i目录1PKI·1-11.
1PKI配置命令·1-11.
1.
1attribute·1-11.
1.
2caidentifier1-21.
1.
3certificaterequestentity1-31.
1.
4certificaterequestfrom·1-41.
1.
5certificaterequestmode·1-51.
1.
6certificaterequestpolling·1-61.
1.
7certificaterequesturl·1-71.
1.
8common-name·1-81.
1.
9country·1-81.
1.
10crlcheck1-91.
1.
11crlurl·1-101.
1.
12displaypkicertificateaccess-control-policy1-111.
1.
13displaypkicertificateattribute-group·1-121.
1.
14displaypkicertificatedomain1-131.
1.
15displaypkicertificaterequest-status1-181.
1.
16displaypkicrl·1-201.
1.
17fqdn·1-211.
1.
18ip·1-221.
1.
19ldap-server·1-231.
1.
20locality·1-241.
1.
21organization·1-241.
1.
22organization-unit·1-251.
1.
23pkiabort-certificate-request·1-261.
1.
24pkicertificateaccess-control-policy·1-261.
1.
25pkicertificateattribute-group·1-271.
1.
26pkidelete-certificate1-281.
1.
27pkidomain1-291.
1.
28pkientity1-301.
1.
29pkiexport·1-311.
1.
30pkiimport·1-371.
1.
31pkirequest-certificate1-42ii1.
1.
32pkiretrieve-certificate1-431.
1.
33pkiretrieve-crl·1-441.
1.
34pkistorage·1-451.
1.
35pkivalidate-certificate·1-461.
1.
36public-keydsa·1-471.
1.
37public-keyecdsa·1-491.
1.
38public-keyrsa1-501.
1.
39root-certificatefingerprint·1-511.
1.
40rule·1-521.
1.
41source·1-531.
1.
42state·1-541.
1.
43usage·1-551-11PKI设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
设备运行于低加密版本时,本特性部分配置相对于高加密版本有所变化,具体差异请见本文相关描述.
可以通过安装相应的license将设备从低加密版本升级为高加密版本,也可以通过卸载相应的license将升级为高加密版本的设备恢复为低加密版本.
1.
1PKI配置命令1.
1.
1attributeattribute命令用来配置属性规则,用于根据证书的颁发者名、主题名以及备用主题名来过滤证书.
undoattribute命令用来删除证书属性规则.
【命令】attributeid{alt-subject-name{fqdn|ip}|{issuer-name|subject-name}{dn|fqdn|ip}}{ctn|equ|nctn|nequ}attribute-valueundoattributeid【缺省情况】不存在属性规则,即对证书的颁发者名、主题名以及备用主题名没有限制.
【视图】证书属性组视图【缺省用户角色】network-adminmdc-admin【参数】id:证书属性规则序号,取值范围为1~16.
alt-subject-name:表示证书备用主题名(SubjectAlternativeName).
fqdn:指定实体的FQDN.
ip:指定实体的IP地址.
dn:指定实体的DN.
issuer-name:表示证书颁发者名(IssuerName).
subject-name:表示证书主题名(SubjectName).
ctn:表示包含操作.
1-2equ:表示相等操作.
nctn:表示不包含操作.
nequ:表示不等操作.
attribute-value:指定证书属性值,为1~255个字符的字符串,不区分大小写.
【使用指导】各证书属性中可包含的属性域个数有所不同:主题名和颁发者名中均只能包含一个DN,但是均可以同时包含多个FQDN和IP;备用主题名中不能包含DN,但是可以同时包含多个FQDN和IP.
不同类型的证书属性域与操作关键字的组合代表了不同的匹配条件,具体如下表所示:表1-1对证书属性域的操作涵义操作DNFQDN/IPctnDN中包含指定的属性值任意一个FQDN/IP中包含了指定的属性值nctnDN中不包含指定的属性值所有FQDN/IP中均不包含指定的属性值equDN等于指定的属性值任意一个FQDN/IP等于指定的属性值nequDN不等于指定的属性值所有FQDN/IP均不等于指定的属性值如果证书的相应属性中包含了属性规则里指定的属性域,且满足属性规则中定义的匹配条件,则认为该属性与属性规则相匹配.
例如:属性规则2中定义,证书的主题名DN中包含字符串abc.
如果某证书的主题名的DN中确实包含了字符串abc,则认为该证书的主题名与属性规则2匹配.
只有证书中的相应属性与某属性组中的所有属性规则都匹配上,才认为该证书与此属性组匹配.
如果证书中的某属性中没有包含属性规则中指定的属性域,或者不满足属性规则中的匹配条件,则认为该证书与此属性组不匹配.
【举例】system-view[Sysname]pkicertificateattribute-groupmygroup#创建证书属性规则1,定义证书主题名中的DN包含字符串abc.
[Sysname-pki-cert-attribute-group-mygroup]attribute1subject-namednctnabc#创建证书属性规则2,定义证书颁发者名中的FQDN不等于字符串abc.
[Sysname-pki-cert-attribute-group-mygroup]attribute2issuer-namefqdnnequabc#创建证书属性规则3,定义证书主题备用名中的IP地址不等于10.
0.
0.
1.
[Sysname-pki-cert-attribute-group-mygroup]attribute3alt-subject-nameipnequ10.
0.
0.
1【相关命令】displaypkicertificateattribute-grouprule1.
1.
2caidentifiercaidentifier命令用来指定设备信任的CA的名称.
undocaidentifier命令用来删除设备信任的CA.
1-3【命令】caidentifiernameundocaidentifier【缺省情况】未指定设备信任的CA.
【视图】PKI视图【缺省用户角色】network-adminmdc-admin【参数】name:设备信任的CA的名称,为1~63个字符的字符串,区分大小写.
【使用指导】获取CA证书时,必须指定信任的CA的名称,这个名称会被作为SCEP消息的一部分发送给CA服务器.
但是一般情况下,CA服务器会忽略收到的SCEP消息中的CA名称的具体内容.
但是如果在同一台服务器上配置了两个CA,且它们的URL是相同的,则服务器将根据SCEP消息中的CA名称选择对应的CA.
因此,使用此命令指定的CA名称必须与希望获取的CA证书对应的CA名称一致.
【举例】#指定设备信任的CA的名称为new-ca.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]caidentifiernew-ca1.
1.
3certificaterequestentitycertificaterequestentity命令用来指定用于申请证书的PKI实体名称.
undocertificaterequestentity命令用来取消用于申请证书的PKI实体名称.
【命令】certificaterequestentityentity-nameundocertificaterequestentity【缺省情况】未指定设备申请证书所使用的PKI实体名称.
【视图】PKI域视图【缺省用户角色】network-adminmdc-admin1-4【参数】entity-name:用于申请证书的PKI实体的名称,为1~31个字符的字符串,不区分大小写.
【使用指导】本命令用于在PKI域中指定申请证书的PKI实体.
PKI实体描述了申请证书的实体的各种属性(通用名、组织部门、组织、地理区域、省、国家、FQDN、IP),这些属性用于描述PKI实体的身份信息.
一个PKI域中只能指定一个PKI实体名,新配置的PKI实体名会覆盖已有的PKI实体名.
【举例】#指定申请证书的PKI实体的名称为en1.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequestentityen1【相关命令】pkientity1.
1.
4certificaterequestfromcertificaterequestfrom命令用来配置证书申请的注册受理机构.
undocertificaterequestfrom命令用来删除指定的证书申请注册受理机构.
【命令】certificaterequestfrom{ca|ra}undocertificaterequestfrom【缺省情况】未指定证书申请的注册受理机构.
【视图】PKI域视图【缺省用户角色】network-adminmdc-admin【参数】ca:表示实体从CA申请证书.
ra:表示实体从RA申请证书.
【使用指导】选择从CA还是RA申请证书,由CA服务器决定,需要了解CA服务器上由什么机构来受理证书申请.
推荐使用独立运行的RA作为注册受理机构.
【举例】#指定实体从RA申请证书.
1-5system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequestfromra1.
1.
5certificaterequestmodecertificaterequestmode命令用来配置证书申请方式.
undocertificaterequestmode命令用来恢复缺省情况.
【命令】certificaterequestmode{auto[password{cipher|simple}password]|manual}undocertificaterequestmode【缺省情况】证书申请方式为手工方式.
【视图】PKI域视图【缺省用户角色】network-adminmdc-admin【参数】auto:表示用自动方式申请证书.
password:指定吊销证书时使用的口令.
cipher:表示以密文方式设置口令.
simple:表示以明文方式设置口令.
password:设置的明文或密文口令,区分大小写.
明文口令为1~31个字符的字符串,密文口令为1~73个字符的字符串.
manual:表示用手工方式申请证书.
【使用指导】两种申请方式都属于在线申请,具体情况如下:如果是自动方式,则设备会在与PKI域关联的应用(例如IKE)需要做身份认证时,自动向证书注册机构发起获取CA证书和申请本地证书的操作.
自动方式下,可以指定吊销证书时使用的口令,是否需要指定口令是由CA服务器的策略决定的.
如果为手工方式,则需要手工完成获取CA证书、申请本地证书的操作.
以明文或密文方式设置的口令,均以密文的方式保存在配置文件中.
【举例】#指定证书申请方式为自动方式.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequestmodeauto#指定证书申请方式为自动方式,并设置吊销证书时使用的口令为明文123456.
1-6system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequestmodeautopasswordsimple123456【相关命令】pkirequest-certificate1.
1.
6certificaterequestpollingcertificaterequestpolling命令用来配置证书申请状态的查询周期和最大次数.
undocertificaterequestpolling命令用来恢复缺省情况.
【命令】certificaterequestpolling{countcount|intervalminutes}undocertificaterequestpolling{count|interval}【缺省情况】证书申请状态的查询周期为20分钟,最多查询50次.
【视图】PKI域视图【缺省用户角色】network-adminmdc-admin【参数】countcount:表示证书申请状态的查询次数,取值范围为1~100.
intervalminutes:表示证书申请状态的查询周期,取值范围为5~168,单位为分钟.
【使用指导】设备发送证书申请后,如果CA服务器采用手工方式来签发证书申请,则不会立刻响应设备的申请.
这种情况下,设备通过定期向CA服务器发送状态查询消息,能够及时获取到被CA签发的证书.
CA签发证书后,设备将通过发送状态查询得到证书,之后停止发送状态查询消息.
如果达到最大查询次数时,CA服务器仍未签发证书,则设备停止发送状态查询消息,本次证书申请失败.
如果CA服务器采用自动签发证书的方式,则设备可以立刻得到证书,这种情况下设备不会向CA服务器发送状态查询消息.
【举例】#指定证书申请状态的查询周期为15分钟,最多查询40次.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequestpollinginterval15[Sysname-pki-domain-aaa]certificaterequestpollingcount40【相关命令】displaypkicertificaterequest-status1-71.
1.
7certificaterequesturlcertificaterequesturl命令用来配置实体通过SCEP进行证书申请的注册受理机构服务器的URL.
undocertificaterequesturl命令用来删除指定的注册受理机构服务器的URL.
【命令】certificaterequesturlurl-string[vpn-instancevpn-instance-name]undocertificaterequesturl【缺省情况】未指定注册受理机构服务器的URL.
【视图】PKI域视图【缺省用户角色】network-adminmdc-admin【参数】url-string:表示证书申请的注册受理机构服务器的URL,为1~511个字符的字符串,区分大小写.
vpn-instancevpn-instance-name:指定注册受理机构服务器所属的VPN.
vpn-instance-name表示MPLSL3VPN实例名称,为1~31个字符的字符串,区分大小写.
若未指定本参数,则表示该注册受理机构服务器属于公网.
【使用指导】本命令配置的URL内容包括注册受理机构服务器的位置及CGI命令接口脚本位置,格式为http://server_location/cgi_script_location.
其中,server_location是服务器的地址,可以是IPv4地址、IPv6地址和DNS域名,cgi_script_location是注册授权机构(CA或RA)在服务器主机上的应用程序脚本的路径.
实际可输入的URL长度受命令行允许输入的最大字符数限制.
【举例】#指定实体进行证书申请的注册受理机构服务器的URL为http://169.
254.
0.
100/certsrv/mscep/mscep.
dll.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequesturlhttp://169.
254.
0.
100/certsrv/mscep/mscep.
dll#指定实体向VPN中的注册受理机构服务器申请证书,该服务器的URL为http://mytest.
net/certsrv/mscep/mscep.
dll,所在的MPLSL3VPN的实例名称为vpn1.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequesturlhttp://mytest.
net/certsrv/mscep/mscep.
dllvpn-instancevpn11-81.
1.
8common-namecommon-name命令用来配置PKI实体的通用名,比如用户名称.
undocommon-name命令用来删除配置的PKI实体的通用名.
【命令】common-namecommon-name-stingundocommon-name【缺省情况】未配置PKI实体的通用名.
【视图】PKI实体视图【缺省用户角色】network-adminmdc-admin【参数】common-name-sting:PKI实体的通用名称,为1~63个字符的字符串,区分大小写,不能包含逗号.
【举例】#配置PKI实体en的通用名为test.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]common-nametest1.
1.
9countrycountry命令用来配置PKI实体所属的国家代码.
undocountry命令用来删除配置的PKI实体所属的国家代码.
【命令】countrycountry-code-stringundocountry【缺省情况】未配置PKI实体所属的国家代码.
【视图】PKI实体视图【缺省用户角色】network-adminmdc-admin1-9【参数】country-code-string:PKI实体所属的国家代码,为标准的两字符代码,区分大小写,例如中国为CN.
【举例】#配置PKI实体en所属的国家代码为CN.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]countryCN1.
1.
10crlcheckcrlcheckenable命令用来使能CRL检查.
undocrlcheckenable命令用来禁止CRL检查.
【命令】crlcheckenableundocrlcheckenable【缺省情况】CRL检查处于使能状态.
【视图】PKI域视图【缺省用户角色】network-adminmdc-admin【使用指导】CRL(CertificateRevocationList,证书废除列表)是一个由CA签发的文件,该文件中包含被该CA吊销的所有证书的列表.
一个证书有可能在有效期达到之前被CA吊销.
使能CRL检查的目的是查看设备上的实体证书或者即将要导入、获取到设备上的实体证书是否已经被CA吊销,若检查结果表明实体证书已被吊销,那么该证书就不被设备信任.
【举例】#禁止CRL检查.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]undocrlcheckenable【相关命令】pkiimportpkiretrieve-certificatepkivalidate-certificate1-101.
1.
11crlurlcrlurl命令用来设置CRL发布点的URL.
undocrlurl命令用来删除CRL发布点的URL.
【命令】crlurlurl-string[vpn-instancevpn-instance-name]undocrlurl【缺省情况】未设置CRL发布点的URL.
【视图】PKI域视图【缺省用户角色】network-adminmdc-admin【参数】url-string:表示CRL发布点的URL,为1~511个字符的字符串,区分大小写.
格式为ldap://server_location或http://server_location,其中server_location可以为IP地址和DNS域名.
vpn-instancevpn-instance-name:指定CRL发布点所属的VPN.
vpn-instance-name表示MPLSL3VPN实例名称,为1~31个字符的字符串,区分大小写.
若未指定本参数,则表示该CRL发布点属于公网.
【使用指导】如果CRL检查处于使能状态,则进行CRL检查之前,需要首先从PKI域指定的CRL发布点获取CRL.
若PKI域中未配置CRL发布点的URL时,从该待验证的证书中获取发布点信息:优先获取待验证的证书中记录的发布点,如果待验证的证书中没有记录发布点,则获取CA证书中记录的发布点(若待验证的证书为CA证书,则获取上一级CA证书中记录的发布点).
如果无法通过任何途径得到发布点,则通过SCEP协议获取CRL.
若配置了LDAP格式的CRL发布点URL,则表示要通过LDAP协议获取CRL.
若该URL中未携带主机名,则需要根据PKI域中配置的LDAP服务器地址信息来得到完整的LDAP发布点URL.
实际可输入的URL长度受命令行允许输入的最大字符数限制.
【举例】#指定CRL发布点的URL为http://169.
254.
0.
30.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]crlurlhttp://169.
254.
0.
30#指定CRL发布点的URL为ldap://169.
254.
0.
30,所在的MPLSL3VPN的实例名称为vpn1.
system-view[Sysname]pkidomain1[Sysname-pki-domain-1]crlurlldap://169.
254.
0.
30vpn-instancevpn11-11【相关命令】ldap-serverpkiretrieve-crl1.
1.
12displaypkicertificateaccess-control-policydisplaypkicertificateaccess-control-policy命令用来显示证书访问控制策略的配置信息.
【命令】displaypkicertificateaccess-control-policy[policy-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】policy-name:指定证书访问控制策略名称,为1~31个字符的字符串,不区分大小写.
【使用指导】若不指定证书访问控制策略的名称,则显示所有证书访问控制策略的配置信息.
【举例】#显示证书访问控制策略mypolicy的配置信息.
displaypkicertificateaccess-control-policymypolicyAccesscontrolpolicyname:mypolicyRule1denymygroup1Rule2permitmygroup2#显示所有证书属性访问控制策略的配置信息.
displaypkicertificateaccess-control-policyTotalPKIcertificateaccesscontrolpolicies:2Accesscontrolpolicyname:mypolicy1Rule1denymygroup1Rule2permitmygroup2Accesscontrolpolicyname:mypolicy2Rule1denymygroup3Rule2permitmygroup4表1-2displaypkicertificateaccess-control-policy命令显示信息描述表字段描述TotalPKIcertificateaccesscontrolpoliciesPKI证书访问控制策略的总数Accesscontrolpolicyname证书访问控制策略名1-12字段描述Rulenumber访问控制规则编号permit当证书的属性与属性组里定义的属性匹配时,认为该证书有效,通过了访问控制策略的检测deny当证书的属性与属性组里定义的属性匹配时,认为该证书无效,未通过访问控制策略的检测【相关命令】pkicertificateaccess-control-policyrule1.
1.
13displaypkicertificateattribute-groupdisplaypkicertificateattribute-group命令用来显示证书属性组的配置信息.
【命令】displaypkicertificateattribute-group[group-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】group-name:指定证书属性组名,为1~31个字符的字符串,不区分大小写.
【使用指导】若不指定证书属性组的名字,则显示所有证书属性组的配置信息.
【举例】#显示证书属性组mygroup的信息.
displaypkicertificateattribute-groupmygroupAttributegroupname:mygroupAttribute1subject-namednctnabcAttribute2issuer-namefqdnnctnapp#显示所有证书属性组的信息.
displaypkicertificateattribute-groupTotalPKIcertificateattributegroups:2.
Attributegroupname:mygroup1Attribute1subject-namednctnabcAttribute2issuer-namefqdnnctnappAttributegroupname:mygroup21-13Attribute1subject-namednctndefAttribute2issuer-namefqdnnctnfqd表1-3displaypkicertificateattribute-group命令显示信息描述表字段描述TotalPKIcertificateattributegroupsPKI证书属性组的总数Attributegroupname证书属性组名称Attributenumber属性规则编号subject-name证书主题名alt-subject-name证书备用主题名issuer-name证书颁发者名dn实体的DNfqdn实体的FQDNip实体的IP地址ctn表示包含操作nctn表示不包含操作equ表示等于操作nequ表示不等操作Attribute1subject-namednctnabc属性规则内容,包括以下参数:alt-subject-name:表示证书备用主题名issuer-name:表示证书颁发者名subject-name:表示证书主题名fqdn:表示实体的FQDNip:表示实体的IP地址dn:表示实体的DNctn:表示包含操作equ:表示相等操作nctn:表示不包含操作nequ:表示不等操作【相关命令】attributepkicertificateattribute-group1.
1.
14displaypkicertificatedomaindisplaypkicertificatedomain命令用来显示证书的内容.
1-14【命令】displaypkicertificatedomaindomain-name{ca|local|peer[serialserial-num]}【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】domain-name:显示指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
ca:显示CA证书.
local:显示本地证书.
peer:显示对端证书.
serialserial-num:指定要显示的对端证书的序列号.
【使用指导】显示CA证书时,会显示此PKI域中所有CA证书的详细信息,若PKI域中存在RA证书,则同时显示RA证书的详细信息.
显示本地证书时,会显示此PKI域中所有本地证书的详细信息.
显示对端证书时,如果不指定序列号,将显示所有对端证书的简要信息;如果指定序列号,将显示该序号对应的指定对端证书的详细信息.
【举例】#显示PKI域aaa中的CA证书.
displaypkicertificatedomainaaacaCertificate:Data:Version:1(0x0)SerialNumber:5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6SignatureAlgorithm:sha1WithRSAEncryptionIssuer:C=cn,O=docm,OU=rnd,CN=rootcaValidityNotBefore:Jan602:51:412011GMTNotAfter:Dec703:12:052013GMTSubject:C=cn,O=ccc,OU=ppp,CN=rootcaSubjectPublicKeyInfo:PublicKeyAlgorithm:rsaEncryptionPublic-Key:(1024bit)Modulus:00:c4:fd:97:2c:51:36:df:4c:ea:e8:c8:70:66:f0:1-1528:98:ec:5a:ee:d7:35:af:86:c4:49:76:6e:dd:40:4a:9e:8d:c0:cb:d9:10:9b:61:eb:0c:e0:22:ce:f6:57:7c:bb:bb:1b:1d:b6:81:ad:90:77:3d:25:21:e6:7e:11:0a:d8:1d:3c:8e:a4:17:1e:8c:38:da:97:f6:6d:be:09:e3:5f:21:c5:a0:6f:27:4b:e3:fb:9f:cd:c1:91:18:ff:16:ee:d8:cf:8c:e3:4c:a3:1b:08:5d:84:7e:11:32:5f:1a:f8:35:25:c0:7e:10:bd:aa:0f:52:db:7b:cd:5d:2b:66:5a:fbExponent:65537(0x10001)SignatureAlgorithm:sha1WithRSAEncryption6d:b1:4e:d7:ef:bb:1d:67:53:67:d0:8f:7c:96:1d:2a:03:98:3b:48:41:08:a4:8f:a9:c1:98:e3:ac:7d:05:54:7c:34:d5:ee:09:5a:11:e3:c8:7a:ab:3b:27:d7:62:a7:bb:bc:7e:12:5e:9e:4c:1c:4a:9f:d7:89:ca:20:46:de:c5:b3:ce:36:ca:5e:6e:dc:e7:c6:fe:3f:c5:38:dd:d5:a3:36:ad:f4:3d:e6:32:7f:48:df:07:f0:a2:32:89:86:72:22:cd:ed:e5:0f:95:df:9c:75:71:e7:fe:34:c5:a0:64:1c:f0:5c:e4:8f:d3:00:bd:fa:90:b6:64:d8:88:a6#显示PKI域aaa中的本地证书.
displaypkicertificatedomainaaalocalCertificate:Data:Version:3(0x2)SerialNumber:bc:05:70:1f:0e:da:0d:10:16:1eSignatureAlgorithm:sha256WithRSAEncryptionIssuer:C=CN,O=sec,OU=software,CN=ipsecValidityNotBefore:Jan720:05:442011GMTNotAfter:Jan720:05:442012GMTSubject:O=OpenCALabs,OU=Users,CN=fipsfips-secSubjectPublicKeyInfo:PublicKeyAlgorithm:rsaEncryptionPublic-Key:(1024bit)Modulus:00:b2:38:ad:8c:7d:78:38:37:88:ce:cc:97:17:39:52:e1:99:b3:de:73:8b:ad:a8:04:f9:a1:f9:0d:67:d8:95:e2:26:a4:0b:c2:8c:63:32:5d:38:3e:fd:b7:4a:83:69:0e:3e:24:e4:ab:91:6c:56:51:88:93:9e:12:a4:30:ad:ae:72:57:a7:ba:fb:bc:ac:20:8a:21:46:ea:e8:93:55:f3:41:49:e9:9d:cc:ec:76:13:fd:a5:8d:cb:5b:45:08:b7:d1:c5:b5:58:89:47:ce:12:bd:5c:ce:b6:17:2f:e0:fc:c0:3e:b7:c4:99:31:5b:8a:f0:ea:02:fd:2d:44:7a:67Exponent:65537(0x10001)X509v3extensions:X509v3BasicConstraints:CA:FALSE1-16NetscapeCertType:SSLClient,S/MIMEX509v3KeyUsage:DigitalSignature,NonRepudiation,KeyEnciphermentX509v3ExtendedKeyUsage:TLSWebClientAuthentication,E-mailProtection,MicrosoftSmartcardloginNetscapeComment:UserCertificateofOpenCALabsX509v3SubjectKeyIdentifier:91:95:51:DD:BF:4F:55:FA:E4:C4:D0:10:C2:A1:C2:99:AF:A5:CB:30X509v3AuthorityKeyIdentifier:keyid:DF:D2:C9:1A:06:1F:BC:61:54:39:FE:12:C4:22:64:EB:57:3B:11:9FX509v3SubjectAlternativeName:email:fips@ccc.
comX509v3IssuerAlternativeName:email:pki@openca.
orgAuthorityInformationAccess:CAIssuers-URI:http://titan/pki/pub/cacert/cacert.
crtOCSP-URI:http://titan:2560/1.
