《2020网络安全PKI配置指导手册.docx》由会员分享,可在线阅读,更多相关《2020网络安全PKI配置指导手册.docx(47页珍藏版)》请在课桌文档上搜索。
1、H3C网络安全PKI配置指导手册20201 PKI1-11.1 PKI简介1-11.1.1 概述1-11.1.2 相关术语1-11.1.3 体系结构1-21.1.4 PKl实体申请证书的工作过程1-31.1.5 主要应用1-31.1.6 证书申请支持MPLSL3VPN1-41.2 PKI配置任务简介1-41.3 配置PKl实体1-51.4 配置PKl域1-61.5 申请证书1-91.5.1 自动申请证书1-91.5.2 手工申请证书1-101.6 停止证书申请过程1-111.7 手工获取证书1-111.8 配置证书验证1-121.8.1 配置使能CRL检查的证书验证1-131.8.2 配置不使
2、能CRL检查的证书验证1-141.9 配置证书和CRL的存储路径1-141.10 导出证书1-151.11 删除证书1-151.12 配置证书访问控制策略1-161.13 PKl显示和维护1-171.14 PKl典型配置举例1-171.14.1 PKl实体向CA申请证书(采用RSAKeonCA服务器)1-171.14.2 PKl实体向CA申请证书(采用WindOWS2003SerVerCA服务器)1-201.14.3 PKl实体向CA申请证书(采用OPenCA服务器)1-241.14.4 NAT-PT组网中PKl实体向CA申请证书(采用RSAKeC)nCA服务器)1-271.14.5 使用RS
3、A数字签名方法进行IKE协商认证(采用WindOWS2003SerVerCA服务器)1-301.14.6 证书属性的访问控制策略应用举例1-331.14.7 导出、导入证书应用举例1-351.15 常见配置错误举例1-401.15.1 获取CA证书失败1-401.15.2 获取本地证书失败1-411.15.3 本地证书申请失败1-411.15.4 CRL获取失败1-421.15.5 导入CA证书失败1-431.15.6 导入本地证书失败1-431.15.7 导出证书失败1-441.15.8 设置存储路径失败1-441PKI国说明设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变
4、化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。设备运行于低加密版本时,本特性部分配置相对于高加密版本有所变化,具体差异请见本文相关描述。可以通过安装相应的IiCenSe将设备从低加密版本升级为高加密版本,也可以通过卸载相应的license将升级为高加密版本的设备恢复为低加密版本。1.1 PKl简介1.1.1 概述PKl(PublicKeyInfrastructure,公钥基础设施)是一个利用公钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。公钥体制也称为非对称密钥体制,是目前已经得到广泛应用的一种密码体制。该体制使用一个公开的密
5、钥(公钥)和一个保密的密钥(私钥)进行信息的加密和解密,用公钥加密的信息只能用私钥解密,反之亦然。这样的一个公钥和其对应的一个私钥称为一个密钥对。公钥体制的这种特点使其可以应用于安全协议,实现数据源认证、完整性和不可抵赖性。PKI系统以数字证书的形式分发和使用公钥。数字证书是一个用户的身份和他所持有的公钥的结合。基于数字证书的PKl系统,能够为网络通信和网络交易(例如电子政务和电子商务)提供各种安全服务。目前,H3C的PKl特性可为安全协议IPsec(IPSecurity,IP安全)、SSL(SecureSocketsLayer,安全套接字层)提供证书管理机制。1.1.2 相关术语1. 数字证
