Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

配置受信任的 CA 组

 

本节介绍创建受信任 CA 组的过程,以获取 CA 配置文件列表并删除受信任的 CA 组。

为 CA 配置文件列表创建受信任的 CA 组

您可以配置并分配受信任的 CA 组,以便对实体进行授权。当对等方尝试与客户端建立连接时,只有该实体的特定受信任 CA 颁发的证书得到验证。设备将验证证书的颁发者,以及用于证明证书是否属于同一个客户端网络。如果颁发者和演示者属于同一客户端网络,则建立连接。如果不是,则不会建立连接。

开始之前,必须先列出要添加到受信任组中的所有 CA 配置文件。

在此示例中,我们将创建三个 ca orgA-ca-profile配置orgB-ca-profile文件orgC-ca-profile ,并将以下 ca 标识符ca-profile1ca-profile2ca-profile3和相关配置文件关联在一起。您可以将三个 CA 配置文件组合为属于受信任的 CA orgABC-trusted-ca-group组。

注意

您最多可以为一个受信任的 CA 组配置20个 CA 配置文件。

  1. 创建 CA 配置文件并将 CA 标识符与配置文件相关联。
  2. 在受信任的 CA 组下对 CA 配置文件进行分组。
  3. 配置 CA 配置文件和受信任的 CA 组之后,提交配置。

要查看设备上配置的 CA 配置文件和受信任的 CA 组, show security pki请运行命令。

show security pki命令显示分组下的所有 CA 配置文件orgABC_trusted-ca-group

从受信任的 CA 组中删除 CA 配置文件

您可以删除受信任的 CA 组中的特定 CA 配置文件,也可以删除受信任的 CA 组本身。

例如,如果您想要从受信任的 CA 组orgC-ca-profileorgABC-trusted-ca-group中删除名为的 ca 配置文件,在设备上配置为 CA 配置文件列表创建受信任的 CA 组 ,如主题中所示,执行以下步骤:

  1. 从受信任的 CA 组中删除 CA 配置文件。
  2. 如果您已完成从受信任的 CA 组中删除 CA 配置文件,请提交配置。

要查看orgC-ca-profile从中删除的orgABC-trusted-ca-group ,请运行show security pki命令。

orgC-ca-profile配置文件从受信任的 CA 组中删除时,输出不会显示。

删除受信任的 CA 组

实体可支持许多受信任的 CA 组,您可以删除实体的任何受信任的 CA 组。

例如,如果您想要删除在设备上配置的受orgABC-trusted-ca-group信任 CA 组,如主题中为 CA 配置文件列表创建受信任的 CA 组所示,请执行以下步骤:

  1. 删除受信任的 CA 组。
  2. 如果您已完成从受信任的 CA 组中删除 CA 配置文件,请提交配置。

要查看从orgABC-trusted-ca-group实体中删除的,请运行show security pki命令。

在从实体中删除orgABC-trusted-ca-group时,输出不会显示。