网御星云防火墙中使用手册.pdf

2 PKIPKI 使用手册使用手册 一、概述 2 二、CA 证书 2 三、本地证书. 3 四、对端证书. 6 五、CRL 6 六、scep 7 6.1、Scep 正常使用： 7 6.1.1、SCEP 的两种 URL 格式 . 7 6.1.2、通过 web 界面获得 CA . 7 6.1.3、通过 web 界面注册证书 8 6.1.4、通过后台命令行下载 CA 和注册证书 . 10 6.2、scep 故障诊断.11 6.2.1、防火墙与 scep 服务器之间不可达 11 6.2.2、注册证书时需要挑战而没有配置挑战码 12 6.2.3、注册证书时使用的 CA 不正确 13 6.2.4、CA 机构没有使用自动颁发证书策略 14 6.2.5、URL 不正确. 15 七、OCSP 16 7.1、ocsp 的正常配置: . 16 7.1.1、ocsp 的 URL 配置. 16 7.1.2、ocsp 的配置 . 18 7.2、ocsp 常见故障诊断: . 18 7.2.1、防火墙客户端与 ocsp 服务器之间不可达 18 7.2.2、URL 配置错误 . 19 7.2.3、证书已吊销，但墙上查询到的状态非吊销 20 八、证书在隧道中的应用配置 22 九、调试命令. 25 2 证书中心（证书中心（PKI）的配置）的配置 一、概述一、概述 PKI 模块主要用于隧道协商的证书认证。整个模块包括 CA 证书、本地证书、对端 证书、CRL、OCSP、SCEP 组成。 菜单导航截图如下： 配置 PKI 之前，首先的准备好待用的证书及 CRL，下图为 openssl 方式制作的证书： 注：没有特殊说明，下面操作的证书都为上图所示证书。 二、二、CA 证书证书 CA 证书部分主要包括 CA 证书的导入、导出、删除等，及通用翻页、跳转控件。Web 界面显示如下： 2 2.1、书进行导入操作，如上图点击导入，然后浏览准备好的 CA 证书：openssl_CA，在命 令确定之后如下： 2.2、择已的证书，在点击导出，保存在 PC 上： 2.3、删除按钮，先选中要删除的证书，在点击删除按钮即可。 三、本地三、本地证书证书 本地证书主要包括： 生成请求文件、 密钥外部导入、 pfx 格式证书、 导入、 删除、 导出、 导出请求文件等功能，web 界面显示如图： 2 3.1、生成请求文件，即为在墙上本地生成请求，然后结合导出请求文件按钮，导出请求到 CA 中心颁发，最后在配合导入按钮，导入颁发好的证书。 点击生成请求文件，在弹出的对话框中填写相应信息（满足字符组合即可） ： 提交后如下图显示： 然后，导出该请求文件 2 到 CA 中心签发后的证书为 cert.cer，如下图所示： 然后导入证书： 导入后显示如下： 3.2、密钥外部生成，即证书请求文件及证书信息都是外部设备生成，其包括证书信息和私 钥，点击：浏览要到如的证书及私钥， 导入成功后显示如图： 3.3、pfx 格式证书，其实也为证书外部导入，该证书格式是把证书与私钥结合到一起形成 pfx 格式。 点击， 浏览要导入的 pfx 格式的证书导 入： 导入后显示： 3.4 其中导出、删除按钮同 CA 证书中一样，而导出请求文件按钮是与生成请求文件相结合 使用。 2 四、对端四、对端证书证书 对端证书主要包括：添加主题、pfx 格式证书、导入、删除、导出等功能。 4.1、添加主题，点击，在弹出的对话框中填写相应消息，该主题信息为 对端证书的主题信息，假如为如下这样： 提交后如下： 4.2、导入 pfx 格式证书，即选择 pfx 格式的证书导入，其中包括了证书和私钥，点击 ，弹出对话框选择要导入的 pfx 格式的证书: 导入成功后显示如下： 4.3、其中导入、导出、删除按钮操作同 CA 证书模块中操作一样。 五、五、CRL CRL 模块主要包括 CRL 列表的导入、删除操作。 导入准备好的 CRL列表：点击导入按钮： 2 导入成功后显示如下： 六、六、scep 6.16.1、ScepScep 正常使用正常使用： 6.1.1、SCEP 的两种的两种 URL 格式格式 1.1、以 windows 为 scep server 时，URL 为：/certsrv/mscep/mscep.dll 由于 windows 的 CA 服务缺省没有对 SCEP 的支持，需要 WIN2K3 resource kit 中的 一个附加工具 Cepsetup.exe，安装完后才能在 IE 中对 http:/CA-server/certsrv/mscep/mscep.dll 进行引用。 1.2、以 cisco 路由器为 scep 服务器时，URL 为：/cgi-bin/pkiclient.exe 6.1.2、通过、通过 web 界面获得界面获得 CA 1、界面配置步骤如下图： 其中 00/certsrv/mscep/mscep.dll 为 scep 2003 服务器的 url。 