09-PKI命令
本章节下载: 09-PKI命令 (225.19 KB)
1.1.3 certificate request entity
1.1.4 certificate request from
1.1.5 certificate request mode
1.1.6 certificate request polling
1.1.13 display pki certificate
1.1.14 display pki certificate access-control-policy
1.1.15 display pki certificate attribute-group
1.1.24 pki certificate access-control-policy
1.1.25 pki certificate attribute-group
1.1.30 pki import-certificate local
1.1.31 pki request-certificate domain
1.1.32 pki retrieval-certificate
1.1.33 pki retrieval-crl domain
1.1.34 pki validate-certificate
1.1.35 root-certificate fingerprint
1.1.36 rule (PKI Cert access control policy view)
2:系统级
id:证书属性规则序号,取值范围为1~16。
alt-subject-name:表示证书备用主题名。
fqdn:指定实体的FQDN。
ip:指定实体的IP地址。
issuer-name:表示证书颁发者名。
subject-name:表示证书主题名。
dn:指定实体的DN。
ctn:表示包含操作。
equ:表示相等操作。
nctn:表示不包含操作。
nequ:表示不等操作。
attribute-value:表示证书属性值,为1~128个字符的字符串,不区分大小写。
all:表示所有证书属性规则。
attribute命令用来配置证书颁发者名、证书主题名以及备用主题名的属性规则。undo attribute命令用来删除一个或者所有证书的属性规则。
缺省情况下,对证书的颁发者名、主题名以及备用主题名没有限制。
需要注意的是,证书备用主题名属性不会以域名的方式出现,所以在证书备用主题名属性的规则配置中没有出现dn。
# 创建一个证书属性规则。该规则定义,主题名的DN包含字符串abc。
[Sysname] pki certificate attribute-group mygroup
[Sysname-pki-cert-attribute-group-mygroup] attribute 1 subject-name dn ctn abc
# 创建一个证书属性规则。该规则定义,颁发者名称中的FQDN不等于字符串abc。
[Sysname-pki-cert-attribute-group-mygroup] attribute 2 issuer-name fqdn nequ abc
# 创建一个证书属性规则。该规则定义,主题备用名称中的IP地址不等于10.0.0.1。
[Sysname-pki-cert-attribute-group-mygroup] attribute 3 alt-subject-name ip nequ 10.0.0.1
PKI域视图
2:系统级
name:设备信任的CA的名称,为1~63个字符的字符串,区分大小写。
ca identifier命令用来指定设备信任的CA的名称。undo ca identifier命令用来删除设备信任的CA。
# 指定设备信任的CA的名称为new-ca。
[Sysname] pki domain 1
[Sysname-pki-domain-1] ca identifier new-ca
certificate request entity entity-name
undo certificate request entity
PKI域视图
2:系统级
entity-name:申请证书的实体所用名称,为1~15个字符的字符串,不区分大小写。
certificate request entity命令用来指定申请证书的实体名称。undo certificate request entity命令用来取消申请证书所用的实体名称。
# 指定设备申请证书时使用实体entity1。
[Sysname] pki domain 1
[Sysname-pki-domain-1] certificate request entity entity1
certificate request from { ca | ra }
PKI域视图
2:系统级
ca:表示实体从CA注册申请证书。
ra:表示实体从RA注册申请证书。
certificate request from命令用来为实体配置证书申请的注册受理机构。undo certificate request from命令用来取消指定的证书申请注册受理机构。
# 指定实体从CA注册申请证书。
[Sysname] pki domain 1
[Sysname-pki-domain-1] certificate request from ca
PKI域视图
2:系统级
auto:表示用自动方式申请证书。
key-length:指定RSA密钥长度,取值范围为512~2048,单位为bit,缺省值为1024bit。
cipher:表示以密文方式设置吊销证书时使用的密码。
simple:表示以明文方式设置吊销证书时使用的密码。
password:设置的明文密码或密文密码,区分大小写。明文密钥为1~31个字符的字符串;密文密钥为1~73个字符的字符串。
manual:表示用手工方式申请证书。
