本文档旨在向您展示如何生成证书签名请求(CSR),以及如何在RV160和RV260系列路由器上导入和导出证书。
数字证书在通信过程中非常重要。它提供数字身份验证。数字证书包括标识设备或用户的信息,如名称、序列号、公司、部门或IP地址。
证书颁发机构(CA)是“签署”证书以验证其真实性的受信任颁发机构,可保证设备或用户的身份。它确保证书持有者是他们真正声称的拥有者。如果没有受信任的签名证书,数据可能会被加密,但您与之通信的一方可能不是您认为的一方。CA在颁发数字证书时使用公钥基础设施(PKI),数字证书使用公钥或私钥加密来确保安全。CA负责管理证书请求和颁发数字证书。CA的一些示例包括:IdenTrust、Comodo、GoDaddy、GlobalSign、GeoTrust、Verisign等。
证书用于安全套接字层(SSL)、传输层安全(TLS)、数据报TLS(DTLS)连接,例如超文本传输协议(HTTPS)和安全轻量级目录访问协议(LDAPS)。
· RV160
· RV260
·1.0.00.15
通过本文,您将:
1. 生成CSR/证书
2. 查看证书
3. 导出证书
4. 导入证书
5. 结论
步骤1.登录Web配置页面。
步骤2.导航至Administration > Certificate。
步骤3.在“证书”页面中,单击“生成CSR/证书……”按钮。
步骤4.从下拉列表中的以下选项之一选择要生成的证书类型。
· 自签名证书 — 这是安全套接字层(SSL)证书,由其自己的创建者签名。此证书不太可信,因为如果私钥被攻击者以某种方式入侵,则无法取消该证书。您必须提供有效持续时间(以天为单位)。
· CA Certificate — 选择此证书类型,使您的路由器像内部证书颁发机构一样工作并颁发证书。在安全方面,它类似于自签名证书。这可用于OpenVPN。
· 证书签名请求 — 这是一个公钥基础设施(PKI),发送到证书颁发机构以申请数字身份证书。它比自签名更安全,因为私钥是保密的。建议使用此选项。
· Certificate Signed by CA Certificate — 选择此证书类型并提供相关详细信息,以获取由内部证书颁发机构签名的证书。
在本例中,我们将选择“证书签名请求”。
步骤5.输入证书名称。在本例中,我们将输入CertificateTest。
步骤6.在“主题替代名称”字段中,选择以下选项之一:IP Address、FQDN(完全限定域名)或Email,然后输入您选择的相应名称。此字段允许您指定其他主机名。
在本示例中,我们将选择FQDN并输入ciscoesupport.com。
步骤7.从Country Name(C)下拉列表中选择国家/地区。
步骤8.在“省名”或“省名”字段中输入省名称。
步骤9.在Locality Name中,输入城市名称。
步骤10.在“组织名称”字段中输入组织的名称。
步骤11.输入组织单位的名称(如培训、支持等)。
在本例中,我们将输入eSupport作为组织单位名称。
步骤12.输入公用名。接收此证书的是Web服务器的FQDN。
在本示例中,ciscosmbsupport.com用作通用名称。
步骤13.输入电子邮件地址。
步骤14.从下拉菜单中选择Key Encryption Length。选项有:512、1024 或 2048.密钥大小越大,证书就越安全。密钥大小越大,处理时间越长。
最佳实践:建议选择最高密钥加密长度 — 启用更严格的加密。
步骤15.单击“生成”。
步骤16.系统将显示一个“信息”弹出窗口,其中显示“成功生成证书!” 邮件.单击 OK 继续。
步骤17.从证书表导出CSR。
步骤18.出现“导出证书”窗口。为“导出到”选择PC,然后单击导出。
步骤19.应出现另一个窗口,询问是打开还是保存文件。
在本例中,我们将选择“保存文件”,然后单击“确定”。
步骤20.查找.pem文件的保存位置。右键单击.pem文件,然后使用您最喜爱的文本编辑器将其打开。
在本例中,我们将使用Notepad++打开.pem文件。
注意:使用记事本打开时,您可以随意打开。
步骤21.确保—BEGIN CERTIFICATE REQUEST —和—END CERTIFICATE REQUEST —在其自己的行上。
注意:证书的某些部分被模糊了。
步骤22.当您拥有CSR时,您需要转到您的托管服务或证书颁发机构站点(如GoDaddy、Verisign等)并请求证书。提交请求后,它将与证书服务器通信,以确保没有任何理由不颁发证书。
注意:如果您不知道证书请求在其站点上的位置,请联系CA或托管站点支持。
步骤23.完成证书后下载。它应该是.cer或.crt文件。在本例中,我们提供了两个文件。
步骤24.返回路由器的Certificate页面,单击指向设备图标的箭头导入证书文件。
步骤25.在Certificate Name字段中,输入证书名称。它不能与证书签名请求同名。在“上载证书文件”部分,选择从PC导入,然后单击“浏览…….”上传证书文件。
