所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置通过SCEP协议为PKI实体申请和更新本地证书

配置通过SCEP协议为PKI实体申请和更新本地证书

背景信息

配置通过SCEP协议为PKI实体申请本地证书,有两种方式:

  • 自动触发申请和更新本地证书

    如果本地证书需要的配置信息齐全并且设备没有本地证书时,将自动触发设备通过SCEP协议申请本地证书;或者当证书即将过期、已经过期、已到达指定百分比时,自动触发设备通过SCEP协议申请并更新证书。

  • 手动触发申请本地证书

    如果本地证书需要的配置信息齐全并且设备没有本地证书时,将手动触发设备通过SCEP协议申请本地证书,当证书即将过期、已经过期、已到达指定百分比时,不会自动触发设备通过SCEP协议申请并更新证书。

这两种方式申请本地证书时,设备都会先向CA获取CA证书保存到存储介质中并将CA证书自动导入设备的内存中,然后使用CA证书的公钥加密证书注册请求消息并发送给CA来申请本地证书,获取本地证书保存到存储介质中并将本地证书自动导入设备的内存中。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令pki file-format { der | pem },配置设备保存证书时的文件格式。

    缺省情况下,设备保存证书时的文件格式为PEM。

  3. 执行命令pki realm realm-name,创建PKI域并进入PKI域视图,或者直接进入PKI域视图。

    缺省情况下,设备存在名称为default的PKI域,且该域只能修改不能删除。

    PKI域是一个本地概念,一个设备上配置的PKI域对CA和其他设备是不可见的,每一个PKI域有单独的参数配置信息。

  4. 执行命令ca id ca-name,配置PKI域信任的CA。

    缺省情况下,系统未配置PKI域信任的CA。

    ca-name通常指的是CA服务器的名称。

  5. 执行命令entity entity-name,指定申请证书的PKI实体。

    缺省情况下,系统未指定申请证书的PKI实体。

    entity-name是一个已经通过pki entity命令创建的PKI实体。

  6. 执行命令rsa local-key-pair key-name,配置使用SCEP方式申请证书时使用的RSA密钥对。

    缺省情况下,系统未配置使用SCEP方式申请证书时使用的RSA密钥对。

    key-name是一个已经通过pki rsa local-key-pair create命令创建的RSA密钥对。

  7. (可选)执行命令key-usage { ike | ssl-client | ssl-server } *,配置证书公钥用途属性。

    缺省情况下,系统未配置证书公钥用途属性。

  8. (可选)执行命令source interface interface-type interface-number,配置建立TCP连接使用的源接口。

    缺省情况下,设备使用出接口作为TCP连接的源接口。

    请确保该接口为三层接口,且接口下已经配置了IP地址。

  9. (可选)执行命令enrollment self-signed,配置PKI域的证书获取方式为自签名方式。

    缺省情况下,PKI域(不包括缺省PKI域default)的证书获取方式为SCEP方式。

    PKI域default的缺省证书获取方式为自签名方式。

    为了实现默认HTTPS功能或满足用户临时接入网络的需求,可以配置此步骤。

  10. 执行命令enrollment-url [ esc ] url [ interval minutes ] [ times count ] [ ra ],配置CA服务器的URL。

    缺省情况下,系统未配置CA服务器的URL。

    配置时,需注意:

    • 未配置esc参数时,URL地址格式为http://server_location/ca_script_location

      其中,server_location目前支持IP地址和域名解析的表示方式。ca_script_location是在CA服务器主机上的应用程序脚本的路径。比如:服务器版本的Windows系统作为CA服务器时,URL的格式为http://host:port/certsrv/mscep/mscep.dll,其中host为CA服务器的IP地址,port为CA服务器的端口号。服务器的IP为10.137.145.158,端口为8080时,URL为http://10.137.145.158:8080/certsrv/mscep/mscep.dll

    • 配置esc参数时,支持以ASCII码形式输入包含“?”的URL地址。

      关键字esc作用是支持以ASCII码形式输入包含“?”的URL地址,格式必须为“\x3f”,3f为字符“?”的16进制ASCII码。例如,如果用户想输入“http://abc.com?page1”,则对应的URL为“http://abc.com\x3fpage1”;如果用户想同时输入“?”和“\x3f”(http://www.abc.com?page1\x3f),则对应的URL为“http://www.abc.com\x3fpage1\\x3f”。

    • 如果在CA服务器使用手工方式处理证书请求,证书发布可能需要较长时间。申请证书的PKI实体需要周期性发送查询,以便在证书颁发后能够及时获取到证书。此时,可以增大intervaltimes参数来调整注册证书状态查询的时间间隔和最大查询次数。

    • 配置ra参数时,指定RA审核PKI实体申请本地证书时的身份信息。缺省情况下,CA审核PKI实体申请本地证书时的身份信息。

  11. 执行命令enrollment-request signature message-digest-method { md5 | sha1 | sha-256 | sha-384 | sha-512 },配置签名证书注册请求消息使用的摘要算法。

    缺省情况下,签名证书注册请求消息使用的摘要算法为sha-256

    md5sha1算法为不安全算法,建议使用SHA2算法。

    PKI实体使用的摘要算法必须与CA服务器上的摘要算法一致。

  12. 执行命令password cipher password,配置SCEP证书申请时使用的挑战密码,也是证书撤销密码。

    缺省情况下,系统未配置SCEP证书申请时使用的挑战密码。

    PKI实体使用的挑战密码必须与CA服务器上设置的密码一致。如果CA服务器不要求使用挑战密码,则不用配置挑战密码。

  13. 执行命令fingerprint { md5 | sha1 | sha256 } fingerprint,配置对CA证书进行验证时使用的CA证书数字指纹。

    缺省情况下,系统未配置对CA证书进行验证时使用的CA证书数字指纹。

    fingerprint参数需要通过离线的方式从CA服务器上获取。例如,当Windows Server 2008作为CA服务器时,可以通过登录网页http://host:port/certsrv/mscep_admin/获得CA证书指纹信息,其中host为CA服务器的IP地址,port为CA服务器的端口号。

  14. 配置申请和更新本地证书的方式,请根据情况选择配置。
    • 配置自动触发申请和更新本地证书。

      执行命令auto-enroll [ percent ] [ regenerate [ key-bit ] ] [ updated-effective ],开启证书自动注册和更新功能。

      缺省情况下,证书自动注册和更新功能处于关闭状态。

    • 配置手动触发申请本地证书。

      1. 执行命令quit,返回至系统视图。

      2. 执行命令pki enroll-certificate realm realm-name [ password password ],配置手工触发设备申请证书。

        如果配置了password命令,这里的password参数可以不用。如果都配置,这里配置的password优先级高。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:33780

下载量:972

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页