你的位置:图片专区 > 吉吉影音色情网站 > >王老撸 H3C S12500系列路由交换机 建立辅导
热点资讯
吉吉影音色情网站

王老撸 H3C S12500系列路由交换机 建立辅导

发布日期:2024-12-25 03:54    点击次数:96

王老撸 H3C S12500系列路由交换机 建立辅导

1 PKI

 王老撸

1.1  PKI简介 1.1.1  详尽

PKI(Public Key Infrastructure,公钥基础设施)是一个诓骗公钥表面和本领来终了并提供信息安全服务的具有通用性的安全基础设施。

公钥体制也称为非对称密钥体制,是当今仍是得到无为应用的一种密码体制。该体制使用一个公开的密钥(公钥)和一个守密的密钥(私钥)进行信息的加密息争密,用公钥加密的信息只可用私钥解密,反之也是。这么的一个公钥和其对应的一个私钥称为一个密钥对。公钥体制的这种特色使其不错应用于安全公约,终了数据源认证、完满性和不可辩说性。

PKI系统以数字文凭的花样分发和使用公钥。数字文凭是一个用户的身份和他所合手有的公钥的团结。基于数字文凭的PKI系统,好像为收罗通讯和收罗往复(例如电子政务和电子商务)提供各式安全服务。

当今,H3C的PKI脾性可为安全公约IPsec(IP Security,IP安全)、SSL(Secure Sockets Layer,安全套接字层)提供文凭经管机制。

1.1.2  研究术语 1. 数字文凭

数字文凭是经CA(Certificate Authority,文凭颁发机构)签名的、包含公钥及研究的用户身份信息的文献,它建立了用户身份信息与用户公钥的关联。CA对数字文凭的签名保证了文凭是实在任的。数字文凭的花样恪守ITU-T X.509国外轨范,当今最常用的为X.509 V3轨范。数字文凭中包含多个字段,包括文凭签发者的称呼、被签发者的称呼(或者称为主题)、公钥信息、CA对文凭的数字签名、文凭的灵验期等。

本手册中触及四类文凭:CA文凭、RA(Registration Authority,文凭注册机构)文凭、腹地文凭和对端文凭。

·     CA文凭是CA合手有的文凭。若PKI系统中存在多个CA,则会酿成一个CA端倪结构,最表层的CA是根CA,它合手有一个自签名的文凭(即根CA对我方的文凭签名),下一级CA文凭分别由上一级CA签发。这么,从根CA启动逐级签发的文凭就会酿成多个实在任的链状结构,每一条旅途称为一个文凭链。

·     RA文凭是RA合手有的文凭,由CA签发。RA受CA拜托,不错为CA分摊部分经管服务。RA在PKI系统中是可选的。

·     腹地文凭是本斥地合手有的文凭,由CA签发。

·     对端文凭是其它斥地合手有的文凭,由CA签发。

2. CRL(Certificate Revocation List,文凭铲除列表)

由于用户称呼的改造、私钥透露或业务中止等原因,需要存在一种方法将现行的文凭铲除,即肃除公钥及研究的用户身份信息的绑定关系。在PKI中,不错通过发布CRL的方法来公开文凭的铲除信息。当一个或些许个文凭被铲除以后,CA签发CRL来声明这些文凭是无效的,CRL中会列出通盘被铲除的文凭的序列号。因此,CRL提供了一种考考文凭灵验性的方法。

3. CA战略

CA战略是指CA在受理文凭请求、颁发文凭、铲除文凭和发布CRL时所遴荐的一套轨范。时常,CA以一种叫作念CPS(Certification Practice Statement,文凭通例声明)的文档发布其战略。CA战略不错通过带外(如电话、磁盘、电子邮件等)或其它方法获取。由于不同的CA使用不同的战略,是以在弃取信任的CA进行文凭央求之前,必须意会CA战略。

1.1.3  体捆绑构

一个PKI体系由末端PKI实体、CA、RA和文凭/CRL发布点四类实体共同构成,如下图1-1。

图1-1 PKI体捆绑构图

 

1. 末端PKI实体

末端PKI实体是PKI服务的最终使用者,不错是个东说念主、组织、斥地(如路由器、交换机)或筹算机中运行的进度,后文简称为PKI实体。

2. CA(Certificate Authority,文凭颁发机构)

CA是一个用于签发并经管数字文凭的实在PKI实体。其作用包括:签发文凭、规矩文凭的灵验期和发布CRL。

3. RA(Registration Authority,文凭注册机构)

RA是一个受CA拜托来完成PKI实体注册的机构,它接录取户的注册央求,审查用户的央求阅历,并决定是否痛快CA给其签发数字文凭,用于松开CA的服务。建议在部署PKI系统时,RA与CA装配在不同的斥地上,减少CA与外界的径直交互,以保护CA的私钥。

4. 文凭/CRL发布点

文凭/CRL发布点用于对用户文凭和CRL进行存储和经管,并提供查询功能。时常,文凭/CRL发布点位于一个目次服务器上,该服务器不错遴荐LDAP(Lightweight Directory Access Protocol,轻量级目次拜谒公约)公约、HTTP等公约服务。其中,较为常用的是LDAP公约,它提供了一种拜谒发布点的方法。LDAP服务器厚爱将CA/RA服务器传输过来的数字文凭或CRL进行存储,并提供目次浏览服务。用户通过拜谒LDAP服务器获取我方和其他用户的数字文凭或者CRL。

1.1.4  PKI实体央求文凭的服务流程

底下是一个PKI实体向CA央求腹地文凭的典型服务流程,其中由RA来完成PKI实体的注册:

(1)     PKI实体向RA建议文凭央求;

(2)     RA审核PKI实体身份,将PKI实体身份信息和公钥以数字签名的方法发送给CA;

(3)     CA考证数字签名,痛快PKI实体的央求,并颁发文凭;

(4)     RA给与CA复返的文凭,将其发布到LDAP服务器(或其它花样的发布点)上以提供目次浏览服务,并奉告PKI实体文凭发布成功;

(5)     PKI实体通过SCEP(Simple Certificate Enrollment Protocol,浅显文凭注册公约)从RA处获取文凭,诓骗该文凭不错与其它PKI实体使用加密、数字签名进行安全通讯。

1.1.5  主要应用

PKI本领能得志东说念主们对收罗往复安全保险的需求。PKI的应用畛域超越无为,况且在不休发展之中,底下给出几个应用实例。

1. VPN(Virtual Private Network,假造专用收罗)

VPN是一种构建在公用通讯基础设施上的专用数据通讯收罗,它不错诓骗收罗层安全公约(如IPsec)和建立在PKI上的加密与数字签名本领来获取完满性保护。

2. 安全电子邮件

电子邮件的安全也要求深重性、完满性、数据源认证和不可辩说。当今发展很快的安全电子邮件公约S/MIME(Secure/Multipurpose Internet Mail Extensions,安全/多用途Internet邮件扩张公约),是一个允许发送加密和有签名邮件的公约。该公约的终了需要依赖于PKI本领。

3. Web安全

为了透明地处分Web的安全问题,在浏览器和服务器之间进行通讯之前,先要建立SSL一语气。SSL公约允许在浏览器和服务器之间进行加密通讯,况且诓骗PKI本领对服务器和浏览器端进行身份考证。

1.1.6  文凭央求复旧MPLS L3VPN

骨子组网应用中,某企业的各分支机构属于不同的VPN,且各VPN之间的业务相互阻挠。若是各分支机构的用户要通过位于总部VPN中的服务器央求文凭,则需要PKI文凭央求复旧MPLS L3VPN。

如图1-2所示,一语气客户端PKI entity的PE斥地,通过MPLS L3VPN将私网客户端PKI entity的文凭央求报文透传给收罗另一端的CA server,CA server给与并处理文凭央求信息,一语气服务器端的PE斥地将CA server签发的文凭也通过MPLS L3VPN透传回PKI entity,得志了私网VPN业务阻挠情况下的文凭央求。

对于MPLS L3VPN的研究先容请参见“MPLS建立辅导”中的“MPLS L3VPN”。

图1-2 文凭央求复旧MPLS L3VPN

 

1.2  PKI建立任务简介

表1-1 PKI建立任务简介

建立任务

讲明

详备建立

建立PKI实体

必选

1.3 

建立PKI域

必选

1.4 

央求文凭

自动央求文凭

二者必选其一

1.5.1 

手工央求文凭

1.5.2 

住手文凭央求流程

可选

1.6 

手工获取文凭

可选

1.7 

建立文凭考证

可选

1.8 

建立文凭和CRL的存储旅途

可选

1.9 

导出文凭

可选

1.10 

删除文凭

可选

1.11 

建立文凭属性的拜谒限定战略

可选

1.12 

 

1.3  建立PKI实体

一份文凭是一个公钥与一个实体身份信息的绑定。PKI实体的参数是PKI实体的身份信息,CA把柄PKI实体提供的身份信息来惟一标识文凭央求者。

一个灵验的PKI实体参数中必须至少包括以下参数之一:

(1)     DN(Distinguished Name,识笔名),包含以下参数:

·     实体通用名。对于DN参数,实体的通用名必须建立。

·     实体所属国度代码,用轨范的两字符代码示意。例如,“CN”是中国的正当国度代码,“US”是好意思国的正当国度代码

·     实体方位地舆区域称呼

·     实体所属组织称呼

·     实体所属组织部门称呼

·     实体所属州省

(2)     FQDN(Fully Qualified Domain Name,齐全及格域名),是PKI实体在收罗中的惟一标识

(3)     IP地址

建立PKI实体时,需要驻守的是:

·     PKI实体的建立必须与CA文凭颁发战略相匹配,因此建议把柄CA文凭颁发战略来建立PKI实体,如哪些PKI实体参数为必选建立,哪些为可选建立。央求者的身份信息必须合适CA文凭颁发战略,不然文凭央求可能会失败。

·     Windows 2000 CA服务器的SCEP插件对文凭央求的数据长度有一定的截至。PKI实体建立项跳跃一定数据长度时,CA将不会反馈PKI实体的文凭央求。这种情况下若是通过离线方法提交央求,Windows 2000 CA服务器不错完成签发。其它CA服务器(例如RSA服务器和OpenCA服务器)当今莫得这种截至。

表1-2 建立PKI实体

操作

敕令

讲明

过问系统视图

system-view

-

创建一个PKI实体,并过问该PKI实体视图

pki entity entity-name

缺省情况下,无PKI实体存在

斥地复旧创建多个PKI实体

建立PKI实体的通用名

common-name common-name-sting

缺省情况下,未建立PKI实体的通用名

建立PKI实体所属国度代码

country country-code-string

缺省情况下,未建立PKI实体所属国度代码

建立PKI实体方位地舆区域称呼

locality locality-name

缺省情况下,未建立PKI实体方位地舆区域称呼

建立PKI实体所属组织称呼

organization org-name

缺省情况下,未建立PKI实体所属组织称呼

建立PKI实体所属组织部门称呼

organization-unit org-unit-name

缺省情况下,未建立PKI实体所属组织部门称呼

建立PKI实体所属州或省的称呼

state state-name

缺省情况下,未建立PKI实体所属州或省的称呼

建立PKI实体的FQDN

fqdn fqdn-name-string

缺省情况下,未建立PKI实体的FQDN

建立PKI实体的IP地址

ip { ip-address | interface interface-type interface-number }

缺省情况下,未建立PKI实体的IP地址

 

