28-证书管理
本章节下载 (962.74 KB)
Web页面提供的证书管理配置功能如下:
· 配置PKI实体
· 配置PKI域
· 生成和销毁RSA密钥对
· 获取CA证书和本地证书
· 申请本地证书
· 查看证书的信息
· 获取CRL
· 查看CRL的信息
PKI(Public Key Infrastructure,公钥基础设施)是一个利用公共密钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。我司的PKI可为安全协议IPsec(IP Security,IP安全)、SSL(Secure Sockets Layer,安全套接字层)、WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)提供证书管理机制。
公共密钥体制也称为非对称密钥体制,是目前应用最广泛的一种加密体制。这一体制使用一个非对称的密钥对,分别是一个公开的加密密钥(公钥)和一个保密的解密密钥(私钥),用公钥加密的信息只能用私钥解密,反之亦然。由于公钥是公开的,需要在网上传送,故公钥的管理问题就是公共密钥体制所需要解决的关键问题。
目前,PKI系统中引出的数字证书机制就是一个很好的解决方案。基于公共密钥技术的数字证书是一个用户的身份和他所持有的公钥的结合,是使用PKI系统的用户建立安全通信的信任基础。
基于数字证书的PKI系统,能够为网络通信和网络交易,特别是电子政务和电子商务业务,透明地提供一整套安全服务,主要包括身份认证、保密、数据完整性和不可否认性。
PKI技术的广泛应用能满足人们对网络交易安全保障的需求。作为一种基础设施,PKI的应用范围非常广泛,并且在不断发展之中,下面给出几个应用实例。
· VPN:VPN(Virtual Private Network,虚拟专用网络)是一种构建在公用通信基础设施上的专用数据通信网络,利用网络层安全协议(如IPsec)和建立在PKI上的加密与数字签名技术来获得机密性保护。
· 安全电子邮件:电子邮件的安全也要求机密、完整、认证和不可否认,而这些都可以利用PKI技术来实现。目前发展很快的安全电子邮件协议S/MIME(Secure/Multipurpose Internet Mail Extensions,安全/多用途Internet邮件扩充协议),是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。
· Web安全:为了透明地解决Web的安全问题,在两个实体进行通信之前,先要建立SSL连接,以此实现对应用层透明的安全通信。利用PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外,服务器端和浏览器端通信时双方可以通过数字证书确认对方的身份。
关于PKI的详细介绍请参见“安全配置指导”中的“PKI”。
PKI证书的申请方式有两种:
· 手动申请证书方式:需要手工完成获取CA(Certificate Authority,证书颁发机构)证书、生成密钥对、申请本地证书的工作。
· 自动申请证书方式:在没有本地证书时实体自动通过SCEP(Simple Certification Enrollment Protocol,简单证书注册协议,专门用于与认证机构进行通信)协议进行申请,而且在证书即将过期时自动申请新的证书并获取至本地。
证书申请的方式可在PKI域中进行配置。根据证书申请方式的不同,PKI的配置步骤也不同。
手动申请证书方式下PKI配置的推荐步骤如下表所示。
表1-1 PKI配置步骤(手动申请证书方式)
步骤 |
配置任务 |
说明 |
1 |
必选 新建实体并配置实体的身份信息参数 一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联。实体DN(Distinguished Name,识别名)的参数是实体的身份信息,CA根据实体提供的身份信息来唯一标识证书申请者 实体DN的配置必须与CA证书颁发策略相匹配,以确认实体DN的配置任务,如哪些实体参数为必选配置,哪些为可选配置。申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败 |
|
2 |
必选 新建PKI域,配置证书申请方式为“Manual” 实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域 PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息 |
|
3 |
必选 配置生成本地RSA密钥对 缺省情况下,本地没有RSA密钥对 密钥对的产生是证书申请过程中重要的一步。申请过程使用了一对主机密钥:私钥和公钥。私钥由用户保留,公钥和其他信息则交由CA中心进行签名,从而产生证书 若本地证书已存在,为保证密钥对与现存证书的一致性,必须在删除本地证书后,再生成新的密钥对 |