6、书数字证书是经CA(CertificateAUthOrity,证书颁发机构)签名的、包含公钥及相关的用户身份信息的文件,它建立了用户身份信息与用户公钥的关联。CA对数字证书的签名保证了证书是可信任的。数字证书的格式遵循ITU-TX.509国际标准,目前最常用的为X.509V3标准。数字证书中包含多个字段,包括证书签发者的名称、被签发者的名称(或者称为主题)、公钥信息、CA对证书的数字签名、证书的有效期等。本手册中涉及四类证书:CA证书、RA(RegistrationAuthority,证书注册机构)证书、本地证书和对端证书。 CA证书是CA持有的证书。若PKI系统中存在多个CA,则会形成一个C
7、A层次结构,最上层的CA是根CA,它持有一个自签名的证书(即根CA对自己的证书签名),下一级CA证书分别由上一级CA签发。这样,从根CA开始逐级签发的证书就会形成多个可信任的链状结构,每一条路径称为一个证书链。 RA证书是RA持有的证书,由CA签发。RA受CA委托,可以为CA分担部分管理工作。RA在PKl系统中是可选的。 本地证书是本设备持有的证书,由CA签发。 对端证书是其它设备持有的证书,由CA签发。2. CRL(CertificateRevocationList,证书吊销列表)由于用户名称的改变、私钥泄漏或业务中止等原因,需要存在一种方法将现行的证书吊销,即废除公钥及相关的用户身份信息的
8、绑定关系。在PKI中,可以通过发布CRL的方式来公开证书的吊销信息。当一个或若干个证书被吊销以后,CA签发CRL来声明这些证书是无效的,CRL中会列出所有被吊销的证书的序列号。因此,CRL提供了一种检验证书有效性的方式。3. CA策略CA策略是指CA在受理证书请求、颁发证书、吊销证书和发布CRL时所采用的一套标准。通常,CA以一种叫做CPS(CertificationPracticeStatement,证书惯例声明)的文档发布其策略。CA策略可以通过带外(如电话、磁盘、电子邮件等)或其它方式获取。由于不同的CA使用不同的策略,所以在选择信任的CA进行证书申请之前,必须理解CA策略。1.1.3体
9、系结构一个PKl体系由终端PKl实体、CA、RA和证书/CRL发布点四类实体共同组成,如下图1-1。图1-1PKI体系结构图1 .终端PKl实体终端PKl实体是PKl服务的最终使用者,可以是个人、组织、设备(如路由器、交换机)或计算机中运行的进程,后文简称为PKI实体02 .CA(CertificateAuthority,证书颁发机构)CA是一个用于签发并管理数字证书的可信PKl实体。其作用包括:签发证书、规定证书的有效期和发布CRLo3 .RA(RegistrationAuthority,证书注册机构)RA是一个受CA委托来完成PKI实体注册的机构,它接收用户的注册申请,审查用户的申请资格,
10、并决定是否同意CA给其签发数字证书,用于减轻CA的负担。建议在部署PKI系统时,RA与CA安装在不同的设备上,减少CA与外界的直接交互,以保护CA的私钥。4 .证书/CRL发布点证书/CRL发布点用于对用户证书和CRL进行存储和管理,并提供查询功能。通常,证书/CRL发布点位于一个目录服务器上,该服务器可以采用LDAP(LightweightDirectoryAccessProtocol,轻量级目录访问协议)协议、HTTP等协议工作。其中,较为常用的是LDAP协议,它提供了一种访问发布点的方式。LDAP服务器负责将CA/RA服务器传输过来的数字证书或CRL进行存储,并提供目录浏览服务。用户通过
11、访问LDAP服务器获取自己和其他用户的数字证书或者CRLo1.1.4 PKl实体申请证书的工作过程下面是一个PKl实体向CA申请本地证书的典型工作过程,其中由RA来完成PKl实体的注册:(1) PKl实体向RA提出证书申请;(2) RA审核PKI实体身份,将PKI实体身份信息和公钥以数字签名的方式发送给CA;(3) CA验证数字签名,同意PKl实体的申请,并颁发证书;(4) RA接收CA返回的证书,将其发布到LDAP服务器(或其它形式的发布点)上以提供目录浏览服务,并通知PKl实体证书发布成功;(5) PKI实体通过SCEP(SimpleCertificateEnrollmentProtoco
