j'ai compris

Certificat local

publié il y a  2020-8-30 12:47:08 67 0 0 0 0

Certificat local

Pendant la communication entre l'appareil et l'homologue, l'appareil envoie son certificat local à l'homologue pour l'authentification. Un administrateur peut envoyer une demande de certificat local à l'autorité de certification en ligne ou hors ligne.

Configuration du fichier de demande de certificat

  1. Choisissez Objet > Certificats > Certificats locaux .

  2. Cliquez sur Ajouter .

    sec_admin_certificate_0012_fig01.png

  3. Remplissez le nom du certificat.


    Le nom du certificat ne prend pas en charge les caractères spéciaux tels que le point (.), Le point d'exclamation (!), Le signe dièse (#), le signe dollar ($) et le signe de pourcentage (%).

    Le certificat est nommé au format nom du certificat + local.cer .


  4. Renseignez les paramètres d'identification. Autrement dit, en remplissant les informations de l'entité qui demande le certificat.


    Paramètre

    La description

    Nom commun

    Nom commun du FW

    Si le nom commun n'est pas spécifié, le nom du certificat que vous définissez sera utilisé comme nom commun.

    Adresse IP

    Adresse IP publique / nom de domaine du FW

    REMARQUE:
    Lorsque vous utilisez IKEv1 pour établir un tunnel IPSec, vous devez utiliser l'adresse IP de l'extrémité locale du tunnel IPSec.

    FQDN

    Email

    Adresse e-mail du propriétaire du firmware

    Superficie du pays

    Emplacement du micrologiciel

    État / Province
    Emplacement
    département
    Organisation


  5. Remplissez les paramètres clés.


    Paramètre

    La description

    Type de clé

    Actuellement, l'appareil ne prend en charge que les paires de clés RSA. Après avoir spécifié ce paramètre, une paire de clés publique et privée est générée. La clé publique est utilisée pour l'application de certificat, tandis que la clé privée est stockée sur le FW .

    Longueur de clé

    Une clé plus courte est plus rapide à crypter et à décrypter, mais elle est moins sécurisée.


  6. Configurez l'application de certificat.


    Choisissez un mode d'application avant de poursuivre les configurations suivantes. Le FW prend en charge les modes d'application suivants.

    Mode d'application

    La description

    Candidature en ligne via SCEP

    Il est conseillé de demander un certificat en ligne via SCEP si l'appareil peut accéder au serveur CA et si le serveur CA prend en charge le SCEP. Ce mode d'application prend en charge l'application et la mise à jour automatiques des certificats, ce qui facilite la maintenance des certificats.

    En mode d'application en ligne SCEP, un certificat CA est appliqué en même temps, et le certificat local appliqué est importé sur l'appareil.

    Candidature en ligne via CMPv2

    Vous pouvez demander un certificat en ligne via CMPv2 si le périphérique peut accéder au serveur CA et si le serveur CA prend en charge CMPv2. Ce mode d'application prend en charge l'application et la mise à jour automatiques des certificats, ce qui facilite la maintenance des certificats.

    REMARQUE:

    Avant de demander un certificat à l'aide de CMPv2, obtenez un certificat racine du serveur CA hors ligne et importez-le dans la mémoire FW ; sinon, la vérification échoue.

    Demande hors ligne un

    Envoyez une demande de certificat pour demander un certificat.

    Un administrateur peut envoyer la demande générée sur l'appareil à l'autorité de certification ou télécharger la demande sur l'interface utilisateur Web de l'autorité de certification pour l'application de certificat. Une fois le certificat local émis, l'administrateur doit importer le certificat sur l'appareil.

    Utilisez l'interface utilisateur Web de l'autorité de certification pour l'application de certificat.

    Un administrateur entre les informations de certificat local sur l'interface utilisateur Web de l'autorité de certification. Une fois le certificat local émis, l'administrateur doit importer le certificat et le fichier de clé (ou le certificat avec les informations de clé) sur l'appareil.

    Cette section décrit uniquement comment importer le certificat local émis sur l'appareil. Pour la procédure de candidature, reportez-vous à l'aide de CA.

    REMARQUE:
    une. La méthode hors ligne nécessite l'application d'un certificat CA pour vérifier le certificat local. Pour plus de détails, reportez-vous à l'aide de CA.


