防火墙M9K-X06,自签名证书生成

H3C F1000-AI-35防火墙如何自生成CA证书和本地证书并且导出？ - 知了社区

基于H3C SecPath M9000系列防火墙的配置指导，生成自签名证书的步骤如下（适用于设备间互信认证场景）：
 生成自签名证书配置步骤
1. 创建PKI实体
定义证书持有者的身份信息（如通用名、国家代码等）：
system-view
pki entity <entity-name>  例如：pki entity SelfSigned
common-name <device-identifier>  必填，如设备域名或IP
country <country-code>  如CN（中国）
locality <city-name>  如Beijing
organization <org-name>  如H3C
quit
2. 配置PKI域并启用自签名模式
指定自签名证书类型，绑定密钥对：
pki domain <domain-name>  例如：pki domain SelfDomain
certificate self-signed  启用自签名模式
certificate request entity <entity-name>  绑定上一步创建的实体
public-key rsa general name <key-pair-name> length <key-length>  如：name RSA_KEY length 2048
quit
3. 生成本地RSA密钥对
创建用于证书签名的密钥：
public-key local create rsa name <key-pair-name>  使用上述密钥对名称，如 RSA_KEY


4. 生成自签名证书
触发证书签发流程：
pki request-certificate domain <domain-name> self-signed
 验证配置
查看证书信息：
display pki certificate domain <domain-name> local
检查证书有效期：
输出结果中关注 Validity 字段，确保时间范围符合需求。
 关键注意事项
1. 安全风险
自签名证书未经CA认证，仅适用于测试或内部可信环境。生产环境建议使用权威CA签发证书。
2. 通用名（CN）要求
common-name 需与设备实际域名/IP一致，否则可能导致认证失败。
3. 密钥长度
推荐使用 2048位 RSA密钥以保证安全性（示例中已配置）。
4. 证书复用
若需多设备互信，需将生成的自签名证书导出并导入到对端设备的信任库中。

> 注：以上步骤基于H3C M9000系列配置文档（V7/R9900版本）整理，实际命令可能因具体软件版本略有差异，请以设备实际支持为准。