|
4 |
获取CA证书 |
必选 将CA证书获取至本地,详细配置请参见“1.7 获取和查看证书” 获取证书的目的是: · 将CA签发的与实体所在安全域有关的证书存放到本地,以提高证书的查询效率,减少向PKI证书存储库查询的次数 · 为证书的验证做好准备 如果本地已有CA证书存在,则不允许再执行获取CA证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书后,再重新获取 |
5 |
必选 证书申请就是实体向CA自我介绍的过程,实体向CA提供身份信息和相应的公钥,这些信息将成为颁发给该实体证书的主要组成部分 申请本地证书有在线和离线两种方式: · 在线申请成功后,会自动将本地证书获取至本地 · 离线申请成功后,需要用户通过离线方式将本地证书获取至本地 如果本地已有本地证书存在,则不允许再执行申请本地证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书,再重新申请 |
|
6 |
可选 如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的RSA密钥对销毁,否则无法成功获取证书。销毁RSA密钥对的同时,也会销毁对应的本地证书 |
|
7 |
当采用离线方式申请证书时必选 将已存在的证书获取至本地,获取后可以查看证书的详细信息 · 当采用离线方式申请证书时,必须通过离线方式将下载到的CA证书和本地证书获取至本地 · 在线获取本地证书之前必须完成LDAP服务器的配置 |
|
8 |
可选 获取CRL至本地,获取后可以查看CRL的内容 |
自动申请证书方式下PKI配置的推荐步骤如下表所示。
表1-2 PKI配置步骤(自动申请证书方式)
步骤 |
配置任务 |
说明 |
1 |
必选 新建实体并配置实体的身份信息参数 一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联。实体DN(Distinguished Name,识别名)的参数是实体的身份信息,CA根据实体提供的身份信息来唯一标识证书申请者 实体DN的配置必须与CA证书颁发策略相匹配,以确认实体DN的配置任务,如哪些实体参数为必选配置,哪些为可选配置。申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败 |
|
2 |
必选 新建PKI域,配置证书申请方式为“Auto” 实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域 PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息 |
|
3 |
可选 如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的RSA密钥对销毁,否则无法成功获取证书。销毁RSA密钥对的同时,也会销毁对应的本地证书 |
|
4 |
可选 将已存在的证书获取至本地,获取后可以查看证书的详细信息 · 在线获取本地证书之前必须完成LDAP服务器的配置 · 如果本地已有CA证书存在,则不允许再执行获取CA证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书后,再重新获取 |
|
5 |
可选 获取CRL至本地,获取后可以查看CRL的内容 |
(1) 在导航栏中选择“证书管理 > PKI实体”,进入PKI实体的显示页面,如下图所示。
图1-1 PKI实体
(2) 单击<新建>按钮,进入新建PKI实体的配置页面,如下图所示。
(3) 配置PKI实体的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表1-3 新建PKI实体的详细配置
配置项 |
说明 |
PKI实体名称 |
设置要新建的PKI实体的名称 |
通用名 |
设置实体的通用名,比如用户名称 |
实体IP地址 |
设置实体的IP地址 |
FQDN |
设置实体的FQDN(Fully Qualified Domain Name,完全合格域名) FQDN是实体在网络中的唯一标识,由一个主机名和域名组成,可被解析为IP地址。例如,www是一个主机名,whatever.com是一个域名,则www.whatever.com就是一个FQDN |
国家/地区 |
设置实体所属的国家或地区代码 |
州省 |
设置实体所属的州省 |
地理区域 |
设置实体所在地理区域的名称 |
组织 |
设置实体所属组织的名称 |
部门 |
设置实体所属部门的名称 |
(1) 在导航栏中选择“证书管理 > PKI域”,进入PKI域的显示页面,如下图所示。
