更新时间:2022-07-18 GMT+08:00
分享

配置请求验证

操作步骤

  1. 在主菜单中选择系统 > 关于 > CA服务
  2. 在左侧导航树中选择协议配置 > CMP配置
  3. “请求验证配置”页签中单击“新增”,进入新增请求验证页面。

    参数说明请参见表 请求验证参数说明表
    表1 请求验证参数说明表

    参数

    说明

    取值建议

    名称

    请求验证证书名称。

    请输入1~45位字符,字符类型可以是数字、大小写字母、下划线、中划线,但不能是“null”或“all”(不区分大小写)。

    缺省值:无

    建议值:无

    认证方式

    证书

    证书配置方式

    • 上传供应商根CA证书:校验CMP报文中的签名证书及其证书链的合法性。该配置方式需要上传供应商根证书,用户可根据实际需求选择是否将该证书设置为TLS信任证书。请参考具体供应商提供的获取方式获取供应商根CA证书。
    • 创建自签名证书:当用户没有身份证书和私钥时,可选择该方式,由CA服务生成一本自签名证书,用户下载后用于对CMP请求报文签名,CA服务使用该证书验证请求合法性。该配置方式需要选择根CA证书模板、签名算法和关联CA。
    • 上传已申请身份证书:当用户已申请有身份证书,并使用该证书对应的私钥对CMP请求报文进行签名时,可使用该方式将身份证书上传到CA服务器,以便验证请求合法性。该配置方式需要上传身份证书文件以及选择关联CA。
    • 上传的供应商根证书必须是.cer、.crt或.pem格式,只能上传1个文件,且文件大小小于100KB。证书文件名称长度必须为1~256个字符,由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
    • 上传已申请的身份证书必须是.cer、.crt或.pem格式,只能上传1个文件,且文件大小小于10KB。证书文件名称长度必须为1~256个字符,由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
    • 一个请求验证最多可关联32个CA。
    • 缺省值:上传供应商根CA证书
    • 建议值:上传供应商根CA证书

    预共享密钥

    预共享密钥

    当用户使用预共享密钥对CMP请求消息保护时,需要在CA端配置相同的预共享密钥,CA使用该预共享密钥对请求消息验证和响应消息保护。

    必须由8~128位字符组成,且包含数字、大小写字母、特殊字符或者其中3种并且不能超过2个连续相同字符组成。

    缺省值:无

    建议值:无

    关联CA

    选择关联CA,配置请求验证用于校验该CA的证书请求合法性。

    一个请求验证最多可关联32个CA。

    缺省值:无

    建议值:无

  4. 完成信息填写后,单击“提交”
  5. (可选)如果步骤3“证书配置方式”选择“上传供应商根CA证书”且“是否置为TLS信任证书”选择“是”,需要选择是否立即重启服务。

    • 在弹出的提示框中单击“立即重启”,依次单击“确定”,使供应商根CA证书置为TLS信任证书配置生效。
    • 在弹出的提示框中单击“稍后重启”,后续可在“全局配置 > 服务管理”页面重启服务。
    • 重启过程中,服务不可用。请耐心等待几分钟,完成重启后再进行其他操作。
    • 在服务管理页面,可以查看对应服务状态。服务状态由“重启中”变为“运行中”,表示重启服务完成。
    • 如果未重启服务,会导致供应商根CA证书置为TLS信任证书配置不生效。

相关任务

  • 查看请求验证:

    协议配置 > CMP配置页面,选择“请求验证配置”页签,单击请求验证的名称,查看详细信息。

  • 查找请求验证:

    协议配置 > CMP配置页面,选择“请求验证配置”页签,在“名称”搜索框输入要查找的请求验证名称,单击,找到指定请求验证并查看详细信息。CA服务支持按照请求验证名称模糊查询。

  • 修改请求验证:

    协议配置 > CMP配置页面,选择“请求验证配置”页签,单击右侧的“修改”,修改该请求验证配置信息。

    修改请求验证配置信息时,名称不可变更。

  • 删除请求验证:

    协议配置 > CMP配置页面,选择“请求验证配置”页签,单击右侧的“删除”,删除该请求验证。

  • 下载请求验证证书:

    协议配置 > CMP配置页面,选择“请求验证配置”页签,单击右侧的“下载”,根据实际需求选择并下载对应文件格式的请求验证证书。

    • 证书口令长度必须为8~32个字符,必须包含数字、大小写字母、特殊字符或者其中3种,并且不能超过2个连续相同字符。
    • 只有签名类型为自签名时,才支持下载请求验证证书。

相关文档