云服务器内容精选
-
多PKI体系子CA签发证书 如图所示,在不同的NetEco部署各自不同的根CA,不同子域的服务或设备等都需要安装对端根CA证书才能相互认证通过。在NetEco-1上启用CA服务并部署一套根CA-1,在NetEco-2上启用CA服务并部署一套不同的根CA-2,两套根CA相互独立,互不影响。服务/设备-1与服务/设备-2都需要安装根CA-1和根CA-2的证书,才能相互认证通过。 该场景适用于不同的子域完全隔离的组网场景,子域越多,需要部署的根CA就越多,管理就越复杂。 图5 多PKI体系子CA签发证书 配置流程如下: 步骤 操作 准备 说明 1 创建根证书模板 证书模板名称、使用者信息和密钥用法等。 此步骤为可选步骤,只有使用创建自签名证书方式创建根CA时,需要创建根证书模板。具体操作请参考配置证书模板。 说明: 创建根证书模板时,“证书等级”应选择“根CA”,如果构造多级子CA,“路径长度约束”至少应大于1。其他参数根据实际情况填写。 2 查看根证书模板详情 N/A 在“证书模板”页面单击根证书模板名称,可查看该模板的详细信息。 3 创建根CA 创建自签名证书方式:根CA名称、证书模板和使用者信息等。 上传证书文件方式:CA名称、.p12,.pfx或.jks格式的证书文件以及该证书文件匹配的证书口令等。 创建根CA包括使用创建自签名证书方式和上传证书文件方式,两种方式任选一种即可。具体操作请参考自定义配置CA。 创建自签名证书方式需要选择步骤1中创建的根证书模板,并填写模板中配置的使用者的相关信息。 说明: 使用创建自签名证书方式创建根CA时,“证书模板”应选择步骤1中创建的根CA级别的证书模板。其他参数根据实际情况填写。 上传证书文件方式需要上传用户自己准备的证书。 说明: 使用上传证书文件方式创建根CA时,应上传准备的.p12,.pfx或.jks格式的证书文件,并输入和证书文件匹配的密码。其他参数根据实际情况填写。 4 查看根CA详情 N/A 在“CA管理”页面单击根CA名称,可查看该CA的详细信息。 说明: 如果CA证书的使用者和颁发者信息相同,说明该CA是自签名根CA。 5 创建子CA 子CA名称、证书模板和使用者信息等。 方法一: 在“CA管理”页面单击“新增”,选择“内部CA签名”,选择CA并为该CA创建子CA。 方法二: 在“CA管理”页面创建一个待定状态的CA,并下载该CA对应的 CS R文件。 在“证书申请”页面,通过上传CSR文件方式向根CA申请证书,并下载该证书。 在“CA管理”页面,将下载的证书文件上传至待定状态的CA,该CA被激活,成为根CA的子CA。 说明: 构造多个子CA时,按照实际需要重复执行创建子CA的步骤即可。 创建根CA和子CA的操作均在不同的NetEco上完成,需注意配套关系。 6 查看子CA详情 N/A 在“CA管理”页面单击子CA名称,可查看该CA的详细信息。 7 申请证书 N/A 用户可通过自动申请方式向最末级子CA申请证书,自动申请证书包括使用CMP协议和使用隐私CA协议两种方式。 使用CMP协议申请证书,需要配置端口状态、TLS证书、CMP协议信息、请求验证和响应保护,使用CMP请求URI申请证书。具体操作请参考全局配置和配置CMP协议。 说明: 如果CMP端口使用HTTP协议端口,不需要配置TLS证书。如果选择使用CA做响应保护,不需要在“响应保护配置”页签下再次配置。其他参数根据实际情况填写。 鉴于HTTPS协议比HTTP协议有更多安全保证,建议配置CMP协议时选择HTTPS协议(HTTPS不认证对端或HTTPS认证对端)。 使用隐私CA协议申请证书 ,需要配置端口状态、TLS证书、隐私CA协议信息和EK信任证书,使用隐私CA协议请求URI申请证书。具体操作请参考全局配置和配置隐私CA协议。
-
CA服务功能 功能 说明 PKI管理 证书模板 在创建CA以及申请证书时,为减少重复配置,用户可以根据实际需求来配置证书模板。 CA管理 CA管理用于创建和管理CA,用于证书申请场景。 证书管理 证书管理用于管理相关的证书服务,包括证书吊销、证书更新、证书下载以及查看证书详细信息。 CRL管理 通过CRL管理页面可以查看所有的证书吊销列表的信息和状态,也可对CRL进行下载、更新和手动发布。 白名单管理 白名单管理包括新增、导入、删除和查询白名单,公共名称在白名单之内的才能成功申请证书。 协议配置 CMP配置 通过CMP协议申请证书的时候需要对请求消息和响应消息做完整性保护。 隐私CA协议配置 通过隐私CA协议申请证书的时候需要配置隐私CA协议信息以及EK信任证书。 证书申请 证书申请 在证书申请页面,用户可以根据实际需要选择不同方式申请证书。 申请列表 申请列表用于展示用户申请的证书信息。 全局配置 端口管理 通过端口管理页面可以查看端口当前状态,手动开启或关闭HTTP协议端口、TLS单向认证端口、TLS双向认证端口或隐私CA协议端口。 说明: 鉴于HTTPS协议比HTTP协议有更多安全保证,建议配置CMP协议时选择HTTPS协议(HTTPS不认证对端或HTTPS认证对端)。 TLS配置 通过配置TLS证书来对消息进行加密保护。 证书归档 用于配置过期证书归档策略。 服务管理 用于重启CA服务。 密码机管理 通过配置密码机,可以保证证书密钥在任何时候不以明文的形式出现在设备外,实现更安全的密钥管理。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
