开关上的PKI

AOS-CX开关系列开关提供了安装证书授权(CA)证书以及叶子证书的生成和安装。

信任锚点概况

该开关支持64个信任锚(TA)配置文件。每个TA配置文件存储一个值得信赖的CA证书。该证书可以是必须是自签名的Root CA证书,也可以是由另一个CA签发的中级CA证书。

笔记:

证书必须具有基本约束带有CA密钥设置为真的,及其钥匙用带有的扩展字段设置KeyCertSign和/或crlsign

CA证书用于:

  • 验证远程对等方在尝试在开关上建立安全连接时所存在的证书,例如SSH服务器。

  • 验证Syslog客户端,Web UI或REST API,在开关上安装的叶子证书。

TA配置文件还可以配置证书撤销的实时检查(通过OCSP)。

叶证书

可以在开关上安装叶证书,以供诸如Syslog客户端,Web UI或REST API之类的功能使用。如果您是从受信任的CA购买证书,则该开关可以生成用于获得证书的证书签名请求(CSR)。该开关还可以直接生成自签名的证书。或者,可以在交换机外生成证书和私钥,然后导入。X509证书管理软件(例如OPENSL)可用于生成私钥和CSR,然后将证书和私钥组合到一个PEM或PKCS#12文件中,适合导入交换机。

对等设备主机名的强制匹配

在验证对等设备证书时,开关检查对等设备是否配置了主机名是否匹配主题替代名称(SAN)字段或证书主题字段中的通用名称(CN)。如果存在SAN字段并匹配主机名,则验证成功,否则会失败。如果不存在SAN字段,并且CN与主机名匹配,则验证成功,否则会失败。