发布时间 : 星期四 文章华为防火墙配IPSEC更新完毕开始阅读
配置过程
要完成证书申请的配置,需要按照以下过程配置。 序号 1 2 3 4 5 6 7
过程 配置实体名称 创建本地公私密钥对 配置证书申请受理机构 获取CA证书 申请本地证书 (可选)获取CRL 检查配置结果 8.4.2 配置实体名称
实体名称,也就是实体DN(Distinguished Name)可以唯一确定一个与CA通信的对象。每台IPSec设备均可以抽象为一个唯一的实体DN。
在配置实体时,只有实体通用名称common-name必配,其他参数不影响证书申请。
步骤 步骤 步骤 步骤
1 执行命令system-view,进入系统视图。
2 执行命令pki entity entity-name,创建实体名称,并进入实体视图。 3 (必选)执行命令common-name name,配置实体通用名称。 4 (可选)执行命令fqdn fqdn-name,配置实体的FQDN(Fully Qualified Domain Name)名称。
5 (可选)执行命令country country-code,配置实体国家代码。 国家代码可以在ISO3166中查询。
步骤
步骤 步骤
6 (可选)执行命令state state-name,配置实体所属州或省的名称。 7 (可选)执行命令locality locality-name,配置实体所在地区名称,建议配置为城市名称。
8 (可选)执行命令organization organization-name,配置实体所属组织名称。
9 (可选)执行命令organizational-unit unit-name,配置实体所属单位名称(区分属于同一个组织的不同部门的实体)。
步骤
步骤
步骤 10 (可选)执行命令ip-address ip-address,配置实体的IP地址。
? 这里如果配置了IP地址,IP地址会被记录到证书中。RSA签名方式的IKE
协商将使用到此地址。
? 配置
IKE协商时,在IKE Peer视图中执行remote-address命令配置的对端IP地址,必须和对端的实体IP地址一致才能协商成功。
步骤 11 (可选)执行命令email email-address,配置实体的电子邮箱地址。 ----结束
8.4.3 创建本地公私密钥对
? 当本地证书已存在时,为保证密钥对与现存证书的一致性,必须删除
本地证书后方可执行该命令生成新的密钥对。
? 若本地已有
RSA密钥对,则创建的新密钥对将覆盖旧密钥对。
密钥对可分为本地RSA主机密钥对和服务器密钥对,每个密钥对均由私钥和公钥组成。
这两个密钥对提供给SSH使用,其中服务器密钥对由本地服务器周期性地改变,主机密钥对不变。申请证书时使用的是主机密钥对。
步骤 步骤
1 执行命令system-view,进入系统视图。
2 执行命令rsa local-key-pair create,创建本地公私密钥对。 ----结束
8.4.4 配置证书申请受理机构
目前只支持Windows 2003 Server的证书申请受理机构。
步骤 步骤
1 执行命令system-view,进入系统视图。
2 执行命令pki domain domain-name,配置设备所属的PKI域,并进入PKI域视图。
PKI域是一组信任同一CA的实体DN的集合。一台设备可以属于多个PKI域。
步骤
3 执行命令ca identifier identifier-name,配置CA的标识符,指定本设备信任的CA名称。
4 执行命令certificate request entity entity-name,指定设备申请证书时使用的实体名称。
步骤
? 此处的实体名称要与在“8.4.2 配置实体名称”中配置的实体名称相
同。
? 不同的? 不同的
步骤
PKI域必须使用不同的CA中心。 PKI域必须使用不同的实体。
5 执行命令certificate request from { ca | ra },指定向CA注册证书还是向RA(Registration Authority)注册证书。默认情况下向RA注册证书(离线注册情况下不用执行该步)。
6 执行命令certificate request url url,配置证书注册的URL(离线注册情况下不用执行该步)。
如果上一步骤配置向CA注册,则是CA的URL,否则是RA的URL。
步骤
步骤
7 执行命令certificate request polling { interval interval | count count },配置SCEP(Simple Certification Enrollment Protocol)方式获取证书的状态查询时间间隔与报文轮询次数(离线注册情况下不用执行该步)。 默认情况下时间间隔20为分钟,轮询次数为5次。 ----结束
8.4.5 获取CA证书
步骤 步骤
1 执行命令system-view,进入系统视图。
2 执行命令pki retrieval-certificate ca domain domain-name,获取CA证书。
在获取到CA证书后,系统打印证书的SHA1校验和与MD5校验和,并提示是否为合法的CA,如果合法则输入“Y”,否则输入“N”。此步骤也可以通过LDAP或FTP方式获取。
在线获取CA证书使用该命令,如果已经采用离线方式获取到了CA证书,则执行pki import-certificate ca filename file-name命令将CA证书导入内存。
----结束
8.4.6 申请本地证书
证书申请前需要通过配置NTP,保证PKI实体与CA时钟同步,否则申请的证书有效期会出现问题。
步骤 步骤
1 执行命令system-view,进入系统视图。
2 执行命令pki request-certificate domain domain-name [ password password | pkcs10 [ filename filename ] ],申请本地证书。
此处可以有两种方式申请本地证书:
? 一种是通过
SCEP在线获取,当CA中心采用挑战密码Challenge
Password方式受理申请时,需要指定挑战密码password,而且密码必须与CA中心上的一致。
pkcs10请求文件离线申请。离线申请需要配置关
键字pkcs10,可以指定文件名,默认情况下使用“域名.req”文件名。
? 另一种是通过生成
采用离线方式申请到本地证书后,还需要执行pki import-certificate local filename file-name命令将本地证书导入内存。
----结束
8.4.7 (可选)获取CRL
如果在验证证书有效性时,需要检查CRL,则需要获取CRL。
步骤 步骤 步骤
1 执行命令system-view,进入系统视图。 2 执行命令pki domain name,进入PKI域视图。
3 执行命令crl { scep | ldap },选择使用SCEP协议在线获取CRL还是从LDAP服务器获取CRL(Certificate Revocation List),默认使用SCEP。 4 根据选择的CRL获取方式,进行不同的配置。
? 如果选择? 如果选择
步骤
SCEP,则执行命令crl url url,配置获取CRL的URL。
LDAP,则首先执行命令ldap-server ip ip-address [ port
port-number | version version ],配置LDAP服务器地址、监听端口号以及LDAP版本号。
然后执行命令crl ldap attribute attr-value dn dn,配置设备向LDAP服务器获取CRL时使用的属性和标识符。
port默认值为389,version默认值为3,attribute默认值为certificateRevocationList;binary。
步骤 步骤
5 执行命令quit,退回系统视图。
6 执行命令pki retrieval-crl domain domain-name,手工获取CRL并下载至设备。
以上步骤为在线获取CRL的过程,如果已经采用离线方式获取到了CRL,则需要执行pki import-certificate crl filename file-name命令将CRL导入内存。
----结束
8.4.8 检查配置结果
在用户视图下执行以下命令检查配置结果。 操作 查看ca_list中是否包含下载的CA证书和CRL 命令 display pki ca_list