• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

04-系统管理配置指导

目录

01-CA配置指导

本章节下载 01-CA配置指导  (222.00 KB)

01-CA配置指导


1 CA服务器

1.1  CA简介

CA中心又称CA机构,即证书授权中心(Certificate Authority),或称证书授权机构,作为权威的、可信赖的、公正的第三方机构,专门负责发放并管理所有参与网上交易的实体所需的数字证书,承担公钥体系中公钥的合法性检验的责任。它作为一个权威机构,对密钥进行有效地管理,颁发证书证明密钥的有效性,并将公开密钥同某一个实体联系在一起。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。

本功能具有如下功能点:

·     作为可信任机构,管理维护根证书,发布证书撤销列表(CRL)。

·     作为可信任机构,签发用户证书,撤销用户证书。

·     设备可对存在的用户证书进行管理和维护。

说明

命令行下不能进行根证书的创建,以及用户请求证书的创建。请在web界面上进行上述操作。

 

1.2  CA服务器组网模式

CA服务器配合TFTP服务器,实现证书的导入和导出操作。

1.2.1  CA服务器组网模式

设备作为CA服务器,与网络可达的TFTP服务器相连,实现证书的导入、导出操作。如图1-1所示。

图1-1 CA服务器组网图

 

·     设备可以通过TFTP服务器导入根证书、导出根CA证书。

·     设备可以通过TFTP服务器导出CRL。

·     设备可以通过TFTP服务器导出用户证书。

1.3  配置CA服务器

1.3.1  配置根CA

表1-1所示步骤配置根CA证书:

表1-1 配置根CA

操作

命令

说明

导入单证书文件格式的证书

pki ca root-certificate pkcs12 import tftpip-addresscertificate -namepassword

必选

导入证书密钥分离格式的证书

pki ca root-certificate cert_key import tftpip-addresscertificate-namekeyfile-name password

必选

根证书导出

pki ca root-certificate export tftpip-address{pem|p12}

必选

 

1.3.2  配置CRL

表1-2所示步骤配置CRL证书:

表1-2 配置CRL

操作

命令

说明

CRL生成

pki ca crl generate

-

CRL导出

pki ca crl export tftpip-address

必选

CRL自动更新

pki ca crl update-periodinterval-time

可选

缺省情况下,自动更新时间为30天

 

注意

CRL只有在CA根证书存在的情况下才能生成。

 

1.3.3  配置用户证书

表1-3所示步骤配置用户证书:

表1-3 配置用户证书

操作

命令

说明

用户证书签发

pki ca user-certificate sign certificate-name days dayspassword password

必选

用户证书撤销

pki ca user-certificate revoke certificate-name reason {Unspecified|KeyCompromise|CaCompromise|Affiliation Changed}

必选

用户证书导出

pki ca user-certificate export tftpip-addresscertificate-name {p12|pem}

必选

 

注意

days是用户证书签发的有效时间,范围为1到1800天。

 

1.4  CA服务器显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后CA服务器的运行情况,通过查看显示信息验证配置的效果。

表1-4 CA服务器配置显示

操作

命令

显示根证书配置

display pki ca root-certificate

显示CRL配置

display pki ca crl

显示CRL自动更新配置

display running-config pki

显示用户证书配置

display pki ca user-certificate

1.5  CA服务器典型配置举例

1.5.1  CA中心配置举例

1. 组网需求

从TFTP服务器获取CA根证书。

·     TFTP服务器与设备网络可达。

·     TFTP服务器上存在CA根证书。

图1-2 CA中心配置组网图

 

2. 配置步骤

(1)     设备配置步骤。

# 配置获取CA根证书。

host# pki ca root-certificate pkcs12 import tftp 192.168.1.2 test_ca.p12 1

#提示如下信息。

This new CA certificate will replace the old one? Please enter "y/n"  to confirm:  y

Download file test_ca.p12 ....

Download file(test_ca.p12) success.

3. 验证配置

在设备上执行display pki ca root-certificatec查看导入成功的CA根证书。

host# display pki ca root-certificate

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number: 15356771495294948776 (0xd51e364fb1e655a8)

    Signature Algorithm: sha1WithRSAEncryption

        Issuer: C=CN, O=OR, ST=PRO, CN=test_ca, L=LOCATION, OU=DE

        Validity

            Not Before: Jun 20 03:16:47 2014 GMT

            Not After : Jul 10 03:16:47 2014 GMT

        Subject: C=CN, O=OR, ST=PRO, CN=test_ca, L=LOCATION, OU=DE

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                Public-Key: (1024 bit)

                Modulus:

                    00:c9:db:1e:45:66:2d:b5:6c:06:a0:79:62:4d:6c:

ce:92:4b:16:89:3b:5a:0a:62:b7:d6:7b:68:ab:f8:

ac:1c:3d:04:2f:0f:7f:fa:9a:69:4e:09:8f:9d:e2:

                    a1:35:67:44:58:c5:8d:14:fa:36:6f:c5:0f:b3:9b:

