管理 SSL 证书

功能概述

创建、发现和统一存储SSL证书。对新证书或在现有证书中添加域发起请求,证书到期前发送通知提醒等功能。

使用PAM360:

  1. 在您的网络中创建、发现、导入自签名或 CA 颁发的证书。
  2. 生成证书签名请求 ( CSR )。
  3. 为新证书发起请求,或在现有证书中添加子域名。
  4. 当证书即将过期时发送通知提醒。

管理 SSL 证书的步骤

  1. 发现您网络中的 SSL 证书
    1.1按需发现 SSL 证书
    1.2从 SMTP 服务器发现 SSL 证书
    1.3发现部署到负载均衡器的 SSL 证书
    1.4使用Key Manager Plus(KMP)代理发现 SSL 证书
    1.5计划发现 SSL 证书
    1.6发现映射到活动目录账户的SSL证书
    1.7发现托管在AWS( ACM & IAM )上的 SSL 证书
  2. 创建自签名证书
  3. 生成 CSR
  4. 证书签名
     4.1微软证书颁发机构
    4.2微软CA - 代理模式
    4.3根证书签名
    4.4自动续订
  5. 导入证书
  6. 删除证书
  7. 证书请求
     7.1添加证书请求
    7.2证书请求状态
    7.3结束证书请求生命周期
  8. 到期通知计划
  9. 通过WHOIS查找跟踪域名到期
  10. SSL 证书组
     10.1创建证书组
    10.2编辑证书组
    10.3删除证书组

1.发现您网络中的 SSL 证书

无论您的证书来自何种颁发机构,您都可以使用PAM360来自动发现部署到您网络中所有可用的证书,您可以根据需要随时进行证书发现,也可以制定计划任务来定期发现。执行发现的选项非常灵活 - 您可以在单台或多台服务器,单个或多个端口上发现证书。

1.1 按需发现 SSL 证书

手动发现证书:

  1. 点击证书 >> 发现
  2. 选择以下几种发现方式:
    1. 主机名/IP地址: 输入需要发现证书的服务器名称或 IP 地址。
    2. IP 地址范围: 指定 IP 范围发现属于该范围内所有可用的 SSL 证书。
    3. 从文件: 如果您在本地有文件保存的证书,可以选择浏览文件位置,进行发现。
    4. 子网: 使用此选项可发现来自 IP 范围内特定子网的证书。

注意:

I 在“主机名/IP 地址”中,如果您希望将主机名解析为特定的IP地址,请在主机名后提供IP地址,并用冒号:分隔,如下所示: example.com:172.168.203.56。

II 在IP地址范围和子网发现中,可以选择“排除的IP地址”来排除特定IP上配置的证书。

  1. 指定"超时"和"端口"选项的值。
    1. 超时:指尝试发现证书的超时时间,默认值为 5 秒。
    2. 端口:指用于终端上通信的端口。默认443。

      3. 注意:您可以指定多个端口,用逗号分隔,以在单个服务器上发现指定端口上部署的SSL证书。

  1. 单击发现按钮,您将被重定向到发现状态页面,而后您将会看到证书导入成功。

1.2 从 SMTP 服务器发现 SSL 证书

您可以发现邮件服务器使用的 SSL 证书,并将它们添加到 PAM360 的证书存储库中。邮件服务器证书发现操作如下:

  1. 导航到证书 >> 发现 >> 邮箱服务器
  2. 提供邮箱服务器主机名/IP 地址,指定端口号。
  3. 单击发现按钮,进行证书发现,成功发现后,证书将添加到 PAM360 的存储库中。

1.3 发现部署到负载均衡器的 SSL 证书

PAM360允许您发现部署到负载均衡器上的 SSL 证书,在PAM360安全存储。目前,PAM360 支持基于 Linux 的负载均衡器(即 Nginx 、F5 等)进行证书发现,通过 SSH 协议实现。操作如下:

  1. 导航到证书 >> 发现 >> 负载均衡
  2. 指定服务器名称、端口、用户名、凭据类型、密码和路径。
  3. 您可以通过选择“选择密钥”选项进行密钥方式认证。上传与所用用户帐户关联的密钥并指定密钥密码。
  4. 提供用户凭据后,指定证书的路径。
  5. 从"发现证书列表"中选择证书,然后单击发现。证书将成功发现并导入到证书存储库中。 可以在"证书"选项卡查看到它们。"发现证书列表"选项可获取指定路径下所有可用证书,以帮助您选择到需要导入的证书。
  6. 具有扩展名.keystore 和.pfx 的证书文件不会自动导入到证书存储库中。需要提供其密码才行。要导入这些文件,请单击窗口右上角的JKS/PKCS 。 在弹出的窗口中,选择要导入的证书文件,进行确认后在打开的弹出窗口中,提供文件密码,单击导入。
  7. 所选的证书文件将成功导入并添加到 PAM360 的证书存储库中。

1.4 使用Key Manager Plus(KMP)代理发现 SSL 证书

您可以使用从 PAM360 WEB 界面下载的 KMP 代理来发现 SSL 证书。此功能需要您下载 KMP Windows 代理并将其部署到目标系统。它还允许您直接从 PAM360 WEB 界面发现证书并导入证书存储库。部署的代理将通过 HTTPS 方式与 PAM360 服务器通讯。

通过 KMP 代理发现证书在以下情况下非常有用:

  • 当在目的服务器上发现证书所需的凭证在 PAM360 服务器中不可用时。
  • 当您需要从 PAM360 无法直接访问的服务器上发现证书时,例如,DMZ区域内的服务器。 在这种情况下,代理通常安装能够访问目的服务器的跳转服务器上,该跳转服务器从远程服务器上获得数据并传递给 PAM360 服务器。

要使用 KMP 代理发现 SSL 证书,您需要先下载并安装代理。 按照以下步骤操作:

1.4.1 从 PAM360 的接口下载 KMP 代理

用于在远程计算机上执行的证书管理操作的代理由 PAM360 服务器动态创建,可在PAM360上下载。 要下载 KMP Windows 代理,操作如下:

  1. 导航到证书 >> 发现 >> 代理 >> 下载 Windows 代理。
  2. 从打开的弹出窗口中,根据目标服务器平台类型下载代理,同时保存安装密钥。

1.4.2 安装 KMP 代理

下载代理后,按照以下步骤将其安装到目标服务器中。确保安装代理的服务器帐户具有执行证书发现所需的足够权限(一般选择管理员权限即可)。

安装 KMP 代理步骤:

  1. 将代理文件移动到目标服务器。
  2. 解压,将文件放在非共享的文件夹中。
  3. 管理员身份打开命令提示符,导航到代理安装目录输入:AgentInstaller.exe install < Install Key > (下载时保存的安装密钥)。

    4. 注意:代理安装后,安装密钥将会作废,如要安装代理到其他目标机器,则需要从 PAM360 服务器重新生成,再在目标服务器上使用。

服务方式启动代理步骤:

  1. 管理员身份打开命令提示符并导航到 PAM360Agent 安装目录。
  2. 执行以下命令:AgentInstaller.exe start。(在执行 install 命令后会默认启动)

停止代理的步骤:

  1. 管理员身份打开命令提示符并导航到 KMP 代理安装目录。
  2. 执行以下命令:AgentInstaller.exe stop

通过Key Manager Plus代理执行SSL证书发现的步骤:

  1. 导航到证书 >> 发现 >> 代理。
  2. 选择要执行的发现类型:域证书、Microsoft证书颁发机构的证书。
  3. 从下拉列表中选择所需的代理。
  4. 对于Microsoft CA 发现,您可以选择排除过期/作废的证书,或者使用提供的过滤器、颁发日期或证书模板执行发现。
  5. 点击发现。

1.4.3 管理代理

PAM360 为管理员提供有关代理的详情信息,并允许管理安装在各种目标资源上的代理。

要管理密钥管理器加代理,操作如下:

  1. 导航到证书 >> 发现 >> 代理。
  2. 在打开的窗口中,您将能够看到安装在远程资源上的Key Manager Plus 代理列表,以及IP 地址、用户名、安装时间、 代理通讯间隔、最后一次通讯间隔和执行操作动作之类的细节详情。
  3. 如果要删除代理,可以通过选择代理并单击顶部菜单中的删除按钮来进行删除。

