安全管理
AAA
Portal服务器全局设置
操作步骤
- 内置Portal全局设置
- 在“内置Portal全局设置”下配置相应的配置项。图3-78 内置Portal全局设置表3-70 内置Portal全局设置
项目
说明
内置Portal服务器IP地址
内置Portal服务器的IP地址。用户输入任意非免费IP地址,均会被设备重定向到内置Portal服务器的。
设备上与用户路由可达的三层接口的IP地址,建议使用LoopBack接口地址。LoopBack接口状态稳定可以避免因为接口故障导致用户无法打开的问题。并且由于发送到LoopBack接口的报文不会被转发到网络中,当请求上线的用户数目较大时,可减轻对设备性能的影响 。
内置Portal服务器端口
内置Portal服务器的端口。
URL
内置Portal服务器的URL。IP地址与URL同时配置时,URL优先,URL不需要手工加入端口号。配置URL时需事先到用户的DNS服务器上配置该URL的域名解析。
web接入方式
内置Portal服务器的web接入方式。
SSL策略
内置Portal服务器提供的HTTPS服务中使用的SSL策略。
内置Portal认证方法
内置Portal服务器对用户的认证方式包括PAP和CHAP,推荐使用安全性较高的CHAP方式。
用户在线时长(小时)
内置Portal服务器允许的用户在线时长。超过用户在线时间,用户需重新认证。
支持的最大用户数
内置Portal服务器允许接入的最大用户数目。
- 在“内置Portal全局设置”下配置相应的配置项。
- 外置Portal全局设置
- 在“外置Portal全局设置”下配置相应的配置项。图3-79 外置Portal全局设置表3-71 外置Portal全局设置
项目
说明
最大用户数
设备允许接入的全局最大Portal认证用户数。
发送报文源地址
设备与Portal服务器通信的全局源IP地址。
外置Portal对接协议
Portal协议版本
指定Portal协议的版本。
设备侦听Portal协议报文的端口号
指定设备侦听Portal协议报文的端口号。
HTTP协议
开启或关闭开启HTTP/HTTPS协议的Portal对接功能。
HTTP对接方式
指定HTTP对接方式。
SSL策略
指定SSL策略。
设备侦听HTTP协议报文的端口号
指定设备侦听HTTP协议报文的端口号。
- 在“外置Portal全局设置”下配置相应的配置项。
- 新建认证服务器
- 单击“Portal认证服务器列表”下的“新建”,进入“新建认证服务器”页面,配置相应的配置项。图3-80 新建认证服务器表3-72 新建认证服务器
项目
说明
服务器名称
自定义Portal服务器名称,用来标识认证服务器。
服务器IP地址
配置指向Portal服务器的IP地址。
填入IP地址后,单击“+”,完成设置。如需移除IP地址,则在“服务器IP地址”列表中勾选待删除的IP,单击“x”。
如果设置多个IP,则必须同时配置指向该Portal服务器的URL。
协议类型
指定Portal服务器的协议类型。
共享密钥
设置设备与Portal服务器信息交互的共享密钥。
报文端口号
设备检测Portal协议报文的端口号。
发送报文源地址
设备与Portal服务器通信的源IP地址。
URL
设置指向Portal服务器的URL。
URL配置结果
根据“URL”和“URL选项配置”,显示最终的URL格式。
URL选项配置
AP-IP 关键字/AP-IP
指定在URL中携带AP的IP地址。
用户访问URL关键字
指定在URL中携带接入用户访问的原始URL地址。
用户MAC关键字
指定在URL中携带接入用户的MAC地址。
用户IP地址关键字
指定在URL中携带接入用户的IP地址。
系统名称关键字
指定在URL中携带接入设备的系统名称。
SSID关键字
