为密钥对和数字证书配置设置
为了加密与远程设备的通信,必须先通过不安全的网络发送和接收加密密钥。通过公共密钥加密技术可以解决此问题。公共密钥加密技术是通过保护重要和有价值的信息不受到嗅探、欺骗和篡改网络上传送的数据等攻击,来保证安全通信。
密钥对
 | 密钥对包含公钥和私钥,加密或解密数据时两者都需要用到。通过密钥对中的一个密钥加密的数据,在缺少另一个密钥时将无法恢复其原始数据格式,因此公钥密码体制可确保数据可通过网络安全通信。密钥对用于 TLS 加密通信和 IEEE 802.1X 认证的 TLS。最多可对本机生成五对密钥(包括预装密钥对)(使用 CA 发布的密钥对和数字证书)。可使用本机生成一个密钥对(生成密钥对)。 |
CA 证书
 | 包含 CA 认证的数字证书与驱动程序许可证等其他形式的认证相似。数字证书包含一个数字签名,该签名能让本机具有检测欺骗或数据篡改的能力。第三方要恶意使用数字证书是极其困难的。包含认证机构 (CA) 的公钥的数字证书称为 CA 证书。CA 证书使用Google云打印或 IEEE 802.1X 认证等功能,来验证与本机通信的设备。最多可以注册 67 个 CA 证书,其中包括本机中预装的 62 个证书(使用 CA 发布的密钥对和数字证书)。 |
密钥和证书要求
本机生成的密钥对中所含的证书符合 X.509v3。如果从计算机安装密钥对或 CA 证书,请确保其符合以下要求:
格式 | 密钥对:PKCS#12*1 CA 证书:X.509v1 或 X.509v3、DER(二进制编码),PEM |
文件扩展名 | 密钥对:“.p12”或“.pfx” CA 证书:“.cer” |
公钥算法 (和密钥长度) | RSA(512 位、1024 位、2048 位或 4096 位) |
证书签名算法 | SHA1-RSA、SHA256-RSA、SHA384-RSA*2、SHA512-RSA*2、MD5-RSA 或 MD2-RSA |
证书拇指指纹算法 | SHA1 |
*1密钥对中所含的证书的要求遵循 CA 证书。 *2只有当 RSA 密钥长度为 1024 位或更多时,才可使用 SHA384-RSA 和 SHA512-RSA。 | |
 |
本机不支持使用证书吊销列表(CRL)。 |