Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

自签名数字证书

自签名证书是由创建它的同一实体而不是由证书颁发机构 (CA) 签名的证书。 Junos OS 提供两种生成自签名证书的方法 - 自动生成和手动生成。

了解自签名证书

自签名证书是由其创建者而不是证书颁发机构 (CA) 签名的证书。

自签名证书允许使用基于 SSL(安全套接字层)的服务,而无需用户或管理员承担获取由 CA 签名的身份证书的艰巨任务。

自签名证书不像 CA 生成的证书那样提供额外的安全性。这是因为客户端无法验证连接到的服务器是否为证书中播发的服务器 。

Junos OS 提供两种生成自签名证书的方法:

  • 自动生成

    在这种情况下,证书的创建者是瞻博网络设备。默认情况下,将在设备上配置自动生成的自签名证书。

    设备初始化后,它会检查是否存在自动生成的自签名证书。如果找不到,设备会生成一个并将其保存在文件系统中。

  • 手动生成

    在这种情况下,您将为设备创建自签名证书。

    您可以随时使用 CLI 生成自签名证书。这些证书还用于获取对 SSL 服务的访问权限。

自签名证书自生成之日起五年内有效。

自动生成的自签名证书允许使用基于 SSL 的服务,而无需管理员获取由 CA 签名的身份证书。

设备自动生成的自签名证书类似于安全外壳 (SSH) 主机密钥。它存储在文件系统中,而不是作为配置的一部分。重新启动设备时,它会保留,发出命令时 request system snapshot 会保留。

手动生成的自签名证书允许使用基于 SSL 的服务,而无需获取由 CA 签名的身份证书。手动生成的自签名证书是公钥基础结构 (PKI) 本地证书的一个示例。与所有 PKI 本地证书一样,手动生成的自签名证书存储在文件系统中。

示例:生成公钥-私钥对

此示例演示如何生成公钥-私钥对。

要求

配置此功能之前,不需要除设备初始化之外的特殊配置。

概述

在此示例中,您将生成名为 self-cert 的公钥-私钥对。

配置

程序

分步过程

要生成公钥-私钥对,请执行以下操作:

  • 创建证书密钥对。

验证

生成公钥-私钥对后,瞻博网络设备将显示以下内容:

示例:手动生成自签名证书

此示例说明如何手动生成自签名证书。

要求

在开始之前,请生成一个公钥对。请参阅 数字证书

概述

对于手动生成的自签名证书,请在创建时指定可分辨名称 (DN)。对于自动生成的自签名证书,系统会提供 DN,将自己标识为创建者。

在此示例中,您将生成一个电子邮件地址为 mholmes@example.net的自签名证书。指定要由 Web 管理引用的self-cert证书 ID。

配置

程序

分步过程

要手动生成自签名证书,请在 操作模式下输入以下命令:

要为 Web 管理 HTTPS 服务指定手动生成的自签名证书,请在配置模式下输入以下命令:

验证

要验证证书是否已正确生成和加载,请在操作模式下输入 以下命令:

Certificate identifier请注意显示的输出中 、 algorithmvalidity、 和keypair location详细信息的信息Issued to

要验证与 Web 管理关联的证书,请在配置模式下输入以下命令:

使用自动生成的自签名证书(CLI 过程)

设备初始化后,它会检查是否存在自签名证书。如果不存在自签名证书,设备将自动生成一个。如果重新启动设备,则会在启动时自动生成自签名证书。

要检查系统生成的证书,请在操作模式下运行以下命令:

Certificate identifier请注意输出中的详细信息。它显示自动生成的证书的以下详细信息可分辨名称 (DN):

  • CN = device serial number

  • CN = system generated

  • CN = self-signed

在配置模式下使用以下命令指定要用于 Web 管理 HTTPS 服务的自动生成的自签名证书:

使用以下操作命令删除自动生成的自签名证书:

删除系统生成的自签名证书后,设备会自动生成新证书并将其保存在文件系统中。