202版H3C网络安全PKI配置指导手册VIP

H3C网络安全PKI配置指导手册2020PAGE\*romanPAGE\*romanii目录1PKI 1-1PKI简介 1-11.1.1概述 1-1相关术语 1-1体系结构 1-2PKI实体申请证书的工作过程 1-3主要应用 1-3证书申请支持MPLSL3VPN 1-4PKI配置任务简介 1-4配置PKI实体 1-5配置PKI域 1-6申请证书 1-9自动申请证书 1-9手工申请证书 1-10停止证书申请过程 1-11手工获取证书 1-11配置证书验证 1-12配置使能CRL检查的证书验证 1-13配置不使能CRL检查的证书验证 1-14配置证书和CRL的存储路径 1-141.10导出证书 1-151.11删除证书 1-15配置证书访问控制策略 1-16PKI显示和维护 1-17PKI典型配置举例 1-17PKI实体向CA申请证书（采用RSAKeonCA服务器） 1-17PKI实体向CA申请证书（采用Windows2003serverCA服务器） 1-20PKI实体向CA申请证书（采用OpenCA服务器） 1-24NAT-PT组网中PKI实体向CA申请证书（采用RSAKeonCA服务器） 1-27使用RSA数字签名方法进行IKE协商认证（采用Windows2003serverCA服务器） 1-30证书属性的访问控制策略应用举例 1-33导出、导入证书应用举例 1-35常见配置错误举例 1-40获取CA证书失败 1-40获取本地证书失败 1-41本地证书申请失败 1-41CRL获取失败 1-42导入CA证书失败 1-43导入本地证书失败 1-43导出证书失败 1-44设置存储路径失败 1-441-1-PAGE101PKIFIPSFIPSIS模式的详细介绍请参见“安全配置指导”中的“Ilicense将设备从低加密版本升级为高加密版本，也可以通过卸载相license将升级为高加密版本的设备恢复为低加密版本。PKI简介概述PKI（PublicKeyInfrastructure，公钥基础设施）是一个利用公钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。（公钥（私钥可以应用于安全协议，实现数据源认证、完整性和不可抵赖性。PKIPKI（例如电子政务和电子商务提供各种安全服务。PKI安全SocketsLayer，安全套接字层）提供证书管理机制。相关术语数字证书CAITU-TX.509X.509V3标准。数字证书中包含多（或者称为主题CA对证书的数字签名、证书的有效期等。本手册中涉及四类证书：CA证书、RA（RegistrationAuthority，证书注册机构）证书、本地证书和对端证书。CACAPKICACA层次结构，最上AA（AA证书CACA每一条路径称为一个证书链。RARACARACACARAPKI系统中是可选的。CA签发。CA签发。CRL（CertificateRevocationList，证书吊销列表）PKICRLCRL中会列出所有被吊销的证书的序列号。因此，CRL提供了一种检验证书有效性的方式。CA策略CA策略是指CA在受理证书请求、颁发证书、吊销证书和发布CRL时所采用的一套标准。通常，CA以一种叫做CPS（CertificationPracticeStatement，证书惯例声明）的文档发布其策略。CA策略可以通过带外（如电话、磁盘、电子邮件等）或其它方式获取。由于不同的CA使用不同的策略，所以在选择信任的CA进行证书申请之前，必须理解CA策略。体系结构一个PKI体系由终端PKI实体、CA、RA和证书/CRL发布点四类实体共同组成，如下图1-1。图1-1PKI体系结构图终端PKI实体PKIPKI（或计算机PKI实体。CA（CertificateAuthority，证书颁发机构）CA是一个用于签发并管理数字证书的可信PKI实体。其作用包括：签发证书、规定证书的有效期和发布CRL。RA（RegistrationAuthority，证书注册机构）RACAPKICACAPKICACACA的私钥。证书/CRL发布点证书/CRLCRL进行存储和管理，并提供查询功能。通常，证书/CRL发LDAP（LightweightDirectoryAccessProtocol，轻量级目录访问协议）协议、HTTPLDAP协议，它提供了一种访问发布点的方式。LDAPCA/RACRL进行存储，并LDAPCRL。PKI实体申请证书的工作过程下面是一个PKI实体向CA申请本地证书的典型工作过程，其中由RA来完成PKI实体的注册：PKIRA提出证书申请；RAPKIPKICA；CAPKI实体的申请，并颁发证书；RACALDAP（或其它形式的发布点上以提供目录浏PKI实体证书发布成功；PKISCEP（SimpleCertificateEnrollmentProtocol，简单证书注册协议）RA处PKI实体使用加密、数字签名进行安全通信。主要应用PKIPKI下面给出几个应用实例。VPN（VirtualPrivateNetwork，虚拟专用网络）VPN（PKI上的加密与数字签名技术来获得完整性保护。安全电子邮件S/MIME（Secure/MultipurposeInternetMailExtensions，安全/Internet邮件扩充协议)，PKI技术。Web安全WebSSLPKI证。证书申请支持MPLSL3VPNVPNVPN之间的业务相互隔离。如果各分支机构的用户要通过位于总部VPNPKI证书申请支持MPLSL3VPN。如1-2PKIentity的PEMPLSL3VPN将私网客户端PKIentity的证书申请报文透传给网络另一端的CAserver，CAserverPE设备将CAserver签发的证书也通过MPLSL3VPN透传回PKIentity，满足了私网VPN业务隔离情况下的证书申请。MPLSVPN的相关介绍请参见“SMPLSVP图1-2MPLSL3VPNPKI配置任务简介表1-1PKI配置任务简介配置任务说明详细配置配置PKI实体必选1.3配置PKI域必选1.4申请证书自动申请证书二者必选其一1.5.1手工申请证书1.5.2停止证书申请过程可选1.6手工获取证书可选1.7配置证书验证可选1.8配置证书和CRL的存储路径可选1.9导出证书可选1.10删除证书可选1.11配置证书属性的访问控制策略可选1.12配置PKI实体一份证书是一个公钥与一个实体身份信息的绑定。PKI实体的参数是PKI实体的身份信息，CA根据PKI实体提供的身份信息来唯一标识证书申请者。一个有效的PKI实体参数中必须至少包括以下参数之一：DN（DistinguishedName，识别名），包含以下参数：DN参数，实体的通用名必须配置。CNUS”是美国的合法国家代码实体所在地理区域名称实体所属组织名称实体所属组织部门名称实体所属州省FQDN（FullyQualifiedDomainName，完全合格域名），PKI实体在网络中的唯一标识IP地址配置PKI实体时，需要注意的是：PKICACAPKIPKICA证书颁发策略，否则证书申请可能会失败。Windows2000CASCEP插件对证书申请的数据长度有一定的限制。PKI实体配置PKI2000CACA服务器（RSA服务器和OpenCA服务器）目前没有这种限制。