AsyncOS 允许使用证书和私钥对加密设备与外部计算机之间的通信。可以上传现有证书和密钥对、生成自签名证书或生成证书签名请求 (CSR),从而提交到证书颁发机构以获得公共证书。证书颁发机构将返回由私钥签名的可信公共证书,然后,可以将该证书上传到设备。
当设备处于 FIPS 模式时,可以继续
设备的 FIPS 模式为设备使用的证书施加了许多限制,以便设备符合 FIPS 标准。证书必须使用以下签名算法之一:SHA-1、SHA-224、SHA-256、SHA-384 和 SHA-512。
设备不会导入不使用其中一种算法的证书。如果在侦听程序中使用了任何不符合标准的证书,则设备还无法切换到 FIPS 模式。它将显示错误消息。
当设备处于 FIPS 模式时,设备的非 FIPS 状态将显示在 CLI 和 GUI 中。当选择用于某项功能(例如监听程序或目标控制)的证书时,设备不会显示不符合标准的证书作为选项。
有关在设备上使用证书的详细信息,请参阅证书的使用。
可以将符合 FIPS 标准的证书与以下任何服务配合使用:
- SMTP 接收和传送。使用网络 > 侦听程序页面(或 listenerconfig -> edit -> certificate CLI 命令)为需要使用 TLS 加密的任何侦听程序分配证书。您可能希望在面向互联网的侦听程序(即公共侦听程序)上启用 TLS,或者为包括内部系统在内所有侦听程序(即专用侦听程序)启用加密。
- 目标控制。使用邮件策略 > 目标控制页面(或 destconfig CLI 命令)分配证书作为用于邮件传送的所有外发 TLS 连接的全局设置。
- 接口。使用网络 > IP 接口页面(或 interfaceconfig CLI 命令)为某个接口(包括管理接口)中的 HTTPS 服务启用证书。
- LDAP。使用系统管理 (System Administration) > LDAP 页面为需要 TLS 连接的所有 LDAP 流量分配证书。设备还可以将 LDAP 用于对用户的外部身份验证。