应用场景
CA服务仅为产品自身网络管理软件和设备颁发身份证书,不能为第三方设备、软件、个人用户颁发证书。
iMasterCloud CA独立组网
如图所示,在CA独立组网场景中,在iMasterCloud上部署CA服务并创建CA后,可以给iMasterCloud、应用或设备等签发终端实体证书,iMasterCloud、应用或设备等可通过CMP协议或隐私CA协议向iMasterCloud CA申请证书,安全网关等其他设备可通过离线申请的方式申请证书。
该场景适用于规模较小的组网,不适用于需要将不同的设备划分成多个子域的组网场景。
iMasterCloud CA与运营商PKI共组网
如图所示,iMasterCloud CA和运营商PKI共组网场景中,由iMasterCloud子CA给iMasterCloud、应用或设备等签发终端实体证书,由运营商子CA给安全网关等签发终端实体证书。应用或设备等需要离线安装运营商PKI根CA证书,安全网关等其他设备需要安装iMasterCloud根CA证书,才能相互交叉认证通过。
该场景适用于不同的子域之间进行隔离组网。
iMasterCloud CA与运营商PKI共组网,iMasterCloud CA作为运营商CA的子CA
如图所示,iMasterCloud CA与运营商PKI共组网,iMasterCloud CA作为运营商CA的子CA场景中,由iMasterCloud子CA给iMasterCloud、应用或设备等签发终端实体证书,由运营商子CA给安全网关等其他设备签发终端实体证书。应用或设备等需要离线安装运营商PKI根CA证书,安全网关等其他设备也需要安装运营商PKI根CA证书,才能相互认证通过。
该场景适用于运营商整网统一根CA,根CA与子CA隔离部署,并通过子CA区分子域的应用场景。
iMasterCloud CA与运营商PKI共组网(多运营商场景)
如图所示,iMasterCloud CA与运营商PKI共组网场景(多运营商场景)中,iMasterCloud、应用或设备可以同时支持向多个CA申请证书,支持不同的运营商部署不同的CA,实现运营商之间的IPSec通道隔离。iMasterCloud、应用或设备等可通过CMP协议或隐私CA协议向iMasterCloud CA自动申请证书,安全网关等其他设备需要离线申请。应用或设备和安全网关等其他设备都需要安装iMasterCloud CA证书链和运营商PKI证书链,应用或设备等在通过CMP协议或隐私CA协议申请终端实体证书时支持自动申请和离线手工导入。
