数字证书是一个经CA(Certificate Authority,证书颁发机构)签名的、包含公开密钥及相关的用户身份信息的文件,它建立了用户身份信息与用户公钥的关联。CA对数字证书的签名保证了证书的合法性和权威性。数字证书的格式遵循ITU-T X.509国际标准,目前最常用的为X.509 V3标准。一个数字证书中包含多个字段,包括证书签发者的名称、主体的公钥信息、CA对证书的数字签名、证书的有效期等。
而对于MSR中比较常使用的,比如说做IPsec证书加密,主要用到的为两种:本地(local)证书和CA(Certificate Authority)证书。本地证书是CA签发给用户的数字证书;CA证书是CA自身的证书。若PKI系统中存在多个CA,则会形成一个CA层次结构,最上层的CA是根CA,它拥有一个CA“自签名”的证书。
对于证书的一般有两种获取方式,一种是通过路由器从服务器上自动下载,另外一种就是将证书导出,然后在路由器上做本地导入。比较常见的证书问题也主要有本地导入失败,路由器下载证书失败等。
1、南方某银行网点客户使用MSR2600设备做基于证书的IPsec,但是部分网点证书一直获取失败,排查过配置和系统时间,确认无异常,且有部分网点可以正常获取到证书。
收集debug信息,报错如下:
*Jul 23 01:54:07:030 2015 QZ-SQ-YDJR-A-001 PKI/7/PKI_Debug: SCEP send message:IP = 0xa0cc80b
*Jul 23 01:54:07:180 2015 QZ-SQ-YDJR-A-001 PKI/7/PKI_Debug: SCEP receive message: Server returned status code 500
*Jul 23 01:54:07:280 2015 QZ-SQ-YDJR-A-001 PKI/7/PKI_Debug: SCEP receive message: wrong MIME content type
*Jul 23 01:54:07:381 2015 QZ-SQ-YDJR-A-001 PKI/7/PKI_Debug: Error while sending scep message
*Jul 23 01:54:07:481 2015 QZ-SQ-YDJR-A-001 PKI/7/PKI_Debug: SCEP certificate enroll: Failed to request certificate, error code is 95.
2、西北某银行客户网点使用MSR201X作为网点路由器,做基于证书的IPsec,从服务器侧看,证书已经发送给设备,但是设备依旧获取证书失败。
通过抓包来看,在设备发出证书请求之后,证书服务器回复了200 OK 消息,并将证书发了出来,但是设备侧依旧报错。
通过抓包可以看到信息如下:
1、南方某银行网点客户的证书问题,通过收集的debug信息来看,我司侧发出证书请求不久,就收到了CA服务器侧发送过来的500 Error报文。由此可以看出CA服务器内部存在异常。
2、西北某银行客户的证书问题,通过仔细观察抓包可以发现,MSR发出get请求后,过了10秒后才收到CA服务器的响应,而在10秒时,设备侧已经超时挂断,所以导致证书获取失败。
1、南方某银行网点客户的证书问题,经排查,确认是CA服务器突然出现异常,调整CA服务器之后,问题解决。
2、西北某银行客户的证书问题,为CA服务器响应过慢导致,也属于设备与CA服务器之间的兼容性问题,为了更好的兼容不同服务器,防止CA服务器响应过慢,导致设备挂断,设备侧从R2512P11版本开始,修改了接收接收时长,以兼容不同的CA服务器。升级版本,问题解决。当然此问题,也可以通过本地导入证书的方式解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作