为 ES PIC 配置数字证书
数字证书提供了一种通过称为证书颁发机构 (CA) 的受信任第三方对用户进行身份验证的方法。CA 验证证书持有者的身份并对证书进行“签名”,以证明证书未被伪造或更改。
要定义加密服务接口的数字证书配置,请在和[edit security ike]层次结构级别包含[edit security certificates]以下语句:
[edit security] certificates { cache-size bytes; cache-timeout-negative seconds; certification-authority ca-profile-name { ca-name ca-identity; crl filename; encoding (binary | pem); enrollment-url url-name; file certificate-filename; ldap-url url-name; } enrollment-retry attempts; local certificate-filename { certificate-key-string; load-key-file URL key-file-name; } maximum-certificates number; path-length certificate-path-length; } ike { policy ike-peer-address { description policy; encoding (binary | pem); identity identity-name; local-certificate certificate-filename; local-key-pair private-public-key-file; mode (aggressive | main); pre-shared-key (ascii-text key | hexadecimal key); proposals [ proposal-names ]; } }
为 ES PIC 配置数字证书的任务如下:
配置 ES PIC 的证书颁发机构属性
CA 是受信任的第三方组织,负责创建、注册、验证和吊销数字证书。
要为 ES PIC 配置证书颁发机构及其属性,请在层次结构级别包含以下语句 [edit security certificates] :
[edit security certificates] certification-authority ca-profile-name { ca-name ca-identity; crl filename; encoding (binary | pem); enrollment-url url-name; file certificate-filename; ldap-url url-name; }
ca-profile-name 是 CA 配置文件名称。
配置 CA 属性的任务包括:
指定证书颁发机构名称
如果使用简单证书注册协议 (SCEP) 向 CA 注册,则除了 SCEP 服务器的 URL 外,还需要指定证书请求中使用的 CA 名称(CA 标识)。
要指定 CA 身份的名称,请在层次结构级别包含 ca-name 语句 [edit security certificates certification-authority ca-profile-name] :
[edit security certificates certification-authority ca-profile-name] ca-name ca-identity;
ca-identity 指定要在证书请求中使用的 CA 标识。它通常是 CA 域名。
配置证书吊销列表
证书吊销列表 (CRL) 包含在到期日期之前已取消的数字证书的列表。当参与的对等方使用数字证书时,它会检查证书的签名和有效性。它还获取最近颁发的 CRL,并检查证书序列号是否不在该 CRL 上。
要配置 CA 证书吊销列表,请包含 crl 该语句并指定要从中读取层次结构级别 [edit security certificates certification-authority ca-profile-name] CRL 的文件:
[edit security certificates certification-authority ca-profile-name] crl filename;
配置 CA 支持的编码类型
默认情况下,编码设置为二进制。编码指定用于和local-key-pair语句的local-certificate文件格式。默认情况下,启用二进制(可分辨编码规则)格式。隐私增强型邮件 (PEM) 是一种 ASCII base 64 编码格式。请咨询您的 CA 以确定它支持哪些文件格式。
要配置 CA 支持的文件格式,请包含 encoding 语句并在层次结构级别指定 [edit security certificates certification-authority ca-profile-name] 二进制或 PEM 格式:
[edit security certificates certification-authority ca-profile-name] encoding (binary | pem);
指定注册 URL
指定路由器或交换机发送基于 SCEP 的证书注册请求的 CA 位置。要通过命名 CA URL 来指定 CA 位置,请在层次结构级别包含 enrollment-url 语句 [edit security certificates certification-authority ca-profile-name] :
