进入本地用户证书页面,查看上传的用户证书,如图1-22所示。

图1-22 查看上传的用户证书

 

1.7.2  自动获取CRL配置举例

1. 组网需求

根据自动获取配置,从CRL服务器自动获取CRL文件。

·     CRL服务器与设备网络可达。

·     CRL服务器上存在CRL证书。

2. 组网图

图1-23 自动获取CRL配置组网图

 

3. 配置步骤

(1)     按图1-23所示组网。

(2)     进入自动获取CRL配置页面,配置自动获取CRL。如图1-24所示。

图1-24 自动获取CRL配置

 

点击<提交>按钮,提交配置。

(3)     点击<立即获取>按钮,立刻获取CRL文件。

4. 验证配置

进入本地CRL页面,查看自动获取的CRL文件。如图1-25所示。

图1-25 自动获取CRL文件

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们