检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
应用场景 父主题: CA代理服务介绍
如何解决浏览器提示的证书错误或安全风险 现象描述 使用Chrome浏览器登录NetEco时,系统提示类似图1所示的连接问题。 使用Firefox浏览器登录NetEco时,系统提示类似图2所示的连接问题。 图1 Chrome浏览器提示连接问题 图2 Firefox浏览器提示连接问题
配置白名单 背景信息 若白名单校验功能开启,用户提交证书请求后,公共名称在白名单之内的才能成功申请证书。 操作步骤 在主菜单中选择“系统 > 关于 > CA服务”。 在左侧导航树中选择“PKI管理 > 白名单管理”。 单击“新增”,弹出“创建白名单”对话框。 填写白名单信息。 公
成功后签发EK证书。 用户通过远程证明客户端,使用隐私CA协议向CA服务发送挑战值请求,请求中包括AK公钥和申请的EK证书等信息。CA服务获取请求后,验证AK公钥信息及EK证书,校验成功后返回加密后的挑战值。用户通过远程证明客户端,使用隐私CA协议向CA服务发送证书申请请求,请求
全局配置 配置端口 配置TLS 父主题: CA服务
CA服务的技术原理 用户在通过CA服务申请证书时,需要根据实际需求来配置CA信息、证书模板、白名单和CRL等信息。 申请证书方式: 手动申请:分为通过基本信息申请证书、通过上传CSR文件申请证书两种方式。 自动申请:通过配置CMP协议信息申请证书和通过隐私CA协议申请证书两种方式。 父主题: CA服务介绍
CA和运营商PKI共组网场景中,由NetEco子CA给NetEco、服务或设备等签发终端实体证书,由运营商子CA给安全网关等签发终端实体证书。服务或设备等需要离线安装运营商PKI根CA证书,安全网关等其他设备需要安装NetEco根CA证书,才能相互认证通过。 该场景适用于不同的子域之间进行隔离组网。 图2
”或空格开头。 CA证书链 CA证书本身及其父级证书组成的证书链,可作为TLS连接的信任证书。 证书配置方式 同CA进行TLS连接时是否使用本端配置中配置的CMP证书。 样例值:不使用CMP证书。 身份证书 代表本端身份的证书,服务端通过校验该身份证书确定客户端是否可信。 上传的证书文件必须是
配置CMP协议 配置CMP协议信息 配置请求验证 配置响应保护 父主题: CA服务
价值描述 父主题: CA代理服务介绍
CA(Certificate Authority):证书颁发中心。签发证书、认证证书、管理已颁发证书的网络机构。 CA证书:颁发机构本身的证书,用于验证CA颁发的本地证书和证书吊销列表CRL(Certificate Revocation List)的有效性。 证书颁发机构:证书颁发机构是一个树形结构,由一个根CA机构和多个下级CA机构组成。
高危操作使能 用户需要高危操作的权限时,可通过开启或关闭高危操作使能开关来实现。 操作步骤 选择“系统 > 系统设置 > 系统配置”。 在左侧导航栏中选择“系统配置 > 高危操作使能”。 在“高危操作使能”页面,选择是否开启高危操作使能开关,单击“应用”。 父主题: 系统配置
NetEco用户已具备“远程通知”的操作权限。 已从微信公众号平台的网站(https://mp.weixin.qq.com/)上获取到有效的微信证书,并导入到“NetEcoNBIService-Wechat 证书列表”中。导入微信证书,具体操作请参见管理服务证书。 NetEco与微信公众号平台(api.weixin
Channel版本)或Firefox浏览器(ESR版本)。 请将显示分辨率设置为1920*1080或更高。 首次登录NetEco时,Web浏览器会提示证书错误。请参见如何解决浏览器提示的证书错误或安全风险。 输入“Organization”、“用户名”和“密码”,单击“登录”。 首次登录时,“Organiza
管理服务证书 管理服务证书 前提条件 已部署需要使用证书管理功能的服务。 已具备“查询证书”、“导入证书”、“删除证书”操作权限。 已获取需要导入或更新的证书及其相关信息,例如文件密码、证书类型,身份证书的公钥文件、私钥文件、私钥密码和证书链等。 背景信息 当服务名称对应证书配置页
传供应商根证书,用户可根据实际需求选择是否将该证书设置为TLS信任证书。请参考具体供应商提供的获取方式获取供应商根CA证书。 创建自签名证书:当用户没有身份证书和私钥时,可选择该方式,由CA服务生成一本自签名证书,用户下载后用于对CMP请求报文签名,CA服务使用该证书验证请求合法
缺省值:无 建议值:无 证书配置方式 CA签发证书:当用户没有响应消息验证证书时,可以由关联CA签发一本终端实体证书作为响应消息签名证书,用户可以使用该证书对响应消息进行完整性验证。 缺省值:CA签发证书 建议值:CA签发证书 签名算法 根据实际需要选择签发响应保护证书所使用的签名算法。
ter”。 单击地址栏左侧的。 单击“更多信息”。 在“安全”页签中,单击“查看证书”。 在“详细信息”页签,单击“导出”。 选择证书在PC上的存放路径,并输入证书的文件名,单击“保存”,表示导出证书完成。
在“弹出式窗口和重定向”窗口单击“添加”。 在“添加网站”对话框中,输入“https://服务器的IP地址:服务器的端口号(例如https://10.10.10.1:31943)”,再单击“添加”。 关闭“设置”页签。 Firefox浏览器配置: 在浏览器的右上角单击,选择“选项”。
er”。 按“F12”,在弹出的调测页面中,选择“安全”页签,单击“查看证书”。 如未弹出调测页面,需在拦截信息中设置为允许,按“F12”方可打开调测页面。 在“证书”窗口中,选择“证书路径”页签,选中证书的根路径,如“xxx IT Root CA”。 选择“详细信息”页签,单击“复制到文件”。