目录
一、数字证书常见问题
1、什么是数字证书
数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
2、数字证书应用的场景
目前我司RSR系列路由器数字证书主要用在IPSec VPN第一阶段对等体的验证。
3、windows server 2003在线证书申请是否支持自动颁发证书模式
支持
4、如何修改windows server 2003颁发的CA证书的有效期
1)单击“开始”,然后单击“运行”, 在“打开”框中,键入 regedit,然后单击“确定”。
2)找到并随后单击下面的注册表项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>.
在右窗格中,双击“ValidityPeriodUnits”。 选择“十进制” 在“数值数据”框中,键入您希望的数值,然后单击“确定”。例如,键入 2(有效期2年)。
3)重新启动“证书服务”。
注意:注册表编辑器使用不当可能导致严重问题,可能需要重新安装操作系统。
5、RSR路由器数字证书是否可以从路由器导出
支持,方式可参考实施一本通
6、CA服务器采用手动颁发证书的方式
路由器触发证书请求后,ca服务器回应路由器证书为手动颁发方式,ca服务器点完颁发证书,也不会主动给路由器返回证书信息。此时的证书请求是由路由器每隔1分钟去ca服务器查询一下证书信息(查询证书是否颁发),路由器会重试60次,如果重试60次失败,那么路由器的在线申请证书就会超时,导致证书申请失败。也就是ca服务器需要在1个小时内点颁发证书,点完颁发证书后,最好等2-3分钟查看一下路由器是否获取到证书。
7、RSR路由器数字证书DN信息的相关解释
crypto pki trustpoint ruijie
subject-name cn=RSR20-14E,ou=tac,o=ruijie,l=fuzhou,st=fujian,c=CN
说明:
1)subject-name 即为路由器的DN信息,该信息是证书的附加标示符,用来补充说明证书颁发给了哪个组织机构的哪个客户端
2)DN信息各个字段的含义:
cn:客户端的名字(建议每个客户端的CN名字都是唯一的)
ou:组织名称
o:组织单位名称
l:所在的城市或区域名称
st:所在的州或省份名称
c:国家代码
8、当配置在线申请证书方式时,路由器会何时再次自动申请证书
当路由器系统的时间不在路由器证书有效期之内时,会每隔30分钟向CA服务器进行证书申请。
9、数字证书中time-check none的作用
只有在ipsec 证书协商的时候,不做时间有效性的检测。
10、3G解决方案中,用户是否能够使用3G网卡使用CA证书认证配合SMP进行认证。
可以支持,但是需要使用usb-key。如项目需要,需要申请备案
11、是否可以存在两台配置一样的CA数字证书,其中一台部署为冷备模式,当一台宕机后,使用另外一台
不可以,不同服务器即使配置一致,产生的证书也是不同的,这样新申请的证书的路由器和原来证书的路由器对接时,ipsec协商是存在问题的。
12、如何保存RSR路由器新导入的证书
1)证书自动保存 crypto pki auto-save config (RSR10/20 10.3 版本要配置该命令)
2)配置wr
13、如何给RSR路由器只导入CA证书
通过命令ruijie(config)# crypto pki import ruijie ca 来进行导入
14、如果重新安装了服务器的CA证书服务,之前已经申请的老证书是否还可以使用
由于重新安装CA服务,CA的根证书会发生变化,所以新老证书之间是不能够对接的,只能新证书和新证书对接,老证书与老证书对接。
15、3G方案中,重新安装了新的CA证书服务,当新老证书同时存在时该如何处理。
1)针对旧的3G接入端,可保持原来旧的数字证书不变
2)针对新的3G接入端,可申请的数字证书
3)针对LNS,可同时配置两个证书trustpoint,即在保留原来旧的证书的基础上,重新配置一个新的信任点即可。注意,此时LNS支持多证书自动查找功能(RSR30-44 从RGOS 10.4(3b13)p2, Release(179736);RSR77 从 RGOS10.4(3b21),Release(174675) 开始支持;30-X产品全线支持)
4)注意此时的证书查找功能,必须要求前后两次CA服务的名称不同,即show crypto pki cer 看到的根证书的Issuer字段不同。对应ca服务器安装的如下步骤
二、数字证书常见故障
1、IPSec VPN采用证书认证,第一阶段协商失败的可能原因
1)数字证书不在有效期内
由于我司RSR10-01G不具有时钟芯片,当设备掉电后,设备时间会恢复成出厂时间1970年,导致数字证书不在有效期,现场可以通过如下命令关闭证书有效时间的检测或者在RSR10-01G上配置NTP服务,自动同步设备时间,配置命令如下
!
crypto pki trustpoint ruijie
time-check none
!
2)证书吊销列表检测失败
由于我司默认会向CA服务器发送证书吊销检测,检查对端的证书是否被吊销,但是现网多数情况下,路由器到CA服务器是不通的,或者没有配置dns服务器,导致无法解析CA服务器名字对应的IP地址,无法和CA服务器通信,现场建议关闭证书吊销列表检查及关闭多级证书查找,配置命令如下
!
crypto pki trustpoint ruijie
recursion-check none //关闭多级证书查找
revocation-check none //关闭证书吊销列表检查
!
2、在线申请证书失败的故障排查思路
1)确认路由器到CA服务器是否能够正常通信,ping包是否通,ping包或者在线申请证书的报文是否被中间网络过滤
2)根据实施一本通的操作步骤,核对是否有操作步骤错误
3)可以尝试重新安装SCEP插件,确认是否SCEP插件问题
4)可以尝试重新安装整个CA服务器的证书服务甚至操作系统,确认是否CA服务器的问题
5)如果确实没有定位手段,抓取路由器和CA服务器之间的在线申请证书报文,确认具体的问题点
3、RSR路由器重启后证书认证失败
老款路由器(5B6版本)证书保存在配置文件中,新款路由(3B12以上版本)证书保存在flash,如果直接使用TFTP将老款路由器中导入到新款路由器,会出现问题,导致flash证书无法正常保存。
解决方法:按照原来配置情况,重新进行证书导入配置,并wr保存。
4、RSR路由器在线证书申请失败
提示如下错误:write file /pkistore/GZBOC/R0.cer failed
这个提示表示证书无法写入flash,原来证书文件有残留在flash或者空间不够。通过变更命名可以解决。
crypto pki authenticate GZBOC_2//变更这个名字可以解决。
5、RSR路由器show run无法看到IPsec数字证书
10.4(3b12)版本 show run不显示证书文件 通过 show crypto pki cer 查看证书信息
6、设备申请证书失败,证书服务器出现下图报错信息,如何处理
该问题属于证书服务器的SECP插件过期导致,在证书服务器上重新安装SECP插件可解决。
737
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
