第 2 章 : 公開金鑰密碼編譯
注意 :
Entrust CA 認證的索引 (IDX) 編號為 1。若要檢視安全性裝置上載入的所有 CA 認 證的 IDX 編號清單,請使用下面的 CLI 指令 : get pki x509 list ca-cert。 WebUI Objects > Certificates (Show: CA) > Server Settings ( 對於 NetScreen): 輸入下 面的內容,然後按一下 OK: X509 Cert_Path Validation Level: Full CRL Settings: URL Address: ldap:///CN=Entrust,CN=en2001,CN=PublicKeyServices, CN=Services,CN=Configuration,DC=EN2001,DC=com?CertificateRevocati onList?base?objectclass=CRLDistributionPoint LDAP Server: 2.2.2.121 Refresh Frequency: Daily
Objects > Certificates > Default Cert Validation Settings: 輸入下面的內容,然 後按一下 OK: X509 Certificate Path Validation Level: Full Certificate Revocation Settings: Check Method: CRL URL Address: ldap:///CN=NetScreen,CN=safecert,CN=PublicKeyServices, CN=Services,CN=Configuration,DC=SAFECERT,DC=com?CertificateRevoc ationList?base?objectclass=CRLDistributionPoint LDAP Server: 10.1.1.200
CLI set pki authority 1 cert-path full set pki authority 1 cert-status crl url "ldap:///CN=Entrust,CN=en2001, CN=PublicKeyServices,CN=Services,CN=Configuration,DC=EN2000,DC=com? CertificateRevocationList?base?objectclass=CRLDistributionPoint" set pki authority 1 cert-status crl server-name 2.2.2.121 set pki authority 1 cert-status crl refresh daily set pki authority default cert-path full set pki authority default cert-status crl url "ldap:///CN=NetScreen, CN=safecert,CN=PublicKeyServices,CN=Services,CN=Configuration,DC=SAFE CERT, DC=com?CertificateRevocationList?base?objectclass=CRLDistributionPoint" set pki authority default cert-status crl server-name 10.1.1.200 set pki authority default cert-status crl refresh daily save
自動取得本機認證 若要在建立安全 VPN 連接時使用數位認證來驗證您的身份,必須先進行下列操作 :
取得想要從中取得個人認證的認證授權單位 (CA) 認證,然後將 CA 認證載入安 全性裝置。
從先前已經載入了 CA 認證的 CA 中取得本機認證 ( 也稱為個人認證 ),然後將 本機認證載入安全性裝置。您可以手動執行這項工作,或使用「簡易認證登記 通訊協定 (SCEP)」自動執行。
認證和 CRL
27