12、l,简单证书注册协议)从RA处获取证书,利用该证书可以与其它PKl实体使用加密、数字签名进行安全通信。1.1.5 主要应用PKI技术能满足人们对网络交易安全保隙的需求。PKI的应用范围非常广泛,并且在不断发展之中,下面给出几个应用实例。1. VPN(VirtualPrivateNetwork,虚拟专用网络)VPN是一种构建在公用通信基础设施上的专用数据通信网络,它可以利用网络层安全协议(如IPSeC)和建立在PKI上的加密与数字签名技术来获得完整性保护。2. 安全电子邮件电子邮件的安全也要求机密性、完整性、数据源认证和不可抵赖。目前发展很快的安全电子邮件协议S/MIME(Secure/Mult
13、ipurposeInternetMailExtensions,安全/多用途Internet邮件扩充协议),是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKl技术。3. Web安全为了透明地解决Web的安全问题,在浏览器和服务器之间进行通信之前,先要建立SSL连接。SSL协议允许在浏览器和服务器之间进行加密通信,并且利用PKI技术对服务器和浏览器端进行身份验证。1.1.6 证书申请支持MPLSL3VPN实际组网应用中,某企业的各分支机构属于不同的VPN,且各VPN之间的业务相互隔离。如果各分支机构的用户要通过位于总部VPN中的服务器申请证书,则需要PKl证书申请支持MPLSL3V
14、PN。如图12所示,连接客户端PKlenUty的PE设备,通过MPLSL3VPN将私网客户端PKlenMty的证书申请报文透传给网络另一端的CASerVer,CASerVer接收并处理证书申请信息,连接服务器端的PE设备将CAserver签发的证书也通过MPLSL3VPN透传回PKlentity,满足了私网VPN业务隔离情况下的证书申请。关于MPLSL3VPN的相关介绍请参见“MPLS配置指导”中的“MPLSL3VPN”。图1-2证书申请支持MPLSL3VPN1.2 PKI配置任务简介表1-1PKl配置任务简介配置任务说明详细配置配置PKl实体必选1.3配置PKl域必选1.4申请证书自动申请证
15、书二者必选其一1.55手工申请证书152停止证书申请过程可选1.6手工获取证书可选1.7配置证书验证可选L8配置证书和CRL的存储路径可选1.9导出证书可选1.10删除证书可选1.11配置证书属性的访问控制策略可选1.121.3 配置PKl实体一份证书是一个公钥与一个实体身份信息的绑定。PKl实体的参数是PKl实体的身份信息,CA根据PKl实体提供的身份信息来唯标识证书申请者。一个有效的PKl实体参数中必须至少包括以下参数之一:(1) DN(DistinguishedName,识别名),包含以下参数: 实体通用名。对于DN参数,实体的通用名必须配置。 实体所属国家代码,用标准的两字符代码表示。
16、例如,“CN”是中国的合法国家代码,“US”是美国的合法国家代码 实体所在地理区域名称 实体所属组织名称 实体所属组织部门名称 实体所属州省(2) FQDN(FullyQualifiedDomainName,完全合格域名),是PKl实体在网络中的唯标识IP地址配置PKI实体时,需要注意的是: PKl实体的配置必须与CA证书颁发策略相匹配,因此建议根据CA证书颁发策略来配置PKI实体,如哪些PKI实体参数为必选配置,哪些为可选配置。申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败。 WindOWS200OCA服务器的SCEP插件对证书申请的数据长度有一定的限制。PKl实体配置项超
17、过一定数据长度时,CA将不会响应PKl实体的证书申请。这种情况下如果通过离线方式提交申请,WindoWS200OCA服务器可以完成签发。其它CA服务器(例如RSA服务器和OPenCA服务器)目前没有这种限制。表1-2配PKI实体操作命令I说明进入系统视图system-view-创建一个PKl实体,并进入该PKl实体视图pkientityentity-name缺省情况下,无PKl实体存在设备支持创建多个PKl实体配置FKl实体的通用名common-namecommon-name-sting缺省情况下,未配置PKl实体的通用名配置PKl实体所属国家代码countrycountry-code-str
