文档首页/ iMasterCloud/ 配置线下系统(iMaster NeoSight)与iMasterCloud对接/ 配置云地对接/ (可选)SSO对接配置(开启远程运维时配置)/ 证书申请
更新时间:2025-11-14 GMT+08:00
查看PDF
分享

证书申请

  • 信任证书签发一份,云管与多套地端系统导入同一份信任证书;
  • 身份证书签发多份,每个OP系统都需要有单独的一份证书。

操作步骤

  1. admin用户登录iMasterCloud系统,在左侧主菜单中选择“系统 > 系统管理 > CA服务”

    根据对接OP系统租户所属实例选择对应域名访问:

    • 实例1访问:https://cn-north-4-instance-01-admin.imastercloud.huawei.com.imastercloud.huawei.com/
    • 实例2访问:https://cn-north-4-instance-02-admin.imastercloud.huawei.com.imastercloud.huawei.com/

  2. 复制CA模板。

    1. 在左侧导航树中选择CA管理 > PKI管理 > 证书模板

      在证书模板列表中,选择终端实体证书:“END_ENTITY_PREDEFINED_MULTI_KEY_TYPES_50YEARS”,单击“操作”列对应的“复制”,重命名模板名称(例如:“3072_50Y”)。

    2. 复制成功后,单击操作列对应的“修改”,修改证书模板参数“证书等级”为“子CA”,“支持密钥类型”为“RSA-3072”,参考如下,单击“提交”:

  3. 在左侧导航树中选择CA管理 > PKI管理 > CA管理。创建根CA和子CA。

    • 创建根CA。
      1. 在CA管理列表页面,单击“新增”,参考表1配置参数,保持和和图1配置一致,单击“下一步”。
        图1 创建根CA
        表1 根CA基本信息

        参数

        说明

        参考值

        名称

        根CA名称

        ROOTCA

        签名算法

        CA证书签名算法

        SHA256withRSA

        证书配置方式

        创建CA的模式

        创建自签名证书

        证书模板

        CA证书签发模板

        ROOT_CA_PREDEFINED_RSA4096_60YEARS

        公共名称

        CA证书主题属性

        ROOTCA

        国家名称

        CA证书主题属性

        CN

        组织名称

        CA证书主题属性

        Huawei

        组织单位名称

        CA证书主题属性

        iMasterCloud
      2. 设置“关联模板”为“SUB_CA_PREDEFINED_RSA4096_60YEARS”,选中“默认模板”。单击“下一步”。

      3. 设置“CA证书置为TLS信任证书”“否”,单击“提交”。

    • 创建子CA。
      1. 在CA管理列表页面,单击“新增”,参考表2配置参数,保持和和图2配置一致,单击“下一步”。
        图2 创建子CA
        表2 子CA基本信息

        参数

        说明

        参考值

        名称

        根CA名称

        SUBCA

        签名算法

        CA证书签名算法

        SHA256withRSA

        证书配置方式

        创建CA的模式

        内部CA签名

        内部CA

        关联的内部CA

        ROOTCA

        证书模板

        CA证书签发模板

        SUB_CA_PREDEFINED_RSA4096_60YEARS

        公共名称

        CA证书主题属性

        SUBCA

        国家名称

        CA证书主题属性

        CN

        组织名称

        CA证书主题属性

        Huawei

        组织单位名称

        CA证书主题属性

        iMasterCloud
      2. 设置“关联模板”2.a中的复制模板“3072_50Y”,选中“默认模板”。单击“下一步”。

      3. 设置“CA证书置为TLS信任证书”“否”,“消息签名算法”为“SHA256withRSA”单击“提交”。

  4. 申请证书。

    1. 在左侧菜单栏选择“证书申请 > 证书申请”菜单,进入“基本信息申请证书”界面。
    2. 选择证书模板,“关联CA”选择“SUBCA”“证书模板”选择2.a中的复制模板“3072_50Y”,填写基本信息,申请证书。

      基本信息申请证书,只允许申请终端证书,故证书模板选择终端级别的证书模板。再根据模板信息填写证书的主题和其他信息。最后点击右下角的“提交”按钮,完成证书申请。

  5. 下载证书(“trust.cer”、“server.cer”、“server_key.pem”)。

    • 在CA界面左侧菜单栏中,选择“PKI管理 > CA管理”,选择所要下载的证书“SUBCA”,单击操作列的“下载证书”,保存至本地并重命名为“trust.cer”

    • 在CA界面左侧菜单栏中,选择“PKI管理 > 证书管理”,选择已申请所要下载的证书,单击操作列的“下载”。

      在“下载证书”对话框中,选择文件类型为“证书”,文件名为“server”,保存至本地为“server.cer”。

      在“下载证书”对话框中,选择文件类型为“证书”,自定义“文件口令”并记录,保存至本地为“server_key.pem”。

相关文档