配置EK信任证书

背景信息

如果设备出厂已预装EK证书，用户通过远程证明客户端，使用隐私CA协议向CA服务发送挑战值请求并导入EK信任证书链，请求中包括AK公钥和EK证书等信息。CA服务获取请求后，验证AK公钥信息，并使用导入的EK信任证书链验证EK证书，校验成功后返回加密后的挑战值。用户通过远程证明客户端，使用隐私CA协议向CA服务发送证书申请请求，请求中包括CA名称、证书模板名称、使用者信息以及挑战值等信息。CA服务获取请求后，判断挑战值是否过期并校验AK公钥信息，校验成功后签发AK证书。

操作步骤

1. 在主菜单中选择“系统 > 关于 > CA服务”。
2. 在左侧导航树中选择“协议配置 > 隐私CA协议配置”。
3. 在“EK信任证书配置”页签中单击“新增”，配置EK信任证书所需的各项参数。

   参数说明请参见表1。

   表1 EK信任证书参数说明表

   参数	说明	取值建议
   名称	用户可自定义EK信任证书名称，用于区分不同的证书文件。	请输入1~45位字符，字符类型可以是数字、大小写字母、下划线、中划线，但不能是“null”或“all”（不区分大小写）。 缺省值：无 建议值：无
   EK信任证书	选择本地EK信任证书文件上传，用于校验通过隐私CA协议申请证书的请求。	上传的EK信任证书文件必须是.cer、.crt或.pem格式的文件，1次最多上传10个文件，且文件大小总和小于100KB。 证书文件名称长度必须为1~256个字符，由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成，且不能以“.”或空格开头。 缺省值：无 建议值：无

4. 配置完成后单击“提交”，在“EK信任证书配置”页签中可查看已配置的EK信任证书文件。

相关任务

• 查看EK信任证书：

  在“协议配置 > 隐私CA协议配置”页面，选择“EK信任证书配置”页签，单击EK信任证书名称左侧的，可查看该证书的详细信息。

• 查找EK信任证书：

  在“协议配置 > 隐私CA协议配置”页面，选择“EK信任证书配置”页签，在搜索框内输入EK信任证书名称，单击，找到指定证书并查看该证书的详细信息。CA服务支持按照EK信任证书名称模糊查询。

• 删除EK信任证书：

  在“协议配置 > 隐私CA协议配置”页面，选择“EK信任证书配置”页签，单击EK信任证书右侧的“删除”，可删除该证书链中的所有证书文件。