- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
15-PKI配置
本章節下載: 15-PKI配置 (762.06 KB)
目 錄
1.4.8 配置注冊受理機構服務器和CRL發布點所屬的VPN實例
1.16.1 PKI實體向CA申請證書配置舉例(采用RSA Keon CA服務器)
1.16.2 PKI實體向CA申請證書配置舉例(采用Windows 2003 Server CA服務器)
1.16.3 PKI實體向CA申請證書配置舉例(采用OpenCA服務器)
1.16.4 使用RSA數字簽名方法進行IKE協商認證配置舉例(采用Windows 2003 Server CA服務器)
PKI(Public Key Infrastructure,公鑰基礎設施)是一個利用公鑰理論和技術來實現並提供信息安全服務的具有通用性的安全基礎設施。
PKI係統以數字證書的形式分發和使用公鑰。數字證書是用戶的身份和用戶所持有的公鑰的結合。基於數字證書的PKI係統,能夠為網絡通信和網絡交易(例如電子政務和電子商務)提供各種安全服務。有關公鑰的詳細介紹請參見“安全配置指導”中的“公鑰管理”。
數字證書是經CA(Certificate Authority,證書頒發機構)簽名的、包含公鑰及相關的用戶身份信息的文件,它建立了用戶身份信息與用戶公鑰的關聯。CA對數字證書的簽名保證了證書是可信任的。數字證書的格式遵循ITU-T X.509國際標準,目前最常用的為X.509 V3標準。數字證書中包含多個字段,包括證書簽發者的名稱、被簽發者的名稱(或者稱為主題)、公鑰信息、CA對證書的數字簽名、證書的有效期等。
本手冊中涉及四類證書:CA證書、RA(Registration Authority,證書注冊機構)證書、本地證書和對端證書。
· CA證書是CA持有的證書。若PKI係統中存在多個CA,則會形成一個CA層次結構,最上層的CA是根CA,它持有一個自簽名的證書(即根CA對自己的證書簽名),下一級CA證書分別由上一級CA簽發。這樣,從根CA開始逐級簽發的證書就會形成多個可信任的鏈狀結構,每一條路徑稱為一個證書鏈。
· RA證書是RA持有的證書,由CA簽發。RA受CA委托,可以為CA分擔部分管理工作。RA在PKI係統中是可選的。
· 本地證書是本設備持有的證書,根據簽發者的不同分為如下兩種:
¡ 由CA簽發的本地證書。
¡ 由設備簽發的本地證書,即自簽名證書。自簽名證書的頒發者和擁有者相同。在設備無法向CA申請本地證書時,可以由設備代替CA簽發生成自簽名證書,實現簡單的證書頒發功能。當設備上的業務模塊使用自簽名證書與對端通信時,無需從CA獲取數字證書,配置相對簡單,但此方式存在安全風險,僅適用於對安全性要求不高的場景。
· 對端證書是其它設備持有的證書,由CA簽發。
CA根證書的指紋,即根證書內容的散列值,該值對於每一個證書都是唯一的。
由於用戶名稱的改變、私鑰泄漏或業務中止等原因,需要存在一種方法將現行的證書吊銷,即廢除公鑰及相關的用戶身份信息的綁定關係。在PKI中,可以通過發布CRL的方式來公開證書的吊銷信息。當一個或若幹個證書被吊銷以後,CA簽發CRL來聲明這些證書是無效的,CRL中會列出所有被吊銷的證書的序列號。因此,CRL提供了一種檢驗證書有效性的方式。
CA策略是指CA在受理證書請求、頒發證書、吊銷證書和發布CRL時所采用的一套標準。通常,CA以一種叫做CPS(Certification Practice Statement,證書慣例聲明)的文檔發布其策略。CA策略可以通過帶外(如電話、磁盤、電子郵件等)或其它方式獲取。由於不同的CA使用不同的策略,所以在選擇信任的CA進行證書申請之前,必須理解CA策略。
一個PKI體係由終端PKI實體、CA、RA和證書/CRL發布點四類實體共同組成,如下圖1-1。
圖1-1 PKI體係結構圖
終端PKI實體是PKI服務的最終使用者,可以是個人、組織、設備(如路由器、交換機)或計算機中運行的進程,後文簡稱為PKI實體。
CA是一個用於簽發並管理數字證書的可信PKI實體。其作用包括:簽發證書、規定證書的有效期和發布CRL。
RA是一個受CA委托來完成PKI實體注冊的機構,它接收用戶的注冊申請,審查用戶的申請資格,並決定是否同意CA給其簽發數字證書,用於減輕CA的負擔。建議在部署PKI係統時,RA與CA安裝在不同的設備上,減少CA與外界的直接交互,以保護CA的私鑰。
證書/CRL發布點用於對用戶證書和CRL進行存儲和管理,並提供查詢功能。通常,證書/CRL發布點位於一個目錄服務器上,該服務器可以采用LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協議)協議、HTTP等協議工作。其中,較為常用的是LDAP協議,它提供了一種訪問發布點的方式。LDAP服務器負責將CA/RA服務器傳輸過來的數字證書或CRL進行存儲,並提供目錄瀏覽服務。用戶通過訪問LDAP服務器獲取自己和其他用戶的數字證書或者CRL。
下麵是一個PKI實體申請、使用和維護本地證書的典型工作過程,其中由RA來完成PKI實體的注冊:
(1) PKI實體生成密鑰對。
(2) PKI實體向RA提出證書申請;
(3) RA審核PKI實體身份,將PKI實體身份信息和公鑰以數字簽名的方式發送給CA;
(4) CA驗證數字簽名,同意PKI實體的申請,並頒發證書;
(5) RA接收CA返回的證書,將其發布到LDAP服務器(或其它形式的發布點)上以提供目錄瀏覽服務,並通知PKI實體證書發布成功;
(6) PKI實體通過SCEP(Simple Certificate Enrollment Protocol,簡單證書注冊協議)從RA處獲取證書,利用該證書可以與其它PKI實體使用加密、數字簽名進行安全通信。
(7) 兩個PKI實體互相發送自己的本地證書給對端以互相驗證對端身份的合法性。
(8) 若兩個PKI實體均驗證對端證書為合法,則兩端互相信任,可以建立數據連接;否則,兩端互不信任,不能建立數據連接。
(9) 當用戶的私鑰泄漏或證書即將到期時,可刪除本地證書再重新申請新的證書。
PKI技術能滿足人們對網絡交易安全保障的需求。PKI的應用範圍非常廣泛,並且在不斷發展之中,下麵給出幾個應用實例。
VPN是一種構建在公用通信基礎設施上的專用數據通信網絡,它可以利用網絡層安全協議(如IPsec)和建立在PKI上的加密與數字簽名技術來獲得完整性保護。
電子郵件的安全也要求機密性、完整性、數據源認證和不可抵賴。目前發展很快的安全電子郵件協議S/MIME(Secure/Multipurpose Internet Mail Extensions,安全/多用途Internet郵件擴充協議),是一個允許發送加密和有簽名郵件的協議。該協議的實現需要依賴於PKI技術。
為了透明地解決Web的安全問題,在瀏覽器和服務器之間進行通信之前,先要建立SSL連接。SSL協議允許在瀏覽器和服務器之間進行加密通信,並且利用PKI技術對服務器和瀏覽器端進行身份驗證。
目前,H3C的PKI特性可為安全協議IPsec(IP Security,IP安全)、SSL(Secure Sockets Layer,安全套接字層)提供證書管理機製。
實際組網應用中,某企業的各分支機構屬於不同的VPN,且各VPN之間的業務相互隔離。如果各分支機構的用戶要通過位於總部VPN中的服務器申請證書,則需要PKI證書申請支持VPN多實例。
如圖1-2所示,連接客戶端PKI entity的PE設備,通過VPN多實例將私網客戶端PKI entity的證書申請報文透傳給網絡另一端的CA server,CA server接收並處理證書申請信息,連接服務器端的PE設備將CA server簽發的證書也通過VPN多實例透傳回PKI entity,滿足了私網VPN業務隔離情況下的證書申請。
(1) 配置PKI實體
(2) 配置PKI域
(3) (可選)配置證書和CRL的存儲路徑
(4) 申請本地證書
請至少選擇以下一項任務進行配置。
¡ 離線申請本地證書
(5) (可選)停止證書申請過程
(6) (可選)手工獲取證書
將CA簽發的與PKI實體所在PKI域有關的證書保存到本地,以提高證書的查詢效率,減少向PKI證書發布點查詢的次數。
(7) (可選)配置證書驗證
(8) (可選)導出證書
(9) (可選)刪除證書
(10) (可選)配置證書訪問控製策略
通過配置證書訪問控製策略,對用戶訪問權限進行控製,保證服務器端的安全性。
(11) (可選)開啟本地證書到期提醒功能
(12) (可選)獲取CRL
PKI實體的參數是PKI實體的身份信息,CA根據PKI實體提供的身份信息來唯一標識證書申請者。
一個有效的PKI實體參數中必須至少包括以下參數之一:
· DN(Distinguished Name,識別名),包含以下參數:
¡ 實體通用名。對於DN參數,實體的通用名必須配置。
¡ 實體所屬國家代碼,用標準的兩字符代碼表示。例如,“CN”是中國的合法國家代碼,“US”是美國的合法國家代碼
¡ 實體所在地理區域名稱
¡ 實體所屬組織名稱
¡ 實體所屬組織部門名稱
¡ 實體所屬州省
· FQDN(Fully Qualified Domain Name,完全合格域名),是PKI實體在網絡中的唯一標識
· IP地址
PKI實體的配置必須與CA證書頒發策略相匹配,因此建議根據CA證書頒發策略來配置PKI實體,如哪些PKI實體參數為必選配置,哪些為可選配置。申請者的身份信息必須符合CA證書頒發策略,否則證書申請可能會失敗。
Windows 2000 CA服務器的SCEP插件對證書申請的數據長度有一定的限製。PKI實體配置項超過一定數據長度時,CA將不會響應PKI實體的證書申請。這種情況下如果通過離線方式提交申請,Windows 2000 CA服務器可以完成簽發。其它CA服務器(例如RSA服務器和OpenCA服務器)目前沒有這種限製。
PKI實體配置任務如下:
(1) 配置PKI實體DN屬性
(2) 配置PKI實體的FQDN
(3) 配置PKI實體的IP地址
subject-dn命令配置的識別名優先級高於通過common-name、country、locality、organization、organization-unit和state命令單獨配置的識別名。
(1) 進入係統視圖。
system-view
(2) 創建一個PKI實體,並進入該PKI實體視圖。
pki entity entity-name
(3) 配置PKI實體的通用名。
common-name common-name-sting
缺省情況下,未配置PKI實體的通用名。
(4) 配置PKI實體所屬國家代碼。
country country-code-string
缺省情況下,未配置PKI實體所屬國家代碼。
(5) 配置PKI實體所在地理區域名稱。
locality locality-name
缺省情況下,未配置PKI實體所在地理區域名稱。
(6) 配置PKI實體所屬組織名稱。
organization org-name
缺省情況下,未配置PKI實體所屬組織名稱。
(7) 配置PKI實體所屬組織部門名稱。
organization-unit org-unit-name
缺省情況下,未配置PKI實體所屬組織部門名稱。
(8) 配置PKI實體所屬州或省的名稱。
state state-name
缺省情況下,未配置PKI實體所屬州或省的名稱。
(1) 進入係統視圖。
system-view
(2) 創建一個PKI實體,並進入該PKI實體視圖。
pki entity entity-name
(3) 配置PKI實體的識別名,包括通用名、國家代碼、地理區域名稱、組織名稱、組織部門名稱和省份名稱參數。
subject-dn dn-string
缺省情況下,未配置PKI實體的識別名。
(1) 進入係統視圖。
system-view
(2) 創建一個PKI實體,並進入該PKI實體視圖。
pki entity entity-name
(3) 配置PKI實體的FQDN。
fqdn fqdn-name-string
缺省情況下,未配置PKI實體的FQDN。
(1) 進入係統視圖。
system-view
(2) 創建一個PKI實體,並進入該PKI實體視圖。
pki entity entity-name
(3) 配置PKI實體的IP地址。
ip { ip-address | interface interface-type interface-number }
缺省情況下,未配置PKI實體的IP地址。
PKI實體在進行PKI證書申請操作之前需要配置一些注冊信息來配合完成申請的過程。這些信息的集合就是一個PKI域。
PKI域是一個本地概念,創建PKI域的目的是便於其它應用(比如IKE、SSL)引用PKI的配置。
PKI域配置任務如下:
(1) 創建PKI域
(2) 配置設備信任的CA名稱
(3) 指定用戶申請證書的PKI實體名稱
(4) 配置證書申請的注冊受理機構
(5) 配置注冊受理機構服務器的URL
(6) (可選)配置注冊受理機構服務器和CRL發布點所屬的VPN實例
(7) (可選)配置證書申請狀態查詢的周期和最大次數
(8) 指定LDAP服務器
在如下情況下,此配置必選:
¡ 需要通過LDAP協議獲取證書。
¡ 需要通過LDAP協議獲取CRL時,如果CRL的URL中未包含發布點地址信息。
(9) 配置驗證CA根證書時使用的指紋
¡ 當證書申請方式為自動方式時,此配置必選。
¡ 當證書申請方式為手工方式時,此配置可選,若不配置,需要用戶自行驗證根證書指紋。
(10) 指定證書申請時使用的密鑰對
(11) (可選)指定證書的擴展用途
(12) (可選)指定PKI操作產生的協議報文使用的源IP地址
(13) (可選)指定PKSCS#7證書使用的加密算法類型
(1) 進入係統視圖。
system-view
(2) 創建一個PKI域,並進入PKI域視圖。
pki domain domain-name
獲取本地證書之前,若當前的PKI域中沒有CA證書,則需要首先獲取CA證書。獲取CA證書之前,必須配置信任的CA名稱。
如果在同一台服務器主機上配置了兩個CA,且它們的URL是相同的,則需要在PKI域中指定的信任的CA名稱來區分它們。設備信任的CA的名稱隻是在獲取CA證書時使用,申請本地證書時不會用到。
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) 配置設備信任的CA名稱。
ca identifier name
缺省情況下,未配置信任的CA名稱。
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) 指定用於申請證書的PKI實體名稱。
certificate request entity entity-name
缺省情況下,未指定用於申請證書的PKI實體名稱。
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) 配置證書申請的注冊受理機構。
certificate request from { ca | ra }
缺省情況下,未指定證書申請的注冊受理機構。
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) 配置注冊受理機構服務器的URL。
certificate request url url-string
缺省情況下,未指定注冊受理機構服務器的URL。
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) 配置注冊受理機構服務器的URL所屬的VPN實例。
vpn-instance vpn-instance-name
缺省情況下,注冊受理機構服務器和CRL發布點屬於公網。
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) 配置證書申請狀態查詢的周期和最大次數。
certificate request polling { count count | interval interval }
