更新时间:2022-07-18 GMT+08:00
分享

CA服务配置流程

根CA直接签发终端实体证书

如图所示,在NetEco上启用CA服务并且只部署一个CA,作为根CA同时也是最末级CA,用来给NetEco、服务/设备等签发终端实体证书。该根CA作为最末级CA,只能签发终端实体证书,不能再签发下级子CA。

该场景适用于规模较小的组网,且网络设备数量不会超过NetEco CA的规格要求,不适用于需要将不同的设备划分成多个子域的组网场景。

图1 根CA直接签发终端实体证书

配置流程如下:

步骤

操作

准备

说明

1

创建根证书模板

证书模板名称、使用者信息和密钥用法等。

此步骤为可选步骤,只有使用创建自签名证书方式创建根CA时,需要创建根证书模板。具体操作请参考配置证书模板

说明:

创建根证书模板时,“证书等级”应选择“根CA”,“路径长度约束”应设置为0。其他参数根据实际情况填写。

2

查看根证书模板详情

N/A

在“证书模板”页面单击某证书模板名称,可查看该模板的详细信息。

3

创建根CA

  • 创建自签名证书方式:根CA名称、证书模板和使用者信息等。
  • 上传证书文件方式:CA名称、.p12,.pfx或.jks格式的证书文件以及该证书文件匹配的证书口令等。

创建根CA包括使用创建自签名证书方式和上传证书文件方式,两种方式任选一种即可。具体操作请参考自定义配置CA

  • 创建自签名证书方式需要选择步骤1中创建的根证书模板,并填写模板中配置的使用者的相关信息。
    说明:

    使用创建自签名证书方式创建根CA时,“证书模板”应选择步骤1中创建的根CA级别的证书模板。其他参数根据实际情况填写。

  • 上传证书文件方式需要上传用户自己准备的证书。
    说明:

    使用上传证书文件方式创建根CA时,应上传准备的.p12,.pfx或.jks格式的证书文件,并输入和证书文件匹配的密码。其他参数根据实际情况填写。

4

查看根CA详情

N/A

在“CA管理”页面单击根CA名称,可查看该CA的详细信息。

说明:

如果CA证书的使用者和颁发者信息相同,说明该CA是自签名根CA。

5

申请证书

N/A

用户可通过自动申请方式向根CA申请证书,自动申请证书包括使用CMP协议和使用隐私CA协议两种方式。

  • 使用CMP协议申请证书,需要配置端口状态、TLS证书、CMP协议信息、请求验证和响应保护,使用CMP请求URI申请证书。具体操作请参考全局配置配置CMP协议
    说明:
    • 如果CMP端口使用HTTP协议端口,不需要配置TLS证书。如果选择使用CA做响应保护,不需要在“响应保护配置”页签下再次配置。其他参数根据实际情况填写。
    • 鉴于HTTPS协议比HTTP协议有更多安全保证,建议配置CMP协议时选择HTTPS协议(HTTPS不认证对端或HTTPS认证对端)。
  • 使用隐私CA协议申请证书 ,需要配置端口状态、TLS证书、隐私CA协议信息和EK信任证书,使用隐私CA协议请求URI申请证书。具体操作请参考全局配置配置隐私CA协议

单PKI体系子CA签发证书

如图所示,在NetEco上启用CA服务后,既部署根CA,同时也部署子CA。根CA只能离线签发子CA,不能签发终端实体证书;最末级的子CA只能用来签发终端实体证书,不能再用来签发下级子CA。主要包含以下三种方式:

  • 方式1:根CA签发多级子CA,只有最末级的子CA才能签发终端实体证书。子CA的层级数量依赖NetEco的资源和规格,适用于将网络划分为多层子域的场景。
    图2 单PKI体系子CA签发证书方式1

    配置流程如下:

    步骤

    操作

    准备

    说明

    1

    创建根证书模板

    证书模板名称、使用者信息和密钥用法等。

    此步骤为可选步骤,只有使用创建自签名证书方式创建根CA时,需要创建根证书模板。具体操作请参考配置证书模板

    说明:

    创建根证书模板时,“证书等级”应选择“根CA”,如果构造多级子CA,“路径长度约束”至少应大于1。其他参数根据实际情况填写。

    2

    查看根证书模板详情

    N/A

    在“证书模板”页面单击根证书模板名称,可查看该模板的详细信息。

    3

    创建根CA

    • 创建自签名证书方式:根CA名称、证书模板和使用者信息等。
    • 上传证书文件方式:CA名称、.p12,.pfx或.jks格式的证书文件以及该证书文件匹配的证书口令等。

    创建根CA包括使用创建自签名证书方式和上传证书文件方式,两种方式任选一种即可。具体操作请参考自定义配置CA

    • 创建自签名证书方式需要选择步骤1中创建的根证书模板,并填写模板中配置的使用者的相关信息。
      说明:

      使用创建自签名证书方式创建根CA时,“证书模板”应选择步骤1中创建的根CA级别的证书模板。其他参数根据实际情况填写。

    • 上传证书文件方式需要上传用户自己准备的证书。
      说明:

      使用上传证书文件方式创建根CA时,应上传准备的.p12,.pfx或.jks格式的证书文件,并输入和证书文件匹配的密码。其他参数根据实际情况填写。

    4

    查看根CA详情

    N/A

    在“CA管理”页面单击根CA名称,可查看该CA的详细信息。

    说明:

    如果CA证书的使用者和颁发者信息相同,说明该CA是自签名根CA。

    5

    创建子CA

    子CA名称、证书模板和使用者信息等。

    方法一:

    在“CA管理”页面单击“新增”,选择“内部CA签名”,选择CA并为该CA创建子CA。

    方法二:

    1. 在“CA管理”页面创建一个待定状态的CA,并下载该CA对应的CSR文件。
    2. 在“证书申请”页面,通过上传CSR文件方式向根CA申请证书,并下载该证书。
    3. 在“CA管理”页面,将下载的证书文件上传至待定状态的CA,该CA被激活,成为根CA的子CA。
    说明:
    • 构造多级子CA时,必须确保证书链结构正确,然后按照实际需要重复执行创建子CA的步骤即可。
    • 创建根CA和子CA的操作均在同一个NetEco上完成。

    6

    查看子CA详情

    N/A

    在“CA管理”页面单击子CA名称,可查看该CA的详细信息。

    7

    申请证书

    N/A

    用户可通过自动申请方式向最末级子CA申请证书,自动申请证书包括使用CMP协议和使用隐私CA协议两种方式。

    • 使用CMP协议申请证书,需要配置端口状态、TLS证书、CMP协议信息、请求验证和响应保护,使用CMP请求URI申请证书。具体操作请参考全局配置配置CMP协议
      说明:
      • 如果CMP端口使用HTTP协议端口,不需要配置TLS证书。如果选择使用CA做响应保护,不需要在“响应保护配置”页签下再次配置。其他参数根据实际情况填写。
      • 鉴于HTTPS协议比HTTP协议有更多安全保证,建议配置CMP协议时选择HTTPS协议(HTTPS不认证对端或HTTPS认证对端)。
    • 使用隐私CA协议申请证书 ,需要配置端口状态、TLS证书、隐私CA协议信息和EK信任证书,使用隐私CA协议请求URI申请证书。具体操作请参考全局配置配置隐私CA协议
  • 方式2:根CA签发多个子CA,只有最末级的子CA才能签发终端实体证书。子CA的数量依赖NetEco的资源和规格,适用于将网络划分为多个子域的场景。
    图3 单PKI体系子CA签发证书方式2

    配置流程如下:

    步骤

    操作

    准备

    说明

    1

    创建根证书模板

    证书模板名称、使用者信息和密钥用法等。

    此步骤为可选步骤,只有使用创建自签名证书方式创建根CA时,需要创建根证书模板。具体操作请参考配置证书模板

    说明:

    创建根证书模板时,“证书等级”应选择“根CA”,如果构造多级子CA,“路径长度约束”至少应大于1。其他参数根据实际情况填写。

    2

    查看根证书模板详情

    N/A

    在“证书模板”页面单击根证书模板名称,可查看该模板的详细信息。

    3

    创建根CA

    • 创建自签名证书方式:根CA名称、证书模板和使用者信息等。
    • 上传证书文件方式:CA名称、.p12,.pfx或.jks格式的证书文件以及该证书文件匹配的证书口令等。

    创建根CA包括使用创建自签名证书方式和上传证书文件方式,两种方式任选一种即可。具体操作请参考自定义配置CA

    • 创建自签名证书方式需要选择步骤1中创建的根证书模板,并填写模板中配置的使用者的相关信息。
      说明:

      使用创建自签名证书方式创建根CA时,“证书模板”应选择步骤1中创建的根CA级别的证书模板。其他参数根据实际情况填写。

    • 上传证书文件方式需要上传用户自己准备的证书。
      说明:

      使用上传证书文件方式创建根CA时,应上传准备的.p12,.pfx或.jks格式的证书文件,并输入和证书文件匹配的密码。其他参数根据实际情况填写。

    4

    查看根CA详情

    N/A

    在“CA管理”页面单击根CA名称,可查看该CA的详细信息。

    说明:

    如果CA证书的使用者和颁发者信息相同,说明该CA是自签名根CA。

    5

    创建子CA

    子CA名称、证书模板和使用者信息等。

    方法一:

    在“CA管理”页面单击“新增”,选择“内部CA签名”,选择CA并为该CA创建子CA。

    方法二:

    1. 在“CA管理”页面创建一个待定状态的CA,并下载该CA对应的CSR文件。
    2. 在“证书申请”页面,通过上传CSR文件方式向根CA申请证书,并下载该证书。
    3. 在“CA管理”页面,将下载的证书文件上传至待定状态的CA,该CA被激活,成为根CA的子CA。
    说明:
    • 构造多个子CA时,按照实际需要重复执行创建子CA的步骤即可。
    • 创建根CA和子CA的操作均在同一个NetEco上完成。

    6

    查看子CA详情

    N/A

    在“CA管理”页面单击子CA名称,可查看该CA的详细信息。

    7

    申请证书

    N/A

    用户可通过自动申请方式向最末级子CA申请证书,自动申请证书包括使用CMP协议和使用隐私CA协议两种方式。

    • 使用CMP协议申请证书,需要配置端口状态、TLS证书、CMP协议信息、请求验证和响应保护,使用CMP请求URI申请证书。具体操作请参考全局配置配置CMP协议
      说明:
      • 如果CMP端口使用HTTP协议端口,不需要配置TLS证书。如果选择使用CA做响应保护,不需要在“响应保护配置”页签下再次配置。其他参数根据实际情况填写。
      • 鉴于HTTPS协议比HTTP协议有更多安全保证,建议配置CMP协议时选择HTTPS协议(HTTPS不认证对端或HTTPS认证对端)。
    • 使用隐私CA协议申请证书 ,需要配置端口状态、TLS证书、隐私CA协议信息和EK信任证书,使用隐私CA协议请求URI申请证书。具体操作请参考全局配置配置隐私CA协议
  • 方式3:根CA签发多个子CA,多个子CA分离部署在不同的NetEco上,只有最末级的子CA才能签发终端实体证书。安装不同子CA签发的证书的服务/设备等需要安装根CA证书,才能相互认证通过。适用于将NetEco及其服务/设备划分为一个子域的场景。
    图4 单PKI体系子CA签发证书方式3

