API Guide
Identifier GUID-D5214D2F-B493-4E6C-A9B6-7B07F3096815
Version 2
Status Translation approved
X.509v3 证书
OS10 支持 X.509v3 证书,以保护交换机与主机(如 RADIUS 服务器)之间的通信安全。交换机和服务器均交换由证书颁发机构 (CA)
颁发的已签名的 X.509v3 证书中的公钥,以便彼此进行身份验证。证书颁发机构使用其私钥来签署交换机和主机证书。
证书中的信息允许两个设备证明所有权和公钥的有效性。假设 CA 受信任,则交换机和身份验证服务器会验证对方的身份并设置安全
的加密通信通道。
虽然可以同时使用两种方式,但通常优先使用具有公钥证书的用户身份验证,而不是基于密码的身份验证:
• 避免使用低强度密码的安全风险,并对强力攻击提供更大的阻力。
• 提供受信任并且可证实的标识(使用受信任的 CA 数字签名的证书时)的保证。
• 除了用户身份验证以外,在交换机服务器通信中提供安全保护和机密性。
例如,您可以下载并安装 X.509v3 证书以启用 RADIUS over TLS 身份验证的公钥验证(也称为 RadSec)。OS10 支持公钥基础设施
(PKI),其中包括:
• 生成自签名证书和证书签名请求 (CSR) 及其相应的私钥
• 安装和删除自签名证书和 CA 签名的证书
• 安全删除相应的私钥
• 在系统“trust store”中安装和删除 CA 证书
• 显示证书信息
Identifier GUID-94536C61-6DEB-4379-B91B-6173D7FAD8DF
Version 2
Status Translation approved
X.509v3 概念
认证
将网络设备与公钥关联的文档。在参与的设备之间交换时,将使用证书来验证设备身份以及与设备关联的公
钥。PKI 使用以下证书类型:
• CA 证书:用于对主机证书进行签名的 CA 证书。CA 证书可由其他 CA 颁发或由其自行签署。自签名 CA
证书称为
根证书
。
• 主机证书:颁发给网络设备的证书。主机证书可由 CA 或自签名签名。
• 自签名证书:与 CA 签名的证书相比的主机签名证书。
证书颁发机构 (CA) 验证证书内容并对其进行签名的实体,表示证书受信任且正确。中间 CA 在根 CA 和主机之间签署证书。
证书吊销列表
(CRL)
包含不再有效的证书的 CA 签名文档,即使尚未过期也是如此。例如,为服务器生成新的证书时,将不再支持
旧证书。
证书签发请求
(CSR)
生成密钥对后,交换机将使用密码私钥来签署获取证书的请求,并将请求发送到证书颁发机构。CSR 包含标
识交换机及其公钥的信息。此公钥用于验证 CSR 的私有签名和交换机的可分辨名称 (DN)。CSR 由 CA 签名并
返回到主机以用作签名的主机证书。
隐私增强邮件
(PEM)
用于将 X.509v3 数据格式化为安全信息交换的 PKI 标准;如 RFC 1421 中所述。
公钥基础设施 (PKI) 管理私有和公有加密密钥生成的应用程序,以及在网络设备上下载、安装和交换 CA 签名的证书。
X.509v3
管理数字证书和公钥加密的公钥基础设施的标准。
Identifier GUID-91787386-48E3-4CAA-8307-AFA8D3BD2B73
Version 2
Status Translation approved
公钥基础设施
要在网络中的 OS10 交换机上使用 509v3 证书进行安全通信和用户身份验证,需要具有证书颁发机构 (CA) 的公钥基础设施 (PKI)。
CA 签署证书可证明网络设备的可信度。
1000
安全性