(2) 单击<新建>按钮,进入新建PKI域的配置页面,如下图所示。
(3) 配置PKI域的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表1-4 新建PKI域的详细配置
配置项 |
说明 |
PKI域名称 |
设置要新建的PKI域的名称 |
CA标识符 |
设置设备信任的CA标识符 在申请证书时,是通过一个可信实体认证机构,来完成实体证书的注册颁发,因此必须指定一个信任的CA标识符,将设备与该CA进行绑定,该设备证书的申请、获取、废除及查询均通过该CA执行 · 当采用离线方式申请证书时,此项可以不配置,否则必须配置 · CA标识符只是在获取CA证书时使用,申请本地证书时不会用到 |
本地实体 |
设置本地PKI实体名称 向CA发送证书申请请求时,必须指定所使用的实体名,以向CA表明自己的身份 |
注册机构 |
设置证书申请的注册审理机构 · CA:表示实体从CA注册申请证书 · RA:表示实体从RA注册申请证书 证书申请的受理一般由一个独立的注册机构(即RA)来承担,它接收用户的注册申请,审查用户的申请资格,并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书,而只是对用户进行资格审查。有时PKI把注册管理的职能交给CA来完成,而不设立独立运行的RA,但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能而已。PKI推荐独立使用RA作为注册审理机构 |
证书申请URL |
设置注册服务器的URL 证书申请前必须指定注册服务器的URL,随后实体可通过SCEP向该服务器提出证书申请 · 当采用离线方式申请证书时,此项可以不配置,否则必须配置 · 目前,注册服务器URL的配置不支持域名解析 |
LDAP服务器IP地址 |
设置LDAP服务器的IP地址、端口号和版本号 在PKI系统中,用户的证书和CRL信息的存储是一个非常核心的问题。一般采用LDAP服务器来存储证书和CRL,这时就需要指定LDAP服务器的信息 |
端口 |
|
版本 |
|
证书申请方式 |
设置在线证书申请的方式,有Auto(自动)和Manual(手动)两种方式 |
挑战码 |
当证书申请方式选择“Auto”时,设置挑战码,即撤销证书时使用的密码 输入的挑战码和确认挑战码必须一致 |
确认挑战码 |
|
根证书指纹散列算法 |
设置验证CA根证书时所使用的指纹 当设备从CA获得根证书时,需要验证CA根证书的指纹,即根证书内容的散列值,该值对于每一个证书都是唯一的。如果CA根证书的指纹与在PKI域中配置的指纹不同,则设备将拒绝接收根证书 · 当根证书指纹散列算法选择“MD5”时,使用MD5指纹验证CA根证书,输入的根证书指纹必须为32个字符,并且以16进制的形式输入 · 当根证书指纹散列算法选择“SHA1”时,使用SHA1指纹验证CA根证书,输入的根证书指纹必须为40个字符,并且以16进制的形式输入 · 当根证书指纹散列算法选择空时,将不对根证书指纹进行验证,需要用户自行确认CA服务器是否可信 当证书申请方式选择“Auto”时,必须设置验证根证书时所使用的指纹;当证书申请方式选择“Manual”时,可以不设置验证根证书时所使用的指纹,则在获取CA证书时将不对根证书指纹进行验证,需要用户自行确认CA服务器是否可信 |
根证书指纹 |
|
证书查询次数 |
设置客户端发送证书申请状态查询的周期和每个周期内发送查询的次数 实体在发送证书申请后,如果CA采用手工验证申请,证书的发布会需要很长时间。在此期间,客户端需要定期发送状态查询,以便在证书签发后能及时获取到证书。客户端可以配置证书申请状态的查询周期和次数 |
证书查询间隔 |
|
启用CRL查询 |
设置在证书验证时是否进行CRL检查 如果启用CRL检查,则验证证书的有效性,必须通过CRL判断 |
CRL更新间隔 |
启用CRL查询时,设置CRL更新间隔,即使用证书的PKI实体从CRL存储服务器下载CRL的时间间隔 缺省情况下,CRL的更新间隔由CRL文件中的下次更新域决定 手工配置的CRL更新间隔将优先于CRL文件中指定的更新间隔 |
获取CRL的URL |
启用CRL查询时,设置CRL发布点的URL,支持IP地址和DNS域名两种表示方式 需要注意的是,未配置CRL发布点的URL时,通过SCEP协议获取CRL,该操作在获取CA证书和本地证书之后进行 |
(1) 在导航栏中选择“证书管理 > 证书”,进入PKI证书的显示页面,如下图所示。
(2) 单击页面上的<创建密钥>按钮,进入生成RSA密钥对的配置页面,如下图所示。
(3) 设置RSA密钥的长度。
(4) 单击<确定>按钮完成操作。
(1) 在导航栏中选择“证书管理 > 证书”,进入PKI证书的显示页面,如图1-5所示。
(2) 单击页面上的<销毁密钥>按钮,进入销毁RSA密钥对的配置页面,如下图所示。
