服务器est卡片有什么用

使用TLS安全传输证书和消息 — 在EST中，证书签名请求(CSR)可以与已经受信任并使用TLS进行身份验证的请求者关联。除了自己，客户无法获得证书。在SCEP中，CSR由客户端和CA之间的共享密钥进行身份验证。这会引起安全问题，因为有权访问共享密钥的人可以为自己以外的实体生成证书。

如果CA服务器不支持SCEP协议，可以配置离线申请本地证书。用户在设备上生成证书请求文件，然后通过Web、磁盘、电子邮件等带外方式将证书申请文件发送给CA，向CA申请本地证书。完成申请后，还需从存放本地证书的服务器上下载证书，保存到设备的存储介质中。

*** 作步骤：

执行命令system-view，进入系统视图。

执行命令pki realm realm-name，创建PKI域并进入PKI域视图，或者直接进入PKI域视图。

缺省情况下，设备存在名称为default的PKI域，且该域只能修改不能删除。

PKI域是一个本地概念，一个设备上配置的PKI域对CA和其他设备是不可见的，每一个PKI域有单独的参数配置信息。

执行命令entity entity-name，指定申请证书的PKI实体。

缺省情况下，系统未指定申请证书的PKI实体。

entity-name是一个已经通过pki entity命令创建的PKI实体。

执行命令rsa local-key-pair key-name，配置使用离线方式申请证书时使用的RSA密钥对。

缺省情况下，系统未配置使用离线方式申请证书时使用的RSA密钥对。

执行命令enrollment-request signature message-digest-method { md5 | sha1 | sha-256 | sha-384 | sha-512 }，配置签名证书注册请求消息使用的摘要算法。

缺省情况下，签名证书注册请求消息使用的摘要算法为sha-256。

md5和sha1算法为不安全算法，建议使用SHA2算法。

PKI实体使用的摘要算法必须与CA服务器上的摘要算法一致。（可选）执行命令key-usage { ike | ssl-client | ssl-server } *，配置证书公钥用途属性。

缺省情况下，系统未配置证书公钥用途属性。

执行命令quit，返回至系统视图。

执行命令pki file-format { der | pem }，配置设备保存证书和证书请求时的文件格式。

缺省情况下，设备保存证书和证书请求时的文件格式为PEM。

执行命令pki enroll-certificate realm realm-name pkcs10 [ filename filename ] [ password password ]，配置以PKCS#10格式保存证书申请信息到文件中。

PKI实体使用的挑战密码必须与CA服务器上设置的密码一致。如果CA服务器不要求使用挑战密码，则不用配置挑战密码。

通过Web、磁盘、电子邮件等带外方式将证书申请文件发送给CA，向CA申请本地证书。