CA数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

       NAC的证书管理功能可以分为以下几点：1、导入的设备证书；2、导入的CA证书； 
 

设备证书和CA证书

       设备证书用于用户接入认证的证书认证（EAP-TLS）。EAP-Transport Level Security (EAP-TLS) 是在基于证书的安全环境中使用的 EAP类型。如果您将智能卡用于远程访问身份验证，则必须使用 EAP-TLS 身份验证方法。EAP-TLS 的消息交换可以提供远程 VPN 客户端和验证程序之间的相互身份验证、加密方法的协商和加密密钥的确定。EAP-TLS 提供了最强大的身份验证和密钥确定方法。

内置CA证书颁发中心

       CA证书认证具有唯一性、不可抵赖性、在数据传输过程进行加密，拥有超高的安全性。

      信锐NAC内置CA证书颁发中心，无需另外部署一台证书服务器，简化证书认证结构，实现安全的“实名制”，IT人员可以发布唯一凭据，包括证书信息及用户和设备数据，保证设备的唯一性。同时，企业或者事业单位还可自建CA中心，不必购买单独的CA认证体系，为企业减少了投入成本。

CA证书的自动更新

      NAC支持两种显示的自动更新，包括CRL（证书吊销列表）自动更新和OCSP；

       证书具有一个指定的寿命，但 CA 可通过称为证书吊销的过程来缩短这一寿命。CA 发布一个证书吊销列表 (CRL)，列出被认为不能再使用的证书的序列号。CRL 指定的寿命通常比证书指定的寿命短得多。CA 也可以在 CRL 中加入证书被吊销的理由。它还可以加入被认为这种状态改变所适用的起始日期。

       OCSP(Online Certificate Status Protocol，在线证书状态协议)是维护服务器和其它网络资源安全性的两种普遍模式之一。OCSP克服了证书注销列表（CRL）的主要缺陷：必须经常在客户端下载以确保列表的更新。当用户试图访问一个服务器时，在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个“有效”、“过期”或“未知”的响应。协议规定了服务器和客户端应用程序的通讯语法。在线证书状态协议给了用户的到期的证书一个宽限期，这样他们就可以在更新以前的一段时间内继续访问服务器。

 

参考信息：               

1、无线上网认证之802.1x认证
2、无线上网认证之CA证书认证
3、无线上网认证之Portal认证
4、无线上网认证之第三方认证
5、无线上网认证之MAC地址认证
6、无线上网认证之二维码审核认证
7、无线上网认证之微信连Wi-Fi
8、无线上网认证之微信认证
9、无线上网认证之短信认证
10、无线上网认证之微信认证+短信认证
11、无线上网认证之临时访客认证
12、无线上网认证之用户免认证登录