18、ing缺省情况下,未配置FKl实体所属国家代仍配置PKl实体所在地理区域名称localitylocality-name缺省情况下,未配置PKl实体所在地理区域名称配置PKl实体所属组织名称organizationorg-name缺省情况卜.,未配置PKl实体所属组织名称配置PKl实体所屈组织部门名称organization-unitorg-unit-name缺省情况下,未配置PKl实体所属组织部门名称配置PKl实体所属州或省的名称statestate-name缺省情况下,未配置PKl实体所属州或省的名称操作命令I说明配置PKl实体的FQDNfqdnfqdn-namestring缺省情况下,未配
19、置PKl实体的FQDN配置PKl实体的IP地址ipip-addressinterfaceinterface-typeinterface-number缺省情况卜.,未配置PKl实体的IP地址1.4 配置PKl域PKl实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程。这些信息的集合就是一个PKI域。PKI域是一个本地概念,创建PKI域的目的是便于其它应用(比如IKE、SSL)引用PKI的配置。PKl域中包括以下参数:(1)信任的CA名称PKI实体通过一个可信的CA来完成证书的注册及颁发的。在证书申请之前,若当前的PKI域中没有CA证书,则需要首先获取CA证书,获取CA证书之
20、前必须指定一个信任的CA名称。这个名称会被作为SCEP消息的一部分发送给CA服务器。一般情况下,CA服务器会忽略收到的SCEP消息中的CA名称的具体内容。但是如果在同一台服务器主机上配置了两个CA,且它们的URL是相同的,则需要根据PKI域中指定的信任的CA名词来区分它们。设备信任的CA的名称只是在获取CA证书时使用,申请本地证书时不会用到。(2)PKl实体名称向CA发送证书申请请求时,必须指定所使用的PKl实体名,以向CA表明自己的身份。(3)证书申请的注册受理机构证书申请的受理一般由一个独立的注册机构(即RA)来承担,它并不给用户签发证书,只是对用户进行资格审查。有时PKI把注册管理的职能
21、交给CA来完成,而不设立独立运行的RA,但这并不是取消了PKI的注册功能,而是将其作为CA的一项功能而己。推荐使用独立运行的RA作为注册受理机构。(4)注册受理机构服务器的URL证书申请之前必须指定注册受理机构服务器的URL,PKI实体通过SCEP(SimpleCertificateEnrollmentProtocol,简单证书注册协议)向该URL地址发送证书申请请求。SCEP是专门用于与认证机构进行通信的协议。(5)证书申请状态的查询周期和最大次数PKI实体在发送证书申请后,如果CA手工验证申请,证书的签发会需要很长时间。在此期间,PKI实体会定期发送状态查询,以便在证书签发后能及时获取到证
22、书。设备上可以配置证书申请状态的查询周期和最大次数。(6)LDAP服务器主机名在PKl系统中,可以采用LDAP服务器来作为证书或CRL发布点,这时就需要指定LDAP服务器的位置。(7)验证CA根证书时使用的指纹CA根证书的指纹,即根证书内容的散列值,该值对于每一个证书都是唯一的。PKl域中可以指定验证CA根证书时使用的指纹,缺省情况下未指定该指纹。当设备从CA获得根证书时,可能需要验证CA根证书的指纹,具体包括以下两种情况: 通过命令获取CA证书或者导入CA证书,如果获取到的CA证书链中包含了设备上没有的CA根证书,需要验证CA根证书的指纹。如果PKl域中指定了验证根证书的指纹,且设备获取到的
23、CA根证书的指纹与在PKl域中指定的指纹不同,则设备将拒绝接收该CA根证书,继而相应的获取CA证书或者导入CA证书操作会失败;如果PKl域中未指定验证根证书的指纹,则会提示用户自行验证根证书指纹。 当IKE协商等应用触发设备进行本地证书申请时,如果配置的证书申请方式为自动方式,且本地没有CA证书,设备会自动从CA服务器上获取CA证书。如果获取到的CA证书链中包含了设备上没有的CA根证书,则需要验证CA根证书的指纹。如果PKl域中指定了验证根证书的指纹,且设备获取到的CA根证书的指纹与在PKl域中指定的指纹不同,则设备将拒绝接收该CA根证书,继而本地证书申请的操作会失败。如果PKl域中未指定验证