3.
6.
1.
5.
5.
7.
48.
12-URI:http://titan:830/X509v3CRLDistributionPoints:FullName:URI:http://titan/pki/pub/crl/cacrl.
crlSignatureAlgorithm:sha256WithRSAEncryption94:ef:56:70:48:66:be:8f:9d:bb:77:0f:c9:f4:65:77:e3:bd:ea:9a:b8:24:ae:a1:38:2d:f4:ab:e8:0e:93:c2:30:33:c8:ef:f5:e9:eb:9d:37:04:6f:99:bd:b2:c0:e9:eb:b1:19:7e:e3:cb:95:cd:6c:b8:47:e2:cf:18:8d:99:f4:11:74:b1:1b:86:92:98:af:a2:34:f7:1b:15:ee:ea:91:ed:51:17:d0:76:ec:22:4c:56:da:d6:d1:3c:f2:43:31:4f:1d:20:c8:c2:c3:4d:e5:92:29:ee:43:c6:d7:72:92:e8:13:87:38:9a:9c:cd:54:38:b2:ad:ba:aa:f9:a4:68:b5:2a:df:9a:31:2f:42:80:0c:0c:d9:6d:b3:ab:0f:dd:a0:2c:c0:aa:16:81:aa:d9:33:ca:01:75:94:92:44:05:1a:65:41:fa:1e:41:b5:8a:cc:2b:09:6e:67:70:c4:ed:b4:bc:28:04:50:a6:33:65:6d:49:3c:fc:a8:93:88:53:94:4c:af:23:64:cb:af:e3:02:d1:b6:59:5f:95:52:6d:00:00:a0:cb:75:cf:b4:50:c5:50:00:65:f4:7d:69:cc:2d:68:a4:13:5c:ef:75:aa:8f:3f:ca:fa:eb:4d:d5:5d:27:db:46:c7:f4:7d:3a:b2:fb:a7:c9:de:18:9d:c1#显示PKI域aaa中的所有对端证书的简要信息.
displaypkicertificatedomainaaapeerTotalpeercertificates:1SerialNumber:9a0337eb2156ba1f5476e4d754a5a9f71-17SubjectName:CN=sldsslserver#显示PKI域aaa中的一个特定序号的对端证书的详细信息.
displaypkicertificatedomainaaapeerserial9a0337eb2156ba1f5476e4d754a5a9f7Certificate:Data:Version:3(0x2)SerialNumber:9a:03:37:eb:21:56:ba:1f:54:76:e4:d7:54:a5:a9:f7SignatureAlgorithm:sha1WithRSAEncryptionIssuer:C=cn,O=ccc,OU=sec,CN=sslValidityNotBefore:Oct1501:23:062010GMTNotAfter:Jul2606:30:542012GMTSubject:CN=sldsslserverSubjectPublicKeyInfo:PublicKeyAlgorithm:rsaEncryptionPublic-Key:(1024bit)Modulus:00:c2:cf:37:76:93:29:5e:cd:0e:77:48:3a:4d:0f:a6:28:a4:60:f8:31:56:28:7f:81:e3:17:47:78:98:68:03:5b:72:f4:57:d3:bf:c5:30:32:0d:58:72:67:04:06:61:08:3b:e9:ac:53:b9:e7:69:68:1a:23:f2:97:4c:26:14:c2:b5:d9:34:8b:ee:c1:ef:af:1a:f4:39:da:c5:ae:ab:56:95:b5:be:0e:c3:46:35:c1:52:29:9c:b7:46:f2:27:80:2d:a4:65:9a:81:78:53:d4:ca:d3:f5:f3:92:54:85:b3:ab:55:a5:03:96:2b:19:8b:a3:4d:b2:17:08:8d:dd:81Exponent:65537(0x10001)X509v3extensions:X509v3AuthorityKeyIdentifier:keyid:9A:83:29:13:29:D9:62:83:CB:41:D4:75:2E:52:A1:66:38:3C:90:11X509v3KeyUsage:criticalDigitalSignature,NonRepudiation,KeyEncipherment,DataEncipherment,KeyAgreementNetscapeCertType:SSLServerX509v3SubjectAlternativeName:DNS:docm.
comX509v3SubjectKeyIdentifier:3C:76:95:9B:DD:C2:7F:5F:98:83:B7:C7:A0:F8:99:1E:4B:D7:2F:26X509v3CRLDistributionPoints:FullName:URI:http://s03130.
ccc.
sec.
com:447/ssl.
crlSignatureAlgorithm:sha1WithRSAEncryption1-1861:2d:79:c7:49:16:e3:be:25:bb:8b:70:37:31:32:e5:d3:e3:31:2c:2d:c1:f9:bf:50:ad:35:4b:c1:90:8c:65:79:b6:5f:59:36:24:c7:14:63:44:17:1e:e4:cf:10:69:fc:93:e9:70:53:3c:85:aa:40:7e:b5:47:75:0f:f0:b2:da:b4:a5:50:dd:06:4a:d5:17:a5:ca:20:19:2c:e9:78:02:bd:19:77:da:07:1a:42:df:72:ad:07:7d:e5:16:d6:75:eb:6e:06:58:ee:76:31:63:db:96:a2:ad:83:b6:bb:ba:4b:79:59:9d:59:6c:77:59:5b:d9:07:33:a8:f0:a5表1-4displaypkicertificate命令显示信息描述表字段描述Version证书版本号SerialNumber证书序列号SignatureAlgorithm签名算法Issuer证书颁发者Validity证书有效期Subject证书所属的实体信息SubjectPublicKeyInfo证书所属的实体的公钥信息X509v3extensionsX.
509版本3格式的证书扩展属性【相关命令】pkidomainpkiretrieve-certificate1.
1.
15displaypkicertificaterequest-statusdisplaypkicertificaterequest-status命令用来显示证书的申请状态.
【命令】displaypkicertificaterequest-status[domaindomain-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】domaindomain-name:指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
1-19【使用指导】若不指定PKI域的名称,则显示所有PKI域的证书申请状态.
【举例】#显示PKI域aaa的证书申请状态.
displaypkicertificaterequest-statusdomainaaaCertificateRequestTransaction1Domainname:aaaStatus:PendingKeyusage:GeneralRemainpollingattempts:10Nextpollingattemptafter:1191seconds#显示所有PKI域的证书申请状态.
displaypkicertificaterequest-statusCertificateRequestTransaction1Domainname:domain1Status:PendingKeyusage:GeneralRemainpollingattempts:10Nextpollingattemptafter:1191secondsCertificateRequestTransaction2Domainname:domain2Status:PendingKeyusage:SignatureRemainpollingattempts:10Nextpollingattemptafter:188seconds表1-1displaypkicertificaterequest命令显示信息描述表字段描述CertificateRequestTransactionnumber证书申请任务的编号,从1开始顺序编号DomainnamePKI域名Status证书申请状态.
目前,仅有一种取值Pending,表示等待Keyusage证书用途,包括以下取值:General:表示通用,既可以用于加密也可以用于签名Signature:表示用于签名Encryption:表示用于加密Remainpollingattempts剩余的证书申请状态的查询次数Nextpollingattemptafter当前到下次查询证书申请状态的时间间隔,单位为秒【相关命令】zcertificaterequestpollingzpkidomain1-20zpkiretrieve-certificate1.
1.
16displaypkicrldisplaypkicrldomain命令用来显示存储在本地的CRL.
【命令】displaypkicrldomaindomain-name【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】domaindomain-name:指定CRL所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
【使用指导】用户可以通过该命令查看证书吊销列表,看所需的证书是否已经被吊销.
【举例】#显示存储在本地的CRL.
displaypkicrldomainaaaCertificateRevocationList(CRL):Version2(0x1)SignatureAlgorithm:sha1WithRSAEncryptionIssuer:/C=cn/O=docm/OU=sec/CN=therootcaLastUpdate:Apr2801:42:132011GMTNextUpdate:NONECRLextensions:X509v3CRLNumber:6X509v3AuthorityKeyIdentifier:keyid:49:25:DB:07:3A:C4:8A:C2:B5:A0:64:A5:F1:54:93:69:14:51:11:EFRevokedCertificates:SerialNumber:CDE626BF7A44A727B25F9CD81475C004RevocationDate:Apr2801:37:522011GMTCRLentryextensions:InvalidityDate:Apr2801:37:492011GMTSerialNumber:FCADFA81E1F56F43D3F2D3EF7EB56DE5RevocationDate:Apr2801:33:282011GMT1-21CRLentryextensions:InvalidityDate:Apr2801:33:092011GMTSignatureAlgorithm:sha1WithRSAEncryption57:ac:00:3e:1e:e2:5f:59:62:04:05:9b:c7:61:58:2a:df:a4:5c:e5:c0:14:af:c8:e7:de:cf:2a:0a:31:7d:32:da:be:cd:6a:36:b5:83:e8:95:06:bd:b4:c0:36:fe:91:7c:77:d9:00:0f:9e:99:03:65:9e:0c:9c:16:22:ef:4a:40:ec:59:40:60:53:4a:fc:8e:47:57:23:e0:75:0a:a4:1c:0e:2f:3d:e0:b2:87:4d:61:8a:4a:cb:cb:37:af:51:bd:53:78:76:a1:16:3d:0b:89:01:91:61:52:d0:6f:5c:09:59:15:be:b8:68:65:0c:5d:1b:a1:f8:42:04:ba:aa表1-5displaypkicrldomain显示信息描述表字段描述VersionCRL版本号SignatureAlgorithmCA签名该CRL采用的签名算法Issuer颁发该CRL的CA证书名称LastUpdate上次更新CRL的时间NextUpdate下次更新CRL的时间CRLextensionsCRL扩展属性X509v3CRLNumberX509版本3格式的CRL序号X509v3AuthorityKeyIdentifierX509版本3格式的签发该CRL的CA的标识符keyid公钥标识符一个CA可能有多个密钥对,该字段用于标识CA用哪个密钥对对该CRL进行签名RevokedCertificates撤销的证书信息SerialNumber被吊销证书的序列号RevocationDate证书被吊销的日期CRLentryextensions:CRL项目扩展属性SignatureAlgorithm:签名算法以及签名数据【相关命令】pkiretrieve-crl1.
1.
17fqdnfqdn命令用来配置PKI实体的FQDN.
undofqdn命令用来删除配置的PKI实体的FQDN.
1-22【命令】fqdnfqdn-name-stringundofqdn【缺省情况】未配置PKI实体的FQDN.
【视图】PKI实体视图【缺省用户角色】network-adminmdc-admin【参数】fqdn-name-string:PKI实体的FQDN,为1~255个字符的字符串,区分大小写.
【使用指导】FQDN是实体在网络中的唯一标识,由一个主机名和一个域名组成,形式为hostname@domainname.
【举例】#配置PKI实体en的FQDN为abc@pki.
domain.
com.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]fqdnabc@pki.
domain.
com1.
1.
18ipip命令用来配置PKI实体的IP地址.
undoip命令用来删除配置的PKI实体的IP地址.