(3) 单击<确定>按钮将销毁设备上已存在的RSA密钥对和对应的本地证书。
用户通过此配置可以将已存在的CA证书或本地证书获取至本地。获取证书有两种方式:离线方式和在线方式。离线方式下获取证书需要通过带外方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地。成功获取到本地的证书被保存在设备的根目录下,文件名称为domain-name_ca.cer(CA证书)、domain-name_local.cer(本地证书)。
(1) 在导航栏中选择“证书管理 > 证书”,进入PKI证书的显示页面,如图1-5所示。
(2) 单击页面上的<获取证书>按钮,进入获取PKI证书的配置页面,如下图所示。
(3) 配置获取PKI证书所需的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表1-5 获取PKI证书的详细配置
配置项 |
说明 |
PKI域名称 |
设置证书所在的PKI域 |
证书类型 |
设置要获取的证书的为CA证书或Local证书 |
启用离线方式 |
设置是否启用离线方式(如FTP、磁盘、电子邮件等)获取证书 |
从设备取得文件 |
当启用离线方式时,设置要导入的证书文件的存放路径和文件名 · 当证书文件保存在设备上时,选择“从设备取得文件”,并选择证书文件在设备上的存放路径和文件名。如果不指定具体的文件,则默认为设备根目录下名为domain-name_ca.cer(CA证书)或domain-name_local.cer(本地证书)的文件 · 当证书文件保存在本地主机上时,选择“从PC取得文件”,并设置证书文件在PC上的存放路径和文件名,以及文件上传到设备后存放在哪个分区 |
从PC取得文件 |
|
口令 |
当启用离线方式时,设置导入证书的口令,该口令在导出证书时指定,用于保护私钥的口令 |
(5) 获取证书后,在PKI证书显示页面中单击某证书对应的<查看证书>按钮,查看该证书的详细信息,如下图所示。
(1) 在导航栏中选择“证书管理 > 证书”,进入PKI证书的显示页面,如图1-5所示。
(2) 单击页面上的<申请证书>按钮,进入申请本地证书的配置页面,如下图所示。
(3) 配置申请本地证书所需的信息,详细配置如下表所示。
配置项 |
说明 |
PKI域名称 |
设置证书所在的PKI域 |
挑战码 |
设置挑战码,即撤销证书时使用的密码 |
启用离线方式 |
设置是否启用离线方式(如电话、磁盘、电子邮件等)申请本地证书 当无法通过SCEP协议向CA在线申请证书时,可以选择启用离线方式申请本地证书 |
(4) 单击<确定>按钮。此时,如果采用在线方式申请证书,则会弹出提示框“证书申请已提交。”,再次单击<确定>按钮完成操作;如果采用离线方式申请证书,则页面上将显示离线申请证书的信息,如下图所示,用户可以将这些信息通过带外方式发送给CA进行证书申请。
(1) 在导航栏中选择“证书管理 > CRL”,进入CRL的显示页面,如下图所示。
(2) 在列表中单击某PKI域对应的操作列的<获取CRL>按钮,可将CRL获取到本地。
(3) 获取CRL后,在列表中单击该PKI域对应的<查看CRL>按钮,可查看其CRL的详细信息,如下图所示。
图1-13 查看CRL的详细信息
在作为PKI实体的设备Router上进行相关配置,实现以下需求:
· 设备向CA服务器申请本地证书,CA服务器采用Windows 2003 server。
· 获取CRL为证书验证做准备。
图1-14 PKI实体向CA申请证书配置组网图
(1) 安装证书服务器组件。
打开[控制面板]/[添加/删除程序],选择[添加/删除Windows组件]中的“证书服务”进行安装。
(2) 安装SCEP插件。
由于Windows 2003 server作为CA服务器时,缺省情况下不支持SCEP,所以需要安装SCEP插件,才能使设备具备证书自动注册、获取等功能。插件安装完毕后,弹出提示框,提示框中的URL地址即为设备上配置的注册服务器地址。
(3) 修改证书服务的属性。
完成上述配置后,打开[控制面板/管理工具]中的[证书颁发机构],如果安装成功,在[颁发的证书]中将存在两个CA颁发给RA的证书。选择[CA server 属性]中的“策略模块”的属性为“如果可以的话,按照证书模板中的设置。否则,将自动颁发证书(F)。”
(4) 修改IIS服务的属性。
打开[控制面板/管理工具]中的[Internet 信息服务(IIS)管理器],将[默认网站 属性]中“主目录”的本地路径修改为证书服务保存的路径。另外,为了避免与已有的服务冲突,建议修改默认网站的TCP端口号为未使用的端口号。
以上配置完成之后,还需要保证设备的系统时钟与CA的时钟同步才可以正常使用设备来申请证书。
(1) 新建PKI实体。
