更新时间:2022-07-18 GMT+08:00
分享

配置TLS

背景信息

  • TLS是一种安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。
  • 多租户部署场景中,配置TLS的操作需要联系管理员用户进行操作。

操作步骤

  1. 在主菜单中选择系统 > 关于 > CA服务
  2. 在左侧导航树中选择全局配置 > TLS配置
  3. 单击“证书配置”,配置TLS证书所需的各项参数。

    参数说明请参见表1表2

    • 信任证书链
      表1 信任证书链参数说明表

      参数

      说明

      取值建议

      证书链配置方式

      内部CA

      使用CA做信任证书,需要选择关联CA。

      • 缺省值:勾选
      • 建议值:勾选

      上传证书链

      使用上传的证书链文件作为信任证书。

      • 上传的信任证书链文件必须是.pem、.cer或.crt格式。
      • 上传的证书必须是一个完整的证书链,最多只能上传16个文件,且单次上传的文件大小小于160KB。
      • 证书文件名称长度必须为1~256个字符,由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
      • 缺省值:去勾选
      • 建议值:去勾选
    • 身份证书
      表2 身份证书参数说明表

      参数

      说明

      取值建议

      应用协议

      身份证书可选择应用于CMP协议或隐私CA协议。

      • 缺省值:CMP
      • 建议值:CMP

      证书配置方式

      内部CA签名

      使用CA签发的证书做身份证书,需要选择关联CA和证书模板。

      缺省值:勾选

      建议值:勾选

      上传证书文件

      身份证书

      服务端身份证书,通信过程中客户端通过校验该身份证书和身份证书链文件来确认服务端是否可信。

      • 上传的身份证书文件必须是.p12格式,只能上传1个文件,且文件大小小于20KB。
      • 证书文件名称长度必须为1~256个字符,由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
      • 缺省值:无
      • 建议值:无

      证书口令

      用户在申请证书时为证书设置的密码,包含在.p12文件中,在上传证书文件时需要输入该密码。

      缺省值:无

      建议值:无

      上传证书链

      上传身份证书对应的证书链,可选择多个文件。比如,当前导入的是一个三级CA证书,则上传对应的一级CA证书和二级CA证书。

      • 上传的身份证书链文件必须为小于100KB的.cer、.crt或者.pem格式的文件,且最多只能上传10个文件。总文件大小小于100KB。
      • 证书文件名称长度必须为1~256个字符,由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
      • 缺省值:无
      • 建议值:无

      如果TLS身份证书已存在,用户选择隐私CA协议时会弹出操作提示框:

      • 单击“确认”,替换当前身份证书,如果上传其他CA签发的身份证书,必须同步刷新设备配套的信任证书,否则会导致设备与CA服务建立TLS连接失败。

      • 单击“取消”,不进行身份证书替换的操作。

  4. 配置完成后,单击“提交”

    选择TLS单向协议时,只需上传身份证书即可。选择TLS双向协议时,需要上传信任证书链和身份证书。

  5. 选择是否立即重启服务。

    • 在弹出的提示框中单击“立即重启”,依次单击“确定”,使TLS配置生效。
    • 在弹出的提示框中单击“稍后重启”,后续可在“全局配置 > 服务管理”页面重启服务。
    • 重启过程中,服务不可用。请耐心等待几分钟,完成重启后再进行其他操作。
    • 在服务管理页面,可以查看对应服务状态。服务状态由“重启中”变为“运行中”,表示重启服务完成。

后续处理

重启服务:

在上传或删除TLS证书后,要使TLS配置生效,需要在全局配置 > 服务管理页面重启服务。

相关任务

  • 查看TLS证书:

    全局配置 > TLS配置页面,在下拉框中选择“信任证书链”或“身份证书”,可查看相应类型的证书列表。单击某TLS证书的序列号,可查看该证书的详细信息。

  • 删除TLS证书:

    全局配置 > TLS配置页面,单击TLS证书右侧的“删除”,可删除该TLS证书。

  • 导入CRL:

    全局配置 > TLS配置页面,单击TLS证书右侧的“导入CRL”,可上传信任证书链的CRL来校验对端服务器证书是否吊销。

    上传的CRL文件必须是.crl或.pem格式,且文件大小小于2MB。

  • 上传TLS证书链:

    全局配置 > TLS配置页面,单击TLS身份证书右侧的“上传证书链”,上传该证书的证书链文件。只有未配置证书链的TLS身份证书可进行此操作。

相关文档