• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 Web配置指导(E6401 E6451)-6W112

23-CA中心

本章节下载 23-CA中心  (1.70 MB)

23-CA中心


1 CA服务器

1.1  CA简介

CA中心又称CA机构,即证书授权中心(Certificate Authority),或称证书授权机构,作为权威的、可信赖的、公正的第三方机构,专门负责发放并管理所有参与网上交易的实体所需的数字证书,承担公钥体系中公钥的合法性检验的责任。它作为一个权威机构,对密钥进行有效地管理,颁发证书证明密钥的有效性,并将公开密钥同某一个实体联系在一起。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。

本功能具有如下功能点:

·     作为可信任机构,管理维护根证书,发布证书撤销列表(CRL)。

·     作为可信任机构,签发用户证书,撤销用户证书。

·     通过TFTP协议,配合TFTP服务器,设备可对存在的用户证书进行管理和维护。

1.2  根证书管理

通过菜单“对象管理 > CA服务器 > 根CA配置管理 > 根证书管理”,进入如图1-1所示的页面。在该页面上,可以生成、导入、导出CA根证书。

图1-1 根证书管理页面

 

点击<生成CA根证书>按钮,进入如图1-2所示页面,生成CA根证书,各个配置项的含义如表1-1所示。

图1-2 CA根证书配置页面

 

表1-1 CA根证书配置项含义描述表

标题项

说明

证书名称

根CA证书的名称

部门

CA证书的部门信息

组织

CA证书的所属组织

位置(城市)

CA证书所在的位置

州/省

CA证书所属的州或省

国家/地区

CA证书的国家或地区信息

电子邮件

CA证书持有者的联系方式

有效期

CA证书的有效时间

密码

CA证书的保护密码

密钥大小

CA证书对应私钥的大小

 

点击<提交>按钮,提交配置,生成CA根证书,如图1-3所示。

图1-3 CA根证书页面

 

点击<导出CA根证书>,可以通过TFTP协议,导出CA根证书至TFTP服务器。导出页面如图1-4所示。

图1-4 导出CA根证书页面

 

可选择导出为PKCS12格式的单个证书,或者证书密钥分离格式的证书。

点击<导入CA根证书>,可以通过TFTP协议,从TFTP服务器导入CA根证书。导入页面如图1-5所示。各个配置项含义如表1-2所示。

图1-5 导入CA根证书页面

 

表1-2 导入CA根证书配置项含义描述表

标题项

说明

上传证书类型

上传证书的类型,可以上传如下类型:

·     单个证书:PKCS12格式的证书,证书和密钥文件一体

·     证书密钥分离:PEM格式的证书,证书文件和密钥文件分离

证书文件

证书密钥分离格式的证书文件

密钥文件

证书密钥分离格式的密钥文件

有密钥文件的证书

单个证书格式的证书文件

密码

单个证书格式证书的保护密码

 

1.3  CRL管理

通过菜单“对象管理 > CA服务器 > 根CA配置管理 > CRL管理”,进入如图1-6所示的页面。在该页面上,可以更新、导出、配置CRL自动更新周期。各个配置项含义如表1-3所示。

图1-6 CRL管理页面

 

表1-3 CRL配置项含义描述表

标题项

说明

CRL周期

CRL文件自动更新的周期

CA本地CRL下载URL

通过HTTP协议下载CRL文件的URL

 

点击<更新CRL>按钮,可以立刻更新CRL文件。

点击<导出CRL列表>,可以通过TFTP协议,导出CRL文件至TFTP服务器。

1.4  用户证书管理

通过菜单“对象管理 > CA服务器 > 用户证书管理”,进入如图1-7所示的页面。在该页面上,可以生成、签发、撤销、删除、导出用户证书。

图1-7 用户证书管理页面

 

点击<生成证书请求>按钮,进入如图1-8所示的页面,各个配置项的含义如表1-4所示。

图1-8 用户证书请求生成页面

 

表1-4 用户证书请求各个配置项含义表

标题项

说明

证书名称

用户证书的名称

部门

用户证书的部门信息

组织

用户证书的所属组织

位置(城市)

用户证书所在的位置

州/省

用户证书所属的州或省

国家/地区

用户证书的国家或地区信息

电子邮件

用户证书持有者的联系方式

密钥大小

用户证书对应私钥的大小

 

点击<提交>按钮,提交配置。提交配置后可通过如图1-9所示的页面查看。

图1-9 用户证书概览页面

 

点击<签发>按钮,进入如图1-10所示的页面签发用户证书。各个配置项含义如表1-5所示。

图1-10 用户证书请求签发页面

 

表1-5 用户证书请求签发配置项含义描述表

标题项

说明

有效期

签发的用户证书的有效期

密码

用户证书的保护密码

 

点击<提交>按钮,提交配置。提交完配置后的页面如图1-11所示。在签发完证书后,就可以进行撤销、复制、查看、导出、删除的操作。

图1-11 用户证书请求签发后页面

 

点击<复制>按钮,可以将选中的证书复制到本地用户证书中。

点击<删除>按钮,可以删除选中的证书。

点击<撤销>按钮,可以撤销选中的证书。撤销页面如图1-12所示。各个配置项含义如表1-6所示。

图1-12 用户证书撤销页面

 

表1-6 用户证书撤销配置项含义描述表

标题项

说明

撤销原因

撤销用户证书的原因,有如下原因:

·     Unspecified:未指定撤销原因

·     KeyCompromise:私钥泄露

·     CaCompromise:CA泄露

·     Affiliation Changed:从属关系改变

 

点击<导出>按钮,可以通过TFTP协议,导出用户证书至TFTP服务器。导出页面如图1-13所示。

图1-13 导出用户证书页面

 

可选择导出为PKCS12格式的单个证书,或者证书密钥分离格式的证书。

点击<详细信息>按钮,可以查看用户证书的详细信息。如图1-14所示。

图1-14 用户证书的详细信息

 

1.5  典型配置举例

1.5.1  配置CA根证书

1. 组网需求

创建CA根证书。

2. 配置步骤

进入根证书管理页面。按图1-15所示配置。

图1-15 配置CA根证书

 

点击<提交>按钮,提交配置。

3. 验证配置

进入根证书管理页面,查看CA根证书,如图1-16所示。

图1-16 CA根证书

 

1.5.2  配置用户证书

1. 组网需求

创建用户证书请求,并签发用户证书。

2. 配置步骤

(1)     进入用户证书管理页面,生成用户证书请求,如图1-17所示。

图1-17 生成用户证书请求

 

点击<提交>按钮,提交配置。

(2)     点击<签发>按钮,签发用户证书。如图1-18所示。

图1-18 签发用户证书请求

 

点击<提交>按钮,提交配置。

3. 验证配置

进入用户证书管理页面,查看用户证书,如图1-19所示。

图1-19 用户证书

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们