24-本地证书
本章节下载: 24-本地证书 (508.11 KB)
目 录
ACG1000-V系列产品不支持国密证书特性。
本地证书包含本地用户证书,本地CA证书,CRL,以及CRL自动更新。本地用户证书是用于设备某些模块,如IPsec,在建立连接时,向远端设备进行身份验证;本地CA证书是用于设备在与远端设备建立连接时,对远端设备进行身份验证;CRL为远端设备的身份验证提供验证条件。
本功能具有如下功能点:
· 本地用户证书的管理和维护。
· 本地CA证书的管理和维护。
· 本地CRL的管理和维护。包括通过TFTP Server 进行CRL文件的管理和维护,以及自动获取CRL文件的配置管理。
通过菜单“对象管理 > 本地证书 > 证书 > 本地证书”,进入如图1-1所示页面。在该页面上,可以导入、导出、删除、查看本地用户证书。
点击<导入>按钮,导入本地用户证书,如图1-2所示。各个配置项的含义如表1-1所示。
标题项 |
说明 |
上传证书类型 |
上传证书的类型,可以上传如下类型: · 单个证书:PKCS12格式的证书,证书和密钥文件一体 · 证书密钥分离:PEM格式的证书,证书文件和密钥文件分离 |
证书文件 |
证书密钥分离格式的证书文件 |
密钥文件 |
证书密钥分离格式的密钥文件 |
有密钥文件的证书 |
单个证书格式的证书文件 |
密码 |
单个证书格式证书的保护密码 |
点击<提交>按钮,提交配置后,可以通过如图1-3所示的本地用户证书页面导出、查看、删除导入的用户证书。
点击<删除>按钮,可以删除选中的条目。
点击<详细信息>按钮,可以查看证书的详细信息。如图1-4所示。
点击<导出>按钮,可以导出本地用户证书。如图1-5所示。
可以选择导出PKCS12格式的单个证书文件,或者PEM格式的证书密钥分离文件。
通过菜单“对象管理 > 本地证书 > 证书 > CA”,进入如图1-6所示页面。在该页面上,可以导入、导出、删除、查看本地CA证书。
图1-6 本地CA证书页面
点击<导入>按钮,导入本地CA证书,如图1-7所示。各个配置项的含义如表1-2所示。
标题项 |
说明 |
上传文件 |
上传的CA证书文件,支持.cer、.pem格式的证书文件 |
点击<提交>按钮,提交配置后,可以通过如图1-8所示的本地CA证书页面导出、查看、删除导入的CA证书。
图1-8 本地CA证书概览页面
点击<删除>按钮,可以删除选中的条目。
点击<详细信息>按钮,可以查看证书的详细信息。如图1-9所示。
图1-9 查看本地CA证书的详细信息
点击<导出>按钮,可以导出本地CA证书。
通过菜单“对象管理 > 本地证书 > 证书 > CRL”,进入如图1-10所示页面。在该页面上,可以导入、导出、删除、查看本地CRL文件。
图1-10 本地CRL文件页面
点击<导入>按钮,导入CRL文件,如图1-11所示。各个配置项的含义如表1-3所示。
表1-3 导入CRL各个配置项含义描述表
标题项 |
说明 |
上传文件 |
上传的CRL文件,支持.crl格式的文件 |
点击<提交>按钮,提交配置后,可以通过如图1-12所示的本地CRL页面导出、查看、删除导入的CRL文件。
图1-12 本地CRL文件概览页面
点击<删除>按钮,可以删除选中的条目。
点击<详细信息>按钮,可以查看CRL的详细信息。如图1-13所示。
图1-13 查看本地CRL文件的详细信息
点击<导出>按钮,可以导出本地CRL文件。
通过菜单“对象管理 > 本地证书 > 证书 > 国密”,进入如图1-14所示页面。在该页面可以新建、编辑、删除、查看本地国密配置
点击<导入>按钮,导入国密证书,如图1-15所示。各个配置项的含义如表1-4所示。
标题项 |
说明 |
上传证书类型 |
上传的CA证书文件,支持.cer、.pem格式的证书文件 |
证书文件 |
证书密钥分离格式的证书文件 |
密钥文件 |
证书密钥分离格式的密钥文件 |
点击<提交>按钮,提交配置后,可以通过如图1-16所示的本地国密页面导出、查看、删除导入的CRL文件。
点击<删除>按钮,可以删除选中的条目。
国密证书不支持查看详细信息及导出,<详细信息>和<导出>按钮置灰。
通过菜单“对象管理 > 本地证书 > 证书 > 自动获取CRL”,进入如图1-17所示页面。在该页面上,可以新建、编辑、删除、查看自动获取CRL配置。
图1-17 自动获取CRL文件页面
点击<新建>按钮,新建自动获取CRL配置,如图1-18所示。各个配置项的含义如表1-5所示。
图1-18 新建自动获取CRL配置页面
表1-5 新建自动获取CRL各个配置项含义描述表
标题项 |
说明 |
名称 |
自动获取CRL文件的配置名称 |
自动下载周期 |
自动获取CRL文件的周期 |
协议类型 |
自动获取CRL使用的协议类型 |
HTTP服务器URL |
使用HTTP获取CRL时使用的URL |
LDAP服务器名称 |
使用LDAP获取CRL时使用的LDAP服务器名称 |
点击<提交>按钮,提交配置后,可以通过如图1-19所示的页面编辑、删除、立即获取CRL文件。
图1-19 自动获取CRL文件配置概览页面
点击<编辑>按钮,可以编辑选中的条目。
点击<立即获取>按钮,可以立即从配置的服务器处获取CRL文件。
点击<删除>按钮,可以删除选中的条目。
自动获取到的CRL文件将以配置条目名称命名。
通过浏览器,向设备导入本地用户证书。
· Host与设备网络可达。
· Host上存在用户证书。
(1) 按图1-20所示组网。
(2) 进入本地用户证书页面,点击<导入>按钮,进入如图1-21所示页面,选择上传文件。
点击<提交>按钮,上传用户证书。
进入本地用户证书页面,查看上传的用户证书,如图1-22所示。
根据自动获取配置,从CRL服务器自动获取CRL文件。
· CRL服务器与设备网络可达。
· CRL服务器上存在CRL证书。
图1-23 自动获取CRL配置组网图
(1) 按图1-23所示组网。
(2) 进入自动获取CRL配置页面,配置自动获取CRL。如图1-24所示。
点击<提交>按钮,提交配置。
(3) 点击<立即获取>按钮,立刻获取CRL文件。
进入本地CRL页面,查看自动获取的CRL文件。如图1-25所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!