  • MD5

  • SHA-1

  • SHA-256

  • SHA-384

  • SHA-512

  • MD5

  • SHA-1

  • Interface source

  • Adresse IP: dans un scénario de secours automatique, le FW utilise une adresse IP virtuelle pour établir une connexion TCP avec un serveur CA, mais l'interface source pour la communication est une véritable adresse IP. Par conséquent, une adresse IP est requise pour que le FW établisse une connexion TCP avec le serveur CA. Définissez l'adresse IP sur l'adresse IP virtuelle.

  • Authentification du message: authentification basée sur la valeur de référence et la clé d'authentification du code d'authentification du message. Le paramètre est configuré uniquement lors de la première requête .

  • Signature: authentifiez-vous sur la base d'un certificat d'identité.

  • Première demande: un certificat supplémentaire.

  • Demande d'authentification: un certificat local émis sur l'appareil par l'autorité de certification.

  • Demande de mise à jour de clé: un certificat local délivré à l'appareil par l'autorité de certification et à mettre à jour.

  • Interface source

  • Adresse IP: dans un scénario de secours automatique, le FW utilise une adresse IP virtuelle pour établir une connexion TCP avec un serveur CMPv2, mais l'interface source pour la communication est une véritable adresse IP. Par conséquent, une adresse IP est requise pour que le FW établisse une connexion TCP avec le serveur CMPv2. Définissez l'adresse IP sur l'adresse IP virtuelle.

  • L'application hors ligne ne nécessite pas de configuration d'autres paramètres.

  • L'application en ligne via SCEP et CMPv2 nécessite la configuration des paramètres d'application en ligne. Les paramètres sont décrits ci-dessous:

    Tableau 1 Description des paramètres de l'application en ligne SCEP

    Paramètre

    La description

    URL du serveur CA

    Assurez-vous que les serveurs FW et CA sont accessibles. Vous pouvez saisir une adresse IP ou un nom de domaine.

    Algorithme de résumé


    Algorithme d'empreintes digitales CA


    Empreinte digitale CA

    L'empreinte digitale CA doit être la même que l'empreinte digitale CA sur le serveur CA. Pour savoir comment obtenir l'empreinte digitale CA, reportez-vous à l'aide de CA.

    Identité de l'autorité de certification

    Spécifiez l'identité de l'autorité de certification. L'identifiant ici fait référence au nom du serveur CA approuvé par les entités.

    RA

    Indiquez si vous souhaitez demander des certificats auprès de l'autorité de certification. Si vous choisissez RA, les certificats sont appliqués à partir de la RA ou les certificats sont appliqués à partir de l'autorité de certification.

    Mot de passe de défi

    Si l'autorité de certification utilise le mot de passe de vérification pour la demande de certificat, vous devez spécifier le mot de passe de vérification, qui est également le mot de passe défini sur le serveur de l'autorité de certification. Pour savoir comment obtenir le mot de passe de vérification, reportez-vous à l'aide de CA.

    Cycle de requête

    Si les demandes de certificat sont traitées manuellement dans l'autorité de certification, l'émission du certificat peut prendre un certain temps. Par conséquent, le FW doit envoyer une requête périodiquement pour obtenir le certificat émis en temps opportun.

    Requêtes

    Mode de communication

    Spécifiez le mode de communication du FW pour établir une connexion TCP avec le serveur CA:

    Interface source

    Ce paramètre est disponible uniquement lorsque le mode de communication est défini sur Interface source .

    Lorsque le FW a plusieurs sorties, vous pouvez définir le paramètre pour spécifier l'interface source utilisée par le FW pour établir une connexion TCP avec le serveur CA. L'adresse IP de l'interface est utilisée comme adresse IP source utilisée par le FW pour établir une connexion TCP avec le serveur CA.

    Assurez-vous que l'interface source spécifiée est une interface de couche 3 et possède une adresse IP.

    Adresse IP

    Ce paramètre est disponible uniquement lorsque le mode de communication est défini sur Adresse IP .

    Spécifiez l'adresse IP source du micrologiciel pour établir une connexion TCP avec le serveur CA.

    REMARQUE:

    Ce paramètre ne prend pas en charge la configuration d'une adresse IPv6.