缺省情況下,證書申請查詢間隔為20分鍾,最多查詢50次。
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) 指定LDAP服務器。
ldap-server host hostname [ port port-number ] [ vpn-instance vpn-instance-name ]
缺省情況下,未指定LDAP服務器。
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) 配置驗證CA根證書時使用的指紋。
root-certificate fingerprint { md5 | sha1 } string
缺省情況下,未指定驗證根證書時使用的指紋。
證書申請過程使用了一對主機密鑰:私鑰和公鑰。私鑰由用戶保留,公鑰和其它信息則交由CA進行簽名,從而產生證書。在PKI域中可以引用以下算法的密鑰對:
· DSA密鑰對
· ECDSA密鑰對
· RSA密鑰對
· SM2密鑰對
有關DSA、ECDSA、RSA和SM2密鑰對的具體配置請參見“安全配置指導”中的“公鑰管理”。
申請證書前必須指定使用的密鑰對,但該密鑰對不必已經存在。申請過程中,如果指定的密鑰對不存在,PKI實體可以根據指定的名字、算法和密鑰模數長度生成相應的密鑰對。
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) 指定證書申請時使用的密鑰對。請選擇其中一項進行配置。
¡ 指定RSA密鑰對。
public-key rsa { { encryption name encryption-key-name [ length key-length ] | signature name signature-key-name [ length key-length ] } * | general name key-name [ length key-length ] }
¡ 指定ECDSA密鑰對。
public-key ecdsa name key-name [ secp192r1 | secp256r1 | secp384r1 | secp521r1 ]
¡ 指定DSA密鑰對。
public-key dsa name key-name [ length key-length ]
¡ 指定SM2密鑰對。
public-key sm2 { { encryption name encryption-key-name | signature name signature-key-name } * | general name key-name }
缺省情況下,未指定所使用的密鑰對。
證書申請中會帶有指定的證書擴展用途,但最終簽發的證書中帶有哪些擴展用途,由CA自己的策略決定,可能與PKI域中指定的配置不完全一致。應用程序(例如IKE,SSL)認證過程中是否會使用這些用途,由應用程序的策略決定。
目前支持以下證書擴展用途:
· 證書擴展用途為IKE,即IKE對等體使用的證書。
· 證書擴展用途為SSL客戶端,即SSL客戶端使用的證書。
· 證書擴展用途為SSL服務器端,即SSL服務器端使用的證書。
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) 指定證書的擴展用途。
usage { ike | ssl-client | ssl-server } *
缺省情況下,證書可用於所有用途。
如果希望PKI實體操作產生的PKI協議報文的源IP地址是一個特定的地址,例如當CA服務器上的策略要求僅接受來自指定地址或網段的證書申請時,則需要通過配置指定該地址。
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) 指定PKI操作產生的協議報文使用的源IP地址。
(IPv4網絡)
source ip { ip-address | interface interface-type interface-number }
(IPv6網絡)
source ipv6 { ipv6-address | interface interface-type interface-number }
缺省情況下,PKI操作產生的協議報文的源IP地址為係統根據路由查找到的出接口的地址。
證書在線申請過程中需要生成PKCS#7證書,該證書的封裝與解封使用的加密算法類型需要與CA服務器支持的對稱加密算法類型保持一致。
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) 指定PKSCS#7證書使用的加密算法類型。
pkcs7-encryption-algorithm { 3des-cbc | aes-cbc-128 | des-cbc | sm4-cbc }
undo pkcs7-encryption-algorithm
缺省情況下,PKCS#7證書使用的加密算法為des-cbc。
獲取到本地的證書和CRL有默認存儲路徑,但同時也允許用戶根據自己的需要修改證書文件和CRL文件的存儲路徑。證書和CRL的存儲路徑可以指定為不同的路徑。
修改了證書或CRL的存儲目錄後,原存儲路徑下的證書文件(以.cer和.p12為後綴的文件)和CRL文件(以.crl為後綴的文件)將被移動到新路徑下保存。
重新配置了證書或CRL的存儲路徑後為了防止證書或CRL文件的丟失,重啟或關閉設備前一定要保存配置。
(1) 進入係統視圖。
system-view
(2) 配置證書和CRL的存儲路徑。
pki storage { certificates | crls } dir-path
缺省情況下,證書和CRL的存儲路徑為設備存儲介質上的PKI目錄。
申請證書的過程就是PKI實體向CA自我介紹的過程。PKI實體向CA提供身份信息,以及相應的公鑰,這些信息將成為頒發給該PKI實體證書的主要組成部分。
PKI實體向CA提出證書申請,有離線和在線兩種方式。
· 離線申請方式下,CA允許申請方通過帶外方式(如電話、磁盤、電子郵件等)向CA提供申請信息。
· 在線申請方式下,實體通過SCEP協議向CA提交申請信息。在線申請有自動申請和手工申請兩種方式。下文將詳細介紹這兩種方式的具體配置。
在線申請本地證書需要遵循以下配置限製和指導:
· 本地證書已存在的情況下,為保證密鑰對與現存證書的一致性,不建議執行命令public-key local create或public-key local destroy創建或刪除與現存證書使用的密鑰對相同名稱的密鑰對,否則會導致現存證書不可用。有關公鑰相關命令的詳細介紹,請參見“安全命令參考”中的“公鑰管理”。
· 若要重新申請本地證書,請先使用pki delete-certificate命令刪除本地證書,然後再執行public-key local create命令生成新的密鑰對。
· 一個PKI域中,隻能存在DSA、ECDSA、RSA或SM2中一種密鑰算法類型的本地證書。采用DSA和ECDSA算法時,一個PKI域中最多隻能同時申請和存在一個本地證書;采用RSA或SM2算法時,一個PKI域中最多隻能同時申請和存在一個用途為簽名的RSA或SM2算法本地證書和一個用途為加密的RSA或SM2算法本地證書。
申請證書之前必須保證設備的係統時鍾與CA的時鍾同步,否則設備可能會錯誤地認為證書不在有效期內,導致申請證書失敗。調整係統時鍾的方法請參見“基礎配置指導”中的“設備管理”。
配置證書申請方式為自動方式後,當有應用協議與PKI聯動時,如果應用協議中的PKI實體無本地證書(例如,IKE協商采用數字簽名方法進行身份認證,但在協商過程中沒有發現本地證書),則PKI實體自動通過SCEP協議向CA發起證書申請,並在申請成功後將本地證書獲取到本地保存。在證書申請之前,若當前的PKI域中沒有CA證書,也會首先自動獲取CA證書。
證書自動續簽是指,係統在證書有效期到達之前自動申請新的證書,申請成功後新證書立即替換原有證書。
對於係統自動申請到的證書,當它們即將過期時或正式過期後,係統不會自動向CA發起重新申請。這種情況下,可能會由於證書過期造成應用協議的業務中斷。
為避免由於證書過期造成業務中斷,請在選擇自動方式申請證書時配置證書自動續簽功能。
由於某些CA服務器不支持PKI實體使用相同的通用名多次申請證書,為了保證自動續簽證書成功,請配置automatic-append common-name參數使設備每次都使用新的通用名為PKI實體申請新的證書。
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) 配置證書申請為自動方式。
certificate request mode auto [ password { cipher | simple } string | renew-before-expire days [ reuse-public-key ] [ automatic-append common-name ] ] *
缺省情況下,證書申請為手工方式。
證書申請為自動方式時,可以指定吊銷證書時使用的密碼,是否需要指定密碼是由CA服務器的策略決定的。
配置證書申請方式為手工方式後,需要手工執行申請本地證書的操作。手工申請成功後,設備將把申請到的本地證書自動獲取到本地保存。
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) 配置證書申請為手工方式。
certificate request mode manual
缺省情況下,證書申請為手工方式。
(4) 退回係統視圖。
quit
(5) 手工獲取CA證書。
如果PKI域中不存在CA證書,需要手工獲取CA證書。CA證書用來驗證獲取到的本地證書的真實性和合法性。
(6) 手工申請本地證書。
pki request-certificate domain domain-name [ password password ]
此命令不會被保存在配置文件中。
手工申請本地證書時,可以指定吊銷證書時使用的密碼,是否需要指定密碼是由CA服務器的策略決定的。
當無法通過SCEP協議向CA在線申請證書時,可以采用此方式申請本地證書。
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) 配置證書申請為手工方式。
certificate request mode manual
缺省情況下,證書申請為手工方式。
(4) 退回係統視圖。
quit
(5) 手工獲取CA證書。
如果PKI域中不存在CA證書,需要手工獲取CA證書。CA證書用來驗證獲取到的本地證書的真實性和合法性。
(6) 手工申請本地證書或生成PKCS#10證書申請。
pki request-certificate domain domain-name pkcs10 [ filename filename ]
此命令不會被保存在配置文件中。
(7) 通過帶外方式將本地證書申請信息發送給CA。
(8) 通過帶外方式將本地證書獲取到本地。
(9) 將本地證書導入指定的PKI域中。
pki import domain domain-name { der local filename filename | p12 local filename filename | pem local [ filename filename ] }
用戶可以通過此配置停止正在進行中的證書申請過程。用戶在證書申請時,可能由於某種原因需要改變證書申請的一些參數,比如通用名、國家代碼、FQDN等,而此時證書申請過程正在進行,為了新的申請不與之前的申請發生衝突,建議先停止之前的申請,再進行新的申請。可以通過display pki certificate request-status命令查詢正在進行中的證書申請過程。
另外,刪除PKI域也可以停止對應的證書申請過程。
(1) 進入係統視圖。
system-view
(2) 停止證書申請過程。
pki abort-certificate-request domain domain-name
此命令不會被保存在配置文件中。
獲取證書的目的是:將CA簽發的與PKI實體所在PKI域有關的證書存放到本地,以提高證書的查詢效率,減少向PKI證書發布點查詢的次數。
用戶通過此配置可以將已存在的CA證書、本地證書或者外部PKI實體證書獲取至本地保存。獲取證書有兩種方式:離線導入方式和在線方式。
· 離線導入方式:通過帶外方式(如FTP、磁盤、電子郵件等)取得證書,然後將其導入至本地。如果設備所處的環境中沒有證書的發布點、CA服務器不支持通過SCEP協議與設備交互、或者證書對應的密鑰對由CA服務器生成,則可采用此方式獲取證書。
· 在線方式:從證書發布服務器上在線獲取證書並下載至本地,包括通過SCEP協議獲取CA證書和通過LDAP協議獲取本地或對端證書。
如果本地已有CA證書存在,則不允許執行在線方式獲取CA證書的操作。若想重新獲取,請先使用pki delete-certificate命令刪除CA證書與本地證書後,再執行獲取CA證書的命令。
如果PKI域中已經有本地證書或對端證書,仍然允許執行在線方式獲取本地證書或對端證書,獲取到的證書直接覆蓋已有證書。但對於RSA算法的證書而言,一個PKI域中可以存在一個簽名用途的證書和一個加密用途的證書,不同用途的證書不會相互覆蓋。
如果使能了CRL檢查,手工獲取證書時會觸發CRL檢查,如果CRL檢查時發現待獲取的證書已經吊銷,則獲取證書失敗。
設備根據自身的係統時間來判斷當前的證書是否還在其有效期內,設備係統時間不準確可能導致設備對於證書有效期的判斷出現誤差或錯誤,例如認為實際還在有效期內證書已過期,因此請確保設備係統時間的準確性。
獲取本地證書或對端證書之前必須完成以下操作:
· 在線獲取本地證書和對端證書是通過LDAP協議進行的,因此在線獲取本地證書或對端證書之前必須完成PKI域中指定LDAP服務器的配置。
· 離線導入證書之前,需要通過FTP、TFTP等協議將證書文件傳送到設備的存儲介質中。如果設備所處的環境不允許使用FTP、TFTP等協議,則可以直接采用在終端上粘貼證書內容的方式導入,但是粘貼的證書必須是PEM(Privacy Enhanced Mail,增強保密郵件)格式的,因為隻有PEM格式的證書內容為可打印字符。
· 隻有存在簽發本地證書的CA證書鏈才能成功導入本地證書,這裏的CA證書鏈可以是保存在PKI域中的,也可以是本地證書中攜帶的。若設備和本地證書中都沒有CA證書鏈,則需要預先獲取到CA證書鏈。導入對端證書時,需要滿足的條件與導入本地證書相同。
· 離線導入含有被加密的密鑰對的本地證書時,需要輸入加密口令。請提前聯係CA服務器管理員取得該口令。
(1) 進入係統視圖。
system-view
(2) 手工獲取證書。
¡ 離線導入方式
pki import domain domain-name { der { ca | local | peer } filename filename | p12 local filename filename | pem { ca | local | peer } [ filename filename ] }
¡ 在線方式
pki retrieve-certificate domain domain-name { ca | local | peer entity-name }
pki retrieve-certificate命令不會被保存在配置文件中。
在使用每一個證書之前,必須對證書進行驗證。證書驗證包括檢查本地、CA證書是否由可信的CA簽發,證書是否在有效期內,證書是否未被吊銷。申請證書、獲取證書以及應用程序使用PKI功能時,都會自動對證書進行驗證,因此一般不需要使用命令行手工進行證書驗證。如果用戶希望在沒有任何前述操作的情況下單獨執行證書的驗證,可以手工執行證書驗證。
