应用场景
CA服务仅为网络管理软件和设备颁发身份证书,不能为个人用户颁发认证和签名用的个人证书。
NetEco CA独立组网
如图所示,在CA独立组网场景中,在NetEco上部署CA服务并创建CA后,可以给NetEco、服务或设备等签发终端实体证书,NetEco、服务或设备等可通过CMP协议或隐私CA协议向NetEco CA申请证书,安全网关等其他设备可通过离线申请的方式申请证书。
该场景适用于规模较小的组网,且网络设备数量不超过NetEco CA的规格要求,不适用于需要将不同的设备划分成多个子域的组网场景。
NetEco CA与运营商PKI共组网
如图所示,NetEco CA和运营商PKI共组网场景中,由NetEco子CA给NetEco、服务或设备等签发终端实体证书,由运营商子CA给安全网关等签发终端实体证书。服务或设备等需要离线安装运营商PKI根CA证书,安全网关等其他设备需要安装NetEco根CA证书,才能相互认证通过。
该场景适用于不同的子域之间进行隔离组网。
NetEco CA与运营商PKI共组网,NetEco CA作为运营商CA的子CA
如图所示,NetEco CA与运营商PKI共组网,NetEco CA作为运营商CA的子CA场景中,由NetEco子CA给NetEco、服务或设备等签发终端实体证书,由运营商子CA给安全网关等其他设备签发终端实体证书。服务或设备等需要离线安装运营商PKI根CA证书,安全网关等其他设备也需要安装运营商PKI根CA证书,才能相互认证通过。
该场景适用于运营商整网统一根CA,根CA与子CA隔离部署,并通过子CA区分子域的应用场景。
NetEco CA与运营商PKI共组网(多运营商场景)
如图所示,NetEco CA与运营商PKI共组网场景(多运营商场景)中,NetEco、服务或设备可以同时支持向多个CA申请证书,支持不同的运营商部署不同的CA,实现运营商之间的IPSec通道隔离。NetEco、服务或设备等可通过CMP协议或隐私CA协议向NetEco CA自动申请证书,安全网关等其他设备需要离线申请。服务或设备和安全网关等其他设备都需要安装NetEco CA证书链和运营商PKI证书链,服务或设备等在通过CMP协议或隐私CA协议申请终端实体证书时支持自动申请和离线手工导入。