1.4  建立PKI域

PKI实体在进行PKI文凭央求操作之前需要建立一些注册信息来和洽完成央求的流程。这些信息的鸠集即是一个PKI域。

PKI域是一个腹地看法,创建PKI域的标的是便于其它应用(比如IKE、SSL)援用PKI的建立。

PKI域中包括以下参数:

(1)     信任的CA称呼

PKI实体通过一个实在的CA来完成文凭的注册及颁发的。在文凭央求之前,若面前的PKI域中莫得CA文凭,则需要最初获取CA文凭,获取CA文凭之前必须指定一个信任的CA称呼。这个称呼会被行为SCEP音讯的一部分发送给CA服务器。一般情况下,CA服务器会忽略收到的SCEP音讯中的CA称呼的具体内容。但是若是在团结台服务器主机上建立了两个CA,且它们的URL是换取的,则需要把柄PKI域中指定的信任的CA名词来别离它们。斥地信任的CA的称呼仅仅在获取CA文凭时使用,央求腹地文凭时不会用到。

(2)     PKI实体称呼

向CA发送文凭央求请求时,必须指定所使用的PKI实体名,以向CA标明我方的身份。

(3)     文凭央求的注册受理机构

文凭央求的受理一般由一个孤苦的注册机构(即RA)来承担,它并不给用户签发文凭,仅仅对用户进行阅历审查。巧合PKI把注册经管的职能交给CA来完成,而不开发孤苦运行的RA,但这并不是取消了PKI的注册功能,而是将其行为CA的一项功能云尔。保举使用孤苦运行的RA行为注册受理机构。

(4)     注册受理机构服务器的URL

文凭央求之前必须指定注册受理机构服务器的URL,PKI实体通过SCEP(Simple Certificate Enrollment Protocol,浅显文凭注册公约)向该URL地址发送文凭央求请求。SCEP是挑升用于与认证机构进行通讯的公约。

(5)     文凭央求气象的查询周期和最大次数

PKI实体在发送文凭央求后,若是CA手工考证央求,文凭的签发会需要很长时间。在此时间,PKI实体会依期发送气象查询,以便在文凭签发后能实时获取到文凭。斥地上不错建立文凭央求气象的查询周期和最大次数。

(6)     LDAP服务器主机名

在PKI系统中,不错遴荐LDAP服务器来行为文凭或CRL发布点,这时就需要指定LDAP服务器的位置。

(7)     考证CA根文凭时使用的指纹

CA根文凭的指纹,即根文凭内容的散列值,该值对于每一个文凭皆是惟一的。PKI域中不错指定考证CA根文凭时使用的指纹,缺省情况下未指定该指纹。

当斥地从CA获取根文凭时,可能需要考证CA根文凭的指纹,具体包括以下两种情况:

·     通过敕令获取CA文凭或者导入CA文凭,若是获取到的CA文凭链中包含了斥地上莫得的CA根文凭,需要考证CA根文凭的指纹。若是PKI域中指定了考证根文凭的指纹,且斥地获取到的CA根文凭的指纹与在PKI域中指定的指纹不同,则斥地将拒接给与该CA根文凭,继而相应的获取CA文凭或者导入CA文凭操作会失败;若是PKI域中未指定考证根文凭的指纹,则会教导用户自行考证根文凭指纹。

·     当有应用触发斥地进行腹地文凭央求时,若是建立的文凭央求方法为自动方法,且腹地莫得CA文凭,斥地会自动从CA服务器上获取CA文凭。若是获取到的CA文凭链中包含了斥地上莫得的CA根文凭,则需要考证CA根文凭的指纹。若是PKI域中指定了考证根文凭的指纹,且斥地获取到的CA根文凭的指纹与在PKI域中指定的指纹不同,则斥地将拒接给与该CA根文凭,继而腹地文凭央求的操作会失败。若是PKI域中未指定考证根文凭的指纹,则腹地文凭央求的操作会失败。

(8)     文凭央求使用的密钥对

密钥对的产生是文凭央求流程中热切的一步。央求流程使用了一双主深重钥:私钥和公钥。私钥由用户保留,公钥和其它信息则交由CA进行签名,从而产生文凭。在PKI域中不错援用三种算法的密钥对,分别为DSA密钥对、ECDSA密钥对、RSA密钥对。相关DSA、ECDSA和RSA密钥对的具体建立请参见“安全建立辅导”中的“公钥经管”。央求文凭前必须指定使用的密钥对,但该密钥对无谓仍是存在。央求流程中,若是指定的密钥对不存在,PKI实体不错把柄指定的名字、算法和密钥模数长度生成相应的密钥对。

(9)     文凭的扩展用途

斥地复旧的文凭扩展用途包括以下几种:

·     IKE使用

·     SSL客户端使用

·     SSL服务器端使用

文凭央求中会带有指定的文凭扩展用途,但最终签发的文凭中带有哪些扩展用途,由CA我方的战略决定,可能与PKI域中指定的建立不齐全一致。应用措施(例如IKE,SSL)认证流程中是否会使用这些用途,由应用措施的战略决定。

(10)     腹地PKI操作产生的公约报文使用的源IP地址

若是但愿PKI实体操作产生的PKI公约报文的源IP地址是一个特定的地址,例如当CA服务器上的战略要求仅采用来自指定地址或网段的文凭央求时,则需要通过建立指定该地址。

表1-3 建立PKI域

建立任务

敕令

讲明

过问系统视图

system-view

-

创建一个PKI域,并过问PKI域视图

pki domain domain-name

缺省情况下,不存在PKI 域

建立斥地信任的CA称呼

ca identifier name

获取腹地文凭之前,若面前的PKI域中莫得CA文凭,则需要最初获取CA文凭。获取CA文凭之前,必须建立信任的CA称呼

缺省情况下,未建立信任的CA称呼

指定用于央求文凭的PKI实体称呼

certificate request entity entity-name

缺省情况下,未指定用于央求文凭的PKI实体称呼

建立文凭央求的注册受理机构

certificate request from { ca | ra }

缺省情况下,未指定文凭央求的注册受理机构

建立注册受理机构服务器的URL

certificate request url url-string [ vpn-instance vpn-instance-name ]

缺省情况下,未指定注册受理机构服务器的URL

(可选)建立文凭央求气象查询的周期和最大次数

certificate request polling { count count | interval minutes }

缺省情况下,文凭央求查询拒绝为20分钟,最多查询50次

指定LDAP服务器

ldap-server host hostname [ port port-number ] [ vpn-instance vpn-instance-name ]

需要通过LDAP公约获取文凭时,此建立必选;需要通过LDAP公约获取CRL时,若是CRL的URL中未包含发布点地址信息,则此建立必选

缺省情况下,未指定LDAP服务器

建立考证CA根文凭时使用的指纹

非FIPS模式下:

root-certificate fingerprint { md5 | sha1 } string

FIPS模式下:

root-certificate fingerprint sha1 string

当文凭央求方法为自动方法时,此建立必选;当文凭央求方法为手工方法时,此建立可选,若不建立,需要用户自行考证根文凭指纹

缺省情况下,未指定考证根文凭时使用的指纹

(三者选其一)指定文凭央求时使用的密钥对

指定RSA密钥对

public-key rsa { { encryption name encryption-key-name [ length key-length ] | signature name signature-key-name [ length key-length ] } * | general name key-name [ length key-length ] }

缺省情况下,未指定所使用的密钥对

指定DSA密钥对

public-key dsa name key-name [ length key-length ]

(可选)指定文凭的扩展用途

usage { ike | ssl-client | ssl-server } *

缺省情况下,文凭可用于通盘用途

(二者可选其一)指定PKI操作产生的公约报文使用的源IP地址

source ip { ip-address | interface {interface-type interface-number  }

缺省情况下,PKI操作产生的公约报文的源IP地址为系统把柄路由查找到的出接口的地址

source ipv6 { ipv6-address | interface { interface-type interface-number }}

 

1.5  央求文凭

央求文凭的流程即是PKI实体向CA自我先容的流程。PKI实体向CA提供身份信息,以及相应的公钥,这些信息将成为颁发给该PKI实体文凭的主要构成部分。PKI实体向CA建议文凭央求,有离线和在线两种方法。

·     离线央求方法下,CA允许央求方通过带外方法(如电话、磁盘、电子邮件等)向CA提供央求信息。

·     在线央求方法下,实体通过SCEP公约向CA提交央求信息。在线央求有自动央求和手工央求两种方法。下文将详备先容这两种方法的具体建立。

1.5.1  自动央求文凭

 

建立文凭央求方法为自动方法后,当有应用公约与PKI联动时,若是应用公约中的PKI实体无腹地文凭(例如,IKE协商遴荐数字签名方法进行身份认证,但在协商流程中莫得发现腹地文凭),则PKI实体自动通过SCEP公约向CA发起文凭央求,并在央求成功后将腹地文凭获取到腹地保存。在文凭央求之前,若面前的PKI域中莫得CA文凭,也会最初自动获取CA文凭。在央求流程中,若是指定的密钥对不存在,则PKI实体把柄PKI域中指定的名字、算法和长度生成相应的密钥对。

需要驻守的是,腹地文凭已存在的情况下,为保证密钥对与现有文凭的一致性,不建议践诺敕令public-key local create或public-key local destroy创建或删除与现有文凭使用的密钥对换取称呼的密钥对,不然会导致现有文凭不可用。若要再行央求腹地文凭,必须最初删除腹地文凭,然后再践诺public-key local create敕令生成新的密钥对或使用敕令public-key local destroy删除旧的密钥对。相关公钥研究敕令的详备先容,请参见“安全敕令参考”中的“公钥经管”。

表1-4 自动央求文凭

操作

敕令

讲明

过问系统视图

system-view

-

过问PKI域视图

pki domain domain-name

-

建立文凭央求为自动方法

certificate request mode auto [ password { cipher | simple } password ]

缺省情况下,文凭央求为手工方法

文凭央求为自动方法时,不错指定铲除文凭时使用的口令password,是否需要指定口令是由CA服务器的战略决定的

 

1.5.2  手工央求文凭

 

建立文凭央求方法为手工方法后,需要手工践诺央求腹地文凭的操作。手工央求成功后,斥地将把央求到的腹地文凭自动获取到腹地保存。

1. 建立截至和辅导

·     一个PKI域中,只可存在DSA、ECDSA或RSA中一种密钥算法类型的腹地文凭。遴荐DSA和ECDSA算法时,一个PKI域中最多只可同期央求和存在一个腹地文凭;遴荐RSA算法时,一个PKI域中最多只可同期央求和存在一个用途为签名的RSA算法腹地文凭和一个用途为加密的RSA算法腹地文凭。

·     若是一个PKI域中已存在一个腹地文凭,为保证密钥对与现有文凭的一致性,不建议践诺敕令public-key local create或public-key local destroy创建或删除与现有文凭使用的密钥对换取称呼的密钥对,不然会导致现有文凭不可用。若要再行央求腹地文凭,必须最初删除腹地文凭,然后再践诺public-key local create敕令生成新的密钥对或使用敕令public-key local destroy删除旧的密钥对。相关该敕令的详备先容,请参见“安全敕令参考”中的“公钥经管”。

·     若是一个PKI域中已存在一个腹地文凭,则不允许再手工践诺在线文凭央求操作央求一个与其互斥的文凭,以幸免因研究建立的修改使得文凭与注册信息不匹配。若念念再行央求,请先使用pki delete-certificate敕令删除腹地文凭,然后再践诺pki request-certificate domain敕令。

