向导式配置子CA
前提条件
已具备初始化CA和下载CA证书的权限。
背景信息
向导式配置子CA使用场景介绍:
- 多套iMasterCloud场景下,其中一套iMasterCloud作为根CA,其他iMasterCloud作为子CA。
- 对接外部第三方CA系统,将向导式配置的子CA作为外部第三方CA的子CA。
操作步骤
- 在主菜单中选择。
- 在左侧导航树中选择。
- 在弹出的警告框中单击“确定”或单击“向导式配置”。
如果当前系统中未创建CA,会弹出警告框。
- 选择“作为子CA”,单击“下一步”。
- 获取CSR文件。
- 配置生成CSR文件所需的各项参数。参数说明请参见表1。
表1 生成CSR参数说明 参数
说明
取值建议
名称
子CA名称,可自定义输入。
请输入1~45个字符,字符类型可以是数字、大小写字母、下划线、中划线,但不能是“null”或“all”(不区分大小写)。
签名算法
子CA签发证书时使用的签名算法。
说明:签名算法RSASSA-PSS比RSA更安全。目前仅TLS1.3支持RSASSA-PSS签名的证书,TLS1.2及以下版本不支持。
签名算法详细说明请参见表1。
RSA(2048位以下)和ECDSA(224位以下)为不安全的密钥算法,RSA(2048位)为中等强度密钥算法,为了确保系统通信安全,请使用RSA(3072位及以上)或ECDSA(256位及以上)密钥算法生成证书的私钥。
缺省值:无
建议值:无
最大有效期
子CA签发的证书的最大有效期。
说明:签发证书最大有效期至9999年12月31日 23:59:59。
缺省值:80年
建议值:80年
证书模板
选择创建子CA的模板。
预置模板具体信息请参见表1。
模板选择后会显示需要输入的使用者信息。
根据实际需要选择模板。
公共名称
子CA证书中使用者信息的公共名称。
说明:建议证书链中的CA证书公共名称唯一。
缺省值:无
建议值:无
国家/地区
子CA证书中使用者信息的国家或地区信息。
例如:中国则输入CN。其他则根据具体情况输入。
组织名称
子CA证书中使用者信息的组织名称。
缺省值:无
建议值:无
组织单位名称
子CA证书中使用者信息的组织单位名称。
缺省值:无
建议值:无
证书序列号长度(字符)
当前子CA签发的证书序列号长度,该序列号长度为组成序列号的十六进制字符数量。
取值范围为18~40之间的整数,单位为字符。
缺省值:30
建议值:30
证书吊销列表生成时间
设置证书吊销列表的生成时间,一般显示为当前系统时间。
缺省值:当前系统时间
建议值:当前系统时间
证书吊销列表生成间隔时间(天)
设置每隔多久生成一次吊销列表。CA会根据生成间隔周期性地生成吊销列表。
取值范围为1~7300之间的整数,单位为天。
缺省值:25
建议值:25
包含吊销原因
取值说明如下:
“是”:吊销列表中会包含被吊销证书的吊销原因。
“否”:吊销列表中不包含被吊销证书的吊销原因。
缺省值:是
建议值:是
证书吊销列表重叠时间(分钟)
吊销列表是周期性生成的,在上一个吊销列表即将到期之前需要生成新的吊销列表,以确保每个时刻都有可用的吊销列表。吊销列表重叠时间用于指定在上一个吊销列表到期之前多久生成新的吊销列表,以确保上一个吊销列表到期之前会有新的吊销列表生成。
取值范围为1~60之间的整数,单位为分钟。
缺省值:10
建议值:10
证书签发模板
用于签发终端实体证书的模板。
说明:- 单击“配置模板”,出现“配置模板”弹出框,单击模板名称可查看模板详情。
- 在“设置关联模板”区域选择“证书签发模板”。
- 然后在“设置默认模板”区域选择“默认证书签发模板”。
- 单击“提交”,如果上传的证书公钥的密钥算法为RSA1024,此证书文件存在安全风险,建议上传安全的证书文件。如果上传的证书公钥的密钥算法为RSA2048,此证书文件为中等安全,需在弹出的“提示”框中进行二次确认,建议上传安全的证书文件。
根据实际需要选择模板。
默认证书签发模板
通过CMP协议申请证书时,如果未指定证书签发模板,则系统使用默认证书签发模板签发证书。
根据实际需要选择模板。
- 单击“生成CSR”。
- 在弹出的提示框中单击“下载CSR”,或单击“确定”后单击“下载CSR”,将CSR文件下载到本地。
后续也可以选择在页面,单击创建的子CA右侧的“更多>下载CSR”,将CSR文件下载到本地。
- 配置生成CSR文件所需的各项参数。参数说明请参见表1。
- 使用CSR文件向根CA申请证书,此处以向iMasterCloud创建的根CA申请证书为例。
