CA服务配置流程
根CA直接签发终端实体证书
如图所示,在NetEco上启用CA服务并且只部署一个CA,作为根CA同时也是最末级CA,用来给NetEco、服务/设备等签发终端实体证书。该根CA作为最末级CA,只能签发终端实体证书,不能再签发下级子CA。
该场景适用于规模较小的组网,且网络设备数量不会超过NetEco CA的规格要求,不适用于需要将不同的设备划分成多个子域的组网场景。
配置流程如下:
步骤 |
操作 |
准备 |
说明 |
|---|---|---|---|
1 |
创建根证书模板 |
证书模板名称、使用者信息和密钥用法等。 |
此步骤为可选步骤,只有使用创建自签名证书方式创建根CA时,需要创建根证书模板。具体操作请参考配置证书模板。
说明:
创建根证书模板时,“证书等级”应选择“根CA”,“路径长度约束”应设置为0。其他参数根据实际情况填写。 |
2 |
查看根证书模板详情 |
N/A |
在“证书模板”页面单击某证书模板名称,可查看该模板的详细信息。 |
3 |
创建根CA |
|
创建根CA包括使用创建自签名证书方式和上传证书文件方式,两种方式任选一种即可。具体操作请参考自定义配置CA。
|
4 |
查看根CA详情 |
N/A |
在“CA管理”页面单击根CA名称,可查看该CA的详细信息。
说明:
如果CA证书的使用者和颁发者信息相同,说明该CA是自签名根CA。 |
5 |
申请证书 |
N/A |
用户可通过自动申请方式向根CA申请证书,自动申请证书包括使用CMP协议和使用隐私CA协议两种方式。
|
单PKI体系子CA签发证书
如图所示,在NetEco上启用CA服务后,既部署根CA,同时也部署子CA。根CA只能离线签发子CA,不能签发终端实体证书;最末级的子CA只能用来签发终端实体证书,不能再用来签发下级子CA。主要包含以下三种方式:
- 方式1:根CA签发多级子CA,只有最末级的子CA才能签发终端实体证书。子CA的层级数量依赖NetEco的资源和规格,适用于将网络划分为多层子域的场景。
图2 单PKI体系子CA签发证书方式1
配置流程如下:
步骤
操作
准备
说明
1
创建根证书模板
证书模板名称、使用者信息和密钥用法等。
此步骤为可选步骤,只有使用创建自签名证书方式创建根CA时,需要创建根证书模板。具体操作请参考配置证书模板。
说明:创建根证书模板时,“证书等级”应选择“根CA”,如果构造多级子CA,“路径长度约束”至少应大于1。其他参数根据实际情况填写。
2
查看根证书模板详情
N/A
在“证书模板”页面单击根证书模板名称,可查看该模板的详细信息。
3
创建根CA
- 创建自签名证书方式:根CA名称、证书模板和使用者信息等。
- 上传证书文件方式:CA名称、.p12,.pfx或.jks格式的证书文件以及该证书文件匹配的证书口令等。
创建根CA包括使用创建自签名证书方式和上传证书文件方式,两种方式任选一种即可。具体操作请参考自定义配置CA。
- 创建自签名证书方式需要选择步骤1中创建的根证书模板,并填写模板中配置的使用者的相关信息。
说明:
使用创建自签名证书方式创建根CA时,“证书模板”应选择步骤1中创建的根CA级别的证书模板。其他参数根据实际情况填写。
- 上传证书文件方式需要上传用户自己准备的证书。
说明:
使用上传证书文件方式创建根CA时,应上传准备的.p12,.pfx或.jks格式的证书文件,并输入和证书文件匹配的密码。其他参数根据实际情况填写。
4
查看根CA详情
N/A
在“CA管理”页面单击根CA名称,可查看该CA的详细信息。
说明:如果CA证书的使用者和颁发者信息相同,说明该CA是自签名根CA。
5
创建子CA
子CA名称、证书模板和使用者信息等。
方法一:
在“CA管理”页面单击“新增”,选择“内部CA签名”,选择CA并为该CA创建子CA。
方法二:
- 在“CA管理”页面创建一个待定状态的CA,并下载该CA对应的CSR文件。
- 在“证书申请”页面,通过上传CSR文件方式向根CA申请证书,并下载该证书。
- 在“CA管理”页面,将下载的证书文件上传至待定状态的CA,该CA被激活,成为根CA的子CA。
说明:- 构造多级子CA时,必须确保证书链结构正确,然后按照实际需要重复执行创建子CA的步骤即可。
- 创建根CA和子CA的操作均在同一个NetEco上完成。
6
查看子CA详情
N/A
在“CA管理”页面单击子CA名称,可查看该CA的详细信息。
7
申请证书
N/A
用户可通过自动申请方式向最末级子CA申请证书,自动申请证书包括使用CMP协议和使用隐私CA协议两种方式。
- 使用CMP协议申请证书,需要配置端口状态、TLS证书、CMP协议信息、请求验证和响应保护,使用CMP请求URI申请证书。具体操作请参考全局配置和配置CMP协议。
说明:
- 如果CMP端口使用HTTP协议端口,不需要配置TLS证书。如果选择使用CA做响应保护,不需要在“响应保护配置”页签下再次配置。其他参数根据实际情况填写。
- 鉴于HTTPS协议比HTTP协议有更多安全保证,建议配置CMP协议时选择HTTPS协议(HTTPS不认证对端或HTTPS认证对端)。
- 使用隐私CA协议申请证书 ,需要配置端口状态、TLS证书、隐私CA协议信息和EK信任证书,使用隐私CA协议请求URI申请证书。具体操作请参考全局配置和配置隐私CA协议。
- 方式2:根CA签发多个子CA,只有最末级的子CA才能签发终端实体证书。子CA的数量依赖NetEco的资源和规格,适用于将网络划分为多个子域的场景。
图3 单PKI体系子CA签发证书方式2
配置流程如下:
步骤
操作
准备
说明
1
创建根证书模板
证书模板名称、使用者信息和密钥用法等。
此步骤为可选步骤,只有使用创建自签名证书方式创建根CA时,需要创建根证书模板。具体操作请参考配置证书模板。
说明:创建根证书模板时,“证书等级”应选择“根CA”,如果构造多级子CA,“路径长度约束”至少应大于1。其他参数根据实际情况填写。
2
查看根证书模板详情
N/A
在“证书模板”页面单击根证书模板名称,可查看该模板的详细信息。
3
创建根CA
- 创建自签名证书方式:根CA名称、证书模板和使用者信息等。
- 上传证书文件方式:CA名称、.p12,.pfx或.jks格式的证书文件以及该证书文件匹配的证书口令等。
创建根CA包括使用创建自签名证书方式和上传证书文件方式,两种方式任选一种即可。具体操作请参考自定义配置CA。
- 创建自签名证书方式需要选择步骤1中创建的根证书模板,并填写模板中配置的使用者的相关信息。
说明:
使用创建自签名证书方式创建根CA时,“证书模板”应选择步骤1中创建的根CA级别的证书模板。其他参数根据实际情况填写。
- 上传证书文件方式需要上传用户自己准备的证书。
说明:
使用上传证书文件方式创建根CA时,应上传准备的.p12,.pfx或.jks格式的证书文件,并输入和证书文件匹配的密码。其他参数根据实际情况填写。
4
查看根CA详情
N/A
在“CA管理”页面单击根CA名称,可查看该CA的详细信息。
说明:如果CA证书的使用者和颁发者信息相同,说明该CA是自签名根CA。
5
创建子CA
子CA名称、证书模板和使用者信息等。
方法一:
在“CA管理”页面单击“新增”,选择“内部CA签名”,选择CA并为该CA创建子CA。
方法二:
- 在“CA管理”页面创建一个待定状态的CA,并下载该CA对应的CSR文件。
- 在“证书申请”页面,通过上传CSR文件方式向根CA申请证书,并下载该证书。
- 在“CA管理”页面,将下载的证书文件上传至待定状态的CA,该CA被激活,成为根CA的子CA。
说明:- 构造多个子CA时,按照实际需要重复执行创建子CA的步骤即可。
- 创建根CA和子CA的操作均在同一个NetEco上完成。
6
查看子CA详情
N/A
在“CA管理”页面单击子CA名称,可查看该CA的详细信息。
7
申请证书
N/A
用户可通过自动申请方式向最末级子CA申请证书,自动申请证书包括使用CMP协议和使用隐私CA协议两种方式。
- 使用CMP协议申请证书,需要配置端口状态、TLS证书、CMP协议信息、请求验证和响应保护,使用CMP请求URI申请证书。具体操作请参考全局配置和配置CMP协议。
说明:
- 如果CMP端口使用HTTP协议端口,不需要配置TLS证书。如果选择使用CA做响应保护,不需要在“响应保护配置”页签下再次配置。其他参数根据实际情况填写。
- 鉴于HTTPS协议比HTTP协议有更多安全保证,建议配置CMP协议时选择HTTPS协议(HTTPS不认证对端或HTTPS认证对端)。
- 使用隐私CA协议申请证书 ,需要配置端口状态、TLS证书、隐私CA协议信息和EK信任证书,使用隐私CA协议请求URI申请证书。具体操作请参考全局配置和配置隐私CA协议。
- 方式3:根CA签发多个子CA,多个子CA分离部署在不同的NetEco上,只有最末级的子CA才能签发终端实体证书。安装不同子CA签发的证书的服务/设备等需要安装根CA证书,才能相互认证通过。适用于将NetEco及其服务/设备划分为一个子域的场景。
图4 单PKI体系子CA签发证书方式3
配置流程如下:
步骤
操作
准备
说明
1
创建根证书模板
证书模板名称、使用者信息和密钥用法等。
此步骤为可选步骤,只有使用创建自签名证书方式创建根CA时,需要创建根证书模板。具体操作请参考配置证书模板。
说明:创建根证书模板时,“证书等级”应选择“根CA”,如果构造多级子CA,“路径长度约束”至少应大于1。其他参数根据实际情况填写。
2
查看根证书模板详情
N/A