【命令】ip{ip-address|interfaceinterface-typeinterface-number}undoip【缺省情况】未配置PKI实体的IP地址.
【视图】PKI实体视图【缺省用户角色】network-adminmdc-admin【参数】ip-address:指定PKI实体的IPv4地址.
1-23interfaceinterface-typeinterface-numbe:指定接口的主IPv4地址作为PKI实体的IPv4地址.
interface-typeinterface-number表示接口类型及接口编号.
【使用指导】通过本命令,可以直接指定PKI实体的IP地址,也可以指定设备上某接口的主IPv4地址作为PKI实体的IP地址.
如果指定使用某接口的IP地址,则不要求本配置执行时该接口上已经配置了IP地址,只要设备申请证书时,该接口上配置了IP地址,就可以直接使用该地址作为PKI实体身份的一部分.
【举例】#配置PKI实体en的IP地址为192.
168.
0.
2.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]ip192.
168.
0.
21.
1.
19ldap-serverldap-server命令用来指定LDAP服务器.
undoldap-server命令用来删除指定的LDAP服务器.
【命令】ldap-serverhosthostname[portport-number][vpn-instancevpn-instance-name]undoldap-server【缺省情况】未指定LDAP服务器.
【视图】PKI域视图【缺省用户角色】network-adminmdc-admin【参数】hosthost-name:LDAP服务器的主机名,为1~255个字符的字符串,区分大小写,支持IPv4与IPv6地址的表示方法以及DNS域名的表示方法.
portport-number:LDAP服务器的端口号,取值范围为1~65535,缺省值为389.
vpn-instancevpn-instance-name:指定LDAP服务器所属的VPN.
vpn-instance-name表示MPLSL3VPN实例名称,为1~31个字符的字符串,区分大小写.
若未指定本参数,则表示该LDAP服务器属于公网.
【使用指导】以下两种情况下,需要配置LDAP服务器:通过LDAP协议获取本地证书或对端证书时,需要指定LDAP服务器.
通过LDAP协议获取CRL时,若PKI域中配置的LDAP格式的CRL发布点URL中未携带主机名,则需要根据此处配置的LDAP服务器地址来得到完整的LDAP发布点URL.
1-24在一个PKI域中,只能指定一个LDAP服务器,若重复执行本命令,最新的配置生效.
【举例】#指定LDAP服务器的IP地址为10.
0.
0.
1.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]ldap-serverhost10.
0.
0.
1#指定LDAP服务器,IP地址为10.
0.
0.
11,端口号为333,所在的MPLSL3VPN的实例名称为vpn1.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]ldap-serverhost10.
0.
0.
11port333vpn-instancevpn1【相关命令】pkiretrieve-certificatepkiretrieve-crl1.
1.
20localitylocality命令用来配置PKI实体所在的地理区域名称,比如城市名称.
undolocality命令用来删除配置的PKI实体所在的地理区域名称.
【命令】localitylocality-nameundolocality【缺省情况】未配置PKI实体所在的地理区域名称.
【视图】PKI实体视图【缺省用户角色】network-adminmdc-admin【参数】locality-name:PKI实体所在的地理区域的名称,为1~63个字符的字符串,区分大小写,不能包含逗号.
【举例】#配置PKI实体en所在地理区域的名称为pukras.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]localitypukras1.
1.
21organizationorganization命令用来配置PKI实体所属组织的名称.
1-25undoorganization命令用来删除配置的PKI实体所属组织的名称.
【命令】organizationorg-nameundoorganization【缺省情况】未配置PKI实体所属组织名称.
【视图】PKI实体视图【缺省用户角色】network-adminmdc-admin【参数】org-name:PKI实体所属的组织名称,为1~63个字符的字符串,区分大小写,不能包含逗号.
【举例】#配置PKI实体en所属的组织名称为abc.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]organizationabc1.
1.
22organization-unitorganization-unit命令用来指定实体所属的组织部门的名称.
undoorganization-unit命令用来删除实体所属的组织部门的名称.
【命令】organization-unitorg-unit-nameundoorganization-unit【缺省情况】未配置PKI实体所属组织部门的名称.
【视图】PKI实体视图【缺省用户角色】network-adminmdc-admin【参数】org-unit-name:PKI实体所属组织部门的名称,为1~63个字符的字符串,区分大小写,不能包含逗号.
使用该参数可在同一个单位内区分不同部门的PKI实体.
1-26【举例】#配置PKI实体en所属组织部门的名称为rdtest.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]organization-unitrdtest1.
1.
23pkiabort-certificate-requestpkiabort-certificate-request命令用来停止证书申请过程.
【命令】pkiabort-certificate-requestdomaindomain-name【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】domaindomain-name:指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
【使用指导】用户在证书申请时,可能由于某种原因需要改变证书申请的一些参数,比如通用名、国家代码、FQDN等,而此时证书申请正在运行,为了新的申请不与之前的申请发生冲突,建议先停止之前的申请程序,再进行新的申请.
【举例】#停止证书申请过程.
system-view[Sysname]pkiabort-certificate-requestdomain1Thecertificaterequestisinprocess.
Confirmtoabortit[Y/N]:y【相关命令】displaypkicertificaterequest-statuspkirequest-certificatedomain1.
1.
24pkicertificateaccess-control-policypkicertificateaccess-control-policy命令用来创建证书访问控制策略,并进入证书访问控制策略视图.
如果指定的证书访问控制策略已存在,则直接进入其视图.
undopkicertificateaccess-control-policy命令用来删除指定的证书访问控制策略.
【命令】pkicertificateaccess-control-policypolicy-name1-27undopkicertificateaccess-control-policypolicy-name【缺省情况】不存在证书访问控制策略.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】policy-name:表示证书访问控制策略名称,为1~31个字符的字符串,不区分大小写.
【使用指导】一个证书访问控制策略中可以定义多个证书属性的访问控制规则.
【举例】#配置一个名称为mypolicy的证书访问控制策略,并进入证书访问控制策略视图.
system-view[Sysname]pkicertificateaccess-control-policymypolicy[Sysname-pki-cert-acp-mypolicy]【相关命令】displaypkicertificateaccess-control-policyrule1.
1.
25pkicertificateattribute-grouppkicertificateattribute-group命令用来创建证书属性组并进入证书属性组视图.
如果指定的证书属性组已存在,则直接进入其视图.
undopkicertificateattribute-group命令用来删除指定的证书属性组.
【命令】pkicertificateattribute-groupgroup-nameundopkicertificateattribute-groupgroup-name【缺省情况】不存在证书属性组.
【视图】系统视图【缺省用户角色】network-adminmdc-admin1-28【参数】group-name:证书属性组名称,为1~31个字符的字符串,不区分大小写.
【使用指导】一个证书属性组就是一系列证书属性规则(通过attribute命令配置)的集合,这些属性规则定义了对证书的颁发者名、主题名以及备用主题名进行过滤的匹配条件.
当证书属性组下没有任何属性规则时,则认为对证书的属性没有任何限制.
【举例】#创建一个名为mygroup的证书属性组,并进入证书属性组视图.
system-view[Sysname]pkicertificateattribute-groupmygroup[Sysname-pki-cert-attribute-group-mygroup]【相关命令】attributedisplaypkicertificateattribute-grouprule1.
1.
26pkidelete-certificatepkidelete-certificate命令用来删除PKI域中的证书.
【命令】pkidelete-certificatedomaindomain-name{ca|local|peer[serialserial-num]}【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】domaindomain-name:证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
ca:表示删除CA证书.
local:表示删除本地证书.
peer:表示删除对端证书.
serialserial-num:表示通过指定序列号删除一个指定的对端证书.
serial-num为对端证书的序列号,为1~127个字符的字符串,不区分大小写.
在每个CA签发的证书范围内,序列号可以唯一标识一个证书.
如果不指定本参数,则表示删除本PKI域中的所有对端证书.
【使用指导】删除CA证书时将同时删除所在PKI域中的本地证书和所有对端证书,以及CRL.
1-29如果需要删除指定的对端证书,则需要首先通过displaypkicertificate命令查看本域中已有的对端证书的序列号,然后再通过指定序列号的方式删除该对端证书.
【举例】#删除PKI域aaa中的CA证书.
system-view[Sysname]pkidelete-certificatedomainaaacaLocalcertificates,peercertificatesandCRLwillalsobedeletedwhiledeletingtheCAcertificate.
ConfirmtodeletetheCAcertificate[Y/N]:y[Sysname]#删除PKI域aaa中的本地证书.
system-view[Sysname]pkidelete-certificatedomainaaalocal[Sysname]#删除PKI域aaa中的所有对端证书.
system-view[Sysname]pkidelete-certificatedomainaaapeer[Sysname]#首先查看PKI域aaa中的对端证书,然后通过指定序列号的方式删除对端证书.
system-view[Sysname]displaypkicertificatedomainaaapeerTotalpeercertificates:1SerialNumber:9a0337eb2156ba1f5476e4d754a5a9f7SubjectName:CN=abc[Sysname]pkidelete-certificatedomainaaapeerserial9a0337eb2156ba1f5476e4d754a5a9f7【相关命令】displaypkicertificate1.
1.
27pkidomainpkidomain命令用来创建PKI域,并进入PKI域视图.
如果指定的PKI域已存在,则直接进入其视图.
undopkidomain命令用来删除指定的PKI域.
【命令】pkidomaindomain-nameundopkidomaindomain-name【缺省情况】不存在PKI域.
【视图】系统视图1-30【缺省用户角色】network-adminmdc-admin【参数】domain-name:PKI域名,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
【使用指导】删除PKI域的同时,会将该域相关的证书和CRL都删除掉,因此请慎重操作.
【举例】#创建PKI域aaa并进入其视图.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]1.
1.
28pkientitypkientity命令用来创建PKI实体,并进入PKI实体视图.
如果指定的PKI实体已存在,则直接进入其视图.
undopkientity命令用来删除指定的PKI实体.
【命令】pkientityentity-nameundopkientityentity-name【缺省情况】无PKI实体存在.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】entity-name:PKI实体的名称,为1~31个字符的字符串,不区分大小写.
【使用指导】在PKI实体视图下可配置PKI实体的各种属性(通用名、组织部门、组织、地理区域、省、国家、FQDN、IP),这些属性用于描述PKI实体的身份信息.
当申请证书时,PKI实体的信息将作为证书中主题(Subjuct)部分的内容.
【举例】#创建名称为en的PKI实体,并进入该实体视图.
system-view1-31[Sysname]pkientityen[Sysname-pki-entity-en]【相关命令】pkidomain1.
1.
29pkiexportpkiexport命令用来将PKI域中的CA证书、本地证书导出到文件中或终端上.
【命令】pkiexportdomaindomain-nameder{all|ca|local}filenamefilenamepkiexportdomaindomain-namep12{all|local}passphrasep12passwordstringfilenamefilename低加密版本中:pkiexportdomaindomain-namepem{{all|local}[des-cbcpempasswordstring]|ca}[filenamefilename]高加密版本中:pkiexportdomaindomain-namepem{{all|local}[{3des-cbc|aes-128-cbc|aes-192-cbc|aes-256-cbc|des-cbc}pempasswordstring]|ca}[filenamefilename]【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】domaindomain-name:证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
der:指定证书文件格式为DER编码.
p12:指定证书文件格式为PKCS12编码.
pem:指定证书文件格式为PEM编码.
all:表示导出所有证书,包括PKI域中所有的CA证书和本地证书,但不包括RA证书.
ca:表示导出CA证书.
local:表示导出本地证书或者本地证书和其对应私钥.
passphrasep12passwordstring:指定对PKCS12编码格式的本地证书对应的私钥进行加密所采用的口令.
3des-cbc:对本地证书对应的私钥数据采用3DES_CBC算法进行加密.
aes-128-cbc:对本地证书对应的私钥数据采用128位AES_CBC算法进行加密.
aes-192-cbc:对本地证书对应的私钥数据采用192位AES_CBC算法进行加密.
aes-256-cbc:对本地证书对应的私钥数据采用256位AES_CBC算法进行加密.
des-cbc:对本地证书对应的私钥数据采用DES_CBC算法进行加密.
