登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

04-系统管理配置指导

目录

02-本地证书配置指导

本章节下载 02-本地证书配置指导  (203.72 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Operation_Manual/H3C_ACG1000_CG(E6401_E6451)-6W106/04/202009/1334546_30005_0.htm

02-本地证书配置指导

目录

1 本地证书

1.1 本地证书简介

1.2 本地证书组网模式

1.2.1 本地证书组网模式

1.2.2 自动获取CRL组网模式

1.3 配置本地证书

1.3.1 配置本地用户证书

1.3.2 配置本地CA证书

1.3.3 配置CRL

1.3.4 配置自动获取CRL

1.4 本地证书显示和维护

1.5 本地证书典型配置举例

1.5.1 用户证书配置举例

1.5.2 CA证书配置举例

1.5.3 CRL配置举例

1.5.4 自动获取CRL配置举例

 

1 本地证书

1.1  本地证书简介

本地证书包含本地用户证书,本地CA证书,CRL,以及CRL自动更新。本地用户证书是用于设备某些模块,如IPsec,在建立连接时,向远端设备进行身份验证;本地CA证书是用于设备在与远端设备建立连接时,对远端设备进行身份验证;CRL为远端设备的身份验证提供验证条件。

本功能具有如下功能点:

·     本地用户证书的管理和维护。

·     本地CA证书的管理和维护。

·     本地CRL的管理和维护。包括通过TFTP Server进行CRL文件的管理和维护,以及自动获取CRL文件的配置管理。

1.2  本地证书组网模式

1.2.1  本地证书组网模式

设备与网络可达的TFTP服务器相连,实现证书的导入、导出操作。如图1-1所示。

图1-1 本地证书组网图

 

·     设备可以通过TFTP Server导入、导出本地用户证书。

·     设备可以通过TFTP Server导入、导出本地CA证书。

·     设备可以通过TFTP Server导入、导出本地CRL文件。

1.2.2  自动获取CRL组网模式

设备通过与远端CRL服务器建立网络连接,获取CRL文件。如图1-2所示。

图1-2 自动获取CRL组网图

 

设备通过自动获取CRL的配置,从远端CRL Server获取CRL文件。

1.3  配置本地证书

1.3.1  配置本地用户证书

表1-1所示步骤配置用户证书:

表1-1 配置用户证书

操作

命令

说明

导入单证书文件格式的证书

pki local certificate pkcs12 import tftpip-addresscertificate-namepassword

必选

导入证书密钥分离格式的证书

pki local certificate cert_key import tftpip-addresscertificate-name key-name password

必选

用户证书导出

pki local certificate export tftpip-addresscertificate-name{p12|pem}password

必选

 

1.3.2  配置本地CA证书

表1-2所示步骤配置本地CA证书:

表1-2 配置本地CA证书

操作

命令

说明

本地CA证书导入

pki local ca import tftpip-addresscertificate-name

必选

本地CA证书导出

pki local ca export tftpip-addresscertificate-name

必选

 

1.3.3  配置CRL

表1-3所示步骤配置CRL:

表1-3 配置CRL

操作

命令

说明

本地CRL文件导入

pki local crl import tftpip-address crl-name

必选

本地CRL文件导出

pki local crl export tftpip-address crl-name

必选

 

1.3.4  配置自动获取CRL

表1-4所示步骤配置自动获取CRL:

表1-4 用户证书配置

操作

命令

说明

进入系统视图

system-view

配置自动获取CRL

pki local crl auto-getname interval-time [http-url|ldap-server]server

必选

 

注意

·     自动获取到的CRL文件将以配置条目名称命名。

·     interval-time是自动获取的时间间隔,范围为1到720小时。

 

1.4  本地证书显示和维护

完成上述配置后,在任意视图下执行display命令可以显示配置后本地证书的运行情况,通过查看显示信息验证配置的效果。

表1-5 本地证书显示和维护

操作

命令

显示用户证书配置

displaypki local certificate [certificate-name]

显示CA配置

displaypki local ca[certificate-name]

显示CRL配置

displaypki local crl[crl-name]

显示自动获取CRL配置

displaypki local crl auto-get

 

1.5  本地证书典型配置举例

1.5.1  用户证书配置举例

1. 组网需求

通过TFTP服务器,向设备导入本地用户证书。

·     TFTP Server与设备网络可达。

·     TFTP Server上存在用户证书。

图1-3 用户证书组网图

 

2. 配置步骤

# 配置导入本地用户证书。

host# pki local certificate cert_key import tftp 192.168.1.2 test.cer test.key

#提示如下信息。

Download file test.cer ....