配置證書驗證時可以設置是否必須進行CRL檢查。CRL檢查的目的是查看PKI實體的證書是否被CA吊銷,若檢查結果表明PKI實體的證書已經被吊銷,那麼該證書就不再被其它PKI實體信任。
· 如果配置為開啟CRL檢查,則需要首先從CRL發布點獲取CRL。PKI域中未配置CRL發布點的URL時,從該待驗證的證書中獲取發布點信息:優先獲取待驗證的證書中記錄的發布點,如果待驗證的證書中沒有記錄發布點,則獲取CA證書中記錄的發布點(若待驗證的證書為CA證書,則獲取上一級CA證書中記錄的發布點)。如果無法通過任何途徑得到發布點,則通過SCEP協議獲取CRL。由於設備通過SCEP獲取CRL是在獲取到CA證書和本地證書之後進行,因此該方式下必須保證設備已經獲取到CA證書和本地證書。開啟了CRL檢查的情況下,如果PKI域中不存在相應的CRL、CRL獲取失敗、或者CRL檢查時發現待獲取的證書已經吊銷,則手動申請證書、獲取證書的操作將會失敗。
· 如果配置為關閉CRL檢查,則不需要獲取CRL。
驗證一個PKI域中的CA證書時,係統會逐級驗證本域CA證書鏈上的所有CA證書的有效性,因此需要保證設備上存在該CA證書鏈上的所有上級CA證書所屬的PKI域。驗證某一級CA證書時,係統會根據該CA證書的簽發者名(IssuerName)查找對應的上一級CA證書,以及上一級CA證書所屬的(一個或多個)PKI域。若查找到了相應的PKI域,且該PKI域中開啟了CRL檢查,則根據該PKI域中的配置對待驗證的CA證書進行吊銷檢查,否則不檢查待驗證的CA證書是否被吊銷。檢查CA證書鏈中的CA(根CA除外)是否被吊銷後,從根CA逐級驗證CA證書鏈的簽發關係。
用戶可以通過配置來靈活選擇檢查證書吊銷情況的方法:
· 進行CRL檢查。
· 忽略證書吊銷檢查。
如果同時指定了兩種方法,則先進行CRL檢查,當從CRL發布點所在服務器上獲取不到CRL時,則忽略證書吊銷檢查。
指定了crl方法,必須保證CRL檢查功能處於開啟狀態(通過crl check enable命令配置)。如果CRL檢查功能處於關閉狀態,則不進行CRL檢查,認為本PKI域內所有證書可信。
指定了none方法,則忽略檢查認為所有證書可信,CRL檢查功能不生效。
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) 指定證書吊銷情況檢查的方法。
¡ 采用CRL檢查。
revocation-check method crl [ none ]
¡ 忽略證書吊銷檢查。
revocation-check method none
缺省情況下,使用CRL方法檢查證書吊銷情況。
如果指定證書吊銷情況檢查的方法為none方式,則CRL檢查功能不生效。
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) (可選)配置CRL發布點的URL。
crl url url-string
缺省情況下,未指定CRL發布點的URL。
(4) (可選)配置注冊受理機構服務器的URL。
vpn-instance vpn-instance-name
缺省情況下,注冊受理機構服務器和CRL發布點屬於公網。
(5) 開啟CRL檢查。
crl check enable
缺省情況下,CRL檢查處於開啟狀態。
(6) 退回係統視圖。
quit
(7) 獲取CA證書。
在進行本地證書驗證操作之前必須首先獲取CA證書。
(8) (可選)獲取CRL並下載至本地。
請參見“獲取CRL”。
驗證非根CA證書和本地證書時,如果PKI域中沒有CRL,係統會自動獲取CRL再進行驗證;如果PKI域已經存在CRL,則可以繼續獲取CRL,獲取到的新CRL會覆蓋已有CRL。
獲取到的CRL不一定是本域CA簽發的,但肯定是本域CA證書鏈上的一個CA證書簽發的。
(9) 驗證證書的有效性。
pki validate-certificate domain domain-name { ca | local }
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) 關閉CRL檢查。
undo crl check enable
缺省情況下,CRL檢查處於開啟狀態。
(4) 退回係統視圖。
quit
(5) 獲取CA證書。
在進行本地證書驗證操作之前必須首先獲取CA證書。
(6) 驗證證書的有效性。
pki validate-certificate domain domain-name { ca | local }
此命令不會被保存在配置文件中。
PKI域中已存在的CA證書、本地證書可以導出到文件中保存或導出到終端上顯示,導出的證書可以用於證書備份或供其它設備使用。
以PKCS12格式導出所有證書時,PKI域中必須有本地證書,否則會導出失敗。
導出證書時若不指定文件名,則表示要將證書導出到終端上顯示,這種方式僅PEM格式的證書才支持。
導出證書時若指定文件名,則表示證書將導出到指定文件中保存。導出RSA算法類型的本地證書時,設備上實際保存證書的證書文件名稱並不一定是用戶指定的名稱,它與本地證書的密鑰對用途相關,具體的命名規則請參見PKI命令手冊。
(1) 進入係統視圖。
system-view
(2) 導出證書。
¡ 導出DER格式的證書。
pki export domain domain-name der { all | ca | local } filename filename
¡ 導出PKCS12格式的證書。
pki export domain domain-name p12 { all | local } passphrase p12-key filename filename
¡ 導出PEM格式的證書。
pki export domain domain-name pem { { all | local } [ { 3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc } pem-key ] | ca } [ filename filename ]
由CA頒發的證書都會設置有效期,證書生命周期的長短由簽發證書的CA來確定。當用戶的私鑰被泄漏或證書的有效期快到時,應該重新申請新的證書。以下情況需要刪除證書:
· 證書過期時,可以通過此配置刪除已經存在的本地證書、CA證書或對端證書。
· 用戶的私鑰被泄漏或希望重新申請證書時,可以通過此配置刪除已經存在的本地證書。
刪除CA證書時將同時刪除所在PKI域中的本地證書、所有對端證書以及CRL。
重新申請證書之前,應該先使用命令public-key local destroy刪除舊的密鑰對,再使用public-key local create生成新的密鑰對。相關命令的詳細介紹可參考“安全命令參考”中的“公鑰管理”。
(1) 進入係統視圖。
system-view
(2) 刪除證書。
pki delete-certificate domain domain-name { ca | local | peer [ serial serial-num ] }
如果未指定序列號,則刪除所有對端證書。
通過配置證書的訪問控製策略,可以對安全應用中的用戶訪問權限進行進一步的控製,保證了與之通信的服務器端的安全性。例如,在HTTPS(Hypertext Transfer Protocol Secure,超文本傳輸協議的安全版本)應用中,HTTPS服務器可以通過引用證書訪問控製策略,根據自身的安全需要對客戶端的證書合法性進行檢測。
一個證書訪問控製策略中可以定義多個證書屬性的訪問控製規則(通過rule命令配置),每一個訪問控製規則都與一個證書屬性組關聯。一個證書屬性組是一係列屬性規則(通過attribute命令配置)的集合,這些屬性規則是對證書的頒發者名、主題名以及備用主題名進行過濾的匹配條件。
如果一個證書中的相應屬性能夠滿足一條訪問控製規則所關聯的證書屬性組中所有屬性規則的要求,則認為該證書和該規則匹配。如果一個證書訪問控製策略中有多個規則,則按照規則編號從小到大的順序遍曆所有規則,一旦證書與某一個規則匹配,則立即結束檢測,不再繼續匹配其它規則。
規則的匹配結果決定了證書的有效性,具體如下:
· 如果證書匹配到的規則中指定了permit關鍵字,則該證書將被認為通過了訪問控製策略的檢測且有效。
· 如果證書匹配到的規則中指定了deny關鍵字,則該證書將被認為未通過訪問控製策略的檢測且無效。
· 若遍曆完所有規則後,證書沒有與任何規則匹配,則該證書將因不能通過訪問控製策略的檢測而被認為無效。
· 若證書訪問控製策略下某訪問控製規則關聯的證書屬性組不存在,或者該證書屬性組沒有配置任何屬性,則認為被檢測的證書都能夠與此規則匹配。
· 若安全應用(如HTTPS)引用的證書訪問控製策略不存在,則認為該應用中被檢測的證書有效。
(1) 進入係統視圖。
system-view
(2) 創建證書屬性組,並進入證書屬性組視圖。
pki certificate attribute-group group-name
(3) 配置證書頒發者名、證書主題名及備用主題名的屬性規則。
attribute id { alt-subject-name { fqdn | ip } | { issuer-name | subject-name } { dn | fqdn | ip } } { ctn | equ | nctn | nequ} attribute-value
缺省情況下,對證書頒發者名、證書主題名及備用主題名沒有限製。
(4) 退回係統視圖。
quit
(5) 創建證書訪問控製策略,並進入證書訪問控製策略視圖。
pki certificate access-control-policy policy-name
(6) 配置證書屬性的訪問控製規則。
rule [ id ] { deny | permit } group-name
缺省情況下,未配置證書屬性的訪問控製規則,認為所有證書都可以通過該控製策略的過濾。
一個證書訪問控製策略中可配置多個訪問控製規則。
由於證書都會設置有效期,當需要檢查PKI域下的本地證書是否到期時,可以開啟本地證書到期提醒功能,每隔1小時,將會對證書做一次檢查。在距離本地證書到期30天內(含30天)或證書已經到期時,係統會打印本地證書到期提醒日誌,且每隔一天打印一次。
(1) 進入係統視圖。
system-view
(2) 開啟本地證書到期提醒功能。
pki certificate logging { local-will-expire | local-has-expired } enable
缺省情況下,本地證書到期提醒功能處於關閉狀態。
獲取CRL即設備通過HTTP協議、LDAP協議或者SCEP協議從CRL發布點獲取最新CRL的過程。
CRL獲取有手工獲取CRL和自動獲取CRL兩種方式:
· 手工獲取CRL:通過在設備上執行手工獲取CRL的命令,按需獲取最新CRL。配置後,設備立即連接CRL發布點來獲取CRL。獲取CRL成功後,設備把獲取到的CRL保存到本地。
· 自動獲取CRL:由設備按照配置的CRL更新周期,自動獲取最新CRL。到達指定的更新周期後,設備會自動連接CRL發布點來獲取CRL,獲取成功後將CRL保存到本地。如果本地有CRL,則會替換原先的CRL。此種方式適用於對證書檢查要求比較嚴格,需要及時更新CRL以便獲取最新的證書吊銷情況的場景下(例如銀行係統)。
獲取到的CRL可以是本域CA簽發的,也可以不是本域CA簽發的,但必須是本域CA證書鏈上的一個CA證書對應的CA簽發的。
配置自動獲取CRL後,由於設備是根據配置的更新周期來自動獲取CRL的,因此當CRL即將過期或正式過期後,設備不一定正好處於自動獲取CRL的時間節點,導致由於CRL過期造成不能過濾掉已吊銷的證書。因此建議將自動獲取CRL的更新周期調整為合適的值,以防止本地CRL不能及時更新。
獲取CRL前,必須完成以下操作:
(1) 通過ca identifier命令指定設備信任的CA名稱。
(2) PKI域中存在CA證書。如果不存在,請通過pki retrieve-certificate domain domain-name ca命令獲取CA證書。
(3) 保證設備的係統時鍾與CA的時鍾同步,否則設備可能會錯誤地認為CRL不在有效期內,導致獲取CRL失敗。調整係統時鍾的方法請參見“基礎配置指導”中的“設備管理”。
(1) 進入係統視圖。
system-view
(2) (可選)依次執行如下步驟,配置CRL發布點的URL。
a. 進入PKI域視圖。
pki domain domain-name
b. 配置CRL發布點的URL。
crl url url-string
c. 退回係統視圖。
quit
如果不配置CRL發布點URL,則需保證CA證書或本地證書中包含CRL發布點信息。
(3) 配置手工獲取CRL。
pki retrieve-crl domain domain-name
(1) 進入係統視圖。
system-view
(2) 進入PKI域視圖。
pki domain domain-name
(3) (可選)配置CRL發布點的URL。
crl url url-string
如果不配置CRL發布點URL,則需保證CA證書或本地證書中包含CRL發布點信息。
(4) 配置自動獲取CRL的更新周期。
crl update-period hours
缺省情況下,不自動更新CRL。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後PKI的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 PKI顯示和維護
|
操作 |
命令 |
|
顯示證書訪問控製策略的配置信息 |
display pki certificate access-control-policy [ policy-name ] |
|
顯示證書屬性組的配置信息 |
display pki certificate attribute-group [ group-name ] |
|
顯示證書內容 |
display pki certificate domain domain-name { ca | local | peer [ serial serial-num ] } |
|
顯示PKI域的證書續簽狀態 |
display pki certificate renew-status [ domain domain-name ] |
|
顯示證書申請狀態 |
display pki certificate request-status [ domain domain-name ] |
|
顯示存儲在本地的CRL |
display pki crl domain domain-name |
· 當采用Windows Server作為CA時,需要安裝SCEP插件。在這種情況下,配置PKI域時,需要使用certificate request from ra命令指定PKI實體從RA注冊申請證書。
· 當采用RSA Keon軟件時,不需要安裝SCEP插件。在這種情況下,配置PKI域時,需要使用certificate request from ca命令指定PKI實體從CA注冊申請證書。
· 當采用OpenCA軟件時,需要啟用SCEP功能,在這種情況下,配置PKI域時,需要使用certificate requeset from ra命令指定PKI實體從RA注冊申請證書。
配置PKI實體Device向RSA Keon CA服務器申請本地證書。
圖1-3 PKI實體向RSA Keon CA申請證書配置組網圖
(1) 創建CA服務器myca
在本例中,CA服務器上首先需要進行基本屬性Nickname和Subject DN的配置。其它屬性選擇缺省值。其中,Nickname為可信任的CA名稱(本例中為myca),Subject DN為CA的DN屬性,包括CN、OU、O和C。
(2) 配置擴展屬性
基本屬性配置完畢之後,還需要在生成的CA服務器管理頁麵上對“Jurisdiction Configuration”進行配置,主要內容包括:根據需要選擇合適的擴展選項;啟動自動頒發證書功能;添加可以自動頒發證書的地址範圍。