指定在URL中携带用户关联的SSID。
AP-MAC关键字
指定在URL中携带AP的MAC地址。
AP位置关键字
指定在URL中携带AP的位置地址。
登录URL关键字/登录URL
指定登录URL的关键字和登录URL。
MAC地址格式
无分隔符。
normal:指定MAC地址的格式为XXXX-XXXX-XXXX,可自定义分隔符。
compact:指定MAC地址的格式为XX-XX-XX-XX-XX-XX,可自定义分隔符。
参数加密后名称
指定URL中的参数加密后的名称。
加密向量名称
指定加密向量的名称。
加密密钥
指定加密密钥。
服务器探测配置
Portal服务器探测
选择Portal服务器探测功能是否开启。
探测周期
指定Portal服务器探测周期。
探测失败最大次数
指定Portal服务器探测失败最大次数。
状态为UP的Portal服务器最小数目
指定状态为UP的Portal服务器最小数目。
服务器探测类型
指定Portal服务器的探测类型。
探测失败超过最大次数后动作
指定Portal服务器探测失败次数超过最大次数后的动作。
- 单击“Portal认证服务器列表”下的“新建”,进入“新建认证服务器”页面,配置相应的配置项。
RADIUS设置
操作步骤
- RADIUS服务器模板
- 在“RADIUS服务器模板”下单击“新建”,在弹出的“新建RADIUS服务器模板”中配置相应的配置项。图3-81 新建RADIUS服务器模板表3-73 新建RADIUS服务器模板
项目
说明
模板名称
指定新建RADIUS模板的名称。
模式
主备模式:在配置RADIUS认证服务器或计费服务器时,权重值最大的为主服务器,其他的都为备服务器,备服务器的权重值越大,优先级越高。
负载均衡模式:在配置RADIUS认证服务器或计费服务器时,根据服务器的权重值在所有服务器的权重值中所占的比例,将用户的认证或计费请求分流到配置的各服务器。
NAS IP地址
设置NAS的IP地址。
模板默认共享密钥
配置RADIUS模板默认共享密钥。
密钥用于加密用户口令及生成回应认证符。
IP地址
配置服务器地址。
共享密钥
配置服务器共享密钥。
认证端口号
服务器额认证端口号。
计费端口号
服务器的计费端口号。
NAS Identifier模式
设置服务器NAS的Identifier模式
Chargeable-User-Identity
选择Chargeable-User-Identitiy功能是否开启。
报文中用户名格式
配置设备向RADIUS服务器发送的报文中的用户名是否包含域名。
选择“原始用户名”,表示设备向RADIUS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改。
Calling-Station-Id中MAC地址格式
RADIUS报文中calling-station-id(Type 31)属性字段中MAC地址的封装格式。
Called-Station-Id格式
RADIUS报文中called-station-id (30)属性封装的内容。Called-station-id (30)属性表示NAS设备的号码信息,根据RADIUS服务器支持的情况不同,可以修改该属性的封装内容。
分隔符
属性封装的内容包含SSID时,SSID前的分隔符。
Called-Station-Id中MAC地址格式
RADIUS报文中called-station-id属性字段中MAC地址的封装格式。
- 在“RADIUS服务器模板”下单击“新建”,在弹出的“新建RADIUS服务器模板”中配置相应的配置项。
- 授权服务器模板
- 在“授权服务器模板”下单击“新建”,在弹出的“新建授权服务器”中配置相应的配置项。图3-82 新建授权服务器表3-74 新建授权服务器
项目
说明
授权服务器IP地址
输入授权服务器的IP地址。