Download file(test.cer) success.

 

Download file test.key ....

Download file(test.key) success.

3. 验证配置

在设备上执行displaypki local certificate test.cer命令查看导入成功的用户证书。

host# display pki local certificate test.cer

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number: 18213662865011930356 (0xfcc3ede027c274f4)

    Signature Algorithm: sha1WithRSAEncryption

        Issuer: C=CN, O=OR, ST=PRO, CN=test_ca, L=LOCATION, OU=DE

        Validity

            Not Before: Jun 20 03:41:38 2014 GMT

            Not After : Jun 30 03:41:38 2014 GMT

        Subject: C=CN, O=or, CN=test, L=location, ST=province, OU=test

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                Public-Key: (1024 bit)

                Modulus:

                    00:97:84:b1:5d:fe:d0:18:0c:87:b5:b3:92:44:8f:

                    ca:76:19:14:5a:25:3b:8a:4d:60:3a:b6:90:c1:ad:

                    a0:87:fe:ca:e1:a3:67:89:c2:cb:28:62:da:5b:5b:

fc:10:a9:4c:00:f8:9e:d7:dd:34:26:74:89:05:b7:

                    3e:ce:0e:67:d8:65:f3:55:0f:11:ec:de:49:67:ad:

                    0c:82:cc:e2:58:06:af:ed:41:66:8e:15:11:f9:6c:

                    3a:77:4b:70:69:c5:9b:7a:64:ad:51:03:3e:69:b2:

                    90:ef:25:07:ce:1b:0a:d7:f0:8d:e1:d6:91:0c:49:

                    a8:1f:0b:58:03:f3:0f:e4:ab

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Key Usage:

                Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment

            X509v3 Extended Key Usage:

                TLS Web Server Authentication, TLS Web Client Authentication, E-mail Protection, Code Signing, Microsoft Server Gated Crypto, OCSP Signing, Time Stamping, dvcs

    Signature Algorithm: sha1WithRSAEncryption

         80:7e:fc:79:2a:86:ba:22:8c:e0:0f:94:37:58:29:b7:28:73:

         91:e8:6a:54:18:8d:ce:41:61:87:80:92:70:94:1d:a0:a5:64:

         f8:85:7e:17:46:80:07:6b:68:d0:67:cd:57:4b:49:fa:8f:69:

         48:8b:b0:58:8d:43:fd:aa:f6:71:47:59:6d:68:7f:42:da:ca:

         f9:d8:d4:bd:eb:99:52:ca:12:e0:c1:c8:b6:a9:84:d2:63:7e:

         2d:05:d6:6b:00:67:67:3b:52:90:9d:35:e9:53:b2:fc:8e:ce:

         22:f3:c3:4a:52:56:fb:7c:16:e1:c8:69:04:eb:dc:65:04:74:

         25:5e

1.5.2  CA证书配置举例

1. 组网需求

通过TFTP服务器,导入本地CA证书。

·     TFTP Server与设备网络可达。

·     TFTP Server上存在CA证书。

图1-4 CA证书配置组网图

 

2. 配置步骤

# 配置导入本地CA证书。

host# pki local ca import tftp 192.168.1.2 test_ca.cer

#提示如下信息。

Upload file test_ca.cer ....

Upload file(test_ca.cer) success.

3. 验证配置

在设备上执行displaypki local ca test_ca.cer命令查看签发成功的CA证书。

host# display pki local ca test_ca.cer

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number: 15356771495294948776 (0xd51e364fb1e655a8)

    Signature Algorithm: sha1WithRSAEncryption

        Issuer: C=CN, O=OR, ST=PRO, CN=test_ca, L=LOCATION, OU=DE

        Validity

            Not Before: Jun 20 03:16:47 2014 GMT

            Not After : Jul 10 03:16:47 2014 GMT

        Subject: C=CN, O=OR, ST=PRO, CN=test_ca, L=LOCATION, OU=DE

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                Public-Key: (1024 bit)

                Modulus:

                    00:c9:db:1e:45:66:2d:b5:6c:06:a0:79:62:4d:6c:

ce:92:4b:16:89:3b:5a:0a:62:b7:d6:7b:68:ab:f8:

ac:1c:3d:04:2f:0f:7f:fa:9a:69:4e:09:8f:9d:e2:

                    a1:35:67:44:58:c5:8d:14:fa:36:6f:c5:0f:b3:9b:

                    01:7e:1d:00:dc:44:ad:4a:34:16:1f:e9:af:1d:62:

                    6a:68:cb:e1:d9:30:e7:e2:0e:59:e7:ed:48:3d:83:

                    75:4e:12:df:90:35:0d:22:5c:7a:35:69:f7:33:ab:

                    39:58:68:ae:d7:71:55:65:36:53:f1:b4:09:3f:71:

                    c1:c0:66:0d:19:a2:e1:69:eb

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Basic Constraints: critical

                CA:TRUE

            X509v3 Key Usage: critical

                Digital Signature, Certificate Sign, CRL Sign

    Signature Algorithm: sha1WithRSAEncryption

         2d:cb:0a:a8:d5:20:c7:f9:94:16:20:14:48:8d:26:40:ac:01:

         8e:e1:42:f6:17:28:48:7a:56:d5:67:24:81:60:5e:e4:60:46:

         13:64:5b:8b:f1:87:b1:f1:04:3e:63:7f:eb:79:61:43:91:1f:

         06:0f:b5:e7:a5:d4:04:be:6a:93:46:70:90:c4:af:a5:61:67:

         9d:1b:b1:39:e0:ca:17:58:3e:33:3b:48:71:80:dd:23:9b:94:

         34:f7:6b:6b:60:ee:fd:cc:dc:61:63:c5:c1:52:37:95:05:b1:

         d8:14:85:65:8a:71:61:f4:19:9f:66:fd:39:de:a5:a7:c0:d4:

         88:d0

1.5.3  CRL配置举例

1. 组网需求

通过TFTP服务器,导入本地CRL文件。

·     TFTP Server与设备网络可达。

·     TFTP Server上存在CRL证书。

图1-5 CRL配置组网图

 

2. 配置步骤

# 配置导入CRL文件。

host# pki local crl import tftp 192.168.1.2test_ca.crl

#提示如下信息。

Upload file test_ca.crl ....

Upload file(test_ca.crl) success.

3. 验证配置

在设备上执行displaypki local crltest_ca.crl查看签发成功的CRL证书。

host# display pki local crltest_ca.crl

Certificate Revocation List (CRL):

        Version 2 (0x1)

    Signature Algorithm: sha1WithRSAEncryption

        Issuer: /C=CN/O=OR/ST=PRO/CN=test_ca/L=LOCATION/OU=DE

        Last Update: Jun 20 03:24:02 2014 GMT

        Next Update: Jul 20 03:24:02 2014 GMT

        CRL extensions:

            X509v3 CRL Number:

                1

            X509v3 Authority Key Identifier:

DirName:/C=CN/O=OR/ST=PRO/CN=test_ca/L=LOCATION/OU=DE

serial:D5:1E:36:4F:B1:E6:55:A8

 

No Revoked Certificates.

    Signature Algorithm: sha1WithRSAEncryption

         51:ef:83:94:24:0b:05:a0:1f:e1:30:57:e9:cf:66:48:94:ab:

         c5:c7:77:02:ea:5d:c9:d0:c4:b5:7e:a0:f9:b7:bf:1e:84:6e:

         68:d3:71:2d:2a:98:fb:67:50:21:29:3e:05:13:d7:33:b3:f5:

         8d:7b:08:b2:44:6d:25:17:a8:d8:ce:02:82:8e:1c:41:80:e3:

fa:92:dc:7d:0a:42:16:04:24:4b:96:76:0f:c0:54:fa:36:ab:

         c6:59:e0:1a:4b:be:27:ae:5f:8f:f8:78:ee:94:0f:53:40:26:

         e4:f4:1a:90:71:7c:f0:22:11:dd:3a:dc:e4:83:66:e1:7d:0e:

         54:91

1.5.4  自动获取CRL配置举例

1. 组网需求

根据自动获取配置,从CRL服务器自动获取CRL文件。

·     CRL服务器与设备网络可达。

·     CRL服务器上存在CRL证书。

图1-6 自动获取CRL配置组网图

 

2. 配置步骤

#配置自动获取CRL文件。

host# system-view

host# pki local crl auto-get auto 24 http-url http://192.168.1.113/test_ca.crl

3. 验证配置

配置完成后,等待24小时之后,设备上就会出现一个名称为auto.crl的CRL文件。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们