新华三负载均衡证书干嘛的，有几种证书，怎么导入

一、负载均衡 SSL 证书是干嘛的
华三 AD/AX 全局 / 应用负载均衡证书核心用于HTTPS 业务 SSL 卸载、加密传输、身份认证：
数据加密：客户端与 LB 之间 TLS 加密，明文防窃听、篡改，后端服务器仍跑 HTTP，LB 代理解密；
身份可信：浏览器识别正规 CA 证书，消除 “不安全” 警告；
双向客户端认证：内网业务强制客户端持证书才能访问后台；
SSL 策略绑定：HTTPS 虚服务 / 监听器必须绑定证书才能正常提供 443 业务；
国密合规：政府 / 国企场景 SM2 国密证书满足等保、密评要求。
二、LB 设备 4 大类证书（按用途划分）
1、服务器证书（业务必备，单向 HTTPS 必须）
组成：域名公钥证书（.crt/.pem）+ 配套私钥.key；
来源：阿里云 / 腾讯云 / CA 机构签发，绑定网站域名；
用途：客户端访问 LB 时，LB 出示该证书证明网站身份；
格式：PEM（证书密钥分开）、PKCS12 (.pfx/.p12，证书密钥打包一体)、DER。
2、CA 根 / 中间证书（证书链）
根 CA 证书：顶级签发机构公钥；中间 CA：二级签发机构；
作用：补全证书链，避免浏览器报证书不信任；双向认证时用来校验客户端证书合法性；
场景：单向 HTTPS 建议一并导入；内网双向认证必须配置 CA 证书。
3、客户端证书（双向认证专用）
下发给员工终端 / 内网业务系统，客户端访问 HTTPS 时主动出示，LB 用 CA 证书校验，无证书直接拒绝接入。
4、国密 SM2 证书（政企等保场景）
国密算法独立证书，分国密服务器证书、国密 CA 证书，普通 RSA 证书无法混用。
三、两种导入方式（Web 图形化 + 命令行 TFTP）
方式 1：Web 界面导入（最常用，AD/AX 通用）


Web添加证书页面


导入CA证书界面
登录 LB Web → 对象 → PKI / 证书管理；
点击【添加 / 导入证书】，选择证书类型：普通 RSA / 国密；
格式选择：
PEM：分别上传证书 crt、私钥 key；
PKCS12 (pfx)：只上传打包文件，输入证书导出密码；
CA 证书：单独选择 CA 类型，上传根 / 中间 crt；
填写自定义证书名称，保存导入；
新建 SSL 服务器策略，绑定 PKI 域与证书，再绑定 HTTPS 虚服务。
方式 2：命令行 TFTP 导入（Console/SSH 批量运维）
1）导入 PEM 分离证书（crt+key）
plaintext
system-view
# 创建PKI域
pki domain web
undo crl check enable
# TFTP上传证书+私钥到flash
pki local certificate cert_key import tftp 192.168.1.10 web.crt web.key
# 导入CA证书
pki local ca import tftp 192.168.1.10 root.crt
2）导入 PFX 打包证书
plaintext
pki local certificate pkcs12 import tftp 192.168.1.10 web.pfx 123456
3）绑定 SSL 策略供负载均衡调用
plaintext
ssl server-policy https-policy
pki-domain web
四、关键补充说明
单向 HTTPS 最低要求：服务器证书（证书 + 私钥）；
双向认证额外需要：CA 根证书；
证书、私钥必须一一配套，不匹配会上传失败、HTTPS 握手报错；
证书过期后业务会出现浏览器拦截，需重新导入新证书替换。