管理受信任的 CA

在「VPN > 證書受信任的 CA」頁面中,可以新增遠端站點證書使用的 CA 以啟用 VPN或WebUI證書。遠端站點顯示的證書必須由設備信任的 CA 簽名。受信任的CA包括中間CA和根CA。

此頁面還顯示內置的內部 CA,預設情況下,該 CA 為此設備創建證書。它還可用於簽署遠端站點的證書。您還可以匯出內部 CA 以將其加入到遠端站點的受信任 CA 清單中。

當雲端服務打開並由雲端服務提供者設定設備時,雲端服務提供者的 CA 會自動下載到設備。雲端服務提供者 CA 由雲端服務設定的社區成員使用。

注意 - 如果關閉雲端服務,則會刪除雲端服務提供者 CA。

建議設定

僅對一個遠端站點使用基於證書的網站到網站 VPN 時,建議匯出每個網站的內部 CA,並將其新增到其他網站的受信任 CA 清單中。

在網格設定中,將基於證書的網站到網站 VPN 與多個遠端站點一起使用時,我們建議所有網站使用一個 CA 在支援創建簽名請求的設備上對其內部使用的證書進行簽名。您還必須將同一 CA 新增到所有網站的受信任 CA 清單中。該 CA 可以是Verisign等外部 CA 服務(收費),也可以只是使用此設備的內部 CA。請參閱下面如何使用它對外部請求進行簽名。

要新增受信任的 CA,請執行以下操作:

  1. 點擊新增.

  2. 點選「瀏覽」以上載 CA 的識別碼檔 (.CRT 檔)。

  3. 建議使用 CA 名稱,但您可以根據需要輸入其他名稱。

    點擊預覽 CA 詳細資訊 以查看中的詳細資訊。CRT 檔。

  4. 點擊套用CA 將新增到「受信任的 CA」 清單中。

要編輯受信任 CA 的設定,請執行以下操作:

  1. 從清單中選擇CA。

  2. 單擊 編輯.

  3. 選擇有關 CRL(憑證吊銷清單)的必要選項:

    • 從 HTTP 伺服器 檢索 CRL - HTTP 可用於存取 CA 以進行 CRL 檢索。清除後,此設備不會嘗試驗證遠端站點證書的CRL。

    • 在安全閘道 上快取 CRL - 選擇檢索新更新的 CRL 的頻率。

      • 過期 時獲取新的 CRL - 在 CRL 過期時。

      • 每 X 小時 獲取一次新的 CRL - 無論 CRL 是否過期。

  4. 點擊詳細資訊以查看完整的CA詳細資訊。

  5. 點擊套用

要刪除受信任的 CA,請執行以下操作:

  1. 從清單中選擇受信任的 CA,然後按下 刪除

  2. 在確認訊息中點擊 確定

要匯出內部 CA(或其他以前匯入的 CA),請執行以下操作:

  1. 在表中選擇內部 CA。

  2. 點擊 匯出.

    內部 CA 的識別碼檔通過瀏覽器下載,並可匯入到遠端站點的受信任 CA 清單中。

  3. 如有必要,您還可以通過選擇其他受信任的 CA 並按下「匯出」來匯出已新增到清單中的受信任 CA。

要通過內部 CA 對遠端站點的憑證請求進行簽名,請執行以下操作:

  1. 一下「簽署請求」。

  2. 點擊 [瀏覽] 以上傳在遠端站點中建立的簽署要求檔案。

    在第三方設備中,請務必查看其《管理指南》,以查看簽署請求的建立位置。

    注意 - 檔案必須位於設備可存取的路徑中。在檔案瀏覽視窗中點擊 [確定] 之後,即會上傳檔案。如果格式正確,則由內部 CA 簽署,並且可以使用 [下] 按鈕。

  3. 下「下載」。

    簽署的憑證會透過瀏覽器下載,並可匯入遠端站點的憑證清單。