步骤1:在导航栏中选择“证书管理 > PKI实体”。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入PKI实体名称为“aaa”。
· 输入通用名为“router”。
步骤4:单击<确定>按钮完成操作。
(2) 新建PKI域。
步骤1:在导航栏中选择“证书管理 > PKI域”。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入PKI域名称为“torsa”。
· 输入CA标识符为“CA server”。
· 选择本端实体为“aaa”。
· 选择注册机构为“RA”。
· 以“http://host:port/certsrv/mscep/mscep.dll”的格式(其中的“host”和“port”为CA服务器的主机地址和端口号)输入证书申请URL为“http://4.4.4.1:8080/certsrv/mscep/mscep.dll”。
· 选择证书申请方式为“Manual”。
步骤4:单击<确定>按钮,弹出的对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”
步骤5:单击对话框中的<确定>按钮完成操作。
(3) 生成RSA密钥对。
步骤1:在导航栏中选择“证书管理 > 证书”。
步骤2:单击<创建密钥>按钮。
步骤3:如下图所示,输入密钥长度为“1024”。
步骤4:单击<确定>按钮开始生成RSA密钥对。
图1-17 生成RSA密钥对
(4) 获取CA证书至本地。
步骤1:生成密钥对成功后,在“证书管理 > 证书”的页面单击<获取证书>按钮。
步骤2:进行如下配置,如下图所示。
· 选择PKI域为“torsa”。
· 选择证书类型为“CA”。
步骤3:单击<确定>按钮开始获取CA证书。
图1-18 获取CA证书至本地
(5) 申请本地证书。
步骤1:获取CA证书成功后,在“证书管理 > 证书”的页面单击<申请证书>按钮。
步骤2:进行如下配置,如下图所示。
· 选择PKI域为“torsa”。
· 选中“挑战码”前的单选按钮,输入挑战码为“challenge-word”。
步骤3:单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框。
步骤4:单击提示框中的<确定>按钮完成操作。
图1-19 申请本地证书
完成上述配置后,在“证书管理 > 证书”的页面单击PKI域torsa的本地证书对应的<查看证书>按钮可以查看本地证书的详细信息,单击PKI域torsa的CA证书对应的<查看证书>按钮可以查看CA证书的详细信息。
在作为PKI实体的设备Router上进行相关配置,实现以下需求:
· 设备向CA服务器申请本地证书,CA服务器上采用RSA Keon软件。
· 获取CRL为证书验证做准备。
图1-20 PKI实体向CA申请证书配置组网图
(1) 创建CA服务器myca。
在本例中,CA服务器上首先需要进行基本属性Nickname和Subject DN的配置。其它属性选择默认值。其中,Nickname为可信任的CA名称,Subject DN为CA的DN属性,包括CN、OU、O和C。
(2) 配置扩展属性。
基本属性配置完毕之后,还需要在生成的CA服务器管理页面上对“Jurisdiction Configuration”进行配置,主要内容包括:根据需要选择合适的扩展选项;启动自动颁发证书功能;添加可以自动颁发证书的地址范围。
(3) 配置CRL发布。
CA服务器的基本配置完成之后,需要进行CRL的相关配置。
本例中选择CRL的发布方式为HTTP,自动生成CRL发布点的URL为http://4.4.4.133:447/myca.crl。
以上配置完成之后,还需要保证设备的系统时钟与CA的时钟同步才可以正常使用设备来申请证书和获取CRL。
(1) 新建PKI实体。
步骤1:在导航栏中选择“证书管理 > PKI实体”。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入PKI实体名称为“aaa”。
· 输入通用名为“router”。
步骤4:单击<确定>按钮完成操作。
图1-21 新建PKI实体
(2) 新建PKI域。
步骤1:在导航栏中选择“证书管理 > PKI域”。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入PKI域名称为“torsa”。
· 输入CA标识符为“myca”。
· 选择本端实体为“aaa”。
· 选择注册机构为“CA”。
· 以“http://host:port/Issuing Jurisdiction ID”(其中的Issuing Jurisdiction ID为CA服务器上生成的16进制字符串)的格式输入证书申请URL为“http://4.4.4.133:446/c95e970f632d27be5e8cbf80e971d9c4a9a93337”。