certificate request mode命令用来配置证书申请方式。undo certificate request mode命令用来恢复缺省情况。
如果是自动方式,则在本地没有自己的证书时自动向注册机构进行申请,但不会在证书快要过期时以及证书过期之后自动申请新的证书。如果为手工方式,则需要手工完成各项证书申请工作。
以明文或密文方式设置的密码,均以密文的方式保存在配置文件中。
相关配置可参考命令pki request-certificate。
# 指定证书申请为自动方式。
[Sysname] pki domain 1
[Sysname-pki-domain-1] certificate request mode auto
certificate request polling { count count | interval minutes }
undo certificate request polling { count | interval }
PKI域视图
2:系统级
count count:表示证书申请状态的查询次数。count表示查询次数,取值范围为1~100。
interval minutes:表示证书申请状态的查询周期。minutes表示查询周期,取值范围为5~168,单位为分钟。
certificate request polling命令用来配置证书申请状态的查询周期和次数。undo certificate request polling命令用来恢复缺省情况。
缺省情况下,证书申请状态的查询周期为20分钟,最多查询50次。
实体在发送证书申请后,如果CA采用手工验证申请,证书的发布会需要很长时间。实体需要定期发送状态查询,以便在证书签发后能及时获取到证书。
相关配置可参考命令display pki certificate。
# 指定状态查询周期为15分钟,最多查询40次。
[Sysname] pki domain 1
[Sysname-pki-domain-1] certificate request polling interval 15
[Sysname-pki-domain-1] certificate request polling count 40
certificate request url url-string
PKI域视图
2:系统级
url-string:表示证书申请的注册机构服务器的URL,为1~127个字符的字符串,不区分大小写。内容包括服务器位置及CA的CGI命令接口脚本位置,格式为http://server_location/ca_script_location。其中,server_location目前仅支持IP地址的表示方式,不支持域名解析,ca_script_location是CA在服务器主机上的应用程序脚本的路径。
certificate request url命令用来配置设备通过SCEP进行证书申请的注册机构服务器的URL。undo certificate request url命令用来删除证书申请服务器的URL。
# 指定注册服务器的URL。
[Sysname] pki domain 1
[Sysname-pki-domain-1] certificate request url http://169.254.0.100/certsrv/mscep/mscep.dll
PKI实体视图
2:系统级
name:实体的通用名称,为1~31个字符的字符串,不区分大小写,不能包含逗号。
common-name命令用来配置实体的通用名,比如用户名称。undo common-name命令用来删除实体的通用名。
# 配置实体的通用名为test。
[Sysname] pki entity 1
[Sysname-pki-entity-1] common-name test
PKI实体视图
2:系统级
country-code-str:两字符国家代码,不区分大小写。
country命令用来指定实体所属的国家代码,代码用标准的两字符代码,例如中国为“CN”。undo country命令用来删除实体所属的国家代码。
# 配置实体所属的国家代码为CN。
[Sysname] pki entity 1
[Sysname-pki-entity-1] country CN
crl check { disable | enable }
PKI域视图
2:系统级
disable:禁止CRL检查。
enable:使能CRL检查。
crl check命令用来使能或者禁止CRL检查。
缺省情况下,CRL检查处于开启状态。
CRL是由CA签发的文件,其中包含所有被CA废除的证书列表,表明某些证书已被废除。废除有可能发生在证书有效期结束之前。CRL检查的目的是查看实体的证书是否被CA废除,若检查结果表明实体证书已被废除,那么该证书就不再被其它实体信任。
# 禁止CRL检查。
[Sysname] pki domain 1
[Sysname-pki-domain-1] crl check disable
PKI域视图
2:系统级
hours:指定更新周期,取值范围为1~720,单位为小时。
crl update-period命令用来指定CRL的更新周期。undo crl update-period命令用来恢复缺省情况。
缺省情况下,CRL的更新周期由CRL文件中的下次更新域决定。
CRL的更新周期是指使用证书的PKI实体从CRL存储服务器下载CRL的时间间隔。
# 指定CRL的更新周期为20小时。
[Sysname] pki domain 1
[Sysname-pki-domain-1] crl update-period 20
PKI域视图
2:系统级
url-string:表示CRL的发布点URL,为1~255个字符的字符串,不区分大小写。格式为ldap://server_location,或http://server_location,其中,server_location支持IP地址和DNS域名两种表示方式。