步骤26.出现“文件上传”窗口。导航至证书文件所在的位置。选择要上载的证书文件,然后单击Open。在本示例中,选择了CertificateTest.cer。
步骤27.单击“上载”按钮开始将证书上传到路由器。
注意:如果出现无法上传.cer文件的错误,可能是因为您的路由器要求证书采用pem编码。您需要将您的der编码(.cer文件扩展名)转换为pem编码(.crt文件扩展名)。
步骤28.如果导入成功,则应显示一个信息窗口,告知您导入成功。单击 OK 继续。
步骤29.您的证书应成功更新。您应该能够查看证书的签名者。在本例中,我们可以看到我们的证书由CiscoTest-DC1-CA签名。要使证书成为我们的主证书,请使用左侧的单选按钮选择证书,然后单击Select as Primary Certificate...按钮。
注意:更改主证书可能会返回到警告页面。如果您使用Firefox,并且它显示为灰色空白页面,则需要调整Firefox上的一些配置。Mozilla Wiki上的本文档对此进行了一些说明:CA/AddRootToFirefox。要再次看到警告页,请执行Mozilla社区支持页中的这些步骤。
步骤30.在Firefox警告页中,单击Advanced...,然后单击Accept the Risk and Continue以继续进入路由器。
注意:这些警告屏幕会因浏览器而异,但执行相同的功能。
步骤31.在证书表中,您应该看到NETCONF、WebServer和RESTCONF已交换到您的新证书,而不是使用Default证书。
现在,您应该已成功将证书安装到您的路由器上。
步骤1.如果已从“证书”页导航至“管理”>“证书”。
步骤2.在Certificate Table(证书表)中,单击Details(详细信息)部分下方的Details(详细信息)图标。
步骤3.系统将显示Certificate Detail页面。您应该能够查看有关证书的所有信息。
步骤4.单击Uniform Resource Locator(URL)栏左侧的锁图标。
注意:在Firefox浏览器中使用以下步骤。
步骤5.系统将显示选项下拉列表。单击“Connection”字段旁的箭头图标。
步骤6.单击“更多信息”。
步骤7.在“页面信息”窗口中,您应能在“网站身份”部分下看到有关证书的简要信息。确保您处于“安全”选项卡中,然后单击“查看证书”以查看有关证书的详细信息。
步骤8.应显示Certificate Viewer页面。您应该能够查看有关证书、有效期、指纹以及颁发者的所有信息。
注意:由于此证书由测试证书服务器颁发,因此颁发者未知。
要下载证书以将其导入另一台路由器,请执行以下步骤。
步骤1.在“证书”页面中,单击要导出的证书旁边的导出图标。
步骤2.出现导出证书。选择导出证书的格式。选项有:
· PKCS#12 — 公钥加密标准(PKCS)#12是带有.p12扩展的导出证书。要加密文件以在文件导出、导入和删除时对其进行保护,需要密码。
· PEM - Privacy Enhanced Mail(PEM)常用于Web服务器,因为它们能够通过使用简单文本编辑器(如记事本)轻松转换为可读数据。
选择Export as PKCS#12 format并输入密码和确认密码。然后选择PC作导出到:字段。单击Export开始将证书导出到计算机。
注意:请记住此密码,因为您将在将其导入路由器时使用它。
步骤3.将出现一个窗口,询问您应如何处理此文件。在本例中,我们将选择“保存文件”,然后单击“确定”。
步骤4.文件应保存到默认保存位置。
在我们的示例中,该文件已保存到计算机上的“下载”文件夹中。
步骤1.在“证书”页面中,单击“导入证书…….”按钮。
步骤2.从“导入证书”部分下的“类型”下拉列表中选择要导入的证书类型。选项定义为:
· CA证书 — 由可信第三方机构认证的证书,其确认证书中包含的信息准确。
· 本地设备证书 — 路由器上生成的证书。
· PKCS#12 Encoded File - Public Key Cryptography Standards(PKCS)#12是带有.p12扩展的导出证书。
在本示例中,选择PKCS#12 Encoded File作为类型。输入证书的名称,然后输入使用的密码。
步骤3.在Upload Certificate file部分下,选择Import from PC或Import from USB。在本示例中,选择了从PC导入。单击Browse...以选择要上传的文件。
步骤4.在“文件上传”窗口中,导航至PKCS#12编码文件(.p12文件扩展名)所在的位置。选择。p12文件,然后单击“打开”。
步骤5.单击Upload开始上传证书。
步骤6.将出现“信息”窗口,告知您证书已成功导入。单击 OK 继续。
步骤7.您应看到证书已上传。
您应该已成功学习如何在RV160和RV260系列路由器上生成CSR、导入和下载证书。