1-32pempasswordstring:指定对PEM编码格式的本地证书对应的私钥进行加密所采用的口令.
filenamefilename:指定保存证书的文件名,不区分大小写.
如果不指定本参数,则表示要将证书直接导出到终端上显示,这种方式仅PEM编码格式的证书才支持.
【使用指导】导出CA证书时,如果PKI域中只有一个CA证书则导出单个CA证书到用户指定的一个文件或终端,如果是一个CA证书链则导出整个CA证书链到用户指定的一个文件或终端.
导出本地证书时,设备上实际保存证书的证书文件名称并不一定是用户指定的名称,它与本地证书的密钥对用途相关,具体的命名规则如下(假设用户指定的文件名为filename):如果本地证书的密钥对用途为签名,则证书文件名称为filename-sign;如果本地证书的密钥对用途为加密,则证书文件名称为filename-encr;如果本地证书的密钥对用途为通用(RSA/ECDSA/DSA),则证书文件名称为用户输入的filename.
导出本地证书时,如果PKI域中有两个本地证书,则导出结果如下:若指定文件名,则将每个本地证书分别导出到一个单独的文件中;若不指定文件名,则将所有本地证书一次性全部导出到终端上,并由不同的提示信息进行分割显示.
导出所有证书时,如果PKI域中只有本地证书或者只有CA证书,则导出结果与单独导出相同.
如果PKI域中存在本地证书和CA证书,则具体导出结果如下:若指定文件名,则将每个本地证书分别导出到一个单独的文件,该本地证书对应的完整CA证书链也会同时导出到该文件中.
若不指定文件名,则将所有的本地证书及域中的CA证书或者CA证书链一次性全部导出到终端上,并由不同的提示信息进行分割显示.
需要注意的是:以PKCS12格式导出所有证书时,PKI域中必须有本地证书,否则会导出失败.
以PEM格式导出本地证书或者所有证书时,若不指定私钥的加密算法和私钥加密口令,则不会导出本地证书对应的私钥信息.
以PEM格式导出本地证书或者所有证书时,若指定私钥加密算法和私钥加密口令,且此时本地证书有匹配的私钥,则同时导出本地证书的私钥信息;如果此时本地证书没有匹配的私钥,则导出该本地证书失败.
导出本地证书时,若当前PKI域中的密钥对配置已被修改,导致本地证书的公钥与该密钥对的公钥部分不匹配,则导出该本地证书失败.
导出本地证书或者所有证书时,如果PKI域中有两个本地证书,则导出某种密钥用途的本地证书失败并不会影响导出另外一个本地证书.
指定的文件名中可以带完整路径,当系统中不存在用户所指定路径时,则会导出失败.
【举例】#导出PKI域中的CA证书到DER编码的文件,文件名称为cert-ca.
der.
system-view[Sysname]pkiexportdomaindomain1dercafilenamecert-ca.
der#导出PKI域中的本地证书到DER编码的文件,文件名称为cert-lo.
der.
system-view1-33[Sysname]pkiexportdomaindomain1derlocalfilenamecert-lo.
der#导出PKI域中的所有证书到DER编码的文件,文件名称为cert-all.
p7b.
system-view[Sysname]pkiexportdomaindomain1derallfilenamecert-all.
p7b#导出PKI域中的CA证书到PEM编码的文件,文件名称为cacert.
system-view[Sysname]pkiexportdomaindomain1pemcafilenamecacert#导出PKI域中的本地证书及其对应的私钥到PEM编码的文件,指定保护私钥信息的加密算法为DES_CBC、加密口令为111,文件名称为local.
pem.
system-view[Sysname]pkiexportdomaindomain1pemlocaldes-cbc111filenamelocal.
pem#导出PKI域中所有证书到PEM编码的文件,不指定加密算法和加密口令,不导出本地证书对应的私钥信息,文件名称为all.
pem.
system-view[Sysname]pkiexportdomaindomain1pemallfilenameall.
pem#以PEM格式导出PKI域中本地证书及其对应的私钥到终端,指定保护私钥信息的加密算法为DES_CBC、加密口令为111.
system-view[Sysname]pkiexportdomaindomain1pemlocaldes-cbc111%Thesignatureusagelocalcertificate:BagAttributesfriendlyName:localKeyID:990BC23B8BD1E433422B31C337C01DDF0D79091Dsubject=/C=CN/O=OpenCALabs/OU=Users/CN=chktestchktestissuer=/C=CN/O=OpenCALabs/OU=software/CN=abcd-----BEGINCERTIFICATE-----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-34tgD8c0b+n4v/F36sJjY1fRFSr4gPLIxZhPWhTrqsCd+QMELRCDNHDxvt3/1NEG12X6BVjLcKXKH/EQe0fnwK+7PegAJ15P56xDeACHz2oysvNQ0Ot6hGylMqaZ8pKUKvUDS8c+HgIBrhmxvXztI08N1imYHq27Wy9j6NpSS60mMFmI5whzCWfTSHzqlT2DNdno0id18SZidApfCZL8zoMWEFI163JZSarv+H5Kbb063dxXfbsqX9Noxggh0gD8dK7X7/rTJuuhTWVof5gxSUJp+aCCdvSKg0lvJY+tJeXoaznrINVw3SuXJ+Ax8GEw==-----ENDCERTIFICATE-----BagAttributesfriendlyName:localKeyID:990BC23B8BD1E433422B31C337C01DDF0D79091DKeyAttributes:-----BEGINENCRYPTEDPRIVATEKEY-----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-----ENDENCRYPTEDPRIVATEKEY-----#以PEM格式导出PKI域中所有证书到终端,指定保护本地证书对应私钥的加密算法为DES_CBC、加密口令为111.
system-view[Sysname]pkiexportdomaindomain1pemalldes-cbc111%Thesignatureusagelocalcertificate:BagAttributesfriendlyName:localKeyID:990BC23B8BD1E433422B31C337C01DDF0D79091Dsubject=/C=CN/O=OpenCALabs/OU=Users/CN=chktestchktestissuer=/C=CN/O=OpenCALabs/OU=software/CN=abcd-----BEGINCERTIFICATE-----MIIEqjCCA5KgAwIBAgILAOhID4rI04kBfYgwDQYJKoZIhvcNAQELBQAwRTELMAkGA1UEBhMCQ04xFDASBgNVBAoMC09wZW5DQSBMYWJzMREwDwYDVQQLDAhzb2Z0d2FyZTENMAsGA1UEAwwEYWJjZDAeFw0xMTA0MjYxMzMxMjlaFw0xMjA0MjUxMzMxMjlaME0xCzAJBgNVBAYTAkNOMRQwEgYDVQQKDAtPcGVuQ0EgTGFiczEOMAwGA1UECwwFVXNlcnMxGDAWBgNVBAMMD2Noa3Rlc3QgY2hrdGVzdDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA54rUZ0Ux2kApceE4ATpQ437CU6ovuHS5eJKZyky8fhMoTHhEjE2KfBQIzOZSgo2mdgpkccjr9Ek6IUC03ed1lPn0IG/YaAl4Tjgkiv+w1NrlSvAycnPaSUko2QbO9sg3ycye1zqpbbqj775ulGpcXyXYD9OY63/Cp5+DRQ92zGsCAwEAAaOCAhUwggIRMAkGA1UdEwQCMAAwUAYDVR0gBEkwRzAGBgQqAwMEMAYGBCoDAwUw1-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-----ENDCERTIFICATE-----BagAttributes:subject=/C=CN/O=OpenCALabs/OU=software/CN=abcdissuer=/C=CN/O=OpenCALabs/OU=software/CN=abcd-----BEGINCERTIFICATE-----MIIEYTCCA0mgAwIBAgIBFzANBgkqhkiG9w0BAQsFADBFMQswCQYDVQQGEwJDTjEUMBIGA1UECgwLT3BlbkNBIExhYnMxETAPBgNVBAsMCHNvZnR3YXJlMQ0wCwYDVQQDDARhYmNkMB4XDTExMDQxODExNDQ0N1oXDTEzMDQxNzExNDQ0N1owRTELMAkGA1UEBhMCQ04xFDASBgNVBAoMC09wZW5DQSBMYWJzMREwDwYDVQQLDAhzb2Z0d2FyZTENMAsGA1UEAwwEYWJjZDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAM1gvomMF8S4u6q51bOwjKFUBwxyvOy4D897LmOSedaCyDt6Lvp+PBEHfwWBYBpsHhk7kmnSNhX5dZ6NxunHaARZ2VlcctsYKyvAQapuaThy1tuOcphAB+jQQL9dPoqdk0xpjvmPDlW+k832Konn9U4dIivS0n+/KMGh0g5UyzHGqUUOo7s9qFuQf5EjQon40TZgBwUnFYRlvGe7bSQpXjwi8LTyxHPy+dDVjO5CP+rXx5IiToFy1YGWewkyn/WeswDfYx7ZludNus5vKWTihgx2Qalgb+sqUMwI/WUET7ghO2dRxPUdUbgIYF0saTndKPYd4oBgl6M0SMsHhe9nF5UCAwEAAaOCAVowggFWMA8GA1UdEwEB/wQFMAMBAf8wCwYDVR0PBAQDAgEGMB0GA1UdDgQWBBQzEQ58yIC54wxodp6JzZvn/gx0CDAfBgNVHSMEGDAWgBQzEQ58yIC54wxodp6JzZvn/gx0CDAZBgNVHREEEjAQgQ5wa2lAb3BlbmNhLm9yZzAZBgNVHRIEEjAQgQ5wa2lAb3BlbmNhLm9yZzCBgQYIKwYBBQUHAQEEdTBzMDIGCCsGAQUFBzAChiZodHRwOi8mdcGl0YW4vcGtpL3B1Yi9jYWNlcnQvY2FjZXJ0LmNydDAeBggrBgEFBQcwAYYSaHR0cDovL3RpdGFuOjI1NjAvMB0GCCsGAQUFBzAMhhFodHRwOi8mdcGl0YW46ODMwLzA8BgNVHR8ENTAzMDGgL6AthitodHRwOi8vMTkyLjE2OC40MC4xMjgvcGtpL3B1Yi9jcmwvY2FjcmwuY3JsMA0GCSqGSIb3DQEBCwUAA4IBAQC0q0SSmvQNfa5ELtRKYF62C/Y8QTLbk6lZDTZuIzN15SGKQcbNM970ffCDLk1zosyEVE7PLnii3bZ5khcGO3byyXfluAqRyOGVJcudaw7uIQqgv0AJQ+zaQSHid4kQf5QWgYkQ55/C5puOmcMRgCbMpR2lYkqXLDjTIAZIHRZ/sTp6c+ie2bFxi/YT3xYbO0wDMuGOKJJpsyKTKcbG9NdfbDyFgzEYAobyYqAUB3C0/bMfBduwhQWKSoYE6vZsPGAEisCmAl3dIp49jPgVkixoShraYF1jLsWzJGlzem8QvWYzOqKEDwq3SV0ZcXK8gzDBcsobcUMkwIYPAmd1kAPX-----ENDCERTIFICATE-----BagAttributesfriendlyName:1-36localKeyID:990BC23B8BD1E433422B31C337C01DDF0D79091DKeyAttributes:-----BEGINENCRYPTEDPRIVATEKEY-----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-----ENDENCRYPTEDPRIVATEKEY-----#以PEM格式导出PKI域中CA证书到终端.
system-view[Sysname]pkiexportdomaindomain1pemca-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----#导出PKI域中CA证书到PEM编码的文件,指定文件名称为cacert.
system-view[Sysname]pkiexportdomaindomain1pemcafilenamecacert#导出PKI域中CA证书(证书链)到终端.
system-view[Sysname]pkiexportdomaindomain1pemca-----BEGINCERTIFICATE-----MIIB7jCCAVcCEQCdSVShJFEMifVG8zRRoSsWMA0GCSqGSIb3DQEBBQUAMDcxCzAJBgNVBAYTAmNuMQwwCgYDVQQKEwNoM2MxDDAKBgNVBAsTA2gzYzEMMAoGA1UEAxMDYWNhMB4XDTExMDEwNjAyNTc0NFoXDTEzMTIwMTAzMTMyMFowODELMAkGA1UEBhMCY24xDDAKBgNVBAoTA2gzYzEMMAoGA1UECxMDaDNjMQ0wCwYDVQQDEwRhYWNhMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDcuJsWhAJXEDmowGb5z7VDVms54TKixnaNJCWvBOrU64ftvpVB7xQekbkjgAS9FjDyXlLQ8IyIsYIp5ebJr8P+n9i9Pl7j1-37lBx5mi4XeIldyv2OjfNx5oSQ+gWY9/m1R8uv13RS05r3rxPg+7EvKBjmiy0Giddwvu3Y3WrjBPp6GQIDAQABMA0GCSqGSIb3DQEBBQUAA4GBAJrQddzVQEiy4AcgtzULltkmlmWoz87+jUsgFB+H+xeyiZE4sancf2UwH8kXWqZ5AuReFCCBC2fkvvQvUGnVcso7JXAhfw8sUFok9eHz2R+GSoEk5BZFzZ8eCmNyGq9ln6mJsO1hAqMpsCW6G2zh5mus7FTHhywXpJ22/fnHg61m-----ENDCERTIFICATE----------BEGINCERTIFICATE-----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-----ENDCERTIFICATE----------BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----#导出PKI域中的本地证书及其对应的私钥到PKCS12编码的文件,指定保护私钥信息的加密口令为123,文件名称为cert-lo.
der.
system-view[Sysname]pkiexportdomaindomain1p12localpassphrase123filenamecert-lo.
der#导出PKI域中的所有证书到PKCS12编码的文件,指定文件名称为cert-all.
p7b.
system-view[Sysname]pkiexportdomaindomain1p12allpassphrase123filenamecert-all.
p7b【相关命令】pkidomain1.