w7-2003 为在线下 载的 CA 保存在本地的证书名。 1、 点击下载后弹出： 2 3、然后查看下载的 CA，确定是否下载成功。 界面上查看： 在后台查看： 注： 客户端通过 scep 下载 CA时， 客户端会从 scep 服务器上下载 3 个 CA证书： w7-2003.cer、 w7-2003.cer-1、w7-2003.cer-2。其中 w7-2003.cer 是用于数字签名 RA 证书，w7-2003.cer-1 用于加密 RA 证书，w7-2003.cer-2 是用于证书、数字、crl 签名 CA 证书。证书注册使用时 采用的是数字签名证书与加密证书结合使用。 6.1.3、通过、通过 web 界面注册证书界面注册证书 1.2.1、无挑战码的证书注册、无挑战码的证书注册 1、 先在墙上创建请求文件 cert-test 2、界面配置 scep 证书注册 2 配置包括： scep 的 url、 下载的 CA、 待注册证书请求文件、 注册成功后保存在本地的证书名、 轮询时间及次数。注意：证书的请求名与证书的名称必须不一样，否则注册失败。 3、点击提交弹出 4、查看注册的证书，看是否下载成功。 1.2.2 有挑战码的证书注册有挑战码的证书注册 1、 先连接 scep 服务器， 获得挑战码， (其中 scep URL 为 00/certsrv/mscep.dll) 2 得到挑战码为：3D320C528C190A2,且该挑战码只能使用一次，有效期为 60 分钟。想换挑战 码，只要刷新界面即可。 2、 须挑战码的证书注册配置 其中界面不需要配置证书请求，请求文件会根据挑战码及特性(Ip、Email、DNS)在后台自动 生成。配好 URL、CA 证书名称、轮询时间及次数。 3、 点击提交弹出 4、 查看检查与无挑战码的一样。 6.1.4、通过后台命令行下载、通过后台命令行下载 CA 和注册证书和注册证书 1、首先确保墙和 scep 服务器之间的连通性，ping 服务器地址。 2、然后通过 URL 访问服务器，看向服务器注册证书时，是否需要挑战码。 3、若注册证书时，不需要挑战码，则后台操作如下图： 2 上图显示的为下载 CA 和注册证书的命令，以及查看是否操作成功的现象。 4、若注册证书时，需要挑战码，则后台操作如下图： 上图显示的为下载 CA 和注册证书的命令，以及查看是否操作成功的现象。 注意：1、无挑战码的证书注册时，使用的证书请求文件为墙上存在的请求文件，保存在本 地的证书名字必须与请求文件不一致。 2、需要挑战码进行证书注册时，证书的请求文件及保存在本地的证书的名字必须一 致，且为随意命名（与墙上已存在的不重复） 。 5、在界面上查看，是否在界面上正常显示存在。 6.26.2、scepscep 故障诊断故障诊断 6.2.1、防火墙与、防火墙与 scep 服务器之间不可达服务器之间不可达 【故障原因】防火墙与 scep 服务器之间不可达 【故障现象】下载及注册证书失败， 查看 scep 日志记录信息，cat /tmp/sceplog 2 然后在墙上 ping scep 服务器 【故障修复】 1、 查看连接的线路是否查插好； 2、 查看墙上是否有到 scep 服务器的路由； 3、 查看是否有策略阻止去往 scep 服务器的流量 4、 查看 scep 服务器是否开启； 6.2.2、注册证书时需要挑战而没有配置注册证书时需要挑战而没有配置挑战码挑战码 【故障原因】注册证书时需要挑战而没有配置挑战码或挑战码失效 【故障现象】注册证书失败， 1、没有配置挑战码时 查看 scep 日志记录信息，cat /tmp/sceplog 2、 配置过期或不生效的挑战码时，日志记录信息为： 然后查看 scep 服务器：00/certsrv/mscep/mscep.dll 2 需要挑战码，然后刷新。 【故障修复】 加入新挑战码重新注册 6.2.3、注册证书时使用的、注册证书时使用的 CA 不正确不正确 【故障原因】注册证书时使用的 CA 与当前服务器不匹配 【故障现象】注册证书失败， 查看 scep 日志记录信息，cat /tmp/sceplog 从日志信息可知，注册使用的 CA 不正确 【故障修复】 使用正确的 CA 证书注册 2 6.2.4、CA 机构没有使用自动颁发证书策略机构没有使用自动颁发证书策略 【故障原因】SCEP 服务器的 CA 机构对证书请求使用手动颁发 【故障现象】证书注册时一直处于 pending 状态 查看 sceplog 日志记录信息时,cat /tmp/sceplog 查看 scep 服务器的挂起请求： 及 CA 中心机构的属性设置： 点击 CA 机构右击属性策略模块 属性，查看 CA 机构多请求的处理方式。 2 【故障修复】 1、 不改变 CA 中心机构采取管理员手动颁发证书的策略，在申请证书提示处于 pending 状 态时，我们可用进入 scep CA 机构后台，在挂起的申请中。