配置CA服务器对接参数
前提条件
- 已具备创建、修改、查询和删除CA服务器设置的权限。
- 已获取CA服务器相关信息,如IP地址、端口号和地址信息。
- 已在CA服务中创建CA,或已获取本端配置中的证书信息,如身份证书、身份证书私钥、私钥密码和CA证书链等。
操作步骤
- 在主菜单中选择。
- 在左侧导航树中选择“CA服务器对接配置”。
- 单击“新增”,根据实际需求配置对接CA的参数。
- 当对接CA方式为“本地CA”。
- 当对接CA方式为“外部CA”,“已有身份证书”为“是”,“证书配置方式”为“使用CMP证书”。
部分参数建议请参见表1。
表1 对接外部CA参数说明表1 参数
说明
取值建议
名称
CA的名称。
请输入1~45位由数字、字母、下划线、中划线组成的字符,但不能是“null”或“all”(不区分大小写)。
交互协议
选择通过CMP协议对接CA。
样例值:CMPv2
CA地址
由CA服务器的IP地址、端口号和地址信息组成,格式如下:
HTTP:IP地址:端口号/CA地址信息
说明:HTTP协议有安全风险(CMP证书管理协议为安全通信协议)
样例值:HTTP:IP地址:26801/cmp/caname?certprofile=profilename
身份证书
用于本端与CA通信过程中的消息签名,或者作为TLS身份证书用于TLS连接。
- 上传的证书文件必须是.pem格式,只能上传1本证书,且文件大小小于10KB。
- 证书文件名称长度必须为1~256个字符,由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
身份证书私钥
身份证书对应的私钥,用于证书申请时对证书请求消息做签名保护。
私钥密码
身份证书对应的私钥密码。
N/A
受信任证书(链)
验证CA身份的证书链,通过校验CA响应消息的签名,表明是可信CA发送的消息。
- 上传的证书文件必须是.pem格式。
- 上传的证书必须是一个完整的证书链,最多只能上传10个文件,且单个文件大小小于100KB。总文件大小小于100KB。
- 证书文件名称长度必须为1~256个字符,由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
CA证书链
CA证书本身及其父级证书组成的证书链,可作为TLS连接的信任证书。
证书配置方式
同CA进行TLS连接时是否使用本端配置中配置的CMP证书。
样例值:使用CMP证书。
- 当对接CA方式为“外部CA”,“已有身份证书”为“是”,“证书配置方式”为“不使用CMP证书”。
部分参数建议请参见表2。
表2 对接外部CA参数说明表2 参数
说明
取值建议
名称
CA的名称。
请输入1~45位由数字、字母、下划线、中划线组成的字符,但不能是“null”或“all”(不区分大小写)。
交互协议
选择通过CMP协议对接CA。
样例值:CMPv2
CA地址
由CA服务器的IP地址、端口号和地址信息组成,格式如下:
HTTP:IP地址:端口号/CA地址信息
说明:HTTP协议有安全风险(CMP证书管理协议为安全通信协议)
样例值:HTTP:IP地址:26801/cmp/caname?certprofile=profilename
身份证书
用于本端与CA通信过程中的消息签名,或者作为TLS身份证书用于TLS连接。
- 上传的证书文件必须是.pem格式,只能上传1本证书,且文件大小小于10KB。
- 证书文件名称长度必须为1~256个字符,由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
身份证书私钥
身份证书对应的私钥,用于证书申请时对证书请求消息做签名保护。
私钥密码
身份证书对应的私钥密码。
N/A
受信任证书(链)
验证CA身份的证书链,通过校验CA响应消息的签名,表明是可信CA发送的消息。
- 上传的证书文件必须是.pem格式。
- 上传的证书必须是一个完整的证书链,最多只能上传10个文件,且单个文件大小小于100KB。总文件大小小于100KB。
- 证书文件名称长度必须为1~256个字符,由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
CA证书链
CA证书本身及其父级证书组成的证书链,可作为TLS连接的信任证书。
证书配置方式
同CA进行TLS连接时是否使用本端配置中配置的CMP证书。
样例值:不使用CMP证书。
身份证书
代表本端身份的证书,服务端通过校验该身份证书确定客户端是否可信。
- 上传的证书文件必须是.pem格式,只能上传1本证书,且文件大小小于10KB。
- 证书文件名称长度必须为1~256个字符,由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
身份证书私钥
身份证书对应的私钥,用于证书申请时对证书请求消息做签名保护。
N/A
私钥密码
身份证书对应的私钥密码。
N/A
信任证书链
通信过程中,本端使用该信任证书链校验服务端是否可信。
- 上传的证书文件必须是.pem格式。
- 上传的证书必须是一个完整的证书链,最多只能上传10个文件,且单个文件大小小于100KB。总文件大小小于100KB。
- 证书文件名称长度必须为1~256个字符,由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
- 当对接CA方式为“外部CA”,“已有身份证书”为“否”。
部分参数建议请参见表3。
表3 对接外部CA参数说明表3 参数
说明
取值建议
名称
CA的名称。
请输入1~45位由数字、字母、下划线、中划线组成的字符,但不能是“null”或“all”(不区分大小写)。
交互协议
选择通过CMP协议对接CA。
样例值:CMPv2
CA地址
由CA服务器的IP地址、端口号和地址信息组成,格式如下:
HTTP:IP地址:端口号/CA地址信息
说明:HTTP协议有安全风险(CMP证书管理协议为安全通信协议)
样例值:HTTP:IP地址:26801/cmp/caname?certprofile=profilename
公共名称
证书主体通用名,建议包含可唯一标识产品的编码或非易变的产品信息。
N/A
密钥算法
使用证书模板申请证书时使用的密钥算法。
N/A
密钥长度
选择RSA算法时可选择2048、3072、4096、8192。
选择ECDSA算法时可选择256、384、521。
N/A
- 单击“提交”。
相关任务
- 下载CSR:
用户可在创建CA服务器对接配置后,在弹出的提示框选择下载CSR文件,或在“CA服务器对接配置”页面单击CA服务器配置右侧的“下载CSR”,下载该CA服务器配置对应的CSR文件。
如果未配置CSR文件,在“CA服务器对接配置”页面不可下载CSR文件。
- 导入身份证书:
在“CA服务器对接配置”页面单击CA服务器配置右侧的“导入身份证书”,可上传该CA服务器配置对应的身份证书。
如果未配置CSR文件,在“CA服务器对接配置”页面不可导入身份证书。
- 修改CA服务器配置:
在“CA服务器对接配置”页面单击CA服务器右侧的“修改”,可修改该CA服务器配置信息。
修改已配置的CA服务器,可能会导致NetEco与该CA之间的业务中断,无法申请证书,请谨慎操作。
- 删除CA服务器配置:
对于已配置的CA,在“CA服务器对接配置”页面单击CA右侧的“删除”,可删除该CA配置。
删除已配置的CA,可能会导致NetEco与该CA之间的业务中断,无法申请证书,请谨慎操作。
- 更新身份证书:
- 连通性测试:
