Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

配置路由器证书的自动重新注册

使用该 auto-re-enrollment 语句配置在现有到期日期之前自动重新注册指定的现有路由器证书。此函数会自动重新注册路由器证书。重新注册过程会请求证书颁发机构 (CA) 颁发具有新到期日期的新路由器证书。自动重新注册的日期由以下参数确定:

  • re-enroll-trigger-time—路由器证书开始日期/时间(生成证书的时间)与有效期之间的差异百分比;用于指定在过期前应启动多长时间的自动重新注册。

  • validity-period— 颁发后路由器证书将过期的天数(生成证书时设置)。

注意:

默认情况下,除非显式配置,否则不会启用此功能。这意味着未配置自动重新注册的证书将在其正常到期日期过期。

ca-profile 语句指定将联系哪个 CA 以重新注册即将过期的证书。这是颁发原始路由器证书的 CA。

challenge-password 语句为颁发证书的 CA 提供路由器证书的密码,该密码由管理员设置,通常从 CA 的 SCEP 注册网页获取。密码长度为 16 个字符。

(可选)可以使用语句 re-generate-keypair 重新生成路由器证书密钥对。

要配置自动重新注册属性,请在层次结构级别包含以下语句 [edit security pki]

percentage 是重新注册触发时间的百分比。范围可以从 1% 到 99%。

days 是有效期的天数。范围可以是 1 到 4095。

配置证书自动重新注册的任务包括:

指定证书 ID

使用该 certificate-id 语句指定要为自动重新注册配置的路由器证书的名称。要指定证书 ID,请在层次结构级别包含语句 [edit security pki auto-re-enrollment]

指定 CA 配置文件

使用该 ca-profile 语句从先前由证书 ID 指定的路由器证书中指定 CA 配置文件的名称。要指定 CA 配置文件,请在层次结构级别包含语句 [edit security pki auto-re-enrollment certificate-id certificate-name]

注意:

引用 ca-profile 的必须在层次结构级别配置 [edit security pki ca-profile ca-profile-name enrollment url] 注册 URL。

指定质询密码

质询密码由 PKI 证书 ID 指定的 CA 用于重新注册和吊销。要指定质询密码,请在层次结构级别包含以下语句 [edit security pki auto-re-enrollment certificate-id certificate-name]

指定重新注册触发时间

使用该 re-enroll-trigger-time 语句可以设置到期前发生重新注册的有效期的百分比。要指定重新注册触发时间,请在层次结构级别包含以下语句 [edit security pki auto-re-enrollment certificate-id certificate-name]

percentage 是重新注册触发时间的百分比。范围可以从 1% 到 99%。

指定重新生成密钥对

配置重新生成的密钥对时,将在重新注册期间生成新的密钥对。成功重新注册后,新密钥对和新证书将替换旧证书和密钥对。要生成新的密钥对,请在层次结构级别包含以下语句 [edit security pki auto-re-enrollment certificate-id certificate-name]

指定有效期

validity-period 语句指定指定路由器证书保持有效的路由器证书有效期(以天数为单位)。要指定有效期,请在层次结构级别包含语句 [edit security pki auto-re-enrollment certificate-id certificate-name]

days 是有效期的天数。范围可以是 1 到 4095。