表1-2PKI实体操作命令说明进入系统视图system-view-创建一个PKI实体，并进入该PKI实体视图pkientityentity-name缺省情况下，无PKI实体存在设备支持创建多个PKI实体配置PKI实体的通用名common-namecommon-name-sting缺省情况下，未配置PKI实体的通用名配置PKI实体所属国家代码countrycountry-code-string缺省情况下，未配置PKI实体所属国家代码配置PKI实体所在地理区域名称localitylocality-name缺省情况下，未配置PKI实体所在地理区域名称配置PKI实体所属组织名称organizationorg-name缺省情况下，未配置PKI实体所属组织名称配置PKI实体所属组织部门名称organization-unitorg-unit-name缺省情况下，未配置PKI实体所属组织部门名称配置PKI实体所属州或省的名称statestate-name缺省情况下，未配置PKI实体所属州或省的名称操作命令说明配置PKI实体的FQDNfqdnfqdn-name-string缺省情况下，未配置PKI实体的FQDN配置PKI实体的IP地址ip{ip-address|interfaceinterface-typeinterface-number}缺省情况下，未配置PKI实体的IP地址配置PKI域PKIPKIPKI域。PKI域是一个本地概念，创建PKI域的目的是便于其它应用（比如IKE、SSL）引用PKI的配置。PKI域中包括以下参数：CA名称PKICAPKICACACACASCEPCA服务器。一般情况下，CACACAURL是PKICACACA证书时使用，申请本地证书时不会用到。PKI实体名称向CA发送证书申请请求时，必须指定所使用的PKI实体名，以向CA表明自己的身份。证书申请的注册受理机构证书申请的受理一般由一个独立的注册机构（即RA）PKICARA，但这并PKICARA册受理机构。URL证书申请之前必须指定注册受理机构服务器的URL，PKI实体通过SCEP（SimpleCertificateEnrollmentURLSCEP是专门用于与认证机构进行通信的协议。证书申请状态的查询周期和最大次数PKICA查询周期和最大次数。LDAP服务器主机名PKILDAPCRLLDAP服务器的位置。CA根证书时使用的指纹CA根证书的指纹，即根证书内容的散列值，该值对于每一个证书都是唯一的。PKI域中可以指定验证CA根证书时使用的指纹，缺省情况下未指定该指纹。当设备从CA获得根证书时，可能需要验证CA根证书的指纹，具体包括以下两种情况：CACACA证书链中包含了设备上没有的CACA根证书的指纹。如果PKICAPKICACACAPKIIKE协商等应用触发设备进行本地证书申请时，如果配置的证书申请方式为自动方式，且CACACACA证书链中包CACAPKI域中指定了验证根证CAPKICAPKI域中未指定验证根证书的指纹，则本地证书申请的操作会失败。证书申请使用的密钥对CAPKI域中可以引用三种算法的DSAECDSARSADSAECDSARSA密钥对法和密钥模数长度生成相应的密钥对。证书的扩展用途设备支持的证书扩展用途包括以下几种：IKE使用SSL客户端使用SSL服务器端使用CAPKI域中指定的配置不完全一致。应用程序（IKE，SSL）使用这些用途，由应用程序的策略决定。PKIIP地址PKIPKIIPCA服务器上的策略要求仅接受来自指定地址或网段的证书申请时，则需要通过配置指定该地址。表1-3PKI域配置任务命令说明进入系统视图system-view-创建一个PKI域，并进入PKI域视图pkidomaindomain-name缺省情况下，不存在PKI域配置设备信任的CA名称caidentifiername域中没有CA取CACA须配置信任的CA名称缺省情况下，未配置信任的CA名称配置任务命令说明指定用于申请证书的PKI实体名称certificaterequestentityentity-name缺省情况下，未指定用于申请证书的PKI实体名称配置证书申请的注册受理机构certificaterequestfrom{ca|ra}缺省情况下，未指定证书申请的注册受理机构配置注册受理机构服务器的URLcertificaterequesturlurl-string[vpn-instancevpn-instance-name]缺省情况下，未指定注册受理机构服务器的URL（可选）配置证书申请状态查询的周期和最大次数certificaterequestpolling{countcount|intervalminutes}缺省情况下，证书申请查询间隔为20分钟，最多查询50次需要通过LDAP协议获取证书时，指定LDAP服务器ldap-serverhosthostname[portport-number][vpn-instancevpn-instance-name]此配置必选；需要通过LDAP协议获取CRL时，如果CRL的URL中未包含发布点地址信息，则此配置必选缺省情况下，未指定LDAP服务器配置验证CA根证书时使用的指纹非FIPS模式下：root-certificatefingerprint{md5|sha1}stringFIPS模式下：当证书申请方式为自动方式时，此配置必选；当证书申请方式为手工方式时，此配置可选，若不配置，需要用户自行验证根证书指纹root-certificatefingerprintsha1string缺省情况下，未指定验证根证书时使用的指纹（三者选其一定证书申请时使用的密钥对指定RSA密钥对public-keyrsa{{encryptionnameencryption-key-name[lengthkey-length]|signaturenamesignature-key-name[lengthkey-length]}*|generalnamekey-name[lengthkey-length]}缺省情况下，未指定所使用的密钥对指定ECDSA密钥对public-keyecdsanamekey-name指定DSA密钥对public-keydsanamekey-name[lengthkey-length]（可选）指定证书的扩展用途usage{ike|ssl-client|ssl-server}*缺省情况下，证书可用于所有用途（二者可选其一指定PKI协议报文使用的源IP地址sourceip{ip-address|interface{interface-typeinterface-number}缺省情况下，PKI操作产生的协议报文的源IP地址为系统根据路由查找到的出接口的地址sourceipv6{ipv6-address|interface{interface-typeinterface-number}}申请证书PKICA自我介绍的过程。PKICA提供身份信息，以及相应的PKI实体证书的主要组成部分。PKICA离线和在线两种方式。离线申请方式下，CA允许申请方通过带外方式（如电话、磁盘、电子邮件等）CA请信息。SCEPCA请两种方式。下文将详细介绍这两种方式的具体配置。自动申请证书CACA请。这种情况下，可能会由于证书过期造成应用协议的业务中断。PKIPKI实体无本地证书（例如，IE协商采用数字签名方法进行身份认证，但在协商过程中没有发现本地证书，则PKISCEPCA发起证书申请，并在申请成功后将本地证书获取到本地保存。PKICACA证书。在申请过程中，PKIPKI域中指定的名字、算法和长度生成相应的密钥对。需要注意的是，本地证书已存在的情况下，为保证密钥对与现存证书的一致性，不建议执行命令public-keylocalcreatepublic-keylocaldestroy创建或删除与现存证书使用的密钥对相同名public-keylocalcreatepublic-keylocaldestroy删除表1-4自动申请证书操作命令说明进入系统视图system-view-进入PKI域视图pkidomaindomain-name-缺省情况下，证书申请为手工方式配置证书申请为自动方式certificaterequestmodeauto[password{cipher|simple}password]指定吊销证书时使用的口令令是由CA服务器的策略决定的手工申请证书申请证书之前必须保证设备的系统时钟与CA的时钟同步，否则设备可能会错误地认为证书不在有效期内，导致申请证书失败。调整系统时钟的方法请参见“基础配置指导”中的“设备管理”。配置证书申请方式为手工方式后，需要手工执行申请本地证书的操作。手工申请成功后，设备将把申请到的本地证书自动获取到本地保存。配置限制和指导PKIDSAECDSARSADSAECDSAPKIRSA算法时，一个PKIRSARSA算法本地证书。PKI域中已存在一个本地证书，为保证密钥对与现存证书的一致性，不建议执行命public-keylocalcreatepublic-keylocaldestroy创建或删除与现存证书使用的密钥对相同名称的密钥对，否则会导致现存证书不可用。若要重新申请本地证书，必须首先删除public-keylocalcreatepublic-keylocaldestroy删除旧的密钥对。有关该命令的详细介绍，请参见“安全命令参考”中的“公钥管理”。PKI域中已存在一个本地证书，则不允许再手工执行在线证书申请操作申请一个与其互斥的证书，以避免因相关配置的修改使得证书与注册信息不匹配。若想重新申请，请先pkidelete-certificatepkirequest-certificatedomain命令。SCEPCApkirequest-certificatedomainpkcs10打印出证书申请信息到终端上，或者通过执行指定pkirequest-certificatedomainpkcs10filename将证书申请信息保存到指定的文件中，然后再通过带外方式将这些本地证书申请信息发送给CA进行证书申请。配置准备PKICA证书且指定了证书申请时使用的密钥对。PKICAPKI域中没有CA证书，则需要手工获取CA证书。PKIPKICA进行签名，从而产生本地证书。配置步骤表1-5手工申请证书操作命令说明进入系统视图system-view-操作命令说明进入PKI域视图pkidomaindomain-name-配置证书申请为手工方式certificaterequestmodemanual缺省情况下，证书申请为手工方式退回系统视图quit-手工获取CA证书请参见1.7-此命令不会被保存在配置文件中手工申请本地证书或生成PKCS#10证书申请pkirequest-certificatedomaindomain-name[passwordpassword][pkcs10[filenamefilename]]执行本命令时，如果本地不存在PKI长度自动生成对应的密钥对停止证书申请过程FQDNpkicertificaterequest-status命令查询正在进行中的证书申请过程。另外，删除PKI域也可以停止对应的证书申请过程。表1-6停止证书申请过程操作命令说明进入系统视图system-view-停止证书申请过程pkiabort-certificate-requestdomaindomain-name此命令不会被保存在配置文件中手工获取证书CAPKIPKIPKI证书发布点查询的次数。CAPKI证书有两种方式：离线导入方式和在线方式。离线导入方式：通过带外方式（FTP、磁盘、电子邮件等）取得证书，然后将其导入至本CA服务器不支持通过SCEPCA服务器生成，则可采用此方式获取证书。SCEPCA证书和通过LDAP协议获取本地或对端证书。配置限制和指导CACApkidelete-certificateCACA证书的命令。如果PKIRSAPKI签名用途的证书和一个加密用途的证书，不同用途的证书不会相互覆盖。CRLCRLCRL检查时发现待获取的证书已经吊销，则获取证书失败。因此请确保设备系统时间的准确性。配置准备获取本地证书或对端证书之前必须完成以下操作：LDAPPKILDAP服务器的配置。FTPTFTPFTPTFTPPEM（PrivacyEnhancedMail，增强保密邮件）格式的，因PEM格式的证书内容为可打印字符。CACAPKICACA证书链。导入对端证书时，需要满足的条件与导入本地证书相同。CA员取得该口令。配置步骤表1-7手工获取证书操作命令说明进入系统视图system-view-手工获取证书离线导入方式pkiimportdomaindomain-name{der{ca|local|peer}filenamefilename|p12localfilenamefilename|pem{ca|local|peer}[filenamefilename]}pkiretrieve-certificate命令不会被保存在配置文件中在线方式pkiretrieve-certificatedomaindomain-name{ca|local|peerentity-name}配置证书验证CACAPKI功能有任何前述操作的情况下单独执行证书的验证，可以手工执行证书验证。CRL检查。CRLPKI实体的证书是否被CAPKIPKI实体信任。CRLCRLCRL。PKICRL发布URLCA证书中记录的发布点（若待验证的证书为CACA证书中记录的发布点SCEPCRLSCEPCRLCA证书和本地证书之后CACRL检查的情况PKICRL、CRLCRL检查时发现待获取的证书已经吊销，则手动申请证书、获取证书的操作将会失败。CRLCRL。PKICACACA证CACAPKI域。验证某CACA证书的签发者名（IssuerName）CA证书，CA证书所属的（一个或多个）PKIPKIPKI域中使能CRLPKICA证书进行吊销检查，否则不检查待验证的CACACA除外CACA证书链的签发关系。配置使能CRL检查的证书验证表1-8CRL检查的证书验证操作命令说明进入系统视图system-view-进入PKI域视图pkidomaindomain-name-（可选）配置CRL发布点的URLcrlurlurl-string[vpn-instancevpn-instance-name]缺省情况下，未指定CRL发布点的URL使能CRL检查crlcheckenable缺省情况下，CRL检查处于开启状态退回系统视图quit-获取CA证书请参见1.7在进行本地证书验证操作之前必须首先获取CA证书验证非根CA证书和本地证书时，如果PKI域中没有CRL，系统会自动获取CRL再进行验证；如果PKI域已经存在（可选）获取CRL并下载至本地pkiretrieve-crldomaindomain-nameCRL，则可以继续获取CRL，获取到的新CRL会覆盖已有CRL获取到的CRL不一定是本域CA签发的，但肯定是本域CA证书链上的一个CA证书签发的验证证书的有效性验证证书的有效性pkivalidate-certificatedomaindomain-name{ca|local} -操作 命令 说明配置不使能CRL检查的证书验证表1-9CRL检查的证书验证操作命令说明进入系统视图system-view-进入PKI域视图pkidomaindomain-name-禁止CRL检查undocrlcheckenable缺省情况下，CRL检查处于开启状态退回系统视图quit-获取CA证书请参见1.7在进行本地证书验证操作之前必须首先获取CA证书验证证书的有效性pkivalidate-certificatedomaindomain-name{ca|local}此命令不会被保存在配置文件中配置证书和CRL的存储路径CRLCRL保存配置。