以上配置完成之後,還需要保證設備的係統時鍾與CA的時鍾同步才可以正常使用設備來申請證書和獲取CRL。
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 2.2.2.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 3.3.3.1 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] quit
(4) 配置安全策略放行Untrust與Local安全域之間的流量
# 配置名稱為pkilocalout的安全策規則,使Device 可以向RSA Keon CA Server發送報文,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name pkilocalout
[Device-security-policy-ip-1-pkilocalout] source-zone local
[Device-security-policy-ip-1-pkilocalout] destination-zone untrust
[Device-security-policy-ip-1-pkilocalout] source-ip-host 2.2.2.1
[Device-security-policy-ip-1-pkilocalout] destination-ip-host 3.3.3.1
[Device-security-policy-ip-1-pkilocalout] action pass
[Device-security-policy-ip-1-pkilocalout] quit
# 配置名稱為pkilocalin的安全策略規則,使Device可以接收和處理來自RSA Keon CA CA Server的報文,具體配置步驟如下。
[Device-security-policy-ip] rule name pkilocalin
[Device-security-policy-ip-2-pkilocalin] source-zone untrust
[Device-security-policy-ip-2-pkilocalin] destination-zone local
[Device-security-policy-ip-2-pkilocalin] source-ip-host 3.3.3.1
[Device-security-policy-ip-2-pkilocalin] destination-ip-host 2.2.2.1
[Device-security-policy-ip-2-pkilocalin] action pass
[Device-security-policy-ip-2-pkilocalin] quit
(5) 配置PKI實體,設置PKI實體的身份信息
[Device] pki entity aaa
[Device-pki-entity-aaa] common-name Device
[Device-pki-entity-aaa] quit
(6) 配置PKI域,約定PKI證書申請的相關信息
[Device] pki domain torsa
[Device-pki-domain-torsa] ca identifier myca
[Device-pki-domain-torsa] certificate request url http://1.1.2.22:446/80f6214aa8865301d07929ae481c7ceed99f95bd
[Device-pki-domain-torsa] certificate request from ca
[Device-pki-domain-torsa] certificate request entity aaa
[Device-pki-domain-torsa] crl url ldap://1.1.2.22:389/CN=myca
[Device-pki-domain-torsa] public-key rsa general name abc length 1024
[Device-pki-domain-torsa] quit
(7) 生成RSA算法的本地密鑰對
[Device] public-key local create rsa name abc
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512,it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
..........................++++++
.....................................++++++
Create the key pair successfully.
(8) 證書申請
# 獲取CA證書並下載至本地。
[Device] pki retrieve-certificate domain torsa ca
The trusted CA's finger print is:
MD5 fingerprint:EDE9 0394 A273 B61A F1B3 0072 A0B1 F9AB
SHA1 fingerprint: 77F9 A077 2FB8 088C 550B A33C 2410 D354 23B2 73A8
Is the finger print correct?(Y/N):y
Retrieved the certificates successfully.
# 手工申請本地證書。(采用RSA Keon CA服務器申請證書時,必須指定password參數)
[Device] pki request-certificate domain torsa password 1111
Start to request general certificate ...
……
Certificate requested successfully.
# 通過以下顯示命令可以查看申請到的本地證書信息。
[Device] display pki certificate domain torsa local
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
15:79:75:ec:d2:33:af:5e:46:35:83:bc:bd:6e:e3:b8
Signature Algorithm: sha1WithRSAEncryption
Issuer: CN=myca
Validity
Not Before: Jan 6 03:10:58 2013 GMT
Not After : Jan 6 03:10:58 2014 GMT
Subject: CN=Device
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:ab:45:64:a8:6c:10:70:3b:b9:46:34:8d:eb:1a:
a1:b3:64:b2:37:27:37:9d:15:bd:1a:69:1d:22:0f:
3a:5a:64:0c:8f:93:e5:f0:70:67:dc:cd:c1:6f:7a:
0c:b1:57:48:55:81:35:d7:36:d5:3c:37:1f:ce:16:
7e:f8:18:30:f6:6b:00:d6:50:48:23:5c:8c:05:30:
6f:35:04:37:1a:95:56:96:21:95:85:53:6f:f2:5a:
dc:f8:ec:42:4a:6d:5c:c8:43:08:bb:f1:f7:46:d5:
f1:9c:22:be:f3:1b:37:73:44:f5:2d:2c:5e:8f:40:
3e:36:36:0d:c8:33:90:f3:9b
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 CRL Distribution Points:
Full Name:
DirName: CN = myca
Signature Algorithm: sha1WithRSAEncryption
b0:9d:d9:ac:a0:9b:83:99:bf:9d:0a:ca:12:99:58:60:d8:aa:
73:54:61:4b:a2:4c:09:bb:9f:f9:70:c7:f8:81:82:f5:6c:af:
25:64:a5:99:d1:f6:ec:4f:22:e8:6a:96:58:6c:c9:47:46:8c:
f1:ba:89:b8:af:fa:63:c6:c9:77:10:45:0d:8f:a6:7f:b9:e8:
25:90:4a:8e:c6:cc:b8:1a:f8:e0:bc:17:e0:6a:11:ae:e7:36:
87:c4:b0:49:83:1c:79:ce:e2:a3:4b:15:40:dd:fe:e0:35:52:
ed:6d:83:31:2c:c2:de:7c:e0:a7:92:61:bc:03:ab:40:bd:69:
1b:f5
關於獲取到的CA證書的詳細信息可以通過相應的顯示命令來查看,此處略。具體內容請參考命令display pki certificate domain。
配置PKI實體Device向Windows 2003 Server CA服務器申請本地證書。
圖1-4 PKI實體向Windows 2003 Server CA申請證書配置組網圖
(1) 安裝證書服務器組件
打開[控製麵板]/[添加/刪除程序],選擇[添加/刪除Windows組件]中的“證書服務”進行安裝。安裝過程中設置CA的名稱,該名稱為信任的CA的名稱(本例中為myca)。
(2) 安裝SCEP插件
由於Windows 2003 server作為CA服務器時,缺省情況下不支持SCEP,所以需要安裝SCEP插件,才能使設備具備證書自動注冊、獲取等功能。插件安裝完畢後,彈出提示框,提示框中的URL地址即為設備上配置的注冊服務器地址。
(3) 修改證書服務的屬性
完成上述配置後,打開[控製麵板/管理工具]中的[證書頒發機構],如果安裝成功,在[頒發的證書]中將存在兩個CA頒發給RA的證書。選擇[CA server 屬性]中的“策略模塊”的屬性為“如果可以的話,按照證書模板中的設置。否則,將自動頒發證書(F)。”
(4) 修改IIS服務的屬性
打開[控製麵板/管理工具]中的[Internet 信息服務(IIS)管理器],將[默認網站 屬性]中“主目錄”的本地路徑修改為證書服務保存的路徑。另外,為了避免與已有的服務衝突,建議修改默認網站的TCP端口號為未使用的端口號(本例中為8080)。
以上配置完成之後,還需要保證設備的係統時鍾與CA的時鍾同步才可以正常使用設備來申請證書。
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 2.2.2.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 3.3.3.1 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] quit
(4) 配置安全策略放行Untrust與Local安全域之間的流量
# 配置名稱為pkilocalout的安全策規則,使Device 可以向Windows 2003 CA Server發送報文,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name pkilocalout
[Device-security-policy-ip-1-pkilocalout] source-zone local
[Device-security-policy-ip-1-pkilocalout] destination-zone untrust
[Device-security-policy-ip-1-pkilocalout] source-ip-host 2.2.2.1
[Device-security-policy-ip-1-pkilocalout] destination-ip-host 3.3.3.1
[Device-security-policy-ip-1-pkilocalout] action pass
[Device-security-policy-ip-1-pkilocalout] quit
# 配置名稱為pkilocalin的安全策略規則,使Device可以接收和處理來自Windows 2003 CA Server的報文,具體配置步驟如下。
[Device-security-policy-ip] rule name pkilocalin
[Device-security-policy-ip-2-pkilocalin] source-zone untrust
[Device-security-policy-ip-2-pkilocalin] destination-zone local
[Device-security-policy-ip-2-pkilocalin] source-ip-host 3.3.3.1
[Device-security-policy-ip-2-pkilocalin] destination-ip-host 2.2.2.1
[Device-security-policy-ip-2-pkilocalin] action pass
[Device-security-policy-ip-2-pkilocalin] quit
(5) 配置PKI實體,設置PKI實體的身份信息
[Device] pki entity aaa
[Device-pki-entity-aaa] common-name test
[Device-pki-entity-aaa] country CN
[Device-pki-entity-aaa] locality pukras
[Device-pki-entity-aaa] organization abc
[Device-pki-entity-aaa] quit
(6) 配置PKI域,約定PKI證書申請的相關信息
[Device] pki domain winserver
[Device-pki-domain-winserver] ca identifier myca
[Device-pki-domain-winserver] certificate request url http://4.4.4.1:8080/certsrv/mscep/mscep.dll
[Device-pki-domain-winserver] certificate request from ra
[Device-pki-domain-winserver] certificate request entity aaa
[Device-pki-domain-winserver] public-key rsa general name abc length 1024
[Device-pki-domain-winserver] quit
(7) 生成RSA算法的本地密鑰對
[Device] public-key local create rsa name abc
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512,it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
..........................++++++
.....................................++++++
Create the key pair successfully.