右击待颁发的证书，进行手 动颁发。 2、 改用手动颁发证书，如上图，把请求文件的处理方式改为“如果可以的话，按照证书模 版中的设置，否则，自动颁发证书” 。 6.2.5、URL 不正确不正确 【故障原因】URL 不正确 【故障现象】下载 CA 和注册证书失败， 查看 scep 日志记录信息，cat /tmp/sceplog 日志信息显示：错误（或失踪）的 MIME 内容类型 在 scep 客户端与服务器之间抓包： 2 从主机 00 回复的报文可知道， 请求没有找到服务器。 说明使用的 URL 存在问题。 【故障修复】 1、 首先弄清楚 scep 的服务器是 windows server，还是 cisco router 搭建的服务器。 2、 若使用的服务器为 windows 服务器则使用 URL 为：server_id/certsrv/mscep/mscep.dll, 3、 若使用的服务器为cisco router搭建的服务器则使用URL为： server-id/cgi-bin/pkiclient.exe 七七、OCSP 7.17.1、ocspocsp 的正常配置的正常配置: : 7.1.1、ocsp 的的 URL 配置配置 配置ocsp客户端时， 首先必须确定客户端向ocsp服务器查询证书信息的路径， 即ocsp URL。 1、要准确配置 ocsp 的 URL，可以查看由该服务器颁发证书的详细信息，其中颁发机构信 息访问包含了该服务器的 ocsp URL。 2 2、通过查看 ocsp 服务器的 URL 配置： 点击证书颁发机构右击属性-选择扩展- 在扩展中选择颁发机构信息访问 AIA， 显示如下图： 3、通过 openssl 命令查看： openssl x509 -in /etc/ipsec.d/certs/peercerts/w7-08client.cer noout ocsp_uri 2 7.1.2、ocsp 的配置的配置 1、墙上 ocsp 配置如下： 其中 ocsp url 的配置如 4.1 描述方法所配置，另外值得注意的是强检查的开启，当客户端向 ocsp 服务器发送请求时，ocsp response 包会返回 3 种状态：good、revoke、unknow。若开启 强检查，客户端只会把 ocsp response 包状态为 good 的证书认为是有效的。若没有开启强检 查，则会把非 revoke 状态的包都认为是有效的。 2、在后台 CLI 中通过命令配置： EX：pki ca ocsp client add config name xwcxwc ocspurl /ocsp strictpolicy on 配好后可以在界面上查看是否配置成功，也可以通过命令查看： EX：Pki ca ocsp client show all/name 7.27.2、ocspocsp 常见故障诊断常见故障诊断: : 7.2.1、防火墙客户端与、防火墙客户端与 ocsp 服务器之间不可达服务器之间不可达 【故障原因】防火墙客户端与 ocsp 服务器之间不可达 【故障现象】ocsp 查询证书状态失败， 1、 进行隧道协商时： 若协商隧道的证书采用服务器上已经吊销的证书，隧道依然能协商成功： 2 因为 ocsp 查询证书的状态失败，并从日志当中可以知道无法连接到服务器的主机，查 寻不到证书状态，协商时认为证书依然正常。 然后测试客户端与服务器之间的连通性，ping 不通， 2、 单独通过 openssl 命令行来查询某一些证书的状态： Openssl ocsp issuer / etc/ipsec.d/cacerts/w7-08CA.cer cert /etc/ipsec.d/certs/mycerts/w7-08server.cer -url /ocsp 【故障修复】 1、 检查客户端是否有到服务器的路由 2、 查看 ocsp 服务器是否开启 7.2.2、URL 配置错误配置错误 【故障原因】URL 配置错误(前提：是查询证书的颁发机构访问被禁用) 【故障现象】ocsp 查询证书状态失败， 查看隧道协商日志： 2 在墙与服务器之间抓包： 从抓包分析，ocsp 请求出错。然后检查 ocsp 配置 CA 与 ocspurl 是否配置正确。 查看证书的办法机构访问者信息，比较与配置的一样。 【故障修复】 1、 按照 ocspuri 配置重新配置 ocspuri 与 CA 的对应关系 注意： ocsp 查询时， 首先会根据查询证书携带的 “颁发机构信息访问” 的扩展属性的 URL 向服务器查询证书状态。若该属性被禁用，查询才会根据墙上配置的 ocspuri 查询。 7.2.3、证书已吊销证书已吊销，但，但墙上查询到的状态非吊销墙上查询到的状态非吊销 【故障原因】证书吊销时没有发布，或是没有刷新吊销配置 【故障现象】查看服务器上证书为吊销状态，但通过 o