用户通过CA认证访问网络资源,证书过期时如何更新证书?

发布时间:  2012-07-17 浏览次数:  309 下载次数:  0
问题描述

VPN ClientUSG3000组网,用户采用CA认证方式访问网络资源。用户出现无法接入网络的情况。

告警信息
处理过程

证书过期的处理方法:

1、设备过期CA证书更新

执行命令system-view,进入系统视图。
执行命令pki delete-certificate ca filename ca.cer,删除CA证书。
执行命令pki import-certificate ca filename ca_new.cer,导入新CA证书。
如果是根CA,需要更新私钥文件hostkey。
重启设备

2、设备过期本地证书更新

执行命令system-view,进入系统视图。
执行命令pki delete-certificate ca filename usg3000.cer,删除本地证书。
执行命令pki import-certificate ca filename usg3000_new.cer,导入新本地证书。
更新私钥文件serverkey。

3、客户端过期CA证书更新

打开VPNClient客户端安装目录(默认C:\Program Files\Huawei\Secoway VPN Client)。
把各级CA证书文件复制到Certificate文件夹下。

4、客户端USBKEY中证书过期

打开USBKEY管理工具
删除原有USBKEY中客户端证书
导入新客户端证书。
启动VPNClient客户端,点击菜单“工具》Usbkey信息”打开Usbkey证书选择界面。
选择新客户端证书。
----结束
根因
执行如下命令:
<USG3000>more ca_config.ini  查询CA证书和本地证书的相关配置;
<USG3000>dis pki certificate filename usg3000.cer 查询证书有效期等信息;
如果证书已经过期,则需要更新证书。
建议与总结

采用证书认证的用户,如果之前网络访问正常,忽然出现不能接入网络的情况,应该首先考虑证书是否到期。

END