· 选择证书申请方式为“Manual”。
· 单击“高级设置”前的扩展按钮。
· 选中“启用CRl查询”前的复选框。
· 输入获取CRL的URL为“http://4.4.4.133:447/myca.crl”。
步骤4:单击<确定>按钮,弹出的对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”
步骤5:单击对话框中的<确定>按钮完成操作。
图1-22 新建PKI域
(3) 生成RSA密钥对。
步骤1:在导航栏中选择“证书管理 > 证书”。
步骤2:单击<创建密钥>按钮。
步骤3:如下图所示,输入密钥长度为“1024”。
步骤4:单击<确定>按钮开始生成RSA密钥对。
图1-23 生成RSA密钥对
(4) 获取CA证书至本地。
步骤1:生成密钥对成功后,在“证书管理 > 证书”的页面单击<获取证书>按钮
步骤2:进行如下配置,如下图所示。
· 选择PKI域为“torsa”。
· 选择证书类型为“CA”。
步骤3:单击<确定>按钮开始获取CA证书。
图1-24 获取CA证书至本地
(5) 申请本地证书。
步骤1:获取CA证书成功后,在“证书管理 > 证书”的页面单击<申请证书>按钮。
步骤2:进行如下配置,如下图所示。
· 选择PKI域为“torsa”。
· 选中“挑战码”前的单选按钮,输入挑战码为“challenge-word”。
步骤3:单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框。
步骤4:单击提示框中的<确定>按钮完成操作。
图1-25 申请本地证书
(6) 获取CRL至本地。
步骤1:在导航栏中选择“证书管理 > CRL”。
步骤2:如下图所示,单击PKI域“torsa”对应的<获取CRL>按钮开始获取CRL。
图1-26 获取CRL至本地
完成上述配置后,可以在“证书管理 > 证书”中查看获取的CA证书和本地证书的详细信息;可以在“证书管理 > CRL”中查看获取的CRL文件的详细信息。
· 在Router A和Router B之间建立一个IPSec安全隧道对子网10.1.1.0/24上的Host A与子网11.1.1.0/24上的Host B之间的数据流进行安全保护。
· 在Router A和Router B之间使用IKE自动协商建立安全通信,IKE认证策略采用PKI证书体系的RSA证书签名方法进行身份认证。
· Router A和Router B使用不同的CA(可以相同,根据实际情况确定)。
图1-27 使用PKI进行IKE协商认证配置组网图
(1) 新建PKI实体。
步骤1:在导航栏中选择“证书管理 > PKI实体”。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入PKI实体名称为“en”。
· 输入通用名为“router-a”。
· 输入实体IP地址为“2.2.2.1”。
步骤4:单击<确定>按钮完成操作。
图1-28 新建PKI实体
(2) 新建PKI域。
步骤1:在导航栏中选择“证书管理 > PKI域”。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入PKI域名称为“1”。
· 输入CA标识符为“CA1”。
· 选择本端实体为“en”。
· 选择注册机构为“RA”。
· 输入证书申请URL为“http://1.1.1.100/certsrv/mscep/mscep.dll”(证书申请URL根据所使用的CA服务器的不同而有所不同,这里的配置只作为示例,请根据具体情况配置)。
· 输入LDAP服务器IP地址为“1.1.1.102”、端口为“389”,选择版本为“2”。
· 选择证书申请方式为“Manual”。
· 单击“高级设置”前的扩展按钮。
· 选中“启用CRl查询”前的复选框。
· 输入获取CRL的URL为“ldap://1.1.1.102”。
步骤4:单击<确定>按钮,弹出的对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”
步骤5:单击对话框中的<确定>按钮完成操作。
图1-29 新建PKI域
(3) 生成RSA密钥对。
步骤1:在导航栏中选择“证书管理 > 证书”。
步骤2:单击<创建密钥>按钮。
步骤3:如下图所示,输入密钥长度为“1024”。
步骤4:单击<确定>按钮开始生成RSA密钥对。
图1-30 生成RSA密钥对
(4) 获取CA证书至本地。
步骤1:生成密钥对成功后,在“证书管理 > 证书”的页面单击<获取证书>按钮。
步骤2:进行如下配置,如下图所示。
· 选择PKI域为“1”。
· 选择证书类型为“CA”。
步骤3:单击<确定>按钮开始获取CA证书。
