Catalyst 1200和1300交換器中的中間憑證和憑證鏈結

目標 

本文的目的是介紹韌體4.1.3.36上Catalyst 1200和1300交換機中的中間證書功能和證書鏈以及配置步驟。

適用裝置 | 軟體版本 

• Catalyst 1200 交換器 | 4.1.3.36
• Catalyst 1300 交換器 | 4.1.3.36

簡介 

證書用於網路中，以提供安全訪問。證書可以由外部證書頒發機構(CA)自簽名或數位簽章。 憑證鏈結的元件包括：

• 根CA證書:根CA或CA證書位於證書鏈層次結構的頂端，並且是自簽名的。它是最終信任錨點，用於驗證中間證書的真實性。
• 中間證書:中間憑證是由另一個中間CA或根CA的更高級別的CA核發。在某些情況下，可以有多個中間憑證形成憑證鏈結。通常，中間CA負責簽署伺服器憑證。
• 伺服器證書:此證書是針對特定伺服器（例如網站）頒發的。它包含伺服器的公鑰，由CA簽名。CA可以是根或中間CA。

在交換器（HTTPS伺服器）和瀏覽器（HTTPS使用者端）之間的SSL/TLS交握期間，交換器會顯示其簽署的憑證。將CA證書放在其受信任的儲存中的瀏覽器使用CA的公鑰驗證伺服器證書上的簽名。此過程建立伺服器標識的真實性。驗證之後，伺服器和瀏覽器繼續交換加密引數，對它們之間傳輸的資料進行加密，以確保通過HTTPS傳輸的資料的安全且經過身份驗證的連線。

雖然伺服器證書可以由根CA證書直接簽名，但使用中間證書會引入分層結構，從而增強簽名過程。中間證書充當伺服器證書和根CA之間的中介，提供多種好處，例如通過隔離金鑰洩露來提高安全性、證書管理方面的靈活性以及委託簽名授權的能力。此分層方法提供了改進的可擴充性，簡化了證書續訂流程，並且允許對吊銷進行更精細的控制。本質上，使用中間證書通過提供增強的安全性、靈活性和簡化的證書管理豐富了簽名過程。

在Catalyst 1200和1300交換器的韌體4.1.3.36中，現在您可以匯入中間憑證並檢視已安裝的伺服器憑證的憑證鏈結。Catalyst交換器支援下列與中間憑證和HTTPS伺服器憑證鏈結相關的功能：

• 安裝一個或多個中間證書。
• 在與HTTPS客戶端的TLS握手中包含中間證書
• 顯示中間證書
• 顯示裝置的HTTPS伺服器證書的證書鏈

繼續閱讀以查詢更多資訊！

目錄

• 匯入中間證書
• 憑證鏈結
• 憑證鏈結範例

匯入中間證書

在Catalyst 1200和1300交換器的韌體版本4.1.3.36中，您可以選擇使用交換器的Web使用者介面匯入中間憑證。

步驟 1

在Advanced檢視中，在導航窗格中導航到Security > Certificate Settings > CA Certificate Settings。

步驟 2

按一下plus圖示匯入證書。

步驟 3

輸入Certificate Name，選擇Intermediate作為證書型別，將證書貼上到提供的框中，然後按一下Apply。

成功通知將顯示在螢幕頂部。

步驟 4

按一下螢幕頂部的Save圖示。

步驟 5

重新啟動交換機，使所有更改生效。要重新啟動，請導航到Administration > Reboot選單，並確保選中Immediate reboot選項。按一下「Reboot（重新啟動）」按鈕。

憑證鏈結

步驟 1

登入Catalyst 1300交換器，並從使用者介面右上角的下拉式功能表切換到Advanced檢視。

步驟 2

在導航窗格中導航至Security > SSL Server > SSL Server Authentication Settings。

步驟 3

從表中選擇證書，然後按一下證書鏈按鈕。

系統將顯示一個彈出視窗，顯示證書鏈的詳細資訊。在本範例中，伺服器憑證是由名為「SMB Intermediate CA」的中間CA簽署，如伺服器憑證中核發者的通用名稱(CN)所註明。中間證書的頒發者為SMBRootCA。

憑證鏈結範例

當交換機預設使用自簽名證書時，這將導致客戶端系統（本例中為Web瀏覽器）顯示連線不安全的消息。

另一方面，當證書鏈完成並安裝了根證書、中間證書和伺服器證書時，瀏覽器將顯示連線是Secure。

結論

這就對了！現在您知道如何在Catalyst 1200和1300交換器上傳中間憑證和檢視憑證鏈結。