检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
对于已创建且状态为激活的CA,在“PKI管理 > CA管理”页面单击该CA右侧的“去激活CA”,可去激活该CA。 激活CA: 对于已创建且状态为未激活的CA,在“PKI管理 > CA管理”页面单击该CA右侧的“激活CA”,可激活该CA。 下载CA证书: 在“PKI管理 > CA管理”页面单击CA右侧
CA并为该CA创建子CA。 方法二: 在“CA管理”页面创建一个待定状态的CA,并下载该CA对应的CSR文件。 在“证书申请”页面,通过上传CSR文件方式向根CA申请证书,并下载该证书。 在“CA管理”页面,将下载的证书文件上传至待定状态的CA,该CA被激活,成为根CA的子CA。
List):证书吊销列表,也可以理解为证书黑名单,是由CA颁发中心定期发布的文件,包含所有未到期的已被废除的证书。 根CA:根CA是证书颁发机构(CA)层次结构中最顶层的证书颁发机构(CA),是整个CA信任链的起点,其对应的CA证书是自签名的,不需要其他CA去证明。 子CA:由根CA或其他子CA签名的证书颁发机构。
如果设备出厂未预装EK证书,用户通过远程证明客户端,使用隐私CA协议向CA服务发送挑战值请求,并在CA服务及远程证明客户端配置预共享密码进行消息认证。用户通过远程证明客户端,使用隐私CA协议向CA服务发送证书申请请求,请求中包括CA名称、证书模板名称、使用者信息以及挑战值等信息。CA服务获取请求后,判断挑战值是
在主菜单中选择“系统 > 关于 > CA服务”。 在左侧导航树中选择“协议配置 > 隐私CA协议配置”。 在“协议配置”页签中单击CA右侧的“修改”,进入编辑页面配置各项参数。 参数说明请参见表1。 表1 隐私CA协议参数说明表 参数 说明 取值建议 CA CA的名称。 CA名称不可修改。 缺省值:无
明客户端,使用隐私CA协议向CA服务发送挑战值请求并导入EK信任证书链,请求中包括AK公钥和EK证书等信息。CA服务获取请求后,验证AK公钥信息,并使用导入的EK信任证书链验证EK证书,校验成功后返回加密后的挑战值。用户通过远程证明客户端,使用隐私CA协议向CA服务发送证书申请请
配置隐私CA协议 配置隐私CA协议信息 配置EK信任证书 配置预共享密码 父主题: CA服务
CA服务介绍 定义 价值描述 应用场景 功能介绍 技术原理 父主题: CA服务
价值描述 父主题: CA服务介绍
在主菜单中选择“系统 > 关于 > CA服务”。 在左侧导航树中选择“证书申请 > 证书申请”。 在“双证书申请”页签中,填写证书申请信息。 参数说明请参见表1。 表1 双证书参数说明表 参数 说明 取值建议 关联CA 选择关联CA,向该CA申请证书。 缺省值:无 建议值:无 申请者
应用场景 父主题: CA代理服务介绍
该场景适用于运营商整网统一根CA,根CA与子CA隔离部署,并通过子CA区分子域的应用场景。 图3 NetEco CA与运营商PKI共组网,NetEco CA作为运营商CA的子CA场景 NetEco CA与运营商PKI共组网(多运营商场景) 如图所示,NetEco CA与运营商PKI共组网场景(多
技术原理 CA服务技术原理图请参见图1。 图1 CA服务的技术原理 用户在通过CA服务申请证书时,需要根据实际需求来配置CA信息、证书模板、白名单和CRL等信息。 申请证书方式: 手动申请:分为通过基本信息申请证书、通过上传CSR文件申请证书两种方式。 自动申请:通过配置CMP协
功能介绍 CA服务功能 功能 说明 PKI管理 证书模板 在创建CA以及申请证书时,为减少重复配置,用户可以根据实际需求来配置证书模板。 CA管理 CA管理用于创建和管理CA,用于证书申请场景。 证书管理 证书管理用于管理相关的证书服务,包括证书吊销、证书更新、证书下载以及查看证书详细信息。
价值描述 父主题: CA代理服务介绍
在主菜单中选择“系统 > 关于 > CA代理服务”。 在左侧导航树中选择“CA服务器对接配置”。 单击“新增”,根据实际需求配置对接CA的参数。 当对接CA方式为“本地CA”。 请选择已在CA服务中创建的CA。 当对接CA方式为“外部CA”,“已有身份证书”为“是”,“证书配置方式”为“使用CMP证书”。
证书颁发机构:证书颁发机构是一个树形结构,由一个根CA机构和多个下级CA机构组成。 证书链:一个公钥证书需要CA机构签发CA证明身份,签发CA又需要上一级CA证明身份,验证公钥的过程成为一个迭代过程并形成一个证书链,例如Web浏览器预置了一组浏览器自动信任的根CA证书,来自下级CA机构的所有证书都必须附带证书链,以检验这些证书的有效性。
例如:n=4,则该CA的四层体系结构为根CA > 子CA1 > 子CA2 > 终端实体证书,即根CA签发子CA1,子CA1签发子CA2,子CA2签发终端实体证书。此时根CA的路径长度为2,子CA1的路径长度为1,子CA2的路径长度为0。 说明: 只有当“证书等级”为“根CA”或“子CA”时,可以设置路径长度约束。
申请证书 申请方式一:通过基本信息申请证书 申请方式二:通过上传文件申请证书 申请方式三:通过双证书方式申请证书 父主题: CA服务
CA服务 CA服务介绍 CA服务配置流程 配置证书模板 自定义配置CA 申请证书 配置CRL发布服务器 配置白名单 配置CMP协议 配置隐私CA协议 全局配置 父主题: 关于
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