1.5 计划发现 SSL 证书

也可以计划定期进行 SSL 证书发现。

  1. 导航到管理 >> SSH/SSL >> 计划。
  2. 单击添加计划按钮。
  3. 在添加计划窗口中,输入计划的名称,并选择计划类型“SSL发现” 。
  4. 如选择发现方式为IP地址范围,则指定开始和结束 IP 地址和端口等关键信息。
  5. 选择重复类型 (每小时,每日,每周,每月,仅一次。设置与所选项对应的开始日期和时间。
  6. 输入要通知的用户的电子邮件地址。(可以从"邮件服务器设置"选项卡配置已开通SMTP电子邮件协议的相关电子邮箱。)
  7. 单击保存按钮。

配置的邮箱将收到一条确认增加新计划的消息。

1.6 发现映射到活动目录账户的SSL证书

PAM360 有助于您发现和管理映射到活动目录用户帐户的证书。

执行 AD 用户证书发现,操作如下:

  1. 导航到证书 >> 发现 >> AD用户证书
  2. 从下拉列表中选择所需的域名,或者新建域。
  3. 指定主域控制器的 DNS 名称
  4. 如果您有辅助域控制器,可选择填写,以在主域控制器宕机或中断时,使用备用域控制器。指定备用域控制器的DNS名称,以半角逗号分隔。当您使用SSL模式时,请确保此处指定的 DNS 名称与域控制器上配置的 SSL 证书中指定的 CN(通用名称)匹配。
  5. 输入用户帐户的有效用户凭据(用户名和密码)。然后输入想要导入的用户、用户组或组织单位,然后单击"导入"。若要以组/OU 作为一个整体执行证书发现,请选择导入类型为用户组或组织单位树(OU),然后从下拉列表中选择需要的组。
  6. PAM360也提供了在执行证书发现时导入用户的选项,启用导入AD用户复选框,将这些已经完成证书发现的AD账户导入系统中。
  7. 发现的证书会自动添加到 PAM360的证书存储库中。

1.6.1 管理来自微软证书库和本地证书颁发机构的SSL证书

PAM360帮助您通过微软证书库执行证书申请、获取、发现、合并、跟踪和管理,以及由本地证书证发机构颁发的证书的管理。 在从微软证书库或本地证书颁发机构导入/获取证书之前,请确保PAM360的服务登陆账户为域管理员。

  1. 导航到证书 >> 发现 >> MS证书库
  2. 若要单独发现和导入微软认证机构颁发的证书,请从下拉列表中选择"Microsoft Certificate Authority"选项。在导入期间,您可以选择是否导入已过期或已吊销的证书。
  3. 要从微软证书存储区发现所有证书,请选择类型为"证书存储"。
  4. 填写详细信息,如域控制器服务器名称和管理员凭据(用户名&密码 or 选择使用PAM360服务账户凭证进行身份验证)。
  5. 输入证书的存储名称。
    即,在指定证书存储名称时使用以下格式:\\server_name\\store_name
  6. 或者,您也可以单击“获取存储”获取 Windows 域控制器中可用的存储列表,然后选择需要的存储。
  7. 单击发现。
  8. 您可以在"证书"选项卡中查看发现到的证书。

    注意:在 Windows 证书存储发现期间,如果未指定目标服务器名称,选择"获取存储"选项将列出本地主机中所有可用的证书存储。


要请求和获取 CA 授权的证书,您必须首先生成证书签名请求,然后使用以下步骤从本地证书颁发机构获取签名。

  1. 导航到证书 >> 创建CSR,点击创建按钮。
  2. 在打开的"创建 CSR"窗口中,填写域详细信息、组织单位信息,选择密钥算法、密钥大小、签名算法、密钥库类型,并指定有效期(天)和密钥库密码,然后单击"创建"。

  3. 如果要使用现有密钥生成 CSR ,请选择"从密钥库创建CSR"选项,然后选择文件位置、密钥密码后单击"创建"。 
  4. CSR将生成,您可以在证书签名请求列表中看到它。

