CA以及證书配置手册.docxVIP

CA以及数字证书配置手册 目录 TOC \o 1-3 \h \z \u   HYPERLINK \l _Toc365378749 一．术语定义  PAGEREF _Toc365378749 \h 3  HYPERLINK \l _Toc365378750 二．功能介绍  PAGEREF _Toc365378750 \h 4  HYPERLINK \l _Toc365378751 ◆ 总体介绍  PAGEREF _Toc365378751 \h 4  HYPERLINK \l _Toc365378752 ◆ CA证书管理  PAGEREF _Toc365378752 \h 4  HYPERLINK \l _Toc365378753 ◆ 数字证书管理  PAGEREF _Toc365378753 \h 5  HYPERLINK \l _Toc365378754 ◆ 证书吊销列表  PAGEREF _Toc365378754 \h 9  HYPERLINK \l _Toc365378755 三．创建CA以及签署证书命令  PAGEREF _Toc365378755 \h 10  HYPERLINK \l _Toc365378756 ◆ 创建多级CA  PAGEREF _Toc365378756 \h 10  HYPERLINK \l _Toc365378757 ◆ 由三级CA签发证书  PAGEREF _Toc365378757 \h 11  HYPERLINK \l _Toc365378758 ◆ 生成 PFX证书方法  PAGEREF _Toc365378758 \h 12  HYPERLINK \l _Toc365378759 ◆ 吊销证书方法  PAGEREF _Toc365378759 \h 12  HYPERLINK \l _Toc365378760 ◆ 产生CRL吊销列表方法  PAGEREF _Toc365378760 \h 12   多级CA关系图 交叉认证关系图 一．术语定义 CA：负责签发证书，认证证书，管理已颁发证书的机关。使用认证证书时，需要把签署此证书的CA一同导入。 多级CA：CA之间也有上下级关系。下级CA签署的证书使用时，需要导入此CA和此CA所有父节点CA证书。 交叉认证：同一台设备可能被不同CA认证，这种同一设备被多个CA认证，有多个证书的情况叫做交叉认证。 CRL列表：证书吊销列表。用于记录注销证书的证书。从CA产生导入到设备中。 PFX证书：网管证书。CA服务器从创建请求、生成私钥公钥，到签署等工作全部执行。最后封装合并签署证书和私钥为PFX证书。此证书导入设备后可直接使用，免去了从设备生成请求，传到CA服务器签署，再传回导入的麻烦。  二．功能介绍 证书管理界面 总体介绍 进入【证书管理】界面（主界面，网络配置标签页，左侧虚拟专用网络下）。证书管理界面分为【CA证书管理】、【数字证书管理】和【证书吊销列表】。 【CA证书管理】界面用于导入CA证书；【数字证书管理】界面用于生成证书请求和导入本地证书；【证书吊销列表】用于导入CA生成的吊销列表。支持使用X .509证书。 CA证书管理 CA证书管理界面 【导入CA证书】：此界面用于导入为数字证书做认证的CA证书。需要从CA下载CA自己的证书，导入后界面显示CA的DN信息、证书有效期以及状态（是否可用）信息。 注意证书名称不能重复。 证书必须有CA类型标识（X509v3 Basic Constraints: CA:TRUE）否则无法导入。 多级CA需要将根证书到本级的所有证书全部导入。 导入CA证书界面 导入成功 数字证书管理 数字证书管理界面 【生成证书请求】：填写具体信息，用于生成证书请求文件和私钥，填写的信息为唯一标识，不应与其他设备的信息重复，并且国家、省、城市、组织往往需要与CA一致。填写完毕，确认。界面显示请求内容。 从设备下载请求文件，提交给CA认证。CA返回经过认证的数字证书，并从CA服务器上，下载CA自己的证书。 生成证书请求界面 请求生成 【下载证书】：下载请求，发送到CA服务器，签署生成证书。 下载证书 【导入证书】：导入CA认证后的本地数字证书，成功后界面会显示证书的序列号，颁发者、DN信息、证书类型以及有效期和证书状态。 注意，证书需要在有效期使用。有效期与设备时间进行比较，如果设备时间与CA服务器时间不同步，会出现无法立即生效的情况。如果出现此情况，请联系维护人员。 导入证书 导入证书界面 【导入PFX证书】：证书导入有两种办法，一种采用上述的方法，在NGFW填写