边缘数据中心管理 EDCM-CA服务配置流程:多PKI体系子CA签发证书

时间：2023-11-01 16:15:15

边缘数据中心管理 EDCM CA服务

多PKI体系子CA签发证书

如图所示，在不同的NetEco部署各自不同的根CA，不同子域的服务或设备等都需要安装对端根CA证书才能相互认证通过。在NetEco-1上启用CA服务并部署一套根CA-1，在NetEco-2上启用CA服务并部署一套不同的根CA-2，两套根CA相互独立，互不影响。服务/设备-1与服务/设备-2都需要安装根CA-1和根CA-2的证书，才能相互认证通过。

该场景适用于不同的子域完全隔离的组网场景，子域越多，需要部署的根CA就越多，管理就越复杂。

图5 多PKI体系子CA签发证书

配置流程如下：

步骤	操作	准备	说明
1	创建根证书模板	证书模板名称、使用者信息和密钥用法等。	此步骤为可选步骤，只有使用创建自签名证书方式创建根CA时，需要创建根证书模板。具体操作请参考配置证书模板。说明：创建根证书模板时，“证书等级”应选择“根CA”，如果构造多级子CA，“路径长度约束”至少应大于1。其他参数根据实际情况填写。
2	查看根证书模板详情	N/A	在“证书模板”页面单击根证书模板名称，可查看该模板的详细信息。
3	创建根CA	创建自签名证书方式：根CA名称、证书模板和使用者信息等。上传证书文件方式：CA名称、.p12，.pfx或.jks格式的证书文件以及该证书文件匹配的证书口令等。	创建根CA包括使用创建自签名证书方式和上传证书文件方式，两种方式任选一种即可。具体操作请参考自定义配置CA。创建自签名证书方式需要选择步骤1中创建的根证书模板，并填写模板中配置的使用者的相关信息。说明：使用创建自签名证书方式创建根CA时，“证书模板”应选择步骤1中创建的根CA级别的证书模板。其他参数根据实际情况填写。上传证书文件方式需要上传用户自己准备的证书。说明：使用上传证书文件方式创建根CA时，应上传准备的.p12，.pfx或.jks格式的证书文件，并输入和证书文件匹配的密码。其他参数根据实际情况填写。
4	查看根CA详情	N/A	在“CA管理”页面单击根CA名称，可查看该CA的详细信息。说明：如果CA证书的使用者和颁发者信息相同，说明该CA是自签名根CA。
5	创建子CA	子CA名称、证书模板和使用者信息等。	方法一：在“CA管理”页面单击“新增”，选择“内部CA签名”，选择CA并为该CA创建子CA。方法二：在“CA管理”页面创建一个待定状态的CA，并下载该CA对应的 CS R文件。在“证书申请”页面，通过上传CSR文件方式向根CA申请证书，并下载该证书。在“CA管理”页面，将下载的证书文件上传至待定状态的CA，该CA被激活，成为根CA的子CA。说明：构造多个子CA时，按照实际需要重复执行创建子CA的步骤即可。创建根CA和子CA的操作均在不同的NetEco上完成，需注意配套关系。
6	查看子CA详情	N/A	在“CA管理”页面单击子CA名称，可查看该CA的详细信息。
7	申请证书	N/A	用户可通过自动申请方式向最末级子CA申请证书，自动申请证书包括使用CMP协议和使用隐私CA协议两种方式。使用CMP协议申请证书，需要配置端口状态、TLS证书、CMP协议信息、请求验证和响应保护，使用CMP请求URI申请证书。具体操作请参考全局配置和配置CMP协议。说明：如果CMP端口使用HTTP协议端口，不需要配置TLS证书。如果选择使用CA做响应保护，不需要在“响应保护配置”页签下再次配置。其他参数根据实际情况填写。鉴于HTTPS协议比HTTP协议有更多安全保证，建议配置CMP协议时选择HTTPS协议（HTTPS不认证对端或HTTPS认证对端）。使用隐私CA协议申请证书，需要配置端口状态、TLS证书、隐私CA协议信息和EK信任证书，使用隐私CA协议请求URI申请证书。具体操作请参考全局配置和配置隐私CA协议。