您可以通过微软证书颁发机构对CSR进行签名。

  1. 导航到证书 >> 创建CSR选项卡,选择所需的CSR ,然后从CSR表视图上方的可用选项中单击"签名"。
  2. 在打开的对话框中,提供运行内部证书颁发机构、CA 名称的服务器的名称,并根据您的要求选择证书模板。单击"签名"。
  3. CSR 已签名,可以从"证书"选项卡查看颁发的证书。

此外,本地CA颁发的证书可以在 PAM360 自动续订。 要启用本地CA证书的自动续订,操作如下:

  1. 导航到管理 >> SSH/SSL >> 微软 CA 自动续订。
  2. 启用微软 CA 自动续订任务并指定时间间隔。证书将相应地续订和更新。

    注意:

    • 对于手动添加的证书,您必须将证书类型选择为为 Microsoft CA,才能使自动续订生效。
    • 在生成和签署 CSR 之前,请确保您是使用域管理员账户启动的PAM 360服务。

1.6.2 集中式证书存储库

所有手动及计划发现的 SSL 证书都会自动添加到 PAM360 的 SSL 证书存储库中。 您可以在用户界面中的证书>>证书选项下查看这些证书。

1.6.3 导出私钥/密钥存储文件

如果您使用 PAM360 管理SSL证书的私钥/密钥文件,您将可以在需要时导出它们,操作如下:

  1. 导航到证书
  2. 单击需要导出私钥的证书旁边的密钥存储图标
  3. 点击下拉列表,根据您的要求选择密钥库/PFX或私钥。
  4. 下载相应证书的密钥存储文件/私钥。

1.6.4 跟踪和管理各种证书版本

在相同域的不同端服务器上,有时您需要使用不同证书。这种情况下,您需要单独跟踪所有证书的使用情况和到期时间。而使用 PAM360 您可以同时跟踪和管理各个证书的使用情况和到期时间。

跟踪证书版本,操作如下:

  1. 导航到证书。
  2. 选中要跟踪的证书,点击表视图右角的证书历史记录图标
  3. 在证书历史记录窗口中,选择要管理的证书,然后单击"证书设置"图标。
  4. 在弹出框选择"管理证书"后将跟踪该版本的使用情况和到期时间。

1.6.5 使用最新证书更新服务器

如果通配符证书或单个 SSL 证书部署到多台服务器,则需要追踪部署证书的服务器情况,PAM360有助于帮助您检查前当前是否正在使用最新版本证书。

  1. 导航到证书
  2. 选中要跟踪的证书,点击表视图右角的证书历史记录图标
  3. 在证书历史记录窗口中,选择要管理的证书,点击"设置当前证书"。
  4. 然后,再次导航到证书选项卡,单击与所需证书相对应的多个服务器相匹配。
  5. 将打开一个窗口,列出部署证书的服务器信息,如 IP 地址、端口证书有效性等。
  6. 如果列出较旧/过期的证书版本,请使用最新版本进行更新。选择服务器,然后单击“部署”。请参阅此处的详细部署过程 过程。

此外,您可以通过选择证书并单击"更多"下拉列表来编辑与特定证书相关的详细信息或删除不相关的证书。

1.7 发现托管在AWS( ACM & IAM )上的 SSL 证书

PAM360支持您发现、导入和配置托管在Amazon Web服务中的SSL证书的到期通知,包含AWS证书管理器(ACM)和AWS身份和访问管理(IAM)。

按照以下步骤发现 SSL 证书,然后将 SSL 证书从 ACM /IAM 导入 PAM360。

导航到证书 >> 发现 >> AWS。

第 1 步:在 PAM360 中配置 AWS 凭据

如果您尚未在 PAM360 中添加 AWS-IAM 资源,请按照以下步骤操作:

要在 PAM360 中添加 AWS 凭据,操作如下:

  1. 单击证书,找到发现,点击AWS
  2. 在打开的"创建 AWS 凭据"窗口中,提供凭据名称、说明、访问密钥和密钥。
  3. 使用测试登录选项并检查登录是否成功。 如果登录成功,系统会通知您
  4. 然后单击保存。凭据已成功保存在 PAM360 中。
  5. 现在,导航到证书 >> 发现 >> AWS ,从下拉列表选择 AWS凭据,或手动提供访问密钥以及密钥 。