在“证书模板”页面单击根证书模板名称,可查看该模板的详细信息。
3
创建根CA
- 创建自签名证书方式:根CA名称、证书模板和使用者信息等。
- 上传证书文件方式:CA名称、.p12,.pfx或.jks格式的证书文件以及该证书文件匹配的证书口令等。
创建根CA包括使用创建自签名证书方式和上传证书文件方式,两种方式任选一种即可。具体操作请参考自定义配置CA。
- 创建自签名证书方式需要选择步骤1中创建的根证书模板,并填写模板中配置的使用者的相关信息。
说明:
使用创建自签名证书方式创建根CA时,“证书模板”应选择步骤1中创建的根CA级别的证书模板。其他参数根据实际情况填写。
- 上传证书文件方式需要上传用户自己准备的证书。
说明:
使用上传证书文件方式创建根CA时,应上传准备的.p12,.pfx或.jks格式的证书文件,并输入和证书文件匹配的密码。其他参数根据实际情况填写。
4
查看根CA详情
N/A
在“CA管理”页面单击根CA名称,可查看该CA的详细信息。
说明:如果CA的使用者和颁发者信息相同,说明该CA是自签名根CA。
5
创建子CA
子CA名称、证书模板和使用者信息等。
方法一:
在“CA管理”页面单击“新增”,选择“内部CA签名”,选择CA并为该CA创建子CA。
方法二:
- 在“CA管理”页面创建一个待定状态的CA,并下载该CA对应的CSR文件。
- 在“证书申请”页面,通过上传CSR文件方式向根CA申请证书,并下载该证书。
- 在“CA管理”页面,将下载的证书文件上传至待定状态的CA,该CA被激活,成为根CA的子CA。
说明:- 构造多个子CA时,按照实际需要重复执行创建子CA的步骤即可。
- 创建根CA和子CA的操作均在不同的NetEco上完成。
6
查看子CA详情
N/A
在“CA管理”页面单击子CA名称,可查看该CA的详细信息。
7
申请证书
N/A
用户可通过自动申请方式向最末级子CA申请证书,自动申请证书包括使用CMP协议和使用隐私CA协议两种方式。
- 使用CMP协议申请证书,需要配置端口状态、TLS证书、CMP协议信息、请求验证和响应保护,使用CMP请求URI申请证书。具体操作请参考全局配置和配置CMP协议。
说明:
- 如果CMP端口使用HTTP协议端口,不需要配置TLS证书。如果选择使用CA做响应保护,不需要在“响应保护配置”页签下再次配置。其他参数根据实际情况填写。
- 鉴于HTTPS协议比HTTP协议有更多安全保证,建议配置CMP协议时选择HTTPS协议(HTTPS不认证对端或HTTPS认证对端)。
- 使用隐私CA协议申请证书 ,需要配置端口状态、TLS证书、隐私CA协议信息和EK信任证书,使用隐私CA协议请求URI申请证书。具体操作请参考全局配置和配置隐私CA协议。
多PKI体系子CA签发证书
如图所示,在不同的NetEco部署各自不同的根CA,不同子域的服务或设备等都需要安装对端根CA证书才能相互认证通过。在NetEco-1上启用CA服务并部署一套根CA-1,在NetEco-2上启用CA服务并部署一套不同的根CA-2,两套根CA相互独立,互不影响。服务/设备-1与服务/设备-2都需要安装根CA-1和根CA-2的证书,才能相互认证通过。
该场景适用于不同的子域完全隔离的组网场景,子域越多,需要部署的根CA就越多,管理就越复杂。
配置流程如下:
步骤 |
操作 |
准备 |
说明 |
|---|---|---|---|
1 |
创建根证书模板 |
证书模板名称、使用者信息和密钥用法等。 |
此步骤为可选步骤,只有使用创建自签名证书方式创建根CA时,需要创建根证书模板。具体操作请参考配置证书模板。
说明:
创建根证书模板时,“证书等级”应选择“根CA”,如果构造多级子CA,“路径长度约束”至少应大于1。其他参数根据实际情况填写。 |
2 |
查看根证书模板详情 |
N/A |
在“证书模板”页面单击根证书模板名称,可查看该模板的详细信息。 |
3 |
创建根CA |
|
创建根CA包括使用创建自签名证书方式和上传证书文件方式,两种方式任选一种即可。具体操作请参考自定义配置CA。
|
4 |
查看根CA详情 |
N/A |
在“CA管理”页面单击根CA名称,可查看该CA的详细信息。
说明:
如果CA证书的使用者和颁发者信息相同,说明该CA是自签名根CA。 |
5 |
创建子CA |
子CA名称、证书模板和使用者信息等。 |
方法一: 在“CA管理”页面单击“新增”,选择“内部CA签名”,选择CA并为该CA创建子CA。 方法二:
说明:
|
6 |
查看子CA详情 |
N/A |
在“CA管理”页面单击子CA名称,可查看该CA的详细信息。 |
7 |
申请证书 |
N/A |
用户可通过自动申请方式向最末级子CA申请证书,自动申请证书包括使用CMP协议和使用隐私CA协议两种方式。
|
