不涉及
申请ipsec证书时,有的CA机构要求我们防火墙设备提供pkcs10格式的crs文件用于证书申请,下边给出证书申请文件导出的方法
离线申请,最后的pkcs10码拷贝到文本文件里,保存为.csr文件,即可到ca申请证书
注意如果不是国密证书,sm2改成rsa即可
public-key sm2 general name sm2z3------配置指定证书申请使用的SM2密钥对的名称
public-key local create sm2 name sm2z3
1、 配置PKI实体
[H3C-pki-entity-h3c1]dis this
#
pki entity h3c1
common-name z3
#
2、 配置PKI域。
#
pki domain h3c1
certificate request entity h3c1------配置用于申请证书的PKI实体
public-key sm2 general name sm2z3------配置指定证书申请使用的SM2密钥对的名称
undo crl check enable------关闭crl检查
#
return
[H3C-pki-domain-h3c1]
3、 生成SM2密钥对
由于测试的是加密卡,因此生成密钥对时需指定加密卡,如果不指定由硬件加密卡生成密钥对,则测试的是软件SM2,验证不到加密卡。若使用密钥对申请了数字证书后便不能随便执行密钥对销毁操作,否则将导致使用此密钥对申请的证书与密钥对不匹配而不可用,即使销毁后再生成与之前名字相同的密钥对也是不可以的。
[H3C]public-key local create sm2 name sm2z3 on cndex2/2/1
Generating Keys...
....
Created the key pair successfully.
[H3C]dis public-key local sm2 public name sm2z3
=============================================
Key name: sm2z3
Key type: SM2
Storage device serial number: 0271016100250552
Time when key pair created: 09:52:38 2018/03/14
Key code:
04D60E8BECA1DF1F4551C0C039A5C206A3D598BCEE58761DF427DF1847BCE9B6FE717940DB
9BC310563FA9931DCEA225BCD09224FD8CF173DAF26E0CC4F79DFCCB
4、 生成申请离线证书的pkcs10码发送给CA服务器。
[H3C]pki request-certificate domain h3c1 pkcs10
.
*** Request for general certificate ***
-----BEGIN CERTIFICATE REQUEST-----
MIHoMIGNAgEAMA0xCzAJBgNVBAMTAnozMFkwEwYHKoZIzj0CAQYIKoEcz1UBgi0D
QgAE1g6L7KHfH0VRwMA5pcIGo9WYvO5Ydh30J98YR7zptv5xeUDbm8MQVj+pkx3O
oiW80JIk/Yzxc9rybgzE9538y6AeMBwGCSqGSIb3DQEJDjEPMA0wCwYDVR0PBAQD
AgP4MAwGCCqBHM9VAYN1BQADSAAwRQIgf5gkIpc9L22s+hmjsUAnsfwphuSiZNLZ
33hrMNdvaqkCIQDLK8qVX62dQDsWMfNyv6Jg/q5FE9qiAFUb0Pj1t6oX8w==
-----END CERTIFICATE REQUEST-----
按照如上方法导出申请证书用的文件即可
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作