signature=9293cc4bd6f47e4f2a5f299011c6e89e,02-本地证书配置指导
本地證書包含本地用戶證書,本地CA證書,CRL,以及CRL自動更新。本地用戶證書是用于設備某些模塊,如IPsec,在建立連接時,向遠端設備進行身份驗證;本地CA證書是用于設備在與遠端設備建立連接時,對遠端設備進行身份驗證;CRL為遠端設備的身份驗證提供驗證條件。
本功能具有如下功能點:
·?????本地用戶證書的管理和維護。
·?????本地CA證書的管理和維護。
·?????本地CRL的管理和維護。包括通過TFTP Server進行CRL文件的管理和維護,以及自動獲取CRL文件的配置管理。
設備與網絡可達的TFTP服務器相連,實現證書的導入、導出操作。如
·?????設備可以通過TFTP Server導入、導出本地用戶證書。
·?????設備可以通過TFTP Server導入、導出本地CA證書。
·?????設備可以通過TFTP Server導入、導出本地CRL文件。
設備通過與遠端CRL服務器建立網絡連接,獲取CRL文件。如
設備通過自動獲取CRL的配置,從遠端CRL Server獲取CRL文件。
1.3? 配置本地證書
按
操作
命令
說明
導入單證書文件格式的證書
pki local certificate pkcs12 import tftpip-address certificate-name password
必選
導入證書密鑰分離格式的證書
pki local certificate cert_key import tftpip-address certificate-name key-name password
必選
用戶證書導出
pki local certificate export tftpip-address certificate-name{p12|pem} password
必選
按
操作
命令
說明
本地CA證書導入
pki local ca import tftpip-address certificate-name
必選
本地CA證書導出
pki local ca export tftpip-address certificate-name
必選
按
操作
命令
說明
本地CRL文件導入
pki local crl import tftpip-address crl-name
必選
本地CRL文件導出
pki local crl export tftpip-address crl-name
必選
按
操作
命令
說明
進入系統視圖
system-view
—
配置自動獲取CRL
pki local crl auto-getname interval-time[http-url|ldap-server]server
必選
·?????自動獲取到的CRL文件將以配置條目名稱命名。
·?????interval-time是自動獲取的時間間隔,范圍為1到720小時。
完成上述配置后,在任意視圖下執行display命令可以顯示配置后本地證書的運行情況,通過查看顯示信息驗證配置的效果。
表1-5 本地證書顯示和維護
操作
命令
顯示用戶證書配置
displaypki local certificate[certificate-name]
顯示CA配置
displaypki local ca[certificate-name]
顯示CRL配置
displaypki local crl[crl-name]
顯示自動獲取CRL配置
displaypki local crl auto-get
1. 組網需求
通過TFTP服務器,向設備導入本地用戶證書。
·?????TFTP Server與設備網絡可達。
·?????TFTP Server上存在用戶證書。
圖1-3 用戶證書組網圖
2. 配置步驟
# 配置導入本地用戶證書。
host# pki local certificate cert_key import tftp 192.168.1.2 test.cer test.key
#提示如下信息。
Download file test.cer ....
Download file(test.cer) success.
Download file test.key ....
Download file(test.key) success.
3. 驗證配置
在設備上執行displaypki local certificate test.cer命令查看導入成功的用戶證書。
host# display pki local certificate test.cer
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 18213662865011930356 (0xfcc3ede027c274f4)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CN, O=OR, ST=PRO, CN=test_ca, L=LOCATION, OU=DE
Validity
Not Before: Jun 20 03:41:38 2014 GMT
Not After : Jun 30 03:41:38 2014 GMT
Subject: C=CN, O=or, CN=test, L=location, ST=province, OU=test
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:97:84:b1:5d:fe:d0:18:0c:87:b5:b3:92:44:8f:
ca:76:19:14:5a:25:3b:8a:4d:60:3a:b6:90:c1:ad:
a0:87:fe:ca:e1:a3:67:89:c2:cb:28:62:da:5b:5b:
fc:10:a9:4c:00:f8:9e:d7:dd:34:26:74:89:05:b7:
3e:ce:0e:67:d8:65:f3:55:0f:11:ec:de:49:67:ad:
0c:82:cc:e2:58:06:af:ed:41:66:8e:15:11:f9:6c:
3a:77:4b:70:69:c5:9b:7a:64:ad:51:03:3e:69:b2:
90:ef:25:07:ce:1b:0a:d7:f0:8d:e1:d6:91:0c:49:
a8:1f:0b:58:03:f3:0f:e4:ab
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication, E-mail Protection, Code Signing, Microsoft Server Gated Crypto, OCSP Signing, Time Stamping, dvcs
Signature Algorithm: sha1WithRSAEncryption
80:7e:fc:79:2a:86:ba:22:8c:e0:0f:94:37:58:29:b7:28:73:
91:e8:6a:54:18:8d:ce:41:61:87:80:92:70:94:1d:a0:a5:64:
f8:85:7e:17:46:80:07:6b:68:d0:67:cd:57:4b:49:fa:8f:69:
48:8b:b0:58:8d:43:fd:aa:f6:71:47:59:6d:68:7f:42:da:ca:
f9:d8:d4:bd:eb:99:52:ca:12:e0:c1:c8:b6:a9:84:d2:63:7e:
2d:05:d6:6b:00:67:67:3b:52:90:9d:35:e9:53:b2:fc:8e:ce:
22:f3:c3:4a:52:56:fb:7c:16:e1:c8:69:04:eb:dc:65:04:74:
25:5e
1. 組網需求
通過TFTP服務器,導入本地CA證書。
·?????TFTP Server與設備網絡可達。
·?????TFTP Server上存在CA證書。
圖1-4 CA證書配置組網圖
2. 配置步驟
# 配置導入本地CA證書。
host#pki local ca import tftp 192.168.1.2 test_ca.cer
#提示如下信息。
Upload file test_ca.cer ....