24、根证书的指纹,则本地证书申请的操作会失败。(8)证书申请使用的密钥对密钥对的产生是证书申请过程中重要的一步。申请过程使用了一对主机密钥:私钥和公钥。私钥由用户保留,公钥和其它信息则交由CA进行签名,从而产生证书。在PKl域中可以引用三种算法的密钥对,分别为DSA密钥对、ECDSA密钥对、RSA密钥对。有关DSA.ECDSA和RSA密钥对的具体配置请参见“安全配置指导”中的“公钥管理”。申请证书前必须指定使用的密钥对,但该密钥对不必已经存在。申请过程中,如果指定的密钥对不存在,PKI实体可以根据指定的名字、算法和密钥模数长度生成相应的密钥对。(9)证书的扩展用途设备支持的证书扩展用途包括以下几种
25、: IKE使用 SSL客户端使用 SSL服务器端使用证书申请中会带有指定的证书扩展用途,但最终签发的证书中带有哪些扩展用途,由CA自己的策略决定,可能与PKI域中指定的配置不完全一致。应用程序(例如IKE,SSD认证过程中是否会使用这些用途,由应用程序的策略决定。(10)本地PKl操作产生的协议报文使用的源IP地址如果希望PKI实体操作产生的PKI协议报文的源IP地址是一个特定的地址,例如当CA服务器上的策略要求仅接受来自指定地址或网段的证书申请时,则需要通过配置指定该地址。 1-3配置PKI域配置任务命令说明进入系统视图system-view-创建一个PKl域,并进入PKl域视图pkidom
26、aindomain-name缺省情况下,不存在PKl域配置设备信任的CA名称caidentifiername获取本地证书之前,若当前的PKl域中没有CA证书,则需要首先获取CA证书。获取CA证书之前,必须配置信任的CA名称缺省情况下,未配置信任的CA名称配置任务命令说明指定用于申请证书的PM实体名称certificaterequestentityentity-name缺省情况下,未指定用于申请证书的PKl实体名称配置证书申请的注册受理机构certificaterequestfromcara缺省情况下,未指定证书申请的注册受理机构配置注册受理机构服务器的URLcertificaterequest
27、urlrl-strigvpn-instancevpn-istance-name缺省情况下,未指定注册受理机构服务器的URL(可选)配置证书申请状态查询的周期和最大次数certificaterequestpollingcountcountintervalminutes)缺省情况下,证书申请查询间隔为20分钟,最多查询50次指定LDAP服务器Idap-Serverhosthostnameportport-numbervpn-instancevpn-instance-name需要通过LDAP协议获取证书时,此配置必选:需要通过LDAP协议获取CRL时,如果CRL的URL中未包含发布点地址信息,则此配
28、置必选缺省情况下,未指定LDAP服务器配置验证CA根证书时使用的指纹非FiPS模式下:root-certificatefingerprintmd5sha1stringFiPS模式下:root-certificatefingerprintsha1string当证书申请方式为自动方式时,此配置必选:当证书申请方式为手工方式时,此配置可选,若不配置,需要用户自行验证根证书指纹缺省情况下,未指定验证根证书时使用的指纹(三者选其一)指定证书申请时使用的密钥对指定RSA密钥对public-keyrsaencryptionnameencryption-key-namelengthkey-lengthsign
29、aturenamesignature-key-namelengthkey-lengthJ*generalnamekey-namelengthkey-length缺省情况下,未指定所使用的密钥对指定ECDSA密钥对public-keyecdsanamekey-name指定DSA密钥对public-keydsanamekey-namelengthkey-length(可选)指定证书的扩展用途usageikessl-clientssl-server)*缺省情况下,证书可用于所有用途(二者可选其一)指定PKl操作产生的协议报文使用的源IP地址sourceipip-addressinterfaceint
