S3500-EA系列交换机PKI实体向CA申请证书功能的配置（方式二）

S3500-EA系列交换机PKI实体向CA申请证书功能的配置（方式二）

 

一、  组网需求：

配置PKI实体Switch向CA服务器申请本地证书。

二、  组网图：

三、  配置步骤：

1、CA服务器端的配置

（1）安装证书服务器组件

打开[控制面板]/[添加/删除程序]，选择[添加/删除Windows组件]中的“证书服务”进行安装。

（2）安装SCEP插件

由于Windows 2003 server作为CA服务器时，缺省情况下不支持SCEP，所以需要安装SCEP插件，才能使设备具备证书自动注册、获取等功能。插件安装完毕后，弹出提示框，提示框中的URL地址即为设备上配置的注册服务器地址。

（3）修改证书服务的属性

完成上述配置后，打开[控制面板/管理工具]中的[证书颁发机构]，如果安装成功，在[颁发的证书]中将存在两个CA颁发给RA的证书。选择[CA server 属性]中的“策略模块”的属性为“如果可以的话，按照证书模板中的设置。否则，将自动颁发证书(F)。”

（4）修改IIS服务的属性

打开[控制面板/管理工具]中的[Internet 信息服务(IIS)管理器]，将[默认网站 属性]中“主目录”的本地路径修改为证书服务保存的路径。另外，为了避免与已有的服务冲突，建议修改默认网站的TCP端口号为未使用的端口号。

以上配置完成之后，还需要保证设备的系统时钟与CA的时钟同步才可以正常使用设备来申请证书。

2、设备Switch上的配置

（1）配置实体命名空间

# 配置实体名称为aaa，通用名为Switch。

<Switch> system-view

[Switch] pki entity aaa

[Switch-pki-entity-aaa] common-name Switch

[Switch-pki-entity-aaa] quit

（2）配置PKI域参数

# 创建并进入PKI域torsa。

[Switch] pki domain torsa

# 配置可信任的CA名称为myca。

[Switch-pki-domain-torsa] ca identifier myca

# 配置注册服务器URL，格式为http://host:port/ certsrv/mscep/mscep.dll。其中，host:port为CA服务器的主机地址和端口号。

[Switch-pki-domain-torsa] certificate request url http://10.1.1.1:8080/certsrv/mscep/mscep.dll

# 配置证书申请的注册受理机构为RA。

[Switch-pki-domain-torsa] certificate request from ra

# 指定实体名称为aaa。

[Switch-pki-domain-torsa] certificate request entity aaa

（3）用RSA算法生成本地密钥对

[Switch] public-key local create rsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

       It may take a few minutes.

Press CTRL+C to abort.

Input the bits in the modulus [default = 1024]:

Generating keys...

........++++++

....................................++++++

.......++++++++

......................++++++++

.

（4）证书申请

# 获取CA证书并下载至本地。

[Switch] pki retrieval-certificate ca domain torsa

Retrieving CA/RA certificates. Please wait a while......

The trusted CA's finger print is:

    MD5  fingerprint:766C D2C8 9E46 845B 4DCE 439C 1C1F 83AB

    SHA1 fingerprint:97E5 DDED AB39 3141 75FB DB5C E7F8 D7D7 7C9B 97B4

 

Is the finger print correct?(Y/N):y

 

Saving CA/RA certificates chain, please wait a moment......

CA certificates retrieval success.

# 手工申请本地证书。

[Switch] pki request-certificate domain torsa challenge-word

Certificate is being requested, please wait......

Enrolling the local certificate,please wait a while......

Certificate request Successfully!

Saving the local certificate to device......

Done!

（5）验证配置结果

# 通过以下显示命令可以查看获取的本地证书信息。

<Switch> display pki certificate local domain torsa

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            48FA0FD9 00000000 000C

        Signature Algorithm: sha1WithRSAEncryption

        Issuer:

            C=US

            CN=CA server

        Validity

            Not Before: Nov 21 12:32:16 2007 GMT

            Not After : Nov 21 12:42:16 2008 GMT

        Subject:

            CN=Switch

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

            RSA Public Key: (1024 bit)

                Modulus (1024 bit):

                    00A6637A 8CDEA1AC B2E04A59 F7F6A9FE

                    5AEE52AE 14A392E4 E0E5D458 0D341113

                    0BF91E57 FA8C67AC 6CE8FEBB 5570178B

                    10242FDD D3947F5E 2DA70BD9 1FAF07E5

                    1D167CE1 FC20394F 476F5C08 C5067DF9

                    CB4D05E6 55DC11B6 9F4C014D EA600306

                    81D403CF 2D93BC5A 8AF3224D 1125E439

                    78ECEFE1 7FA9AE7B 877B50B8 3280509F

                    6B

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Subject Key Identifier:

            B68E4107 91D7C44C 7ABCE3BA 9BF385F8 A448F4E1

            X509v3 Authority Key Identifier:

            keyid:9D823258 EADFEFA2 4A663E75 F416B6F6 D41EE4FE

            DirName:CN=CA server,C=US

            serial:3E02B7AA C80BBE8C 49899FD7 E5854B31  

 

            X509v3 CRL Distribution Points:

            URI:http://l00192b/CertEnroll/CA%20server.crl

            URI:file://\\l00192b\CertEnroll\CA server.crl

 

            Authority Information Access:

            CA Issuers - URI:http://l00192b/CertEnroll/l00192b_CA%20server.crt

            CA Issuers - URI:file://\\l00192b\CertEnroll\l00192b_CA server.crt

 

            1.3.6.1.4.1.311.20.2:

                .0.I.P.S.E.C.I.n.t.e.r.m.e.d.i.a.t.e.O.f.f.l.i.n.e

    Signature Algorithm: sha1WithRSAEncryption

        81029589 7BFA1CBD 20023136 B068840B

……（略）

关于获取的CA证书的详细信息可以通过相应的显示命令来查看，此处略。具体内容请参考命令display pki certificate ca domain。

四、  配置关键点：

（1）当采用Windows Server作为CA时，需要安装SCEP插件。此时，配置PKI domain时，需要使用certificate request from ra命令指定实体从RA注册申请证书。

（2）Windows 2000 CA服务器对证书申请的数据长度有一定的限制。实体DN配置项超过一定数据长度时，申请证书没有回应。

（3）若本地证书已存在，为保证密钥对与现存证书的一致性，不应执行创建密钥对命令，必须在删除本地证书后再执行public-key local create rsa命令生成新的密钥对。

（4）如果本地证书已存在，则不允许再执行证书申请操作，以避免因相关配置的修改使得证书与注册信息不匹配。若想重新申请，请先使用pki delete-certificate命令删除存储于本地的CA证书与本地证书，然后再执行pki request-certificate domain命令。

（5）当无法通过SCEP协议向CA在线申请证书时，可以使用可选参数pkcs10打印出本地的证书申请信息。用户保存证书申请信息，并将其通过带外方式发送给CA进行证书申请。

（6）证书申请之前必须保证实体时钟与CA的时钟同步，否则申请证书的有效期会出现异常。