signature=9293cc4bd6f47e4f2a5f299011c6e89e,02-本地证书配置指导

本地证书包含本地用户证书，本地CA证书，CRL，以及CRL自动更新。本地用户证书是用于设备某些模块，如IPsec，在建立连接时，向远端设备进行身份验证；本地CA证书是用于设备在与远端设备建立连接时，对远端设备进行身份验证；CRL为远端设备的身份验证提供验证条件。

本功能具有如下功能点：

·     本地用户证书的管理和维护。

·     本地CA证书的管理和维护。

·     本地CRL的管理和维护。包括通过TFTP Server进行CRL文件的管理和维护，以及自动获取CRL文件的配置管理。

设备与网络可达的TFTP服务器相连，实现证书的导入、导出操作。如

·     设备可以通过TFTP Server导入、导出本地用户证书。

·     设备可以通过TFTP Server导入、导出本地CA证书。

·     设备可以通过TFTP Server导入、导出本地CRL文件。

设备通过与远端CRL服务器建立网络连接，获取CRL文件。如

设备通过自动获取CRL的配置，从远端CRL Server获取CRL文件。

1.3  配置本地证书

按

操作

命令

说明

导入单证书文件格式的证书

pki local certificate pkcs12 import tftpip-address certificate-name password

必选

导入证书密钥分离格式的证书

pki local certificate cert_key import tftpip-address certificate-name key-name password

必选

用户证书导出

pki local certificate export tftpip-address certificate-name{p12|pem} password

必选

按

操作

命令

说明

本地CA证书导入

pki local ca import tftpip-address certificate-name

必选

本地CA证书导出

pki local ca export tftpip-address certificate-name

必选

按

操作

命令

说明

本地CRL文件导入

pki local crl import tftpip-address crl-name

必选

本地CRL文件导出

pki local crl export tftpip-address crl-name

必选

按

操作

命令

说明

进入系统视图

system-view

—

配置自动获取CRL

pki local crl auto-getname in