·     当无法通过SCEP公约向CA在线央求文凭时,不错最初通过践诺敕令pki request-certificate domain pkcs10打印出文凭央求信息到末端上,或者通过践诺指定pki request-certificate domain pkcs10 filename将文凭央求信息保存到指定的文献中,然后再通过带外方法将这些腹地文凭央求信息发送给CA进行文凭央求。

2. 建立准备

在手工央求腹地文凭之前,必须保证面前的PKI域中仍是存在CA文凭且指定了文凭央求时使用的密钥对。

·     PKI域中的CA文凭用来考证获取到的腹地文凭的真确性和正当性。在文凭央求之前,若PKI域中莫得CA文凭,则需要手工获取CA文凭。

·     PKI域中指定的密钥对用于为PKI实体央求腹地文凭,其中的公钥和其他信拒接由CA进行签名,从而产生腹地文凭。

3. 建立本领

表1-5 手工央求文凭

操作

敕令

讲明

过问系统视图

system-view

-

过问PKI域视图

pki domain domain-name

-

建立文凭央求为手工方法

certificate request mode manual

缺省情况下,文凭央求为手工方法

反璧系统视图

quit

-

手工获取CA文凭

请参见1.7 

-

手工央求腹地文凭或生成PKCS#10文凭央求

pki request-certificate domain domain-name [ password password ] [ pkcs10 [ filename filename ] ]

此敕令不会被保存在建立文献中

践诺本敕令时,若是腹地不存在PKI域所指定的密钥对,则系统会把柄PKI域中指定的名字、算法和长度自动生成对应的密钥对

 

1.6  住手文凭央求流程

用户不错通过此建立住手正在进行中的文凭央求流程。用户在文凭央求时,可能由于某种原因需要改造文凭央求的一些参数,比如通用名、国度代码、FQDN等,而此时文凭央求流程正在进行,为了新的央求不与之前的央求发生阻扰,建议先住手之前的央求,再进行新的央求。不错通过display pki certificate request-status敕令查询正在进行中的文凭央求流程。

另外,删除PKI域也不错住手对应的文凭央求流程。

表1-6 住手文凭央求流程

操作

敕令

讲明

过问系统视图

system-view

-

住手文凭央求流程

pki abort-certificate-request domain domain-name

此敕令不会被保存在建立文献中

 

1.7  手工获取文凭

获取文凭的标的是:将CA签发的与PKI实体方位PKI域相关的文凭存放到腹地,以普及文凭的查询效劳,减少向PKI文凭发布点查询的次数。

用户通过此建立不错将已存在的CA文凭、腹地文凭或者外部PKI实体文凭获取至腹地保存。获取文凭有两种方法:离线导入方法和在线方法。

·     离线导入方法:通过带外方法(如FTP、磁盘、电子邮件等)取得文凭,然后将其导入至腹地。若是斥地所处的环境中莫得文凭的发布点、CA服务器不复旧通过SCEP公约与斥地交互、或者文凭对应的密钥对由CA服务器生成,则可遴荐此方法获取文凭。

·     在线方法:从文凭发布服务器上在线获取文凭并下载至腹地,包括通过SCEP公约获取CA文凭和通过LDAP公约获取腹地或对端文凭。

1. 建立截至和辅导

·     若是腹地已有CA文凭存在,则不允许践诺在线方法获取CA文凭的操作。若念念再行获取,请先使用pki delete-certificate敕令删除CA文凭与腹地文凭后,再践诺获取CA文凭的敕令。

·     若是PKI域中仍是有腹地文凭或对端文凭,仍然允许践诺在线方法获取腹地文凭或对端文凭,获取到的文凭径直遮盖已有文凭。但对于RSA算法的文凭而言,一个PKI域中不错存在一个签名用途的文凭和一个加密用途的文凭,不同用途的文凭不会相互遮盖。

·     若是使能了CRL查验,手工获取文凭时会触发CRL查验,若是CRL查验时发现待获取的文凭仍是铲除,则获取文凭失败。

·     斥地把柄本人的系统时间来判断面前的文凭是否还在其灵验期内,斥地系统时间不准确可能导致斥地对于文凭灵验期的判断出现症结或空虚,例如合计骨子还在灵验期内文凭已过时,因此请确保斥地系统时间的准确性。

2. 建立准备

获取腹地文凭或对端文凭之前必须完成以下操作:

·     在线获取腹地文凭和对端文凭是通过LDAP公约进行的,因此在线获取腹地文凭或对端文凭之前必须完成PKI域中指定LDAP服务器的建立。

·     离线导入文凭之前,需要通过FTP、TFTP等公约将文凭文献传送到斥地的存储介质中。若是斥地所处的环境不允许使用FTP、TFTP等公约,则不错径直遴荐在末端上粘贴文凭内容的方法导入,但是粘贴的文凭必须是PEM(Privacy Enhanced Mail,增强守密邮件)花样的,因为只好PEM花样的文凭内容为可打印字符。

·     只好存在签发腹地文凭的CA文凭链才气成功导入腹地文凭,这里的CA文凭链不错是保存在PKI域中的,也不错是腹地文凭中佩戴的。若斥地和腹地文凭中皆莫得CA文凭链,则需要事先获取到CA文凭链。导入对端文凭时,需要得志的条目与导入腹地文凭换取。

·     离线导入含有被加密的密钥对的腹地文凭时,需要输入加密口令。请提前研究CA服务器经管员取得该口令。

3. 建立本领

表1-7 手工获取文凭

操作

敕令

讲明

过问系统视图

system-view

-

手工获取文凭

离线导入方法

pki import domain domain-name { der { ca | local | peer } filename filename | p12 local filename filename | pem { ca | local | peer } [ filename filename ] }

pki retrieve-certificate敕令不会被保存在建立文献中

在线方法

pki retrieve-certificate domain domain-name { ca | local | peer entity-name }

 

1.8  建立文凭考证

在使用每一个文凭之前,必须对文凭进行考证。文凭考证包括查验腹地、CA文凭是否由实在的CA签发,文凭是否在灵验期内,文凭是否未被铲除。央求文凭、获取文凭以及应用措施使用PKI功能时,皆会自动对文凭进行考证,因此一般不需要使用敕令行手工进行文凭考证。若是用户但愿在莫得任何前述操作的情况下单独践诺文凭的考证,不错手工践诺文凭考证。

建立文凭考证时不错成立是否必须进行CRL查验。CRL查验的标的是检讨PKI实体的文凭是否被CA铲除,若查验罢了标明PKI实体的文凭仍是被铲除,那么该文凭就不再被其它PKI实体信任。

·     若是建立为使能CRL查验,则需要最初从CRL发布点获取CRL。PKI域中未建立CRL发布点的URL时,从该待考证的文凭中获取发布点信息:优先获取待考证的文凭中纪录的发布点,若是待考证的文凭中莫得纪录发布点,则获取CA文凭中纪录的发布点(若待考证的文凭为CA文凭,则获取上一级CA文凭中纪录的发布点)。若是无法通过任何道路得到发布点,则通过SCEP公约获取CRL。由于斥地通过SCEP获取CRL是在获取到CA文凭和腹地文凭之后进行,因此该方法下必须保证斥地仍是获取到CA文凭和腹地文凭。使能了CRL查验的情况下,若是PKI域中不存在相应的CRL、CRL获取失败、或者CRL查验时发现待获取的文凭仍是铲除,则手动央求文凭、获取文凭的操作将会失败。

·     若是建立为不使能CRL查验,则不需要获取CRL。

需要驻守的是,考证一个PKI域中的CA文凭时,系统会逐级考证本域CA文凭链上的通盘CA文凭的灵验性,因此需要保证斥地上存在该CA文凭链上的通盘上司CA文凭所属的PKI域。考证某一级CA文凭时,系统会把柄该CA文凭的签发者名(IssuerName)查找对应的上一级CA文凭,以及上一级CA文凭所属的(一个或多个)PKI域。若查找到了相应的PKI域,且该PKI域中使能了CRL查验,则把柄该PKI域中的建立对待考证的CA文凭进行铲除查验,不然不查验待考证的CA文凭是否被铲除。查验CA文凭链中的CA(根CA之外)是否被铲除后,从根CA逐级考证CA文凭链的签发关系。

1.8.1  建立使能CRL查验的文凭考证

表1-8 建立使能CRL查验的文凭考证

操作

敕令

讲明

过问系统视图

system-view

-

过问PKI域视图

pki domain domain-name

-

(可选)建立CRL发布点的URL

crl url url-string [ vpn-instance vpn-instance-name ]

缺省情况下,未指定CRL发布点的URL

使能CRL查验

crl check enable

缺省情况下,CRL查验处于开启气象

反璧系统视图

quit

-

获取CA文凭

请参见1.7 

在进行腹地文凭考证操作之前必须最初获取CA文凭

(可选)获取CRL并下载至腹地

pki retrieve-crl domain domain-name

考证非根CA文凭和腹地文凭时,若是PKI域中莫得CRL,系统会自动获取CRL再进行考证;若是PKI域仍是存在CRL,则不错连接获取CRL,获取到的新CRL会遮盖已有CRL

获取到的CRL不一定是本域CA签发的,但服气是本域CA文凭链上的一个CA文凭签发的

考证文凭的灵验性

pki validate-certificate domain domain-name { ca | local }

-

 

1.8.2  建立不使能CRL查验的文凭考证

表1-9 建立不使能CRL查验的文凭考证

操作

敕令

讲明

过问系统视图

system-view

-

过问PKI域视图

pki domain domain-name

-

阻扰CRL查验

undo crl check enable

缺省情况下,CRL查验处于开启气象

反璧系统视图

quit

-

获取CA文凭

请参见1.7 

在进行腹地文凭考证操作之前必须最初获取CA文凭

考证文凭的灵验性

pki validate-certificate domain domain-name { ca | local }

此敕令不会被保存在建立文献中

 

1.9  建立文凭和CRL的存储旅途

 

获取到腹地的文凭和CRL有默许存储旅途,但同期也允许用户把柄我方的需要修改文凭文献和CRL文献的存储旅途。文凭和CRL的存储旅途不错指定为不同的旅途。

修改了文凭或CRL的存储目次后,原存储旅途下的文凭文献(以.cer和.p12为后缀的文献)和CRL文献(以.crl为后缀的文献)将被出动到新旅途下保存。

表1-10 建立文凭和CRL的存储旅途

操作

敕令

讲明

过问系统视图

system-view

-

建立文凭和CRL的存储旅途

pki storage { certificates | crls } dir-path

缺省情况下,文凭和CRL的存储旅途为斥地存储介质上的PKI目次

dir-path只然而面前主控板上的旅途,不行是其它主控板上的旅途

 

1.10  导出文凭

 

PKI域中已存在的CA文凭、腹地文凭不错导出到文献中保存或导出到末端上披露,导出的文凭不错用于文凭备份或供其它斥地使用。

·     导出文凭时若不指定文献名,则示意要将文凭导出到末端上披露,这种方法仅PEM花样的文凭才复旧。

·     导出文凭时若指定文献名,则示意文凭将导出到指定文献中保存。导出RSA算法类型的腹地文凭时,斥地上骨子保存文凭的文凭文献称呼并不一定是用户指定的称呼,它与腹地文凭的密钥对用途研究,具体的定名王法请参见敕令手册。

