- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
15-CA中心
本章节下载: 15-CA中心 (503.31 KB)
CA中心又称CA机构,即证书授权中心(Certificate Authority),或称证书授权机构,作为权威的、可信赖的、公正的第三方机构,专门负责发放并管理所有参与网上交易的实体所需的数字证书,承担公钥体系中公钥的合法性检验的责任。它作为一个权威机构,对密钥进行有效地管理,颁发证书证明密钥的有效性,并将公开密钥同某一个实体联系在一起。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。
本功能具有如下功能点:
· 作为可信任机构,管理维护根证书,发布证书撤销列表(CRL)。
· 作为可信任机构,签发用户证书,撤销用户证书。
· 通过TFTP协议,配合TFTP服务器,设备可对存在的用户证书进行管理和维护。
设备支持以下几种CA证书类型:
|
证书类型 |
说明 |
使用场景 |
|
CA根证书 |
CA服务器颁发的根证书 |
CA服务器证书和用户证书主要用途是导出后被其他功能模块导入并引用。 |
|
用户证书 |
基于CA服务器签发的用户证书 |
|
|
本地用户证书 |
上述用户证书导入到设备就是本地用户证书 |
本地证书用于设备某些模块。如IPSec,在建立连接时,对远端设备进行身份验证、再例如,解密解密策要引用证书等。 |
|
本地CA证书 |
上述CA证书导入到设备就是本地CA证书 |
|
|
国密证书 |
由国内国密厂商签发和生成的国密证书 |
|
|
CRL |
证书吊销列表 |
CRL为远端设备的身份验证提供验证条件,在验证证书的有效性时需要访问CRL。CRL相当于“黑名单”,一旦发现通信方的证书在这张列表中,就不允许其通过验证。 |
CA根证书是CA为自己颁发的证书,是信任链的起始点,安装根证书意味着对这个CA的信任。
通过菜单“策略配置 > 对象管理 > CA服务器 > 根CA配置管理 > 根证书管理”,进入如图1-1所示的页面。在该页面上,可以生成、导入、导出CA根证书。
点击<生成CA根证书>按钮,进入如图1-2所示页面,生成CA根证书,各个配置项的含义如表1-1所示。
图1-2 CA根证书配置页面
表1-1 CA根证书配置项含义描述表
|
标题项 |
说明 |
|
证书名称 |
根CA证书的名称。字符长度1~127,可包含数字、字母和下划线。 |
|
部门 |
CA证书的部门信息。 |
|
组织 |
CA证书的所属组织。 |
|
位置(城市) |
CA证书所在的位置。 |
|
州/省 |
CA证书所属的州或省。 |
|
国家/地区 |
CA证书的国家或地区信息。 |
|
电子邮件 |
CA证书持有者的联系方式。 |
|
有效期 |
CA证书的有效时间。 |
|
密码 |
CA证书的保护密码。1~127字符。 |
|
密钥大小 |
CA证书对应私钥的大小。 |
点击<提交>按钮,提交配置,生成CA根证书,如图1-3所示。
图1-3 CA根证书页面
点击<导出CA根证书>,可以通过TFTP协议,导出CA根证书至TFTP服务器。导出页面如图1-4所示。
图1-4 导出CA根证书页面
可选择导出为PKCS12格式的单个证书,或者证书密钥分离格式的证书。
点击<导入CA根证书>,可以通过TFTP协议,从TFTP服务器导入CA根证书。导入页面如图1-5所示。各个配置项含义如表1-2所示。
图1-5 导入CA根证书页面
表1-2 导入CA根证书配置项含义描述表
|
标题项 |
说明 |
|
上传证书类型 |
上传证书的类型,可以上传如下类型: · 单个证书:PKCS12格式的证书,证书和密钥文件一体。 · 证书密钥分离:PEM格式的证书,证书文件和密钥文件分离。 |
|
证书文件 |
证书密钥分离格式的证书文件。 |
|
密钥文件 |