获取到本地的证书和CRL有默认存储路径，但同时也允许用户根据自己的需要修改证书文件和CRL文件的存储路径。证书和CRL的存储路径可以指定为不同的路径。CRL（以.cer和.p12为后缀的文件CRL文件（以.crl为后缀的文件）将被移动到新路径下保存。表1-10CRL的存储路径操作命令说明进入系统视图system-view-缺省情况下，证书和CRL的存储路径为配置证书和CRL的存储路径pkistorage{certificates|crls}dir-path设备存储介质上的PKI目录对于分布式设备，dir-path只能是当前主控板上的路径，不能是其它主控板上的路径导出证书以PKCS12格式导出所有证书时，PKI域中必须有本地证书，否则会导出失败。PKI域中已存在的CA证书、本地证书可以导出到文件中保存或导出到终端上显示，导出的证书可以用于证书备份或供其它设备使用。PEM书才支持。RSA证书时，设备上实际保存证书的证书文件名称并不一定是用户指定的名称，它与本地证书的密钥对用途相关，具体的命名规则请参见命令手册。表1-11导出证书操作命令说明进入系统视图system-view-导出DER格式的证书pkiexportdomaindomain-nameder{all|ca|local}filenamefilename根据需要选择其中一个或多个导出PKCS12格式的证书pkiexportdomaindomain-namep12{all|local}passphrasep12passwordstringfilenamefilename导出PEM格式的证书低加密版本中：pkiexportdomaindomain-namepem{{all|local}[des-cbcpempasswordstring]|ca}[filenamefilename]高加密版本中：pkiexportdomaindomain-namepem{{all|local}[{3des-cbc|aes-128-cbc|aes-192-cbc|aes-256-cbc|des-cbc}pempasswordstring]|ca}[filenamefilename]删除证书删除CA证书时将同时删除所在PKI域中的本地证书、所有对端证书以及CRL。CACA过此配置删除已经存在的本地证书、CA证书或对端证书。public-keylocaldestroypublic-keylocalcreate表1-12配置删除证书操作命令说明进入系统视图system-view-配置删除证书pkidelete-certificatedomaindomain-name{ca|local|peer[serialserial-num]}如果没有指定序列号，则删除所有对端证书配置证书访问控制策略HTTPS（HypertextTransferProtocolSecure，超文本传输协议的安全版本）应用中，HTTPS服务器可以通过引用证书访问控制策略，根据自身的安全需要对客户端的证书合法性进行检测。一个证书访问控制策略中可以定义多个证书属性的访问控制规则（rule命令配置问控制规则都与一个证书属性组关联。一个证书属性组是一系列属性规则（attribute命令配置）的集合，这些属性规则是对证书的颁发者名、主题名以及备用主题名进行过滤的匹配条件。如果一个证书中的相应属性能够满足一条访问控制规则所关联的证书属性组中所有属性规则的要规则的匹配结果决定了证书的有效性，具体如下：permit测且有效。deny且无效。测而被认为无效。置任何属性，则认为被检测的证书都能够与此规则匹配。（HTTPS）效。表1-13配置证书访问控制策略操作命令说明进入系统视图system-view-创建证书属性组，并进入证书属性组视图pkicertificateattribute-groupgroup-name缺省情况下，不存在证书属性组（可选）证书主题名及备用主题名的属性规则attributeid{alt-subject-name{fqdn|ip}|{issuer-name|subject-name}{dn|fqdn|ip}}{ctn|equ|nctn|nequ}attribute-value缺省情况下，对证书颁发者名、证书主题名及备用主题名没有限制退回系统视图quit-操作命令说明创建证书访问控制策略，并进入证书访问控制策略视图pkicertificateaccess-control-policypolicy-name缺省情况下，不存在证书访问控制策略配置证书属性的访问控制规则rule[id]{deny|permit}group-name通过该控制策略的过滤一个证书访问控制策略中可配置多个访问控制规则PKI显示和维护displayPKI表1-14PKI显示和维护操作命令显示证书内容displaypkicertificatedomaindomain-name{ca|local|peer[serialserial-num]}显示证书申请状态displaypkicertificaterequest-status[domaindomain-name]显示存储在本地的CRLdisplaypkicrldomaindomain-name显示证书属性组的配置信息displaypkicertificateattribute-group[group-name]显示证书访问控制策略的配置信息displaypkicertificateaccess-control-policy[policy-name]PKI典型配置举例WindowsServerCA时，需要安装SCEPPKI域时，需certificaterequestfromraPKIRA注册申请证书。RSAKeonSCEPPKI域时，需要使用certificaterequestfromca命令指定PKI实体从CA注册申请证书。OpenCASCEPPKI域时，需要使用certificaterequesetfromra命令指定PKI实体从RA注册申请证书。PKI实体向CA申请证书（采用RSAKeonCA服务器）组网需求配置PKI实体Device向CA服务器申请本地证书。组网图图1-3PKI实体向CA申请证书组网图配置步骤CA服务器CAmycaNicknameSubjectDNA名称（myc，tNANCN、OU、OC。配置扩展属性CAJurisdictionConfiguration发证书的地址范围。CACRL。DevicePKI实体#配置PKI实体名称为aaa，通用名为Device。<Device>system-view[Device]pkientityaaa[Device-pki-entity-aaa]common-nameDevice[Device-pki-entity-aaa]quitPKI域#创建并进入PKI域torsa。