02
2022
11
09:34:09

USG2000/USG5000如何配置证书认证?

以下内容是V300R001版本的讲解,仅供参考!如需其他版本的,欢迎到华为官网企业网上查找相关文档:

http://support.huawei.com/enterprise/productsupport?lang=zh&idAbsPath=7919710|9856724|7923140|21100054&pid=21100054

配置证书

证书建立了用户身份信息与用户公钥的关联,用于通信双方的身份认证

公钥密码学

在公钥密码学中,公私密钥对用来加密和解密数据。证书的生成和应用都基于公私密钥对实现。

为了保证数据在网络中传输时不被恶意用户非法***和篡改,通常使用加密技术对数据进行加密。如图1所示,发送方通过一定的加密算法,使用密钥将明文数据变换为密文数据,然后发送密文数据;接收方收到密文数据后,通过一定的解密算法,使用密钥将密文数据恢复为明文数据。

加密和解密逻辑关系图

根据加解密过程中使用密钥的方式不同,可以将密钥算法分为:

·         对称密钥算法

对数据进行加密和解密时使用的密钥相同,常用的对称密钥算法包括DESData Encryption Standard)、3DESTriple Data Encryption Standard)、AESAdvanced Encryption Standard)等。

·         非对称密钥算法

又称为公共密钥算法,对数据进行加密和解密时使用的密钥不同。一个是公开的公钥,可以对外界分发;一个是由用户秘密保存的私钥,不对外界共享。通过公钥加密后的数据只能利用对应的私钥进行解密,反之,通过私钥加密后的数据只能利用对应的公钥进行解密。常用的非对称密钥算法包括RSARivest Shamir and Adleman)等。

公钥密码学可以用于加密和数字签名,公钥密码学和证书验证机制是实施PKIPublic Key Infrastructure)框架的基础

证书

证书也称为数字证书,它建立了用户身份信息与用户公钥的关联。证书由第三方机构颁发,为通信双方提供身份验证功能。

证书是一段由CACertificate Authority)签名的包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。CA对证书的签名保证了证书的合法性和权威性。目前证书的格式遵循ITU-T X.509 V3标准。

在采用证书机制的网络中,每台设备都拥有CA颁发的证书,当设备之间进行通讯时,只要通过交换证书就可以确认对方的身份(因为所有的设备都信任CA,所以对CA颁发的证书都信任),并获得对方的公钥(从对方的证书中获取)。这样当新设备加入时,只需要为新增加的设备申请一个证书,就可以与其他设备进行通讯,而不需要修改其他设备的配置。

在实际应用中,证书分为两种:

·         CA证书

颁发机构本身的证书,用于验证CA颁发的本地证书和证书吊销列表CRLCertificate Revocation List)的有效性。

·         本地(实体)证书

CA颁发,实体之间通信时使用。证书绑定了名字和本地公钥,如同网络身份证。

证书安装注意事项

请确保CA/RA证书、本地证书和CRL文件分别最大不能超过2M,避免导入失败。

USG导入证书时,需要足够的内存才能导入成功,需要同时满足以下两个对内存的要求:

·         系统剩余内存大于40M

·         系统剩余内存大于要导入证书(或CRL)文件大小的40倍。

导入证书(或CRL)前请先通过display health命令检查系统剩余内存,内存满足上述要求时再导入证书(或CRL)。如下显示表示系统剩余内存为2867MB左右,公式:4096乘以(130%)。

<sysname> display health

Slot          CPU Usage     Memory Usage (Total)                               

-----------------------------------------------------                           

 0 MPU(Master)   4%           30%         4096MB PKI

PKI是一个利用公共密钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。

概述

PKI是一套软硬件系统和安全策略的集合,提供了一整套安全机制。PKI为用户建立起一个安全的网络运行环境,用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。数据的机密性是指数据在传输过程中,不能被非授权者查看;数据的完整性是指数据在传输过程中不能被非法篡改;数据的有效性是指数据不能被否认。

随着Internet上商业应用的不断发展,人们对网络交易安全保障的需求日益提高,因此PKI的应用也越来越广泛。VPNVirtual Private Network)、SSLSecure Sockets Layer)、安全电子邮件S/MIMESecure/Multipurpose Internet Mail Extensions)等应用,都可以建立在PKI的公共密钥和证书认证机制上,实现数据的机密性、完整性、有效性。

