配置CMP协议信息
前提条件
CMP使用的端口已开启。如未开启:
- 非多租户部署场景中,请在页面开启该端口。
- 多租户部署场景中,需要系统管理员在页面开启该端口。
- 已具备修改、查看CMP协议配置的权限。
操作步骤
- 在主菜单中选择。
- 在左侧导航树中选择。
- 在“协议配置”页签中单击CA右侧的“修改”,进入编辑页面配置各项参数。
参数说明请参见表1。
表1 CMP协议参数说明表 参数
说明
取值建议
CA
CA的名称。
CA名称不可修改。
缺省值:无
建议值:无
端口
CMP协议对应的端口号。
如果选择的端口未开启,会提示“端口未开启”,用户无法通过该端口申请证书。
缺省值:26803
建议值:26803
发送CA证书
选择是否发送CA证书到终端。
缺省值:是
建议值:是
发送响应证书
选择是否发送响应保护证书到终端。
缺省值:是
建议值:是
返回证书链
选择是否返回证书链到终端。
缺省值:是
建议值:是
验证白名单
选择是否开启白名单校验功能。- 如果选择“是”,CA服务开启验证白名单功能,在通过CMP协议向CA服务申请证书时,只有公共名称在白名单之内才能成功申请证书。配置白名单,请参见场景一:新增白名单。
- 如果选择“否”,CA服务不开启验证白名单功能。
缺省值:否
建议值:否
开启过期证书白名单功能
选择是否开启过期证书白名单功能。- 如果选择“是”,CA服务开启验证过期证书白名单功能,在使用过期的终端实体初始证书通过CMP协议向CA服务申请证书时,只有终端实体初始证书的公共名称在过期证书白名单之内才能成功申请证书。配置过期证书白名单,请参见场景二:新增过期证书白名单。
说明:
开启过期证书白名单功能必须先将CMP配置对应的端口协议配置为HTTP,开启过期证书白名单功能和端口协议配置为HTTP都存在风险,使用完成后请及时修改。
- 如果选择“否”,CA服务不开启验证过期证书白名单功能,不允许使用过期的终端实体初始证书通过CMP协议向CA服务申请证书。
缺省值:否
建议值:否
需要请求时间
用于校验证书申请请求中的时间是否与当前时间一致。- 如果选择“是”,证书申请请求中必须包含该字段参数,CA服务会校验该参数是否在“消息时间允许偏差”范围内。
- 如果选择“否”,证书申请请求中可不包含该字段参数,当包含该字段参数时,CA服务会校验该参数是否在“消息时间允许偏差”范围内。
缺省值:否
建议值:否
使用CMP请求的有效期
在申请证书时,选择是否使用CMP请求报文中的有效期。- 如果选择“是”,则证书有效期为该证书相关联的CA的有效期、证书模板中设置的有效期、相关联的CA中设置的有效期和CMP请求中设置的有效期四者的交集。
- 如果选择“否”,则证书有效期为该证书相关联的CA的有效期、证书模板中设置的有效期和相关联的CA中设置的有效期三者的交集。
缺省值:否
建议值:否
使用CA做响应保护
选择是否使用CA来做向终端发送响应时的消息保护。- 如果选择“是”则使用CA证书做响应消息签名保护。
- 如果选择“否”则须在响应保护页签单独配置响应消息签名保护证书,并使用该证书对响应消息做签名保护。
缺省值:否
建议值:否
消息时间允许偏差
证书请求中的时间与CA服务系统当前时间之间允许偏差的最大值。
说明:CA服务会校验证书请求中的时间与CA服务系统当前时间的偏差值是否在消息时间允许偏差范围内。
取值范围为1~3600之间的整数,单位为秒。
缺省值:300
建议值:300
使用异步轮询方式
终端向CA发送申请证书的请求后,CA端异步生成证书。终端必须定期不间断地发送轮询消息,以确认CA是否已经颁发证书。
缺省值:否
建议值:否
轮询时间
设置终端轮询的周期。
说明:异步轮询时间不能大于证书确认等待时间。
取值范围为1~3600之间的整数,单位为秒。
缺省值:10
建议值:10
证书确认等待时间
证书申请请求为显式确认时,终端实体收到CA签发的证书,在确认时间段内未向CA发送证书确认报文,超过确认时间的证书会被CA吊销。
取值范围为1~3600之间的整数,单位为秒。
缺省值:100
建议值:100
消息保护签名算法
可配置允许的CMP请求报文签名算法,如果客户端发送的CMP请求报文签名算法不在已勾选的签名算法内则拒绝该请求。
缺省值:SHA384withECDSA,SHA256withRSA,SHA256withECDSA,SHA384withRSA,SHA512withRSA,SHA512withECDSA,SHA256withRSASSA-PSS,SHA384withRSASSA-PSS,SHA512withRSASSA-PSS
