2020网络安全PKI配置指导手册.docx
《2020网络安全PKI配置指导手册.docx》由会员分享,可在线阅读,更多相关《2020网络安全PKI配置指导手册.docx(47页珍藏版)》请在第一文库网上搜索。
1、H3C网络安全PKI配置指导手册20231 PKI1-11.1 PKI简介1-11.1.1 概述1-11.1.2 相关术语1-11.1.3 体系结构1-21.1.4 PK1实体申请证书的工作过程1-31.1.5 主要应用1-31.1.6 证书申请支持MP1S13VPN1-41.2 PKI配置任务简介1-41.3 配置PK1实体1-51.4 配置PK1域1-61.5 申请证书1-91.5.1 自动申请证书1-91.5.2 手工申请证书1-101.6 停止证书申请过程1-111.7 手工获取证书1-111.8 配置证书验证1-121.8.1 配置使能CR1检查的证书验证1-131.8.2 配置不使
2、能CR1检查的证书验证1-141.9 配置证书和CR1的存储路径1-141.10 导出证书1-151.11 删除证书1-151.12 配置证书访问控制策略1-161.13 PK1显示和维护1-171.14 PK1典型配置举例1-171.14.1 PK1实体向CA申请证书(采用RSAKeonCA服务器)1-171.14.2 PK1实体向CA申请证书(采用WindOWS2003SerVerCA服务器)1-201.14.3 PK1实体向CA申请证书(采用OPenCA服务器)1-241.14.4 NAT-PT组网中PK1实体向CA申请证书(采用RSAKeC)nCA服务器)1-271.14.5 使用RS
3、A数字签名方法进行IKE协商认证(采用WindOWS2003SerVerCA服务器)1-301.14.6 证书属性的访问控制策略应用举例1-331.14.7 导出、导入证书应用举例1-351.15 常见配置错误举例1-401.15.1 获取CA证书失败1-401.15.2 获取本地证书失败1-411.15.3 本地证书申请失败1-411.15.4 CR1获取失败1-421.15.5 导入CA证书失败1-431.15.6 导入本地证书失败1-431.15.7 导出证书失败1-441.15.8 设置存储路径失败1-441PKI国说明设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变
4、化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。设备运行于低加密版本时,本特性部分配置相对于高加密版本有所变化,具体差异请见本文相关描述。可以通过安装相应的IiCenSe将设备从低加密版本升级为高加密版本,也可以通过卸载相应的1icense将升级为高加密版本的设备恢复为低加密版本。1.1 PK1简介1.1.1 概述PK1(Pub1icKeyInfrastructure,公钥基础设施)是一个利用公钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。公钥体制也称为非对称密钥体制,是目前已经得到广泛应用的一种密码体制。该体制使用一个公开的密
5、钥(公钥)和一个保密的密钥(私钥)进行信息的加密和解密,用公钥加密的信息只能用私钥解密,反之亦然。这样的一个公钥和其对应的一个私钥称为一个密钥对。公钥体制的这种特点使其可以应用于安全协议,实现数据源认证、完整性和不可抵赖性。PKI系统以数字证书的形式分发和使用公钥。数字证书是一个用户的身份和他所持有的公钥的结合。基于数字证书的PK1系统,能够为网络通信和网络交易(例如电子政务和电子商务)提供各种安全服务。目前,H3C的PK1特性可为安全协议IPsec(IPSecurity,IP安全)、SS1(SecureSockets1ayer,安全套接字层)提供证书管理机制。1.1.2 相关术语1. 数字证
6、书数字证书是经CA(CertificateAUthOrity,证书颁发机构)签名的、包含公钥及相关的用户身份信息的文件,它建立了用户身份信息与用户公钥的关联。CA对数字证书的签名保证了证书是可信任的。数字证书的格式遵循ITU-TX.509国际标准,目前最常用的为X.509V3标准。数字证书中包含多个字段,包括证书签发者的名称、被签发者的名称(或者称为主题)、公钥信息、CA对证书的数字签名、证书的有效期等。本手册中涉及四类证书:CA证书、RA(RegistrationAuthority,证书注册机构)证书、本地证书和对端证书。 CA证书是CA持有的证书。若PKI系统中存在多个CA,则会形成一个C
7、A层次结构,最上层的CA是根CA,它持有一个自签名的证书(即根CA对自己的证书签名),下一级CA证书分别由上一级CA签发。这样,从根CA开始逐级签发的证书就会形成多个可信任的链状结构,每一条路径称为一个证书链。 RA证书是RA持有的证书,由CA签发。RA受CA委托,可以为CA分担部分管理工作。RA在PK1系统中是可选的。 本地证书是本设备持有的证书,由CA签发。 对端证书是其它设备持有的证书,由CA签发。2. CR1(CertificateRevocation1ist,证书吊销列表)由于用户名称的改变、私钥泄漏或业务中止等原因,需要存在一种方法将现行的证书吊销,即废除公钥及相关的用户身份信息的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2020 网络安全 PKI 配置 指导 手册