表1-11 导出文凭

操作

敕令

讲明

过问系统视图

system-view

-

导出DER花样的文凭

pki export domain domain-name der { all | ca | local } filename filename

把柄需要弃取其中一个或多个

导出PKCS12花样的文凭

pki export domain domain-name p12 { all | local } passphrase p12passwordstring filename filename

导出PEM花样的文凭

pki export domain domain-name pem { { all | local } [ { 3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc } pempasswordstring ] | ca } [ filename filename ]

 

1.11  删除文凭

 

由CA颁发的文凭皆会成立灵验期,文凭生命周期的是曲由签发文凭的CA来服气。当用户的私钥被透露或文凭的灵验期快到时,应该再行央求新的文凭。文凭过时或但愿再行央求文凭时,不错通过此建立删除仍是存在的腹地文凭、CA文凭或对端文凭。

再行央求文凭之前,应该先使用敕令public-key local destroy删除旧的密钥对,再使用public-key local create生成新的密钥对。研究敕令的详备先容可参考“安全敕令参考”中的“公钥经管”。

表1-12 建立删除文凭

操作

敕令

讲明

过问系统视图

system-view

-

建立删除文凭

pki delete-certificate domain domain-name { ca | local | peer [ serial serial-num ] }

若是莫得指定序列号,则删除通盘对端文凭

 

1.12  建立文凭拜谒限定战略

通过建立文凭的拜谒限定战略,不错对安全应用中的用户拜谒权限进行进一步的限定,保证了与之通讯的服务器端的安全性。例如,在HTTPS(Hypertext Transfer Protocol Secure,超文本传输公约的安全版块)应用中,HTTPS服务器不错通过援用文凭拜谒限定战略,把柄本人的安全需要对客户端的文凭正当性进行检测。

一个文凭拜谒限定战略中不错界说多个文凭属性的拜谒限定王法(通过rule敕令建立),每一个拜谒限定王法皆与一个文凭属性组关联。一个文凭属性组是一系列属性王法(通过attribute敕令建立)的鸠集,这些属性王法是对文凭的颁发者名、主落款以及备用主落款进行过滤的匹配条目。

若是一个文凭中的相应属性好像得志一条拜谒限定王法所关联的文凭属性组中通盘属性王法的要求,则合计该文凭和该王法匹配。若是一个文凭拜谒限定战略中有多个王法,则按照王法编号从小到大的规矩遍历通盘王法,一朝文凭与某一个王法匹配,则立即罢了检测,不再连接匹配其它王法。

王法的匹配结断然定了文凭的灵验性,具体如下:

·     若是文凭匹配到的王法中指定了permit要津字,则该文凭将被合计通过了拜谒限定战略的检测且灵验。

·     若是文凭匹配到的王法中指定了deny要津字,则该文凭将被合计未通过拜谒限定战略的检测且无效。

·     若遍历完通盘王法后,文凭莫得与任何王法匹配,则该文凭将因不行通过拜谒限定战略的检测而被合计无效。

·     若文凭拜谒限定战略下某拜谒限定王法关联的文凭属性组不存在,或者该文凭属性组莫得建立任何属性,则合计被检测的文凭皆好像与此王法匹配。

·     若安全应用(如HTTPS)援用的文凭拜谒限定战略不存在,则合计该应用中被检测的文凭灵验。

表1-13 建立文凭拜谒限定战略

操作

敕令

讲明

过问系统视图

system-view

-

创建文凭属性组,并过问文凭属性组视图

pki certificate attribute-group group-name

缺省情况下,不存在文凭属性组

(可选)建立文凭颁发者名、文凭主落款及备用主落款的属性王法

attribute id { alt-subject-name { fqdn | ip } | { issuer-name | subject-name } { dn | fqdn | ip } } { ctn | equ | nctn | nequ} attribute-value

缺省情况下,对文凭颁发者名、文凭主落款及备用主落款莫得截至

反璧系统视图

quit

-

创建文凭拜谒限定战略,并过问文凭拜谒限定战略视图

pki certificate access-control-policy policy-name

缺省情况下,不存在文凭拜谒限定战略

建立文凭属性的拜谒限定王法

rule [ id ] { deny | permit } group-name

缺省情况下,不存在文凭属性的拜谒限定王法,合计通盘文凭皆不错通过该限定战略的过滤

一个文凭拜谒限定战略中可建立多个拜谒限定王法

 

1.13  PKI披露和防卫

在完成上述建立后,在职意视图下践诺display敕令不错披露建立后PKI的运行情况,通过检讨披露信息考证建立的效劳。

表1-14 PKI披露和防卫

操作

敕令

披露文凭内容

display pki certificate domain domain-name { ca | local | peer [ serial serial-num ] }

披露文凭央求气象

display pki certificate request-status [ domain domain-name ]

披露存储在腹地的CRL

display pki crl domain domain-name

披露文凭属性组的建立信息

display pki certificate attribute-group [ group-name ]

披露文凭拜谒限定战略的建立信息

display pki certificate access-control-policy [ policy-name ]

 

1.14  PKI典型建立例如

 

1.14.1  PKI实体向CA央求文凭(遴荐RSA Keon CA服务器) 1. 组网需求

建立PKI实体Switch向CA服务器央求腹地文凭。

2. 组网图

图1-3 PKI实体向CA央求文凭组网图

 

3. 建立本领

(1)     建立CA服务器

·     创建CA服务器myca

在本例中,CA服务器上最初需要进行基本属性Nickname和Subject DN的建立。其它属性弃取默许值。其中,Nickname为实在任的CA称呼(本例中为myca),Subject DN为CA的DN属性,包括CN、OU、O和C。

·     建立扩展属性

基本属性建立完毕之后,还需要在生成的CA服务器经管页面上对“Jurisdiction Configuration”进行建立,主要内容包括:把柄需要弃取合适的扩展选项;启动自动颁发文凭功能;添加不错自动颁发文凭的地址畛域。

以上建立完成之后,还需要保证斥地的系统时钟与CA的时钟同步才不错通俗使用斥地来央求文凭和获取CRL。

(2)     建立Switch

·     建立PKI实体

# 建立PKI实体称呼为aaa,通用名为Switch。

<Switch> system-view

[Switch] pki entity aaa

[Switch-pki-entity-aaa] common-name Switch

[Switch-pki-entity-aaa] quit

·     建立PKI域

# 创建并过问PKI域torsa。

[Switch] pki domain torsa

# 建立斥地信任的CA的称呼为myca。

[Switch-pki-domain-torsa] ca identifier myca

# 建立注册受理机构服务器的URL,花样为:port/Issuing Jurisdiction ID。其中的Issuing Jurisdiction ID为CA服务器上生成的16进制字符串。

[Switch-pki-domain-torsa] certificate request url :446/80f6214aa8865301d07929ae481c7ceed99f95bd

# 建立文凭央求的注册受理机构为CA。

[Switch-pki-domain-torsa] certificate request from ca

# 指定PKI实体称呼为aaa。

[Switch-pki-domain-torsa] certificate request entity aaa

# 建立CRL发布点位置。

[Switch-pki-domain-torsa] crl url ldap://1.1.2.22:389/CN=myca

# 指定文凭央求使用的密钥对,用途为通用,称呼为abc,密钥对长度为1024比特。

[Switch-pki-domain-torsa] public-key rsa general name abc length 1024

[Switch-pki-domain-torsa] quit

·     生成RSA算法的腹地密钥对

[Switch] public-key local create rsa name abc

The range of public key size is (512 ~ 2048).

调教小说

If the key modulus is greater than 512,it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

..........................++++++

.....................................++++++

Create the key pair successfully.

·     文凭央求

# 获取CA文凭并下载至腹地。

[Switch] pki retrieve-certificate domain torsa ca

The trusted CA's finger print is:

    MD5  fingerprint:EDE9 0394 A273 B61A F1B3 0072 A0B1 F9AB

    SHA1 fingerprint: 77F9 A077 2FB8 088C 550B A33C 2410 D354 23B2 73A8

Is the finger print correct?(Y/N):y

Retrieved the certificates successfully.

# 手工央求腹地文凭。(遴荐RSA Keon CA服务器央求文凭时,必须指定password参数)

[Switch] pki request-certificate domain torsa password 1111

Start to request the general certificate ...

……

Certificate requested successfully.

4. 考证建立

# 通过以下披露敕令不错检讨央求到的腹地文凭信息。

[Switch] display pki certificate domain torsa local

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            15:79:75:ec:d2:33:af:5e:46:35:83:bc:bd:6e:e3:b8

        Signature Algorithm: sha1WithRSAEncryption

        Issuer: CN=myca

        Validity

            Not Before: Jan  6 03:10:58 2013 GMT

            Not After : Jan  6 03:10:58 2014 GMT

        Subject: CN=Switch

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                Public-Key: (1024 bit)

                Modulus:

                    00:ab:45:64:a8:6c:10:70:3b:b9:46:34:8d:eb:1a:

                    a1:b3:64:b2:37:27:37:9d:15:bd:1a:69:1d:22:0f:

                    3a:5a:64:0c:8f:93:e5:f0:70:67:dc:cd:c1:6f:7a:

                    0c:b1:57:48:55:81:35:d7:36:d5:3c:37:1f:ce:16:

                    7e:f8:18:30:f6:6b:00:d6:50:48:23:5c:8c:05:30:

                    6f:35:04:37:1a:95:56:96:21:95:85:53:6f:f2:5a:

                    dc:f8:ec:42:4a:6d:5c:c8:43:08:bb:f1:f7:46:d5:

                    f1:9c:22:be:f3:1b:37:73:44:f5:2d:2c:5e:8f:40:

                    3e:36:36:0d:c8:33:90:f3:9b

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 CRL Distribution Points:

 

                Full Name:

                  DirName: CN = myca

 

    Signature Algorithm: sha1WithRSAEncryption

        b0:9d:d9:ac:a0:9b:83:99:bf:9d:0a:ca:12:99:58:60:d8:aa:

        73:54:61:4b:a2:4c:09:bb:9f:f9:70:c7:f8:81:82:f5:6c:af:

        25:64:a5:99:d1:f6:ec:4f:22:e8:6a:96:58:6c:c9:47:46:8c:

        f1:ba:89:b8:af:fa:63:c6:c9:77:10:45:0d:8f:a6:7f:b9:e8:

        25:90:4a:8e:c6:cc:b8:1a:f8:e0:bc:17:e0:6a:11:ae:e7:36:

        87:c4:b0:49:83:1c:79:ce:e2:a3:4b:15:40:dd:fe:e0:35:52:

        ed:6d:83:31:2c:c2:de:7c:e0:a7:92:61:bc:03:ab:40:bd:69:

        1b:f5

对于获取到的CA文凭的详备信息不错通过相应的披露敕令来检讨,此处略。具体内容请参考敕令display pki certificate domain。

1.14.2  PKI实体向CA央求文凭(遴荐Windows 2003 server CA服务器) 1. 组网需求

建立PKI实体Switch向CA服务器央求腹地文凭。

2. 组网图

图1-4 PKI实体向CA央求文凭组网图

 

3. 建立本领

(1)     建立CA服务器

·     装配文凭服务器组件

掀开[限定面板]/[添加/删除措施],弃取[添加/删除Windows组件]中的“文凭服务”进行装配。装配流程中成立CA的称呼,该称呼为信任的CA的称呼(本例中为myca)。

