Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

自签名数字证书

了解自签名数字证书,并了解如何管理自签名数字证书。

自签名证书是由创建该证书的同一实体(而不是由证书颁发机构 (CA))签名的证书。Junos OS 提供了两种生成自签名证书的方法:自动生成和手动生成。

自签名证书

自签名证书是由其创建者(而不是由证书颁发机构 (CA))签名的证书。

自签名证书允许使用基于 SSL(安全套接字层)的服务,而无需用户或管理员承担获取由 CA 签名的身份证书的大量任务。

自签名证书不像 CA 生成的证书那样提供额外的安全性。这是因为客户端无法验证连接到的服务器是否为证书中播发的服务器。

Junos OS 提供了两种生成自签名证书的方法:

  • 自动生成

    在这种情况下,证书的创建者是瞻博网络设备。默认情况下,设备上会配置自动生成的自签名证书。

    设备初始化后,它会检查是否存在自动生成的自签名证书。如果未找到,设备将生成一个并将其保存在文件系统中。

  • 手动生成

    在这种情况下,您将为设备创建自签名证书。

    您可以随时使用 CLI 生成自签名证书。这些证书还用于访问 SSL 服务。

自签名证书自生成之日起五年内有效。

自动生成的自签名证书允许使用基于 SSL 的服务,而无需管理员获取由 CA 签名的身份证书。

设备自动生成的自签名证书类似于安全外壳 (SSH) 主机密钥。它存储在文件系统中,而不是作为配置的一部分。它在设备重新启动时保留,并在发出命令时 request system snapshot 保留。

您手动生成的自签名证书允许使用基于 SSL 的服务,而无需获取由 CA 签名的身份证书。手动生成的自签名证书是公钥基础架构 (PKI) 本地证书的一个示例。与所有 PKI 本地证书一样,手动生成的自签名证书存储在文件系统中。

示例:生成公钥-私钥对

此示例说明如何生成公钥-私钥密钥对。

要求

配置此功能之前,不需要除设备初始化之外的特殊配置。

概述

在此示例中,您将生成一个名为 self-cert 的公钥-私钥对。

配置

程序

分步过程

要生成公钥-私钥密钥对,请执行以下作:

  • 创建证书密钥对。

验证

生成公钥-私钥密钥对后,瞻博网络设备将显示以下内容:

示例:手动生成自签名证书

此示例说明如何手动生成自签名证书。

要求

开始之前,请生成一个公钥私钥对。请参阅 数字证书

概述

对于手动生成的自签名证书,请在创建可分辨名称 (DN) 时指定该证书。对于自动生成的自签名证书,系统会提供 DN,并将自己标识为创建者。

在此示例中,您将生成一个电子邮件地址为 mholmes@example.net的自签名证书。指定 Web 管理要引用的 self-cert 证书 ID。

配置

程序

分步过程

要手动生成自签名证书,请在作模式下输入以下命令:

要为 Web 管理 HTTPS 服务指定手动生成的自签名证书,请在配置模式下输入以下命令:

验证

要验证证书是否正确生成和加载,请在作模式下输入以下命令:

请注意Certificate identifier显示的输出中有关Issued tovalidityalgorithmkeypair location和详细信息的信息。

要验证与 Web 管理关联的证书,请在配置模式下输入以下命令:

使用自动生成的自签名证书(CLI 过程)

设备初始化后,它会检查是否存在自签名证书。如果不存在自签名证书,设备会自动生成一个。如果设备重新启动,则会在启动时自动生成自签名证书。

要检查系统生成的证书,请在作模式下运行以下命令:

请注意 Certificate identifier 输出中的详细信息。它显示自动生成的证书的以下详细信息可分辨名称 (DN):

  • CN = device serial number

  • CN = system generated

  • CN = self-signed

在配置模式下使用以下命令指定要用于 Web 管理 HTTPS 服务的自动生成的自签名证书:

使用以下作命令删除自动生成的自签名证书:

删除系统生成的自签名证书后,设备会自动生成新证书并将其保存在文件系统中。