管理受信任的CA

VPN > 证书受信任的CA页面,你可以添加远程站点的证书所使用的CA,以启用VPN或 WebUI证书。远程站点显示的证书必须由设备信任的CA签署。受信任的CA包括中间CA和根CA。

这一页还显示了内置的内部CA,默认情况下,它为该设备创建证书。它还可以用来签署远程站点的证书。你也可以导出内部CA,将其添加到远程站点的可信CA列表中。

当云服务被打开并且设备被云服务提供商配置后,云服务提供商的CA会自动下载到设备上。云服务提供者CA是由云服务配置的社区成员使用的。

注意- 如果你关闭云服务,云服务提供者CA将被删除。

推荐配置

当你使用只有一个远程站点的基于证书的站点间VPN时,我们建议你导出每个站点的内部CA并将其添加到另一个站点的受信任CA列表中。

当你在网状配置中使用基于证书的站点到站点的VPN关闭 两个或多个安全网关之间的加密隧道。同义词。站点到站点的VPN。收缩。S2S VPN, S-to-S VPN。时,我们建议所有站点使用一个CA在支持创建签名请求的设备上签署他们内部使用的证书。你还必须将同一个CA添加到所有站点的受信任的CA列表中。该CA可以是一个外部CA服务,如Verisign(收费),或者干脆使用本设备的内部CA。见下文如何使用它来签署外部请求。

要添加一个受信任的CA。

  1. 点击添加.

  2. 点击浏览,上传CA的标识符文件(一个.CRT文件)。

  3. 建议使用CA名称,但如果你愿意,可以输入其他名称。

    点击预览 CA 信息可以看到.CRT文件的进一步信息。

  4. 点击应用.该CA被添加到受信任的CA列表中。

要编辑一个受信任的CA的配置。

  1. 从列表中选择CA。

  2. 点击编辑.

  3. 选择有关CRL(证书吊销列表)的必要选项。

    • 从HTTP服务器检索CRL- HTTP可用于访问CA以检索CRL。当清除时,该设备不尝试验证远程站点的证书CRL。

    • 在安全网关上缓存CRL- 选择多长时间检索一次新的更新的CRL。

      • 过期时获取新的CRL- 在CRL过期时。

      • 每隔X小时获取新的CRL--无论CRL是否过期。

  4. 点击详情,查看完整的CA详情。

  5. 点击应用.

要删除一个受信任的CA。

  1. 从列表中选择受信任的CA,然后点击删除

  2. 在确认信息中点击确定

要导出内部CA(或其他先前导入的CA)。

  1. 选择表格中的内部CA。

  2. 点击导出.

    内部CA的标识符文件通过浏览器下载,可以导入到远程站点的可信CA列表中。

  3. 如果有必要,你也可以导出你添加到列表中的其他可信CA,选择它们并点击导出。

要签署内部CA的远程站点的证书请求。

  1. 单击 "签署请求"

  2. 点击浏览,上传在远程站点创建的签名请求文件。

    在第三方设备中,确保在其《管理指南》中查看签署请求的创建位置。

    注意- 该文件必须在设备可访问的路径中。在你点击文件浏览窗口中的 "确定"后,文件被上传。如果格式正确,它就会被内部CA签署,并且可以使用下载按钮。

  3. 点击下载

    已签署的证书通过你的浏览器下载,并可被导入到远程站点的证书列表。