所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
获取CA证书失败

获取CA证书失败

故障现象

  • 通过手工方式获取CA证书,查看设备存储介质中没有下载到CA证书,其失败的原因为通过HTTP方式下载CA证书时配置的不正确。

  • 通过SCEP协议获取CA证书,查看设备存储介质中没有下载到CA证书,其失败的原因如下:

    • 获取CA证书的命令未配置。

    • 信任的CA名称配置的不正确或未配置。

    • 证书注册服务器的URL配置的不正确或未配置。

    • 指定的PKI实体未配置。

    • 指纹信息配置的不正确或未配置。

    • 使用的RSA密钥对未配置。

    • TCP连接使用的源接口配置的不正确。

操作步骤

  • 通过手工方式获取CA证书

    检查HTTP方式下载CA证书的配置是否正确。如果不正确,请修改相应的内容。详情请参见命令pki http

  • 通过SCEP协议获取CA证书
    1. 检查在系统视图下是否已执行命令pki get-certificate申请CA证书。

      如果没有,请执行本命令。当申请CA证书相关配置不全时,会提示您配置相应的内容。

    2. 检查PKI域下配置的申请CA证书的相关配置是否正确。

      可以在任意视图下执行命令display pki realm或者在PKI域下执行display this查看。

      如下所示,这里例举申请CA证书所需的配置。
      pki realm test                                                                   
       ca id ca_server   //配置PKI域信任的CA
       enrollment-url http://10.13.14.15:8080/certsrv/mscep/mscep.dll   //配置证书注册服务器的URL
       entity zzz   //指定使用的PKI实体
       fingerprint sha1 7a34d94624b1c1bcbf6d763c4a67035d5b578eaf   //配置对CA证书进行认证时使用的CA证书指纹,从CA服务器上获取
       rsa local-key-pair 8   //指定使用的RSA密钥对
       source interface GigabitEthernet0/0/2   //指定TCP连接使用的源接口(确保该接口为三层接口,且接口下已经配置了IP地址),缺省情况下设备使用出接口作为TCP连接的源接口
      

      如果相关配置不正确,请修改相应的内容。详情请参见配置通过SCEP协议为PKI实体申请和更新本地证书

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:34853

下载量:979

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页