    配置流程如下:

    步骤

    操作

    准备

    说明

    1

    创建根证书模板

    证书模板名称、使用者信息和密钥用法等。

    此步骤为可选步骤,只有使用创建自签名证书方式创建根CA时,需要创建根证书模板。具体操作请参考配置证书模板

    说明:

    创建根证书模板时,“证书等级”应选择“根CA”,如果构造多级子CA,“路径长度约束”至少应大于1。其他参数根据实际情况填写。

    2

    查看根证书模板详情

    N/A

    在“证书模板”页面单击根证书模板名称,可查看该模板的详细信息。

    3

    创建根CA

    • 创建自签名证书方式:根CA名称、证书模板和使用者信息等。
    • 上传证书文件方式:CA名称、.p12,.pfx或.jks格式的证书文件以及该证书文件匹配的证书口令等。

    创建根CA包括使用创建自签名证书方式和上传证书文件方式,两种方式任选一种即可。具体操作请参考自定义配置CA

    • 创建自签名证书方式需要选择步骤1中创建的根证书模板,并填写模板中配置的使用者的相关信息。
      说明:

      使用创建自签名证书方式创建根CA时,“证书模板”应选择步骤1中创建的根CA级别的证书模板。其他参数根据实际情况填写。

    • 上传证书文件方式需要上传用户自己准备的证书。
      说明:

      使用上传证书文件方式创建根CA时,应上传准备的.p12,.pfx或.jks格式的证书文件,并输入和证书文件匹配的密码。其他参数根据实际情况填写。

    4

    查看根CA详情

    N/A

    在“CA管理”页面单击根CA名称,可查看该CA的详细信息。

    说明:

    如果CA的使用者和颁发者信息相同,说明该CA是自签名根CA。

    5

    创建子CA

    子CA名称、证书模板和使用者信息等。

    方法一:

    在“CA管理”页面单击“新增”,选择“内部CA签名”,选择CA并为该CA创建子CA。

    方法二:

    1. 在“CA管理”页面创建一个待定状态的CA,并下载该CA对应的CSR文件。
    2. 在“证书申请”页面,通过上传CSR文件方式向根CA申请证书,并下载该证书。
    3. 在“CA管理”页面,将下载的证书文件上传至待定状态的CA,该CA被激活,成为根CA的子CA。
    说明:
    • 构造多个子CA时,按照实际需要重复执行创建子CA的步骤即可。
    • 创建根CA和子CA的操作均在不同的NetEco上完成。

    6

    查看子CA详情

    N/A

    在“CA管理”页面单击子CA名称,可查看该CA的详细信息。

    7

    申请证书

    N/A

    用户可通过自动申请方式向最末级子CA申请证书,自动申请证书包括使用CMP协议和使用隐私CA协议两种方式。

    • 使用CMP协议申请证书,需要配置端口状态、TLS证书、CMP协议信息、请求验证和响应保护,使用CMP请求URI申请证书。具体操作请参考全局配置配置CMP协议
      说明:
      • 如果CMP端口使用HTTP协议端口,不需要配置TLS证书。如果选择使用CA做响应保护,不需要在“响应保护配置”页签下再次配置。其他参数根据实际情况填写。
      • 鉴于HTTPS协议比HTTP协议有更多安全保证,建议配置CMP协议时选择HTTPS协议(HTTPS不认证对端或HTTPS认证对端)。
    • 使用隐私CA协议申请证书 ,需要配置端口状态、TLS证书、隐私CA协议信息和EK信任证书,使用隐私CA协议请求URI申请证书。具体操作请参考全局配置配置隐私CA协议

多PKI体系子CA签发证书

如图所示,在不同的NetEco部署各自不同的根CA,不同子域的服务或设备等都需要安装对端根CA证书才能相互认证通过。在NetEco-1上启用CA服务并部署一套根CA-1,在NetEco-2上启用CA服务并部署一套不同的根CA-2,两套根CA相互独立,互不影响。服务/设备-1与服务/设备-2都需要安装根CA-1和根CA-2的证书,才能相互认证通过。

