SD-WAN解决方案中证书管理如何操作？

为了保证整个SD-WAN系统的安全性， CPE， RR， iMaster NCE多个组件在通信时使用到了证书。例如，管理通道安全场景下， CPE与Master NCE双方通过证书进行双向认证；控制通道安全场景下， CPE与RR双方通过证书进行双向认证。除此之外iMasterNCE北向通信以及iMaster NCE内部节点通信也使用到证书

证书替换建议

CPE， RR， iMaster NCE在出厂时提供了预置证书，为了提升整个系统的安全性，建议替换为商用证书。按照来源的不同，证书分为如下两种：

自签名证书

自建PKI系统颁发的证书。成本低廉，但需要在认证端导入颁发者的CA证书，一般在企业的信任域内使用。

知名CA机构证书

向业界CA机构购买的证书。费用较高，但可以在全球任何区域使用。

自签名证书相对知名CA机构证书成本较低，企业在实际使用中出于成本考虑，可以使用自签名证书。实际上制作自签名证书也存在一定的成本，从经济效益考虑，在证书替换时，建议仅替换CPE，RR、以及iMaster NCE的南向通信证书，以及北向通信相关的证书。

证书替换

iMaster NCE支持新增第三方证书，同时使用预置证书和第三方证书与CPE、RR进行双向证书认证；CPE／RR支持将预置证书替换为第三方证书，使用第三方证书与iMasterNCE进行双向证书认证，CPE和RR之间也支持使用第三方证书进行双向证书认证，如下图所示。

说明

当前版本将RR的预置证书替换为第三方证书时，仅支持每个租户单独部署RR并且RR上只存在一套证书的场景，不支持RR作为多租户设备存在多套证书的场景。

·在iMaster NCE上导入第三方证书时，除了为南向Netconf连接导入第三方证书，还要为文件下载、HTTP2.0等连接导入第三方证书。

图1使用第三方证书进行认证

对于CPE和RR，支持在线方式将预置证书替换为第三方证书。使用在线方式时，在iMaster NCE上完成CA服务器的配置，然后由MSP管理员授权CA服务器，最后由租户管理员配置在线升级证书，整体流程如下图所示。

图2在线升级设备证书流程图

以CPE为例, CPE通过SCEP ( Simple Certificate Enrollment Protocol )协议访问CA服 务器，自动完成证书的申请和替换的过程如下图所示。

图3 CPE使用在线方式申请证书

除了替换iMaster NCE， CPE， RR之间的通信证书，还可以替换iMster的北向通信证书，关于证书替换的详细步骤和注意事项，请参见《iMster NCE产品文档》—《运维》—《安全管理》—《替换证书》章节。

设备证书到期替换

当设备证书到期后，认证的双方将无法建立通信，如CPE将无法被iMaser纳管、CPE无法与RR建立控制通道。因此当收到证书到期提醒告警时，请及时更新证书。华为设备缺省情况下预置证书有效期为15年或20年具体有效期可在iMaster NCE上进行查询。华为设备证书即将到期缺省提前7天进行告警；对于采用华为预置证书的设备，如果证书到期，请按照如下方式进行操作。

1， 使用租户管理员登录iMaster NCE，在主菜单中选择“维护>设备维护>设备证

书”，选择需要替换证书的设备，单击“导出证书请求文件” ，将该设备的证书青求文件导出（csr格式）。

不能多次导出证书请求文件，否则会导致之前导出的证书请求文件失效，使较早导出的证书请求文件申请到的证书失效。

2， 将证书请求文件上传到PKI网站申请证书，获取pem格式公钥文件。此文件申请需

联系华为工程师进行申请。

3， 将pem公钥文件上传至文件服务器，文件服务器会调用证书管理的北向接口，将公钥文件与私钥文件进行拼接，得到一个pem文件。

上传的证书需要以设备的ESN来命名，否则会导致证书无法正常上传。

在设备证书页面，等待新证书状态变为“已经上传” ，单击“下发”执行证书替换操作。证书下发之后， iMaster NCE会下发设备重启指令，设备重启成功之后，新证书状态如果为“下发成功”，则说明证书替换成功。

iMaster NCE预置的华为证书有效期缺省为10年或15年（新申请的华为证书有效期为15年），具体有效期可在iMaster NCE上进行查询。iMaster NCE证书即将到期缺省提前90天进行告警，提前告警时间可在iMaster NCE界面上进行修改。

以上就是SD-WAN解决方案中证书管理如何操作？的介绍。如果你还有其他问题，欢迎进行咨询探讨，希望微云网络的专业的解决方案，可以解决你目前遇到的问题。微云网络提供全球主机托管、服务器租用、mpls专线接入、SD-WAN组网等方面的专业服务，资源覆盖全球。欢迎咨询。