·     装配SCEP插件

由于Windows 2003 server行为CA服务器时,缺省情况下不复旧SCEP,是以需要装配SCEP插件,才气使斥地具备文凭自动注册、获取等功能。插件装配完毕后,弹出教导框,教导框中的URL地址即为斥地上建立的注册服务器地址。

·     修改文凭服务的属性

完成上述建立后,掀开[限定面板/经管器具]中的[文凭颁发机构],若是装配成功,在[颁发的文凭]中将存在两个CA颁发给RA的文凭。弃取[CA server 属性]中的“战略模块”的属性为“若是不错的话,按照文凭模板中的成立。不然,将自动颁发文凭(F)。”

·     修改IIS服务的属性

掀开[限定面板/经管器具]中的[Internet 信息服务(IIS)经管器],将[默许网站 属性]中“主目次”的腹地旅途修改为文凭服务保存的旅途。另外,为了幸免与已有的服务阻扰,建议修改默许网站的TCP端标语为未使用的端标语(本例中为8080)。

以上建立完成之后,还需要保证斥地的系统时钟与CA的时钟同步才不错通俗使用斥地来央求文凭。

(2)     建立Switch

·     建立PKI实体

# 建立PKI实体称呼为aaa,通用名为test。

<Switch> system-view

[Switch] pki entity aaa

[Switch-pki-entity-aaa] common-name test

[Switch-pki-entity-aaa] quit

·     建立PKI域

# 创建并过问PKI域winserver。

[Switch] pki domain winserver

# 建立斥地信任的CA的称呼为myca。

[Switch-pki-domain-winserver] ca identifier myca

# 建立注册受理机构服务器的URL,花样为:port/certsrv/mscep/mscep.dll。其中,host:port为CA服务器的主机地址和端标语。

[Switch-pki-domain-winserver] certificate request url :8080/certsrv/mscep/mscep.dll

# 建立文凭央求的注册受理机构为RA。

[Switch-pki-domain-winserver] certificate request from ra

# 指定PKI实体称呼为aaa。

[Switch-pki-domain-winserver] certificate request entity aaa

# 指定文凭央求使用的密钥对,用途为通用,称呼为abc,密钥长度为1024比特。

[Switch-pki-domain-winserver] public-key rsa general name abc length 1024

[Switch-pki-domain-winserver] quit

·     生成RSA算法的腹地密钥对

[Switch] public-key local create rsa name abc

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512,it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

..........................++++++

.....................................++++++

Create the key pair successfully.

·     文凭央求

# 获取CA文凭并下载至腹地。

[Switch] pki retrieve-certificate domain winserver ca

The trusted CA's finger print is:

    MD5  fingerprint:766C D2C8 9E46 845B 4DCE 439C 1C1F 83AB

    SHA1 fingerprint:97E5 DDED AB39 3141 75FB DB5C E7F8 D7D7 7C9B 97B4

Is the finger print correct?(Y/N):y

Retrieved the certificates successfully.

# 手工央求腹地文凭。

[Switch] pki request-certificate domain winserver

Start to request the general certificate ...

……

Certificate requested successfully.

4. 考证建立

# 通过以下披露敕令不错检讨央求到的腹地文凭信息。

[Switch] display pki certificate domain winserver local

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

             (Negative)01:03:99:ff:ff:ff:ff:fd:11

        Signature Algorithm: sha1WithRSAEncryption

        Issuer: CN=sec

        Validity

            Not Before: Dec 24 07:09:42 2012 GMT

            Not After : Dec 24 07:19:42 2013 GMT

        Subject: CN=test

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                Public-Key: (2048 bit)

                Modulus:

                    00:c3:b5:23:a0:2d:46:0b:68:2f:71:d2:14:e1:5a:

                    55:6e:c5:5e:26:86:c1:5a:d6:24:68:02:bf:29:ac:

                    dc:31:41:3f:5d:5b:36:9e:53:dc:3a:bc:0d:11:fb:

                    d6:7d:4f:94:3c:c1:90:4a:50:ce:db:54:e0:b3:27:

                    a9:6a:8e:97:fb:20:c7:44:70:8f:f0:b9:ca:5b:94:

                    f0:56:a5:2b:87:ac:80:c5:cc:04:07:65:02:39:fc:

                    db:61:f7:07:c6:65:4c:e4:5c:57:30:35:b4:2e:ed:

                    9c:ca:0b:c1:5e:8d:2e:91:89:2f:11:e3:1e:12:8a:

                    f8:dd:f8:a7:2a:94:58:d9:c7:f8:1a:78:bd:f5:42:

                    51:3b:31:5d:ac:3e:c3:af:fa:33:2c:fc:c2:ed:b9:

                    ee:60:83:b3:d3:e5:8e:e5:02:cf:b0:c8:f0:3a:a4:

                    b7:ac:a0:2c:4d:47:5f:39:4b:2c:87:f2:ee:ea:d0:

                    c3:d0:8e:2c:80:83:6f:39:86:92:98:1f:d2:56:3b:

                    d7:94:d2:22:f4:df:e3:f8:d1:b8:92:27:9c:50:57:

                    f3:a1:18:8b:1c:41:ba:db:69:07:52:c1:9a:3d:b1:

                    2d:78:ab:e3:97:47:e2:70:14:30:88:af:f8:8e:cb:

                    68:f9:6f:07:6e:34:b6:38:6a:a2:a8:29:47:91:0e:

                    25:39

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Key Usage:

                Digital Signature, Non Repudiation, Key Encipherment, Data Encip

herment

            X509v3 Subject Key Identifier:

                C9:BB:D5:8B:02:1D:20:5B:40:94:15:EC:9C:16:E8:9D:6D:FD:9F:34

            X509v3 Authority Key Identifier:

                keyid:32:F1:40:BA:9E:F1:09:81:BD:A8:49:66:FF:F8:AB:99:4A:30:21:9

B

 

            X509v3 CRL Distribution Points:

 

                Full Name:

                  URI:file://\\g07904c\CertEnroll\sec.crl

 

            Authority Information Access:

                CA Issuers - URI:_sec.crt

                CA Issuers - URI:file://\\gc\CertEnroll\gc_sec.crt

 

            1.3.6.1.4.1.311.20.2:

                .0.I.P.S.E.C.I.n.t.e.r.m.e.d.i.a.t.e.O.f.f.l.i.n.e

    Signature Algorithm: sha1WithRSAEncryption

        76:f0:6c:2c:4d:bc:22:59:a7:39:88:0b:5c:50:2e:7a:5c:9d:

        6c:28:3c:c0:32:07:5a:9c:4c:b6:31:32:62:a9:45:51:d5:f5:

        36:8f:47:3d:47:ae:74:6c:54:92:f2:54:9f:1a:80:8a:3f:b2:

        14:47:fa:dc:1e:4d:03:d5:d3:f5:9d:ad:9b:8d:03:7f:be:1e:

        29:28:87:f7:ad:88:1c:8f:98:41:9a:db:59:ba:0a:eb:33:ec:

        cf:aa:9b:fc:0f:69:3a:70:f2:fa:73:ab:c1:3e:4d:12:fb:99:

        31:51:ab:c2:84:c0:2f:e5:f6:a7:c3:20:3c:9a:b0:ce:5a:bc:

        0f:d9:34:56:bc:1e:6f:ee:11:3f:7c:b2:52:f9:45:77:52:fb:

        46:8a:ca:b7:9d:02:0d:4e:c3:19:8f:81:46:4e:03:1f:58:03:

        bf:53:c6:c4:85:95:fb:32:70:e6:1b:f3:e4:10:ed:7f:93:27:

        90:6b:30:e7:81:36:bb:e2:ec:f2:dd:2b:bb:b9:03:1c:54:0a:

        00:3f:14:88:de:b8:92:63:1e:f5:b3:c2:cf:0a:d5:f4:80:47:

        6f:fa:7e:2d:e3:a7:38:46:f6:9e:c7:57:9d:7f:82:c7:46:06:

        7d:7c:39:c4:94:41:bd:9e:5c:97:86:c8:48:de:35:1e:80:14:

        02:09:ad:08

对于获取到的CA文凭的详备信息不错通过相应的披露敕令来检讨,此处略。具体内容请参考敕令display pki certificate domain。

1.14.3  PKI实体向CA央求文凭(遴荐OpenCA服务器) 1. 组网需求

建立PKI实体Switch向CA服务器央求腹地文凭。

2. 组网图

图1-5 PKI实体向CA央求文凭组网图

 

3. 建立本领

(1)     建立CA服务器

建立流程略,具体请参考Open CA服务器的研究手册。

需要驻守的是:

·     使用OpenCA最新版块的rpm包进行装配,OpenCA有多个版块,但只好0.9.2以后的版块才复旧SCEP,至少要装配0.9.2以后的版块。

·     OpenCA服务器建立完成之后,还需要保证斥地的系统时钟与CA的时钟同步才不错通俗使用斥地来央求文凭。

(2)     建立Switch

·     建立PKI实体

# 建立PKI实体,称呼为aaa、通用名为rnd、国度码为CN、组织名为test、组织部门名为software。

<Switch> system-view

[Switch] pki entity aaa

[Switch-pki-entity-aaa] common-name rnd

[Switch-pki-entity-aaa] country CN

[Switch-pki-entity-aaa] organization test

[Switch-pki-entity-aaa] organization-unit software

[Switch-pki-entity-aaa] quit

·     建立PKI域

# 创建并过问PKI域openca。

[Switch] pki domain openca

# 建立斥地信任的CA的称呼为myca。

[Switch-pki-domain-openca] ca identifier myca

# 建立注册受理机构服务器的URL。时常,花样为-bin/pki/scep。其中,host为OpenCA服务器的主机地址。

[Switch-pki-domain-openca] certificate request url -bin/pki/scep

# 建立文凭央求的注册受理机构为RA。

[Switch-pki-domain-openca] certificate request from ra

# 指定PKI实体称呼为aaa。

[Switch-pki-domain-openca] certificate request entity aaa

# 指定文凭央求使用的RSA密钥对,用途为通用,称呼为abc,密钥长度为1024比特。

[Switch-pki-domain-openca] public-key rsa general name abc length 1024

[Switch-pki-domain-openca] quit

·     生成RSA算法的腹地密钥对

[Switch] public-key local create rsa name abc

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512,it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

..........................++++++

.....................................++++++

Create the key pair successfully.

·     文凭央求

# 获取CA文凭并下载至腹地。

[Switch] pki retrieve-certificate domain openca ca

The trusted CA's finger print is:

    MD5  fingerprint:5AA3 DEFD 7B23 2A25 16A3 14F4 C81C C0FA

    SHA1 fingerprint:9668 4E63 D742 4B09 90E0 4C78 E213 F15F DC8E 9122

Is the finger print correct?(Y/N):y

Retrieved the certificates successfully.

# 手工央求腹地文凭。

[Switch] pki request-certificate domain openca

Start to request the general certificate ...

……

Certificate requested successfully.

