云服务器内容精选
-
多PKI体系子CA签发证书 如图所示,在不同的NetEco部署各自不同的根CA,不同子域的服务或设备等都需要安装对端根CA证书才能相互认证通过。在NetEco-1上启用CA服务并部署一套根CA-1,在NetEco-2上启用CA服务并部署一套不同的根CA-2,两套根CA相互独立,互不影响。服务/设备-1与服务/设备-2都需要安装根CA-1和根CA-2的证书,才能相互认证通过。 该场景适用于不同的子域完全隔离的组网场景,子域越多,需要部署的根CA就越多,管理就越复杂。 图5 多PKI体系子CA签发证书 配置流程如下: 步骤 操作 准备 说明 1 创建根证书模板 证书模板名称、使用者信息和密钥用法等。 此步骤为可选步骤,只有使用创建自签名证书方式创建根CA时,需要创建根证书模板。具体操作请参考配置证书模板。 说明: 创建根证书模板时,“证书等级”应选择“根CA”,如果构造多级子CA,“路径长度约束”至少应大于1。其他参数根据实际情况填写。 2 查看根证书模板详情 N/A 在“证书模板”页面单击根证书模板名称,可查看该模板的详细信息。 3 创建根CA 创建自签名证书方式:根CA名称、证书模板和使用者信息等。 上传证书文件方式:CA名称、.p12,.pfx或.jks格式的证书文件以及该证书文件匹配的证书口令等。 创建根CA包括使用创建自签名证书方式和上传证书文件方式,两种方式任选一种即可。具体操作请参考自定义配置CA。 创建自签名证书方式需要选择步骤1中创建的根证书模板,并填写模板中配置的使用者的相关信息。 说明: 使用创建自签名证书方式创建根CA时,“证书模板”应选择步骤1中创建的根CA级别的证书模板。其他参数根据实际情况填写。 上传证书文件方式需要上传用户自己准备的证书。 说明: 使用上传证书文件方式创建根CA时,应上传准备的.p12,.pfx或.jks格式的证书文件,并输入和证书文件匹配的密码。其他参数根据实际情况填写。 4 查看根CA详情 N/A 在“CA管理”页面单击根CA名称,可查看该CA的详细信息。 说明: 如果CA证书的使用者和颁发者信息相同,说明该CA是自签名根CA。 5 创建子CA 子CA名称、证书模板和使用者信息等。 方法一: 在“CA管理”页面单击“新增”,选择“内部CA签名”,选择CA并为该CA创建子CA。 方法二: 在“CA管理”页面创建一个待定状态的CA,并下载该CA对应的 CS R文件。 在“证书申请”页面,通过上传CSR文件方式向根CA申请证书,并下载该证书。 在“CA管理”页面,将下载的证书文件上传至待定状态的CA,该CA被激活,成为根CA的子CA。 说明: 构造多个子CA时,按照实际需要重复执行创建子CA的步骤即可。 创建根CA和子CA的操作均在不同的NetEco上完成,需注意配套关系。 6 查看子CA详情 N/A 在“CA管理”页面单击子CA名称,可查看该CA的详细信息。 7 申请证书 N/A 用户可通过自动申请方式向最末级子CA申请证书,自动申请证书包括使用CMP协议和使用隐私CA协议两种方式。 使用CMP协议申请证书,需要配置端口状态、TLS证书、CMP协议信息、请求验证和响应保护,使用CMP请求URI申请证书。具体操作请参考全局配置和配置CMP协议。 说明: 如果CMP端口使用HTTP协议端口,不需要配置TLS证书。如果选择使用CA做响应保护,不需要在“响应保护配置”页签下再次配置。其他参数根据实际情况填写。 鉴于HTTPS协议比HTTP协议有更多安全保证,建议配置CMP协议时选择HTTPS协议(HTTPS不认证对端或HTTPS认证对端)。 使用隐私CA协议申请证书 ,需要配置端口状态、TLS证书、隐私CA协议信息和EK信任证书,使用隐私CA协议请求URI申请证书。具体操作请参考全局配置和配置隐私CA协议。
-
背景信息 如果设备出厂已预装EK证书,用户通过远程证明客户端,使用隐私CA协议向CA服务发送挑战值请求并导入EK信任证书链,请求中包括AK公钥和EK证书等信息。CA服务获取请求后,验证AK公钥信息,并使用导入的EK信任证书链验证EK证书,校验成功后返回加密后的挑战值。用户通过远程证明客户端,使用隐私CA协议向CA服务发送证书申请请求,请求中包括CA名称、证书模板名称、使用者信息以及挑战值等信息。CA服务获取请求后,判断挑战值是否过期并校验AK公钥信息,校验成功后签发AK证书。