crl url命令用来设置CRL发布点的URL。undo crl url命令用来删除该URL。
缺省情况下,未指定CRL发布点的URL。
需要注意的是,未配置CRL发布点的URL时,通过SCEP协议获取CRL,该操作在获取CA证书和本地证书之后进行。
# 指定CRL发布点的URL。
[Sysname] pki domain 1
[Sysname-pki-domain-1] crl url ldap://169.254.0.30
1:监控级
ca:显示CA的证书。
local:显示本地的证书。
peer-entity entity-name:显示外部实体的证书。其中entity-name为外部实体名,为1~15个字符的字符串,不区分大小写。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍
domain-name:指定证书所在的PKI域,为1~15个字符的字符串。
request-status:显示证书申请后的状态。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display pki certificate命令用来显示证书的内容或申请状态。
相关配置可参考命令pki retrieval-certificate、pki domain和certificate request polling。
# 显示本地证书。
<Sysname> display pki certificate local domain 1
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
10B7D4E3 00010000 0086
Signature Algorithm: md5WithRSAEncryption
Issuer:
emailAddress=myca@example.com
C=CN
ST=Country A
L=City X
O=abc
OU=bjs
CN=new-ca
Validity
Not Before: Jan 13 08:57:21 2004 GMT
Not After : Jan 20 09:07:21 2005 GMT
Subject:
C=CN
ST=Country B
L=City Y
CN=pki test
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (512 bit)
Modulus (512 bit):
00D41D1F …
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
DNS:hyf.xxyyzz.net
X509v3 CRL Distribution Points:
URI:http://1.1.1.1:447/myca.crl
… …
Signature Algorithm: md5WithRSAEncryption
A3A5A447 4D08387D …
表1-1 display pki certificate命令显示信息描述表
X509版本3格式证书扩展属性 |
|
X509版本3格式CRL发布点 |
1:监控级
policy-name:指定证书属性访问控制策略名,为1~16个字符的字符串。
all:所有证书属性访问控制策略。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display pki certificate access-control-policy命令用来显示证书属性访问控制策略信息。
# 显示证书属性访问控制策略mypolicy的信息。
<Sysname> display pki certificate access-control-policy mypolicy
access-control-policy name: mypolicy
rule 1 deny mygroup1
rule 2 permit mygroup2
表1-2 display pki certificate access-control-policy命令显示信息描述表
1:监控级
group-name:指定证书属性组名,为1~16个字符的字符串。
all:所有证书属性组。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display pki certificate attribute-group命令用来显示证书属性组的信息。
# 显示证书属性组mygroup的信息。
<Sysname> display pki certificate attribute-group mygroup
attribute group name: mygroup
attribute 1 subject-name dn ctn abc
attribute 2 issuer-name fqdn nctn app
表1-3 display pki certificate attribute-group命令显示信息描述表
属性规则1的证书属性值 |
|
属性规则2的证书属性值 |
display pki crl domain domain-name [ | { begin | exclude | include } regular-expression ]
1:监控级
domain-name:指定证书所在的PKI域,为1~15个字符的字符串。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display pki crl domain命令用来显示存储在本地的CRL。
