Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置路由器证书的自动重新滚动

使用 该 auto-re-enrollment 语句在现有到期日期之前配置指定现有路由器证书的自动重新执行。此功能会自动重新滚动路由器证书。重新扩展进程要求证书授权机构 (CA) 发布具有新到期日期的新路由器证书。自动重新滚动的日期由以下参数确定:

  • re-enroll-trigger-time— 路由器证书开始日期/时间(生成证书时)与有效期之间的差异百分比:用于指定在到期前应启动多长时间自动重新执行。

  • validity-period— 发出路由器证书到期后的天数,如生成证书时所设定的。

注意:

默认情况下,除非显式配置,否则此功能不会启用。这意味着未配置自动重新播发的证书将在正常到期日期到期。

ca-profile 声明指定将联系哪些 CA 以重新提供到期证书。这是发出原始路由器证书的 CA。

challenge-password 语句为发出的 CA 提供由管理员设置且通常从 CA 的 SCEP 注册网页获得的路由器证书的密码。密码长度为 16 个字符。

路由器证书密钥对可使用 re-generate-keypair 语句重新生成。

要配置自动重新滚动属性,请在层次结构级别中 [edit security pki] 包含以下语句:

percentage 是重新启动触发时间的百分比。范围可以是 1% 到 99%。

days 是有效期的天数。范围为 1 到 4095。

配置证书自动重新加长的任务包括:

指定证书 ID

使用 语 certificate-id 句指定路由器证书的名称以配置自动重新加载。要指定证书 ID,请在层次结构级别包括 [edit security pki auto-re-enrollment] 语句:

指定 CA 配置文件

使用 语 ca-profile 句从先前由证书 ID 指定的路由器证书中指定 CA 配置文件的名称。要指定 CA 配置文件,请在层次结构级别包括 [edit security pki auto-re-enrollment certificate-id certificate-name] 语句:

注意:

ca-profile引用的必须具有在[edit security pki ca-profile ca-profile-name enrollment url]层次结构级别上配置的注册 URL。

指定挑战密码

挑战密码由 PKI 证书 ID 指定的 CA 用于重新发起和撤消。要指定挑战密码,请在层次结构级别包括 [edit security pki auto-re-enrollment certificate-id certificate-name] 以下语句:

指定 Reenroll 触发时间

使用 语 re-enroll-trigger-time 句设置发生重新滚动的有效期百分比。要指定重新启动触发时间,请在层次结构级别包括 [edit security pki auto-re-enrollment certificate-id certificate-name] 以下语句:

percentage 是重新启动触发时间的百分比。范围可以是 1% 到 99%。

指定重新生成密钥对

配置重新生成的密钥对时,会在重新滚动期间生成新的密钥对。在成功重新滚动时,新密钥对和新证书将替换旧证书和密钥对。要生成新密钥对,请在层次结构级别包括 [edit security pki auto-re-enrollment certificate-id certificate-name] 以下语句:

指定有效期

validity-period 语句指定了路由器证书的有效期(在数天内)指定指定的路由器证书仍然有效。要指定有效期,请在层次结构级别包括 [edit security pki auto-re-enrollment certificate-id certificate-name] 语句:

days 是有效期的天数。范围为 1 到 4095。