(8) 證書申請
# 獲取CA證書並下載至本地。
[Device] pki retrieve-certificate domain winserver ca
The trusted CA's finger print is:
MD5 fingerprint:766C D2C8 9E46 845B 4DCE 439C 1C1F 83AB
SHA1 fingerprint:97E5 DDED AB39 3141 75FB DB5C E7F8 D7D7 7C9B 97B4
Is the finger print correct?(Y/N):y
Retrieved the certificates successfully.
# 手工申請本地證書。
[Device] pki request-certificate domain winserver
Start to request general certificate ...
……
Certificate requested successfully.
# 通過以下顯示命令可以查看申請到的本地證書信息。
[Device] display pki certificate domain winserver local
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
(Negative)01:03:99:ff:ff:ff:ff:fd:11
Signature Algorithm: sha1WithRSAEncryption
Issuer: CN=sec
Validity
Not Before: Dec 24 07:09:42 2012 GMT
Not After : Dec 24 07:19:42 2013 GMT
Subject: C=CN, L=pukras, O=abc, CN=test
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c3:b5:23:a0:2d:46:0b:68:2f:71:d2:14:e1:5a:
55:6e:c5:5e:26:86:c1:5a:d6:24:68:02:bf:29:ac:
dc:31:41:3f:5d:5b:36:9e:53:dc:3a:bc:0d:11:fb:
d6:7d:4f:94:3c:c1:90:4a:50:ce:db:54:e0:b3:27:
a9:6a:8e:97:fb:20:c7:44:70:8f:f0:b9:ca:5b:94:
f0:56:a5:2b:87:ac:80:c5:cc:04:07:65:02:39:fc:
db:61:f7:07:c6:65:4c:e4:5c:57:30:35:b4:2e:ed:
9c:ca:0b:c1:5e:8d:2e:91:89:2f:11:e3:1e:12:8a:
f8:dd:f8:a7:2a:94:58:d9:c7:f8:1a:78:bd:f5:42:
51:3b:31:5d:ac:3e:c3:af:fa:33:2c:fc:c2:ed:b9:
ee:60:83:b3:d3:e5:8e:e5:02:cf:b0:c8:f0:3a:a4:
b7:ac:a0:2c:4d:47:5f:39:4b:2c:87:f2:ee:ea:d0:
c3:d0:8e:2c:80:83:6f:39:86:92:98:1f:d2:56:3b:
d7:94:d2:22:f4:df:e3:f8:d1:b8:92:27:9c:50:57:
f3:a1:18:8b:1c:41:ba:db:69:07:52:c1:9a:3d:b1:
2d:78:ab:e3:97:47:e2:70:14:30:88:af:f8:8e:cb:
68:f9:6f:07:6e:34:b6:38:6a:a2:a8:29:47:91:0e:
25:39
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment, Data Encip
herment
X509v3 Subject Key Identifier:
C9:BB:D5:8B:02:1D:20:5B:40:94:15:EC:9C:16:E8:9D:6D:FD:9F:34
X509v3 Authority Key Identifier:
keyid:32:F1:40:BA:9E:F1:09:81:BD:A8:49:66:FF:F8:AB:99:4A:30:21:9
B
X509v3 CRL Distribution Points:
Full Name:
URI:file://\\g07904c\CertEnroll\sec.crl
Authority Information Access:
CA Issuers - URI:http://gc/CertEnroll/gc_sec.crt
CA Issuers - URI:file://\\gc\CertEnroll\gc_sec.crt
1.3.6.1.4.1.311.20.2:
.0.I.P.S.E.C.I.n.t.e.r.m.e.d.i.a.t.e.O.f.f.l.i.n.e
Signature Algorithm: sha1WithRSAEncryption
76:f0:6c:2c:4d:bc:22:59:a7:39:88:0b:5c:50:2e:7a:5c:9d:
6c:28:3c:c0:32:07:5a:9c:4c:b6:31:32:62:a9:45:51:d5:f5:
36:8f:47:3d:47:ae:74:6c:54:92:f2:54:9f:1a:80:8a:3f:b2:
14:47:fa:dc:1e:4d:03:d5:d3:f5:9d:ad:9b:8d:03:7f:be:1e:
29:28:87:f7:ad:88:1c:8f:98:41:9a:db:59:ba:0a:eb:33:ec:
cf:aa:9b:fc:0f:69:3a:70:f2:fa:73:ab:c1:3e:4d:12:fb:99:
31:51:ab:c2:84:c0:2f:e5:f6:a7:c3:20:3c:9a:b0:ce:5a:bc:
0f:d9:34:56:bc:1e:6f:ee:11:3f:7c:b2:52:f9:45:77:52:fb:
46:8a:ca:b7:9d:02:0d:4e:c3:19:8f:81:46:4e:03:1f:58:03:
bf:53:c6:c4:85:95:fb:32:70:e6:1b:f3:e4:10:ed:7f:93:27:
90:6b:30:e7:81:36:bb:e2:ec:f2:dd:2b:bb:b9:03:1c:54:0a:
00:3f:14:88:de:b8:92:63:1e:f5:b3:c2:cf:0a:d5:f4:80:47:
6f:fa:7e:2d:e3:a7:38:46:f6:9e:c7:57:9d:7f:82:c7:46:06:
7d:7c:39:c4:94:41:bd:9e:5c:97:86:c8:48:de:35:1e:80:14:
02:09:ad:08
關於獲取到的CA證書的詳細信息可以通過相應的顯示命令來查看,此處略。具體內容請參考命令display pki certificate domain。
配置PKI實體Device向OpenCA服務器申請本地證書。
圖1-5 PKI實體向OpenCA申請證書配置組網圖
配置過程略,具體請參考Open CA服務器的相關手冊。
需要注意的是:
· 使用OpenCA最新版本的rpm包進行安裝,OpenCA有多個版本,但隻有0.9.2以後的版本才支持SCEP,至少要安裝0.9.2以後的版本。
· OpenCA服務器配置完成之後,還需要保證設備的係統時鍾與CA的時鍾同步才可以正常使用設備來申請證書。
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 2.2.2.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 3.3.3.1 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] quit
(4) 配置安全策略放行Untrust與Local安全域之間的流量
# 配置名稱為pkilocalout的安全策規則,使Device 可以向OpenCA server發送報文,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name pkilocalout
[Device-security-policy-ip-1-pkilocalout] source-zone local
[Device-security-policy-ip-1-pkilocalout] destination-zone untrust
[Device-security-policy-ip-1-pkilocalout] source-ip-host 2.2.2.1
[Device-security-policy-ip-1-pkilocalout] destination-ip-host 3.3.3.1
[Device-security-policy-ip-1-pkilocalout] action pass
[Device-security-policy-ip-1-pkilocalout] quit
# 配置名稱為pkilocalin的安全策略規則,使Device可以接收和處理來自OpenCA server的報文,具體配置步驟如下。
[Device-security-policy-ip] rule name pkilocalin
[Device-security-policy-ip-2-pkilocalin] source-zone untrust
[Device-security-policy-ip-2-pkilocalin] destination-zone local
[Device-security-policy-ip-2-pkilocalin] source-ip-host 3.3.3.1
[Device-security-policy-ip-2-pkilocalin] destination-ip-host 2.2.2.1
[Device-security-policy-ip-2-pkilocalin] action pass
[Device-security-policy-ip-2-pkilocalin] quit
(5) 配置PKI實體,設置PKI實體的身份信息
[Device] pki entity aaa
[Device-pki-entity-aaa] common-name rnd
[Device-pki-entity-aaa] country CN
[Device-pki-entity-aaa] organization test
[Device-pki-entity-aaa] organization-unit software
[Device-pki-entity-aaa] quit
(6) 配置PKI域,約定PKI證書申請的相關信息
[Device] pki domain openca
[Device-pki-domain-openca] ca identifier myca
[Device-pki-domain-openca] certificate request url http://192.168.222.218/cgi-bin/pki/scep
[Device-pki-domain-openca] certificate request from ra
[Device-pki-domain-openca] certificate request entity aaa
[Device-pki-domain-openca] public-key rsa general name abc length 1024
[Device-pki-domain-openca] quit
(7) 生成RSA算法的本地密鑰對
[Device] public-key local create rsa name abc
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512,it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
..........................++++++
.....................................++++++
Create the key pair successfully.
(8) 證書申請
# 獲取CA證書並下載至本地。
[Device] pki retrieve-certificate domain openca ca
The trusted CA's finger print is:
MD5 fingerprint:5AA3 DEFD 7B23 2A25 16A3 14F4 C81C C0FA
SHA1 fingerprint:9668 4E63 D742 4B09 90E0 4C78 E213 F15F DC8E 9122
Is the finger print correct?(Y/N):y
Retrieved the certificates successfully.
# 手工申請本地證書。
[Device] pki request-certificate domain openca
Start to request general certificate ...
……
Certificate requested successfully.