相关配置可参考命令pki retrieval-crl和pki domain。
# 显示CRL。
<Sysname> display pki crl domain 1
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer:
C=CN
O=abc
OU=soft
CN=A Test Root
Last Update: Jan 5 08:44:19 2004 GMT
Next Update: Jan 5 21:42:13 2004 GMT
CRL extensions:
X509v3 Authority Key Identifier:
keyid:0F71448E E075CAB8 ADDB3A12 0B747387 45D612EC
Revoked Certificates:
Serial Number: 05a234448E…
Revocation Date: Sep 6 12:33:22 2004 GMT
CRL entry extensions:……
Serial Number: 05a278445E…
Revocation Date: Sep 7 12:33:22 2004 GMT
CRL entry extensions:…
表1-4 display pki crl domain显示信息描述表
CRL版本号 |
|
CRL采用的签名算法 |
|
颁发该CRL的CA |
|
CRL扩展属性 |
|
发布该无效证书的CA的标识符,证书版本为X509v3 |
|
一个CA可能有多个密钥对,该字段用于标识该CRL的签名使用哪个密钥对 |
|
CRL条目扩展属性 |
PKI实体视图
2:系统级
name-str:实体的FQDN,为1~127个字符的字符串,不区分大小写。
fqdn命令用来配置实体的FQDN。undo fqdn命令用来删除实体的FQDN。
FQDN是实体在网络中的唯一标识,由一个主机名和域名组成,可被解析为IP地址。
# 配置实体的FQDN为pki.domain-name.com。
[Sysname] pki entity 1
[Sysname-pki-entity-1] fqdn pki.domain-name.com
PKI实体视图
2:系统级
ip-address:实体的IP地址。
ip命令用来配置实体的IP地址。undo ip命令用来删除实体的IP地址。
# 配置实体的IP地址为11.0.0.1。
[Sysname] pki entity 1
[Sysname-pki-entity-1] ip 11.0.0.1
ldap-server ip ip-address [ port port-number ] [ version version-number ]
PKI域视图
2:系统级
ip-address:LDAP服务器的IP地址,为点分十进制格式。
port-number:LDAP服务器的端口号,取值范围为1~65535,缺省值为389。
version-number:LDAP版本号,取值范围为2~3,缺省值为2。
ldap-server命令用来配置LDAP服务器。undo ldap-server命令用来删除指定的LDAP服务器。
缺省情况下,未指定LDAP服务器。
# 指定LDAP服务器的位置。
[Sysname] pki domain 1
[Sysname-pki-domain-1] ldap-server ip 169.254.0.30
PKI实体视图
2:系统级
locality-name:地理区域的名称,为1~31个字符的字符串,不区分大小写,不能包含逗号。
locality命令用来配置实体所在的地理区域名称,比如城市名称。undo locality命令用来删除实体所在的地理区域的名称。
# 配置实体所在地理区域名称为city。
[Sysname] pki entity 1
[Sysname-pki-entity-1] locality city
PKI实体视图
2:系统级
org-name:组织名称,为1~31个字符的字符串,不区分大小写,不能包含逗号。
organization命令用来配置实体所属组织的名称。undo organization命令用来删除实体所属组织的名称。
# 配置实体所属组织名称为test-lab。
[Sysname] pki entity 1
[Sysname-pki-entity-1] organization test-lab
organization-unit org-unit-name
PKI实体视图
2:系统级
org-unit-name:组织部门的名称,为1~31个字符的字符串,不区分大小写,不能包含逗号。使用该参数在同一个单位内区分不同的部门。
organization-unit命令用来指定实体所属的组织部门的名称。undo organization-unit命令用来删除实体所属的组织部门的名称。
# 配置实体所属组织部门名称为group1。
[Sysname] pki entity 1
[Sysname-pki-entity-1] organization-unit group1
PKI域视图
2:系统级
entity-name:指定外部实体的名称,为1~15个字符的字符串,不区分大小写,不能包含\ / :? ' " > < . * |和空格。
dn dn-string:指定外部实体的身份。其中dn-string为外部实体的身份信息,为1~177个字符的字符串,采用如下被称为X.500(LDAP)的格式:C=country-code,ST=state-name,L=locality-name,O=org-name,OU=org-unit-name,CN=cn-name,各字段的名称缩写须采用大写字母,各字段之间用逗号隔开。其中除CN字段为必配以外,其它字段均为选配,但配置时须遵照上述顺序。各字段的含义如下:
· country-code:国家代码,为2个字符的字符串,必须为字母;
· state-name:州或省的名称,为1~31个字符的字符串,不可以包含逗号;
· locality-name:地理区域的名称,为1~31个字符的字符串,不可以包含逗号;
· org-name:组织名称,为1~31个字符的字符串,不可以包含逗号;
· org-unit-name:组织部门的名称,用于在同一单位内区分不同的部门。为1~31个字符的字符串,不可以包含逗号;
· cn-name:实体的通用名称,为1~31个字符的字符串,不可以包含逗号。
fqdn fqdn-string:指定外部实体的FQDN。其中fqdn-string为外部实体的FQDN,为1~127个字符的字符串。
ip ip-address:指定外部实体的IP地址。其中ip-address为外部实体的IP地址。
import:表示该外部实体的证书要用手工导入。
peer-entity命令用来配置外部实体。undo peer-entity命令用来删除外部实体。
# 配置外部实体的名称为1;其身份信息如下:国家代码为cn,实体的通用名称为wapi;并指定该外部实体的FQDN为sec.abc,IP地址为1.1.1.1。
[Sysname] pki domain 1
[Sysname-pki-domain-1] peer-entity 1 dn C=cn,CN=wapi fqdn sec.abc ip 1.1.1.1
pki certificate access-control-policy policy-name
undo pki certificate access-control-policy { policy-name | all }
2:系统级
policy-name:表示证书属性的访问控制策略名称,为1~16个字符的字符串,不区分大小写,不能是“a”、“al”和“all”。
all:表示所有证书属性的访问控制策略。
pki certificate access-control-policy命令用来创建证书属性访问控制策略,并进入证书属性访问控制策略视图。undo pki certificate access-control-policy命令用来删除一个或者所有证书属性访问控制策略。
# 配置一个名称为mypolicy的访问控制策略,并进入证书属性访问控制策略视图。
[Sysname] pki certificate access-control-policy mypolicy
[Sysname-pki-cert-acp-mypolicy]
pki certificate attribute-group group-name
undo pki certificate attribute-group { group-name | all }
2:系统级
group-name:证书属性组名称,为1~16个字符的字符串,不区分大小写,不能是“a”、“al”和“all”。
all:表示所有属性组。
pki certificate attribute-group命令用来创建证书属性组并进入证书属性组视图。undo pki certificate attribute-group命令用来删除一个或者所有证书属性组。
# 创建一个名为mygroup的证书属性组,并进入证书属性组视图。
[Sysname] pki certificate attribute-group mygroup
[Sysname-pki-cert-attribute-group-mygroup]
pki delete-certificate { ca | local | peer-entity entity-name } domain domain-name
2:系统级
ca:表示删除存储在本地的CA证书。
local:表示删除存储在本地的本地证书。
peer-entity entity-name:表示删除存储在本地的外部实体证书。其中entity-name为外部实体名,为1~15个字符的字符串,不区分大小写。
domain-name:指定待删除证书所在的PKI域,为1~15个字符的字符串。
pki delete-certificate命令用来删除本地存储的指定PKI域的证书。
# 删除PKI域cer中的本地证书。
[Sysname] pki delete-certificate local domain cer
2:系统级
domain-name:指定一个PKI域名,为1~15个字符的字符串,不区分大小写。
pki domain命令用来创建PKI域,并进入PKI域视图。如果指定的PKI域已存在,则直接进入其视图。undo pki domain命令用来删除指定的PKI域。
目前,一台设备可支持同时创建的 PKI域数目与设备的具体型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍。
# 创建PKI域并进入其视图。
[Sysname] pki domain 1
[Sysname-pki-domain-1]
2:系统级
entity-name:实体名,为1~15个字符的字符串,不区分大小写。
pki entity命令用来配置实体名称,并进入该实体视图。undo pki entity命令用来删除此实体的名称及其实体命名空间下的所有配置。
在PKI实体视图下可配置实体的各种属性值。entity-name只是用来方便被其它命令引用,不用于证书的相关字段。
# 配置实体名称为en,并进入该实体视图。
[Sysname] pki entity en
[Sysname-pki-entity-en]
2:系统级
ca:表示CA证书。
peer-entity entity-name:表示外部实体证书。其中entity-name为外部实体名,为1~15个字符的字符串,不区分大小写。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