-
背景信息 如果设备出厂未预装EK证书,用户通过远程证明客户端,使用隐私CA协议向CA服务发送挑战值请求,并在CA服务及远程证明客户端配置预共享密码进行消息认证。用户通过远程证明客户端,使用隐私CA协议向CA服务发送证书申请请求,请求中包括CA名称、证书模板名称、使用者信息以及挑战值等信息。CA服务获取请求后,判断挑战值是否过期并校验AK公钥信息,校验成功后签发EK证书。 用户通过远程证明客户端,使用隐私CA协议向CA服务发送挑战值请求,请求中包括AK公钥和申请的EK证书等信息。CA服务获取请求后,验证AK公钥信息及EK证书,校验成功后返回加密后的挑战值。用户通过远程证明客户端,使用隐私CA协议向CA服务发送证书申请请求,请求中包括CA名称、证书模板名称、使用者信息以及挑战值等信息。CA服务获取请求后,判断挑战值是否过期并校验AK公钥信息,校验成功后签发AK证书。
-
背景信息 多租户部署场景中,配置端口的操作需要联系管理员用户进行操作。 端口说明请参见表1。 表1 端口说明参数表 协议 端口 说明 CMP协议 26801 端口协议可配置为: HTTP:HTTP协议端口,端口开启后,可使用CMP协议通过该端口申请证书。 说明: 鉴于HTTPS协议比HTTP协议有更多安全保证,建议配置CMP协议时选择HTTPS协议(HTTPS不认证对端或HTTPS认证对端)。 HTTPS不认证对端:TLS单向认证端口,使用CMP协议通过该端口申请证书时,客户端需要认证CA服务器身份。 HTTPS认证对端:TLS双向认证端口,使用CMP协议通过该端口申请证书时,客户端和CA服务器需相互认证对方身份。 26802 26803 隐私CA协议 26805 TLS单向认证端口,使用隐私CA协议通过该端口申请证书时,客户端需要认证CA服务器身份。
-
背景信息 设置短信猫后,如果短信猫发送失败,将尝试使用短信网关发送。使用短信猫设备发送短消息效率低于短消息服务器,建议优先使用短消息服务器发送短消息。 虚拟化场景下,不支持短信猫功能。 短信猫由于硬件限制无法并行发送短信,根据软硬件能力评估,其短信发送效率约为:5分钟内可以发送50条短信。 为了发送远程通知,需要用户录入手机号码和邮箱地址等个人数据。您需遵循所适用国家的法律或公司用户隐私政策采取足够的措施,以确保用户的个人数据受到充分的保护。 手机号码和邮箱地址等个人数据在界面上经过了匿名化处理,并在传输时进行了加密,以确保个人数据的使用安全性。
-
操作流程全景图 资产管理操作全景图提供各个运维场景端到端的流程及相关任务,如图1所示。 图1 资产管理操作流程全景图 资产管理任务说明,如表1所示。 表1 资产管理任务 任务名称 任务描述 具体操作 管理资产台账 对资产的位置、挂账人、所属部门等信息进行管理,提供资产入库、编辑资产和查找资产信息等功能。 具体操作请参见管理资产台账。 变更资产 资产变更包含设备转移挂账人、上架、下架、移动、维修、清退等操作,其中上架、下架、移动会影响数据中心容量。 具体操作请参见变更资产。 维护资产相关信息 在日常运维过程中,用户可对设备库、客户信息、标签信息、线缆信息以及资产属性等进行维护,以保障后续资产管理相关工作能顺利开展。 具体操作请参见资产配置。 父主题: 资产管理
-
变更资产 NetEco模拟了IT设备、通信设备或附件在IT机柜中的上架、下架和移动过程,跟踪并记录设备的状态及变更过程数据,为施工人员提供详细的设备施工指导。在设备资产的全生命周期中,设备会不断发生变更,其状态与属性会有所变化。因此,借助资产台账与变更管理,实现对资产的状态全程跟踪。 在资产的生命周期中,资产变更包含的形式如图1所示。其中,除转移挂账人、维修、清退外,其它资产变更均会影响到数据中心容量。 图1 资产生命周期与变更形式 资产的状态可以分为:使用、闲置、维修中、已清退。在NetEco系统中,“变更状态”为正常的IT机柜中的设备可以根据资产状态执行的变更操作对应关系如图2所示。 图2 资产状态与变更的对应关系 转移资产挂账人 维修设备 清退设备 父主题: 资产管理