# 通過以下顯示命令可以查看申請到的本地證書信息。
[Device] display pki certificate domain openca local
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
21:1d:b8:d2:e4:a9:21:28:e4:de
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=CN, L=shangdi, ST=pukras, O=OpenCA Labs, OU=mysubUnit, CN=sub-ca, DC=pki-subdomain, DC=mydomain-sub, DC=com
Validity
Not Before: Jun 30 09:09:09 2011 GMT
Not After : May 1 09:09:09 2012 GMT
Subject: CN=rnd, O=test, OU=software, C=CN
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:b8:7a:9a:b8:59:eb:fc:70:3e:bf:19:54:0c:7e:
c3:90:a5:d3:fd:ee:ff:c6:28:c6:32:fb:04:6e:9c:
d6:5a:4f:aa:bb:50:c4:10:5c:eb:97:1d:a7:9e:7d:
53:d5:31:ff:99:ab:b6:41:f7:6d:71:61:58:97:84:
37:98:c7:7c:79:02:ac:a6:85:f3:21:4d:3c:8e:63:
8d:f8:71:7d:28:a1:15:23:99:ed:f9:a1:c3:be:74:
0d:f7:64:cf:0a:dd:39:49:d7:3f:25:35:18:f4:1c:
59:46:2b:ec:0d:21:1d:00:05:8a:bf:ee:ac:61:03:
6c:1f:35:b5:b4:cd:86:9f:45
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Cert Type:
SSL Client, S/MIME
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Client Authentication, E-mail Protection, Microsoft Smartcardlogin
Netscape Comment:
User Certificate of OpenCA Labs
X509v3 Subject Key Identifier:
24:71:C9:B8:AD:E1:FE:54:9A:EA:E9:14:1B:CD:D9:45:F4:B2:7A:1B
X509v3 Authority Key Identifier:
keyid:85:EB:D5:F7:C9:97:2F:4B:7A:6D:DD:1B:4D:DD:00:EE:53:CF:FD:5B
X509v3 Issuer Alternative Name:
DNS:[email protected], DNS:, IP Address:192.168.154.145, IP Address:192.168.154.138
Authority Information Access:
CA Issuers - URI:http://192.168.222.218/pki/pub/cacert/cacert.crt
OCSP - URI:http://192.168.222.218:2560/
1.3.6.1.5.5.7.48.12 - URI:http://192.168.222.218:830/
X509v3 CRL Distribution Points:
Full Name:
URI:http://192.168.222.218/pki/pub/crl/cacrl.crl
Signature Algorithm: sha256WithRSAEncryption
5c:4c:ba:d0:a1:35:79:e6:e5:98:69:91:f6:66:2a:4f:7f:8b:
0e:80:de:79:45:b9:d9:12:5e:13:28:17:36:42:d5:ae:fc:4e:
ba:b9:61:f1:0a:76:42:e7:a6:34:43:3e:2d:02:5e:c7:32:f7:
6b:64:bb:2d:f5:10:6c:68:4d:e7:69:f7:47:25:f5:dc:97:af:
ae:33:40:44:f3:ab:e4:5a:a0:06:8f:af:22:a9:05:74:43:b6:
e4:96:a5:d4:52:32:c2:a8:53:37:58:c7:2f:75:cf:3e:8e:ed:
46:c9:5a:24:b1:f5:51:1d:0f:5a:07:e6:15:7a:02:31:05:8c:
03:72:52:7c:ff:28:37:1e:7e:14:97:80:0b:4e:b9:51:2d:50:
98:f2:e4:5a:60:be:25:06:f6:ea:7c:aa:df:7b:8d:59:79:57:
8f:d4:3e:4f:51:c1:34:e6:c1:1e:71:b5:0d:85:86:a5:ed:63:
1e:08:7f:d2:50:ac:a0:a3:9e:88:48:10:0b:4a:7d:ed:c1:03:
9f:87:97:a3:5e:7d:75:1d:ac:7b:6f:bb:43:4d:12:17:9a:76:
b0:bf:2f:6a:cc:4b:cd:3d:a1:dd:e0:dc:5a:f3:7c:fb:c3:29:
b0:12:49:5c:12:4c:51:6e:62:43:8b:73:b9:26:2a:f9:3d:a4:
81:99:31:89
關於獲取到的CA證書的詳細信息可以通過相應的顯示命令來查看,此處略。具體內容請參考命令display pki certificate domain。
· 在Device A和Device B之間建立一條IPsec安全隧道對子網10.1.1.0/24上的主機A與子網11.1.1.0/24上的主機B之間的數據流進行安全保護。
· 在Device A和Device B之間使用IKE自動協商建立安全通信,IKE認證策略采用RSA數字簽名方法進行身份認證。
· Device A和Device B使用相同的CA。
圖1-6 使用RSA數字簽名方法進行IKE協商認證配置組網圖
本例CA server采用Windows 2003 Server CA服務器,CA服務器配置參見“1.16.2 3. 配置CA服務器”。
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 2.2.2.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。本舉例假設下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[DeviceA] ip route-static 11.1.1.0 24 2.2.2.2
[DeviceA] ip route-static 3.3.3.1 24 2.2.2.2
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
# 配置名稱為pkilocalout的安全策規則,使Device A可以向Device B發送IPsec隧道協商報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name pkilocalout
[DeviceA-security-policy-ip-1-pkilocalout] source-zone local
[DeviceA-security-policy-ip-1-pkilocalout] destination-zone untrust
[DeviceA-security-policy-ip-1-pkilocalout] source-ip-host 2.2.2.1
[DeviceA-security-policy-ip-1-pkilocalout] destination-ip-host 3.3.3.1
[DeviceA-security-policy-ip-1-pkilocalout] action pass
[DeviceA-security-policy-ip-1-pkilocalout] quit
# 配置名稱為pkilocalin的安全策略規則,使Device A可以接收和處理來自Device B的IPsec隧道協商報文,具體配置步驟如下。
[DeviceA-security-policy-ip] rule name pkilocalin
[DeviceA-security-policy-ip-2-pkilocalin] source-zone untrust
[DeviceA-security-policy-ip-2-pkilocalin] destination-zone local
[DeviceA-security-policy-ip-2-pkilocalin] source-ip-host 3.3.3.1
[DeviceA-security-policy-ip-2-pkilocalin] destination-ip-host 2.2.2.1
[DeviceA-security-policy-ip-2-pkilocalin] action pass
[DeviceA-security-policy-ip-2-pkilocalin] quit
# 配置名稱為trust-untrust的安全策略規則,使Host A訪問Host B的報文可通,具體配置步驟如下。
[DeviceA-security-policy-ip] rule 3 name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] destination-ip-subnet 11.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
# 配置名稱為untrust-trust的安全策略規則,使Host B訪問Host A的報文可通,具體配置步驟如下。
[DeviceA-security-policy-ip] rule 4 name untrust-trust
[DeviceA-security-policy-ip-4-untrust-trust] source-zone untrust
[DeviceA-security-policy-ip-4-untrust-trust] destination-zone trust
[DeviceA-security-policy-ip-4-untrust-trust] source-ip-subnet 11.1.1.0 24
[DeviceA-security-policy-ip-4-untrust-trust] destination-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-4-untrust-trust] action pass
[DeviceA-security-policy-ip-4-untrust-trust] quit
[DeviceA-security-policy-ip] quit
# 配置PKI實體,設置PKI實體的身份信息。
[DeviceA] pki entity en
[DeviceA-pki-entity-en] ip 2.2.2.1
[DeviceA-pki-entity-en] common-name devicea
[DeviceA-pki-entity-en] country CN
[DeviceA-pki-entity-en] locality pukras
[DeviceA-pki-entity-en] organization abc
[DeviceA-pki-entity-en] quit
# 配置PKI域,約定PKI證書申請的相關信息。
[DeviceA] pki domain 1
[DeviceA-pki-domain-1] ca identifier CA1
[DeviceA-pki-domain-1] certificate request url http://1.1.1.100/certsrv/mscep/mscep.dll
[DeviceA-pki-domain-1] certificate request entity en
[DeviceA-pki-domain-1] ldap-server host 1.1.1.102
# 配置通過RA注冊申請證書。
[DeviceA-pki-domain-1] certificate request from ra
# 指定證書申請使用的RSA密鑰對,用途為通用,名稱為abc,密鑰長度為1024比特。
[DeviceA-pki-domain-1] public-key rsa general name abc length 1024
[DeviceA-pki-domain-1] quit
# 生成RSA算法的本地密鑰對。
[DeviceA] public-key local create rsa name abc
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512,it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
..........................++++++
.....................................++++++
Create the key pair successfully.
# 獲取CA證書並下載至本地。
[DeviceA] pki retrieve-certificate domain 1 ca
# 手工申請本地證書。
[DeviceA] pki request-certificate domain 1
# 配置IKE提議1,使用數字簽名(rsa-signature)方法為身份認證策略。
[DeviceA] ike proposal 1
[DeviceA-ike-proposal-1] authentication-method rsa-signature
[DeviceA-ike-proposal-1] quit
# 在IKE profile 1中指定IKE協商使用的PKI域。
[DeviceA] ike profile peer
[DeviceA-ike-profile-peer] certificate domain 1
[DeviceA-ike-profile-peer] quit
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface GigabitEthernet1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 3.3.3.1 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設下一跳IP地址為3.3.3.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[DeviceB] ip route-static 10.1.1.0 24 3.3.3.2
[DeviceB] ip route-static 2.2.2.1 24 3.3.3.2
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
# 配置名稱為pkilocalout的安全策規則,使Device B可以向Device A發送IPsec隧道協商報文,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name pkilocalout
[DeviceB-security-policy-ip-1-pkilocalout] source-zone local
[DeviceB-security-policy-ip-1-pkilocalout] destination-zone untrust
[DeviceB-security-policy-ip-1-pkilocalout] source-ip-host 3.3.3.1
[DeviceB-security-policy-ip-1-pkilocalout] destination-ip-host 2.2.2.1
[DeviceB-security-policy-ip-1-pkilocalout] action pass
[DeviceB-security-policy-ip-1-pkilocalout] quit
# 配置名稱為pkilocalin的安全策略規則,使Device B可以接收和處理來自Device A的IPsec隧道協商報文,具體配置步驟如下。
[DeviceB-security-policy-ip] rule name pkilocalin
[DeviceB-security-policy-ip-2-pkilocalin] source-zone untrust
[DeviceB-security-policy-ip-2-pkilocalin] destination-zone local
[DeviceB-security-policy-ip-2-pkilocalin] source-ip-host 2.2.2.1
[DeviceB-security-policy-ip-2-pkilocalin] destination-ip-host 3.3.3.1
[DeviceB-security-policy-ip-2-pkilocalin] action pass
[DeviceB-security-policy-ip-2-pkilocalin] quit
# 配置名稱為trust-untrust的安全策略規則,使Host B訪問Host A的報文可通,具體配置步驟如下。
[DeviceB-security-policy-ip] rule 3 name trust-untrust
[DeviceB-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceB-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceB-security-policy-ip-3-trust-untrust] source-ip-subnet 11.1.1.0 24
[DeviceB-security-policy-ip-3-trust-untrust] destination-ip-subnet 10.1.1.0 24
[DeviceB-security-policy-ip-3-trust-untrust] action pass
[DeviceB-security-policy-ip-3-trust-untrust] quit
# 配置名稱為untrust-trust的安全策略規則,使Host A訪問Host B的報文可通,具體配置步驟如下。
[DeviceB-security-policy-ip] rule 4 name untrust-trust
[DeviceB-security-policy-ip-4-untrust-trust] source-zone untrust
[DeviceB-security-policy-ip-4-untrust-trust] destination-zone trust
[DeviceB-security-policy-ip-4-untrust-trust] source-ip-subnet 10.1.1.0 24
[DeviceB-security-policy-ip-4-untrust-trust] destination-ip-subnet 11.1.1.0 24
[DeviceB-security-policy-ip-4-untrust-trust] action pass
[DeviceB-security-policy-ip-4-untrust-trust] quit
[DeviceB-security-policy-ip] quit
# 配置PKI實體。
[DeviceB] pki entity en
[DeviceB-pki-entity-en] ip 3.3.3.1
[DeviceB-pki-entity-en] common-name deviceb
[DeviceB-pki-entity-en] quit
# 配置PKI域參數。(證書申請的注冊機構服務器的URL根據所使用的CA服務器的不同而有所不同,這裏的配置隻作為示例,請根據具體情況配置。)
[DeviceB] pki domain 1
[DeviceB-pki-domain-1] ca identifier CA1
[DeviceB-pki-domain-1] certificate request url http://1.1.1.100/certsrv/mscep/mscep.dll
[DeviceB-pki-domain-1] certificate request entity en
[DeviceB-pki-domain-1] ldap-server host 1.1.1.102
# 配置通過RA注冊申請證書。
[DeviceB-pki-domain-1] certificate request from ra
# 指定證書申請使用的RSA密鑰對,用途為通用,名稱為abc,密鑰長度為1024比特。
[DeviceB-pki-domain-1] public-key rsa general name abc length 1024
[DeviceB-pki-domain-1] quit
# 生成RSA算法的本地密鑰對。
[DeviceB] public-key local create rsa name abc
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512,it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
..........................++++++
.....................................++++++
Create the key pair successfully.
# 獲取CA證書並下載至本地。
[DeviceB] pki retrieve-certificate domain 1 ca
The trusted CA's finger print is:
MD5 fingerprint:5C41 E657 A0D6 ECB4 6BD6 1823 7473 AABC
SHA1 fingerprint:1616 E7A5 D89A 2A99 9419 1C12 D696 8228 87BC C266
Is the finger print correct?(Y/N):y
Retrieved the certificates successfully.
# 手工申請本地證書。
[DeviceB] pki request-certificate domain 1
Start to request general certificate ...
...
Certificate requested successfully.