模板名称
选择已创建的RADIUS模板的名称。
密钥
配置RADIUS授权服务器的共享密钥。
- 在“授权服务器模板”下单击“新建”,在弹出的“新建授权服务器”中配置相应的配置项。
HWTACACS设置
操作步骤
- HWTACACS全局配置
- 依次单击 菜单,进入“HWTACACS配置”页面。图3-83 HWTACACS全局配置
- 依次单击 菜单,进入“HWTACACS配置”页面。
- HWTACACS服务器模板
- 在“HWTACACS服务器模板”下单击“新建”,进入“新建HWTACACS服务器模板”页面,配置相应的配置项。图3-84 新建HWTACACS服务器模板表3-76 新建HWTACACS服务器模板
项目
说明
模板名称
指定新建HWTACACS服务器模板的名称。
密钥
配置HWTACACS共享密钥。
密钥用于加密用户口令及生成回应认证符。
用户名
配置设备向HWTACACS服务器发送的报文中的用户名是否包含域名。
选择“原始用户名”,表示设备向HWTACACS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改。
发送报文源地址
设备与HWTACACS服务器通信的源IP地址。
- 在“HWTACACS服务器模板”下单击“新建”,进入“新建HWTACACS服务器模板”页面,配置相应的配置项。
- 认证/授权/计费服务器
- 在“认证/授权/计费服务器”下单击“新建”,进入“新建认证/授权/计费服务器”页面,配置相应的配置项。图3-85 新建认证/授权/计费服务器表3-77 新建认证/授权/计费服务器
项目
说明
模板名称
选择已创建的HWTACACS模板的名称。
服务器类型
配置服务器类型为认证服务器、授权服务器或计费服务器。
主用服务器IP地址
输入认证/授权/计费服务器的主用服务器IP地址。
主用服务器端口号
输入认证/授权/计费服务器的主用服务器端口号。
备用服务器IP地址
输入认证/授权/计费服务器的备用服务器IP地址。
备用服务器端口号
输入认证/授权/计费服务器的备用服务器端口号。
- 在“认证/授权/计费服务器”下单击“新建”,进入“新建认证/授权/计费服务器”页面,配置相应的配置项。
高级
操作步骤
- Portal认证全局配置
- 在“Portal认证全局配置”下配置相应的配置项。图3-89 Portal认证全局配置表3-80 Portal认证全局配置
项目
说明
静默功能
选择静默功能是否开启。
静默前允许认证失败次数
指定静态前允许认证失败的次数。若Portal认证用户在60秒内认证失败的次数超过了“静默前允许认证失败次数”所配置的值后,设备会将该用户静默一段时间。
用户静默时间(秒)
指定用户静默时间。
苹果CNA选项
设置苹果CNA选项。- 不配置:不配置iOS系统的CNA功能。
- Bypass:使能iOS系统的CNA旁路功能。
- 自适应:使能iOS系统的CNA自适应功能。
URL编解码功能
选择URL编解码功能是否开启。
JavaScript重定向功能
选择JavaScript重定向功能是否开启。
放通DNS报文
选择放通DNS报文功能是否开启。
- 在“Portal认证全局配置”下配置相应的配置项。
- 802.1X认证全局配置
- 依次单击 菜单,进入“802.1X认证全局配置”页面。图3-90 802.1X认证全局配置
- 依次单击 菜单,进入“802.1X认证全局配置”页面。
- MAC认证全局配置
- 依次单击 菜单,进入“MAC认证全局配置”页面。图3-91 MAC认证全局配置
- 依次单击 菜单,进入“MAC认证全局配置”页面。
- HTTP管理接入
- 依次单击 菜单,进入“HTTP管理接入”页面。图3-92 HTTP管理接入
- 依次单击 菜单,进入“HTTP管理接入”页面。