    Routeur virtuel

    Lorsque le serveur CA est lié à une instance VPN spécifique (nommée vrf1), vous pouvez définir le paramètre pour spécifier l'instance VPN (ou vrf1) liée à la PKI afin que le FW puisse communiquer avec le serveur CA pour obtenir des certificats ou vérifier le validité du certificat.

    Tableau 2 Description des paramètres de l'application en ligne CMPv2

    Paramètre

    La description

    Objet CA

    L'ordre des champs dans le sujet CA doit être le même que celui du certificat CA réel. Sinon, le serveur considère le sujet comme incorrect.

    URL du serveur

    URL du serveur CMPv2. Assurez-vous que le FW et le serveur CMPv2 sont accessibles. Vous pouvez saisir une adresse IP ou un nom de domaine.

    Mode d'authentification


    Valeur de référenceValeur de référence et clé d'authentification du code d'authentification de message, qui doivent être acquises à partir d'un serveur CMP en mode hors bande.

    clé

    Certificat d'identité

    Lorsque CMPv2 est utilisé pour demander un certificat, configurez un certificat utilisé pour prouver l'identité de l'appareil. Pour les différents modes d'application CMPv2, les certificats configurés varient également.

    Mode de communication

    Spécifiez le mode de communication du FW pour établir une connexion TCP avec le serveur CMPv2:

    Interface source

    Ce paramètre est disponible uniquement lorsque le mode de communication est défini sur Interface source .

    Lorsque le FW a plusieurs sorties, vous pouvez définir le paramètre pour spécifier l'interface source utilisée par le FW pour établir une connexion TCP avec le serveur CMPv2. L'adresse IP de l'interface est utilisée comme adresse IP source utilisée par le FW pour établir une connexion TCP avec le serveur CMPv2.

    Assurez-vous que l'interface source spécifiée est une interface de couche 3 et possède une adresse IP.

    Adresse IP

    Ce paramètre est disponible uniquement lorsque le mode de communication est défini sur Adresse IP .

    Spécifiez l'adresse IP source du FW pour établir une connexion TCP avec le serveur CMPv2.

    REMARQUE:

    Ce paramètre ne prend pas en charge la configuration d'une adresse IPv6.

    Routeur virtuel

    Lorsque le serveur CMPv2 est lié à une instance VPN spécifique (nommée vrf1), vous pouvez définir le paramètre pour spécifier l'instance VPN (ou vrf1) liée à la PKI afin que le FW puisse communiquer avec le serveur CMPv2 pour obtenir des certificats ou vérifier le validité du certificat.

Cliquez sur OK .



  • status_process.pngindique que la demande de certificat n'est pas traitée. S'il vous plaît, attendez.

  • status_failed.pngindique que la demande de certificat échoue ou expire. Vous pouvez cliquer status_failed.pngpour renvoyer la demande.

  • Si le nom du certificat est un lien bleu, par exemple status_success.png, le certificat est émis et importé sur l'appareil.

  • Générez un fichier de demande de certificat hors ligne.

    La demande de certificat générée * .req s'affiche dans la liste des certificats locaux et des fichiers de demande .

  • Générez un fichier de demande de certificat en ligne et demandez un certificat local.

    La délivrance du certificat dépend de l'efficacité de l'autorité de certification. Pour gagner du temps, un administrateur peut effectuer d'autres opérations en attendant l'émission du certificat.

    note_3.0-en-us.png

    Cliquez look-particular.pngpour afficher les détails du certificat.

Demander un certificat local hors ligne

note_3.0-en-us.png
Si vous avez soumis la demande sur l'interface utilisateur Web de l'autorité de certification et que vous avez obtenu le certificat ou l'emplacement du certificat, effectuez 3 .
  1. Cliquez download.gifpour télécharger le fichier de demande sur le PC administrateur.

  2. Envoyez le fichier de demande de certificat à l'autorité de certification.


    L'administrateur peut utiliser l'URL fournie par l'autorité de certification pour télécharger le fichier de demande de certificat. L'administrateur peut également utiliser un courrier électronique ou un support de stockage portable pour envoyer le fichier de demande de certificat à l'autorité de certification. Une fois que l'autorité de certification a émis un certificat, effectuez les opérations suivantes:


  3. Cliquez sur Télécharger pour importer le certificat sur l'appareil.

    sec_admin_certificate_0012_fig02.png

    Le FW prend en charge les méthodes suivantes pour importer le certificat en fonction de la position de stockage du certificat.


