RV160和RV260系列路由器上的证书(导入/导出/生成CSR)

下载选项

  • PDF     (4.3 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (4.6 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (2.5 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2019 年 4 月 22 日
文档 ID:1555972904830883

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

目标

本文档旨在向您展示如何生成证书签名请求(CSR),以及如何在RV160和RV260系列路由器上导入和导出证书。

简介

数字证书在通信过程中非常重要。它提供数字身份验证。数字证书包括标识设备或用户的信息,如名称、序列号、公司、部门或IP地址。

证书颁发机构(CA)是“签署”证书以验证其真实性的受信任颁发机构,可保证设备或用户的身份。它确保证书持有者是他们真正声称的拥有者。如果没有受信任的签名证书,数据可能会被加密,但您与之通信的一方可能不是您认为的一方。CA在颁发数字证书时使用公钥基础设施(PKI),数字证书使用公钥或私钥加密来确保安全。CA负责管理证书请求和颁发数字证书。CA的一些示例包括:IdenTrust、Comodo、GoDaddy、GlobalSign、GeoTrust、Verisign等。

证书用于安全套接字层(SSL)、传输层安全(TLS)、数据报TLS(DTLS)连接,例如超文本传输协议(HTTPS)和安全轻量级目录访问协议(LDAPS)。

适用设备

· RV160

· RV260

软件版本

·1.0.00.15

目录

通过本文,您将:

1.       生成CSR/证书

2.       查看证书

3.       导出证书

4.       导入证书

5.       结论

生成CSR/证书

步骤1.登录Web配置页面。

步骤2.导航至Administration > Certificate

步骤3.在“证书”页面中,单击“生成CSR/证书……”按钮。

步骤4.从下拉列表中的以下选项之一选择要生成的证书类型。

· 自签名证书 — 这是安全套接字层(SSL)证书,由其自己的创建者签名。此证书不太可信,因为如果私钥被攻击者以某种方式入侵,则无法取消该证书。您必须提供有效持续时间(以天为单位)。

· CA Certificate — 选择此证书类型,使您的路由器像内部证书颁发机构一样工作并颁发证书。在安全方面,它类似于自签名证书。这可用于OpenVPN。

· 证书签名请求 — 这是一个公钥基础设施(PKI),发送到证书颁发机构以申请数字身份证书。它比自签名更安全,因为私钥是保密的。建议使用此选项。

· Certificate Signed by CA Certificate — 选择此证书类型并提供相关详细信息,以获取由内部证书颁发机构签名的证书。

在本例中,我们将选择“证书签名请求”

步骤5.输入证书名称。在本例中,我们将输入CertificateTest

步骤6.在“主题替代名称”字段中,选择以下选项之一:IP AddressFQDN(完全限定域名)Email,然后输入您选择的相应名称。此字段允许您指定其他主机名。

在本示例中,我们将选择FQDN并输入ciscoesupport.com

步骤7.从Country Name(C)拉列表中选择国家/地区。

步骤8.在“省名”或“省名”字段中输入省名称。

步骤9.在Locality Name,输入城市名称。

步骤10.在“组织名称”字段中输入组织的名称。

步骤11.输入组织单位的名称(如培训、支持等)。

在本例中,我们将输入eSupport作为组织单位名称。

步骤12.输入公用名。接收此证书的是Web服务器的FQDN。

在本示例中,ciscosmbsupport.com用作通用名称。

步骤13.输入电子邮件地址

步骤14.从下拉菜单中选择Key Encryption Length。选项有:512、1024 或 2048.密钥大小越大,证书就越安全。密钥大小越大,处理时间越长。

最佳实践:建议选择最高密钥加密长度 — 启用更严格的加密。

步骤15.单击“生成”

步骤16.系统将显示一个“信息”弹出窗口,其中显示“成功生成证书!” 邮件.单击 OK 继续。

步骤17.从证书表导出CSR

步骤18.出现“导出证书”窗口。为“导出到”选择PC,然后单击导出

步骤19.应出现另一个窗口,询问是打开还是保存文件。

在本例中,我们将选择“保存文件”,然后单击“确定”

步骤20.查找.pem文件的保存位置。右键单击.pem文件,然后使用您最喜爱的文本编辑器将其打开。

在本例中,我们将使用Notepad++打开.pem文件。

注意:使用记事本打开时,您可以随意打开。

步骤21.确保—BEGIN CERTIFICATE REQUEST ——END CERTIFICATE REQUEST —在其自己的行上。

注意:证书的某些部分被模糊了。

步骤22.当您拥有CSR时,您需要转到您的托管服务或证书颁发机构站点(如GoDaddy、Verisign等)并请求证书。提交请求后,它将与证书服务器通信,以确保没有任何理由不颁发证书。

注意:如果您不知道证书请求在其站点上的位置,请联系CA或托管站点支持。

步骤23.完成证书后下载。它应该是.cer.crt件。在本例中,我们提供了两个文件。

步骤24.返回路由器的Certificate页面,单击指向设备图标的箭头导入证书文件。

步骤25.在Certificate Name字段中,输入证书名称。它不能与证书签名请求同名。在“上载证书文件”部分,选择从PC导入,然后单击“浏览…….”上传证书文件。