1所示,PKI体系由终端实体、证书注册机构、证书颁发机构和证书/CRL存储库四个部分组成。

PKI体系逻辑结构图

·         终端实体

PKI产品或服务的最终使用者,可以是个人、组织、设备(如USG)或计算机中运行的进程。

·         证书注册机构

RARegistration Authority)是CA面向用户的接口,负责接收用户的证书申请、审核用户的身份、进行CRL管理等。实际应用中,RA可以独立存在,也可以和CA合并在一起。

·         证书颁发机构

CAPKI的核心组成部分,通常又称为认证中心,是一种具有权威性、可信任性和公证性的第三方机构。CA负责证书的签发和管理、密钥管理、CRL的发布和查询。

·         证书/CRL存储库

证书和CRL的集中存放地,用于对用户申请、证书、密钥、CRL等信息进行存储和管理,并提供查询功能。构建证书/CRL存储库可以采用FTP服务器或者数据库等。

信任模式

PKI体系结构中,如果一个终端实体信任一个CA,那么该终端实体可以通过证书链来传递信任。证书链就是在认证过程中,从终端实体达到根CA所使用的一系列证书的组合。

PKI中常见的两种信任模式如下:

·         级联模式

级联模式示意图

2所示,级联模式中只有一个根CA,所有证书都是由根CA衍生,最低层的CA向终端实体颁发证书。

·         桥接模式

桥接模式示意图

3所示,桥接模式中有多个根CA,通过交叉认证来实现跨CA域的终端实体的认证。

在不同的PKI信任模式中,对证书的认证方式也不同,主要分为以下两种情况:

·         CA域结构

在单CA域中,如级联模式,只有一个根CA,终端实体间的证书认证是通过层次结构的证书链完成的。

·         CA域结构

在多CA域中,如桥接模式,具有多个根CA,如果要实现不同CA域之间终端实体的证书认证,就需要进行交叉认证

配置流程

配置证书认证机制时,请参考下面的配置流程完成相关配置。

证书认证机制的配置流程如1所示。

配置流程图

创建公私密钥对

密钥对的产生是证书申请过程中重要的一步。申请过程使用了一对密钥:私钥和公钥。

背景信息

RSA密钥对分为主机密钥对和服务器密钥对,每个密钥对均由私钥和公钥组成。申请证书时使用的是主机密钥对。私钥用于证书签名,必须始终存在于设备上,不能被他人盗取,否则可能会泄密;公钥则在申请证书时,作为证书请求的一部分内容,发给CA服务器,最终成为本地证书的一部分。

密钥对文件自动生成后保存于CF卡或Flash中,名字为serverkey(服务器密钥对)和hostkey(主机密钥对)。请不要修改、删除这两个文件,否则用密钥对生成的本地证书不可用。

USG中存有密钥对,并且密钥对还没有泄密,不建议创建新的密钥对,因为新的密钥对会替换原有的密钥对,会导致使用原密钥对申请的本地证书都不可用。

 注意:

当用户的私钥被泄漏时,应该删除旧的密钥对,产生新的密钥对,然后重新申请本地证书。

操作步骤

1.  执行命令system-view,进入系统视图。

2.  执行命令rsa local-key-pair create,创建本地公私密钥对。

生成本地公私密钥对时会提示用户输入密钥模数的长度。密钥模数的长度越长,安全性越高。

缺省情况下,密钥模数的长度为2048位。

后续处理

创建本地公私密钥对。

<sysname> system-view

[sysname] rsa local-key-pair create

The key name will be: sysname_Host                                             

The range of public key size is (512 ~ 2048).                                  

NOTES: A key not longer than 1024 bits in the modulus may cause security risks.

       The generation of a key longer than 512 bits in the modulus may take seve

ral minutes.                                                                   

Input the bits in the modulus[default = 2048]:                                  

Generating keys...                                                             

.........................+++                                                   

...................+++                                                         

......................................++++++++                                 

...............++++++++

查看CF卡中的文件信息。

<sysname> dir hda1:

   5   -rw-      2894  Jul 24 2011 15:32:20   vrpcfg.zip

   6   -rw-        12  Jul 22 2011 09:07:15   patchstate.dat

   7   drw-         -  Apr 19 2010 20:16:10   avrule

   8   -rw-       396  Jul 24 2011 15:36:39   hostkey

   9   -rw-       540  Jul 24 2011 15:36:45   serverkey

   10  -rw-    226144  Apr 28 2010 10:36:32   ipsec.zip

配置实体信息

申请证书时,实体必须向CA提供能够证明自己身份的信息,并将包含这些信息的证书请求文件发送给CACA用它认为重要的信息对一个实体进行细致的描述,通过唯一的标识符DNDistinguished Name)来唯一确定单个实体。