Upload file(test_ca.cer) success.
3. 驗證配置
在設備上執行displaypki local ca test_ca.cer命令查看簽發成功的CA證書。
host# display pki local ca test_ca.cer
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 15356771495294948776 (0xd51e364fb1e655a8)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CN, O=OR, ST=PRO, CN=test_ca, L=LOCATION, OU=DE
Validity
Not Before: Jun 20 03:16:47 2014 GMT
Not After : Jul 10 03:16:47 2014 GMT
Subject: C=CN, O=OR, ST=PRO, CN=test_ca, L=LOCATION, OU=DE
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c9:db:1e:45:66:2d:b5:6c:06:a0:79:62:4d:6c:
ce:92:4b:16:89:3b:5a:0a:62:b7:d6:7b:68:ab:f8:
ac:1c:3d:04:2f:0f:7f:fa:9a:69:4e:09:8f:9d:e2:
a1:35:67:44:58:c5:8d:14:fa:36:6f:c5:0f:b3:9b:
01:7e:1d:00:dc:44:ad:4a:34:16:1f:e9:af:1d:62:
6a:68:cb:e1:d9:30:e7:e2:0e:59:e7:ed:48:3d:83:
75:4e:12:df:90:35:0d:22:5c:7a:35:69:f7:33:ab:
39:58:68:ae:d7:71:55:65:36:53:f1:b4:09:3f:71:
c1:c0:66:0d:19:a2:e1:69:eb
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
Signature Algorithm: sha1WithRSAEncryption
2d:cb:0a:a8:d5:20:c7:f9:94:16:20:14:48:8d:26:40:ac:01:
8e:e1:42:f6:17:28:48:7a:56:d5:67:24:81:60:5e:e4:60:46:
13:64:5b:8b:f1:87:b1:f1:04:3e:63:7f:eb:79:61:43:91:1f:
06:0f:b5:e7:a5:d4:04:be:6a:93:46:70:90:c4:af:a5:61:67:
9d:1b:b1:39:e0:ca:17:58:3e:33:3b:48:71:80:dd:23:9b:94:
34:f7:6b:6b:60:ee:fd:cc:dc:61:63:c5:c1:52:37:95:05:b1:
d8:14:85:65:8a:71:61:f4:19:9f:66:fd:39:de:a5:a7:c0:d4:
88:d0
1. 組網需求
通過TFTP服務器,導入本地CRL文件。
·?????TFTP Server與設備網絡可達。
·?????TFTP Server上存在CRL證書。
圖1-5 CRL配置組網圖
2. 配置步驟
# 配置導入CRL文件。
host# pki local crl import tftp 192.168.1.2test_ca.crl
#提示如下信息。
Upload file test_ca.crl ....
Upload file(test_ca.crl) success.
3. 驗證配置
在設備上執行displaypki local crltest_ca.crl查看簽發成功的CRL證書。
host# display pki local crltest_ca.crl
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: /C=CN/O=OR/ST=PRO/CN=test_ca/L=LOCATION/OU=DE
Last Update: Jun 20 03:24:02 2014 GMT
Next Update: Jul 20 03:24:02 2014 GMT
CRL extensions:
X509v3 CRL Number:
1
X509v3 Authority Key Identifier:
DirName:/C=CN/O=OR/ST=PRO/CN=test_ca/L=LOCATION/OU=DE
serial:D5:1E:36:4F:B1:E6:55:A8
No Revoked Certificates.
Signature Algorithm: sha1WithRSAEncryption
51:ef:83:94:24:0b:05:a0:1f:e1:30:57:e9:cf:66:48:94:ab:
c5:c7:77:02:ea:5d:c9:d0:c4:b5:7e:a0:f9:b7:bf:1e:84:6e:
68:d3:71:2d:2a:98:fb:67:50:21:29:3e:05:13:d7:33:b3:f5:
8d:7b:08:b2:44:6d:25:17:a8:d8:ce:02:82:8e:1c:41:80:e3:
fa:92:dc:7d:0a:42:16:04:24:4b:96:76:0f:c0:54:fa:36:ab:
c6:59:e0:1a:4b:be:27:ae:5f:8f:f8:78:ee:94:0f:53:40:26:
e4:f4:1a:90:71:7c:f0:22:11:dd:3a:dc:e4:83:66:e1:7d:0e:
54:91
1. 組網需求
根據自動獲取配置,從CRL服務器自動獲取CRL文件。
·?????CRL服務器與設備網絡可達。
·?????CRL服務器上存在CRL證書。
圖1-6 自動獲取CRL配置組網圖
2. 配置步驟
#配置自動獲取CRL文件。
host# system-view
host# pki local crl auto-get auto 24 http-url http://192.168.1.113/test_ca.crl
3. 驗證配置
配置完成后,等待24小時之后,設備上就會出現一個名稱為auto.crl的CRL文件。
總結
以上是生活随笔為你收集整理的signature=9293cc4bd6f47e4f2a5f299011c6e89e,02-本地证书配置指导的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: docker Registry镜像仓库
- 下一篇: lufylegend引擎制作接水果小游戏