Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

添加证书颁发机构配置文件

您在此处: 设备管理 > 证书管理 > 可信证书颁发机构

要添加证书颁发机构 (CA) 配置文件:

  1. 单击 +

    将显示添加 CA 配置文件页面。

  2. 按照 表 1 中提供的准则完成配置。
  3. 单击 OK 保存更改。如果要丢弃更改,请单击 “取消 ”(改为)。

    如果单击 OK,将创建具有提供配置的新 CA 配置文件。

表 1:添加 CA 配置文件页面上的字段

领域

行动

个人资料详细信息

CA 配置文件名称

输入唯一的 CA 配置文件名称。

CA 身份

输入 CA 身份名称。

撤销检查

从列表中选择一个选项:

  • 禁用 — 禁用数字证书状态验证。

  • OCSP — 在线证书状态协议 (OCSP) 检查证书的撤销状态。

  • CRL — CRL 是一个带有时间戳的列表,用于识别已撤销证书,由 CA 签署,并定期提供给参与的 IPsec 对等方。

Url

对于 OCSP,输入 OCSP 响应者的 HTTP 地址。

对于 CRL,请输入通过 HTTP 或轻量级目录访问协议 (LDAP) 检索 CRL 的位置名称。

连接故障时

如果 OCSP 响应程序无法联系,请启用此选项以跳过撤销检查。

注意:

此选项仅适用于 OCSP。

禁用响应程序撤销检查

启用此选项可禁用在 OCSP 响应中收到的 CA 证书的撤销检查。

注意:

此选项仅适用于 OCSP。

接受未知状态

设置为启用后,接受状态未知的证书。

注意:

此选项仅适用于 OCSP。

Nonce 有效负载

禁用选项 — 显式禁用发送非连接有效负载。

启用选项 — 启用发送 nonce 有效负载。这是默认设置。

注意:

此选项仅适用于 OCSP。

CRL 刷新间隔

输入 CRL 更新之间的时间间隔(以小时为单位)。

范围:0 到 8784 小时。

注意:

此选项仅适用于 CRL。

密码

输入用于服务器身份验证的密码。

下载失败时禁用

启用此选项以覆盖默认行为并允许证书验证,即使 CRL 无法下载。

注意:

此选项仅适用于 CRL。

招生

CA 证书

无论想要手动还是自动注册 CA 证书,都请选择一个选项。

证书的文件路径

单击“ 浏览 ”以导航至您要从何处注册 CA 证书的路径。

Url

输入要从何处自动注册 CA 证书的 URL。

重试

终止前的注册重试尝试数。范围:0 - 1080。

重试间隔

注册重试之间的间隔(秒)。范围:0 - 3600。

先进

管理员

输入证书请求发送到的管理员电子邮件地址。

源地址

输入要使用的源 IPv4 或 IPv6 地址,而不是用于与外部服务器通信的出口接口的 IP 地址。

自动重新注册

启用此选项可请求颁发 CA 在其指定的到期日期之前替换证书。

重新生成密钥对

启用此选项可在自动重新注册设备证书时自动生成新的密钥对。

协议

从列表中选择一个选项:简单证书注册协议 (SCEP) 或证书管理协议版本 2 (CMPv2)。

质询密码

输入证书颁发机构 (CA) 用于证书注册和撤销的质询密码。此质询密码必须与最初配置证书时使用的相同。

触发时间

输入到期前重新注册触发时间的百分比。

范围:1% 到 99%

消化

从列表中选择一个选项:无、SHA-1 摘要(默认)或 MD5 摘要。

注意:

此选项仅在您选择 SCEP 协议时适用。

加密

从列表中选择一个选项:无、DES、DES 3。

注意:

此选项仅在您选择 SCEP 协议时适用。

路由实例

从配置的路由实例列表中选择一个选项。

代理配置文件

从列表中选择一个选项。或

要内联创建新的代理配置文件:

  1. 单击 “创建”。

    将显示“创建代理配置文件”页面。

  2. 输入以下详细信息:

    • 配置文件名称 — 输入唯一的代理配置文件名称。

    • 连接类型:

      • 服务器 IP — 输入服务器的 IP 地址。

      • 主机名 — 输入主机名。

    • 端口号 — 使用上/下箭头选择端口号。

      范围:0 到 65535

  3. 单击 确定