PKI(公钥基础设施)技术采用证书管理公钥,通过第三方的可信任机构--认证中心 CA(Certificate Authority),把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在 Internet 上验证用户的身份。目前,通用的办法是采用建立在 PKI 基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。设备上的 PKI 本地证书主要包含三项配置:导入用户证书、导入第三方 CA证书、导入第三方 CA 的 CRL。这三个功能是相对独立又相互联系,即可以根据具体需要,导入不同的本地证书、不同的 CA 证书、不同的 CRL,但要验证某个终端证书时,需要导入该终端证书的 CA 书、CRL,以便对该终端证书进行验证。
对设备所要使用的客户端证书、第三方 CA 证书、第三方 CRL 进行导入导出配置。
配置通用证书
上传证书配置步骤
- 进入对象>CA 证书>本地证书>通用证书,点击导入通用证书
可以选择三种格式的证书上传
导入 PKCS12 格式证书
参数说明:
上传证书类型:可选择上传证书的类型,下拉菜单中可选项为 PKCS12 格式、证书密钥分离和证书链三种。
有密钥文件的证书:PKCS12 格式文件的位置。
密码:数字证书的密码。
注意:为保护私钥安全性,导入的 PKCS12 格式证书必须有密码保护。
导入证书密钥分离的证书。
参数说明:
上传证书类型:可选择上传证书的类型,下拉菜单中可选项为 PKCS12 格
式、证书密钥分离和证书链三种。
证书文件:数字证书文件位置。
密钥文件:数字证书私钥文件位置。
密码:加密私钥文件使用的密码。
导入证书链。
参数说明:
上传证书类型:可选择上传证书的类型,下拉菜单中可选项为 PKCS12 格
式、证书密钥分离和证书链三种。
证书链文件:通过浏览本地文件的形式选择待上传的证书链文件。
- 点击提交。
查看证书配置步骤
- 进入对象>CA 证书>本地证书>通用证书
该界面显示已导入的数字证书
- 点击
查看某一个证书的具体信息,显示证书详细信息。
参数说明:
主题:证书的主题列表,如果是证书链可以通过下拉框选择多个主题切换证书
证书名称:证书的名称
发行者:证书的发行者
主题:证书的主题
有效起始:证书生效的开始时间
有效终止:证书生效的终止时间
版本:证书的版本号
序列号:证书的序列号
扩展:证书的扩展信息
导出证书配置步骤
- 进入对象>CA 证书>本地证书>通用证书
- 点击
导出某一个证书,在弹出的窗口选择导出证书存放路径,点确定导出证书。
删除证书配置步骤
- 进入对象>CA 证书>本地证书>通用证书
- 点击
删除某一个证书。 - 点击确认删除证书。
注意:
如果证书之后对应的删除按钮处于灰化状态表示该证书正在
被应用或者该证书是默认证书,无法进行删除操作
配置国密证书
上传证书配置步骤
- 进入对象>CA 证书>本地证书>国密证书,点击导入国密证书
可以选择两种格式的证书上传
导入 PKCS12 格式证书
参数说明:
上传证书类型:可选择上传证书的类型,下拉菜单中可选项为 PKCS12 格式、证书密钥分离两种。
有密钥文件的证书:通过浏览本地文件的方式选择待上传的 PKCS12 格式国密证书。
密码:数字证书的密码。
注意:
为保护私钥安全性,导入的 PKCS12 格式证书必须有密码保护。
导入证书密钥分离的证书。
参数说明:
上传证书类型:可选择上传证书的类型,下拉菜单中可选项为 PKCS12 格式、证书密钥分离两种。
证书文件:通过浏览本地文件的形式选择待上传的证书文件。
密钥文件:通过浏览本地文件的形式选择待上传证书对应的密钥文件。
密码:待上传证书密钥文件的加密密码。
- 点击提交。
查看证书配置步骤
- 进入对象>CA 证书>本地证书>国密证书
该界面显示已导入的数字证书。
- 点击查看某一个证书的具体信息,显示证书详细信息。
参数说明:
主题:证书的主题列表,如果是证书链可以通过下拉框选择多个主题切换证书
证书名称:证书的名称
发行者:证书的发行者
主题:证书的主题
有效起始:证书生效的开始时间
有效终止:证书生效的终止时间
版本:证书的版本号
序列号:证书的序列号
扩展:证书的扩展信息