  • Certificat local: y compris les certificats avec le suffixe cer , der , crt , p12 , pfx ou pem et sans informations de clé.

  • Certificat PKCS12 ou certificat PEM avec clé: pour le certificat avec suffixe p12 , pem ou pfx et informations sur la clé Pour importer le certificat, vous devez spécifier un mot de passe de certificat. Vous pouvez obtenir le mot de passe du certificat auprès de l'autorité de certification.

  • Certificat ou certificat PEM sans clé: y compris les certificats avec suffixe cer , crt , der , p12 , pfx ou pem et avec un fichier de clé indépendant. Pour importer le certificat, vous devez spécifier un type de clé, un format de fichier de clé, un fichier de clé et le mot de passe du fichier de clé. Vous pouvez obtenir le mot de passe du fichier de clé auprès de l'autorité de certification.

  • RSA: prend en charge les fichiers de clés .pem , .p12 , .key et .pfx .

  • SM2: prend en charge les fichiers de clés .pem , .key et .der .

  • Si le type de clé est RSA, les formats de fichier de clé pris en charge incluent pem et p12 .

  • Si le type de clé est SM2, les formats de fichier de clé pris en charge incluent pem et der .

  • Téléchargement local: utilisé pour les certificats enregistrés sur le PC administrateur.

    Paramètre

    La description

    Type de téléchargement

    Sélectionnez Téléchargement local .

    Format du certificat


    Fichier de certificat

    Fichier de certificat émis par l'AC

    Type de clé


    Format de fichier clé

    Le format du fichier de clé varie en fonction des types de clé:

    Fichier clé

    Fichier clé émis par l'AC

    Mot de passe

    Certificat ou mot de passe clé

  • HTTP: utilisé pour les certificats enregistrés sur le serveur Web.

    Paramètre

    La description

    Type de téléchargement

    Sélectionnez HTTP .

    URL

    Entrez l'URL pour obtenir un certificat. L'URL doit contenir le nom et l'extension du fichier, par exemple http://10.1.2.1:80/certnew.cer. L'extension du nom de fichier peut être cer , der , crt , p12 , pfx ou pem .

  • LDAP: utilisé pour les certificats enregistrés sur le serveur LDAP.

    Paramètre

    La description

    Type de téléchargement

    Sélectionnez LDAP .

    Serveur

    Vous pouvez sélectionner le serveur LDAP existant ou créer un serveur LDAP. Pour la méthode de configuration, voir Configuration d'un serveur LDAP .

    Mot de passe

    Mot de passe administrateur d'un serveur LDAP.

    Il est obligatoire lorsque le modèle de serveur n'est pas associé à un administrateur anonyme.

    Nom de fichier

    Entrez le nom du fichier de certificat. L'extension du nom de fichier peut être cer , der , crt , p12 , pfx ou pem .

  • FTP: utilisé pour les certificats enregistrés sur le serveur FTP.

    Paramètre

    La description

    Type de téléchargement

    Sélectionnez FTP .

    Adresse IP

    Sélectionnez l'adresse IP du serveur FTP.

    Port

    Sélectionnez le numéro de port du serveur FTP.

    Nom de fichier

    Entrez le nom du fichier de certificat à télécharger. L'extension du nom de fichier peut être cer , der , crt , p12 , pfx ou pem .

    Connexion anonyme

    Si ce paramètre est activé, un utilisateur anonyme peut se connecter au serveur FTP. Sinon, le nom d'utilisateur et le mot de passe sont requis.

    Nom d'utilisateur

    Nom du compte FTP

    Mot de passe

    Mot de passe du compte FTP

Cliquez sur OK .

Cliquez look-particular.pngpour afficher les détails du certificat.

Procédure de suivi

Sauvegardez le certificat local.

Cliquez download.gifpour obtenir le certificat (avec le suffixe cer , crt , der , p12 , pfx ou pem ) pour télécharger le fichier de certificat sur le PC administrateur. Si un certificat contient une clé, vous devez entrer un mot de passe pour la sécurité.


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.