背景信息

证书建立了用户身份信息与用户公钥的关联,而用户身份信息必须与一个特定的PKI实体相关联,CA根据实体提供的身份信息来唯一标识证书申请者。实体信息包括:

实体的通用名称  

o    实体所属的国家代码

o    实体的电子邮箱地址

o    实体的FQDNFully Qualified Domain Name)名称

o    实体的IP地址

o    实体所在的地理区域名称

o    实体所属的组织名称

o    实体所属的部门名称

o    实体所属的州省

 说明:

实体信息中,实体通用名称为必选配置,其他属性必须与CA服务器的证书颁发策略相匹配,以确认哪些必须配置,哪些为可选配置,否则证书申请可能会失败。

操作步骤 

11.  执行命令system-view,进入系统视图。

12.  执行命令pki entity entity-name,创建实体名称,并进入实体视图。

13.  entity-name为字符串形式,最大长度不超过31个字符。

设备最多支持创建5个实体名称。

14.  执行如下命令,配置实体的属性信息。

15.  执行命令common-name cn-name,配置实体的通用名称。

cn-name为字符串形式,最大长度不超过31个字符,区分大小写。

(可选)执行命令country country-code,配置实体所属的国家代码。

country-code2个字符的国家代码,可以在ISO3166中查询。例如,CN是中国的国家代码,US是美国的国家代码。

(可选)执行命令email email-address,配置实体的电子邮箱地址。

 

   

email-address为字符串形式,最大长度不超过31个字符,区分大小写。

(可选)执行命令fqdn fqdn-name,配置实体的FQDN名称。

FQDN是实体在网络中的唯一标识,由一个主机名和域名组成,可以被解析为IP地址。例如,www.user.com

fqdn-name为字符串形式,最大长度不超过31个字符,区分大小写。

(可选)执行命令ip-address ip-address,配置实体的IP地址。

(可选)执行命令locality locality-name,配置实体所在的地理区域名称。

locality-name为字符串形式,最大长度不超过31个字符,区分大小写。

(可选)执行命令organization organization-name,配置实体所属的组织名称。

organization-name为字符串形式,最大长度不超过31个字符,区分大小写。

(可选)执行命令organization-unit unit-name,配置实体所属的部门名称。

实体所属的部门名称用来区分属于同一个组织的不同部门的实体。

unit-name为字符串形式,最大长度不超过31个字符,区分大小写。

(可选)执行命令state state-name,配置实体所属的州省。

state-name为字符串形式,最大长度不超过31个字符,区分大小写

在线申请证书

为了使用证书机制进行身份验证,实体需要申请本地证书和CA证书,在线方式就是申请本地证书和CA证书的途径之一

配置PKI

申请证书操作之前,需要创建PKI域,并在PKI域中指定各项参数。

前提条件

配置实体信息

背景信息

PKI域是一个本地概念,一个设备上配置的PKI域对CA和其他设备是不可见的,每一个PKI域有单独的参数配置信息。

操作步骤

16.执行命令system-view,进入系统视图。

17. 

18.执行命令pki domain domain-name,创建PKI域,并进入PKI域视图。

domain-name为字符串形式,最大长度不超过31个字符。

USG最多支持创建5PKI域。

19.执行命令ca identifier identifier-name,指定CA的标识符。

identifier-name表示CA的标识符,字符串形式,长度范围是131

此处的标识符指的是可以被实体信任的CA服务器的名称。

20.执行命令certificate request entity entity-name,指定实体名称。

此处指定的实体名称必须已经存在。

21.执行命令certificate request url url-addr,指定申请证书的URL

url-addr为字符串形式,最大长度不超过127个字符。url-addr可以设置为IP地址形式或域名形式,如果设置为域名形式,必须在实体上正确配置DNS,使实体可以通过DNS服务器解析域名。

此处的URL指的是CA服务器提供的用于申请证书的路径。例如,当Windows Server 2003作为CA服务器时,URL的格式为http://host:port/certsrv/mscep/mscep.dll,其中hostCA服务器的IP地址,portCA服务器的端口号。