4. 考证建立

# 通过以下披露敕令不错检讨央求到的腹地文凭信息。

[Switch] display pki certificate domain openca local

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            21:1d:b8:d2:e4:a9:21:28:e4:de

        Signature Algorithm: sha256WithRSAEncryption

        Issuer: C=CN, L=sanghai , ST=pukras, O=OpenCA Labs, OU=mysubUnit, CN=sub-ca, DC=pki-subdomain, DC=mydomain-sub, DC=com

        Validity

            Not Before: Jun 30 09:09:09 2011 GMT

            Not After : May  1 09:09:09 2012 GMT

        Subject: CN=rnd, O=test, OU=software, C=CN

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                Public-Key: (1024 bit)

                Modulus:

                    00:b8:7a:9a:b8:59:eb:fc:70:3e:bf:19:54:0c:7e:

                    c3:90:a5:d3:fd:ee:ff:c6:28:c6:32:fb:04:6e:9c:

                    d6:5a:4f:aa:bb:50:c4:10:5c:eb:97:1d:a7:9e:7d:

                    53:d5:31:ff:99:ab:b6:41:f7:6d:71:61:58:97:84:

                    37:98:c7:7c:79:02:ac:a6:85:f3:21:4d:3c:8e:63:

                    8d:f8:71:7d:28:a1:15:23:99:ed:f9:a1:c3:be:74:

                    0d:f7:64:cf:0a:dd:39:49:d7:3f:25:35:18:f4:1c:

                    59:46:2b:ec:0d:21:1d:00:05:8a:bf:ee:ac:61:03:

                    6c:1f:35:b5:b4:cd:86:9f:45

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Basic Constraints:

                CA:FALSE

            Netscape Cert Type:

                SSL Client, S/MIME

            X509v3 Key Usage:

                Digital Signature, Non Repudiation, Key Encipherment

            X509v3 Extended Key Usage:

                TLS Web Client Authentication, E-mail Protection, Microsoft Smartcardlogin

Netscape Comment:

                User Certificate of OpenCA Labs

            X509v3 Subject Key Identifier:

                24:71:C9:B8:AD:E1:FE:54:9A:EA:E9:14:1B:CD:D9:45:F4:B2:7A:1B

            X509v3 Authority Key Identifier:

                keyid:85:EB:D5:F7:C9:97:2F:4B:7A:6D:DD:1B:4D:DD:00:EE:53:CF:FD:5B

 

            X509v3 Issuer Alternative Name:

                DNS:[email protected], DNS:, IP Address:192.168.154.145, IP Address:192.168.154.138

            Authority Information Access:

                CA Issuers - URI:

                OCSP - URI::2560/

                1.3.6.1.5.5.7.48.12 - URI::830/

 

            X509v3 CRL Distribution Points:

 

                Full Name:

                  URI:

 

    Signature Algorithm: sha256WithRSAEncryption

        5c:4c:ba:d0:a1:35:79:e6:e5:98:69:91:f6:66:2a:4f:7f:8b:

        0e:80:de:79:45:b9:d9:12:5e:13:28:17:36:42:d5:ae:fc:4e:

        ba:b9:61:f1:0a:76:42:e7:a6:34:43:3e:2d:02:5e:c7:32:f7:

        6b:64:bb:2d:f5:10:6c:68:4d:e7:69:f7:47:25:f5:dc:97:af:

        ae:33:40:44:f3:ab:e4:5a:a0:06:8f:af:22:a9:05:74:43:b6:

        e4:96:a5:d4:52:32:c2:a8:53:37:58:c7:2f:75:cf:3e:8e:ed:

        46:c9:5a:24:b1:f5:51:1d:0f:5a:07:e6:15:7a:02:31:05:8c:

        03:72:52:7c:ff:28:37:1e:7e:14:97:80:0b:4e:b9:51:2d:50:

        98:f2:e4:5a:60:be:25:06:f6:ea:7c:aa:df:7b:8d:59:79:57:

        8f:d4:3e:4f:51:c1:34:e6:c1:1e:71:b5:0d:85:86:a5:ed:63:

        1e:08:7f:d2:50:ac:a0:a3:9e:88:48:10:0b:4a:7d:ed:c1:03:

        9f:87:97:a3:5e:7d:75:1d:ac:7b:6f:bb:43:4d:12:17:9a:76:

        b0:bf:2f:6a:cc:4b:cd:3d:a1:dd:e0:dc:5a:f3:7c:fb:c3:29:

        b0:12:49:5c:12:4c:51:6e:62:43:8b:73:b9:26:2a:f9:3d:a4:

        81:99:31:89 

对于获取到的CA文凭的详备信息不错通过相应的披露敕令来检讨,此处略。具体内容请参考敕令display pki certificate domain。

1.14.4  使用RSA数字签名方法进行IKE协商认证(遴荐Windows 2003 server CA服务器) 1. 组网需求

·     在Switch A和Switch B之间建立一个IPsec安全纯正春联网10.1.1.0/24上的主机A与子网11.1.1.0/24上的主机B之间的数据流进行安全保护。

·     在Switch A和Switch B之间使用IKE自动协商建立安全通讯,IKE认证战略遴荐RSA数字签名方法进行身份认证。

·     Switch A和Switch B使用换取的CA。

2. 组网图

图1-6 使用RSA数字签名方法进行IKE协商认证组网图

 

 

3. 建立本领

(1)     建立CA服务器

本例CA server遴荐Windows 2003 server CA服务器,CA服务器建立参看“1.14.2  3. (1)”。

(2)     建立Switch A

# 建立PKI实体。

<SwitchA> system-view

[SwitchA] pki entity en

[SwitchA-pki-entity-en] ip 2.2.2.1

[SwitchA-pki-entity-en] common-name switcha

[SwitchA-pki-entity-en] quit

# 建立PKI域参数。

[SwitchA] pki domain 1

[SwitchA-pki-domain-1] ca identifier CA1

[SwitchA-pki-domain-1] certificate request url

[SwitchA-pki-domain-1] certificate request entity en

[SwitchA-pki-domain-1] ldap-server host 1.1.1.102

# 建立通过RA注册央求文凭。

[SwitchA-pki-domain-1] certificate request from ra

# 指定文凭央求使用的RSA密钥对,用途为通用,称呼为abc,密钥长度为1024比特。

[SwitchA-pki-domain-1] public-key rsa general name abc length 1024

[SwitchA-pki-domain-1] quit

# 生成RSA算法的腹地密钥对。

[SwitchA] public-key local create rsa name abc

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512,it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

..........................++++++

.....................................++++++

Create the key pair successfully.

# 获取CA文凭并下载至腹地。

[SwitchA] pki retrieve-certificate domain 1 ca

# 手工央求腹地文凭。

[SwitchA] pki request-certificate domain 1

# 建立IKE提议1,使用数字签名(rsa-signature)方法为身份认证战略。

[SwitchA] ike proposal 1

[SwitchA-ike-proposal-1] authentication-method rsa-signature

[SwitchA-ike-proposal-1] quit

# 创建IKE profile peer,并援用PKI域1。

[SwitchA] ike profile peer

[SwitchA-ike-profile-peer] certificate domain 1

(3)     建立Switch B

# 建立PKI实体。

<SwitchB> system-view

[SwitchB] pki entity en

[SwitchB-pki-entity-en] ip 3.3.3.1

[SwitchB-pki-entity-en] common-name switchb

[SwitchB-pki-entity-en] quit

# 建立PKI域参数。(文凭央求的注册机构服务器的URL把柄所使用的CA服务器的不同而有所不同,这里的建立只行为示例,请把柄具体情况建立。)

[SwitchB] pki domain 1

[SwitchB-pki-domain-1] ca identifier CA1

[SwitchB-pki-domain-1] certificate request url

[SwitchB-pki-domain-1] certificate request entity en

[SwitchB-pki-domain-1] ldap-server host 1.1.1.102

# 建立通过RA注册央求文凭。

[SwitchB-pki-domain-1] certificate request from ra

# 指定文凭央求使用的RSA密钥对,用途为通用,称呼为abc,密钥长度为1024比特。

[SwitchB-pki-domain-1] public-key rsa general name abc length 1024

[SwitchB-pki-domain-1] quit

# 生成RSA算法的腹地密钥对。

[SwitchB] public-key local create rsa name abc

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512,it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

..........................++++++

.....................................++++++

Create the key pair successfully.

# 获取CA文凭并下载至腹地。

[SwitchB] pki retrieve-certificate ca domain 1

# 手工央求腹地文凭。

[SwitchB] pki request-certificate domain 1

# 建立IKE提议1,使用rsa-signature方法为身份认证战略。

[SwitchB] ike proposal 1

[SwitchB-ike-proposal-1] authentication-method rsa-signature

[SwitchB-ike-proposal-1] quit

# 创建IKE profile peer,并援用PKI域1。

[SwitchB] ike profile peer

[SwitchB-ike-profile-peer] certificate domain 1

 

1.14.5  文凭属性的拜谒限定战略应用例如 1. 组网需求

·     客户端通过HTTPS公约长途拜谒斥地(HTTPS服务器)。

·     通过SSL公约保证正当客户端安全登录HTTPS服务器。

·     HTTPS服务器要求对客户端进行身份考证,并通过制定文凭拜谒限定战略,对客户端的文凭正当性进行检测。

2. 组网图

图1-7 文凭属性的拜谒限定战略应用组网图

 

 

3. 建立本领

 

(1)     建立HTTPS服务器

# 使能HTTPS服务。

<Switch> system-view

# 建立HTTPS服务器使用的SSL战略。

[Switch] ssl server-policy abc

[Switch-ssl-server-policy-abc] pki-domain domain1

[Switch-ssl-server-policy-abc] client-verify enable

[Switch-ssl-server-policy-abc] quit

(2)     建立文凭属性组

# 建立文凭属性组mygroup1,并创建两个属性王法。王法1界说文凭主落款的DN包含字符串aabbcc;王法2界说文凭颁发者名中的IP地址等于10.0.0.1。

[Switch] pki certificate attribute-group mygroup1

[Switch-pki-cert-attribute-group-mygroup1] attribute 1 subject-name dn ctn aabbcc

[Switch-pki-cert-attribute-group-mygroup1] attribute 2 issuer-name ip equ 10.0.0.1

[Switch-pki-cert-attribute-group-mygroup1] quit

# 建立文凭属性组mygroup2,并创建两个属性王法。王法1界说文凭备用主落款中的FQDN不包含字符串apple;王法2界说文凭颁发者名的DN包含字符串aabbcc。

[Switch] pki certificate attribute-group mygroup2

[Switch-pki-cert-attribute-group-mygroup2] attribute 1 alt-subject-name fqdn nctn apple

[Switch-pki-cert-attribute-group-mygroup2] attribute 2 issuer-name dn ctn aabbcc

[Switch-pki-cert-attribute-group-mygroup2] quit

(3)     建立文凭拜谒限定战略

# 创建拜谒限定战略myacp,并界说两个拜谒限定王法。

[Switch] pki certificate access-control-policy myacp

# 王法1界说,当文凭的属性与属性组mygroup1里界说的属性匹配时,合计该文凭无效,不行通过拜谒限定战略的检测。

[Switch-pki-cert-acp-myacp] rule 1 deny mygroup1

# 王法2界说,当文凭的属性与属性组mygroup2里界说的属性匹配时,合计该文凭灵验,不错通过拜谒限定战略的检测。

[Switch-pki-cert-acp-myacp] rule 2 permit mygroup2

[Switch-pki-cert-acp-myacp] quit

4. 考证建立

当客户端通过浏览器拜谒HTTPS服务器时,服务器端最初把柄建立的文凭拜谒限定战略检测客户端文凭的灵验性。已知该客户端文凭的主落款的DN为aabbcc,颁发者名中的IP地址为1.1.1.1,备用主落款中的FQDN名为banaba,由以上建立可判断匹配罢了为:

·     腹地文凭的主落款和属性组mygroup1中的属性1匹配、颁发者名和属性组mygroup1中的属性2不匹配,因此该文凭和文凭属性组mygroup1不匹配。

·     腹地文凭的备用主落款属性和属性组mygroup2中的属性1匹配,颁发者名属性和属性组mygroup2中的属性2匹配,因此该文凭和文凭属性组mygroup2匹配。

该客户端的文凭与拜谒限定战略myacp的王法1所援用的文凭属性组mygroup1不匹配,因此王法1不收效;腹地文凭与拜谒限定战略myacp的王法2所援用的文凭属性组mygroup2匹配,因此王法2收效,该文凭不错通过拜谒限定战略myacp的检测。

通过以上检测后的正当客户端不错成功拜谒HTTPS服务器提供的网页。

1.14.6  导出、导入文凭应用例如 1. 组网需求

某收罗中的Switch A将要被Switch B替换,Switch A上的PKI域exportdomain中保存了两个佩戴私钥的腹地文凭和一个CA文凭。为保证替换后的文凭可用,需要将底本Switch A上的文凭复制到Switch B上去。具体要求如下:

·     从Switch A上导出腹地文凭时,将对应的私钥数据遴荐3DES_CBC算法进行加密,加密口令为111111。

·     来自Switch A的文凭以PEM编码的花样保存于Switch B上的PKI域importdomain中。

2. 组网图

图1-8 导出、导入文凭应用组网图

 

 

3. 建立本领

(1)     从Switch A上导出腹地文凭到指定文献

# 将PKI域中的CA文凭导出到PEM花样的文献中,文献名为pkicachain.pem。

<SwitchA> system-view

[SwitchA] pki export domain exportdomain pem ca filename pkicachain.pem

# 将PKI域中的腹地文凭导出到PEM花样的文献中,文献名为pkilocal.pem。导出时对腹地文凭对应的私钥数据遴荐3DES_CBC算法进行加密,加密口令为111111。

[SwitchA] pki export domain exportdomain pem local 3des-cbc 111111 filename pkilocal.pem

以上流程完成后,系统中将会生成三个PEM花样的文凭文献,它们分别是:CA文凭文献pkicachain.pem,带有私钥的腹地签名文凭文献pkilocal.pem-signature和带有私钥的腹地加密文凭文献pkilocal.pem-encryption。

# 检讨PEM花样的带有私钥的腹地签名文凭文献pkilocal.pem-signature。

[SwitchA] quit

<SwitchA> more pkicachain.pem-sign

Bag Attributes

    friendlyName:

    localKeyID: 90 C6 DC 1D 20 49 4F 24 70 F5 17 17 20 2B 9E AC 20 F3 99 89

subject=/C=CN/O=OpenCA Labs/OU=Users/CN=subsign 11

issuer=/C=CN/L=shangdi/ST=pukras/O=OpenCA Labs/OU=docm/CN=subca1

-----BEGIN CERTIFICATE-----

MIIEgjCCA2qgAwIBAgILAJgsebpejZc5UwAwDQYJKoZIhvcNAQELBQAwZjELMAkG

…… (略)

-----END CERTIFICATE-----

Bag Attributes

    friendlyName:

    localKeyID: 90 C6 DC 1D 20 49 4F 24 70 F5 17 17 20 2B 9E AC 20 F3 99 89

Key Attributes: <No Attributes>

-----BEGIN ENCRYPTED PRIVATE KEY-----

MIICxjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQIZtjSjfslJCoCAggA

…… (略)

-----END ENCRYPTED PRIVATE KEY-----

# 检讨PEM花样的带有私钥的腹地加密文凭文献pkilocal.pem-encryption。

<SwitchA> more pkicachain.pem-encr

Bag Attributes

    friendlyName:

    localKeyID: D5 DF 29 28 C8 B9 D9 49 6C B5 44 4B C2 BC 66 75 FE D6 6C C8

subject=/C=CN/O=OpenCA Labs/OU=Users/CN=subencr 11

issuer=/C=CN/L=shangdi/ST=pukras/O=OpenCA Labs/OU=docm/CN=subca1

-----BEGIN CERTIFICATE-----

MIIEUDCCAzigAwIBAgIKCHxnAVyzWhIPLzANBgkqhkiG9w0BAQsFADBmMQswCQYD

…… (略)   

-----END CERTIFICATE-----

Bag Attributes

    friendlyName:

    localKeyID: D5 DF 29 28 C8 B9 D9 49 6C B5 44 4B C2 BC 66 75 FE D6 6C C8

Key Attributes: <No Attributes>

-----BEGIN ENCRYPTED PRIVATE KEY-----

MIICxjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQI7H0mb4O7/GACAggA

…… (略)

-----END ENCRYPTED PRIVATE KEY----- 

(2)     将Switch A的文凭文献下载到Host

通过FTP将文凭文献pkicachain.pem、pkilocal.pem-sign和pkilocal.pem-encr下载到Host上,具体流程略。

(3)     将Host上的文凭文献上传到Switch B

通过FTP将文凭文献pkicachain.pem、pkilocal.pem-sign、pkilocal.pem-encr上传到Switch B的文献系统中,具体流程略。

(4)     在斥地Switch B上导入文凭文献

# 关闭CRL查验。(是否进行CRL查验,请以骨子的使用需求为准,此处仅为示例)

<SwitchB> system-view

[SwitchB] pki domain importdomain

[SwitchB-pki-domain-importdomain] undo crl check enable

# 指定文凭央求使用的签名RSA密钥对称呼为sign,加密RSA密钥对称呼为encr。

[SwitchB-pki-domain-importdomain] public-key rsa signature name sign encryption name encr

[SwitchB-pki-domain-importdomain] quit

# 向PKI域中导入CA文凭,文凭文献花样为PEM编码,文凭文献称呼为pkicachain.pem。

[SwitchB] pki import domain importdomain pem ca filename pkicachain.pem

# 向PKI域中导入腹地文凭,文凭文献花样为PEM编码,文凭文献称呼为pkilocal.pem-signature,文凭文献中包含了密钥对。

[SwitchB] pki import domain importdomain pem local filename pkilocal.pem-signature

Please input the password:******

# 向PKI域中导入腹地文凭,文凭文献花样为PEM编码,文凭文献称呼为pkilocal.pem-encryption,文凭文献中包含了密钥对。

[SwitchB] pki import domain importdomain pem local filename pkilocal.pem-encryption

Please input the password:******

# 通过以下披露敕令不错检讨导入到Switch B的腹地文凭信息。

[SwitchB] display pki certificate domain importdomain local

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            98:2c:79:ba:5e:8d:97:39:53:00

        Signature Algorithm: sha256WithRSAEncryption

        Issuer: C=CN, L=shangdi, ST=pukras, O=OpenCA Labs, OU=docm, CN=subca1

        Validity

            Not Before: May 26 05:56:49 2011 GMT

            Not After : Nov 22 05:56:49 2012 GMT

        Subject: C=CN, O=OpenCA Labs, OU=Users, CN=subsign 11

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                Public-Key: (1024 bit)

                Modulus:

                    00:9f:6e:2f:f6:cb:3d:08:19:9a:4a:ac:b4:ac:63:

                    ce:8d:6a:4c:3a:30:19:3c:14:ff:a9:50:04:f5:00:

                    ee:a3:aa:03:cb:b3:49:c4:f8:ae:55:ee:43:93:69:

                    6c:bf:0d:8c:f4:4e:ca:69:e5:3f:37:5c:83:ea:83:

                    ad:16:b8:99:37:cb:86:10:6b:a0:4d:03:95:06:42:

                    ef:ef:0d:4e:53:08:0a:c9:29:dd:94:28:02:6e:e2:

                    9b:87:c1:38:2d:a4:90:a2:13:5f:a4:e3:24:d3:2c:

                    bf:98:db:a7:c2:36:e2:86:90:55:c7:8c:c5:ea:12:

                    01:31:69:bf:e3:91:71:ec:21

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Basic Constraints:

                CA:FALSE

            Netscape Cert Type:

                SSL Client, S/MIME

            X509v3 Key Usage:

                Digital Signature, Non Repudiation

            X509v3 Extended Key Usage:

                TLS Web Client Authentication, E-mail Protection, Microsoft Smartcardlogin

            Netscape Comment:

                User Certificate of OpenCA Labs

            X509v3 Subject Key Identifier:

                AA:45:54:29:5A:50:2B:89:AB:06:E5:BD:0D:07:8C:D9:79:35:B1:F5

            X509v3 Authority Key Identifier:

                keyid:70:54:40:61:71:31:02:06:8C:62:11:0A:CC:A5:DB:0E:7E:74:DE:DD

 

            X509v3 Subject Alternative Name:

                email:[email protected]

            X509v3 Issuer Alternative Name:

                DNS:[email protected], DNS:, IP Address:1.1.2.2, IP Address:2.2.1.1

            Authority Information Access:

                CA Issuers - URI:

                OCSP - URI::2560/

                1.3.6.1.5.5.7.48.12 - URI::830/

 

            X509v3 CRL Distribution Points:

 

                Full Name:

                  URI:

 

    Signature Algorithm: sha256WithRSAEncryption

        18:e7:39:9a:ad:84:64:7b:a3:85:62:49:e5:c9:12:56:a6:d2:

        46:91:53:8e:84:ba:4a:0a:6f:28:b9:43:bc:e7:b0:ca:9e:d4:

        1f:d2:6f:48:c4:b9:ba:c5:69:4d:90:f3:15:c4:4e:4b:1e:ef:

        2b:1b:2d:cb:47:1e:60:a9:0f:81:dc:f2:65:6b:5f:7a:e2:36:

        29:5d:d4:52:32:ef:87:50:7c:9f:30:4a:83:de:98:8b:6a:c9:

        3e:9d:54:ee:61:a4:26:f3:9a:40:8f:a6:6b:2b:06:53:df:b6:

        5f:67:5e:34:c8:c3:b5:9b:30:ee:01:b5:a9:51:f9:b1:29:37:

        02:1a:05:02:e7:cc:1c:fe:73:d3:3e:fa:7e:91:63:da:1d:f1:

        db:28:6b:6c:94:84:ad:fc:63:1b:ba:53:af:b3:5d:eb:08:b3:

        5b:d7:22:3a:86:c3:97:ef:ac:25:eb:4a:60:f8:2b:a3:3b:da:

        5d:6f:a5:cf:cb:5a:0b:c5:2b:45:b7:3e:6e:39:e9:d9:66:6d:

        ef:d3:a0:f6:2a:2d:86:a3:01:c4:94:09:c0:99:ce:22:19:84:

        2b:f0:db:3e:1e:18:fb:df:56:cb:6f:a2:56:35:0d:39:94:34:

        6d:19:1d:46:d7:bf:1a:86:22:78:87:3e:67:fe:4b:ed:37:3d:

        d6:0a:1c:0b

 

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            08:7c:67:01:5c:b3:5a:12:0f:2f

        Signature Algorithm: sha256WithRSAEncryption

        Issuer: C=CN, L=shangdi, ST=pukras, O=OpenCA Labs, OU=docm, CN=subca1

        Validity

            Not Before: May 26 05:58:26 2011 GMT

            Not After : Nov 22 05:58:26 2012 GMT

        Subject: C=CN, O=OpenCA Labs, OU=Users, CN=subencr 11

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                Public-Key: (1024 bit)

