ucenter自带的证书服务器功能如何使用

一、前提与入口

• U‑Center/iMC 已部署，EIA / 准入组件正常
• 时间必须同步（NTP），否则证书无效
• 入口：
  系统管理 → 认证 → PKI / 证书服务（不同版本叫 “证书服务器” 或 “PKI 管理”）

二、启用内置 CA 并创建根 CA（必做）

1. 进入 证书服务器 → CA 管理 → 创建根 CA
2. 填写根 CA 信息：
   • 名称：如 UCENTER‑ROOT‑CA
   • 有效期：建议 5–10 年
   • 密钥：RSA 2048/4096
   • 国家 / 单位 / Common Name：填内网规范（如 CN=UCENTER CA）
3. 提交后自动生成 ** 根证书（Root CA）** 与私钥
4. 导出根证书（给所有终端 / 设备信任）
   • 页面：根 CA → 导出证书
   • 格式：CER/PEM
   • 用途：所有客户端、交换机、防火墙都要导入此根证书，否则不信任签发的证书

三、申请与签发「服务器证书」（给设备 / 服务用）

场景举例

• 交换机 / 防火墙 HTTPS/SSL
• 802.1x 的 认证服务器证书（EAP‑TLS）
• Portal 页面 HTTPS

操作步骤

1. 进入 证书服务器 → 证书申请 → 新建申请
2. 填写服务器证书信息：
   • 证书类型：服务器身份验证证书
   • 通用名（CN）：设备 IP / 域名（如 192.168.1.1 或 fw.h3c.com）
   • 有效期：1–3 年
   • 密钥：RSA 2048
   • 勾选：密钥可导出（方便备份）
3. 提交 → 状态变为待签发
4. 管理员签发：
   • 进入 待签发列表 → 找到申请 → 签发
5. 签发后导出服务器证书（含公钥 + 私钥）：
   • 格式：PFX/P12（带私钥） 或 CER（仅公钥）
   • 密码：设置导入密码
6. 导入到设备：
   • 交换机 / 防火墙：Web → 系统 → 证书 → 导入 PFX
   • 用于 802.1x：在EIA → 认证策略 → 绑定服务器证书

四、申请与签发「客户端证书」（给用户终端 / PC 用，802.1x EAP‑TLS）

操作步骤（两种方式：管理员代发 / 用户自助申请）

方式 A：管理员批量签发（推荐）

1. 证书服务器 → 客户端证书 → 新建
2. 填写：
   • 用户名 / 终端名：如 user01
   • 证书类型：客户端身份验证证书
   • 有效期：1 年
   • 绑定账号：关联 U‑Center 本地 / AD 账号
3. 签发 → 导出 PFX/P12（含私钥），发给用户安装

方式 B：用户自助申请（Web）

1. 浏览器访问：https://UCENTER_IP:端口/certsrv（U‑Center 证书服务页面）
2. 登录 U‑Center 账号
3. 点击：申请证书 → 高级申请 → 客户端身份验证证书
4. 提交 → 管理员在 U‑Center 页面签发
5. 用户刷新页面 → 安装证书到本地个人证书库

五、证书导入与信任（关键！否则认证失败）

1）终端（Windows）

• 双击 Root CA.cer → 安装到「受信任的根证书颁发机构」
• 双击 客户端证书.pfx → 输入密码 → 安装到「个人」

2）网络设备（交换机 / 防火墙）

• 导入 Root CA.cer 到设备信任列表
• 导入 服务器证书.pfx 到设备证书库
• 配置 SSL/802.1x 引用此证书

六、常见用途速览

• 802.1x EAP‑TLS：服务器证书（认证设备）+ 客户端证书（用户终端）+ 根证书（双方信任）
• 设备 HTTPS：服务器证书导入设备，浏览器导入根证书
• Portal/SSL VPN：服务器证书绑定服务端口

七、常见坑

• 时间不同步：证书直接无效，必须 NTP 对齐
• 根证书未导入：终端 / 设备不信任，认证失败
• 证书 CN 与访问 IP / 域名不一致：HTTPS 报错
• 证书过期：提前续期，否则服务中断