管理受信任的CA

VPN > 证书受信任的CA页面,你可以添加远程站点的证书所使用的CA,以启用VPN或 WebUI证书。远程站点显示的证书必须由设备信任的CA签署。受信任的CA包括中间CA和根CA。

这一页还显示了内置的内部CA,默认情况下,它为该设备创建证书。它还可以用来签署远程站点的证书。你也可以导出内部CA,将其添加到远程站点的可信CA列表中。

当云服务被打开并且设备被云服务提供商配置后,云服务提供商的CA会自动下载到设备上。云服务提供者CA是由云服务配置的社区成员使用的。

注意- 如果你关闭云服务,云服务提供者CA将被删除。

推荐配置

当你使用只有一个远程站点的基于证书的站点间VPN时,我们建议你导出每个站点的内部CA并将其添加到另一个站点的受信任CA列表中。

当你在网状配置中使用基于证书的站点到站点的VPN关闭 两个或多个安全网关之间的加密隧道。同义词:站点到站点的VPN。缩写:S2S VPN, S-to-S VPN。时,我们建议所有站点使用一个CA在支持创建签名请求的设备上签署他们内部使用的证书。你还必须将同一个CA添加到所有站点的受信任的CA列表中。该CA可以是一个外部CA服务,如Verisign(收费),或者干脆使用本设备的内部CA。见下文如何使用它来签署外部请求。

要添加一个受信任的CA:

  1. 点击“添加”.

  2. 点击“浏览”,上传CA的标识符文件(一个.CRT文件)。

  3. 建议使用CA名称,但也可以输入其他名称。

    点击“预览CA信息”可以看到.CRT文件的详细信息。

  4. 点击“应用” 该CA被添加到受信任的CA列表中。

要编辑一个受信任的CA的配置:

  1. 从列表中选择CA。

  2. 点击“编辑”.

  3. 选择有关CRL(证书吊销列表)的必要选项。

    • 从HTTP服务器检索CRL- HTTP可用于访问CA以检索CRL。当清除此选项时,该设备不尝试验证远程站点的证书CRL。

    • 在安全网关上缓存CRL- 选择多长时间检索一次新的更新的CRL。

      • 过期时获取新的CRL- 在CRL过期时。

      • 每隔X小时获取新的CRL--无论CRL是否过期。

  4. 点击“详情”,查看完整的CA信息。

  5. 点击“应用

要删除一个受信任的CA:

  1. 从列表中选择受信任的CA,然后点击删除

  2. 在确认信息中点击确定

要导出内部CA(或其他先前导入的CA)。

  1. 选择表格中的内部CA。

  2. 点击“导出”.

    内部CA的标识符文件通过浏览器下载,可以导入到远程站点的可信CA列表中。

  3. 如果有必要,你也可以导出你添加到列表中的其他可信CA,选择它们并点击导出。

要签署内部CA的远程站点的证书请求。

  1. 单击 "签名请求"

  2. 点击“浏览”,上传在远程站点创建的签名请求文件。

    在第三方设备中,确保在其《管理指南》中查看签名请求的创建位置。

    注意- 该文件必须在设备可访问的路径中。在你点击文件浏览窗口中的 "确定"后,文件被上传。如果格式正确,它就会被内部CA签署,并且可以使用下载按钮。

  3. 点击“下载”。

    已签署的证书通过你的浏览器下载,并可被导入到远程站点的证书列表。