如果你还没有读过,请阅读PTP 650/670中的HTTPS -介绍
ODU证书主题
ODU证书的主题可以是IP地址或DNS名称。
在过去,浏览器可以从Common Name字段读取证书的主题(尽管在标准中不鼓励这样做)。最近,浏览器更加关注标准,他们忽略了Common Name字段,而是期望IP地址或DNS名称在Subject Alternative Name (SAN)字段中。如果主题不在SAN字段中,当前浏览器会生成一个警告。
例如,当IP地址位于Common Name字段中时,应该将其格式化为带点标点符号的文本字符串169.254.1.1.当IP地址在SAN字段时,它会自动转换为二进制格式。
格式
ODU中安装的私钥和公钥证书必须为DER格式。PEM格式不能直接使用,但可以直接将其转换为DER格式。
ODU证书密钥大小和签名算法
PTP 650、PTP 670和PTP 700需要的证书大小如下:
650-01-40:
- 2048位sha - 1
- 2048位sha - 256
650-01-41:
PTP 670和PTP 700
根CA证书
ODU证书必须由认证机构(CA)颁发(换句话说,由CA签名)。CA通常由无线运营商或本地安全团队创建。
根CA证书安装在管理平台上,通过浏览器对设备进行管理。
ODUs不会安装根CA的私钥,必须确保根CA的私钥完全安全。这个密钥是这里创建的公钥基础设施的安全性的最终保证。
进一步的阅读
参见:
