配置TLS
前提条件
已具备导入TLS信任证书CRL、TLS证书配置、查看TLS配置和TLS证书删除的权限。
背景信息
- TLS是一种安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。
- 多租户部署场景中,配置TLS的操作需要联系系统管理员用户进行操作。
操作步骤
- 在主菜单中选择。
- 在左侧导航树中选择。
- 单击“证书配置”,配置TLS证书所需的各项参数。参数说明请参见表1和表2。
- 信任证书链
表1 信任证书链参数说明表 参数
说明
取值建议
证书链配置方式
内部CA
使用CA做信任证书,需要选择关联CA。
缺省值:勾选
建议值:勾选
上传证书链
使用上传的证书链文件作为信任证书。如果上传的证书公钥的密钥算法为RSA1024,此证书文件存在安全风险,建议上传安全的证书文件。如果上传的证书公钥的密钥算法为RSA2048,此证书文件为中等安全,需在弹出的“提示”框中进行二次确认,建议上传安全的证书文件。
- 上传的信任证书链文件必须满足如下条件:
- 是一个完整的证书链。
- 支持.cer、.crt或者.pem格式。
- 单个文件大小需小于100KB。
- 最多只能上传16个文件。
- 单次上传总文件大小需小于160KB。
- 证书文件名称长度必须为1~256个字符,由中文、数字、大小写字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
缺省值:去勾选
建议值:去勾选
- 上传的信任证书链文件必须满足如下条件:
- 身份证书
表2 身份证书参数说明表 参数
说明
取值建议
应用协议
身份证书可选择应用于CMP协议或隐私CA协议。
说明:- 身份证书选择应用CMP协议时,可选择使用26801、26802、26803端口,端口配置请参见配置端口。
- 身份证书选择应用隐私CA协议时,默认使用26805端口。
缺省值:CMP
建议值:CMP
证书配置方式
内部CA签名
使用CA签发的证书做身份证书,需要选择关联CA和证书模板。
说明:证书模板只允许选择终端实体模板且模板中未包含“增强型密钥用法”扩展项或包含“增强型密钥用法”扩展项同时包含“TLS Web服务端认证(oid:1.3.6.1.5.5.7.3.1)”用法的证书模板。
缺省值:勾选
建议值:勾选
上传证书文件
身份证书
服务端身份证书,通信过程中客户端通过校验该身份证书和身份证书链文件来确认服务端是否可信。
说明:- 如果上传的证书公钥的密钥算法为RSA1024,此证书文件存在安全风险,建议上传安全的证书文件。如果上传的证书公钥的密钥算法为RSA2048,此证书文件为中等安全,需在弹出的“提示”框中进行二次确认,建议上传安全的证书文件。
- 上传的证书文件若包含“增强型密钥用法”扩展项,则必须包含“TLS Web服务端认证(oid:1.3.6.1.5.5.7.3.1)”用法。
- 上传的身份证书文件必须是.p12格式,只能上传1个文件,且文件大小小于20KB。
- 证书文件名称长度必须为1~256个字符,由中文、数字、大小写字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
缺省值:无
建议值:无
文件口令
用户在申请证书时为证书设置的密码,包含在.p12文件中,在上传证书文件时需要输入该密码。
缺省值:无
建议值:无
上传证书链
上传身份证书对应的证书链,可选择多个文件。比如,当前导入的是一个三级CA证书,则上传对应的一级CA证书和二级CA证书。
说明:如果上传的证书公钥的密钥算法为RSA1024,此证书文件存在安全风险,建议上传安全的证书文件。如果上传的证书公钥的密钥算法为RSA2048,此证书文件为中等安全,需在弹出的“提示”框中进行二次确认,建议上传安全的证书文件。
- 上传的身份证书链文件必须为小于100KB的.cer、.crt或者.pem格式的文件,且最多只能上传10个文件。总文件大小小于100KB。
- 证书文件名称长度必须为1~256个字符,由中文、数字、大小写字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
缺省值:无
建议值:无
- 信任证书链
- 配置完成后,单击“提交”。
选择TLS单向协议时,只需上传身份证书即可。选择TLS双向协议时,需要上传信任证书链和身份证书。
- 选择是否立即重启服务。
- 在弹出的提示框中单击“立即重启”,依次单击“确定”,使TLS配置生效。
- 在弹出的提示框中单击“稍后重启”,后续可在页面重启服务。
- 重启过程中,服务不可用。请耐心等待几分钟,完成重启后再进行其他操作。
- 在页面,可以查看对应服务状态。服务状态由“重启中”变为“运行中”,表示重启服务完成。
后续处理
重启服务:
上传或删除TLS证书后,若在弹出的提示框中单击了“稍后重启”,则需要在页面重启服务。