本章只介绍USG侧的配置,关于CA服务器的配置请参考CA服务器自带的文档。

22.(可选)执行命令certificate request from { ca | ra },指定从CARA申请证书。

缺省情况下,从RA申请证书。

23.(可选)执行命令certificate request polling { interval interval | count count },指定查询周期和查询次数。

interval表示申请证书时的查询周期,取值范围是11440,单位为分钟;count表示申请证书时的查询次数,取值范围是1100

如果在CA服务器侧使用手工方式处理证书请求,证书的发布可能会需要较长时间。申请证书的实体需要周期性发送查询,以便在证书颁发后能够及时获取到证书。

缺省情况下,查询周期为20分钟,一个查询周期内的查询次数为5

申请证书

USG使用SCEPCA服务器通信,在线申请CA/RA证书和本地证书。

前提条件

创建公私密钥对

背景信息

USG支持使用SCEPSimple Certification Enrollment Protocol)与CA服务器通信,在线申请CA/RA证书和本地证书,然后将保存获取到的CA/RA证书和本地证书,USG5500的证书保存在CF卡中,USG2110-X/2100/2200/5100USG2100/2200/5100 BSR/HSR的证书保存在Flash中。

操作步骤

24.行命令system-view,进入系统视图。

25. 

26.执行命令pki file-format { der | pem },配置证书请求文件的格式。

27. 

28.执行命令pki retrieval-certificate ca domain domain-name,在线申请CA/RA证书。

domain-name必须是已经存在的PKI域。

执行本命令后,系统将会打印证书的SHA1校验和与MD5校验和,并提示是否为合法的CA,如果合法则输入y继续操作,否则输入n取消操作。

获取到的CA证书将会被命名为domain-name_ca.cer,获取到的RA证书将会被命名为domain-name_ra.cer

29.执行命令pki request-certificate domain domain-name [ password password ],在线申请本地证书。

domain-name必须是已经存在的PKI域。

password表示挑战密码,字符串形式,最大长度不超过31个字符。当CA服务器采用挑战密码(Challenge Password)方式处理证书申请时,实体在申请证书时需要指定挑战密码,并且密码必须与CA服务器上设置的密码一致。

获取到的本地证书将会被命名为domain-name_local.cer

30.可选:执行命令certificate request source interface-type interface-number,指定PKI SCEP自动更新报文的源IP地址对应的接口。指定对应的接口后,报文的源IP地址即为该接口的IP地址。若不指定,则默认为USGCA服务器通信的接口。

31. 

32.可选:执行命令pki scep renewal enable,开启SCEP实体证书自动更新功能。

33.可选:执行命令pki scep renewal percent,配置SCEP实体证书生存周期占生命周期的百分比。

在通过SCEP方式申请到证书之后,可以开启自动更新功能,同时配置自动更新的时间,当证书的生存时间达到生存周期占生命周期的百分比percent后,将自动更新证书

安装证书

通过在线方式申请并获取证书后,还需要执行导入操作,将证书安装到设备上,证书才能生效。

前提条件

CA/RA证书和本地证书已经保存到USG的存储路径中。USG5500的证书保存在CF卡中,USG2110-X/2100/2200/5100USG2100/2200/5100 BSR/HSR的证书保存在Flash中。

背景信息

通过在线方式申请并获取到CA/RA证书和本地证书后,还需要导入到内存中才能生效。

CA/RA证书和本地证书导入到内存后,USG会在CF卡或Flash的根目录下生成ca_config.ini文件,USG重启后通过读取ca_config.ini文件中的内容来加载CA/RA证书和本地证书。执行more ca_config.ini命令可以查看ca_config.ini文件的内容,例如:

<USGmore ca_config.ini

[CA_Cert]                                                                      

FileName0=domaina_ca.cer                                                               

[Local_Cert]                                                                    

FileName0=domaina_local.cer

 注意:

导入证书前,请确保设备有足够的剩余内存空间,即必须满足如下条件:

o    剩余内存空间不小于待导入的证书文件大小的40倍。

o      

o    USG2200/5100USG2200/5100 BSR/HSRUSG5500要求剩余内存空间至少为40MUSG2110-X/2100USG2100 BSR/HSR系列产品中,除USG2120BSR要求剩余内存空间至少为10M,其余产品要求是20M

操作步骤

37.导入CA/RA证书。

 注意:

 请确保CA/RA证书最大不能超过2M,避免导入失败。

a.     执行命令system-view,进入系统视图。

b.     

c.     执行命令pki import-certificate ca filename file-name,导入CA/RA证书。

file-nameCA/RA证书的名称,字符串形式,最大长度不超过64个字符。

导入CA/RA证书后,执行命令pki delete-certificate ca filename file-name可以从内存删除CA/RA证书,但不会删除CF卡中的CA/RA证书文件。