-
操作流程全景图 容量管理操作流程全景图提供各个运维场景端到端的流程及相关任务,如图1所示。 图1 容量管理操作流程全景图 容量管理任务说明,如表1所示。 表1 容量管理任务 任务名称 任务描述 具体操作 变更资产 对资产的位置、挂账人、所属部门等信息的管理,提供资产入库、编辑资产和查找资产信息等功能。 具体操作请参见日常操作。 资源出租 资产变更包含设备转移挂账人、上架、下架、移动、维修、清退操作,其中上架、下架、移动会影响数据中心容量。 具体操作请参见资源出租。 维护资产相关信息 在日常运维过程中,用户可对设备库、客户信息、标签信息、线缆信息以及资产属性等进行维护,以保障后续资产管理相关工作能顺利开展。 具体操作请参见资产配置。 父主题: 容量管理
-
机柜/U位出租 在出租场景下,支撑数据中心机房面积、机柜或U位的销售流程,防止多个使用方之间的资源冲突,快速统计、查找当前可销售的机柜资源,向特定的租户分配具体的机房面积、机柜或U位资源,已分配的资源不得再让给其它租户使用。 机柜/U位预占与占用 支持机房面积、机柜与U位的资源预占,满足出租场景下的机房面积出租、整机柜出租、散U出租的商业模式。 支持将机房面积、机柜与U位资源分配给外部或内部客户。将资源分配给外部客户时提供资源预占或直接占用的业务场景。 机柜出租容量统计 支持按机房维度统计机房面积、机柜的预留与已销售情况,给出当前可销售的资源数量。
-
设备上架与最佳机位 模拟IT机柜内设备的上架过程,提前识别容量不匹配的地方,防止设备上架后无法正常工作,避免人力与时间的浪费。基于U空间、承重、制冷、功率、网络因素有效规划设备上架位置,减少容量碎片化程度,提高容量利用率,并全程跟踪设备的上架过程。 设备上架指导 浏览机柜容量:支持在机房/机柜视图中浏览各个机柜的容量使用情况,了解可用机柜的数量、位置等信息。 支持浏览机柜的容量信息,包括U空间、功率、制冷、网络。 支持浏览机柜间的连接关系,包括配电、网络连接。 支持设置机柜的容量阈值,包括:U空间、承重、制冷、配电、网络。 设备上架设计:根据设备上架需求,模拟设备上架过程,明确设备上架的可用位置、安装操作、容量变化等。 支持配置设备的上架位置、配电与网络连接关系。 根据设备上架结果,刷新机柜容量信息。 设备上架工单:根据设备上架设计结果,自动生成设备上架工单。 最佳机位查找 支持根据待上架的设备数量、容量需求,在用户指定的机房或区域内查找可用的机位信息(机柜位置、可用U位等),可用机位可以满足上架设备的U空间、承重、制冷、功率、网络的需求。 机位查找支持多服务器、多机柜并行查找。 机位查找可以考虑U位高度、功率、承重多种因素。 设备连接关系 支持管理不同设备之间的连接关系,包括配电与网络连接及其端口的管理。 配电连接适用于配电单元与IT机柜内的设备之间; 网络连接适用于IT机柜内的设备之间。
-
相关概念 CA(Certificate Authority):证书颁发中心。签发证书、认证证书、管理已颁发证书的网络机构。 CA证书:颁发机构本身的证书,用于验证CA颁发的本地证书和证书吊销列表CRL(Certificate Revocation List)的有效性。 证书颁发机构:证书颁发机构是一个树形结构,由一个根CA机构和多个下级CA机构组成。 证书链:一个公钥证书需要CA机构签发CA证明身份,签发CA又需要上一级CA证明身份,验证公钥的过程成为一个迭代过程并形成一个证书链,例如Web浏览器预置了一组浏览器自动信任的根CA证书,来自下级CA机构的所有证书都必须附带证书链,以检验这些证书的有效性。 CA证书链:在验证对端证书时,用来寻找该证书所隶属的信任CA所需的一个系列CA证书的集合。也就是说,CA证书链用于追溯底层CA到实体所信任的根CA之间的证书路径,以便实体确认对端的证书是可信任的。
-