[edit security certificates certification-authority ca-profile-name] enrollment-url url-name;
url-name 是 CA 位置。格式为 http://ca-name,其中 ca-name 是 CA 主机 DNS 名称或 IP 地址。
指定要读取数字证书的文件
要指定要从中读取数字证书的文件,请包含该语句并在 file 层次结构级别指定 [edit security certificates certification-authority ca-profile-name] 证书文件名:
[edit security certificates certification-authority ca-profile-name] file certificate-filename;
指定 LDAP URL
如果您的 CA 将其当前 CRL 存储在其轻型目录访问协议 (LDAP) 服务器上,您可以选择在使用数字证书之前检查您的 CA CRL 列表。如果数字证书出现在 CA CRL 上,则您的路由器或交换机无法使用它。要访问 CA CRL,请在层次结构级别包含 ldap-url 语句 [edit security certificates certification-authority ca-profile-name] :
[edit security certificates certification-authority ca-profile-name] ldap-url url-name;
url-name 是证书颁发机构 LDAP 服务器名称。格式为 ldap://server-name, server-name CA 主机 DNS 名称或 IP 地址。
配置缓存大小
默认情况下,缓存大小为 2 兆字节 (MB)。要配置数字证书的总缓存大小,请在层次结构级别包含 cache-size 语句 [edit security certificates] :
[edit security certificates] cache-size bytes;
bytes 是数字证书的缓存大小。范围可以是 64 到 4,294,967,295 字节。
我们建议您将缓存大小限制为 4 MB。
配置负缓存
负缓存会存储负结果并缩短否定答案的响应时间。它还减少了发送到远程服务器的邮件数。保持负缓存状态允许系统在重试查找尝试时快速返回失败条件。如果没有负缓存状态,重试将需要等待远程服务器无法响应,即使系统已经“知道”远程服务器没有响应。
默认情况下,负缓存为 20 秒。要配置负缓存,请在层次结构级别包含 cache-timeout-negative 语句 [edit security certificates] :
[edit security certificates] cache-timeout-negative seconds;
seconds 是负缓存中存在失败的 CA 或路由器证书的时间量。搜索具有匹配 CA 身份(证书的域名或 CRL 的 CA 域名和序列号)的证书时,首先搜索负缓存。如果在负缓存中找到条目,搜索将立即失败。
配置较大的负缓存值会使您容易受到拒绝服务 (DoS) 攻击。
配置注册重试次数
默认情况下,注册重试次数设置为 0,即无限次重试。要指定路由器或交换机重新发送证书请求的次数,请在层次结构级别包含 enrollment-retry 语句 [edit security certificates] :
[edit security certificates] enrollment-retry attempts;
attempts 是注册重试次数(0 到 100)。
配置对等证书的最大数量
默认情况下,要缓存的最大对等证书数为 1024。要配置要高速缓存的最大对等证书数,请在层次结构语句级别包含maximum-certificates[edit security certificates]语句:
[edit security certificates] maximum-certificates number;
number 是要缓存的最大对等证书数。范围为 64 到 4,294,967,295 个对等证书。
配置证书层次结构的路径长度
证书颁发机构可以向其他 CA 颁发证书。这将创建一个树状的认证层次结构。层次结构中受信任度最高的 CA 称为 信任锚。有时,信任锚是根 CA,通常由其自身签名。在层次结构中,每个证书都由其正上方的 CA 签名。根 CA 证书是一个例外,它通常由根 CA 本身签名。通常,可能需要多个证书链,包括由一个 CA 签名的公钥所有者(最终实体)的证书,以及由其他 CA 签名的零个或多个其他 CA 证书。此类链(称为证书路径)是必需的,因为公钥用户仅使用有限数量的有保证的 CA 公钥进行初始化。
路径长度是指证书从一个证书到另一个证书的路径,基于 CA 及其“子级”的关系。配置语句 path-length 时,您可以指定层次结构的最大深度,以验证从可信根 CA 证书到相关证书的证书。有关证书层次结构的详细信息,请参阅 RFC 3280, 互联网 X.509 公钥基础结构证书和证书吊销列表 (CRL) 配置文件。
默认情况下,最大证书路径长度设置为 15。根锚点为 1。
要配置路径长度,请在层次结构级别包含 path-length 语句 [edit security certificates] :
[edit security certificates] path-length certificate-path-length;
certificate-path-length 是证书路径长度的最大证书数。范围为 2 到 15 个证书。