用户组
操作步骤
- 依次单击 菜单,进入“用户组”页面。
- 单击“用户组”下的“新建”,进入“新建用户组”页面,配置相应的配置项。图3-93 用户组表3-84 新建用户组
项目
说明
用户组名称
输入新建的用户组的名称。
隔离方式
组内隔离和组间隔离可以同时配置生效。
VLAN
配置业务VLAN为单个VLAN或VLAN Pool。
QoS模板
选择绑定的QoS模板,对属于用户组的用户进行流量监管。
优先级
选择用户组的优先级。
ACL
选择ACL,进行配置。可以绑定单个ACL,也可以绑定多个ACL,也可以不绑定ACL。
绑定多个ACL时,按照绑定的顺序进行规则匹配,匹配顺序为从上到下。如果需要调整匹配顺序,则单击表项后的或者,移动表项的上下位置。ACL编号:绑定的ACL编号。
ACL名称:绑定的ACL名称。
ACL描述:绑定的ACL描述。
操作:调整ACL的匹配顺序或者解除绑定的ACL。
- 单击“确定”,完成配置。
ACL
基本ACL配置
操作步骤
- 依次单击 菜单,进入“基本ACL配置”页面。
- 单击“基本ACL配置”下的“新建”,进入“新建基本ACL配置”页面,配置ACL标识、ACL名称、ACL编号和ACL描述,单击“确定”,完成配置。图3-94 新建基本ACL配置
- 添加基本ACL规则。
- 在弹出的“添加规则”页面中配置相应的配置项。图3-95 添加基本ACL规则表3-85 添加基本ACL规则
项目
说明
规则编号
输入ACL规则编号。若不指定规则编号,则系统会自动分配。修改操作时不可修改规则编号。
动作
选择允许或拒绝报文通过。
指定源IP
输入ACL规则匹配报文的源IP地址。
源IP地址和通配符均是点分十进制格式。
通配符
输入ACL规则匹配报文的通配符。
生效时间段
选择已配置的生效时间段名称。
- 在弹出的“添加规则”页面中配置相应的配置项。
高级ACL配置
操作步骤
- 依次单击 菜单,进入“高级ACL配置”页面。
- 单击“高级ACL配置”下的“新建”,进入“新建高级ACL配置”页面,配置ACL标识、ACL名称、ACL编号和ACL描述,单击“确定”,完成配置。图3-96 新建高级ACL配置
- 添加高级ACL规则。
- 在弹出的“添加规则”页面中配置相应的配置项。图3-97 添加高级ACL规则表3-86 添加高级ACL规则
项目
说明
规则编号
输入ACL规则编号。若不指定规则编号,则系统会自动分配。修改操作时不可修改规则编号。
动作
选择允许或拒绝报文通过。
协议类型
高级ACL规则的协议类型包括:
- GRE(47)
- ICMP(1)
- IGMP(2)
- IP
- IPINIP(4)
- OSPF(89)
- TCP(6)
- UDP(17)
- 自定义类型
ICMP参数
输入ICMP的消息类型和消息码。该输入项格式是“类型/编码”,如:0/8,类型和编码范围是0~255。仅在协议类型选择“ICMP(1)”后可配置。
自定义参数
输入协议号。仅在协议类型选择“自定义类型”后可配置。
匹配优先级
匹配优先级包括:- none:表示ACL规则匹配报文时,不过滤优先级。
- DSCP优先级:表示ACL规则匹配报文时,区分服务代码点(Differentiated Services CodePoint)。选择DSCP优先级后,需要在右边的文本框中输入DSCP优先级值。
- IP优先级:选择“IP优先级”后,可配置“ToS”和“Precedence”参数。
ToS
输入ToS的值。表示ACL规则匹配报文时,依据服务类型字段进行过滤。
Precedence
输入Precedence的值。表示ACL规则匹配报文时,依据优先级字段进行过滤。
指定源IP/通配符
输入ACL规则匹配报文的源地址信息,包括源IP地址和通配符。源IP地址和通配符均是点分十进制格式。