该场景适用于不同的子域完全隔离的组网场景,子域越多,需要部署的根CA就越多,管理就越复杂。

图5 多PKI体系子CA签发证书

配置流程如下:

步骤

操作

准备

说明

1

创建根证书模板

证书模板名称、使用者信息和密钥用法等。

此步骤为可选步骤,只有使用创建自签名证书方式创建根CA时,需要创建根证书模板。具体操作请参考配置证书模板

说明:

创建根证书模板时,“证书等级”应选择“根CA”,如果构造多级子CA,“路径长度约束”至少应大于1。其他参数根据实际情况填写。

2

查看根证书模板详情

N/A

在“证书模板”页面单击根证书模板名称,可查看该模板的详细信息。

3

创建根CA

  • 创建自签名证书方式:根CA名称、证书模板和使用者信息等。
  • 上传证书文件方式:CA名称、.p12,.pfx或.jks格式的证书文件以及该证书文件匹配的证书口令等。

创建根CA包括使用创建自签名证书方式和上传证书文件方式,两种方式任选一种即可。具体操作请参考自定义配置CA

  • 创建自签名证书方式需要选择步骤1中创建的根证书模板,并填写模板中配置的使用者的相关信息。
    说明:

    使用创建自签名证书方式创建根CA时,“证书模板”应选择步骤1中创建的根CA级别的证书模板。其他参数根据实际情况填写。

  • 上传证书文件方式需要上传用户自己准备的证书。
    说明:

    使用上传证书文件方式创建根CA时,应上传准备的.p12,.pfx或.jks格式的证书文件,并输入和证书文件匹配的密码。其他参数根据实际情况填写。

4

查看根CA详情

N/A

在“CA管理”页面单击根CA名称,可查看该CA的详细信息。

说明:

如果CA证书的使用者和颁发者信息相同,说明该CA是自签名根CA。

5

创建子CA

子CA名称、证书模板和使用者信息等。

方法一:

在“CA管理”页面单击“新增”,选择“内部CA签名”,选择CA并为该CA创建子CA。

方法二:

  1. 在“CA管理”页面创建一个待定状态的CA,并下载该CA对应的CSR文件。
  2. 在“证书申请”页面,通过上传CSR文件方式向根CA申请证书,并下载该证书。
  3. 在“CA管理”页面,将下载的证书文件上传至待定状态的CA,该CA被激活,成为根CA的子CA。
说明:
  • 构造多个子CA时,按照实际需要重复执行创建子CA的步骤即可。
  • 创建根CA和子CA的操作均在不同的NetEco上完成,需注意配套关系。

6

查看子CA详情

N/A

在“CA管理”页面单击子CA名称,可查看该CA的详细信息。

7

申请证书

N/A

用户可通过自动申请方式向最末级子CA申请证书,自动申请证书包括使用CMP协议和使用隐私CA协议两种方式。

  • 使用CMP协议申请证书,需要配置端口状态、TLS证书、CMP协议信息、请求验证和响应保护,使用CMP请求URI申请证书。具体操作请参考全局配置配置CMP协议
    说明:
    • 如果CMP端口使用HTTP协议端口,不需要配置TLS证书。如果选择使用CA做响应保护,不需要在“响应保护配置”页签下再次配置。其他参数根据实际情况填写。
    • 鉴于HTTPS协议比HTTP协议有更多安全保证,建议配置CMP协议时选择HTTPS协议(HTTPS不认证对端或HTTPS认证对端)。
  • 使用隐私CA协议申请证书 ,需要配置端口状态、TLS证书、隐私CA协议信息和EK信任证书,使用隐私CA协议请求URI申请证书。具体操作请参考全局配置配置隐私CA协议

相关文档