domain-name:证书所在的PKI域,为1~15个字符的字符串。
der:指定证书文件格式为DER编码。
pem:指定证书文件格式为PEM编码。
filename filename:要导入的证书的文件名,为1~127个字符的字符串,不区分大小写。若不指定该参数,则为获取证书时默认保存的文件名,即domain-name_ca.cer或者domain-name_peerentity_entity-name.cer。
pki import-certificate命令用来将已有的CA证书或外部实体本地证书导入到本地保存。
需要注意的是,在FIPS模式下无法导入摘要算法为MD5或密钥长度小于2048bit的证书。
# 导入PKI域cer中的CA证书,证书文件格式为PEM编码。
<Sysname> system-view
[Sysname] pki import-certificate ca domain cer pem
【命令】
pki import-certificate local domain domain-name { der | p12 | pem } [ filename filename ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
local:表示本地证书。
domain-name:证书所在的PKI域,为1~15个字符的字符串。
der:指定证书文件格式为DER编码。
p12:指定证书文件格式为P12编码。
pem:指定证书文件格式为PEM编码。
filename filename:要导入的证书的文件名,为1~127个字符的字符串,不区分大小写。若不指定该参数,则为获取证书时默认保存的文件名,即domain-name_local.cer。
【描述】
pki import-certificate local命令用来将已有的本地证书导入到本地保存。
需要注意的是,在FIPS模式下无法导入摘要算法为MD5或密钥长度小于2048bit的证书。
相关配置可参考命令pki domain。
【举例】
# 导入PKI域cer中的local证书,证书文件格式为PEM编码。
<Sysname> system-view
[Sysname] pki import-certificate local domain cer pem
pki request-certificate domain domain-name [ password ] [ pkcs10 [ filename filename ] ]
2:系统级
domain-name:包含证书申请中CA或RA等信息的PKI域名,为1~15个字符的字符串。
password:在证书撤销时需要提供的密码,为1~31个字符的字符串,区分大小写。
pkcs10:在终端上显示出BASE64编码的PKCS#10证书申请信息,该信息可用于带外方式(如电话、磁盘、电子邮件等)的证书请求。
filename filename:将PKCS#10证书申请信息保存到本地的文件中。其中,filename表示保存证书申请信息的文件名,为1~127个字符的字符串,不区分大小写。
pki request-certificate domain命令用来通过SCEP协议向CA申请本地证书。
当SCEP出现异常无法正常通信时,可以通过执行指定参数pkcs10的本命令打印出本地的证书申请信息(BASE64格式),或者通过执行指定pkcs10 filename filename参数的本命令将证书申请信息直接保存到本地的指定文件中,然后通过带外方式将这些本地证书申请信息发送给CA进行证书申请。
# 手工申请证书,并在终端上显示PKCS#10证书请求。
[Sysname] pki request-certificate domain 1 pkcs10
-----BEGIN CERTIFICATE REQUEST-----
MIIBTDCBtgIBADANMQswCQYDVQQDEwJqajCBnzANBgkqhkiG9w0BAQEFAAOBjQAw
gYkCgYEAw5Drj8ofs9THA4ezkDcQPBy8pvH1kumampPsJmx8sGG52NFtbrDTnTT5
ALx3LJijB3d/ndKpcHT/DfbJVDCn5gdw32tBZyCkEwMHZN3ol2z7Nvdu5TED6iN8
4m+hfp1QWoV6lty3o9pxAXuQl8peUDcfN6WV3LBXYyl1WCtkLkECAwEAAaAAMA0G
CSqGSIb3DQEBBAUAA4GBAA8E7BaIdmT6NVCZgv/I/1tqZH3TS4e4H9Qo5NiCKiEw
R8owVmA0XVtGMbyqBNcDTG0f5NbHrXZQT5+MbFJOnm5K/mn1ro5TJKMTKV46PlCZ
JUjsugaY02GBY0BVcylpC9iIXLuXNIqjh1MBIqVsa1lQOHS7YMvnop6hXAQlkM4c
-----END CERTIFICATE REQUEST-----
pki retrieval-certificate { ca | local | peer-entity entity-name } domain domain-name
2:系统级
ca:表示下载CA证书。
local:表示下载本地证书。
peer-entity entity-name:表示下载外部实体证书。其中entity-name为外部实体名,为1~15个字符的字符串,不区分大小写。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
domain-name:包含证书申请中CA或RA等信息的域名。