# 配置IKE提議1,使用rsa-signature方法為身份認證策略。
[DeviceB] ike proposal 1
[DeviceB-ike-proposal-1] authentication-method rsa-signature
[DeviceB-ike-proposal-1] quit
# 在IKE profile 1中指定IKE協商使用的PKI域。
[DeviceB] ike profile peer
[DeviceB-ike-profile-peer] certificate domain 1
[DeviceB-ike-profile-peer] quit
以上是對IKE協商采用RSA數字簽名認證方法的配置,若希望建立IPsec安全通道進行安全通信,還需要進行IPsec的相應配置,具體內容請參見“VPN配置指導”中“IPsec”。
· 客戶端通過HTTPS協議遠程訪問設備(HTTPS服務器)。
· 通過SSL協議保證合法客戶端安全登錄HTTPS服務器。
· HTTPS服務器要求對客戶端進行身份驗證,並通過製定證書訪問控製策略,對客戶端的證書合法性進行檢測。
圖1-7 證書屬性的訪問控製策略配置組網圖
· SSL策略所引用的PKI域domain1必須首先創建。
· Device上也需要申請一個本地證書作為SSL服務器端證書。
(1) 配置HTTPS服務器
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 3.3.3.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] quit
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。本舉例假設下一跳IP地址為3.3.3.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[DeviceA] ip route-static 2.2.2.1 24 3.3.3.2
# 配置安全策略放行Untrust與Local安全域之間的流量,使得Host可以向Device 發送報文
[Device-security-policy-ip] rule name pkilocalin
[Device-security-policy-ip-1-pkilocalin] source-zone untrust
[Device-security-policy-ip-1-pkilocalin] destination-zone local
[Device-security-policy-ip-1-pkilocalin] source-ip-host 2.2.2.1
[Device-security-policy-ip-1-pkilocalin] destination-ip-host 3.3.3.1
[Device-security-policy-ip-1-pkilocalin] action pass
[Device-security-policy-ip-1-pkilocalin] quit
# 配置安全策略放行Local與Untrust安全域之間的流量,使得Device 可以向Host發送報文
[Device-security-policy-ip] rule name pkilocalout
[Device-security-policy-ip-2-pkilocalout] source-zone local
[Device-security-policy-ip-2-pkilocalout] destination-zone untrust
[Device-security-policy-ip-2-pkilocalout] source-ip-host 3.3.3.1
[Device-security-policy-ip-2-pkilocalout] destination-ip-host 2.2.2.1
[Device-security-policy-ip-2-pkilocalout] action pass
[Device-security-policy-ip-2-pkilocalout] quit
# 配置HTTPS服務器使用的SSL策略。
[Device] ssl server-policy abc
[Device-ssl-server-policy-abc] pki-domain domain1
[Device-ssl-server-policy-abc] client-verify enable
[Device-ssl-server-policy-abc] quit
# 設置HTTPS服務使用的SSL服務器端策略為abc
[Device] ip https ssl-server-policy abc
# 開啟HTTPS服務。
[Device] ip https enable
(2) 配置證書屬性組
# 配置證書屬性組mygroup1,並創建兩個屬性規則。規則1定義證書主題名的DN包含字符串aabbcc;規則2定義證書頒發者名中的IP地址等於10.0.0.1。
[Device] pki certificate attribute-group mygroup1
[Device-pki-cert-attribute-group-mygroup1] attribute 1 subject-name dn ctn aabbcc
[Device-pki-cert-attribute-group-mygroup1] attribute 2 issuer-name ip equ 10.0.0.1
[Device-pki-cert-attribute-group-mygroup1] quit
# 配置證書屬性組mygroup2,並創建兩個屬性規則。規則1定義證書備用主題名中的FQDN不包含字符串apple;規則2定義證書頒發者名的DN包含字符串aabbcc。
[Device] pki certificate attribute-group mygroup2
[Device-pki-cert-attribute-group-mygroup2] attribute 1 alt-subject-name fqdn nctn apple
[Device-pki-cert-attribute-group-mygroup2] attribute 2 issuer-name dn ctn aabbcc
[Device-pki-cert-attribute-group-mygroup2] quit
(3) 配置證書訪問控製策略
# 創建訪問控製策略myacp,並定義兩個訪問控製規則。
[Device] pki certificate access-control-policy myacp
# 規則1定義,當證書的屬性與屬性組mygroup1裏定義的屬性匹配時,認為該證書無效,不能通過訪問控製策略的檢測。
[Device-pki-cert-acp-myacp] rule 1 deny mygroup1
# 規則2定義,當證書的屬性與屬性組mygroup2裏定義的屬性匹配時,認為該證書有效,可以通過訪問控製策略的檢測。
[Device-pki-cert-acp-myacp] rule 2 permit mygroup2
[Device-pki-cert-acp-myacp] quit
# 設置HTTPS服務使用的證書屬性訪問控製策略為myacp。
[Device] ip https certificate access-control-policy myacp
當客戶端通過瀏覽器訪問HTTPS服務器時,服務器端首先根據配置的證書訪問控製策略檢測客戶端證書的有效性。已知該客戶端證書的主題名的DN為aabbcc,頒發者名中的IP地址為1.1.1.1,備用主題名中的FQDN名為banaba,由以上配置可判斷匹配結果為:
· 本地證書的主題名和屬性組mygroup1中的屬性1匹配、頒發者名和屬性組mygroup1中的屬性2不匹配,因此該證書和證書屬性組mygroup1不匹配。
· 本地證書的備用主題名屬性和屬性組mygroup2中的屬性1匹配,頒發者名屬性和屬性組mygroup2中的屬性2匹配,因此該證書和證書屬性組mygroup2匹配。
該客戶端的證書與訪問控製策略myacp的規則1所引用的證書屬性組mygroup1不匹配,因此規則1不生效;本地證書與訪問控製策略myacp的規則2所引用的證書屬性組mygroup2匹配,因此規則2生效,該證書可以通過訪問控製策略myacp的檢測。
通過以上檢測後的合法客戶端可以成功訪問HTTPS服務器提供的網頁。
某網絡中的Device A將要被Device B替換,Device A上的PKI域exportdomain中保存了兩個攜帶私鑰的本地證書和一個CA證書。為保證替換後的證書可用,需要將原來Device A上的證書複製到Device B上去。具體要求如下:
· 從Device A上導出本地證書時,將對應的私鑰數據采用3DES_CBC算法進行加密,加密口令為111111。
· 來自Device A的證書以PEM編碼的格式保存於Device B上的PKI域importdomain中。
圖1-8 導出、導入證書配置組網圖
(1) 從Device A上導出本地證書到指定文件
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 192.168.0.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Trust] quit
# 配置安全策略放行Trust與Local安全域之間的流量,使得Host可以向Device A發送報文
[DeviceA-security-policy-ip] rule name pkilocalin
[DeviceA-security-policy-ip-1-pkilocalin] source-zone trust
[DeviceA-security-policy-ip-1-pkilocalin] destination-zone local
[DeviceA-security-policy-ip-1-pkilocalin] source-ip-host 192.168.0.2
[DeviceA-security-policy-ip-1-pkilocalin] destination-ip-host 192.168.0.1
[DeviceA-security-policy-ip-1-pkilocalin] action pass
[DeviceA-security-policy-ip-1-pkilocalin] quit
# 配置安全策略放行Local與Trust安全域之間的流量,使得Device A可以向Host發送報文
[DeviceA-security-policy-ip] rule name pkilocalout
[DeviceA-security-policy-ip-2-pkilocalout] source-zone local
[DeviceA-security-policy-ip-2-pkilocalout] destination-zone trust
[DeviceA-security-policy-ip-2-pkilocalout] source-ip-host 192.168.0.1
[DeviceA-security-policy-ip-2-pkilocalout] destination-ip-host 192.168.0.2
[DeviceA-security-policy-ip-2-pkilocalout] action pass
[DeviceA-security-policy-ip-2-pkilocalout] quit
# 將PKI域中的CA證書導出到PEM格式的文件中,文件名為pkicachain.pem。
[DeviceA] pki export domain exportdomain pem ca filename pkicachain.pem
# 將PKI域中的本地證書導出到PEM格式的文件中,文件名為pkilocal.pem。導出時對本地證書對應的私鑰數據采用3DES_CBC算法進行加密,加密口令為111111。
[DeviceA] pki export domain exportdomain pem local 3des-cbc 111111 filename pkilocal.pem
以上過程完成後,係統中將會生成三個PEM格式的證書文件,它們分別是:CA證書文件pkicachain.pem,帶有私鑰的本地簽名證書文件pkilocal.pem-signature和帶有私鑰的本地加密證書文件pkilocal.pem-encryption。
# 查看PEM格式的帶有私鑰的本地簽名證書文件pkilocal.pem-signature。
[DeviceA] quit
<DeviceA> more pkilocal.pem-signature
Bag Attributes
friendlyName:
localKeyID: 90 C6 DC 1D 20 49 4F 24 70 F5 17 17 20 2B 9E AC 20 F3 99 89
subject=/C=CN/O=OpenCA Labs/OU=Users/CN=subsign 11
issuer=/C=CN/L=shangdi/ST=pukras/O=OpenCA Labs/OU=docm/CN=subca1
-----BEGIN CERTIFICATE-----
MIIEgjCCA2qgAwIBAgILAJgsebpejZc5UwAwDQYJKoZIhvcNAQELBQAwZjELMAkG
…… (略)
-----END CERTIFICATE-----
Bag Attributes
friendlyName:
localKeyID: 90 C6 DC 1D 20 49 4F 24 70 F5 17 17 20 2B 9E AC 20 F3 99 89
Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIICxjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQIZtjSjfslJCoCAggA
…… (略)
-----END ENCRYPTED PRIVATE KEY-----
# 查看PEM格式的帶有私鑰的本地加密證書文件pkilocal.pem-encryption。
<DeviceA> more pkilocal.pem-encryption
Bag Attributes
friendlyName:
localKeyID: D5 DF 29 28 C8 B9 D9 49 6C B5 44 4B C2 BC 66 75 FE D6 6C C8
subject=/C=CN/O=OpenCA Labs/OU=Users/CN=subencr 11
issuer=/C=CN/L=shangdi/ST=pukras/O=OpenCA Labs/OU=docm/CN=subca1
-----BEGIN CERTIFICATE-----
MIIEUDCCAzigAwIBAgIKCHxnAVyzWhIPLzANBgkqhkiG9w0BAQsFADBmMQswCQYD
…… (略)
-----END CERTIFICATE-----
Bag Attributes
friendlyName:
localKeyID: D5 DF 29 28 C8 B9 D9 49 6C B5 44 4B C2 BC 66 75 FE D6 6C C8
Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIICxjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQI7H0mb4O7/GACAggA
…… (略)
-----END ENCRYPTED PRIVATE KEY-----
(2) 將Device A的證書文件下載到Host
通過FTP將證書文件pkicachain.pem、pkilocal.pem-signature和pkilocal.pem-encryption下載到Host上,具體過程略。
(3) 將Host上的證書文件上傳到Device B
通過FTP將證書文件pkicachain.pem、pkilocal.pem-signature、pkilocal.pem-encryption上傳到Device B的文件係統中,具體過程略。
(4) 在設備Device B上導入證書文件
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 192.168.0.6 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Trust] quit
# 配置安全策略放行Trust與Local安全域之間的流量,使得Host可以向Device B發送報文
[DeviceB-security-policy-ip] rule name pkilocalin
[DeviceB-security-policy-ip-1-pkilocalin] source-zone trust
[DeviceB-security-policy-ip-1-pkilocalin] destination-zone local
[DeviceB-security-policy-ip-1-pkilocalin] source-ip-host 192.168.0.5
[DeviceB-security-policy-ip-1-pkilocalin] destination-ip-host 192.168.0.6
[DeviceB-security-policy-ip-1-pkilocalin] action pass
[DeviceB-security-policy-ip-1-pkilocalin] quit
# 配置安全策略放行Local與Trust安全域之間的流量,使得Device B可以向Host發送報文
[DeviceB-security-policy-ip] rule name pkilocalout
[DeviceB-security-policy-ip-2-pkilocalout] source-zone local
[DeviceB-security-policy-ip-2-pkilocalout] destination-zone trust
[DeviceB-security-policy-ip-2-pkilocalout] source-ip-host 192.168.0.6
[DeviceB-security-policy-ip-2-pkilocalout] destination-ip-host 192.168.0.5
[DeviceB-security-policy-ip-2-pkilocalout] action pass
[DeviceB-security-policy-ip-2-pkilocalout] quit
# 關閉CRL檢查。(是否進行CRL檢查,請以實際的使用需求為準,此處僅為示例)
[DeviceB] pki domain importdomain