1.
30pkiimportpkiimport命令用来将CA证书、本地证书或对端证书导入到指定的PKI域中保存.
1-38【命令】pkiimportdomaindomain-name{der{ca|local|peer}filenamefilename|p12localfilenamefilename|pem{ca|local|peer}[filenamefilename]}【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】domaindomain-name:保存证书的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
der:指定证书格式为DER编码(包括PKCS#7格式的证书).
p12:指定证书格式为PKCS#12编码.
pem:指定证书格式为PEM编码.
ca:表示CA证书.
local:表示本地证书.
peer:表示对端证书.
filenamefilename:要导入的证书所在的文件名,不区分大小写.
如果不指定本参数,则表示要通过直接在终端上粘贴证书内容的方式导入证书,这种方式仅PEM编码格式的证书才支持.
【使用指导】如果设备所处的环境中,没有证书的发布点,或者CA服务器不支持通过SCEP协议与设备交互,则可通过此命令将证书导入到设备.
另外,当证书对应的密钥对由CA服务器生成时,CA服务器会将证书和对应的密钥对打包成一个文件,使用这样的证书前也需要通过此命令将其导入到设备.
只有PKCS#12格式或PEM格式的证书文件中可能包含密钥对.
证书导入之前:需要通过FTP、TFTP等协议将证书文件传送到设备的存储介质中.
如果设备所处的环境不允许使用FTP、TFTP等协议,则可以直接在终端上粘贴证书的内容,但是粘贴的证书必须是PEM格式的,因为只有PEM编码的证书内容为可打印字符.
必须存在签发本地证书(或对端证书)的CA证书链才能成功导入本地证书(或对端证书),这里的CA证书链可以是保存在设备上的PKI域中的,也可以是本地证书(或对端证书)中携带的.
因此,若设备和本地证书(或对端证书)中都没有CA证书链,则需要首先执行导入CA证书的命令.
导入本地证书或对端证书时:如果用户要导入的本地证书(或对端证书)中含有CA证书链,则可以通过导入本地证书(或对端证书)的命令一次性将CA证书和本地证书(或对端证书)均导入到设备.
导入的过程中,如果发现签发此本地证书(或对端证书)的CA证书已经存在于设备上的任一PKI域中,则系统会提示用户是否将其进行覆盖.
如果要导入的本地证书(或对端证书)中不含有CA证书链,但签发此本地证书(或对端证书)的CA证书已经存在于设备上的任一PKI域中,则可以直接导入本地证书(或对端证书).
1-39导入CA证书时:若要导入的CA证书为根CA或者包含了完整的证书链(即含有根证书),则可以导入到设备.
若要导入的CA证书没有包含完整的证书链(即不含有根证书),但能够与设备上已有的CA证书拼接成完整的证书链,则也可以导入到设备;如果不能与设备上已有的CA证书拼接成完成的证书链,则不能导入到设备.
一些情况下,在证书导入的过程中,需要用户确认或输入相关信息:若要导入的证书文件中包含了根证书,且设备上目前还没有任何PKI域中有此根证书,且要导入的PKI域中没有配置root-certificatefingerprint,则在导入过程中还需要确认该根证书的指纹信息是否与用户的预期一致.
用户需要通过联系CA服务器管理员来获取预期的根证书指纹信息.
当导入含有密钥对的本地证书时,需要输入口令.
用户需要联系CA服务器管理员取得口令的内容.
导入含有密钥对的本地证书时,系统首先会根据查找到的PKI域中已有的密钥对配置来保存该密钥对.
若PKI域中已保存了对应的密钥对,则设备会提示用户选择是否覆盖已有的密钥对.
若PKI域中没有任何密钥对的配置,则根据密钥对的算法及证书的密钥用途,生成相应的密钥对配置.
密钥对的具体保存规则如下:如果本地证书携带的密钥对的用途为通用,则依次查找指定PKI域中通用用途、签名用途、加密用途的密钥对配置,并以找到配置中的密钥对名称保存该密钥对;若以上用途的密钥对配置均不存在,则提示用户输入密钥对名称(缺省的密钥对名称为PKI域的名称),并生成相应的密钥对配置.
如果本地证书携带的密钥对的用途为签名,则依次查找指定PKI域中通用用途、签名用途的密钥对配置,并以找到配置中的密钥对名称保存该密钥对;若以上两种用途的密钥对配置均不存在,则提示用户输入密钥对名称(缺省的密钥对名称为PKI域的名称),并生成相应的密钥对配置.
如果本地证书携带的密钥对的用途为加密,则查找指定PKI域中加密用途的密钥对配置,并以该配置中的密钥对名称保存密钥对;若加密用途密钥对的配置不存在,则提示用户输入密钥对名称(缺省的密钥对名称为PKI域的名称),并生成相应的密钥对配置.
由于以上过程中系统会自动更新或生成密钥对配置,因此建议用户在进行此类导入操作后,保存配置文件.
【举例】#向PKI域aaa中导入CA证书,证书文件格式为PEM编码,证书文件名称为rootca_pem.
cer,证书文件中包含根证书.
system-view[Sysname]pkiimportdomainaaapemcafilenamerootca_pem.
cerThetrustedCA'sfingerprintis:MD5fingerprint:FFFF3EFFFFFF37FFFFFF137BFFFF7535SHA1fingerprint:FFFFFF7FFF2BFFFF7618FF4CFFFF0A7DFFFFFF69Isthefingerprintcorrect(Y/N):y[Sysname]#向PKI域bbb中导入CA证书,证书文件格式为PEM编码,证书文件名称为aca_pem.
cer,证书文件中不包含根证书.
system-view1-40[Sysname]pkiimportdomainbbbpemcafilenameaca_pem.
cer[Sysname]#向PKI域bbb中导入本地证书,证书文件格式为PKCS#12编码,证书文件名称为local-ca.
p12,证书文件中包含了密钥对.
system-view[Sysname]pkiimportdomainbbbp12localfilenamelocal-ca.
p12Pleaseinputchallengepassword:******[Sysname]#向PKI域bbb中通过粘贴证书内容的方式导入PEM编码的本地证书.
证书中含有密钥对和CA证书链.
system-view[Sysname]pkiimportdomainbbbpemlocalEnterPEM-formattedcertificate.
EndwithaCtrl+conalinebyitself.
BagAttributeslocalKeyID:01000000friendlyName:{F7619D96-3AC2-40D4-B6F3-4EAB73DEED73}MicrosoftCSPName:MicrosoftEnhancedCryptographicProviderv1.
0KeyAttributesX509v3KeyUsage:10-----BEGINRSAPRIVATEKEY-----Proc-Type:4,ENCRYPTEDDEK-Info:DES-EDE3-CBC,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-----ENDRSAPRIVATEKEY-----BagAttributeslocalKeyID:01000000subject=/CN=sldsslserverissuer=/C=cn/O=ccc/OU=sec/CN=ssl-----BEGINCERTIFICATE-----MIICjzCCAfigAwIBAgIRAJoDN+shVrofVHbk11SlqfcwDQYJKoZIhvcNAQEFBQAwNzELMAkGA1UEBhMCY24xDDAKBgNVBAoTA2gzYzEMMAoGA1UECxMDc2VjMQwwCgYDVQQDEwNzc2wwHhcNMTAxMDE1MDEyMzA2WhcNMTIwNzI2MDYzMDU0WjAXMRUwEwYDVQQDEwxzbGRzc2xzZXJ2ZXIwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMLP1-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-----ENDCERTIFICATE-----BagAttributes:subject=/C=cn/O=ccc/OU=sec/CN=sslissuer=/C=cn/O=ccc/OU=sec/CN=ssl-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----Pleaseinputthepassword:Localcertificatealreadyexist,confirmtooverwriteit[Y/N]:yThePKIdomainalreadyhasaCAcertificate.
Ifitisoverwritten,localcertificates,peercertificatesandCRLofthisdomainwillalsobedeleted.
Overwriteit[Y/N]:yThesystemisgoingtosavethekeypair.
Youmustspecifyakeypairname,whichisacase-insensitivestringof1to64characters.
Validcharactersincludeatoz,AtoZ,0to9,andhyphens(-).
Pleaseenterthekeypairname[defaultname:bbb]:Thekeypairalreadyexists.
Pleaseenterthekeypairname:import-key【相关命令】displaypkicertificatepublic-keydsapublic-keyecdsapublic-keyrsa1-421.
1.
31pkirequest-certificatepkirequest-certificate命令用来手工申请本地证书或生成PKCS#10证书申请.
【命令】pkirequest-certificatedomaindomain-name[passwordpassword][pkcs10[filenamefilename]]【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】domaindomain-name:指定证书申请所属的PKI域名,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
passwordpassword:在证书撤销时需要提供的口令,为1~31个字符的字符串,区分大小写.
该口令包含在提交给CA的证书申请中,在吊销该证书时,需要提供该口令.
pkcs10:在终端上显示出BASE64格式的PKCS#10证书申请信息,该信息可用于带外方式(如电话、磁盘、电子邮件等)的证书请求.
filenamefilename:将PKCS#10格式的证书申请信息保存到本地的文件中.
其中,filename表示保存证书申请信息的文件名,不区分大小写.
【使用指导】当SCEP协议不能正常通信时,可以通过执行指定参数pkcs10的本命令打印出本地的证书申请信息(BASE64格式),或者通过执行指定pkcs10filenamefilename参数的本命令将证书申请信息直接保存到本地的指定文件中,然后通过带外方式将这些本地证书申请信息发送给CA进行证书申请.
指定的文件名中可以带完整路径,当系统中不存在用户所指定路径时,则会保存失败.
此命令不会被保存在配置文件中.
【举例】#在终端上显示PKCS#10格式的证书申请信息.
system-view[Sysname]pkirequest-certificatedomainaaapkcs10***Requestforgeneralcertificate***-----BEGINNEWCERTIFICATEREQUEST-----MIIBTDCBtgIBADANMQswCQYDVQQDEwJqajCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAw5Drj8ofs9THA4ezkDcQPBy8pvH1kumampPsJmx8sGG52NFtbrDTnTT5ALx3LJijB3d/ndKpcHT/DfbJVDCn5gdw32tBZyCkEwMHZN3ol2z7Nmdcu5TED6iN84m+hfp1QWoV6lty3o9pxAXuQl8peUDcfN6WV3LBXYyl1WCtkLkECAwEAAaAAMA0GCSqGSIb3DQEBBAUAA4GBAA8E7BaIdmT6NVCZgv/I/1tqZH3TS4e4H9Qo5NiCKiEwR8owVmA0XVtGMbyqBNcDTG0f5NbHrXZQT5+MbFJOnm5K/mn1ro5TJKMTKV46PlCZJUjsugaY02GBY0BVcylpC9iIXLuXNIqjh1MBIqVsa1lQOHS7YMvnop6hXAQlkM4c-----ENDNEWCERTIFICATEREQUEST-----1-43#手工申请本地证书.
