防火墙PKI那边申请证书，是不是创建完PKI域后，往里面导入根证书，再进行申请？

配置步骤主要分为以下三个方面：

（一） ，向CA服务器申请服务器证书、客户端证书以及CA证书。

（二） ，安装客户端证书。

（三） ，防火墙PKI引入CA证书和服务器证书。

PKI配置流程，申请证书的步骤如下：

1. 创建PKI域
   在系统视图下执行 pki domain [名称] 创建PKI域，并配置相关参数：

   • 指定PKI实体（certificate request entity [实体名称]）
   • 配置CA服务器URL（certificate request url [CA服务器地址]）
   • 设置密钥对用途（public-key sm2 general/signature/encryption）

2. 导入根证书
   通过以下命令导入CA根证书：

   pki import-certificate ca domain [PKI域名] der/pem filename [根证书文件路径]

   需验证证书指纹有效性。

3. 生成密钥对
   创建本地SM2密钥对（用于国密证书）：

   public-key local create sm2 name [密钥名称]

4. 申请证书

   • 自动申请：配置certificate request mode auto，设备自动通过SCEP协议向CA申请证书。
   • 手动申请：生成PKCS#10请求文件：pki request-certificate domain [PKI域名] pkcs10 将生成的请求文件提交给CA机构，获取颁发的本地证书。

5. 导入本地证书
   通过以下命令导入CA颁发的本地证书：

   pki import-certificate local domain [PKI域名] der/pem/p12 filename [证书文件路径]

关键要点：

• 必须先导入根证书，设备才能验证本地证书的合法性。
• 若使用国密双证书，需分别导入签名证书和加密证书，并关联对应密钥对。
• 配置完成后需保存（save），避免因配置丢失导致证书不匹配。