[Device]pkidomaintorsa#配置设备信任的CA的名称为myca。[Device-pki-domain-torsa]caidentifiermycaURLhttp://host:port/IssuingJurisdictionIDIssuingJurisdictionIDCA16进制字符串。[Device-pki-domain-torsa]certificaterequesturl2:446/80f6214aa8865301d07929ae481c7ceed99f95bd#配置证书申请的注册受理机构为CA。[Device-pki-domain-torsa]certificaterequestfromca#指定PKI实体名称为aaa。[Device-pki-domain-torsa]certificaterequestentityaaa#配置CRL发布点位置。[Device-pki-domain-torsa]crlurlldap://2:389/CN=mycaabc1024[Device-pki-domain-torsa]public-keyrsageneralnameabclength1024[Device-pki-domain-torsaquitRSA算法的本地密钥对[Device]public-keylocalcreatersanameabcTherangeofpublickeysizeis(512~2048).Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.PressCTRL+Ctoabort.Inputthemoduluslength[default=1024]:GeneratingKeys++++++++++++Createthekeypairsuccessfully.证书申请#获取CA证书并下载至本地。[Device]pkiretrieve-certificatedomaintorsacaThetrustedCA'sfingerprintis:MD5fingerprint:EDE90394A273B61AF1B30072A0B1F9ABSHA1fingerprint:77F9A0772FB8088C550BA33C2410D35423B273A8Isthefingerprintcorrect?(Y/N):yRetrievedthecertificatessuccessfully.#手工申请本地证书。（采用RSAKeonCA服务器申请证书时，必须指定password参数）[Device]pkirequest-certificatedomaintorsapassword1111Starttorequestthegeneralcertificate...……Certificaterequestedsuccessfully.验证配置#通过以下显示命令可以查看申请到的本地证书信息。[Device]displaypkicertificatedomaintorsalocalCertificate:Data:Version:3(0x2)SerialNumber:15:79:75:ec:d2:33:af:5e:46:35:83:bc:bd:6e:e3:b8SignatureAlgorithm:sha1WithRSAEncryptionIssuer:CN=mycaValidityNotBefore:Jan603:10:582013GMTNotAfter:Jan603:10:582014GMTSubject:CN=DeviceSubjectPublicKeyInfo:PublicKeyAlgorithm:rsaEncryptionPublic-Key:(1024bit)Modulus:00:ab:45:64:a8:6c:10:70:3b:b9:46:34:8d:eb:1a:a1:b3:64:b2:37:27:37:9d:15:bd:1a:69:1d:22:0f:3a:5a:64:0c:8f:93:e5:f0:70:67:dc:cd:c1:6f:7a:0c:b1:57:48:55:81:35:d7:36:d5:3c:37:1f:ce:16:7e:f8:18:30:f6:6b:00:d6:50:48:23:5c:8c:05:30:6f:35:04:37:1a:95:56:96:21:95:85:53:6f:f2:5a:dc:f8:ec:42:4a:6d:5c:c8:43:08:bb:f1:f7:46:d5:f1:9c:22:be:f3:1b:37:73:44:f5:2d:2c:5e:8f:40:3e:36:36:0d:c8:33:90:f3:9bExponent:65537(0x10001)X509v3extensions:X509v3CRLDistributionPoints:FullName:DirName:CN=mycaSignatureAlgorithm:sha1WithRSAEncryption73:54:61:4b:a2:4c:09:bb:9f:f9:70:c7:f8:81:82:f5:6c:af:25:64:a5:99:d1:f6:ec:4f:22:e8:6a:96:58:6c:c9:47:46:8c:f1:ba:89:b8:af:fa:63:c6:c9:77:10:45:0d:8f:a6:7f:b9:e8:25:90:4a:8e:c6:cc:b8:1a:f8:e0:bc:17:e0:6a:11:ae:e7:36:87:c4:b0:49:83:1c:79:ce:e2:a3:4b:15:40:dd:fe:e0:35:52:ed:6d:83:31:2c:c2:de:7c:e0:a7:92:61:bc:03:ab:40:bd:69:1b:f5关于获取到的CA证书的详细信息可以通过相应的显示命令来查看，此处略。具体内容请参考命令displaypkicertificatedomain。PKI实体向CA申请证书（采用Windows2003serverCA服务器）组网需求配置PKI实体Device向CA服务器申请本地证书。组网图图1-4PKI实体向CA申请证书组网图配置步骤CA服务器安装证书服务器组件打开[控制面板]/[添加/删除程序[添加/Windows组件]AA（myc。SCEP插件Windows2003serverCASCEP插地址即为设备上配置的注册服务器地址。修改证书服务的属性完成上述配置后，打开[控制面板/管理工具]中的[证书颁发机构]，如果安装成功，在[颁发的证书]CARA的证书。选择[CAserver属性]中的“策略模块”的属性为“如果可以的话，按照证书模板中的设置。否则，将自动颁发证书(F)IIS服务的属性打开[控制面板/管理工具]中的[Internet信息服务(IIS)管理器]，将[]中“主目录”的本端口号为未使用的端口号（。以上配置完成之后，还需要保证设备的系统时钟与CA的时钟同步才可以正常使用设备来申请证书。DevicePKI实体#配置PKI实体名称为aaa，通用名为test。<Device>system-view[Device]pkientityaaa[Device-pki-entity-aaa]common-nametest[Device-pki-entity-aaa]quitPKI域#创建并进入PKI域winserver。[Device]pkidomainwinserver#配置设备信任的CA的名称为myca。