[Sysname]pkirequest-certificatedomainopencaStarttorequestthegeneralcertificate.
.
.
……Certificaterequestedsuccessfully.
【相关命令】displaypkicertificate1.
1.
32pkiretrieve-certificatepkiretrieve-certificate命令用来从证书发布服务器上在线获取证书并下载至本地.
【命令】pkiretrieve-certificatedomaindomain-name{ca|local|peerentity-name}【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】domaindomain-name:指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
ca:表示获取CA证书.
local:表示获取本地证书.
peerentity-name:表示获取对端的证书.
其中entity-name为对端的实体名,为1~31个字符的字符串,不区分大小写.
【使用指导】获取CA证书是通过SCEP协议进行的.
获取CA证书时,如果本地已有CA证书存在,则该操作将不被允许.
这种情况下,若要重新获取CA证书,请先使用pkidelete-certificate命令删除已有的CA证书与对应的本地证书后,再执行此命令.
获取本地证书和对端证书是通过LDAP协议进行的.
获取本地证书或对端证书时,如果本地已有本地证书或对端证书,则该操作是被允许进行的.
最终,属于一个PKI实体的同一种公钥算法的本地证书只能存在一个,后者直接覆盖已有的,但对于RSA算法的证书而言,可以存在一个签名用途的证书和一个加密用途的证书.
所有获取到的CA证书、本地证书或对端证书只有通过验证之后才会被保存到本地证书库中.
需要注意的是,此命令不会被保存在配置文件中.
【举例】#从证书发布服务器上获取CA证书.
(需要用户确认CA根证书的指纹)system-view[Sysname]pkiretrieve-certificatedomainaaacaThetrustedCA'sfingerprintis:1-44MD5fingerprint:5C41E657A0D6ECB46BD618237473AABCSHA1fingerprint:1616E7A5D89A2A9994191C12D696822887BCC266Isthefingerprintcorrect(Y/N):yRetrievedthecertificatessuccessfully.
#从证书发布服务器上获取本地证书.
system-view[Sysname]pkiretrieve-certificatedomainaaalocalRetrievedthecertificatessuccessfully.
#从证书发布服务器上获取对端证书.
system-view[Sysname]pkiretrieve-certificatedomainaaapeeren1Retrievedthecertificatessuccessfully.
【相关命令】displaypkicertificatepkidelete-certificate1.
1.
33pkiretrieve-crlpkiretrieve-crl命令用来获取CRL并下载至本地.
【命令】pkiretrieve-crldomaindomain-name【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】domain-name:指定CRL所属的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"和"'".
【使用指导】获取CRL的目的是为了验证PKI域中的本地证书和对端证书的合法性.
若要成功获取CRL,PKI域中必须存在CA证书.
设备支持通过HTTP、LDAP或SCEP协议从CRL发布点上获取CRL,具体采用那种协议,由PKI域中CRL发布点的配置决定:若配置的CRL发布点URL格式为HTTP格式,则通过HTTP协议获取CRL.
若配置的CRL发布点URL格式为LDAP格式,则通过LDAP协议获取CRL.
若配置的CRL发布点URL(通过命令crlurl)中缺少主机名,例如ldap:///CN=8088,OU=test,U=rd,C=cn,则还需要在PKI域中配置LDAP服务器的URL(通过命令ldapserver).
此时,设备会将配置的LDAP服务器URL和配置的CRL发布点URL中的不完整的LDAP发布点拼装成完整的LDAP发布点,再通过LDAP协议获取CRL.
1-45若PKI域中没有配置CRL发布点,则设备会依次从本地证书、CA证书中查找CRL的发布点,如果从中查找到了CRL发布点,则通过该发布点获取CRL;否则,通过SCEP协议获取CRL.
【举例】#从CRL发布点上获取CRL.
system-view[Sysname]pkiretrieve-crldomainaaaRetrieveCRLofthedomainaaasuccessfully.
【相关命令】crlurlldapserver1.
1.
34pkistoragepkistorage命令用来配置证书和CRL的存储路径.
undopkistorage命令用来恢复缺省情况.
【命令】pkistorage{certificates|crls}dir-pathundopkistorage{certificates|crls}【缺省情况】证书和CRL的存储路径为设备存储介质上的PKI目录.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】certificates:指定证书的存储目录.
crls:指定CRL的存储目录.
dir-path:存储目录的路径名称,区分大小写,不能以'/'开头,不能包含".
.
/".
dir-path可以是绝对路径也可以是相对路径,但必须已经存在.
【使用指导】dir-path只能是当前主控板上的路径,不能是其它主控板上的路径.
设备缺省的PKI目录在设备首次成功申请、获取或导入证书时自动创建.
如果需要指定的目录还不存在,需要先使用mkdir命令创建这个目录,再使用此命令配存储路径.
若修改了证书或CRL的存储目录,则原存储路径下的证书文件(以.
cer和.
p12为后缀的文件)和CRL文件(以.
crl为后缀的文件)将被移动到该路径下保存,且原存储路径下的其它文件不受影响.
【举例】#设置证书的存储路径为flash:/pki-new.
1-46system-view[Sysname]pkistoragecertificatesflash:/pki-new#设置CRL存储路径为pki-new.
system-view[Sysname]pkistoragecrlspki-new1.
1.
35pkivalidate-certificatepkivalidate-certificate命令用来验证证书的有效性.
【命令】pkivalidate-certificatedomaindomain-name{ca|local}【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】domaindomain-name:指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
ca:表示验证CA证书.
local:表示验证本地证书.
【使用指导】证书验证的内容包括:证书是否由用户信任的CA签发;证书是否仍在有效期内;如果使能了CRL检查功能,还会验证证书是否被吊销.
如果验证证书的时候,PKI域中没有CRL,则会先从本地证书库中查找是否存在CRL,如果找到CRL,则把证书库中保存的CRL加载到该PKI域中,否则,就从CA服务器上获取并保存到本地.
导入证书、申请证书、获取证书以及应用程序使用PKI功能时,都会自动对证书进行验证,因此一般不需要使用此命令进行额外的验证.
如果用户希望在没有任何前述操作的情况下单独执行证书的验证,可以使用此命令.
验证CA证书时,会对从当前CA到根CA的整条CA证书链进行CRL检查.
【举例】#验证PKI域aaa中的CA证书的有效性.
system-view[Sysname]pkivalidate-certificatedomainaaacaVerifyingcertificate.
.
.
.
.
.
SerialNumber:f6:3c:15:31:fe:bb:ec:94:dc:3d:b9:3a:d9:07:70:e5Issuer:C=cnO=cccOU=ppp1-47CN=rootcaSubject:C=cnO=abcOU=testCN=acaVerifyresult:OKVerifyingcertificate.
.
.
.
.
.
SerialNumber:5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6Issuer:C=cnO=cccOU=pppCN=rootcaSubject:C=cnO=cccOU=pppCN=rootcaVerifyresult:OK#验证PKI域aaa中的本地证书的有效性.
system-view[Sysname]pkivalidate-certificatedomainaaalocalVerifyingcertificate.
.
.
.
.
.
SerialNumber:bc:05:70:1f:0e:da:0d:10:16:1eIssuer:C=CNO=secOU=softwareCN=bcaSubject:O=OpenCALabsOU=UsersCN=fipsfips-secVerifyresult:OK【相关命令】crlcheckpkidomain1.
1.
36public-keydsapublic-keydsa命令用来指定证书申请使用的DSA密钥对.
1-48undopublic-key命令用来取消指定的密钥对.
【命令】public-keydsanamekey-name[lengthkey-length]undopublic-key【缺省情况】未指定任何密钥对.
【视图】PKI域视图【缺省用户角色】network-adminmdc-admin【参数】namekey-name:密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符"-".
lengthkey-length:密钥的长度.
非FIPS模式下,key-length的取值范围为512~2048,单位为比特,缺省值为1024;FIPS模式下,key-length的取值为2048,单位为比特,缺省值为2048.
密钥越长,密钥安全性越高,但相关的公钥运算越耗时.
【使用指导】本命令中引用的密钥对并不要求已经存在,可以通过以下任意一种途径获得:通过执行public-keylocalcreate命令生成.
通过应用程序认证过程触发生成.
例如IKE协商过程中,如果使用数字签名认证方式,则可能会触发生成密钥对.
通过导入证书(使用pkiimport命令)的方式从外界获得.
一个PKI域中只能同时存在一种算法(RSA、DSA或ECDSA)的密钥对.
对于RSA密钥对来说,一个PKI域中只允许单独存在一种用途的RSA密钥对,或同时存在一个用于签名的和一个用于加密的RSA密钥对.
因此,在一个PKI域中,除RSA签名密钥对和RSA加密密钥对的配置不会互相覆盖之外,其它类型的新的密钥对配置均会覆盖已有的密钥对配置.
本命令中指定的密钥长度仅对将要由设备生成的密钥对有效.
如果执行本命令时,设备上已经存在指定名称的密钥对,则后续通过此命令指定的该密钥对的密钥长度没有意义.
如果指定名称的密钥对是通过导入证书的方式获得,则通过本命令指定的密钥长度也没有意义.
【举例】#指定证书申请所使用的DSA密钥对为abc,密钥的长度为2048比特.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]public-keydsanameabclength2048【相关命令】pkiimportpublic-keylocalcreate(安全命令参考/公钥管理)1-491.
1.
37public-keyecdsapublic-keyecdsa命令用来指定证书申请使用的ECDSA密钥对.
undopublic-key命令用来取消指定的密钥对.
【命令】public-keyecdsanamekey-nameundopublic-key【缺省情况】未指定任何密钥对.
【视图】PKI域视图【缺省用户角色】network-adminmdc-admin【参数】namekey-name:密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符"-".
【使用指导】本命令中引用的密钥对并不要求已经存在,可以通过以下任意一种途径获得:通过执行public-keylocalcreate命令生成.
通过应用程序认证过程触发生成.
例如IKE协商过程中,如果使用数字签名认证方式,则可能会触发生成密钥对.
通过导入证书(使用pkiimport命令)的方式从外界获得.
一个PKI域中只能同时存在一种算法(RSA、DSA或ECDSA)的密钥对.
对于RSA密钥对来说,一个PKI域中只允许单独存在一种用途的RSA密钥对,或同时存在一个用于签名的和一个用于加密的RSA密钥对.
因此,在一个PKI域中,除RSA签名密钥对和RSA加密密钥对的配置不会互相覆盖之外,其它类型的新的密钥对配置均会覆盖已有的密钥对配置.
本命令中指定的密钥长度仅对将要由设备生成的密钥对有效.
如果执行本命令时,设备上已经存在指定名称的密钥对,则后续通过此命令指定的该密钥对的密钥长度没有意义.
如果指定名称的密钥对是通过导入证书的方式获得,则通过本命令指定的密钥长度也没有意义.
【举例】#指定证书申请所使用的ECDSA密钥对为abc.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]public-keyecdsanameabc【相关命令】pkiimportpublic-keylocalcreate(安全命令参考/公钥管理)1-501.
1.
38public-keyrsapublic-keyrsa命令用来指定证书申请使用的RSA密钥对.
undopublic-key命令用来取消指定的密钥对.
【命令】public-keyrsa{{encryptionnameencryption-key-name[lengthkey-length]|signaturenamesignature-key-name[lengthkey-length]}*|generalnamekey-name[lengthkey-length]}undopublic-key【缺省情况】未指定任何密钥对.
【视图】PKI域视图【缺省用户角色】network-adminmdc-admin【参数】encryption:指定密钥对的用途为加密.
nameencryption-key-name:加密密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符"-".
signature:指定密钥对的用途为签名.
namesignature-key-name:签名密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符"-".
general:指定密钥对的用途为通用,既可以用于签名也可以用于加密.
namekey-name:通用密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符"-".
lengthkey-length:密钥的长度.
