视频来源:B站《乾颐堂HCIP-HCIE-security安全 2019年录制》
一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!
附上汇总贴:华为防火墙基础自学系列 | 汇总_COCOgsta的博客-CSDN博客
证书申请方式
SCEP(Simple Certificate Enrollment Protocol) for VPN devices
File-based(PKCS#10)
Web-based(browser-to-CA)
SCEP介绍
- 主要用于在线证书申请
- 主要由Cisco设计的技术
- VPN设备PKI证书申请的工业标准
- HTTP传输协议
- 被绝大多数VPN和CA厂商支持
- 为VPN设备(VPN最终用户)提供了简单而功能强大的证书申请方式
PKCS#10介绍
- 主要用于离线证书申请
- 定义了证书请求的数据格式
证书请求包括:
- DN(Distinguished name)个人信息
- Public key公钥
- Optional set of attributes其他属性
Web-based证书申请
主要用于MS证书服务器的申请
证书吊销方式
CRL(证书吊销列表)
- 类似于通缉布告
- time-stamped(有效期)
- CA-signed(服务器签名)
- 客户周期性轮询CRL存储位(http/ldap/ftp...)获取当前CRL
- 管理员一旦吊销证书,新的CRL就会被颁发,但是新的CRL并不会立即被客户获取,必须等老的CRL超期,才能获取新的CRL
OCSP(Online Certificate Status Protocol)
- 在线式证书吊销状态查询协议,IOS CA暂不支持