客户密评需要,mes256这些证书是自己在inode导出还是要打电话给2线拿啊?
(0)
证书类型 | 获取方式 | 适用场景 |
---|---|---|
设备自身证书 | 设备自动生成 | 设备作为服务端(如 EAP-TLS 认证) |
客户端证书 | 需从 iNode 导出 | 终端接入认证(如员工电脑认证) |
设备信任的 CA 证书 | 联系 H3C 二线或企业 CA | 验证客户端证书合法性 |
适用需求:在 MES256 交换机上部署 802.1X EAP-TLS 认证时,员工终端需提供证书
操作流程:
在 iNode 管理中心生成证书
H3C-Employee-Auth
) → 填写 使用者名称(需与 AD 账号一致)导出证书文件
在 MES256 交换机上部署
# 上传证书文件到设备
copy tftp://10.1.1.100/user.pfx flash:
# 转换为 PEM 格式(若设备要求)
crypto pki import domain imc-cert pkcs12 flash:/user.pfx password 导出密码
适用需求:MES256 作为 802.1X 认证服务端 或 VPN 网关
操作流程:
本地生成证书请求(CSR)
# 创建证书申请
crypto pki request-certificate domain h3c-server
common-name MES256-SW01.h3c.com # 设备 FQDN
key-usage digital-signature key-encipherment
subject-alt-name ip 192.168.10.1 dns core-switch01
flash:/h3c-server.csr
联系 H3C 二线支持或企业 CA
MES256-SW01.crt
H3C_CA_Root.crt
激活证书
# 上传证书文件
copy tftp://10.1.1.100/MES256-SW01.crt flash:
copy tftp://10.1.1.100/H3C_CA_Root.crt flash:
# 安装证书链
crypto pki import domain h3c-server pem flash:/MES256-SW01.crt
crypto pki trust-chain import root flash:/H3C_CA_Root.crt
需联系二线的场景:
联系 H3C 二线流程:
210235A0FY123450001
(设备标签 SN 码)fc99-47ff-8b8c
802.1X 服务端
/ VPN 网关双向认证
私钥安全
证书有效期
# 检查有效期(执行以下命令)
display crypto pki certificate domain h3c-server
兼容性要求
功能 | 证书算法要求 |
---|---|
802.1X EAP-TLS | RSA 2048+ / ECC 256 |
SSL VPN 网关 | 必须包含 服务器认证 扩展 |
# OpenSSL 签发示例
openssl ca -config openssl.cnf -extensions server_cert -days 365 -in MES256.csr -out MES256.crt
H3C S6850-56HF-MES256
display version
📌 最终建议:
- 若为 客户端认证 → 从 iNode 导出
- 若为 设备自身证书 → 本地生成 CSR → 联系 H3C 二线签发
- 若为 信任 CA 证书 → 必须由 H3C 提供(设备预置或二线交付)
(0)
e0536貌似没有这个证书管理
e0536貌似没有这个证书管理
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明