如果您已在PAM360中添加了 AWS-IAM 资源,

  1. 选择手动指定访问密钥和密钥或使用PAM360中存储的访问密钥和密钥。
  2. 如果选择手动指定访问密钥和密钥,请输入访问密钥和密钥。
  3. 如果选择使用PAM360中存储的访问密钥和密钥,请从下拉列表中选择资源名称、访问密钥和密钥。

第 2 步:发现和导入

  1. 选择需要从中导入证书所需的 AWS 服务: ACM 或 IAM 。
  2. 要从 ACM 导入证书,请在 AWS 服务下选择 ACM 并选择服务区域。
  3. 单击发现"。
  4. 证书从所选区域中的资源中发现,并导入到Key Manager Plus 中。
  5. 要从 IAM 导入证书,请指定所需的AWS 用户名或使用列表 AWS用户名选项检索用户名。 选择所需的用户名,然后单击"发现。
  6. 您还可以通过选中"包括服务器证书"选项来选择为相应的AWS用户导入服务器证书。

2.创建自签名证书

PAM360支持管理员使用Java密钥工具创建自签名证书。成功创建后,这些证书将会自动导入PAM360存储库。

要使用PAM360创建自签名证书,操作如下:

  1. 导航到证书。
  2. 单击创建按钮。
  3. 输入组织的详细信息、证书密钥算法和长度、签名算法,并在"创建证书"选项卡中输入密钥存储密码。
  4. 单击"创建"按钮。 您将被重定向到显示证书内容的证书窗口。
  5. 要创建有效期有限的临时证书,请选择有效类型为小时或分钟,并提供有效期。证书将在指定时间后过期。
  6. 您可以复制证书内容,将证书导出或发送到所需的电子邮件。
    1. 电子邮件:选择此复选框,通过电子邮件将证书文件发送到指定的邮件 ID。
    2. 导出:选中此复选框将文件导出到您的系统。
  7. 单击"保存"按钮后,这两个选项都生效。
  8. 您可以通过启用"生成根证书"复选框来将生成证书作为根证书。
  9. 单击"保存"按钮将证书保存在 PAM360 存储库中







3.生成 CSR

要使用 PAM360 的 Java keytool 来生成 CSR:

  1. 导航到证书>>创建CSR。您将在列表视图中看到所有可用的CSR 及其详细信息,如域名、创建者、创建时间、密钥大小、密钥算法等。
  2. 单击"创建"以生成新的 CSR。 在显示的窗体中,执行以下操作:
    1. 选择手动创建 CSR 或从密钥存储库创建 CSR
    2. 如果选择从密钥存储库创建 CSR :
      1. 单击"浏览 " 来选择"密钥存储文件。
      2. 输入私钥密码,然后单击"创建。
    3. 如果选择手动创建 CSR:
      1. 指定所需详细信息,如通用名称、 SAN 、组织单位、组织、位置、状态和国家/地区。
      2. 选择密钥算法、密钥大小、签名算法和密钥库类型。
      3. 选择有效性类型(天、小时或分钟),并指定有效性。
      4. 输入密钥库密码。
      5. 选择签名类型并输入所需详细信息。
      6. 您也可以不选择"签名类型",稍后再对CSR进行签名。 若要了解有关以后签署 CSR 的更多了解,请单击此处
      7. 单击创建,您将被重定向到显示 CSR 内容的 CSR 窗口。

    您将在CSR列表视图中看到创建的CSR。

3.1 管理CSR

  1. 您可以从证书>>创建CSR选项卡查看保存的CSR。
  2. 显示密码:显示密码图标允许管理员查看各个 CSR 文件的密钥存储密码。
  3. 导出:您可以使用列表视图中显示的 CSR 中的图标将 CSR 导出并发送邮件到指定的邮件 ID。
  4. 导入:如果选择导入 CSR ,点击"导入"。
    1. 在弹出窗口中,浏览并选择CSR 文件并选择密钥文件。
    2. 输入私钥密码,然后单击导入。
    3. 已成功导入CSR后 ,可以在列表视图中查看。
    4. PAM360会自动将证书文件与相应的私钥固定在一起,并将其添加到集中存储库中。
  5. 删除:要删除 CSR ,请选择要删除的 CSR ,然后单击"删除"。
    1. 在显示的弹出窗口中,单击"确定"。
    2. 您已成功删除所选的 CSR。
  6. CSR模板:单击“CSR模板”可添加、删除或管理模板。生成后的这些模板可以在生成CSR时使用。


    7. 注意:可以使用 RSA /DSA /EC 密钥算法和 SHA 签名算法生成自签名证书和 CSR ,具体如下:

    • RSA =1024、2048、4096位密钥;SHA-2( 256、384、512位)签名。
    • DSA =512、1024位密钥;SHA-1( 160 位)签名。
    • EC =128、256位密钥;&;SHA-2( 256、384、512 位)签名。

4.证书签名

PAM360为您提供了从Microsoft证书颁发机构或使用您环境中受信任的自定义CA根证书向网络中的客户端签名和颁发证书的选项。

从 PAM360 请求和获取本地 CA 的证书, 您必须首先生成 CSR ,然后使用下面的步骤从本地证书颁发机构对其进行签名。

有三种证书签名方法:

  1. 微软证书颁发机构
  2. 微软CA - 代理模式
  3. 根证书签名

4.1 微软证书颁发机构

您可以通过PAM360,使用Microsoft 证书颁发机构对CSR进行签名。

  1. 选择所需签名的 CSR ,然后单击顶部菜单中的"签名"。
  2. 在打开的弹出窗口中,选择“签名类型”为“Microsoft证书颁发机构”。
  3. 指定在您本地运行的微软证书颁发机构的服务器名称以及证书颁发机构名称。
  4. 根据您的需求选择证书模板,或通过单击"获取模板"链接选择预定义的模板,然后单击"签名"。

CSR签名后,可以在证书>>证书列表下查看已颁发的证书。

注意:

  1. 应使用域管理员权限运行PAM360服务,以开始管理Microsoft证书和本地 CA 颁发的证书。如果使用其它域服务帐户运行PAM360服务,在开始前请将其添加到您的本地管理员组。
  2. 在微软证书存储区发现期间,如果“服务器名称”字段为空,则“获取存储区”选项将列出本地主机中所有可用的存储库。
  3. 为了使微软CA自动更新生效,证书的类型必须为Microsoft CA。对于手动添加的证书,需要使用顶部“ 更多”菜单中的“编辑”选项将证书类型更改为 Microsoft CA。

4.2 微软CA - 代理模式

  1. 从列表视图中选择需要签名的 CSR ,然后单击顶部菜单中的"签名"。
  2. 在显示的弹出窗口上进行操作
    1. 选择具有代理的Microsoft CA 的签名类型。
    2. 从下拉列表中选择可用的代理,您也可以通过单击链接来管理代理。要了解有关代理的更多信息,请单击此处
    3. 指定证书模板或单击"获取模板"获取新模板。
    4. 单击"签名"。

CSR签名后,可以在证书>>证书列表下查看已颁发的证书。

4.3 根证书签名

PAM360提供了使用Microsoft证书颁发机构或环境中受信任的自定义CA根证书对网络中的客户端进行签名和颁发证书的选项。

  1. 创建自定义CA根证书
  2. 使用自定义CA根证书对证书进行签名
  3. 将已签名的证书部署到目标系统

4.3.1 创建自定义CA根证书

若要使用CA根证书对本地生成的证书请求进行签名,必须首先创建自定义CA根证书。

  1. 导航到证书 >> 证书。
  2. 选择证书,然后单击更多>>标记为Root证书。

所选证书已成功标名为CA根证书,并列在"根证书"选项卡下。 然后,您可以使用此证书对本地生成的证书请求进行签名。

您还可以在创建证书时,启用生成根证书复选框,通过PAM360生成新的CA根证书。

4.3.2 使用自定义CA根签名证书

要使用自定义Root证书对请生成的证书签名请求( CSR )进行签名,参考以下步骤:

  1. 选择CSR,然后从顶部菜单中单击"签名"。
  2. 选择标记为Root证书签名类型。
  3. 选择“根证书”并指定有效期(天),单击签名。

签名后,可以在证书>>证书列表下查看已颁发的证书。

此外,您可以使用CA根证书直接从PAM360对用户组生成证书并进行批量签名。

  1. 导航到证书,然后单击窗口右上角的根证书。
  2. 选择所需的CA根证书,然后单击“签名”。在打开的弹出窗口中,选择签名类型,以及需要生成和签名证书的目的用户/用户组,可选设置SAN,以及有效期(天)。
  3. 签名类型 - 用户管理允许您通过PAM360为用户账户生成并签名证书。
    1. 选择要生成证书的用户帐户。
    2. 默认情况下,用户证书继承的参数与根证书的参数相同。 您可以通过取消选择"使用根证书详细信息"复选框取消它。
    3. 填写详细信息后,单击"签名"。

证书已签名,您可以在 PAM360 的证书存储库中找到。

签名类型 - Active Directory 用户允许您生成证书,并将签名证书映射到网络环境中的Active Directory用户帐户。

  1. 选择域名并提供主域控制器地址、用户名和密码。
  2. 选择“单个导入类型” 并指定用户、或用户组,或使用“组/组织单元"导入类型来选择需要为其创建证书的用户或用户组。
  3. 选择用户后,输入证书有效期(天)。默认情况下,用户证书继承根证书的参数。您可以通过取消选择“使用根证书详细信息”选项来更改它。
  4. 填写详细信息后,单击"签名"。
  5. 这将为选定的用户生成证书,这些证书将列在PAM360证书存储库中。

4.3.3 将签名的证书部署到目标系统

在签名证书请求并获取证书后,您需要将它们部署到需要的终端服务器。参考有关 证书部署的步骤说明。

注意: 使用针对Web应用程序的自定义CA根证书签名证书时,请确保将网络中的所有浏览器都配置为信任CA根证书,以避免出现安全错误消息。

4.4自动续订

本地 CA 颁发的证书可以从 PAM360 自动续订。

要启用本地 CA 证书的自动续订,

  1. 导航到管理 >> SSH/SSL >> 证书更新
  2. 启用本地证书颁发机构或自签名,并指定重复时间。已过期的证书和将在10天或更短时间内到期的证书将在证书存储库中自动续订和更新。

5.导入证书

要导入网络中的证书:

  1. 导航到证书 >> 证书。
  2. 单击"添加"按钮。
  3. 单击"添加证书"窗口中相应的单选按钮。
    1. 基于文件:直接从系统浏览和导入所需的证书文件。
    2. 基于内容:复制所需证书文件的内容,并将其粘贴到文本框中。
    3. 基于密钥库:同时导入密钥库中可用的所有单个证书。上传所需的密钥库文件,然后输入其相应的密码(如果有)
  4. 单击"添加"按钮。

6.删除证书

您可以删除当前未使用的证书,从 PAM360 存储库中删除证书:

  1. 导航到证书 >> 证书。
  2. 选择证书。
  3. 单击"更多"按钮下的删除。

7.证书请求

证书申请工作流如下所示:

  1. 添加证书请求
  2. 关闭证书请求

7.1添加证书申请

要将请求添加新证书或将子域添加到现有证书中,请在PAM360中操作:

  1. 导航到证书 >> 证书请求。
  2. 单击"添加请求"按钮。
  3. 选择请求类型新证书或附加域。
    1. 新证书:将 CSR 附加到您的请求(可选)和新证书的域名。
    2. 附加域:输入新域的名称,然后从添加到 PAM360 资源中的证书中选择父域。
  4. 输入发送请求的目的邮件地址,并指定证书有效期。 这些邮件地址可以是管理员、处理证书请求的中间人,甚至是将证书请求作为工单提升的技术支持软件。
  5. 单击附加字段以添加其他信息,如设备名称和 IP 地址
  6. 单击"添加请求"按钮将其添加到"证书请求"选项卡中的请求列表中,并将该请求发送到指定的电子邮件地址。

7.2 证书请求状态

证书请求状态有:

  1. 打开
  2. 关闭

提出证书请求后,它为“打开”状态。单击请求的域名,可以从“证书>>证书申请”中查看请求的详细信息。

7.3 结束证书请求生命周期

  1. 导航到证书 >> 证书请求。
  2. 在对应的证书请求列表中,点击证书对应的状态名称(打开),上传证书并关闭。
  3. 在“关闭请求”窗口中,可添加注释以及申请的证书文件,指定要将证书发送给的用户的电子邮件ID,然后单击“保存并关闭”按钮。单击按钮后,请求将自动移至“关闭”状态。
  4. 如果在关闭请求时附加了 SSL 证书,则证书将自动导入到 PAM360 存储库。
  5. 此外,颁发的证书也会通过邮件发送给申请人、关闭人以及在关闭请求时所指定的邮件地址。

8.到期通知计划

您可以自定义证书的到期通知配置,自定义通知:

  1. 导航到管理 >> SSH/SSL >> 通知设置。
  2. 选中“SSL证书过期通知”复选框,以及在证书到期之前应开始接收通知的天数。
  3. 选择"电子邮件"或窗口下方的系统日志通知的syslog通知方式。
  4. 单击"保存"按钮。

在您所设置的证书到期前的天数到达后,系统将每天发送证书的逾期通知提醒。例如,如果证书将在某月的最后一周到期,并且您设置了在证书到期前7天发出通知,那么您将在证书到期前一周的每一天,都会收到通知提醒。

通过WHOIS查找跟踪域名到期

除了跟踪证书的有效期之外,PAM360还可以帮助管理员通过自动执行WHOIS查找来保持域名的有效状态。通过查找获取的域名有效期详细信息将显示在“证书” >>“证书”选项卡中,并显示其对应的SSL证书。此外,管理员可以通过在管理 >> SSH / SSL >> 通知下进行配置,选择及时接收即将到期域的电子邮件通知 。

9.1 WHOIS 查找工作原理?

获取域到期详细信息,PAM360分两步查询WHOIS服务器。第一次查询提供了由域名注册商注册域名的WHOIS服务器的详细信息。第二次查找提供有关域的信息,例如所有者详细信息,到期日期等。所有这些操作都是从PAM360的界面自动进行的。

注意:连接到WHOIS服务器需要使用端口43。确保在您的环境中打开端口43,否则连接将失败, “证书”选项卡中的域过期将标记为“不可用(NA)” 。



10. SSL 证书组

PAM360允许您将SSL证书组织到各种逻辑组中,并在组中批量执行操作。

10.1 创建证书组

创建证书组:

  1. 单击“证书”选项卡右上角的“证书组”图标。
  2. 单击添加组,您将被定向到“添加证书组”页面。
  3. 提供证书组的名称和可选描述,提供名称时请多加注意,因为以后无法更改。
  4. 您可以通过以下两种方式选择要添加到组中的证书:
    1. 按特定证书:选择要单独添加到组中的证书,然后单击“保存”。
    2. 按条件:这是对证书进​​行分组的动态方法。在这里,您可以根据各种标准条件(例如颁发者,通用名称,密钥算法,密钥大小,密钥长度等)以及逻辑条件“等于”、“不等于”、“包含”、“不包含”、“开始字符”、“结束字符”来分组证书。单击右下角的“ 匹配证书”按钮以查看相应的证书,点击保存创建证书组。

    注意:如果您选择基于条件对证书进行分组,则条件将应用于后续发现和添加的证书。


10.2 编辑证书组

对现有证书组进行更改:

  1. 单击“证书”选项卡右上角上的“证书组”图标 。
  2. 单击对应组右侧的编辑图标。
  3. 您可以更改证书选择类型,编辑组中存在的证书,或者添加、修改、删除应用于组的过滤条件。
  4. 更新并保存更改后,将显示一条弹出消息,确认更新。

    注意:系统不允许修改证书组名称,但您可以在组中添加或修改证书,以及组的描述。

10.3 删除证书组

删除证书组:

  1. 单击“证书”选项卡右上角的“证书组”图标 。
  2. 选择您要删除的组,点击删除按钮。
  3. 在弹出的确认窗口中单击“确定”,所选的证书组将被删除。

© 2021, ZOHO 公司,保留所有权利。
页首