图1-31 获取CA证书至本地
(5) 申请本地证书。
步骤1:获取CA证书成功后,在“证书管理 > 证书”的页面单击<申请证书>按钮。
步骤2:如下图所示,选择PKI域为“1”。
步骤3:单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框。
步骤4:单击提示框中的<确定>按钮完成操作。
图1-32 申请本地证书
(6) 配置IPsec连接。
步骤1:在导航栏中选择“VPN > IPsec VPN”,默认进入“IPsec连接”页签的页面。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入IPsec连接名称为“con”。
· 选择接口为“Ethernet0/2”。
· 输入对端网关地址/主机名为“3.3.3.1”。
· 选择认证方式为“证书”,选择证书为“CN=router-a”。
· 选择筛选方式为“流量特征”。
· 输入源地址/通配符为“11.1.1.0/0.0.0.255”。
· 输入目的地址/通配符为“10.1.1.0/0.0.0.255”。
步骤4:单击<确定>按钮完成操作。
图1-33 配置IPsec连接
(1) 新建PKI实体。
步骤1:在导航栏中选择“证书管理 > PKI实体”。
步骤2:单击<新建>按钮。
步骤3:进行如下配置:
· 输入PKI实体名称为“en”。
· 输入通用名为“router-b”。
· 输入实体IP地址为“3.3.3.1”。
步骤4:单击<确定>按钮完成操作。
(2) 新建PKI域。
步骤1:在导航栏中选择“证书管理 > PKI域”。
步骤2:单击<新建>按钮。
步骤3:进行如下配置:
· 输入PKI域名称为“1”。
· 输入CA标识符为“CA2”。
· 选择本端实体为“en”。
· 选择注册机构为“RA”。
· 输入证书申请URL为“http://2.1.1.100/certsrv/mscep/mscep.dll”(证书申请URL根据所使用的CA服务器的不同而有所不同,这里的配置只作为示例,请根据具体情况配置)。
· 输入LDAP服务器IP地址为“2.1.1.102”、端口为“389”,选择版本为“2”。
· 选择证书申请方式为“Manual”。
· 单击“高级设置”前的扩展按钮。
· 选中“启用CRl查询”前的复选框。
· 输入获取CRL的URL为“ldap://2.1.1.102”。
步骤4:单击<确定>按钮,弹出的对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”
步骤5:单击对话框中的<确定>按钮完成操作。
(3) 生成RSA密钥对。
步骤1:在导航栏中选择“证书管理 > 证书”。
步骤2:单击<创建密钥>按钮。
步骤3:单击<确定>按钮开始生成RSA密钥对。
(4) 获取CA证书至本地。
步骤1:生成密钥对成功后,在“证书管理 > 证书”的页面单击<获取证书>按钮。
步骤2:进行如下配置:
· 选择PKI域为“1”。
· 选择证书类型为“CA”。
步骤3:单击<确定>按钮开始获取CA证书。
(5) 申请本地证书。
步骤1:获取CA证书成功后,在“证书管理 > 证书”的页面单击<申请证书>按钮。
步骤2:选择PKI域为“1”。
步骤3:单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框。
步骤4:单击提示框中的<确定>按钮完成操作。
(6) 配置IPsec连接。
步骤1:在导航栏中选择“VPN > IPsec VPN”,默认进入“IPsec连接”页签的页面。
步骤2:单击<新建>按钮。
步骤3:进行如下配置:
· 输入IPsec连接名称为“con”。
· 选择接口为“Ethernet0/2”。
· 输入对端网关地址/主机名为“2.2.2.1”。
· 选择认证方式为“证书”,选择证书为“CN=router-b”。
· 选择筛选方式为“流量特征”。
· 输入源地址/通配符为“10.1.1.0/0.0.0.255”。
· 输入目的地址/通配符为“11.1.1.0/0.0.0.255”。
步骤4:单击<确定>按钮完成操作。
配置PKI时需要注意如下事项:
(1) 申请本地证书时,必须保证实体时钟与CA的时钟同步,否则申请证书的有效期会出现异常。
(2) Windows 2000 CA服务器对证书申请的数据长度有一定的限制。PKI实体身份信息配置项超过一定数据长度时,申请证书没有回应。
(3) 当采用Windows Server作为CA时,需要安装SCEP插件。此时,配置PKI域时,需要指定注册机构为RA。
(4) 当采用RSA Keon软件作为CA时,不需要安装SCEP插件。此时,配置PKI域时,需要指定注册机构为CA。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!