所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
获取本地证书失败

获取本地证书失败

故障现象

  • 通过手工方式离线获取本地证书,查看设备存储介质中没有下载到本地证书,其失败的原因如下:

    • 指定的PKI实体配置的不正确。

    • 挑战密码配置的不正确或未配置。

    • 通过HTTP方式下载本地证书时配置的不正确。

  • 通过SCEP协议获取本地证书,查看设备存储介质中没有下载到本地证书,其失败的原因如下:

    • 执行获取操作之前PKI域中没有CA证书。

    • 指定的PKI实体配置的不正确或未配置。

    • 信任的CA名称配置的不正确或未配置。

    • 证书注册服务器的URL配置的不正确或未配置。

    • 使用的RSA密钥对未配置。

    • TCP连接使用的源接口配置的不正确。

    • 签名证书注册请求消息使用的摘要算法配置的不正确。

    • 挑战密码配置的不正确或未配置。

操作步骤

  • 通过手工方式获取本地证书
    1. 检查配置的PKI实体配置是否正确。

      在PKI域下指定的PKI实体,可以执行命令display pki entity查看配置的PKI实体信息。

      如果某些内容配置错误,例如PKI实体所属的国家代码配置错误,请修改相应的内容。详情请参见配置PKI实体信息

    2. 检查挑战密码配置是否正确。

      请先确定CA服务器是否要验证挑战密码,如果是,请配置CA服务器的挑战密码,两者要一致。详情请参见命令pki enroll-certificate

    3. 检查HTTP方式下载本地证书的配置是否正确。

      如果不正确,请修改相应的内容。详情请参见命令pki http

  • 通过SCEP协议获取本地证书
    1. 检查CA证书是否已导入设备的内存中。

      可以执行命令display pki certificate查看设备内存中的CA证书。

      如果没有请获取CA证书并执行命令pki import-certificate将CA证书导入设备的内存中。

    2. 检查配置的PKI实体配置是否正确。

      在PKI域下指定的PKI实体,可以执行命令display pki entity查看配置的PKI实体信息。

      如果某些内容配置错误,例如PKI实体所属的国家代码配置错误,请修改相应的内容。详情请参见配置PKI实体信息

    3. 检查PKI域下配置的申请CA证书的相关配置是否正确。

      可以在任意视图下执行命令display pki realm或者在PKI域下执行命令display this查看。

      如下所示,这里例举申请本地证书所需的配置。
      pki realm test                                                                   
       ca id ca_server   //配置PKI域信任的CA
       enrollment-url http://10.13.14.15:8080/certsrv/mscep/mscep.dll   //配置证书注册服务器的URL
       entity zzz   //指定使用的PKI实体
       rsa local-key-pair 8   //指定使用的RSA密钥对
       password cipher %^%#\1HN-bn(k;^|O85OAtYF3(M4%^%#   //配置SCEP证书申请时使用的挑战密码,与CA服务器一致
       source interface GigabitEthernet0/0/1   //指定TCP连接使用的源接口(确保该接口为三层接口,且接口下已经配置了IP地址),缺省情况下设备使用出接口作为TCP连接的源接口
       enrollment-request signature message-digest-method sha1   //配置签名证书注册请求消息使用的摘要算法,与CA服务器一致
      

      如果相关配置不正确,请修改相应的内容。详情请参见配置通过SCEP协议为PKI实体申请和更新本地证书

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:34163

下载量:973

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页