所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置检查CA证书和本地证书有效性

配置检查CA证书和本地证书有效性

背景信息

在使用每一个证书之前,必须对证书进行验证以确保证书的合法性。证书验证包括对签发时间、签发者信息以及证书的有效性几方面进行验证。证书验证的核心是检查CA在证书上的签名,并确定证书仍在有效期内,而且未被撤销。

为完成证书验证,除了需要对端实体的本地证书外,本地设备需要下面的信息:CA证书、CRL、本地证书及其私钥及证书认证相关配置信息。

本地证书验证的主要过程如下:

  1. 使用CA证书的公钥验证CA的签名是否正确。

    为验证一个证书的合法性,首先需要获得颁发这个证书的CA的公钥(即获得CA证书),以便检查该证书上CA的签名。一个CA可以让另一个更高层次的CA来证明其证书的合法性,这样顺着证书链,验证证书就变成了一个迭代过程,最终这个链必须在某个“信任点”(一般是持有自签名证书的根CA或者是PKI实体信任的中间CA)处结束。

    任何PKI实体,如果它们共享相同的根CA或子CA,并且已获取CA证书,都可以验证对端证书。一般情况下,当验证对端证书链时,验证过程在碰到第一个可信任的证书或CA机构时结束。

    证书链的验证过程是一个从目标证书(待验证的PKI实体证书)到信任点证书逐层验证的过程。

  2. 根据证书的有效期,验证证书是否过期。

  3. 检查证书的状态,即通过CRL和None方式检查证书是否被撤销。

当用户需要验证本地设备的CA证书和本地证书的有效性时,可以执行以下步骤。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令pki validate-certificate { ca | local } realm realm-name,检查CA证书或本地证书的有效性。

    pki validate-certificate ca命令只能验证根CA的CA证书有效性,不能验证从属CA的CA证书有效性。在多级CA的环境中,当设备上导入了多个CA证书时,只能使用pki validate-certificate local命令来验证从属CA的CA证书有效性。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:32397

下载量:937

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页