文档首页/ 边缘数据中心管理 EDCM/ 用户指南/ 系统/ 关于/ CA服务/ 配置CMP协议/ 配置CMP协议信息
更新时间:2022-07-18 GMT+08:00
查看PDF
分享

配置CMP协议信息

前提条件

  • 非多租户部署场景中,如果CMP使用的端口未开启,请在CA服务 > 全局配置 > 端口管理页面开启该端口。
  • 多租户部署场景中,如果CMP使用的端口未开启,需要系统管理员在CA服务 > 全局配置 > 端口管理页面开启该端口。

操作步骤

  1. 在主菜单中选择系统 > 关于 > CA服务
  2. 在左侧导航树中选择协议配置 > CMP配置
  3. “协议配置”页签中单击CA右侧的“修改”,进入编辑页面配置各项参数。

    参数说明请参见表1
    表1 CMP协议参数说明表

    参数

    说明

    取值建议

    CA

    CA的名称。

    CA名称不可修改。

    缺省值:无

    建议值:无

    端口

    CMP协议对应的端口号。

    如果选择的端口未开启,会提示“端口未开启”,用户无法通过该端口申请证书。

    缺省值:26803

    建议值:26803

    发送CA证书

    选择是否发送CA证书到终端。

    缺省值:是

    建议值:是

    发送响应证书

    选择是否发送响应保护证书到终端。

    缺省值:是

    建议值:是

    返回证书链

    选择是否返回证书链到终端。

    缺省值:是

    建议值:是

    验证白名单

    选择是否开启白名单校验功能。

    说明:
    • 如果选择“是”,CA服务开启验证白名单功能,在通过CMP协议向CA服务申请证书时,只有公共名称在白名单之内才能成功申请证书。
    • 如果选择“否”,CA服务不开启验证白名单功能。

    缺省值:否

    建议值:否

    需要请求时间

    用于校验证书申请请求中的时间是否与当前时间一致。

    说明:
    • 如果选择“是”,证书申请请求中必须包含该字段参数,CA服务会校验该参数是否在“消息时间允许偏差”范围内。
    • 如果选择“否”,证书申请请求中可不包含该字段参数,当包含该字段参数时,CA服务会校验该参数是否在“消息时间允许偏差”范围内。

    缺省值:否

    建议值:否

    使用CMP请求的有效期

    在申请证书时,选择是否使用CMP请求报文中的有效期。

    说明:
    • 如果选择“是”,则证书有效期为该证书相关联的CA的有效期、证书模板中设置的有效期、相关联的CA中设置的有效期和CMP请求中设置的有效期四者的交集。
    • 如果选择“否”,则证书有效期为该证书相关联的CA的有效期、证书模板中设置的有效期和相关联的CA中设置的有效期三者的交集。

    缺省值:否

    建议值:否

    使用CA做响应保护

    选择是否使用CA来做向终端发送响应时的消息保护。

    说明:

    如果选择“是”,则使用CA做响应保护,不需要在“响应保护配置”页签下再次配置。

    缺省值:否

    建议值:否

    消息时间允许偏差

    CA服务会校验证书申请请求中的时间与当前时间的偏差值是否在消息时间允许偏差范围内。

    取值范围为1~3600之间的整数,单位为秒。

    缺省值:300

    建议值:300

    使用异步轮询方式

    终端向CA发送申请证书的请求后,CA端异步生成证书。终端必须定期不间断地发送轮询消息,以确认CA是否已经颁发证书。

    缺省值:否

    建议值:否

    轮询时间

    设置终端轮询的周期。

    取值范围为1~3600之间的整数,单位为秒。

    缺省值:100

    建议值:100

    证书确认等待时间

    证书申请请求为显式确认时,终端实体收到CA签发的证书,在确认时间段内未向CA发送证书确认报文,超过确认时间的证书会被CA吊销。

    取值范围为1~3600之间的整数,单位为秒。

    缺省值:100

    建议值:100

    消息保护签名算法

    用户可勾选需要使用的签名算法,如果终端使用的签名算法不在已勾选项中,CA校验时不会通过终端发送的请求。

    缺省值:SHA384withECDSA,SHA256withRSA,SHA256withECDSA,SHA384withRSA,SHA512withRSA,SHA512withECDSA

    建议值:SHA384withECDSA,SHA256withRSA,SHA256withECDSA,SHA384withRSA,SHA512withRSA,SHA512withECDSA

    POP签名算法

    可根据需要选择签名算法,用来验证由终端提交的公钥是否有对应的私钥。

    缺省值:SHA384withECDSA,SHA256withRSA,SHA256withECDSA,SHA384withRSA,SHA512withRSA,SHA512withECDSA

    建议值:SHA384withECDSA,SHA256withRSA,SHA256withECDSA,SHA384withRSA,SHA512withRSA,SHA512withECDSA

    CMP请求URI

    用户通过CMP协议向CA服务申请证书,CMP请求URI有以下两种格式:

    • 请求URI中包含签发证书的CA名称和使用的证书模板名称,例如,https://{IP}:26802/cmp/caname?certprofile=profilename,IP为通过CMP协议对接CA服务的IP地址,caname为签发证书的CA名称,profilename为使用的证书模板名称。

    • 请求URI中只包含签发证书的CA名称,不包含模板名称参数,申请证书时使用该CA的默认模板。例如,https://{IP}:26802/cmp/caname,IP为通过CMP协议对接CA服务的IP地址,caname为签发证书的CA名称。

    CMP请求URI不可修改。

    缺省值:无

    建议值:无

  4. 完成编辑后,单击“提交”

后续处理

使用CMP请求URI申请证书:

协议配置 > CMP配置页面,选择“协议配置”页签,单击某CA名称左侧的,复制该CA对应的CMP请求URI进行使用,CMP请求URI共包括以下几种类型:

  • 使用HTTP协议:
    • http://IP地址:26801/cmp/CA名称
    • http://IP地址:26801/cmp/CA名称?certprofile=证书模板名称
  • 使用单向认证协议:
    • https://IP地址:26802/cmp/CA名称
    • https://IP地址:26802/cmp/CA名称?certprofile=证书模板名称
  • 使用双向认证协议:
    • https://IP地址:26803/cmp/CA名称
    • https://IP地址:26803/cmp/CA名称?certprofile=证书模板名称

例如:http://IP地址:26801/cmp/caname?certprofile=profilename是指通过HTTP传输协议向CA服务发送一个申请证书的CMP请求。

  • certprofile参数用来指定在签发证书时使用的终端实体模板。该参数为非必传参数,如果未给定该参数时,申请证书时使用CA的默认模板。
  • 1个CA可能关联多个模板,所以CMP请求URI可能存在多个值,请根据实际情况选择。
  • 证书申请请求中的使用者信息不能和关联CA的使用者信息相同,否则会导致申请证书失败。

相关任务

  • 查看CMP协议配置信息:

    协议配置 > CMP配置页面,选择“协议配置”页签,单击CA名称左侧的,查看CMP协议详细信息。

  • 查找CMP协议配置信息:

    协议配置 > CMP配置页面,选择“协议配置”页签,在搜索框内输入CA名称,单击,找到指定CA并查看该CA的详细协议配置信息。CA服务支持按照CA名称模糊查询。

父主题: 配置CMP协议

相关文档