指定目的IP/通配符
输入ACL规则匹配报文的目的地址信息,包括目的IP地址和通配符。目的IP地址和通配符均是点分十进制格式。
源端口号
只有协议类型选择为TCP或UDP时,才可以指定源端口号。如果不指定,表示TCP/UDP报文的任何源端口都匹配。
目的端口号
只有协议类型选择为TCP或UDP时,才可以指定目的端口号。如果不指定,表示TCP/UDP报文的任何目的端口都匹配。
生效时间段
选择已配置的生效时间段名称。
- 在弹出的“添加规则”页面中配置相应的配置项。
二层ACL配置
操作步骤
- 依次单击 菜单,进入“二层ACL配置”页面。
- 单击“二层ACL配置”下的“新建”,进入“新建二层ACL配置”页面,配置ACL标识、ACL名称、ACL编号和ACL描述,单击“确定”,完成配置。图3-98 新建二层ACL配置
- 添加二层ACL规则。
- 在弹出的“添加规则”页面中配置相应的配置项。图3-99 添加二层ACL规则表3-87 添加二层ACL规则
项目
说明
规则编号
输入ACL规则编号。若不指定规则编号,则系统会自动分配。修改操作时不可修改规则编号。
动作
选择允许或拒绝报文通过。
源MAC地址/掩码
输入ACL规则匹配报文的源MAC地址和掩码信息。这两个参数共同作用可以得到用户感兴趣的源MAC地址范围。比如00e0-fc01-0101 ffff-ffff-ffff指定了一个MAC地址:00e0-fc01-0101,而00e0-fc01-0101 ffff-ffff-0000则指定了一个MAC地址范围:00e0-fc01-0000~00e0-fc01-ffff。
目的MAC地址/掩码
输入ACL规则匹配报文的目的MAC地址和掩码信息。这两个参数共同作用可以得到用户感兴趣的目的MAC地址范围。比如00e0-fc01-0101 ffff-ffff-ffff指定了一个MAC地址:00e0-fc01-0101,而00e0-fc01-0101 ffff-ffff-0000则指定了一个MAC地址范围:00e0-fc01-0000~00e0-fc01-ffff。
二层协议类型
选择二层ACL规则的协议类型,每种协议类型都有对应的十六进制数值。
二层ACL规则的协议类型包括:- none
- ARP,对应的数值为0x0806
- IP,对应的数值为0x0800
- RARP,对应的数值为0x8035
- 自定义类型,需要输入配置的二层协议类型的值,取值范围是0x600~0xFFFF
协议类型掩码
输入协议类型对应数值的掩码值。
源VLAN ID
输入外层VLAN ID的值。
源VLAN ID掩码
输入外层VLAN ID值的掩码。
802.1p优先级
选择ACL规则匹配报文的外层VLAN的802.1p优先级,整数形式,取值范围是0~7。
生效时间段
选择已配置的生效时间段名称。
- 在弹出的“添加规则”页面中配置相应的配置项。
用户ACL配置
操作步骤
- 依次单击 菜单,进入“用户ACL配置”页面。
- 单击“用户ACL配置”下的“新建”,进入“新建用户ACL配置”页面,配置ACL标识、ACL名称、ACL编号和ACL描述,单击“确定”,完成配置。图3-100 新建用户ACL配置
- 添加用户ACL规则。
- 在弹出的“添加规则”页面中配置相应的配置项。图3-101 添加用户ACL规则表3-88 添加用户ACL规则
项目
说明
规则编号
输入ACL规则编号。若不指定规则编号,则系统会自动分配。修改操作时不可修改规则编号。编号为6000~6031的ACL在创建时会自动下发给AP生效。
动作
选择允许或拒绝报文通过。
协议类型
用户ACL规则的协议类型包括:
- GRE(47)
- ICMP(1)
- IGMP(2)
- IP
- IPINIP(4)
- OSPF(89)
- TCP(6)
- UDP(17)
- 自定义类型