30、erface-typeinterface-number缺省情况下,PKl操作产生的协议报文的源IP地址为系统根据路由查找到的出接口的地址sourceipv6ipv6-addressinterfaceinterface-typeinterface-number1.5申请证书申请证书的过程就是PKl实体向CA自我介绍的过程。PKI实体向CA提供身份信息,以及相应的公钥,这些信息将成为颁发给该PKI实体证书的主要组成部分。PKI实体向CA提出证书申请,有离线和在线两种方式。 离线申请方式下,CA允许申请方通过带外方式(如电话、磁盘、电子邮件等)向CA提供申请信息。 在线申请方式下,实体通过SCEP协
31、议向CA提交申请信息。在线申请有自动申请和手工申请两种方式。下文将详细介绍这两种方式的具体配置。1.5.1 自动申请证书rt-.申请证书之前必须保证设备的系统时钟与CA的时钟同步,否则设备可能会错误地认为证书不在有效期内,导致申请证书失败。调整系统时钟的方法请参见“基础配置指导”中的“设备管理”。对于系统自动申请到的证书,当它们即将过期时或正式过期后,系统不会自动向CA发起重新申请。这种情况下,可能会由于证书过期造成应用协议的业务中断。配置证书申请方式为自动方式后,当有应用协议与PKI联动时,如果应用协议中的PKI实体无本地证书(例如,IKE协商采用数字签名方法进行身份认证,但在协商过程中没有
32、发现本地证书),则PKI实体自动通过SCEP协议向CA发起证书申请,并在申请成功后将本地证书获取到本地保存。在证书申请之前,若当前的PKI域中没有CA证书,也会首先自动获取CA证书。在申请过程中,如果指定的密钥对不存在,则PKl实体根据PKl域中指定的名字、算法和长度生成相应的密钥对。需要注意的是,木地证书已存在的情况下,为保证密钥对与现存证书的一致性,不建议执行命令public-keylocalcreate或public-keylocaldestroy创建或删除与现存证书使用的密钥对相同名称的密钥对,否则会导致现存证书不可用。若要重新申请本地证书,必须首先删除本地证书,然后再执行public
33、-keylocalcreate命令生成新的密钥对,或使用命令public-keylocaldestroyl11的密钥对后再生成新的密钥对。有关公钥相关命令的详细介绍,请参见“安全命令参考”中的“公钥管理”。表1-4自动申请证书操作命令说明进入系统视图system-view-进入PKl域视图pkidomaindomain-name-配置证书申请为自动方式certificaterequestmodeautopasswordciphersimplepassword缺省情况下,证书申请为手工方式证书申请为自动方式时,可以指定吊销证书时使用的口令password,是否需要指定11令是由CA服务器的策略决
34、定的1.5.2 手工申请证书XEW二申请证书之前必须保证设备的系统时钟与CA的时钟同步,否则设备可能会错误地认为证书不在有效期内,导致申请证书失败。调整系统时钟的方法请参见“基础配置指导”中的“设备管理”。配置证书申请方式为手工方式后,需要手工执行申请本地证书的操作。手工申请成功后,设备将把申请到的本地证书自动获取到本地保存。1 .配置限制和指导 一个PKI域中,只能存在DSA.ECDSA或RSA中一种密钥算法类型的本地证书。采用DSA和ECDSA算法时,一个PKI域中最多只能同时申请和存在一个本地证书;采用RSA算法时,一个PKl域中最多只能同时申请和存在一个用途为签名的RSA算法本地证书和
35、一个用途为加密的RSA算法本地证书。 如果一个PKl域中已存在一个本地证书,为保证密钥对与现存证书的一致性,不建议执行命令public-keylocalcreate或public-keylocaldestroy创建或删除与现存证书使用的密钥对相同名称的密钥对,否则会导致现存证书不可用。若要重新申请本地证书,必须首先删除本地证书,然后再执行PUbIiC-keylocalcreate命令生成新的密钥对或使用命令public-keyIOCaIdeStrOy删除旧的密钥对。有关该命令的详细介绍,请参见“安全命令参考”中的“公钥管理”。 如果一个PKl域中已存在一个本地证书,则不允许再手工执行在线证书申