非FIPS模式下,key-length的取值范围为512~2048,单位为比特,缺省为1024;FIPS模式下,key-length的取值为2048,单位为比特,缺省为2048.
密钥越长,密钥安全性越高,但相关的公钥运算越耗时.
【使用指导】本命令中引用的密钥对并不要求已经存在,可以通过以下任意一种途径获得:通过执行public-keylocalcreate命令生成.
通过应用程序认证过程触发生成.
例如IKE协商过程中,如果使用数字签名认证方式,则可能会触发生成密钥对.
通过导入证书(使用pkiimport命令)的方式从外界获得.
一个PKI域中只能同时存在一种算法(RSA、DSA或ECDSA)的密钥对.
对于RSA密钥对来说,一个PKI域中只允许单独存在一种用途的RSA密钥对,或同时存在一个用于签名的和一个用于加密的RSA密钥对.
因此,在一个PKI域中,除RSA签名密钥对和RSA加密密钥对的配置不会互相覆盖之外,其它类型的新的密钥对配置均会覆盖已有的密钥对配置.
1-51分别指定RSA签名密钥对和RSA加密密钥对时,它们的密钥长度可以不相同.
本命令中指定的密钥长度仅对将要由设备生成的密钥对有效.
如果执行本命令时,设备上已经存在指定名称的密钥对,则后续通过此命令指定的该密钥对的密钥长度没有意义.
如果指定名称的密钥对是通过导入证书的方式获得,则通过本命令指定的密钥长度也没有意义.
【举例】#指定证书申请所使用的RSA密钥对为abc,密钥用途为通用,密钥的长度为2048比特.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]public-keyrsageneralnameabclength2048#指定证书申请所使用的加密RSA密钥对为rsa1(密钥的长度为2048比特),签名RSA密钥对为sig1(密钥的长度为2048比特).
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]public-keyrsaencryptionnamersa1length2048[Sysname-pki-domain-aaa]public-keyrsasignaturenamesig1length2048【相关命令】pkiimportpublic-keylocalcreate(安全命令参考/公钥管理)1.
1.
39root-certificatefingerprintroot-certificatefingerprint命令用来配置验证CA根证书时所使用的指纹.
undoroot-certificatefingerprint命令用来取消配置的根证书指纹.
【命令】非FIPS模式下:root-certificatefingerprint{md5|sha1}stringundoroot-certificatefingerprintFIPS模式下:root-certificatefingerprintsha1stringundoroot-certificatefingerprint【缺省情况】未指定验证CA根证书时使用的指纹.
【视图】PKI域视图【缺省用户角色】network-adminmdc-admin【参数】md5:使用MD5指纹.
1-52sha1:使用SHA1指纹.
string:指定所使用的指纹信息.
当选择MD5指纹时,string必须为32个字符的字符串,并且以16进制的形式输入;当选择SHA1指纹时,string必须为40个字符的字符串,并且以16进制的形式输入.
【使用指导】当本地证书申请模式为自动方式且PKI域中没有CA证书时,必须通过本命令配置验证CA证书时所使用的指纹.
当IKE协商等应用触发设备进行本地证书申请时,设备会自动从CA服务器上获取CA证书,如果获取的CA证书中包含了本地不存在的CA根证书,则设备会验证该CA根证书的指纹.
此时,如果设备上没有配置CA根证书指纹或者配置了错误的CA根证书指纹,则本地证书申请失败.
通过pkiimport命令导入CA证书或者通过pkiretrieval命令获取CA证书时,可以选择是否配置验证CA根证书使用的指纹:如果PKI域中配置了验证CA根证书使用的指纹,则当导入的CA证书文件或者获取的CA证书中包含本地不存在的CA根证书时,直接使用配置的CA根证书指纹进行验证.
如果配置了错误的CA根证书指纹,则CA证书导入和CA证书获取均会失败;否则,需要用户来确认该CA证书的CA根证书指纹是否可信.
【举例】#配置验证CA根证书时使用的MD5指纹.
(仅非FIPS模式下支持)system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]root-certificatefingerprintmd512EF53FA355CD23E12EF53FA355CD23E#配置验证CA根证书时使用的SHA1指纹.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]root-certificatefingerprintsha1D1526110AAD7527FB093ED7FC037B0B3CDDDAD93【相关命令】certificaterequestmodepkiimportpkiretrieve-certificate1.
1.
40rulerule命令用来配置证书属性的访问控制规则.
undorule命令用来删除指定的证书属性访问控制规则.
【命令】rule[id]{deny|permit}group-nameundoruleid【缺省情况】不存在证书属性的访问控制规则.
1-53【视图】证书访问控制策略视图【缺省用户角色】network-adminmdc-admin【参数】id:证书属性访问控制规则编号,取值范围为1~16,缺省值为当前还未被使用的且合法的最小编号,取值越小优先级越高.
deny:当证书的属性与所关联的属性组匹配时,认为该证书无效,未通过访问控制策略的检测.
permit:当证书的属性与所关联的属性组匹配时,认为该证书有效,通过了访问控制策略的检测.
group-name:规则所关联的证书属性组名称,为1~31个字符的字符串,不区分大小写.
【使用指导】配置证书属性访问控制规则时,可以关联一个当前并不存在的证书属性组,后续可以通过命令pkicertificateattribute-group完成相应的配置.
若规则所关联的证书属性组中没有定义任何属性规则(通过命令attribute配置),或关联的证书属性组不存在,则认为被检测的证书属性与该属性组匹配.
如果一个访问控制策略中有多个规则,则按照规则编号从小到大的顺序遍历所有规则,一旦证书与某一个规则匹配,则立即结束检测,不再继续匹配其它规则;若遍历完所有规则后,证书没有与任何规则匹配,则认为该证书不能通过访问控制策略的检测.
【举例】#配置一个访问控制规则,要求当证书与证书属性组mygroup匹配时,认为该证书有效,通过了访问控制策略的检测.
system-view[Sysname]pkicertificateaccess-control-policymypolicy[Sysname-pki-cert-acp-mypolicy]rule1permitmygroup【相关命令】attributedisplaypkicertificateaccess-control-policypkicertificateattribute-group1.
1.
41sourcesource命令用来指定PKI操作产生的协议报文使用的源IP地址.
undosource命令用来取消指定的源IP地址.
【命令】source{ip|ipv6}{ip-address|interfaceinterface-typeinterface-number}undosource1-54【缺省情况】PKI操作产生的协议报文的源IP地址为系统根据路由表项查找到的出接口的地址.
【视图】PKI域视图【缺省用户角色】network-adminmdc-admin【参数】ipip-address:指定源IPv4地址.
ipv6ip-address:指定源IPv6地址.
interfaceinterface-typeinterface-number:指定该接口的主IPv4地址或接口上最小的IPv6地址为源IP地址.
interface-typeinterface-number表示接口类型和接口编号.
【使用指导】如果希望PKI操作产生的协议报文的源IP地址是一个特定的地址,则需要配置此命令,例如CA服务器上的策略要求仅接受来自指定地址或网段的证书申请.
如果该IP地址是动态获取的,则可以指定一个接口,使用该接口上的IP地址作为源地址.
此处指定的源IP地址,必须与CA服务器之间路由可达.
一个PKI域中只能存在一个源IP地址,后配置的生效.
【举例】#指定PKI操作产生的协议报文的源IP地址为111.
1.
1.
8.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]sourceip111.
1.
1.
8#指定PKI操作产生的协议报文的源IPv6地址为1::8.
system-view[Sysname]pkidomain1[Sysname-pki-domain-1]sourceipv61::8#指定PKI操作产生的协议报文的源IP地址为接口GigabitEthernet2/0/1的IP地址.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]sourceipinterfacegigabitethernet2/0/1#指定PKI操作产生的协议报文的源IPv6地址为接口GigabitEthernet2/0/1的IPv6地址.
system-view[Sysname]pkidomain1[Sysname-pki-domain-1]sourceipv6interfacegigabitethernet2/0/11.
1.
42statestate命令用来配置PKI实体所属的州或省的名称.
undostate命令用来删除配置的PKI所属的州或省的名称.
1-55【命令】statestate-nameundostate【缺省情况】未配置PKI实体所属的州或省的名称.
【视图】PKI实体视图【缺省用户角色】network-adminmdc-admin【参数】state-name:PKI实体所属的州或省的名称,为1~63个字符的字符串,区分大小写,不能包含逗号.
【举例】#配置PKI实体en所在省为countryA.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]statecountryA1.
1.
43usageusage命令用来指定证书的扩展用途.
undousage命令用来删除指定证书的扩展用途.
【命令】usage{ike|ssl-client|ssl-server}*undousage[ike|ssl-client|ssl-server]*【缺省情况】未指定证书的扩展用途,表示可用于所有用途.
【视图】PKI域视图【缺省用户角色】network-adminmdc-admin【参数】ike:指定证书扩展用途为IKE,即IKE对等体使用的证书.
ssl-client:指定证书扩展用途为SSL客户端,即SSL客户端使用的证书.
ssl-server:指定证书扩展用途为SSL服务器端,即SSL服务器端使用的证书.
1-56【使用指导】若不指定任何参数,则undousage命令表示删除所有指定的证书扩展用途,证书的用途由证书的使用者决定,PKI不做任何限定.
证书中携带的扩展用途与CA服务器的策略相关,申请到的证书中的扩展用途可能与此处指定的不完全一致,最终请以CA服务器的实际情况为准.
【举例】#指定证书扩展用途为IKE.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]usageike
RAKsmart怎么样?RAKsmart机房即日起开始针对洛杉矶机房的独立服务器进行特别促销活动:低至$76.77/月,最低100Mbps带宽,最高10Gbps带宽,优化线路,不限制流量,具体包括有:常规服务器、站群服务器、10G大带宽服务器、整机机柜托管。活动截止6月30日结束。RAKsmart,美国华人老牌机房,专注于圣何塞服务器,有VPS、独立服务器等。支持PayPal、支付宝付款。点击直达...
iON Cloud怎么样?iON Cloud今天发布了7月份优惠,使用优惠码:VC4VF8RHFL,新购指定型号VPS半年付或以上可享八五折!iON的云服务器包括美国洛杉矶、美国圣何塞(包含了优化线路、CN2 GIA线路)、新加坡(CN2 GIA线路、PCCW线路、移动CMI线路)这几个机房或者线路可供选择,有Linux和Windows系统之分,整体来说针对中国的优化是非常明显的,机器稳定可靠,比...
搬瓦工怎么样?2021年7月最新vps套餐推荐及搬瓦工优惠码整理,搬瓦工优惠码可以在购买的时候获取一些优惠,一般来说力度都在 6% 左右。本文整理一下 2021 年 7 月最新的搬瓦工优惠码,目前折扣力度最大是 6.58%,并且是循环折扣,续费有效,可以一直享受优惠价格续费的。搬瓦工优惠码基本上可能每年才会更新一次,大家可以收藏本文,会保持搬瓦工最新优惠码更新的。点击进入:搬瓦工最新官方网站搬瓦工...
6kkbb.com为你推荐
vc组合维生素C和维生素E混合胶囊有用吗,还是分开的好?摩根币摩根币是什么意思?微信回应封杀钉钉微信违规操作被封了,access数据库ACCESS数据库和SQL有什么区别?老虎数码1200万相素的数码相机都有哪些款?大概价钱是多少?陈嘉垣马德钟狼吻案事件是怎么回事同一ip网站如何用不同的IP同时登陆一个网站百度关键词分析关键词怎么分析?99nets.com制作网络虚拟证件的网站 那里有呀?66smsm.com【回家的欲望(回家的诱惑)大结局】 回家的诱惑全集66 67 68 69 70集QOVD快播观看地址??
工信部域名备案系统 踢楼 cpanel主机 牛人与腾讯客服对话 嘉洲服务器 vip购优汇 ntfs格式分区 福建铁通 卡巴斯基免费试用 hktv 香港亚马逊 空间购买 监控服务器 空间服务器 腾讯数据库 香港博客 blaze 9929 瓦工工资 阿里云主机 更多