PKI典型配置指导

目录第1章PKI典型配置指导...1.1PKI实体向CA申请证书典型配置指导（方式一）..1.1.1组网图..1.1.2应用要求..1.1.3适用产品、版本..1.1.4配置过程和解释..1.1.5完整配置..1.1.6配置注意事项..1.2PKI实体向CA申请证书典型配置指导（方式二）..1.2.1组网图..1.2.2应用要求..1.2.3适用产品、版本..1.2.4配置过程和解释..1.2.5完整配置..1.2.6配置注意事项..1.3证书属性的访问控制策略应用典型配置指导..1.3.1组网图..1.3.2应用要求..1.3.3适用产品、版本..1.3.4配置过程和解释..1.3.5完整配置..1.3.6配置注意事项..第1章PKI典型配置指导1.1PKI实体向CA申请证书典型配置指导（方式一）PKI（PublicKeyInfrastructure，公钥基础设施）是通过使用公开密钥技术和数字证书来确保系统信息安全，并负责验证数字证书持有者身份的一种体系。PKI的功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥，为用户获取证书、访问证书和宣告证书作废提供了方便的途径。同时利用数字证书及相关的各种服务（证书发布、黑名单发布等）实现通信过程中各实体的身份认证，保证了通信数据的机密性、完整性和不可否认性。1.1.1组网图CAserverInternetHostSwitchPKIentity图1-1PKI实体向CA申请证书组网图（方式一）1.1.2应用要求说明：本配置举例中，CA服务器上采用RSAKeon软件。在作为PKI实体的设备Switch上进行相关配置，实现以下需求：设备向CA服务器申请本地证书获取CRL为证书验证做准备1.1.3适用产品、版本表1-1配置适用的产品与软硬件版本关系产品软件版本硬件版本S3610系列以太网交换机Release5301软件版本全系列硬件版本S5510系列以太网交换机Release5301软件版本全系列硬件版本S5500-SI系列以太网交换机Release1207软件版本全系列硬件版本（除S5500-20TP-SI）Release1301软件版本S5500-20TP-SIS5500-EI系列以太网交换机Release2102软件版本全系列硬件版本1.1.4配置过程和解释CA服务器端的配置(1)创建CA服务器myca在本例中，CA服务器上首先需要进行基本属性Nickname和SubjectDN的配置。其它属性选择默认值。其中，Nickname为可信任的CA名称，SubjectDN为CA的DN属性，包括CN、OU、O和C。(2)配置扩展属性基本属性配置完毕之后，还需要在生成的CA服务器管理页面上对“JurisdictionConfiguration”进行配置，主要内容包括：根据需要选择合适的扩展选项；启动自动颁发证书功能；添加可以自动颁发证书的地址范围。(3)配置CRL发布CA服务器的基本配置完成之后，需要进行CRL的相关配置。本例中选择CRL的发布方式为HTTP，自动生成CRL发布点的URL为。以上配置完成之后，还需要保证设备的系统时钟与CA的时钟同步才可以正常使用设备来申请证书和获取CRL。设备Switch上的配置(4)配置实体命名空间#配置实体名称为aaa，通用名为Switch。Switchsystem-view[Switch]pkientityaaa[Switch-pki-entity-aaa]common-nameSwitch[Switch-pki-entity-aaa]quit(5)配置PKI域参数#创建并进入PKI域torsa。[Switch]pkidomaintorsa#配置可信任的CA名称为myca。[Switch-pki-domain-torsa]caidentifiermyca#配置注册服务器URL，格式为。其中的IssuingJurisdictionID为CA服务器上生成的16进制字符串。[Switch-pki-domain-torsa]certificaterequesturl配置证书申请的注册受理机构为CA。[Switch-pki-domain-torsa]certificaterequestfromca#指定实体名称为aaa。[Switch-pki-domain-torsa]certificaterequestentityaaa#配置CRL发布点位置。[Switch-pki-domain-torsa]crlurl[Switch-pki-domain-torsa]quit(6)用RSA算法生成本地密钥对[Switch]public-keylocalcreatersaTherangeofpublickeysizeis(512~2048).NOTES:Ifthekeymodulusisgreaterthan512,Itmaytakeafewminutes.PressCTRL+Ctoabort.Inputthebitsinthemodulus[default=1024]:Generatingkeys...........++++++....................................++++++.......++++++++......................++++++++.(7)证书申请#获取CA证书并下载至本地。