所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置检查本地证书状态

配置检查本地证书状态

背景信息

当验证对端实体的本地证书时,经常需要检查对端实体的本地证书是否有效,例如对端实体的本地证书是否过期、是否被加入CRL。通常检查证书状态的方式有三种:CRL方式、OCSP方式、None方式。

  • CRL方式

    如果CA支持作为CRL发布点CDP(CRL Distribution Point),则当CA颁发证书时,在证书中会包含CDP信息,用以描述获取该证书CRL的途径和方式。PKI实体利用CDP中指定的机制(HTTP方式)和地址来下载CRL。

    如果PKI实体配置了CDP的URL地址,该地址将覆盖证书中携带的CDP信息,PKI实体使用配置的URL来获取CRL。如果CA不支持作为CDP,则PKI实体可以使用SCEP方式下载CRL。

    当PKI实体验证本地证书时,先查找本地内存的CRL,如果本地内存没有CRL,则需下载CRL并安装到本地内存中,如果对端实体的本地证书在CRL中,表示此证书已被撤销。

  • OCSP方式

    在IPSec场景中,PKI实体间使用证书方式进行IPSec协商时,可以通过OCSP方式实时检查对端实体的证书状态。

    OCSP克服了CRL的主要缺陷:PKI实体必须经常下载CRL以确保列表的更新。当PKI实体访问OCSP服务器时,会发送一个对于证书状态信息的请求。OCSP服务器会回复一个“有效”、“过期”或“未知”的响应。

    • 有效表示证书没有被撤销。

    • 过期表示证书已被撤销。

    • 未知表示OCSP服务器不能判断请求的证书状态。

  • None方式

    如果PKI实体没有可用的CRL和OCSP服务器,或者不需要检查PKI实体的本地证书状态,可以采用None方式,即不检查证书是否被撤销。

操作步骤

  1. 执行命令system-view,进入系统视图。

  2. 执行命令pki realm realm-name,创建PKI域并进入PKI域视图,或者直接进入PKI域视图。

    缺省情况下,设备存在名称为default的PKI域,且该域只能修改不能删除。

  3. 执行命令certificate-check { { crl | ocsp } * [ none ] | none },配置PKI域中证书吊销状态的检查方式。

    缺省情况下,PKI域中证书吊销状态的检查方式为CRL。

    如果配置了多种吊销状态的检查方式,会按照配置的先后顺序执行,当前一种方式不可用(如服务器连接不上)时才会使用后边的方式。如果选用了不检查(none),当前面配置的方式均不可用时,认为证书有效。以配置了certificate-check crl none命令为例,先使用CRL方式检查证书是否有效,如果CRL方式不可用,则认为证书是有效的。

  4. 请根据CA提供的服务方式选择配置检查对端实体本地证书状态的方式。

自动更新CRL方式

  1. 执行命令quit,返回至系统视图。

  2. (可选)执行命令pki file-format { der | pem },配置设备保存CRL时的文件格式。

    缺省情况下,设备保存CRL时的文件格式为PEM。

  3. 执行命令pki realm realm-name,直接进入PKI域视图。

  4. 执行命令crl auto-update enable,开启CRL自动更新功能。

    缺省情况下,CRL自动更新功能处于开启状态。

  5. 执行命令crl update-period interval,配置CRL自动更新的时间间隔。

    缺省情况下,CRL自动更新的时间间隔为8小时。

  6. 请根据CA提供的服务方式选择配置自动更新CRL方式。

    • 通过SCEP方式自动更新CRL。

      1. 执行命令crl scep,配置使用SCEP方式自动更新CRL。

        缺省情况下,使用HTTP方式自动更新CRL。

      2. 执行命令cdp-url [ esc ] url-addr,配置CRL发布点的URL。

        缺省情况下,系统未配置CRL发布点的URL。

    • 通过HTTP方式自动更新CRL。

      1. 执行命令crl http,配置使用HTTP方式自动更新CRL。

        缺省情况下,使用HTTP方式自动更新CRL。

      2. 执行命令cdp-url [ esc ] url-addr,配置CRL发布点的URL。或者执行命令cdp-url from-ca,配置从CA证书中获取CDP URL。

