配置密钥对和数字证书的设置
为了加密与远程设备的通信,必须先通过不安全的网络发送和接收加密密钥。通过公共密钥加密技术可以解决此问题。公共密钥加密技术通过保护重要信息免受嗅探、欺骗和篡改网络上传送的数据等攻击,来保证安全通信。
密钥对
|
|
密钥对包含公钥和私钥,加密或解密数据时两者都需要用到。由于缺少密钥对中的其中一个密钥将无法破解加密的数据,因此数据交换可以安全进行。您最多可以注册 3 个密钥对(使用 CA 发布的密钥对和数字证书)。密钥对也可通过本机生成(生成密钥对)。
|
CA 证书
 |
包含 CA 认证的数字证书与驱动程序许可证等其他形式的认证相似。数字证书包含一个数字签名,该签名能让本机具有检测欺骗或数据篡改的能力。第三方要恶意使用数字证书是极其困难的。由认证机构 (CA) 颁发的数字证书(包括公钥)称为 CA 证书。您最多可以注册 3 个 CA 证书,其中包括预装的 CA 证书(使用 CA 发布的密钥对和数字证书)。
|
密钥和证书运行要求
本机生成的密钥对证书必须符合 X.509v3。如果从计算机安装密钥对或 CA 证书,请确保其符合以下要求。
|
格式
|
密钥对:PKCS#12*1
CA 证书:X.509v1 或 X.509v3、DER(二进制编码)
|
|
文件扩展名
|
密钥对:“.p12”或“.pfx”
CA 证书:“.cer”
|
|
公钥算法
(和密钥长度) |
RSA(512 位*2、1024 位、2048 位或 4096 位)
|
|
证书签名算法
|
SHA1-RSA、SHA256-RSA、SHA384-RSA*3、
SHA512-RSA*3、MD5-RSA、MD2-RSA |
|
证书拇指指纹算法
|
SHA1
|
|
*1 密钥对中所含证书的要求应遵循 CA 证书运行条件。
*2 如果对方的通信设备使用 Windows 8/Server 2012 操作系统,则不支持。其他版本的 Windows 操作系统也可能无法使用加密通信(取决于更新程序的应用)。
*3 只有当 RSA 密钥长度为 1024 位或更多时,才可使用 SHA384-RSA 和 SHA512-RSA。
|
 |
|
本机不支持使用证书吊销列表 (CRL)。
|