                Modulus:

                    00:db:26:13:d3:d1:a4:af:11:f3:6d:37:cf:d0:d4:

                    48:50:4e:0f:7d:54:76:ed:50:28:c6:71:d4:48:ae:

                    4d:e7:3d:23:78:70:63:18:33:f6:94:98:aa:fa:f6:

                    62:ed:8a:50:c6:fd:2e:f4:20:0c:14:f7:54:88:36:

                    2f:e6:e2:88:3f:c2:88:1d:bf:8d:9f:45:6c:5a:f5:

                    94:71:f3:10:e9:ec:81:00:28:60:a9:02:bb:35:8b:

                    bf:85:75:6f:24:ab:26:de:47:6c:ba:1d:ee:0d:35:

                    75:58:10:e5:e8:55:d1:43:ae:85:f8:ff:75:81:03:

                    8c:2e:00:d1:e9:a4:5b:18:39

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Basic Constraints:

                CA:FALSE

            Netscape Cert Type:

                SSL Server

            X509v3 Key Usage:

                Key Encipherment, Data Encipherment

            Netscape Comment:

                VPN Server of OpenCA Labs

            X509v3 Subject Key Identifier:

                CC:96:03:2F:FC:74:74:45:61:38:1F:48:C0:E8:AA:18:24:F0:2B:AB

            X509v3 Authority Key Identifier:

                keyid:70:54:40:61:71:31:02:06:8C:62:11:0A:CC:A5:DB:0E:7E:74:DE:DD

 

            X509v3 Subject Alternative Name:

                email:[email protected]

            X509v3 Issuer Alternative Name:

                DNS:[email protected], DNS:, IP Address:1.1.2.2, IP Address:2.2.1.1

            Authority Information Access:

                CA Issuers - URI:

                OCSP - URI::2560/

                1.3.6.1.5.5.7.48.12 - URI::830/

 

            X509v3 CRL Distribution Points:

 

                Full Name:

                  URI:

 

    Signature Algorithm: sha256WithRSAEncryption

        53:69:66:5f:93:f0:2f:8c:54:24:8f:a2:f2:f1:29:fa:15:16:

        90:71:e2:98:e3:5c:c6:e3:d4:5f:7a:f6:a9:4f:a2:7f:ca:af:

        c4:c8:c7:2c:c0:51:0a:45:d4:56:e2:81:30:41:be:9f:67:a1:

        23:a6:09:50:99:a1:40:5f:44:6f:be:ff:00:67:9d:64:98:fb:

        72:77:9e:fd:f2:4c:3a:b2:43:d8:50:5c:48:08:e7:77:df:fb:

        25:9f:4a:ea:de:37:1e:fb:bc:42:12:0a:98:11:f2:d9:5b:60:

        bc:59:72:04:48:59:cc:50:39:a5:40:12:ff:9d:d0:69:3a:5e:

        3a:09:5a:79:e0:54:67:a0:32:df:bf:72:a0:74:63:f9:05:6f:

        5e:28:d2:e8:65:49:e6:c7:b5:48:7d:95:47:46:c1:61:5a:29:

        90:65:45:4a:88:96:e4:88:bd:59:25:44:3f:61:c6:b1:08:5b:

        86:d2:4f:61:4c:20:38:1c:f4:a1:0b:ea:65:87:7d:1c:22:be:

        b6:17:17:8a:5a:0f:35:4c:b8:b3:73:03:03:63:b1:fc:c4:f5:

        e9:6e:7c:11:e8:17:5a:fb:39:e7:33:93:5b:2b:54:72:57:72:

        5e:78:d6:97:ef:b8:d8:6d:0c:05:28:ea:81:3a:06:a0:2e:c3:

        79:05:cd:c3

对于导入的CA文凭的详备信息不错通过相应的披露敕令来检讨,此处略。具体内容请参考敕令display pki certificate domain。

1.15  常见建立空虚例如 1.15.1  获取CA文凭失败 1. 故障表象

获取CA文凭失败。

2. 故障分析

可能有以下原因:

·     收罗一语气故障,如网线撅断,接口松动;

·     莫得成立信任的CA称呼;

·     文凭央求的注册受理机构服务器URL位置不正确或未建立;

·     斥地的系统时钟与CA的时钟不同步;

·     未指定CA服务器可采用的PKI公约报文的源IP地址,或者指定的地址不正确;

·     指纹信息分歧法。

3. 处理流程

·     摒除物理一语气故障;

·     检讨各必配项是否皆正确建立;

·     可通过ping敕令测试注册服务器是否一语气通俗;

·     保合手系统时钟与CA同步;

·     与CA服务器经管员研究,并保证建立正确的源IP地址;

·     在文凭服务器上检讨指纹信息是否正当。

1.15.2  获取腹地文凭失败 1. 故障表象

获取腹地文凭失败。

2. 故障分析

可能有以下原因:

·     收罗一语气故障;

·     践诺获取操作之前PKI域中莫得CA文凭;

·     莫得建立LDAP服务器或者建立空虚;

·     PKI域莫得指定央求使用的密钥对,或者指定的密钥对与待获取的腹地文凭不匹配;

·     PKI域中莫得援用PKI实体建立,或PKI实体建立不正确;

·     使能了CRL查验,但是腹地莫得CRL且无法获取到CRL;

·     未指定CA服务器可采用的PKI公约报文的源IP地址,或者指定的地址不正确;

·     斥地时钟与CA服务器的时钟不同步。

3. 处理流程

·     摒除物理一语气故障;

·     获取或者导入CA文凭;

·     建立正确的LDAP服务器;

·     在PKI域中指定央求使用的密钥对,生成指定的密钥对,并使其与待获取的腹地文凭匹配;

·     PKI域中援用正确的PKI实体,并正确建立该PKI实体;

·     获取CRL;

·     与CA服务器经管员研究,并保证建立正确的源IP地址;

·     保合手系统时钟与CA一致。

1.15.3  腹地文凭央求失败 1. 故障表象

手工央求文凭失败。

2. 故障分析

可能有以下原因:

·     收罗一语气故障,如网线撅断,接口松动;

·     践诺央求操作之前PKI域中莫得CA文凭;

·     文凭央求的注册受理机构服务器URL位置不正确或未建立;

·     莫得建立文凭央求注册受理机构或建立不正确;

·     莫得建立PKI实体DN中必配参数或者建立参数不正确;

·     PKI域中莫得指定文凭央求使用的密钥对,或者PKI中指定的密钥对在央求流程中已被修改;

·     面前PKI域中有互斥的文凭央求措施正在运行;

·     未指定CA服务器可采用的PKI公约报文的源IP地址,或者指定的地址不正确;

·     斥地时钟与CA服务器的时钟不同步。

3. 处理流程

·     摒除物理一语气故障;

·     获取或者导入CA文凭;

·     可通过ping敕令测试注册服务器是否一语气通俗;

·     建立正确的文凭央求注册受理机构服务器URL;

·     检讨CA/RA注册战略,并对研究的PKI实体DN属性进行正确建立;

·     在PKI域中指定文凭央求使用的密钥对,或者删除斥地上PKI域中指定的密钥对并再行央求腹地文凭;

·     使用pki abort-certificate- request domain敕令住手正在运行的文凭央求措施;

·     与CA服务器经管员研究,并保证建立正确的源IP地址;

·     保合手系统时钟与CA一致。

1.15.4  CRL获取失败 1. 故障表象

获取CRL失败。

2. 故障分析

可能有以下原因:

·     收罗一语气故障,如网线撅断,接口松动;

·     获取CRL之前未先取得CA文凭;

·     未成立CRL发布点位置,且不行从PKI域中CA文凭或腹地文凭中获取正确的发布点;

·     成立的CRL发布点位置不正确;

·     不行获取CRL发布点的情况下,通过SCEP公约获取CRL,但此时PKI域中不存在腹地文凭,或腹地文凭的密钥对已被修改,或PKI域中莫得建立正确的文凭央求URL;

·     CRL发布点的URL建立中包含不完满的地址(莫得主机名或主机地址)且PKI域中莫得建立LDAP服务器或者建立不正确;

·     CA莫得签发CRL;

·     未指定CA服务器可采用的PKI公约报文的源IP地址,或者指定的地址不正确。

3. 处理流程

·     摒除物理一语气故障;

·     获取或导入CA文凭;

·     成立正确CRL发布点位置:建立包含完满地址的CRL发布点的URL或在PKI域中建立正确的LDAP服务器;

·     在无法获取CRL发布点的情况下,建立正确的文凭央求URL,并保证仍是获取了腹地文凭,且腹地保存的密钥对的公钥与腹地文凭的公钥匹配;

·     在CA上发布CRL;

·     与CA服务器经管员研究,并保证建立正确的源IP地址。

1.15.5  导入CA文凭失败 1. 故障表象

导入文凭失败。

2. 故障分析

可能有以下原因:

·     使能了CRL查验,但是腹地莫得CRL且无法获取到CRL;

·     指定的导入花样与骨子导入的文献花样不一致。

3. 处理流程

·     践诺undo crl check enable敕令,关闭CRL查验;

·     请说明导入的文献花样并弃取正确的导入花样。

1.15.6  导入腹地文凭失败 1. 故障表象

导入文凭失败。

2. 故障分析

可能有以下原因:

·     PKI域中莫得CA文凭且导入的腹地文凭中不含CA文凭链;

·     使能了CRL查验,但是腹地莫得CRL且无法获取到CRL;

·     指定的导入花样与骨子导入的文献花样不一致;

·     斥地上和文凭中皆莫得该腹地文凭对应的密钥对;

·     文凭仍是被铲除;

·     文凭不在灵验期;

·     系统时钟成立空虚。

3. 处理流程

·     获取或者导入CA文凭;

·     践诺undo crl check enable敕令,关闭CRL查验,或者先获取CRL;

·     请说明导入的文献花样并弃取正确的导入花样;

·     请导入包含私钥内容的文凭文献;

·     导入未被铲除的文凭;

·     导入还在灵验期内的文凭;

·     请再行成立正确的系统时钟。

1.15.7  导出文凭失败 1. 故障表象

导出文凭失败。

2. 故障分析

可能有以下原因:

·     以PKCS#12花样导出通盘文凭时PKI域中莫得腹地文凭;

·     用户所成立的导出息径不存在;

·     用户所成立的导出息径分歧法;

·     要导出的腹地文凭的公钥和它所属PKI域中的密钥对的公钥部分不匹配;

·     斥地磁盘空间已满。

3. 处理流程

·     获取或央求腹地文凭;

·     用mkdir敕令创建用户所需旅途;

·     成立正确的导出息径;

·     在PKI域中建立匹配的密钥对;

·     清算斥地磁盘空间王老撸。

1.15.8  成立存储旅途失败 1. 故障表象

成立文凭或CRL存储旅途失败。

2. 故障分析

可能有以下原因:

·     用户所成立的文凭或CRL存储旅途不存在;

·     用户所成立的文凭或CRL存储旅途分歧法;

·     斥地磁盘空间已满。

3. 处理流程

·     用mkdir敕令创建用户所需旅途;

·     成立正确的文凭或CRL存储旅途;

·     清算斥地磁盘空间。



上一篇:hongkongdoll onlyfans 对于专科工夫岗亭(三级)擢升责任的奉告
下一篇:没有了