[Switch]pkiretrieval-certificatecadomaintorsaRetrievingCA/RAcertificates.Pleasewaitawhile......ThetrustedCA'sfingerprintis:MD5fingerprint:EDE90394A273B61AF1B30072A0B1F9ABSHA1fingerprint:77F9A0772FB8088C550BA33C2410D35423B273A8Isthefingerprintcorrect?(Y/N):ySavingCA/RAcertificateschain,pleasewaitamoment......CAcertificatesretrievalsuccess.#获取CRL并下载至本地。[Switch]pkiretrieval-crldomaintorsaConnectingtoserverforretrievingCRL.Pleasewaitawhile.....CRLretrievalsuccess!#手工申请本地证书。[Switch]pkirequest-certificatedomaintorsachallenge-wordCertificateisbeingrequested,pleasewait......Enrollingthelocalcertificate,pleasewaitawhile......CertificaterequestSuccessfully!Savingthelocalcertificatetodevice......Done!(8)验证配置结果#通过以下显示命令可以查看获取的本地证书信息。SwitchdisplaypkicertificatelocaldomaintorsaCertificate:Data:Version:3(0x2)SerialNumber:9A96A48F9A509FD705FFF4DF104AD094SignatureAlgorithm:sha1WithRSAEncryptionIssuer:C=cnO=orgOU=testCN=mycaValidityNotBefore:Jan809:26:532007GMTNotAfter:Jan809:26:532008GMTSubject:CN=SwitchSubjectPublicKeyInfo:PublicKeyAlgorithm:rsaEncryptionRSAPublicKey:(1024bit)Modulus(1024bit):00D67D5041046F6A43610335CA6C4B11F8F89138E4E905BD43953BA2623A54C0EA3CB6E0B04649CEC9CDDD3834015970981E96D9FF4F7B73A5155649E583AC61D3A5C849CBDE350D2A1926B70AE5EF5ED1D8B08ADBF162057C2A401105F1109473EB0549A65D9E740F2953F2D4F0042F191034393D4F935988FB59F38D4B2F6C2BExponent:65537(0x10001)X509v3extensions:X509v3CRLDistributionPoints:URI::sha1WithRSAEncryption836213A4F2F74C1A50F4100DB764D6CEB30C0133C4363F2F73454D51E9F95962EDE9E590E7458FA6765A0D3FC4047BC29C391FF07383C4DF9A0CCFA9231428AF987B029CC857AD96E4C924419382E7988FCC1E4A3E598D8196476875E2F86C3375B51661B6556C5E8F546E975197734BC8C29AC7E427C8E4B9AAF5AA80A75B3C关于获取的CA证书及CRL文件的详细信息可以通过相应的显示命令来查看，此处略。具体内容请参考命令displaypkicertificatecadomain和displaypkicrldomain。1.1.5完整配置#pkientityaaacommon-nameSwitch#pkidomaintorsacaidentifiermycacertificaterequesturl://4.4.4.133:447/myca.crl#1.1.6配置注意事项当采用RSAKeon软件时，不需要安装SCEP插件。此时，配置PKIdomain时，需要使用certificaterequestfromca命令指定实体从CA注册申请证书。若本地证书已存在，为保证密钥对与现存证书的一致性，不应执行创建密钥对命令，必须在删除本地证书后再执行public-keylocalcreatersa命令生成新的密钥对。如果本地证书已存在，则不允许再执行证书申请操作，以避免因相关配置的修改使得证书与注册信息不匹配。若想重新申请，请先使用pkidelete-certificate命令删除存储于本地的CA证书与本地证书，然后再执行pkirequest-certificatedomain命令。当无法通过SCEP协议向CA在线申请证书时，可以使用可选参数pkcs10打印出本地的证书申请信息。用户保存证书申请信息，并将其通过带外方式发送给CA进行证书申请。证书申请之前必须保证实体时钟与CA的时钟同步，否则申请证书的有效期会出现异常。1.2PKI实体向CA申请证书典型配置指导（方式二）PKI（PublicKeyInfrastructure，公钥基础设施）是