NETSCREEN设备管理配置手册3（实例：vpn配置、实…

8. 证书和CRL
  数字证书是一种电子方式，用来通过可信任第三方来验证您的标识，即通常所说的“证书授权机构”(CA)。使用的CA服务器可由独立CA3或由您自己的组织(在此情况下，您成为自己的CA) 拥有并操作。如果使用独立的CA，必须与之联系，获取CA和CRL服务器的地址(以便获得证书及证书撤消列表)，并获取提交个人证书申请时所需的信息。您是自己的CA时，由您自行确定此信息。
  要在建立安全VPN连接时使用数字证书来鉴别您的标识，必须先进行以下操作:
• 在netScreen设备上生成密钥，将其发送给CA以获取个人证书(即通常所说的本地证书)，   
  并将此证书加载到NetScreen设备上。
• 获取发布个人证书的CA的CA证书(主要用来检查验证您的CA的身份)，并将其加载   
  NetScreen设备中。可手动执行此任务，或使用“简单证书注册协议”(SCEP)来自动执行。
• 如果该证书不包含证书分布点(CDP)扩展名，并且不能通过LDAP或HTTP自动检索CRL，则可  
  手动检索CRL，并将其加载到NetScreen设备中。
  
  在交易过程中，有几个事件必须能够撤消证书。如果怀疑证书被破坏，或当证书持有者离开公司时，可能希望撤消证书。可在本地完成证书撤消和验证的管理(此为受限制的解决方案)，或者参考CA的CRL(可按每天、每周或每月的时间间隔或按CA设置的缺省时间间隔自动在线访问此 CRL)。

9. 手动获取证书
  要使用手动方法获取签署的数字证书，必须按以下顺序完成几项任务:
  生成公开/私有密钥对。
  填写证书申请。
  将申请提交到所选CA。
  收到签署的证书后，必须将其与CA证书一起加载到NetScreen设备中。
现在您拥有用于下列用途中的以下项目:
• NetScreen设备的本地证书，对每个通道连接验证您的标识
• CA证书( 其公开密钥)，用来验证对等方的证书
• 如果“证书撤消列表”(CRL)包括在CA证书4中，则由CRL来确定无效的证书收到这些文件  
  (证书文件通常具有扩展名.cer，而CRL通常具有扩展名.crl ) 后，用以下部分叙述的过   
  程将它们加载到NetScreen中。
手动证书申请
  申请证书时，NetScreen设备生成密钥对。公开密钥合并在申请中，并且最终合并在从CA 收到的数字签署的本地证书中。下例中，安全管理员为中国大连livedoor的NetScreen ldf-sys的网络部的alex Zhang生成证书申请。此证书将被IP地址为203.131.196.131的NetScreen设备使用。管理员指示NetScreen设备通过电子邮件将请求发送到安全管理员的邮箱
zhanghw@livedoor.cn
。然后，安全管理员将此请求复制并粘贴到CA证书注册网站中的证书申请文本字段中。完成注册过程后，CA通常使用电子邮件将证书发送回安全管理员。
WebUI
证书生成
Objects > Certificates > New: 输入以下内容，然后单击Generate:
Name: alex Zhang
Phone: 8888888
Unit/Department: network
Organization: NetScreen ldf-sys
County/Locality: livedoor
State: CA
Country: china
E-mail:
zhanghw@livedoor.cn
IP Address: 203.131.196.131
Write to file: ( 选择)
RSA: ( 选择)
Create new key pair of 1024 6 length: ( 选择)
NetScreen生成PKCS #10文件，并提示您通过电子邮件发送此文件，将其保存到磁盘上，或通过“简单证书注册协议”(SCEP)自动注册。选择E-mail to选项，键入

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有