        缺省情况下,系统未配置CRL发布点的URL。

  7. 执行命令crl cache,配置允许PKI域使用缓存中的CRL。

    缺省情况下,系统允许PKI域使用缓存中的CRL。

  8. (可选)立即更新CRL。

    1. 执行命令quit,返回至系统视图。

    2. 执行命令pki get-crl realm realm-name,立即更新CRL。

      立即更新CRL后,新的CRL会替换设备存储介质中原来的CRL,同时新的CRL也会被自动导入设备内存中替换原来的CRL。

手动更新CRL方式

  1. 执行命令quit,返回至系统视图。

  2. (可选)执行命令pki file-format { der | pem },配置设备保存CRL时的文件格式。

    缺省情况下,设备保存CRL时的文件格式为PEM。

  3. 执行命令pki http [ esc ] url-address save-name,配置通过HTTP方式下载CRL。

    url-address必须包含完整的证书文件及扩展名,例如http://10.1.1.1:8080/cert.cer。如果设置为域名方式,必须保证该域名可以正常解析。

  4. 执行命令pki import-crl realm realm-name filename file-name,将CRL导入设备的内存中。

OCSP方式

  1. (可选)执行命令source interface interface-type interface-number,配置建立TCP连接使用的源接口。

    缺省情况下,设备使用出接口作为TCP连接的源接口。

    请确保该接口为三层接口,且接口下已经配置了IP地址。

  2. 执行命令ocsp url [ esc ] url-address,配置OCSP服务器的URL。或者执行命令ocsp-url from-ca,配置从CA证书的AIA选项中获取OCSP服务器的URL。

    缺省情况下,系统未配置OCSP服务器的URL。

  3. (可选)执行命令ocsp nonce enable,配置PKI实体发送OCSP请求时带有Nonce扩展。

    缺省情况下,PKI实体发送OCSP请求时带有Nonce扩展。

    通过该功能可以增强PKI实体与OCSP服务器通信时的安全性和可靠性。配置后,PKI实体与OCSP服务器通信时发送的OCSP请求中带有Nonce扩展,内容为随机数。对于OCSP服务器发出的响应报文,可以不包含Nonce扩展,但是如果包含了Nonce扩展,则必须与OCSP请求中的Nonce扩展一致。

  4. (可选)执行命令ocsp signature enable,开启OCSP请求消息签名功能。

    缺省情况下,OCSP请求消息签名功能处于关闭状态。

    如果OCSP服务器要求对OCSP请求消息进行签名验证,设备需要配置本命令。

  5. 执行命令quit,返回至系统视图。

  6. 执行命令pki import-certificate ocsp realm realm-name { der | pkcs12 | pem } [ filename filename ] 或执行命令pki import-certificate ocsp realm realm-name pkcs12 filename filename password password,将OCSP服务器证书导入到设备的存中。

  7. 执行命令pki validate ocsp-server-certificate enable,开启OCSP证书校验OCSP服务器报文的功能。

    缺省情况下,OCSP证书校验OCSP服务器报文的功能处于开启状态。

  8. 执行命令pki ocsp response cache enable,开启PKI实体缓存OCSP响应的功能。

    缺省情况下,PKI实体缓存OCSP响应的功能处于关闭状态。

    开启缓存OCSP响应功能后,PKI实体在使用OCSP检查证书的吊销状态时,会先查找缓存,如果查找失败则再向OCSP服务器发起请求。同时,PKI实体会将有效的OCSP响应缓存起来,以便下次查找。

    OCSP响应是有生效期限的,开启缓存OCSP响应功能后,PKI实体会每隔1分钟刷新缓存的OCSP响应,清除其中过期的OCSP响应。

  9. (可选)执行命令pki ocsp response cache number number,配置PKI实体可以缓存的OCSP响应的最大数量。

    缺省情况下,PKI实体可以缓存的OCSP响应的最大数量是2。

  10. (可选)执行命令pki ocsp response cache refresh interval interval,配置PKI实体刷新OCSP响应缓存的周期。

    缺省情况下,PKI实体刷新OCSP响应缓存的周期为5分钟。

后续处理

  • 如果需要把OCSP服务器证书拷贝到其他设备上使用时,可以执行命令pki export-certificate ocsp realm realm-name { pem | pkcs12 },将OCSP服务器证书导出到设备的存储介质中。然后,可以通过文件传输协议取出证书。

  • 如果OCSP服务器证书过期或者不使用时,可以执行命令pki delete-certificate ocsp realm realm-name,从内存中删除OCSP服务器证书。

  • 如果CRL过期或者不使用时,可以执行命令pki delete-crl realm realm-name,从内存中删除CRL。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:34890

下载量:980

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页