华为防火墙基础自学系列 | 证书申请方式

发布于:2022-12-17 ⋅ 阅读:(173) ⋅ 点赞:(0)

视频来源:B站《乾颐堂HCIP-HCIE-security安全 2019年录制》

一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!

附上汇总贴:华为防火墙基础自学系列 | 汇总_COCOgsta的博客-CSDN博客


证书申请方式

SCEP(Simple Certificate Enrollment Protocol) for VPN devices

File-based(PKCS#10)

Web-based(browser-to-CA)

SCEP介绍

  1. 主要用于在线证书申请
  1. 主要由Cisco设计的技术
  1. VPN设备PKI证书申请的工业标准
  1. HTTP传输协议
  1. 被绝大多数VPN和CA厂商支持
  1. 为VPN设备(VPN最终用户)提供了简单而功能强大的证书申请方式

PKCS#10介绍

  1. 主要用于离线证书申请
  1. 定义了证书请求的数据格式
  1. 证书请求包括:

    1. DN(Distinguished name)个人信息
    2. Public key公钥
    3. Optional set of attributes其他属性

Web-based证书申请

主要用于MS证书服务器的申请

证书吊销方式

  1. CRL(证书吊销列表)

    1. 类似于通缉布告
    2. time-stamped(有效期)
    3. CA-signed(服务器签名)
    4. 客户周期性轮询CRL存储位(http/ldap/ftp...)获取当前CRL
    5. 管理员一旦吊销证书,新的CRL就会被颁发,但是新的CRL并不会立即被客户获取,必须等老的CRL超期,才能获取新的CRL
  1. OCSP(Online Certificate Status Protocol)

    1. 在线式证书吊销状态查询协议,IOS CA暂不支持