ICMP参数
输入ICMP的消息类型和消息码。该输入项格式是“类型/编码”,如:0/8,类型和编码范围是0~255。仅在协议类型选择“ICMP(1)”后可配置。
自定义参数
输入协议号。仅在协议类型选择“自定义类型”后可配置。
匹配优先级
匹配优先级包括:- none:表示ACL规则匹配报文时,不过滤优先级。
- DSCP优先级:表示ACL规则匹配报文时,区分服务代码点(Differentiated Services CodePoint)。选择DSCP优先级后,需要在右边的文本框中输入DSCP优先级值。
- IP优先级:选择“IP优先级”后,可配置“ToS”和“Precedence”参数。
ToS
输入ToS的值。表示ACL规则匹配报文时,依据服务类型字段进行过滤。
Precedence
输入Precedence的值。表示ACL规则匹配报文时,依据优先级字段进行过滤。
指定源IP/通配符
输入ACL规则匹配报文的源地址信息,包括源IP地址和通配符。源IP地址和通配符均是点分十进制格式。
指定源用户组
选择ACL规则匹配报文源的用户组。
指定目的IP/通配符
输入ACL规则匹配报文的目的地址信息,包括目的IP地址和通配符。目的IP地址和通配符均是点分十进制格式。
指定目的用户组
选择ACL规则匹配报文目的的用户组。
指定目的域名
选择ACL规则匹配报文目的域名。域名对应的IP可能在动态变化,设置域名可以简化规则设置,需在免认证规则中应用ACL才生效。
源端口号
只有协议类型选择为TCP或UDP时,才可以指定源端口号。如果不指定,表示TCP/UDP报文的任何源端口都匹配。
目的端口号
只有协议类型选择为TCP或UDP时,才可以指定目的端口号。如果不指定,表示TCP/UDP报文的任何目的端口都匹配。
生效时间段
选择已配置的生效时间段名称。
- 在弹出的“添加规则”页面中配置相应的配置项。
生效时间
操作步骤
- 依次单击 菜单,进入“生效时间”页面。
- 单击“生效时间”下的“新建”,进入“新建生效时间段”页面,配置相应的配置项。图3-102 新建生效时间段表3-89 新建生效时间段
项目
说明
生效时间段名称
输入生效时间段名称。
周期时间段
选择ACL规则的周期时间段,包括每周生效时间、开始时间和结束时间。
每周生效时间的选择范围是全部、星期一、星期二、星期三、星期四、星期五、星期六、星期日。可以任意选择其中一天或几天。
开始时间和结束时间的选择范围是00:00~23:59。当开始时间和结束时间同时选择为00:00时,表示从凌晨零点开始到当天晚上12点结束。
每周生效时间、开始时间和结束时间选择完成后,单击“添加”。重复执行上述操作,可创建多个周期时间段。
有效日期
选择ACL规则的有效日期,包括开始时间和结束时间。
开始时间和结束时间选择完成后,单击“添加”。重复执行上述操作,可创建多个有效日期。
- 单击“确定”,完成配置。
WIDS
全局配置
操作步骤
- 依次单击 菜单,进入“全局配置”页面。
- 在“全局配置”页面中配置相应的配置项。图3-104 全局配置表3-91 全局配置
项目
说明
射频0应用策略
设备检测
选择设备检测功能是否开启。
非法设备反制
选择非法设备反制功能是否开启。
攻击检测类型
指定攻击检测的类型。
射频1应用策略
设备检测
选择设备检测功能是否开启。
非法设备反制
选择非法设备反制功能是否开启。
攻击检测类型
指定攻击检测的类型。
射频2应用策略
设备检测
选择设备检测功能是否开启。
非法设备反制
选择非法设备反制功能是否开启。
攻击检测类型
指定攻击检测的类型。
设备检测
上报检测到的无线设备信息时间间隔(秒)
上报检测到的无线设备信息的时间间隔。
监测AP在AP检测无线设备信息的间隔时间内,缓存检测到的无线设备信息,当超过该间隔时间后将这些设备信息更新到无线设备信息表中,清空缓存,进行下一轮检测。