[Device-pki-domain-winserver]caidentifiermyca#http:/host:portcersv/mscep/mscep.dl为CA服务器的主机地址和端口号。[Device-pki-domain-winserver]certificaterequesturl:8080/certsrv/mscep/mscep.dll#配置证书申请的注册受理机构为RA。[Device-pki-domain-winserver]certificaterequestfromra#指定PKI实体名称为aaa。[Device-pki-domain-winserver]certificaterequestentityaaaabc1024[Device-pki-domain-winserver]public-keyrsageneralnameabclength1024[Device-pki-domain-winserverquitRSA算法的本地密钥对[Device]public-keylocalcreatersanameabcTherangeofpublickeysizeis(512~2048).Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.PressCTRL+Ctoabort.Inputthemoduluslength[default=1024]:GeneratingKeys++++++++++++Createthekeypairsuccessfully.证书申请#获取CA证书并下载至本地。[Device]pkiretrieve-certificatedomainwinservercaThetrustedCA'sfingerprintis:MD5fingerprint:766CD2C89E46845B4DCE439C1C1F83ABSHA1fingerprint:97E5DDEDAB39314175FBDB5CE7F8D7D77C9B97B4Isthefingerprintcorrect?(Y/N):yRetrievedthecertificatessuccessfully.#手工申请本地证书。[Device]pkirequest-certificatedomainwinserverStarttorequestthegeneralcertificate...……Certificaterequestedsuccessfully.验证配置#通过以下显示命令可以查看申请到的本地证书信息。[Device]displaypkicertificatedomainwinserverlocalCertificate:Data:Version:3(0x2)SerialNumber:(Negative)01:03:99:ff:ff:ff:ff:fd:11SignatureAlgorithm:sha1WithRSAEncryptionIssuer:CN=secValidityNotBefore:Dec2407:09:422012GMTNotAfter:Dec2407:19:422013GMTSubject:CN=testSubjectPublicKeyInfo:PublicKeyAlgorithm:rsaEncryptionPublic-Key:(2048bit)Modulus:00:c3:b5:23:a0:2d:46:0b:68:2f:71:d2:14:e1:5a:55:6e:c5:5e:26:86:c1:5a:d6:24:68:02:bf:29:ac:dc:31:41:3f:5d:5b:36:9e:53:dc:3a:bc:0d:11:fb:d6:7d:4f:94:3c:c1:90:4a:50:ce:db:54:e0:b3:27:a9:6a:8e:97:fb:20:c7:44:70:8f:f0:b9:ca:5b:94:f0:56:a5:2b:87:ac:80:c5:cc:04:07:65:02:39:fc:db:61:f7:07:c6:65:4c:e4:5c:57:30:35:b4:2e:ed:9c:ca:0b:c1:5e:8d:2e:91:89:2f:11:e3:1e:12:8a:f8:dd:f8:a7:2a:94:58:d9:c7:f8:1a:78:bd:f5:42:51:3b:31:5d:ac:3e:c3:af:fa:33:2c:fc:c2:ed:b9:ee:60:83:b3:d3:e5:8e:e5:02:cf:b0:c8:f0:3a:a4:b7:ac:a0:2c:4d:47:5f:39:4b:2c:87:f2:ee:ea:d0:c3:d0:8e:2c:80:83:6f:39:86:92:98:1f:d2:56:3b:d7:94:d2:22:f4:df:e3:f8:d1:b8:92:27:9c:50:57:B

f3:a1:18:8b:1c:41:ba:db:69:07:52:c1:9a:3d:b1:2d:78:ab:e3:97:47:e2:70:14:30:88:af:f8:8e:cb:68:f9:6f:07:6e:34:b6:38:6a:a2:a8:29:47:91:0e:25:39Exponent:65537(0x10001)X509v3extensions:X509v3KeyUsage:DigitalSignature,NonRepudiation,KeyEncipherment,DataEncipX509v3SubjectKeyIdentifier:C9:BB:D5:8B:02:1D:20:5B:40:94:15:EC:9C:16:E8:9D:6D:FD:9F:34X509v3AuthorityKeyIdentifier:keyid:32:F1:40:BA:9E:F1:09:81:BD:A8:49:66:FF:F8:AB:99:4A:30:21:9X509v3CRLDistributionPoints:FullName:URI:file://\\g07904c\CertEnroll\sec.crlAuthorityInformationAccess:CAIssuers-\hURI:http://gc/CertEnroll/gc_sec.crtCAIssuers-URI:file://\\gc\CertEnroll\gc_sec.crt.4.1.311.20.2:.0.I.P.S.E.C.I.n.t.e.r.m.e.d.i.a.t.e.O.f.f.l.i.n.eSignatureAlgorithm:sha1WithRSAEncryption76:f0:6c:2c:4d:bc:22:59:a7:39:88:0b:5c:50:2e:7a:5c:9d:6c:28:3c:c0:32:07:5a:9c:4c:b6:31:32:62:a9:45:51:d5:f5:36:8f:47:3d:47:ae:74:6c:54:92:f2:54:9f:1a:80:8a:3f:b2:14:47:fa:dc:1e:4d:03:d5:d3:f5:9d:ad:9b:8d:03:7f:be:1e:29:28:87:f7:ad:88:1c:8f:98:41:9a:db:59:ba:0a:eb:33:ec:cf:aa:9b:fc:0f:69:3a:70:f2:fa:73:ab:c1:3e:4d:12:fb:99:31:51:ab:c2:84:c0:2f:e5:f6:a7:c3:20:3c:9a:b0:ce:5a:bc:0f:d9:34:56:bc:1e:6f:ee:11:3f:7c:b2:52:f9:45:77:52:fb:46:8a:ca:b7:9d:02:0d:4e:c3:19:8f:81:46:4e:03:1f:58:03:bf:53:c6:c4:85:95:fb:32:70:e6:1b:f3:e4:10:ed:7f:93:27:90:6b:30:e7:81:36:bb:e2:ec:f2:dd:2b:bb:b9:03:1c:54:0a:00:3f:14:88:de:b8:92:63:1e:f5:b3:c2:cf:0a:d5:f4:80:47:6f:fa:7e:2d:e3:a7:38:46:f6:9e:c7:57:9d:7f:82:c7:46:06:7d:7c:39:c4:94:41:bd:9e:5c:97:86:c8:48:de:35:1e:80:14:02:09:ad:08关于获取到的CA证书的详细信息可以通过相应的显示命令来查看，此处略。