网御星云防火墙中PKI使用手册.pdfVIP

PKI 使用手册 一、概述 2 二、CA 证书 2 三、本地证书 3 四、对端证书 6 五、CRL 6 六、scep 7 6.1、Scep 正常使用： 7 6.1.1、SCEP 的两种URL 格式 7 6.1.2、通过web 界面获得CA 7 6.1.3、通过web 界面注册证书 8 6.1.4、通过后台命令行下载CA 和注册证书 10 6.2、scep 故障诊断11 6.2.1、防火墙与scep 服务器之间不可达 11 6.2.2、注册证书时需要挑战而没有配置挑战码 12 6.2.3、注册证书时使用的CA 不正确 13 6.2.4、CA 机构没有使用自动颁发证书策略 14 6.2.5、URL 不正确 15 七、OCSP 16 7.1、ocsp 的正常配置: 16 7.1.1、ocsp 的URL 配置 16 7.1.2、ocsp 的配置 18 7.2、ocsp 常见故障诊断: 18 7.2.1、防火墙客户端与ocsp 服务器之间不可达 18 7.2.2、URL 配置错误 19 7.2.3、证书已吊销，但墙上查询到的状态非吊销 20 八、证书在隧道中的应用配置 22 九、调试命令 25 2 证书中心（PKI）的配置 一、概述 PKI 模块主要用于隧道协商的证书认证。整个模块包括CA 证书、本地证书、对端 证书、CRL、OCSP 、SCEP 组成。 菜单导航截图如下： 配置PKI 之前，首先的准备好待用的证书及CRL，下图为openssl 方式制作的证书： 注：没有特殊说明，下面操作的证书都为上图所示证书。 二、CA 证书 CA 证书部分主要包括CA 证书的导入、导出、删除等，及通用翻页、跳转控件。Web 界面显示如下： 2 2.1 、书进行导入操作，如上图点击导入，然后浏览准备好的CA 证书：openssl_CA，在命 令确定之后如下： 2.2 、择已的证书，在点击导出，保存在PC 上： 2.3 、删除按钮，先选中要删除的证书，在点击删除按钮即可。 三、本地证书 本地证书主要包括：生成请求文件、密钥外部导入、pfx 格式证书、导入、删除、导出、 导出请求文件等功能，web 界面显示如图： 2 3.1、生成请求文件，即为在墙上本地生成请求，然后结合导出请求文件按钮，导出请求到 CA 中心颁发，最后在配合导入按钮，导入颁发好的证书。 点击生成请求文件，在弹出的对话框中填写相应信息（满足字符组合即可）： 提交后如下图显示： 然后，导出该请求文件 2 到CA 中心签发后的证书为cert.cer ，如下图所示： 然后导入证书： 导入后显示如下： 3.2、密钥外部生成，即证书请求文件及证书信息都是外部设备生成，其包括证书信息和私 钥，点击 ：浏览要到如的证书及私钥， 导入成功后显示如图： 3.3、pfx 格式证书，其实也为证书外部导入，该证书格式是把证书与私钥结合到一起形成 pfx 格式。点击 ，浏览要导入的pfx 格式的证书 导 入： 导入后显示： 3.4 其中导出、删除按钮同CA 证书中一样，而导出请求文件按钮是与生成请求文件相结合 使用。 2 四、对端证书 对端证书主要包括：添加主题、pfx 格式证书、导入、删除、导出等功能。 4.1 、添加主题，点击 ，在弹出的对话框中填写相应消息，该主题信息为 对端证书的主题信息，假如为如下这样： 提交后如下： 4.2 、导入pfx 格式证书，即选择pfx 格式的证书导入，其中包括了证书和私钥，点击 ，弹出对话框选择要导入的pfx 格式的证书: 导入成功后