pki retrieval-certificate命令用来从证书发布服务器上在线获取证书并下载至本地。
成功获取到本地的证书将被默认保存在设备的根目录下,文件名称为domain-name_ca.cer、domain-name_local.cer或者domain-name_peerentity_entity-name.cer。
# 从证书发布服务器上下载CA证书。
[Sysname] pki retrieval-certificate ca domain 1
pki retrieval-crl domain domain-name
2:系统级
domain-name:包含证书申请中CA或RA等信息的域名,为1~15个字符的字符串。
pki retrieval-crl domain命令用来从CRL发布服务器上获取最新的CRL。
下载CRL的目的是验证当前证书的合法性。
# 从CRL发布服务器上获取CRL。
[Sysname] pki retrieval-crl domain 1
pki validate-certificate { ca | local | peer-entity entity-name } domain domain-name
2:系统级
ca:表示验证CA证书。
local:表示验证本地证书。
peer-entity entity-name:表示验证外部实体证书。其中entity-name为外部实体名,为1~15个字符的字符串,不区分大小写。本参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
domain-name:指明待验证证书所在的域,为1~15个字符的字符串。
pki validate-certificate命令用来检查证书的有效性。
证书验证的核心就是检查CA在证书上的签名,并确定证书仍在有效期内,而且未被废除。
# 检查本地证书的有效性。
[Sysname] pki validate-certificate local domain 1
root-certificate fingerprint { md5 | sha1 } string
undo root-certificate fingerprint
PKI域视图
2:系统级
md5:使用MD5指纹。
sha1:使用SHA1指纹。
string:指定所使用的指纹。当选择MD5指纹时,string必须为32个字符,并且以16进制的形式输入;当选择SHA1指纹时,string必须为40个字符,并且以16进制的形式输入。
root-certificate fingerprint命令用来配置验证CA根证书时所使用的指纹。undo root-certificate fingerprint命令用来取消配置的指纹。
缺省情况下,未指定验证CA根证书时使用的指纹。
# 配置验证CA根证书时使用的MD5指纹。
[Sysname] pki domain 1
[Sysname-pki-domain-1] root-certificate fingerprint md5 12EF53FA355CD23E12EF53FA355CD23E
# 配置验证CA根证书时使用的SHA1指纹。
[Sysname-pki-domain-1] root-certificate fingerprint sha1 D1526110AAD7527FB093ED7FC037B0B3CDDDAD93
rule [ id ] { deny | permit } group-name
2:系统级
id:证书属性访问控制规则编号,取值范围为1~16,缺省值为1~16中未被使用的最小的编号。
deny:当证书的属性与属性组里定义的属性匹配时,认为该证书无效,访问控制策略检测不通过。
permit:当证书的属性与属性组里定义的属性匹配时,认为该证书有效,访问控制策略检测通过。
group-name:规则所关联的证书属性组名称,为1~16个字符的字符串,不区分大小写,不能是“a”、“al”和“all”。
all:所有控制规则。
rule命令用来创建证书属性的访问控制规则。undo rule命令用来删除指定或者所有访问控制规则。
# 创建一个访问控制规则,该规则表示,当证书与mygroup证书属性组匹配时,认为该证书有效,访问控制策略检测通过。
[Sysname] pki certificate access-control-policy mypolicy
[Sysname-pki-cert-acp-mypolicy] rule 1 permit mygroup
signature-algorithm { ecdsa | rsa }
PKI域视图
2:系统级
ecdsa:指定签名算法为ECDSA算法。
rsa:指定签名算法为RSA算法。
signature-algorithm命令用来配置证书所采用的签名算法。undo signature-algorithm命令用来恢复缺省情况。
本命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
# 配置证书采用ECDSA签名算法。
[Sysname] pki domain 1
[Sysname-pki-domain-1] signature-algorithm ecdsa
PKI实体视图
2:系统级
state-name:州或省的名称,为1~31个字符的字符串,不区分大小写,不能包含逗号。
state命令用来配置实体所属的州或省的名称。undo state命令用来删除所属的州或省的名称。
# 配置实体所在省为country。
[Sysname] pki entity 1
[Sysname-pki-entity-1] state country
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!