如果CA服務器不支持SCEP協議,可以配置離線申請本地證書。用戶在設備上生成證書請求文件,然後通過Web、磁盤、電子郵件等帶外方式將證書申請文件發送給CA,向CA申請本地證書。完成申請後,還需從存放本地證書的服務器上下載證書,保存到設備的存儲介質中。
操作步驟:
執行命令system-view,進入系統視圖。
執行命令pki realm realm-name,創建PKI域並進入PKI域視圖,或者直接進入PKI域視圖。
缺省情況下,設備存在名稱為default的PKI域,且該域只能修改不能刪除。
PKI域是壹個本地概念,壹個設備上配置的PKI域對CA和其他設備是不可見的,每壹個PKI域有單獨的參數配置信息。
執行命令entity entity-name,指定申請證書的PKI實體。
缺省情況下,系統未指定申請證書的PKI實體。
entity-name是壹個已經通過pki entity命令創建的PKI實體。
執行命令rsa local-key-pair key-name,配置使用離線方式申請證書時使用的RSA密鑰對。
缺省情況下,系統未配置使用離線方式申請證書時使用的RSA密鑰對。
執行命令enrollment-request signature message-digest-method { md5 | sha1 | sha-256 | sha-384 | sha-512 },配置簽名證書註冊請求消息使用的摘要算法。
缺省情況下,簽名證書註冊請求消息使用的摘要算法為sha-256。
md5和sha1算法為不安全算法,建議使用SHA2算法。
PKI實體使用的摘要算法必須與CA服務器上的摘要算法壹致。(可選)執行命令key-usage { ike | ssl-client | ssl-server } *,配置證書公鑰用途屬性。
缺省情況下,系統未配置證書公鑰用途屬性。
執行命令quit,返回至系統視圖。
執行命令pki file-format { der | pem },配置設備保存證書和證書請求時的文件格式。
缺省情況下,設備保存證書和證書請求時的文件格式為PEM。
執行命令pki enroll-certificate realm realm-name pkcs10 [ filename filename ] [ password password ],配置以PKCS#10格式保存證書申請信息到文件中。
PKI實體使用的挑戰密碼必須與CA服務器上設置的密碼壹致。如果CA服務器不要求使用挑戰密碼,則不用配置挑戰密碼。
通過Web、磁盤、電子郵件等帶外方式將證書申請文件發送給CA,向CA申請本地證書。