建议值:SHA384withECDSA,SHA256withRSA,SHA256withECDSA,SHA384withRSA,SHA512withRSA,SHA512withECDSA,SHA256withRSASSA-PSS,SHA384withRSASSA-PSS,SHA512withRSASSA-PSS
POP签名算法
POP签名用于校验客户端是否持有公钥对应的私钥,客户端需使用私钥报文中的特定内容进行签名,服务端会使用请求报文中的公钥进行验证签名,验证签名通过则证明客户端持有该公钥对应的私钥。可配置允许的POP签名算法,如果客户端发送的CMP请求报文中的POP签名算法不在已勾选的签名算法内则拒绝请求。
缺省值:SHA384withECDSA,SHA256withRSA,SHA256withECDSA,SHA384withRSA,SHA512withRSA,SHA512withECDSA,SHA256withRSASSA-PSS,SHA384withRSASSA-PSS,SHA512withRSASSA-PSS
建议值:SHA384withECDSA,SHA256withRSA,SHA256withECDSA,SHA384withRSA,SHA512withRSA,SHA512withECDSA,SHA256withRSASSA-PSS,SHA384withRSASSA-PSS,SHA512withRSASSA-PSS
CMP请求URI
用户通过CMP协议向CA服务申请证书,CMP请求URI有以下两种格式:
-
请求URI中包含签发证书的CA名称和使用的证书模板名称,例如,https://IP地址:26802/cmp/caname?certprofile=profilename,IP地址为通过CMP协议对接CA服务的IP地址,caname为签发证书的CA名称,profilename为使用的证书模板名称。
-
请求URI中只包含签发证书的CA名称,不包含模板名称参数,申请证书时使用该CA的默认模板。例如,https://IP地址:26802/cmp/caname,IP地址为通过CMP协议对接CA服务的IP地址,caname为签发证书的CA名称。
说明:多租户部署场景中,用户通过CMP协议向CA服务申请证书,CMP请求URI有以下两种格式:
- 请求URI中包含签发证书的CA名称、使用的证书模板名称和租户ID,例如,https://IP地址:26802/cmp/caname?certprofile=profilename&tenantId=xxx。
- 请求URI中包含签发证书的CA名称和租户ID,不包含模板名称参数,申请证书时使用该CA的默认模板。例如,https://IP地址:26802/cmp/caname?tenantId=xxx。
CMP请求URI不可修改。
缺省值:无
建议值:无
- 完成编辑后,单击“提交”。
后续处理
使用CMP请求URI申请证书:
在页面,选择“协议配置”页签,单击某CA名称左侧的
,复制该CA对应的CMP请求URI进行使用,CMP请求URI包括以下几种类型:
- 使用HTTP协议:
- http://IP地址:端口号/cmp/CA名称
- http://IP地址:端口号/cmp/CA名称?certprofile=证书模板名称
- 使用单向认证协议或双向认证协议:
- https://IP地址:端口号/cmp/CA名称
- https://IP地址:端口号/cmp/CA名称?certprofile=证书模板名称
例如:https://IP地址:26801/cmp/caname?certprofile=profilename是指通过HTTPS传输协议向CA服务发送一个申请证书的CMP请求。
- certprofile参数用来指定在签发证书时使用的终端实体模板。该参数为非必传参数,如果未给定该参数时,申请证书时使用CA的默认模板。
- 1个CA可能关联多个模板,所以CMP请求URI可能存在多个值,请根据实际情况选择。
- 证书申请请求中的使用者信息不能和关联CA的使用者信息相同,否则会导致申请证书失败。
- 端口号可能为26801、26802、26803。在左侧导航树中选择,进入端口管理页面,可以查看或配置端口号对应的协议(鉴于HTTPS协议比HTTP协议有更多安全保证,建议选择HTTPS协议)。