步骤26.出现“文件上传”窗口。导航至证书文件所在的位置。选择要载的证书文件,然后单击Open。在本示例中,选择了CertificateTest.cer

步骤27.单击“上载”按钮开始将证书上传到路由器。

注意:如果出现无法上传.cer文件的错误,可能是因为您的路由器要求证书采用pem编码。您需要将您的der编码(.cer文件扩展名)转换为pem编码(.crt文件扩展名)。

步骤28.如果导入成功,则应显示一个信息窗口,告知您导入成功。单击 OK 继续。

步骤29.您的证书应成功更新。您应该能够查看证书的签名者。在本例中,我们可以看到我们的证书由CiscoTest-DC1-CA签名。要使证书成为我们的主证书,请使用左侧的单选按钮选择证书,然后单击Select as Primary Certificate...按钮。

注意:更改主证书可能会返回到警告页面。如果您使用Firefox,并且它显示为灰色空白页面,则需要调整Firefox上的一些配置。Mozilla Wiki上的本文档对此进行了一些说明:CA/AddRootToFirefox。要再次看到警告页,请执行Mozilla社区支持页中的这些步骤

步骤30.在Firefox警告页中,单击Advanced...,然后单击Accept the Risk and Continue以继续进入路由器。

注意:这些警告屏幕会因浏览器而异,但执行相同的功能。

步骤31.在证书表中,您应该看到NETCONF、WebServer和RESTCONF已交换到您的新证书,而不是使用Default证书。

现在,您应该已成功将证书安装到您的路由器上。

查看证书

步骤1.如果已从“证书”页导航至“管理”>“证书”

步骤2.在Certificate Table(证书表)中,单击Details(详细信息)部分下方的Details(详细信息)图标。

步骤3.系统将显示Certificate Detail页面。您应该能够查看有关证书的所有信息。

步骤4.单击Uniform Resource Locator(URL)栏左侧的锁图标。

注意:在Firefox浏览器中使用以下步骤。

步骤5.系统将显示选项下拉列表。单击“Connection”字段旁的箭头图标。

步骤6.单击“更多信息”

步骤7.在“页面信息”窗口中,您应能在“网站身份”部分下看到有关证书的简要信息。确保您处于“安全”选项卡中,然后单击“查看证书”以查看有关证书的详细信息。

步骤8.应显示Certificate Viewer页面。您应该能够查看有关证书、有效期、指纹以及颁发者的所有信息。

注意:由于此证书由测试证书服务器颁发,因此颁发者未知。

导出证书

要下载证书以将其导入另一台路由器,请执行以下步骤。

步骤1.在“证书”页面中,单击要导出的证书旁边的导出图标。

步骤2.出现导出证书。选择导出证书的格式。选项有:

· PKCS#12 — 公钥加密标准(PKCS)#12是带有.p12扩展的导出证书。要加密文件以在文件导出、导入和删除时对其进行保护,需要密码。

· PEM - Privacy Enhanced Mail(PEM)常用于Web服务器,因为它们能够通过使用简单文本编辑器(如记事本)轻松转换为可读数据。

选择Export as PKCS#12 format并输入密确认密码。然后选择PC作导出到:字段。单击Export开始将证书导出到计算机。

注意:请记住此密码,因为您将在将其导入路由器时使用它。

步骤3.将出现一个窗口,询问您应如何处理此文件。在本例中,我们将选择“保存文件”,然后单击“确定”

步骤4.文件应保存到默认保存位置。

在我们的示例中,该文件已保存到计算机上的“下载”文件夹中。

导入证书

步骤1.在“证书”页面中,单击“导入证书…….”按钮。

步骤2.从“导入证书”部分下的“类型”下拉列表中选择要导入的证书类型。选项定义为:

· CA证书 — 由可信第三方机构认证的证书,其确认证书中包含的信息准确。

· 本地设备证书 — 路由器上生成的证书。

· PKCS#12 Encoded File - Public Key Cryptography Standards(PKCS)#12是带有.p12扩展的导出证书。

在本示例中,选择PKCS#12 Encoded File作为类型。输入证的名称,然后输使用的密码。

步骤3.在Upload Certificate file部分下,选择Import from PC或Import from USB。在本示例中,选择了从PC导入。单击Browse...以选择要上传的文件。

步骤4.在“文件上传”窗口中,导航至PKCS#12编码文件(.p12文件扩展名)所在的位置。选择。p12文件,然后单击“打开”

步骤5.单击Upload开始上传证书。

步骤6.将出现“信息”窗口,告知您证书已成功导入。单击 OK 继续。

步骤7.您应看到证书已上传。

结论

您应该已成功学习如何在RV160和RV260系列路由器上生成CSR、导入和下载证书。

此文档是否有帮助?

Feedback反馈

联系我们