相关任务 下载CSR: 用户可在创建CA服务器对接配置后,在弹出的提示框选择下载CSR文件,或在“CA服务器对接配置”页面单击CA服务器配置右侧的“下载CSR”,下载该CA服务器配置对应的CSR文件。 如果未配置CSR文件,在“CA服务器对接配置”页面不可下载CSR文件。 导入身份证书: 在“CA服务器对接配置”页面单击CA服务器配置右侧的“导入身份证书”,可上传该CA服务器配置对应的身份证书。 如果未配置CSR文件,在“CA服务器对接配置”页面不可导入身份证书。 修改CA服务器配置: 在“CA服务器对接配置”页面单击CA服务器右侧的“修改”,可修改该CA服务器配置信息。 修改已配置的CA服务器,可能会导致NetEco与该CA之间的业务中断,无法申请证书,请谨慎操作。 删除CA服务器配置: 对于已配置的CA,在“CA服务器对接配置”页面单击CA右侧的“删除”,可删除该CA配置。 删除已配置的CA,可能会导致NetEco与该CA之间的业务中断,无法申请证书,请谨慎操作。 更新身份证书: 在“CA服务器对接配置”页面单击CA服务器右侧的“更新身份证书”,可更新该CA服务器配置对应的身份证书。 连通性测试: 在“CA服务器对接配置”页面单击CA服务器对接配置右侧的“测试连通性”,可通过“状态”查看其连通性。
-
处理步骤 不同版本的浏览器界面可能有所差异,以下涉及浏览器的内容仅用作举例 ,在其他版本的浏览器上进行相关操作与此类似,请以实际情况为准。 Chrome浏览器。 单击“高级”。 单击“继续前往xx.xx.xx.xx (不安全)”。 在Firefox浏览器中设置添加例外。 单击“我已充分了解可能的风险”,如图3所示。 图3 选择已了解风险 在所展开的区域单击“添加例外”,如图4所示。 图4 添加例外 单击“确定安全例外”,如图5所示。 图5 确认安全例外
-
相关任务 修改CRL服务器配置: 对于已配置的CRL服务器,在“CRL服务器对接配置”页面单击CRL服务器右侧的“修改”,可修改该CRL服务器的配置信息。 修改已配置的CRL服务器,可能会导致NetEco与该CRL服务器之间的业务中断,影响证书吊销,请谨慎操作。 删除CRL服务器: 对于已配置的CRL服务器,在“CRL服务器对接配置”页面单击CRL服务器配置右侧的“删除”,可删除该CRL服务器配置。 删除已配置的CRL服务器,可能会导致NetEco与该CRL服务器之间的业务中断,影响证书吊销,请谨慎操作。 连通性测试: 在“CRL服务器对接配置”页面单击CRL服务器对接配置右侧的“测试连通性”,可通过“状态”查看其连通性。
-
远程通知使用流程 远程通知配置流程图如图1所示。 图1 远程通知配置流程图 调测远程通知功能 在使用远程通知功能前,运维人员需要设置短信网关、短信猫或邮箱服务器的通信参数,使系统具备远程通知的能力。 远程通知的发送形式为短消息和邮件,详情如表1所示。 表1 远程通知方式 形式 发送方式 说明 短消息 短信网关 第三方的短信网关,由用户网络运维人员维护。 远程通知提供默认的短信网关设置,也支持对短信网关各参数进行重新设置,以保证系统与短信网关对接成功。 短信猫 设置短信猫后,短信网关设置将不生效。使用短信猫设备发送短消息效率低于短消息服务器,建议优先使用短消息服务器发送短消息。 邮件 邮箱服务器 第三方的邮件发送服务器,由用户网络运维人员维护。 远程通知支持对邮箱服务器各参数进行设置,以建立系统与邮箱服务器之间的通信。 设置通知参数 在发送通知前,运维人员需做一些准备工作。 设置通知的接收人:创建通知用户或通知用户组。 设置流量控制:设置邮件发送和短消息发送的时间范围和容量限制。 设置通知模板:运维人员可将常用的通知内容设置为通知模板,无需每次手动编写通知内容,从而提高运维效率。 设置通知规则:设置远程通知要发送的信息。如,某些告警源的所有告警,某些特定的告警,所有属于某个级别告警,或某个事件信息等。 发送通知 自动发送通知 系统根据设置的通知规则,将符合通知规则的信息自动发送给接收人。 手动发送通知 运维人员需要发送一些通知给相关人员时,其可以在界面上手动编辑需要发送的内容,以短消息或邮件的方式发送给相关人员,使相关人员及时了解通知内容。 父主题: 远程通知
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