证书密钥分离格式的密钥文件。 |
|
有密钥文件的证书 |
单个证书格式的证书文件。 |
|
密码 |
单个证书格式证书的保护密码。 |
CRL(Certificate Revocation List,证书撤销列表)。由于密钥被泄露、业务终止等原因,CA可通过撤销证书立即终止证书的使用,在此情况下CA需要公布CRL来声明该证书是无效的,并列出不能再使用的证书。
通过菜单“策略配置 > 对象管理 > CA服务器 > 根CA配置管理 > CRL管理”,进入如图1-6所示的页面。在该页面上,可以更新、导出、配置CRL自动更新周期。各个配置项含义如表1-3所示。
图1-6 CRL管理页面
表1-3 CRL配置项含义描述表
|
标题项 |
说明 |
|
CRL周期 |
CRL文件自动更新的周期,取值范围:1~30,单位为天。 |
|
CA本地CRL下载URL |
通过HTTP协议下载CRL文件的URL |
点击<更新CRL>按钮,可以立刻更新CRL文件。
点击<导出CRL列表>,可以通过TFTP协议,导出CRL文件至TFTP服务器。
设备所签发的用户证书可以由管理员导出,导出后可被IPSec、解密策略等功能引用,也可以直接复制到本地证书中。
通过菜单“策略配置 > 对象管理 > CA服务器 > 用户证书管理”,进入如图1-7所示的页面。在该页面上,可以生成、签发、撤销、删除、导出用户证书。
点击<生成证书请求>按钮,进入如图1-8所示的页面,各个配置项的含义如表1-4所示。
|
标题项 |
说明 |
|
证书名称 |
用户证书的名称。 |
|
部门 |
用户证书的部门信息。 |
|
组织 |
用户证书的所属组织。 |
|
位置(城市) |
用户证书所在的位置。 |
|
州/省 |
用户证书所属的州或省。 |
|
国家/地区 |
用户证书的国家或地区信息。 |
|
电子邮件 |
用户证书持有者的联系方式。 |
|
密钥大小 |
用户证书对应私钥的大小。 |
点击<提交>按钮,提交配置。提交配置后可通过如图1-9所示的页面查看。
点击<签发>按钮
,进入如图1-10所示的页面签发用户证书。各个配置项含义如表1-5所示。
|
标题项 |
说明 |
|
有效期 |
签发的用户证书的有效期 |
|
密码 |
用户证书的保护密码 |
点击<提交>按钮,提交配置。提交完配置后的页面如图1-11所示。在签发完证书后,就可以进行撤销、复制、查看、导出、删除的操作。
点击<复制>按钮,可以将选中的证书复制到本地用户证书中。
点击<删除>按钮,可以删除选中的证书。
点击<撤销>按钮,可以撤销选中的证书。撤销页面如图1-12所示。各个配置项含义如表1-6所示。
|
标题项 |
说明 |
|
撤销原因 |
撤销用户证书的原因,有如下原因: · Unspecified:未指定撤销原因 · KeyCompromise:私钥泄露 · CaCompromise:CA泄露 · Affiliation Changed:从属关系改变 |
点击<导出>按钮,可以通过TFTP协议,导出用户证书至TFTP服务器。导出页面如图1-13所示。
可选择导出为PKCS12格式的单个证书,或者证书密钥分离格式的证书。
点击<详细信息>按钮,可以查看用户证书的详细信息。如图1-14所示。
创建CA根证书。
进入根证书管理页面。按图1-15所示配置。
图1-15 配置CA根证书
点击<提交>按钮,提交配置。
进入根证书管理页面,查看CA根证书,如图1-16所示。
图1-16 CA根证书
创建用户证书请求,并签发用户证书。
(1) 进入用户证书管理页面,生成用户证书请求,如图1-17所示。
点击<提交>按钮,提交配置。
(2) 点击<签发>按钮,签发用户证书。如图1-18所示。
点击<提交>按钮,提交配置。
进入用户证书管理页面,查看用户证书,如图1-19所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
