ACG1000-AK220 SSL证书推送功能缺失及URL特征库授权咨询

ACG1000-AK220 两个问题完整官方答复
一、问题 1：SSL 证书推送菜单缺失原因、版本要求、升级渠道
1. 菜单消失核心根源：当前 R6609 版本不支持 SSL 证书推送功能
功能基线：SSL 证书自动推送（客户端下发根 CA）菜单策略配置 > SSL解密策略 > SSL证书推送，从 IMW110-R6610 及以上版本才正式合入 Web 界面，R6609 原生无该页面入口，和授权无关，纯版本缺失特性。
补充验证：R6609 仅支持手动导入 CA、手动给终端安装证书，无自动推送组件；升级到 R6610Pxx/R6618 稳定版后菜单自动出现。
命令行兜底（临时替代，R6609 可执行）
bash
运行
system-view
ssl policy ssl-decrypt
certificate-chain-sending enable

仅开启协商证书下发，不支持 Web 可视化推送配置，无法实现门户 / 弹窗自动分发根证书，只能升级版本完整使用文档内的图形化推送功能。
2. 升级路径（AK220 ARM 架构）
当前：IMW110-R6609 + APP-R3.1.174
升级链路（不可跨级直刷，防变砖）：
R6609 → R6610Pxx → R6611Pxx → 稳定版IMW110-R6618P02
配套 APP 包同步升级至对应版本。
3. 升级文件获取渠道
自有维保账号：登录新华三官网【支持与服务 - 软件下载】，搜索ACG1000-AK220下载 ARM 固件包；
7×24 技术热线：400-810-0504（安全专线 3 号键），提供设备 SN 核验维保，工程师推送加密 24 小时下载链接；
采购代理商 / 集成商：渠道后台可直接索取全套升级包 + 版本说明书；
知了社区发帖附设备 SN，官方工程师私信下发固件。
二、问题 2：URL / 应用特征库升级服务显示 “未授权” 相关解答
1. 是否必须购买对应授权？
是，必须采购《应用识别 & URL 分类库升级订阅授权》（1/3 年有效期），否则：
系统管理 - 授权管理页面持续显示「URL 分类库升级服务 / 恶意 URL / 应用监控升级服务 未授权」；
无法在线 / 离线更新 URL、应用、恶意域名特征库；
仅保留出厂内置老旧基础库，新增网站、加密 APP、钓鱼域名无法识别，SSL 解密后的 URL 过滤、行为审计效果大幅降级H3C。
区分两点：
无授权：现有已配置的黑白名单、固定 URL 规则仍能匹配旧库生效，但无法更新库；
SSL 解密中间人功能本身不需要该授权，但解密后依赖 URL 库做管控，无授权会导致 HTTPS 网站分类过滤失效。
2. 该授权不影响 SSL 证书推送菜单显示
两个问题无关联：
URL 特征库授权仅控制「特征库在线更新、URL 分类识别能力」，不会隐藏 SSL 解密策略下的 Web 菜单；
证书推送菜单消失纯粹是 R6609 版本缺失该特性，哪怕补齐全部授权，R6609 依旧看不到该菜单；
反过来：升级到 R6610 + 版本后，无论 URL 授权是否激活，SSL 证书推送菜单都会正常展示，只是解密后的 URL 管控功能受授权限制。
三、补充关键业务影响说明
混合模式（路由 + 交换接口）不影响 SSL 证书推送功能，版本升级后无需改动现有接口部署；
仅手动导入 CA 证书但无自动推送时，终端访问 HTTPS 会持续弹出不安全告警，升级版本开启自动推送可批量消除弹窗；
授权过期 / 未授权不阻断 SSL 解密功能，仅缺失 URL 分类更新能力，自定义 HTTPS 黑名单仍可正常使用。
四、落地实施建议
短期临时方案：R6609 命令行开启certificate-chain-sending enable临时下发证书，消除部分终端告警；
长期根治：分阶段升级至 R6618 稳定版，完整获得 Web 可视化 SSL 证书推送配置；
同步采购 URL / 应用特征库订阅授权，保证 HTTPS 解密后的网页分类、行为审计持续生效。

问题一：SSL证书推送功能入口缺失

看下手册版本跟你设备版本是否一致。应该是版本问题造成的，升级下最新版本

问题二：是否必须购买“应用识别&URL特征库升级授权函”才能正常使用URL过滤和SSL解密功能？

是的，需要购买授权，使用最新的特征库才能正常过滤URL

 以上两个问题是否存在关联（即授权缺失导致功能入口被隐藏）？

不是。 这两者没关系的