PKI信任域配置

PKI信任域包含申请PKI本地证书所需的配置信息，例如密钥对、证书申请方式以及证书主题内容等。本节介绍PKI信任域的配置，包括新建PKI信任域、编辑PKI信任域、删除PKI信任域以及查看PKI信任域详情。

新建PKI信任域

新建PKI信任域，请按照以下步骤进行配置：

1. 从工具栏的<对象用户>下拉菜单选择『PKI』，弹出<PKI管理>对话框。点击『信任域』标签，进入信任域标签页。
2. 点击信任域列表左上方的『新建』按钮，弹出<PKI配置>对话框。
3. 在<信任域>文本框输入信任域的名称并选择证书获取方法，然后点击『下一步』按钮。如果选择<手动输入>方法获取证书，点击后进入<CA证书>页面，在该页面导入CA证书（点击『浏览』按钮选择证书，然后点击『导入』按钮）。获取证书方法包括以下两种：
   • 手动输入：使用终端（剪切和粘贴）的获得方法。
   • 自签名证书：使用自签名的获得方法。
     
4. 点击『下一步』，在新页面配置信任域的基本信息和主题内容。
   
   • 信任域：显示信任域的名称。
   • 密钥对：为信任域指定密钥对。
   • 名称：指定普通名称。
   • 国家（地区）：指定国家（地区）名称。国家名称只能包含两个字符，如CN。可选配置。
   • 位置：指定所在位置。可选配置。
   • 州/省：指定州或者省的名称。可选配置。
   • 机构：指定机构名称。可选配置。
   • 机构单元：指定机构单元名称。可选配置。
   • 申请：点击该按钮生成证书服务请求。
5. 点击『下一步』，在新页面配置CRL相关选项。
   • 检查：配置CRL列表的检查方式。
     不检查 - 安全设备不检查CRL。该选项为默认选项。
     可选 - 即使CRL不可用，安全网关仍然可以接受对端的认证。
     强制 - 只有CRL可用时，才可以接收对端认证。
   • 自动刷新：配置CRL列表的自动刷新频率。
     每小时 - CRL列表每小时自动刷新一次。
     每天- CRL列表每天自动刷新一次。
     每周 - CRL列表每周自动刷新一次。
   • URL1：指定获得CRL信息的URL。系统最多支持3个URL，最先使用URL1，依次为URL2、URL3。
   • URL2：指定获得CRL信息的URL。
   • URL3：指定获得CRL信息的URL。
   • 获得CRL：点击该按钮下载CRL。
6. 点击『确定』按钮保存所做配置并返回<PKI管理>对话框。

编辑PKI信任域

编辑PKI信任域，请按照以下步骤进行配置：

1. 从工具栏的<对象用户>下拉菜单选择『PKI』，弹出<PKI管理>对话框。点击『信任域』标签，进入信任域标签页。
2. 从信任域列表中选中需要编辑的信任域，然后点击列表左上方的『编辑』按钮，弹出<PKI配置>对话框。在该对话框进行编辑。
3. 编辑完成，点击『确定』按钮。

删除PKI信任域

删除PKI信任域，请按照以下步骤进行配置：

1. 从工具栏的<对象用户>下拉菜单选择『PKI』，弹出<PKI管理>对话框。点击『信任域』标签，进入信任域标签页。
2. 从信任域列表中选中需要删除的信任域，然后点击列表左上方的『删除』按钮。

查看PKI信任域详情

查看PKI信任域详情，请按照以下步骤进行配置：

1. 从工具栏的<对象用户>下拉菜单选择『PKI』，弹出<PKI管理>对话框。点击『信任域』标签，进入信任域标签页。
2. 从信任域列表中选中需要查看的信任域，然后点击列表左上方的『详情』按钮，系统弹出<PKI信任域详情>对话框显示所选信任域的详细信息。
3. 查看完毕，点击『返回』按钮关闭详情对话框。