更新时间:2022-07-18 GMT+08:00
分享

配置CRL服务器对接参数

前提条件

  • 已具备创建、修改、查询和删除CRL服务器设置的权限。
  • 已获取CRL服务器的相关信息,如服务器IP地址、服务器端口、用户名、用户名对应密码和校验服务器使用的信任证书等。

操作步骤

  1. 在主菜单中选择系统 > 关于 > CA代理服务
  2. 在左侧导航树中选择“CRL服务器对接配置”。
  3. 单击“新增”,根据实际需求配置对接CRL服务器的参数。

    参数说明请参见表1

    表1 CRL发布服务器参数说明表

    参数

    说明

    取值建议

    名称

    CRL发布服务器的名称。

    名称长度必须为1~45个字符,由数字、字母、下划线或中划线组成。

    名称不可为“null”或“all”(不区分大小写)。

    IP地址

    CRL发布服务器的IP地址。

    N/A

    协议

    CRL发布服务器的类型。

    缺省情况下为“LDAP”

    使用TLS

    通过TLS协议将CRL发布到LDAP服务器或者FTP服务器。

    说明:
    • 如果选择“是”,需要配置信任证书链。

    • 如果选择“否”,不需要配置信任证书链。

    须知:

    不使用TLS协议存在安全风险!

    缺省情况下为“是”

    端口

    CRL发布服务器的端口。

    • 端口只能为1~65535的整数。
    • 选择LDAP协议且不使用TLS协议时,端口号缺省值为389。
    • 选择LDAP协议且使用TLS协议时,端口号缺省值为636。
    • 选择FTP协议时,端口号缺省值为21。

    登录名

    登录CRL发布服务器的名称。

    登录名长度必须为1~128个字符,且不能包含特殊字符(/\:*?"<>|)。

    登录口令

    登录CRL发布服务器的密码。

    密码长度为6~64个字符,至少包含数字、大小写字母、特殊字符中的其中3种,并且密码不能与登录名或登录名的倒写一样。

    区别名

    CRL文件在LDAP服务器上存储条目的唯一的标识。

    样例值:dc=mydomain,dc=org

    文件路径名

    CRL文件在FTP服务器上的存储路径,文件路径名配置中要给出所请求的CRL文件名。

    样例值:/root/foobar/testca/testca.crl

    信任证书链

    通信过程中,本端使用该信任证书链校验CRL服务器是否可信。

    • 上传的证书文件必须是.pem格式。
    • 上传的证书必须是一个完整的证书链,最多只能上传10个文件,且单个文件大小小于100KB。总文件大小小于100KB。
    • 证书文件名称长度必须为1~256个字符,由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。

    CA服务器

    选择关联的CA服务器。

    N/A

  4. 单击“提交”。

相关任务

  • 修改CRL服务器配置:

    对于已配置的CRL服务器,在“CRL服务器对接配置”页面单击CRL服务器右侧的“修改”,可修改该CRL服务器的配置信息。

    修改已配置的CRL服务器,可能会导致NetEco与该CRL服务器之间的业务中断,影响证书吊销,请谨慎操作。

  • 删除CRL服务器:

    对于已配置的CRL服务器,在“CRL服务器对接配置”页面单击CRL服务器配置右侧的“删除”,可删除该CRL服务器配置。

    删除已配置的CRL服务器,可能会导致NetEco与该CRL服务器之间的业务中断,影响证书吊销,请谨慎操作。

  • 连通性测试:

    在“CRL服务器对接配置”页面单击CRL服务器对接配置右侧的“测试连通性”,可通过“状态”查看其连通性。

相关文档