36、请操作申请一个与其互斥的证书,以避免因相关配置的修改使得证书与注册信息不匹配。若想重新申请,请先使用Pkidelete-CertifiCate命令删除本地证书,然后再执行pkirequest-certificatedomain命令。 当无法通过SCEP协议向CA在线申请证书时,可以首先通过执行命令pkirequest-certificatedomainpkcs10打印出证书申请信息到终端上,或者通过执行指定pkirequest-certificatedomainpkcs10filename将证书申请信息保存到指定的文件中,然后再通过带外方式将这些本地证书申请信息发送给CA进行证书申请。2,配置
37、准备在手工申请本地证书之前,必须保证当前的PKl域中已经存在CA证书且指定了证书申请时使用的密钥对。 PKl域中的CA证书用来验证获取到的本地证书的真实性和合法性。在证书申请之前,若PKI域中没有CA证书,则需要手工获取CA证书。 PKl域中指定的密钥对用于为PKl实体申请本地证书,其中的公钥和其他信息交由CA进行签名,从而产生本地证书。3.配置步骤表1-5手工申请证书操作命令说明进入系统视图system-view-操作命令说明进入PKl域视图pkidomaindomain-name-配置证书申请为手工方式certificaterequestmodemanual缺省情况下,证书申请为手工方式退
38、回系统视图quit-手工获取CA证书请参见LZ-手工申请本地证书或生成PKCS#10证书申请pkirequest-certificatedomaindomain-namepasswordpasswordpkcs10filenamefilename此命令不会被保存在配置文件中执行本命令时,如果本地不存在PKl域所指定的密钥对,则系统会根据PKl域中指定的名字、算法和长度自动生成对应的密钥对1.6 停止证书申请过程用户可以通过此配置停止正在进行中的证书申请过程。用户在证书申请时,可能由于某种原因需要改变证书申请的一些参数,比如通用名、国家代码、FQDN等,而此时证书申请过程正在进行,为了新的申请不
39、与之前的申请发生冲突,建议先停止之前的申请,再进行新的申请。可以通过displaypkicertificaterequest-status命令查询正在进行中的证书申请过程。另外,删除PKl域也可以停止对应的证书申请过程。表1-6停止证书申请过程操作命令说明进入系统视图system-view-停止证书申请过程pkiabort-certificate-requestdomaindomain-name此命令不会被保存在配置文件中1.7 手工获取证书获取证书的目的是:将CA签发的与PKl实体所在PKl域有关的证书存放到本地,以提高证书的查询效率,减少向PKI证书发布点查询的次数。用户通过此配置可以将已
40、存在的CA证书、本地证书或者外部PKl实体证书获取至本地保存。获取证书有两种方式:离线导入方式和在线方式。离线导入方式:通过带外方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地。如果设备所处的环境中没有证书的发布点、CA服务器不支持通过SCEP协议与设备交互、或者证书对应的密钥对由CA服务器生成,则可采用此方式获取证书。在线方式:从证书发布服务器上在线获取证书并下载至本地,包括通过SCEP协议获取CA证书和通过LDAP协议获取本地或对端证书。1 .配置限制和指导 如果本地已有CA证书存在,则不允许执行在线方式获取CA证书的操作。若想重新获取,请先使用Pkideletecertif
41、icate命令删除CA证书与本地证书后,再执行获取CA证书的命令。 如果PKl域中已经有本地证书或对端证书,仍然允许执行在线方式获取本地证书或对端证书,获取到的证书直接覆盖已有证书。但对于RSA算法的证书而言,一个PKI域中可以存在一个签名用途的证书和一个加密用途的证书,不同用途的证书不会相互覆盖。 如果使能了CRL检查,手工获取证书时会触发CRL检查,如果CRL检查时发现待获取的证书已经吊销,则获取证书失败。 设备根据自身的系统时间来判断当前的证书是否还在其有效期内,设备系统时间不准确可能导致设备对于证书有效期的判断出现误差或错误,例如认为实际还在有效期内证书已过期,因此请确保设备系统时间的