- 登录根CA所在iMasterCloud。
- 在主菜单中选择。
- 在左侧导航树中选择。
- 在“上传文件申请证书”页签中,使用步骤5中的CSR文件向根CA申请证书。
- 单击“提交”。
- 单击“确定”,自动进入页面。
- 在页面,单击证书右侧的“下载证书”,将该证书下载到本地。
- 获取根CA证书。
- 登录根CA所在iMasterCloud。
- 在主菜单中选择。
- 在左侧导航树中选择。在CA管理页面,选择已创建的根CA并单击“下载CA证书”。
- 上传CA证书链。
- 登录向导式创建并作为子CA的iMasterCloud。
- 在主菜单中选择。
- 在左侧导航树中选择。
- 单击步骤5中创建的子的CA右侧的“更多 > 上传CA证书”,返回向导式配置界面。
- 上传步骤6中下载的证书和步骤7中下载的根证书。
- 如果下载的文件为.zip格式,需解压后获取.cer格式的文件,进行上传。
- 导入CA证书链:CA证书链文件为小于100KB的cer,crt或pem格式的文件,最多上传10个。文件名长度必须为1~256个字符, 字符类型可以是中文、数字、大小写字母、下划线、中划线、空格、“.”、“(”、“)”,且不能以“.”或空格开头。
- 上传的证书必须是一个完整的证书链。
- 如果上传的证书公钥的密钥算法为RSA1024,此证书文件存在安全风险,建议上传安全的证书文件。如果上传的证书公钥的密钥算法为RSA2048,此证书文件为中等安全,需在弹出的“提示”框中进行二次确认,建议上传安全的证书文件。
- 单击“下一步”。
- 配置CMP协议所需的各项参数。参数说明请参见表2。
表2 配置CMP参数说明 参数
说明
取值建议
是否配置CMP
选择是否配置CMP。
说明:通过配置CMP,创建的CA可支持通过CMP协议在线申请证书,若不配置,创建的CA仅支持在界面离线申请证书。
缺省值:是
建议值:是
是否配置供应商信任证书
选择是否配置供应商信任证书。
缺省值:是
建议值:是
供应商信任证书
用于CMP协议申请证书,CA端使用供应商信任证书验证客户端的消息签名证书。当承载协议选择使用HTTPS时,供应商信任证书会作为CA端的TLS信任证书。当供应商信任证书用于TLS通信时,为保证TLS连接建立成功,需要上传完整的证书链。
如果上传的证书公钥的密钥算法为RSA1024,此证书文件存在安全风险,建议上传安全的证书文件。如果上传的证书公钥的密钥算法为RSA2048,此证书文件为中等安全,需在弹出的“提示”框中进行二次确认,建议上传安全的证书文件。
供应商信任证书文件为小于100KB的cer,crt或pem格式的文件,最多上传8个。文件名长度必须为1~256个字符,字符类型可以是中文、数字、大小写字母、下划线、中划线、空格、“.”、“(”、“)”,且不能以“.”或空格开头。
缺省值:无
建议值:无
承载协议
可根据需要选择HTTP、HTTPS不认证对端或HTTPS认证对端来访问CA端,申请证书。
说明:鉴于HTTPS协议比HTTP协议有更多安全保证,建议配置CMP协议时选择HTTPS协议(HTTPS不认证对端或HTTPS认证对端)。
缺省值:HTTPS认证对端
建议值:HTTPS认证对端
端口
CMP协议对应的端口号。
如果选择的端口未开启,会提示“端口未开启”,用户无法通过该端口申请证书。
缺省值:26803
建议值:26803
是否更新TLS身份证书
- 如果当前CA服务中无身份证书,缺省值为“是”且不可配置。
- 如果当前CA服务中已存在身份证书,缺省值为“否”。可根据实际需求选择是否更新TLS身份证书。
根据实际需要选择。
证书模板
如果“是否更新TLS身份证书”选择“是”,需要选择证书模板。
根据实际需要选择模板。
使用者
根据选择的证书模板,界面显示对应需要填写的公共名称等使用者信息。
缺省值:无
建议值:无
- 单击“提交”。
- 选择是否立即重启服务。
- 在弹出的提示框中单击“立即重启”,依次单击“确定”,使供应商信任证书配置、端口配置、TLS身份证书配置生效。
- 在弹出的提示框中单击“稍后重启”,后续可在页面重启服务。
- 选择不配置CMP或创建国密CA时配置CMP但未配置供应商信任证书、不更新TLS身份证书,只提示配置成功。
- 重启过程中,服务不可用。请耐心等待几分钟,完成重启后再进行其他操作。
- 在页面,可以查看对应服务状态。服务状态由“重启中”变为“运行中”,表示重启服务完成。
- 如果未重启服务,会导致供应商信任证书配置、端口配置、TLS身份证书配置不生效。