                    01:7e:1d:00:dc:44:ad:4a:34:16:1f:e9:af:1d:62:

                    6a:68:cb:e1:d9:30:e7:e2:0e:59:e7:ed:48:3d:83:

                    75:4e:12:df:90:35:0d:22:5c:7a:35:69:f7:33:ab:

                    39:58:68:ae:d7:71:55:65:36:53:f1:b4:09:3f:71:

                    c1:c0:66:0d:19:a2:e1:69:eb

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Basic Constraints: critical

                CA:TRUE

            X509v3 Key Usage: critical

                Digital Signature, Certificate Sign, CRL Sign

    Signature Algorithm: sha1WithRSAEncryption

         2d:cb:0a:a8:d5:20:c7:f9:94:16:20:14:48:8d:26:40:ac:01:

         8e:e1:42:f6:17:28:48:7a:56:d5:67:24:81:60:5e:e4:60:46:

         13:64:5b:8b:f1:87:b1:f1:04:3e:63:7f:eb:79:61:43:91:1f:

         06:0f:b5:e7:a5:d4:04:be:6a:93:46:70:90:c4:af:a5:61:67:

         9d:1b:b1:39:e0:ca:17:58:3e:33:3b:48:71:80:dd:23:9b:94:

         34:f7:6b:6b:60:ee:fd:cc:dc:61:63:c5:c1:52:37:95:05:b1:

         d8:14:85:65:8a:71:61:f4:19:9f:66:fd:39:de:a5:a7:c0:d4:

         88:d0

1.5.2  用户证书配置举例

1. 组网需求

设备签发用户证书,并通过TFTP服务器导出用户证书。

·     TFTP服务器与设备网络可达。

·     设备上存在用户证书请求。

图1-3 用户证书配置组网图

 

2. 配置步骤

#签发用户证书。

host# pki ca user-certificate sign test.csr days 10 password 123456

#导出已签发的用户证书至TFTP服务器。

host#pki ca user-certificate export tftp 192.168.1.2 test.cer pem

#提示如下信息。

Upload file test.cer ....

Upload file(test.cer) success.

Upload file test.key ....

Upload file(test.key) success.

3. 验证配置

在设备上执行displaypki ca user-certificate test.cer查看签发成功的用户证书。

host# display pki ca user-certificate test.cer

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number: 18213662865011930356 (0xfcc3ede027c274f4)

    Signature Algorithm: sha1WithRSAEncryption

        Issuer: C=CN, O=OR, ST=PRO, CN=test_ca, L=LOCATION, OU=DE

        Validity

            Not Before: Jun 20 03:41:38 2014 GMT

            Not After : Jun 30 03:41:38 2014 GMT

        Subject: C=CN, O=or, CN=test, L=location, ST=province, OU=test

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                Public-Key: (1024 bit)

                Modulus:

                    00:97:84:b1:5d:fe:d0:18:0c:87:b5:b3:92:44:8f:

                    ca:76:19:14:5a:25:3b:8a:4d:60:3a:b6:90:c1:ad:

                    a0:87:fe:ca:e1:a3:67:89:c2:cb:28:62:da:5b:5b:

fc:10:a9:4c:00:f8:9e:d7:dd:34:26:74:89:05:b7:

                    3e:ce:0e:67:d8:65:f3:55:0f:11:ec:de:49:67:ad:

                    0c:82:cc:e2:58:06:af:ed:41:66:8e:15:11:f9:6c:

                    3a:77:4b:70:69:c5:9b:7a:64:ad:51:03:3e:69:b2:

                    90:ef:25:07:ce:1b:0a:d7:f0:8d:e1:d6:91:0c:49:

                    a8:1f:0b:58:03:f3:0f:e4:ab

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Key Usage:

                Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment

            X509v3 Extended Key Usage:

                TLS Web Server Authentication, TLS Web Client Authentication, E-mail Protection, Code Signing, Microsoft Server Gated Crypto, OCSP Signing, Time Stamping, dvcs

    Signature Algorithm: sha1WithRSAEncryption

         80:7e:fc:79:2a:86:ba:22:8c:e0:0f:94:37:58:29:b7:28:73:

         91:e8:6a:54:18:8d:ce:41:61:87:80:92:70:94:1d:a0:a5:64:

         f8:85:7e:17:46:80:07:6b:68:d0:67:cd:57:4b:49:fa:8f:69:

         48:8b:b0:58:8d:43:fd:aa:f6:71:47:59:6d:68:7f:42:da:ca:

         f9:d8:d4:bd:eb:99:52:ca:12:e0:c1:c8:b6:a9:84:d2:63:7e:

         2d:05:d6:6b:00:67:67:3b:52:90:9d:35:e9:53:b2:fc:8e:ce:

         22:f3:c3:4a:52:56:fb:7c:16:e1:c8:69:04:eb:dc:65:04:74:

         25:5e

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们