42、准确性。2 .配置准备获取本地证书或对端证书之前必须完成以下操作: 在线获取本地证书和对端证书是通过LDAP协议进行的,因此在线获取本地证书或对端证书之前必须完成PKl域中指定LDAP服务器的配置。离线导入证书之前,需要通过FTP、TFTP等协议将证书文件传送到设备的存储介质中。如果设备所处的环境不允许使用FTP、TFTP等协议,则可以直接采用在终端上粘贴证书内容的方式导入,但是粘贴的证书必须是PEM(PrivacyEnhancedMail,增强保密邮件)格式的,因为只有PEM格式的证书内容为可打印字符。 只有存在签发本地证书的CA证书链才能成功导入本地证书,这里的CA证书链可以是保存在PKI
43、域中的,也可以是本地证书中携带的。若设备和本地证书中都没有CA证书链,则需要预先获取到CA证书链。导入对端证书时,需要满足的条件与导入本地证书相同。离线导入含有被加密的密钥对的本地证书时,需要输入加密口令。请提前联系CA服务器管理员取得该口令。3 .配置步骤4 1-7手工获取证书操作命令说明进入系统视图system-view-手工获取证书离线导入方式pkiimportdomaindomain-namedercalocalpeerfilenamefilenamep12localfilenamefilenamepemcalocalpeerfilenamefilenamejpkiretrieve-c
44、ertificate命令不会被保存在配置文件中在线方式pkiretrieve-certificatedomaindomain-namecalocalpeerentity-name5 .8配置证书验证在使用每一个证书之前,必须对证书进行验证。证书验证包括检查本地、CA证书是否由可信的CA签发,证书是否在有效期内,证书是否未被吊销。申请证书、获取证书以及应用程序使用PKl功能时,都会自动对证书进行验证,因此一般不需要使用命令行手工进行证书验证。如果用户希望在没有任何前述操作的情况下单独执行证书的验证,可以手工执行证书验证。配置证书验证时可以设置是否必须进行CRL检查。CRL检查的目的是查看PKl实
45、体的证书是否被CA吊销,若检查结果表明PKl实体的证书已经被吊销,那么该证书就不再被其它PKl实体信任。 如果配置为使能CRL检查,则需要首先从CRL发布点获取CRLoPKl域中未配置CRL发布点的URL时,从该待验证的证书中获取发布点信息:优先获取待验证的证书中记录的发布点,如果待验证的证书中没有记录发布点,则获取CA证书中记录的发布点(若待验证的证书为CA证书,则获取上一级CA证书中记录的发布点)。如果无法通过任何途径得到发布点,则通过SCEP协议获取CRLo由于设备通过SCEP获取CRL是在获取到CA证书和本地证书之后进行,因此该方式下必须保证设备已经获取到CA证书和本地证书。使能了CR
46、L检查的情况下,如果PKl域中不存在相应的CRL、CRL获取失败、或者CRL检查时发现待获取的证书已经吊销,则手动申请证书、获取证书的操作将会失败。 如果配置为不使能CRL检查,则不需要获取CRLo需要注意的是,验证一个PKl域中的CA证书时,系统会逐级验证本域CA证书链上的所有CA证书的有效性,因此需要保证设备上存在该CA证书链上的所有上级CA证书所属的PKl域。验证某一级CA证书时,系统会根据该CA证书的签发者名(IssuerName)查找对应的上一级CA证书,以及上一级CA证书所属的(一个或多个)PKl域。若查找到了相应的PKl域,且该PKl域中使能了CRL检查,则根据该PKl域中的配置对待验证的CA证书进行吊销检查,否则不检查待验证的CA证书是否被吊销。检查CA证书链中的CA(根CA除外)是否被吊销后,从根CA逐级验证CA证书链的签发关系。1.1.1 配置使能CRL检查的证书验证表1-8配置使能CRL检查的证书验证操作命令说明进入系统视图system-view-进入PKl域视图pkidomaindomain-name-