具体内容请参考命令displaypkicertificatedomain。PKI实体向CA申请证书（采用OpenCA服务器）组网需求配置PKI实体Device向CA服务器申请本地证书。组网图图1-5PKI实体向CA申请证书组网图配置步骤CA服务器配置过程略，具体请参考OpenCA服务器的相关手册。需要注意的是：OpenCArpm包进行安装，OpenCA0.9.2以后的版本SCEP0.9.2以后的版本。OpenCACA的时钟同步才可以正常使用设备来申请证书。DevicePKI实体PKIaaarndCNtestsoftware。<Device>system-view[Device]pkientityaaa[Device-pki-entity-aaa]common-namernd[Device-pki-entity-aaa]countryCN[Device-pki-entity-aaa]organizationtest[Device-pki-entity-aaa]organization-unitsoftware[Device-pki-entity-aaa]quitPKI域PKIopenca。[Device]pkidomainopenca#配置设备信任的CA的名称为myca。[Device-pki-domain-openca]caidentifiermyca#\hpt服务器的主机地址。[Device-pki-domain-openca]certificaterequesturl\h18/cgi-bin/pki/scep#配置证书申请的注册受理机构为RA。[Device-pki-domain-openca]certificaterequestfromra#指定PKI实体名称为aaa。[Device-pki-domain-openca]certificaterequestentityaaa#指定证书申请使用的RSA密钥对，用途为通用，名称为abc，密钥长度为1024比特。[Device-pki-domain-openca]public-keyrsageneralnameabclength1024[Device-pki-domain-openca]quitRSA算法的本地密钥对[Device]public-keylocalcreatersanameabcTherangeofpublickeysizeis(512~2048).Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.PressCTRL+Ctoabort.Inputthemoduluslength[default=1024]:GeneratingKeys++++++++++++Createthekeypairsuccessfully.证书申请#获取CA证书并下载至本地。[Device]pkiretrieve-certificatedomainopencacaThetrustedCA'sfingerprintis:MD5fingerprint:5AA3DEFD7B232A2516A314F4C81CC0FASHA1fingerprint:96684E63D7424B0990E04C78E213F15FDC8E9122Isthefingerprintcorrect?(Y/N):yRetrievedthecertificatessuccessfully.#手工申请本地证书。[Device]pkirequest-certificatedomainopencaStarttorequestthegeneralcertificate...……Certificaterequestedsuccessfully.验证配置#通过以下显示命令可以查看申请到的本地证书信息。[Device]displaypkicertificatedomainopencalocalCertificate:Data:Version:3(0x2)SerialNumber:21:1d:b8:d2:e4:a9:21:28:e4:deSignatureAlgorithm:sha256WithRSAEncryptionIssuer:C=CN,L=shangdi,ST=pukras,O=OpenCALabs,OU=mysubUnit,CN=sub-ca,DC=pki-subdomain,DC=mydomain-sub,DC=comValidityNotBefore:Jun3009:09:092011GMTNotAfter:May109:09:092012GMTSubject:CN=rnd,O=test,OU=software,C=CNSubjectPublicKeyInfo:PublicKeyAlgorithm:rsaEncryptionPublic-Key:(1024bit)Modulus:00:b8:7a:9a:b8:59:eb:fc:70:3e:bf:19:54:0c:7e:c3:90:a5:d3:fd:ee:ff:c6:28:c6:32:fb:04:6e:9c:d6:5a:4f:aa:bb:50:c4:10:5c:eb:97:1d:a7:9e:7d:53:d5:31:ff:99:ab:b6:41:f7:6d:71:61:58:97:84:37:98:c7:7c:79:02:ac:a6:85:f3:21:4d:3c:8e:63:8d:f8:71:7d:28:a1:15:23:99:ed:f9:a1:c3:be:74:0d:f7:64:cf:0a:dd:39:49:d7:3f:25:35:18:f4:1c:59:46:2b:ec:0d:21:1d:00:05:8a:bf:ee:ac:61:03:6c:1f:35:b5:b4:cd:86:9f:45Exponent:65537(0x10001)X509v3extensions:X509v3BasicConstraints:CA:FALSENetscapeCertType:SSLClient,S/MIMEX509v3KeyUsage:DigitalSignature,NonRepudiation,KeyEnciphermentX509v3ExtendedKeyUsage:TLSWebClientAuthentication,E-mailProtection,MicrosoftSmartcardloginNetscapeComment:UserCertificateofOpenCALabsX509v3SubjectKeyIdentifier:24:71:C9:B8:AD:E1:FE:54:9A:EA:E9:14:1B:CD:D9:45:F4:B2:7A:1BX509v3AuthorityKeyIdentifier:keyid:85:EB:D5:F7:C9:97:2F:4B:7A:6D:DD:1B:4D:DD:00:EE:53:CF:FD:5BX509v3IssuerAlternativeName:\hDNS:root@,DNS:,IPAddress:45,IPAddress:38AuthorityInformationAccess:CAIssuers-\hURI:18/pki/pub/cacert/cacert.crtOCSP-URI:18:2560/.8.12-URI:18:830/X509v3CRLDistributionPoints:FullName:\hURI:18/pki/pub/crl/cacrl.crlSignatureAlgorithm:sha256WithRSAEncryption0e:80:de:79:45:b9:d9:12:5e:13:28:17:36:42:d5:ae:fc:4e:ba:b9:61:f1:0a:76:42:e7:a6:34:43:3e:2d:02:5e:c7:32:f7:6b:64:bb:2d:f5:10:6c:68:4d:e7:69:f7:47:25:f5:dc:97:af:ae:33:40:44:f3:ab:e4:5a:a0:06:8f:af:22:a9:05:74:43:b6:e4:96:a5:d4:52:32:c2:a8:53:37:58:c7:2f:75:cf:3e:8e:ed:46:c9:5a:24:b1:f5:51:1d:0f:5a:07:e6:15:7a:02:31:05:8c:03:72:52:7c:ff:28:37:1e:7e:14:97:80:0b:4e:b9:51:2d:50:98:f2:e4:5a:60:be:25:06:f6:ea:7c:aa:df:7b:8d:59:79:57:8f:d4:3e:4f:51:c1:34:e6:c1:1e:71:b5:0d:85:86:a5:ed:63:1e:08:7f:d2:50:ac:a0:a3:9e:88:48:10:0b:4a:7d:ed:c1:03:9f:87:97:a3:5e:7d:75:1d:ac:7b:6f:bb:43:4d:12:17:9a:76:b0:bf:2f:6a:cc:4b:cd:3d:a1:dd:e0:dc:5a:f3:7c:fb:c3:29:b0:12:49:5c:12:4c:51:6e:62:43:8b:73:b9:26:2a:f9:3d:a4:81:99:31:89关于获取到的CA证书的详细信息可以通过相应的显示命令来查看，此处略。具体内容请参考命令displaypkicertificatedomain。NAT-PT组网中PKI实体向CA申请证书（采用RSAKeonCA服务器）组网需求IPv6PKIDeviceAIPv4/24CA服务器通信，以实现以下需求：CACRL，用于验证本地证书CA服务器申请本地证书IPv4IPv6DeviceBDeviceB上配置IPv4侧报文静态映射和IPv6IPv4网络和IPv6网络之间可以互相访问。组网图图1-6NAT-PT组网中PKI实体向CA申请证书配置步骤CA服务器本例Asrvr采用AnA服务器，A服务器配置参看“1 .)，并使能LclCertificatePublishing。IPv4CA/24网段的静态路由（WindowsXP主机上的配置为例。C:\DocumentsandSettings\username\routeaddmaskDeviceB#使能IPv6，配置接口地址，并使能接口的NAT-PT功能。<DeviceB>system-view[DeviceB]ipv6[DeviceB]interfacegigabitethernet2/0/1[DeviceB-GigabitEthernet2/0/1]ipv6address2001::9/64[DeviceB-GigabitEthernet2/0/1]natptenable[DeviceB-GigabitEthernet2/0/1]quit[DeviceB]interfacegigabitethernet2/0/2[DeviceB-GigabitEthernet2/0/2]ipaddress[DeviceB-GigabitEthernet2/0/2]natptenable[DeviceB-GigabitEthernet2/0/2]quit#配置NAT-PT前缀。[DeviceB]natptprefix3001::#配置IPv4侧报文的静态映射。[DeviceB]natptv4boundstatic3001::5#配置IPv6侧报文的静态映射。[DeviceB]natptv6boundstatic2001::511DeviceA#配置到达NAT-PT前缀对应网段的静态路由。<DeviceA>system-view[DeviceA]ipv6route-static3001::162001::9PKI实体#配置PKI实体名称为aaa，通用名为test。[DeviceA]pkientityaaa[DeviceA-pki-entity-aaa]common-nametest[DeviceA-pki-entity-aaa]quitPKI域PKItorsa。[DeviceA]pkidomaintorsa#配置设备信任的CA的名称为myca。[DeviceA-pki-domain-torsa]caidentifiermycaURLhttp://host:port/IssuingJurisdictionIssuingJurisdictionIDCA16进制字符串。[DeviceA-pki-domain-torsa]certificaterequesturlhttp://[3001::5]:446/c95e970f632d27be5e8cbf80e971d9c4a9a93337#配置证书申请的注册受理机构为CA。[DeviceA-pki-domain-torsa]certificaterequestfromca#指定PKI实体名称为aaa。[DeviceA-pki-domain-torsa]certificaterequestentityaaa#CRL（HTTPCRL发布点。虽然在此组网下，DeviceAIPv6DeviceBIPv4HTTPIPv6的相关OpenCACA）[DeviceA-pki-domain-torsa]crlurlldap://[3001::5]:389/CN=sslrsa,OU=sec,O=docm,C=cnabc1024[DeviceA-pki-domain-torsa]public-keyrsageneralnameabclength1024[DeviceA-pki-domain-torsaquitRSA算法的本地密钥对[DeviceA]public-keylocalcreatersanameabcTherangeofpublickeysizeis(512~2048).Ifthekeymodulusisgreaterthan51