[DeviceB-pki-domain-importdomain] undo crl check enable
# 指定證書申請使用的簽名RSA密鑰對名稱為sign,加密RSA密鑰對名稱為encr。
[DeviceB-pki-domain-importdomain] public-key rsa signature name sign encryption name encr
[DeviceB-pki-domain-importdomain] quit
# 向PKI域中導入CA證書,證書文件格式為PEM編碼,證書文件名稱為pkicachain.pem。
[DeviceB] pki import domain importdomain pem ca filename pkicachain.pem
# 向PKI域中導入本地證書,證書文件格式為PEM編碼,證書文件名稱為pkilocal.pem-signature,證書文件中包含了密鑰對。
[DeviceB] pki import domain importdomain pem local filename pkilocal.pem-signature
Please input the password:
# 向PKI域中導入本地證書,證書文件格式為PEM編碼,證書文件名稱為pkilocal.pem-encryption,證書文件中包含了密鑰對。
[DeviceB] pki import domain importdomain pem local filename pkilocal.pem-encryption
Please input the password:
# 通過以下顯示命令可以查看導入到Device B的本地證書信息。
[DeviceB] display pki certificate domain importdomain local
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
98:2c:79:ba:5e:8d:97:39:53:00
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=CN, L=shangdi, ST=pukras, O=OpenCA Labs, OU=docm, CN=subca1
Validity
Not Before: May 26 05:56:49 2011 GMT
Not After : Nov 22 05:56:49 2012 GMT
Subject: C=CN, O=OpenCA Labs, OU=Users, CN=subsign 11
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:9f:6e:2f:f6:cb:3d:08:19:9a:4a:ac:b4:ac:63:
ce:8d:6a:4c:3a:30:19:3c:14:ff:a9:50:04:f5:00:
ee:a3:aa:03:cb:b3:49:c4:f8:ae:55:ee:43:93:69:
6c:bf:0d:8c:f4:4e:ca:69:e5:3f:37:5c:83:ea:83:
ad:16:b8:99:37:cb:86:10:6b:a0:4d:03:95:06:42:
ef:ef:0d:4e:53:08:0a:c9:29:dd:94:28:02:6e:e2:
9b:87:c1:38:2d:a4:90:a2:13:5f:a4:e3:24:d3:2c:
bf:98:db:a7:c2:36:e2:86:90:55:c7:8c:c5:ea:12:
01:31:69:bf:e3:91:71:ec:21
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Cert Type:
SSL Client, S/MIME
X509v3 Key Usage:
Digital Signature, Non Repudiation
X509v3 Extended Key Usage:
TLS Web Client Authentication, E-mail Protection, Microsoft Smartcardlogin
Netscape Comment:
User Certificate of OpenCA Labs
X509v3 Subject Key Identifier:
AA:45:54:29:5A:50:2B:89:AB:06:E5:BD:0D:07:8C:D9:79:35:B1:F5
X509v3 Authority Key Identifier:
keyid:70:54:40:61:71:31:02:06:8C:62:11:0A:CC:A5:DB:0E:7E:74:DE:DD
X509v3 Subject Alternative Name:
email:[email protected]
X509v3 Issuer Alternative Name:
DNS:[email protected], DNS:, IP Address:1.1.2.2, IP Address:2.2.1.1
Authority Information Access:
CA Issuers - URI:http://titan/pki/pub/cacert/cacert.crt
OCSP - URI:http://titan:2560/
1.3.6.1.5.5.7.48.12 - URI:http://titan:830/
X509v3 CRL Distribution Points:
Full Name:
URI:http://192.168.40.130/pki/pub/crl/cacrl.crl
Signature Algorithm: sha256WithRSAEncryption
18:e7:39:9a:ad:84:64:7b:a3:85:62:49:e5:c9:12:56:a6:d2:
46:91:53:8e:84:ba:4a:0a:6f:28:b9:43:bc:e7:b0:ca:9e:d4:
1f:d2:6f:48:c4:b9:ba:c5:69:4d:90:f3:15:c4:4e:4b:1e:ef:
2b:1b:2d:cb:47:1e:60:a9:0f:81:dc:f2:65:6b:5f:7a:e2:36:
29:5d:d4:52:32:ef:87:50:7c:9f:30:4a:83:de:98:8b:6a:c9:
3e:9d:54:ee:61:a4:26:f3:9a:40:8f:a6:6b:2b:06:53:df:b6:
5f:67:5e:34:c8:c3:b5:9b:30:ee:01:b5:a9:51:f9:b1:29:37:
02:1a:05:02:e7:cc:1c:fe:73:d3:3e:fa:7e:91:63:da:1d:f1:
db:28:6b:6c:94:84:ad:fc:63:1b:ba:53:af:b3:5d:eb:08:b3:
5b:d7:22:3a:86:c3:97:ef:ac:25:eb:4a:60:f8:2b:a3:3b:da:
5d:6f:a5:cf:cb:5a:0b:c5:2b:45:b7:3e:6e:39:e9:d9:66:6d:
ef:d3:a0:f6:2a:2d:86:a3:01:c4:94:09:c0:99:ce:22:19:84:
2b:f0:db:3e:1e:18:fb:df:56:cb:6f:a2:56:35:0d:39:94:34:
6d:19:1d:46:d7:bf:1a:86:22:78:87:3e:67:fe:4b:ed:37:3d:
d6:0a:1c:0b
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
08:7c:67:01:5c:b3:5a:12:0f:2f
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=CN, L=shangdi, ST=pukras, O=OpenCA Labs, OU=docm, CN=subca1
Validity
Not Before: May 26 05:58:26 2011 GMT
Not After : Nov 22 05:58:26 2012 GMT
Subject: C=CN, O=OpenCA Labs, OU=Users, CN=subencr 11
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:db:26:13:d3:d1:a4:af:11:f3:6d:37:cf:d0:d4:
48:50:4e:0f:7d:54:76:ed:50:28:c6:71:d4:48:ae:
4d:e7:3d:23:78:70:63:18:33:f6:94:98:aa:fa:f6:
62:ed:8a:50:c6:fd:2e:f4:20:0c:14:f7:54:88:36:
2f:e6:e2:88:3f:c2:88:1d:bf:8d:9f:45:6c:5a:f5:
94:71:f3:10:e9:ec:81:00:28:60:a9:02:bb:35:8b:
bf:85:75:6f:24:ab:26:de:47:6c:ba:1d:ee:0d:35:
75:58:10:e5:e8:55:d1:43:ae:85:f8:ff:75:81:03:
8c:2e:00:d1:e9:a4:5b:18:39
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Cert Type:
SSL Server
X509v3 Key Usage:
Key Encipherment, Data Encipherment
Netscape Comment:
VPN Server of OpenCA Labs
X509v3 Subject Key Identifier:
CC:96:03:2F:FC:74:74:45:61:38:1F:48:C0:E8:AA:18:24:F0:2B:AB
X509v3 Authority Key Identifier:
keyid:70:54:40:61:71:31:02:06:8C:62:11:0A:CC:A5:DB:0E:7E:74:DE:DD
X509v3 Subject Alternative Name:
email:[email protected]
X509v3 Issuer Alternative Name:
DNS:[email protected], DNS:, IP Address:1.1.2.2, IP Address:2.2.1.1
Authority Information Access:
CA Issuers - URI:http://titan/pki/pub/cacert/cacert.crt
OCSP - URI:http://titan:2560/
1.3.6.1.5.5.7.48.12 - URI:http://titan:830/
X509v3 CRL Distribution Points:
Full Name:
URI:http://192.168.40.130/pki/pub/crl/cacrl.crl
Signature Algorithm: sha256WithRSAEncryption
53:69:66:5f:93:f0:2f:8c:54:24:8f:a2:f2:f1:29:fa:15:16:
90:71:e2:98:e3:5c:c6:e3:d4:5f:7a:f6:a9:4f:a2:7f:ca:af:
c4:c8:c7:2c:c0:51:0a:45:d4:56:e2:81:30:41:be:9f:67:a1:
23:a6:09:50:99:a1:40:5f:44:6f:be:ff:00:67:9d:64:98:fb:
72:77:9e:fd:f2:4c:3a:b2:43:d8:50:5c:48:08:e7:77:df:fb:
25:9f:4a:ea:de:37:1e:fb:bc:42:12:0a:98:11:f2:d9:5b:60:
bc:59:72:04:48:59:cc:50:39:a5:40:12:ff:9d:d0:69:3a:5e:
3a:09:5a:79:e0:54:67:a0:32:df:bf:72:a0:74:63:f9:05:6f:
5e:28:d2:e8:65:49:e6:c7:b5:48:7d:95:47:46:c1:61:5a:29:
90:65:45:4a:88:96:e4:88:bd:59:25:44:3f:61:c6:b1:08:5b:
86:d2:4f:61:4c:20:38:1c:f4:a1:0b:ea:65:87:7d:1c:22:be:
b6:17:17:8a:5a:0f:35:4c:b8:b3:73:03:03:63:b1:fc:c4:f5:
e9:6e:7c:11:e8:17:5a:fb:39:e7:33:93:5b:2b:54:72:57:72:
5e:78:d6:97:ef:b8:d8:6d:0c:05:28:ea:81:3a:06:a0:2e:c3:
79:05:cd:c3
關於導入的CA證書的詳細信息可以通過相應的顯示命令來查看,此處略。具體內容請參考命令display pki certificate domain。
獲取CA證書失敗。
可能有以下原因:
· 網絡連接故障,如網線折斷,接口鬆動;
· 沒有設置信任的CA名稱;
· 證書申請的注冊受理機構服務器URL位置不正確或未配置;
· 設備的係統時鍾與CA的時鍾不同步;
· 未指定CA服務器可接受的PKI協議報文的源IP地址,或者指定的地址不正確;
· 指紋信息不合法。
· 排除物理連接故障;
· 查看各必配項是否都正確配置;
· 可通過ping命令測試注冊服務器是否連接正常;
· 保持係統時鍾與CA同步;
· 與CA服務器管理員聯係,並保證配置正確的源IP地址;
· 在證書服務器上查看指紋信息是否合法。
獲取本地證書失敗。
可能有以下原因:
· 網絡連接故障;
· 執行獲取操作之前PKI域中沒有CA證書;
· 沒有配置LDAP服務器或者配置錯誤;
· PKI域沒有指定申請使用的密鑰對,或者指定的密鑰對與待獲取的本地證書不匹配;
· PKI域中沒有引用PKI實體配置,或PKI實體配置不正確;
· 開啟了CRL檢查,但是本地沒有CRL且無法獲取到CRL;
· 未指定CA服務器可接受的PKI協議報文的源IP地址,或者指定的地址不正確;
· 設備時鍾與CA服務器的時鍾不同步。
· 排除物理連接故障;
· 獲取或者導入CA證書;
· 配置正確的LDAP服務器;
· 在PKI域中指定申請使用的密鑰對,生成指定的密鑰對,並使其與待獲取的本地證書匹配;
· PKI域中引用正確的PKI實體,並正確配置該PKI實體;
· 獲取CRL;
· 與CA服務器管理員聯係,並保證配置正確的源IP地址;
· 保持係統時鍾與CA一致。
手工申請證書失敗。
可能有以下原因:
· 網絡連接故障,如網線折斷,接口鬆動;
· 執行申請操作之前PKI域中沒有CA證書;
· 證書申請的注冊受理機構服務器URL位置不正確或未配置;
· 沒有配置證書申請注冊受理機構或配置不正確;
· 沒有配置PKI實體DN中必配參數或者配置參數不正確;
· PKI域中沒有指定證書申請使用的密鑰對,或者PKI中指定的密鑰對在申請過程中已被修改;
· 當前PKI域中有互斥的證書申請程序正在運行;
· 未指定CA服務器可接受的PKI協議報文的源IP地址,或者指定的地址不正確;
· 設備時鍾與CA服務器的時鍾不同步。
· 排除物理連接故障;
· 獲取或者導入CA證書;
· 可通過ping命令測試注冊服務器是否連接正常;
· 配置正確的證書申請注冊受理機構服務器URL;
· 查看CA/RA注冊策略,並對相關的PKI實體DN屬性進行正確配置;
· 在PKI域中指定證書申請使用的密鑰對,或者刪除設備上PKI域中指定的密鑰對並重新申請本地證書;
· 使用pki abort-certificate- request domain命令停止正在運行的證書申請程序;
· 與CA服務器管理員聯係,並保證配置正確的源IP地址;
· 保持係統時鍾與CA一致。
獲取CRL失敗。
可能有以下原因:
· 網絡連接故障,如網線折斷,接口鬆動;
· 獲取CRL之前未先取得CA證書;
· 未設置CRL發布點位置,且不能從PKI域中CA證書或本地證書中獲得正確的發布點;
· 設置的CRL發布點位置不正確;
· 不能獲取CRL發布點的情況下,通過SCEP協議獲取CRL,但此時PKI域中不存在本地證書,或本地證書的密鑰對已被修改,或PKI域中沒有配置正確的證書申請URL;
· CRL發布點的URL配置中包含不完整的地址(沒有主機名或主機地址)且PKI域中沒有配置LDAP服務器或者配置不正確;
· 未指定CA服務器可接受的PKI協議報文的源IP地址,或者指定的地址不正確。
· 排除物理連接故障;
· 獲取或導入CA證書;
· 設置正確CRL發布點位置:配置包含完整地址的CRL發布點的URL或在PKI域中配置正確的LDAP服務器;
· 在無法獲取CRL發布點的情況下,配置正確的證書申請URL,並保證已經獲取了本地證書,且本地保存的密鑰對的公鑰與本地證書的公鑰匹配;
· 在CA上發布CRL;
· 與CA服務器管理員聯係,並保證配置正確的源IP地址。
導入證書失敗。
可能有以下原因:
· 開啟了CRL檢查,但是本地沒有CRL且無法獲取到CRL;
· 指定的導入格式與實際導入的文件格式不一致。
· 執行undo crl check enable命令,關閉CRL檢查;
· 請確認導入的文件格式並選擇正確的導入格式。
導入證書失敗。
可能有以下原因:
· PKI域中沒有CA證書且導入的本地證書中不含CA證書鏈;
· 開啟了CRL檢查,但是本地沒有CRL且無法獲取到CRL;
· 指定的導入格式與實際導入的文件格式不一致;
· 設備上和證書中都沒有該本地證書對應的密鑰對;
· 證書已經被吊銷;
· 證書不在有效期;
· 係統時鍾設置錯誤。
· 獲取或者導入CA證書;
· 執行undo crl check enable命令,關閉CRL檢查,或者先獲取CRL;
· 請確認導入的文件格式並選擇正確的導入格式;
· 請導入包含私鑰內容的證書文件;
· 導入未被吊銷的證書;
· 導入還在有效期內的證書;
· 請重新設置正確的係統時鍾。
導出證書失敗。
可能有以下原因:
· 以PKCS#12格式導出所有證書時PKI域中沒有本地證書;
· 用戶所設置的導出路徑不存在;
· 用戶所設置的導出路徑不合法;
· 要導出的本地證書的公鑰和它所屬PKI域中的密鑰對的公鑰部分不匹配;
· 設備磁盤空間已滿。
· 獲取或申請本地證書;
· 用mkdir命令創建用戶所需路徑;
· 設置正確的導出路徑;
· 在PKI域中配置匹配的密鑰對;
· 清理設備磁盤空間。
設置證書或CRL存儲路徑失敗。
可能有以下原因:
· 用戶所設置的證書或CRL存儲路徑不存在;
· 用戶所設置的證書或CRL存儲路徑不合法;
· 設備磁盤空間已滿。
· 用mkdir命令創建用戶所需路徑;
· 設置正確的證書或CRL存儲路徑;
· 清理設備磁盤空間。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
