Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

自签名数字证书

自签名证书是由创建该证书的同一实体签署的,而不是由证书颁发机构 (CA) 签名的证书。 Junos OS 提供两种生成自签名证书的方法-自动生成和手动生成。

了解自签名证书

自签名证书是由其创建者而非证书颁发机构 (CA) 签名的证书。

自签名证书允许使用基于 SSL 的(安全套接字层)服务,而无需用户或管理员承担获取由 CA 签名的身份证书的大量任务。

自签名证书不如由 SA 生成的证书提供额外的安全性。这是因为客户端无法验证他或她连接到的服务器是否是在证书中播发的服务器。

Junos OS 提供两种生成自签名证书的方法:

  • 自动生成

    在这种情况下,证书的创建者是瞻博网络设备。默认情况下,设备上配置自动生成的自签名证书。

    初始化设备后,会检查是否存在自动生成的自签名证书。如果未找到,设备将生成一个,并将其保存在文件系统中。

  • 手动生成

    在这种情况下,您将为设备创建自签名证书。

    您可以随时使用 CLI 生成自签名证书。这些证书也用于访问 SSL 服务。

自签名证书的有效期为从生成起五年。

自动生成的自签名证书允许使用基于 SSL 的服务,而无需管理员获取由 CA 签名的身份证书。

设备自动生成的自签名证书类似于安全 Shell (SSH) 主机密钥。它存储在文件系统中,而不是作为配置的一部分。设备重新启动时,它持续存在,在发出命令时 request system snapshot 保留。

您手动生成的自签名证书允许您使用基于 SSL 的服务,而无需获取由 CA 签名的身份证书。手动生成的自签名证书是公钥基础架构 (PKI) 本地证书的一个示例。与所有 PKI 本地证书一样,手动生成的自签名证书存储在文件系统中。

另请参阅

示例:生成公钥-私有密钥对

此示例说明如何生成公共密钥与私有密钥对。

要求

配置此功能之前,不需要除设备初始化之外的特殊配置。

概述

在此示例中,您将生成一个名为 ca-ipsec 的公钥-私有密钥对。

配置

程序

逐步过程

要生成公钥-私有密钥对:

  • 创建证书密钥对。

验证

生成公钥-私钥对后,瞻博网络设备将显示以下内容:

另请参阅

示例:手动生成自签名证书

此示例说明如何手动生成自签名证书。

要求

开始之前,请生成一个公共私有密钥对。请参阅 数字证书

概述

对于手动生成的自签名证书,请在创建时指定 DN。对于自动生成的自签名证书,系统将提供 DN,将自己标识为创建者。

在此示例中,您将生成一个电子邮件地址为 mholmes@example.net的自签名证书。您指定供 Web 管理引用的 self-cert 证书 ID,该 ID 引用了示例:生成相同证书 ID 的公钥-私有密钥对。

配置

程序

逐步过程

要手动生成自签名证书:

  1. 创建自签名证书。

验证

要验证证书是否已正确生成和加载,请输入 show security pki local-certificate 操作模式命令。

使用自动生成的自签名证书(CLI 过程)

初始化设备后,会检查是否存在自签名证书。如果不存在自签名证书,设备将自动生成。

如果要使用自动生成的自签名证书提供对 HTTPS 服务的访问,可以将以下语句添加到配置中:

设备对自动生成的证书使用以下可识别名称:

使用以下命令指定将自动生成的自签名证书用于 Web 管理 HTTPS 服务:

使用以下操作命令删除自动生成的自签名证书:

删除系统生成的自签名证书后,设备自动生成新证书并将其保存在文件系统中。

相关主题