Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

数字证书配置概述

 

您可以手动获取 CA 和本地证书,或者使用简单证书注册协议(SCEP)或 CMPv2 联机获得。证书是可验证的和可再生的,您可以在不再需要时将其删除。

手动证书处理包括生成 PKCS10 请求、向 CA 提交、检索签名证书以及将证书手动加载到瞻博网络设备中。根据您的部署环境,您可以使用 SCEP 或 CMPv2 进行在线证书注册。

要在建立安全 VPN 连接时使用数字证书验证您的身份,必须先执行以下操作:

  • 获取您打算从中获取本地证书的 CA 证书,然后将 CA 证书加载到设备上。CA 证书可包含用于识别无效证书的 CRL。

  • 从先前已加载其 CA 证书的 CA 获取本地证书,然后将本地证书加载到设备中。本地证书使用每个通道连接建立瞻博网络设备的标识。

本主题包括以下几节:

联机注册数字证书:配置概述

您可以使用证书管理协议版本2(CMPv2)或简单证书注册协议(SCEP)来注册数字证书。要联机注册证书:

  1. 在设备上生成密钥对。请参阅示例:Example: Generating a Public-Private Key Pair

  2. 创建包含 CA 特定信息的 CA 配置文件或配置文件。请参阅示例:Example: Configuring a CA Profile

  3. 仅对于 SCEP,注册 CA 证书。请参阅Enrolling a CA Certificate Online Using SCEP

  4. 从先前已加载其 CA 证书的 CA 注册本地证书。请参阅示例:Example: Enrolling a Local Certificate Online Using SCEP联机注册本地证书。

  5. 配置自动 reenrollment。请参阅示例:Example: Using SCEP to Automatically Renew a Local Certificate

手动生成数字证书:配置概述

要手动获取数字证书:

  1. 在设备上生成密钥对。请参阅示例:Example: Generating a Public-Private Key Pair

  2. 创建包含 CA 特定信息的 CA 配置文件或配置文件。请参阅示例:Example: Configuring a CA Profile

  3. 生成本地证书的 CSR 并将其发送至 CA 服务器。请参阅示例:Example: Manually Generating a CSR for the Local Certificate and Sending It to the CA Server

  4. 将证书加载到设备上。请参阅示例:Example: Loading CA and Local Certificates Manually加载 CA 和本地证书。

  5. 配置自动 reenrollment。请参阅示例:Example: Using SCEP to Automatically Renew a Local Certificate

  6. 如有必要,在设备上加载证书的 CRL。请参阅示例:Example: Manually Loading a CRL onto the Device上。

  7. 如有必要,请使用 CRL 位置配置 CA 配置文件。请参阅示例:Example: Configuring a Certificate Authority Profile with CRL Locations