非法设备反制
反制类型
非法设备反制的类型。
RSSI阈值(dBm)
非法设备反制的RSSI阈值。
终端数阈值
非法设备反制的终端数阈值。
动态黑名单
动态黑名单
选择动态黑名单功能是否开启。
暴力破解攻击检测
检测周期(秒)
暴力破解攻击的检测周期。
周期内疑似攻击次数阈值
暴力破解攻击检测周期内疑似的攻击次数阈值。
上报静默周期(秒)
暴力破解攻击检测的上报静默周期。
Flood攻击
检测周期(秒)
Flood攻击的检测周期。
周期内疑似攻击次数阈值
Flood攻击的周期内疑似的攻击次数阈值。
上报静默周期(秒)
Flood攻击的上报静默周期。
弱IV攻击
上报静默周期(秒)
弱IV攻击的上报静默周期。
Spoof攻击
上报静默周期(秒)
Spoof攻击的上报静默周期。
- 单击“应用”,完成配置。
WIDS白名单
操作步骤
- MAC白名单
- 单击“MAC白名单”下的“添加”,进入“MAC白名单”页面,输入MAC地址,单击“+”。可继续添加多个MAC地址,单击“x”可删除对应的MAC地址。图3-106 MAC白名单
- 单击“MAC白名单”下的“添加”,进入“MAC白名单”页面,输入MAC地址,单击“+”。可继续添加多个MAC地址,单击“x”可删除对应的MAC地址。
- OUI白名单
- 单击“OUI白名单”下的“新建”,进入“OUI白名单”页面,输入需要加入OUI白名单的OUI名称,单击“+”。重复上述操作,可添加多个OUI名称。单击“x”可删除选中的OUI名称。图3-107 OUI白名单
- 单击“OUI白名单”下的“新建”,进入“OUI白名单”页面,输入需要加入OUI白名单的OUI名称,单击“+”。重复上述操作,可添加多个OUI名称。单击“x”可删除选中的OUI名称。
- SSID白名单
- 单击“SSID白名单”下的“新建”,进入“SSID白名单”页面,输入需要加入SSID白名单的SSID名称,单击“+”。重复上述操作,可添加多个SSID名称。单击“x”可删除选中的SSID名称。图3-108 SSID白名单
- 单击“SSID白名单”下的“新建”,进入“SSID白名单”页面,输入需要加入SSID白名单的SSID名称,单击“+”。重复上述操作,可添加多个SSID名称。单击“x”可删除选中的SSID名称。
证书管理
操作步骤
- 依次单击 菜单,进入“证书管理”页面。
- 单击“证书管理页面”的“申请证书”,弹出“申请证书”页面,配置相应的配置项。图3-110 申请证书表3-94 申请证书
项目
说明
识别信息
证书名称
证书的名称。
通用名
证书的通用名。
IP地址
证书的IP地址。
域名
证书的合格域名。
电子邮件
证书的电子邮件。
国家/地区
证书所属的国家或地区。
州/省
证书所属的州或省。
地理区域
证书所属的地理区域。
组织
证书的组织名称。
部门
证书的部门名称。
密钥选项
证书密钥类型
证书的密钥类型。
证书密钥长度
证书的密钥长度。
证书服务器配置
自动更新
选择自动更新功能是否开启。
更新时间(%)
证书服务器的更新时间。
同时更新密钥对
选择同时更新密钥对功能是否开启。
立即生效
选择立即生效功能是否开启。
CA服务器URL地址
配置CA服务器的URL地址。
CA标识符
配置CA标识符。
CA指纹算法
指定CA指纹算法。
CA指纹
配置对CA证书进行认证时使用的CA证书指纹。
挑战密码
证书服务器的挑战密码。
摘要算法
指定证书服务器的摘要算法。
RA模式
选择RA模式功能是否开启。
证书检查
证书状态检查方式
证书状态检查方式为crl、ocsp或者none。
CDP URL
证书废除列表发布点的URL地址。
CRL缓存
选择CRL缓存功能是否开启。
CRL更新周期(小时)
CRL自动更新的周期。
- 单击“确定”,完成配置。
