PKI典型配置指导.doc

目 录 第1章 PKI典型配置指导... 1-1 1.1 PKI实体向CA申请证书典型配置指导（方式一）.. 1-1 1.1.1 组网图.. 1-1 1.1.2 应用要求.. 1-1 1.1.3 适用产品、版本.. 1-1 1.1.4 配置过程和解释.. 1-2 1.1.5 完整配置.. 1-5 1.1.6 配置注意事项.. 1-5 1.2 PKI实体向CA申请证书典型配置指导（方式二）.. 1-6 1.2.1 组网图.. 1-6 1.2.2 应用要求.. 1-6 1.2.3 适用产品、版本.. 1-7 1.2.4 配置过程和解释.. 1-7 1.2.5 完整配置.. 1-10 1.2.6 配置注意事项.. 1-11 1.3 证书属性的访问控制策略应用典型配置指导.. 1-11 1.3.1 组网图.. 1-11 1.3.2 应用要求.. 1-12 1.3.3 适用产品、版本.. 1-12 1.3.4 配置过程和解释.. 1-12 1.3.5 完整配置.. 1-14 1.3.6 配置注意事项.. 1-15  第1章 PKI典型配置指导 1.1 PKI实体向CA申请证书典型配置指导（方式一） PKI（Public Key Infrastructure，公钥基础设施）是通过使用公开密钥技术和数字证书来确保系统信息安全，并负责验证数字证书持有者身份的一种体系。 PKI的功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥，为用户获取证书、访问证书和宣告证书作废提供了方便的途径。同时利用数字证书及相关的各种服务（证书发布、黑名单发布等）实现通信过程中各实体的身份认证，保证了通信数据的机密性、完整性和不可否认性。 1.1.1 组网图 图1-1 PKI实体向CA申请证书组网图（方式一） 1.1.2 应用要求 说明： 本配置举例中，CA服务器上采用RSA Keon软件。 在作为PKI实体的设备Switch上进行相关配置，实现以下需求： l 设备向CA服务器申请本地证书 l 获取CRL为证书验证做准备 1.1.3 适用产品、版本 表1-1 配置适用的产品与软硬件版本关系 产品 软件版本 硬件版本 S3610系列以太网交换机 Release 5301软件版本 全系列硬件版本 S5510系列以太网交换机 Release 5301软件版本 全系列硬件版本 S5500-SI系列以太网交换机 Release 1207软件版本 全系列硬件版本 （除S5500-20TP-SI） Release 1301软件版本 S5500-20TP-SI S5500-EI系列以太网交换机 Release 2102软件版本 全系列硬件版本 1.1.4 配置过程和解释 l CA服务器端的配置 (1) 创建CA服务器myca 在本例中，CA服务器上首先需要进行基本属性Nickname和Subject DN的配置。其它属性选择默认值。其中，Nickname为可信任的CA名称，Subject DN为CA的DN属性，包括CN、OU、O和C。 (2) 配置扩展属性 基本属性配置完毕之后，还需要在生成的CA服务器管理页面上对“Jurisdiction Configuration”进行配置，主要内容包括：根据需要选择合适的扩展选项；启动自动颁发证书功能；添加可以自动颁发证书的地址范围。 (3) 配置CRL发布 CA服务器的基本配置完成之后，需要进行CRL的相关配置。 本例中选择CRL的发布方式为HTTP，自动生成CRL发布点的URL为33:447/myca.crl。 以上配置完成之后，还需要保证设备的系统时钟与CA的时钟同步才可以正常使用设备来申请证书和获取CRL。 l 设备Switch上的配置 (4) 配置实体命名空间 # 配置实体名称为aaa，通用名为Switch。 Switch system-view [Switch] pki entity aaa [Switch-pki-entity-aaa] common-name Switch [Switch-pki-entity-aaa] quit (5) 配置PKI域参数 # 创建并进入PKI域torsa。 [Switch] pki domain torsa # 配置可信任的CA名称为myca。 [Switch-pki-domain-torsa] ca identifier myca # 配置注册服务器URL，格式为http://host:port/Issuing Jurisdiction ID。其中的Issuing