 说明:

USG最多支持导入32CA/RA证书。

38.    导入本地证书。

 注意:

请确保本地证书最大不能超过2M,避免导入失败。

a.      执行命令system-view,进入系统视图。

b.      执行命令pki import-certificate local filename file-name,导入本地证书。

file-name为本地证书的名称,字符串形式,最大长度不超过64个字符。

导入本地证书后,执行命令pki delete-certificate local filename file-name可以从内存删除本地证书,但不会删除CF卡中的本地证书文件。

 说明:

USG最多支持导入5个本地证书

离线申请证书

如果受网络环境限制,无法使用SCEP协议在线申请证书,用户还可以选择使用离线方式申请本地证书和CA证书

配置PKI

申请证书操作之前,需要创建PKI域,并在PKI域中指定实体信息。

前提条件

已完成配置实体信息

背景信息

PKI域是一个本地概念,一个设备上配置的PKI域对CA和其他设备是不可见的,每一个PKI域有单独的参数配置信息。

操作步骤

1.   执行命令system-view,进入系统视图。

2.         

3.   执行命令pki domain domain-name,创建PKI域,并进入PKI域视图。

domain-name为字符串形式,最大长度不超过31个字符。

USG最多支持创建5PKI域。

4.   执行命令certificate request entity entity-name,指定实体名称。

此处指定的实体名称必须已经存在。

申请证书

USG生成证书请求文件后,需要把证书请求文件发送到CA,通过离线方式向CA申请本地证书。

前提条件

创建公私密钥对

背景信息

离线方式指的是用户在USG上生成证书请求文件,然后通过磁盘、电子邮件等方式将证书申请文件发送给CA,向CA申请本地证书。

CA证书的获得可以通过LDAP的方式实现,从存放CA证书的服务器下载CA证书到USG上,具体配置请参见下载证书

操作步骤

5. 执行命令system-view,进入系统视图。

6.     (可选)执行命令pki file-format { der | pem },配置证书请求文件的格式。

缺省情况下,证书请求文件的格式为PEM

7.     执行命令pki request-certificate domain domain-name pkcs10,生成证书请求文件。

生成的证书请求文件名称为domain-name.req

8.     申请本地证书。

通过磁盘、电子邮件等方式将证书申请文件发送给CA,向CA申请本地证书

下载证书

CA服务器生成证书后,用户需要将CA证书和本地证书获取至本地设备。

前提条件

证书已经生成,并且存放到HTTPLDAP服务器上。

USG可以通过以下两种方式获得证书:

USG通过HTTPLDAP协议与存放证书的服务器通信,将CA证书和本地证书下载到存储路径中。USG5500的证书保存在CF卡中,USG2110-X/2100/2200/5100USG2100/2200/5100 BSR/HSR的证书保存在Flash中。

用户通过磁盘、电子邮件等方式获得证书后,通过FTP/SFTP/TFTP方式上传到USG的存储路径中。如何上传文件,请参见《配置指南系统管理》。

本节主要介绍通过HTTPLDAP方式下载证书的配置步骤。

 说明:

若下载时,CF卡或Flash中已存在相同文件名称的证书,请先删除或者更换文件名称,再进行下载。

操作步骤

9.     下载CA证书。

通过HTTP方式下载CA证书。

 注意:

通过HTTP方式下载CA证书时,请确保CF卡或Flash中有足够的剩余空间容纳CA证书文件,避免下载失败。

执行命令system-view,进入系统视图。

执行命令pki http url-addr save-name,下载CA证书。

url-addr为字符串形式,最大长度不超过127个字符,表示CA证书的URL地址。url-addr可以设置为IP地址形式或域名形式,如果设置为域名形式,必须在实体上正确配置DNS,使实体可以通过DNS服务器解析域名。

save-name为字符串形式,长度范围是563个字符,表示CA证书保存到CF卡中的名称。

通过LDAP方式下载CA证书。

 注意:

通过LDAP方式下载CA证书时,请确保CF卡或Flash中有足够的剩余空间容纳CA证书文件,避免下载失败。

执行命令system-view,进入系统视图。

执行命令pki ldap ip ip-address port port version version [ attribute attr-value ] [ authentication ldap-dn ldap-password ] save-name dn dn-value,下载CA证书。

ip-address表示LDAP服务器的IP地址;port表示LDAP服务器的端口,取值范围是165535,缺省值为389version表示LDAP协议的版本号,取值为23,缺省值为3

attr-value表示LDAP服务器查找证书文件时使用的属性,取值范围是163个字符。

ldap-dnldap-password表示LDAP服务器的用户名和密码,字符串形式,两者的取值范围均为131个字符。

save-name表示CA证书保存到CF卡中的名称,字符串形式,长度范围是563个字符。

dn-value表示LDAP服务器查找证书文件时使用的区别名DNDistinguished Name),字符串形式,最大长度不超过127个字符。

10.     下载本地证书。

通过HTTP方式下载本地证书。

通过HTTP方式下载本地证书时,请确保CF卡或Flash中有足够的剩余空间容纳本地证书文件,避免下载失败。

执行命令system-view,进入系统视图。

执行命令pki http url-addr save-name,下载本地证书。

url-addr为字符串形式,最大长度不超过127个字符,表示本地证书的URL地址。url-addr可以设置为IP地址形式或域名形式,如果设置为域名形式,必须在实体上正确配置DNS,使实体可以通过DNS服务器解析域名。

save-name为字符串形式,长度范围是563个字符,表示本地证书保存到CF卡中的名称。

通过LDAP方式下载本地证书。

 注意:

通过LDAP方式下载本地证书时,请确保CF卡或Flash中有足够的剩余空间容纳本地证书文件,避免下载失败。

执行命令system-view,进入系统视图。

执行命令pki ldap ip ip-address port port version version [ attribute attr-value ] [ authentication ldap-dn ldap-password ] save-name dn dn-value,下载本地证书。

ip-address表示LDAP服务器的IP地址;port表示LDAP服务器的端口,取值范围是165535,缺省值为389version表示LDAP协议的版本号,取值为23,缺省值为3

attr-value表示LDAP服务器查找证书文件时使用的属性,取值范围是163个字符。

ldap-dnldap-password表示LDAP服务器的用户名和密码,字符串形式,两者的取值范围均为131个字符。

save-name表示本地证书保存到CF卡中的名称,字符串形式,长度范围是563个字符。

dn-value表示LDAP服务器查找证书文件时使用的区别名DNDistinguished Name),字符串形式,最大长度不超过127个字符

安装证书

通过离线方式申请并获取证书后,还需要执行导入操作,将证书安装到设备上,证书才能生效。

前提条件

CA证书和本地证书已经保存到USG的存储路径中。USG5500的证书保存在CF卡中,USG2110-X/2100/2200/5100USG2100/2200/5100 BSR/HSR的证书保存在Flash中。

背景信息

通过离线方式申请并获取到CA证书和本地证书后,还需要导入到内存中才能生效。

CA证书和本地证书导入到内存后,USG会在CF卡或FLASH的根目录下生成ca_config.ini文件,USG重启后通过读取ca_config.ini文件中的内容来加载CA证书和本地证书。执行more ca_config.ini命令可以查看ca_config.ini文件的内容,例如:

<USGmore ca_config.ini

[CA_Cert]                                                                      

FileName0=ca.cer                                                               

[Local_Cert]                                                                   

FileName0=domaina_local.cer

 注意:

导入证书前,请确保设备有足够的剩余内存空间,即必须满足如下条件:

§    剩余内存空间不小于待导入的证书文件大小的40倍。

§          

§    USG2200/5100USG2200/5100 BSR/HSRUSG5500要求剩余内存空间至少为40MUSG2110-X/2100USG2100 BSR/HSR系列产品中,除USG2120BSR要求剩余内存空间至少为10M,其余产品要求是20M

操作步骤

14.     导入CA证书。

a.   执行命令system-view,进入系统视图。

b.           

c.   执行命令pki import-certificate ca filename file-name,导入CA证书。

file-nameCA证书的名称,字符串形式,最大长度不超过64个字符。

导入CA证书后,执行命令pki delete-certificate ca filename file-name可以从内存删除CA证书,但不会删除CF卡中的CA证书文件。

 说明:

USG最多支持导入32CA证书。

15.     导入本地证书。

 .   执行命令system-view,进入系统视图。

a.   执行命令pki import-certificate local filename file-name,导入本地证书。

file-name为本地证书的名称,字符串形式,最大长度不超过64个字符。

导入本地证书后,执行命令pki delete-certificate local filename file-name可以从内存删除本地证书,但不会删除CF卡中的本地证书文件。

       说明:

USG最多支持导入5个本地证书。





推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/2831.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: