选择区域语言: EN CN HK

10-安全命令参考

10-PKI命令

本章节下载  (196.73 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Command/Command_Manual/H3C_SR6600_SR6600-X_CR(V5)-R3303(V1.23)/10/201702/973905_30005_0.htm

10-PKI命令


1 PKI

1.1  PKI配置命令

1.1.1  attribute

【命令】

attribute id { alt-subject-name { fqdn | ip } | { issuer-name | subject-name } { dn | fqdn | ip } } { ctn | equ | nctn | nequ} attribute-value

undo attribute { id | all }

【视图】

证书属性组视图

【缺省级别】

2:系统级

【参数】

id:证书属性规则序号,取值范围为1~16。

alt-subject-name:表示证书备用主题名。

fqdn:指定实体的FQDN。

ip:指定实体的IP地址。

issuer-name:表示证书颁发者名。

subject-name:表示证书主题名。

dn:指定实体的DN。

ctn:表示包含操作。

equ:表示相等操作。

nctn:表示不包含操作。

nequ:表示不等操作。

attribute-value:表示证书属性值,为1~128个字符的字符串,不区分大小写。

all:表示所有证书属性规则。

【描述】

attribute命令用来配置证书颁发者名、证书主题名以及备用主题名的属性规则。undo attribute命令用来删除一个或者所有证书的属性规则。

缺省情况下,对证书的颁发者名、主题名以及备用主题名没有限制。

需要注意的是,证书备用主题名属性不会以域名的方式出现,所以在证书备用主题名属性的规则配置中没有出现dn

【举例】

# 创建一个证书属性规则。该规则定义,主题名的DN包含字符串abc。

<Sysname> system-view

[Sysname] pki certificate attribute-group mygroup

[Sysname-pki-cert-attribute-group-mygroup] attribute 1 subject-name dn ctn abc

# 创建一个证书属性规则。该规则定义,颁发者名称中的FQDN不等于字符串abc。

[Sysname-pki-cert-attribute-group-mygroup] attribute 2 issuer-name fqdn nequ abc

# 创建一个证书属性规则。该规则定义,主题备用名称中的IP地址不等于10.0.0.1。

[Sysname-pki-cert-attribute-group-mygroup] attribute 3 alt-subject-name ip nequ 10.0.0.1

1.1.2  ca identifier

【命令】

ca identifier name

undo ca identifier

【视图】

PKI域视图

【缺省级别】

2:系统级

【参数】

name:设备信任的CA的名称,为1~63个字符的字符串,不区分大小写。

【描述】

ca identifier命令用来指定设备信任的CA的名称。undo ca identifier命令用来删除设备信任的CA。

缺省情况下,未指定设备信任的CA。

该设备证书的申请、获取、废除及查询均通过该CA执行。

【举例】

# 指定设备信任的CA的名称为new-ca。

<Sysname> system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] ca identifier new-ca

1.1.3  certificate request entity

【命令】

certificate request entity entity-name

undo certificate request entity

【视图】

PKI域视图

【缺省级别】

2:系统级

【参数】

entity-name:申请证书的实体所用名称,为1~15个字符的字符串,不区分大小写。

【描述】

certificate request entity命令用来指定申请证书的实体名称。undo certificate request entity命令用来取消申请证书所用的实体名称。

缺省情况下,未指定设备申请证书所使用的实体名称。

相关配置可参考命令pki entity

【举例】

# 指定设备申请证书时使用实体entity1。

<Sysname> system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] certificate request entity entity1

1.1.4  certificate request from

【命令】

certificate request from { ca | ra }

undo certificate request from

【视图】

PKI域视图

【缺省级别】

2:系统级

【参数】

ca:表示实体从CA注册申请证书。

ra:表示实体从RA注册申请证书。

【描述】

certificate request from命令用来为实体配置证书申请的注册受理机构。undo certificate request from命令用来取消指定的证书申请注册受理机构。

缺省情况下,未指定证书申请的注册受理机构。

【举例】

# 指定实体从CA注册申请证书。

<Sysname> system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] certificate request from ca

1.1.5  certificate request mode

【命令】

certificate request mode { auto [ key-length key-length | password { cipher | simple } password ] * | manual }

undo certificate request mode

【视图】

PKI域视图

【缺省级别】

2:系统级

【参数】

auto:表示用自动方式申请证书。

key-length:指定RSA密钥长度,取值范围为512~2048,单位为bit,缺省值为1024bit。

cipher:表示以密文方式设置吊销证书时使用的密码。

simple:表示以明文方式设置吊销证书时使用的密码。

password:设置的明文密码或密文密码,区分大小写。明文密钥为1~31个字符的字符串;密文密钥为1~73个字符的字符串。

manual:表示用手工方式申请证书。

【描述】

certificate request mode命令用来配置证书申请方式。undo certificate request mode命令用来恢复缺省情况。

缺省情况下,证书申请为手工方式。

如果是自动方式,则在本地没有自己的证书时自动向注册机构进行申请,但不会在证书快要过期时以及证书过期之后自动申请新的证书。如果为手工方式,则需要手工完成各项证书申请工作。

以明文或密文方式设置的密码,均以密文的方式保存在配置文件中。

相关配置可参考命令pki request-certificate

【举例】

# 指定证书申请为自动方式。

<Sysname> system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] certificate request mode auto

1.1.6  certificate request polling

【命令】

certificate request polling { count count | interval minutes }

undo certificate request polling { count | interval }

【视图】

PKI域视图

【缺省级别】

2:系统级

【参数】

count count:表示证书申请状态的查询次数。count表示查询次数,取值范围为1~100。

interval minutes:表示证书申请状态的查询周期。minutes表示查询周期,取值范围为5~168,单位为分钟。

【描述】

certificate request polling命令用来配置证书申请状态的查询周期和次数。undo certificate request polling命令用来恢复缺省情况。

缺省情况下,证书申请状态的查询周期为20分钟、每一个周期查询50次。

实体在发送证书申请后,如果CA采用手工验证申请,证书的发布会需要很长时间。实体需要定期发送状态查询,以便在证书签发后能及时获取到证书。

相关配置可参考命令display pki certificate

【举例】

# 指定状态查询周期为15分钟、每一个周期查询40次。

<Sysname> system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] certificate request polling interval 15

[Sysname-pki-domain-1] certificate request polling count 40

1.1.7  certificate request url

【命令】

certificate request url url-string

undo certificate request url

【视图】

PKI域视图

【缺省级别】

2:系统级

【参数】

url-string:表示证书申请的注册机构服务器的URL,为1~127个字符的字符串,不区分大小写。内容包括服务器位置及CA的CGI命令接口脚本位置,格式为http://server_location/ca_script_location。其中,server_location目前仅支持IP地址的表示方式,不支持域名解析,ca_script_location是CA在服务器主机上的应用程序脚本的路径。

【描述】

certificate request url命令用来配置设备通过SCEP进行证书申请的注册机构服务器的URL。undo certificate request url命令用来删除证书申请服务器的URL。

缺省情况下,未指定注册服务器的URL。

【举例】

# 指定注册服务器的URL。

<Sysname> system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] certificate request url http://169.254.0.100/certsrv/mscep/mscep.dll

1.1.8  common-name

【命令】

common-name name

undo common-name

【视图】

PKI实体视图

【缺省级别】

2:系统级

【参数】

name:实体的通用名称,为1~31个字符的字符串,不区分大小写,不能包含逗号。

【描述】

common-name命令用来配置实体的通用名,比如用户名称。undo common-name命令用来删除实体的通用名。

缺省情况下,未指定实体通用名。

【举例】

# 配置实体的通用名为test。

<Sysname> system-view

[Sysname] pki entity 1

[Sysname-pki-entity-1] common-name test

1.1.9  country

【命令】

country country-code-str

undo country

【视图】

PKI实体视图

【缺省级别】

2:系统级

【参数】

country-code-str:两字符国家代码,不区分大小写。

【描述】

country命令用来指定实体所属的国家代码,代码用标准的两字符代码,例如中国为“CN”。undo country命令用来删除实体所属的国家代码。

缺省情况下,未指定实体所属国家代码。

【举例】

# 配置实体所属的国家代码为CN。

<Sysname> system-view

[Sysname] pki entity 1

[Sysname-pki-entity-1] country CN

1.1.10  crl check

【命令】

crl check { disable | enable }

【视图】

PKI域视图

【缺省级别】

2:系统级

【参数】

disable:禁止CRL检查。

enable:使能CRL检查。

【描述】

crl check命令用来使能或者禁止CRL检查。

缺省情况下,CRL检查处于开启状态。

CRL是由CA签发的文件,其中包含所有被CA废除的证书列表,表明某些证书已被废除。废除有可能发生在证书有效期结束之前。CRL检查的目的是查看实体的证书是否被CA废除,若检查结果表明实体证书已被废除,那么该证书就不再被其它实体信任。

【举例】

# 禁止CRL检查。

<Sysname> system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] crl check disable

1.1.11  crl update-period

【命令】

crl update-period hours

undo crl update-period

【视图】

PKI域视图

【缺省级别】

2:系统级

【参数】

hours:指定更新周期,取值范围为1~720,单位为小时。

【描述】

crl update-period命令用来指定CRL的更新周期。undo crl update-period命令用来恢复缺省情况。

缺省情况下,CRL的更新周期由CRL文件中的下次更新域决定。

CRL的更新周期是指使用证书的PKI实体从CRL存储服务器下载CRL的时间间隔。

【举例】

# 指定CRL的更新周期为20小时。

<Sysname> system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] crl update-period 20

1.1.12  crl url

【命令】

crl url url-string

undo crl url

【视图】

PKI域视图

【缺省级别】

2:系统级

【参数】

url-string:表示CRL的发布点URL,为1~255个字符的字符串,不区分大小写。格式为ldap://server_location,或http://server_location,其中,server_location支持IP地址和DNS域名两种表示方式。

【描述】

crl url命令用来设置CRL发布点的URL。undo crl url命令用来删除该URL。

缺省情况下,未指定CRL发布点的URL。

需要注意的是,未配置CRL发布点的URL时,通过SCEP协议获取CRL,该操作在获取CA证书和本地证书之后进行。

【举例】

# 指定CRL发布点的URL。

<Sysname> system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] crl url ldap://169.254.0.30

1.1.13  display pki certificate

【命令】

display pki certificate { { ca | local } domain domain-name | request-status } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

ca:显示CA的证书。

local:显示本地的证书。

domain-name:指定证书所在的PKI域,为1~15个字符的字符串。

request-status:显示证书申请后的状态。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display pki certificate命令用来显示证书的内容或申请状态。

相关配置可参考命令pki retrieval-certificatepki domaincertificate request polling

【举例】

# 显示本地证书。

<Sysname> display pki certificate local domain 1

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            10B7D4E3 00010000 0086

        Signature Algorithm: md5WithRSAEncryption

        Issuer:

            emailAddress=myca@aabbcc.net

            C=CN

            ST=Country A

            L=City X

            O=abc

            OU=bjs

            CN=new-ca

        Validity

            Not Before: Jan 13 08:57:21 2004 GMT

            Not After : Jan 20 09:07:21 2005 GMT

        Subject:

            C=CN

            ST=Country B

            L=City Y

            CN=pki test

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

            RSA Public Key: (512 bit)

                Modulus (512 bit):

                    00D41D1F …

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Subject Alternative Name:

            DNS:hyf.xxyyzz.net

            X509v3 CRL Distribution Points:

            URI:http://1.1.1.1:447/myca.crl

            …          …

    Signature Algorithm: md5WithRSAEncryption

        A3A5A447 4D08387D …

表1-1 display pki certificate命令显示信息描述表

字段

描述

Version

证书版本号

Serial Number

证书序列号

Signature Algorithm

签名算法

Issuer

证书颁发者

Validity

证书有效期

Subject

证书申请实体

Subject Public Key Info

申请实体公钥信息

X509v3 extensions

X509版本3格式证书扩展属性

X509v3 CRL Distribution Points

X509版本3格式CRL发布点

 

1.1.14  display pki certificate access-control-policy

【命令】

display pki certificate access-control-policy { policy-name | all } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

policy-name:指定证书属性访问控制策略名,为1~16个字符的字符串。

all:所有证书属性访问控制策略。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display pki certificate access-control-policy命令用来显示证书属性访问控制策略信息。

【举例】

# 显示证书属性访问控制策略mypolicy的信息。

<Sysname> display pki certificate access-control-policy mypolicy

 access-control-policy name: mypolicy

     rule  1 deny    mygroup1

     rule  2 permit  mygroup2

表1-2 display pki certificate access-control-policy命令显示信息描述表

字段

描述

access-control-policy

证书属性的访问控制策略名

rule number

控制规则编号

 

1.1.15  display pki certificate attribute-group

【命令】

display pki certificate attribute-group { group-name | all } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

group-name:指定证书属性组名,为1~16个字符的字符串。

all:所有证书属性组。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display pki certificate attribute-group命令用来显示证书属性组的信息。

【举例】

# 显示证书属性组mygroup的信息。

<Sysname> display pki certificate attribute-group mygroup

 attribute group name: mygroup

      attribute  1 subject-name     dn    ctn   abc

      attribute  2 issuer-name      fqdn  nctn  app

表1-3 display pki certificate attribute-group命令显示信息描述表

字段

描述

attribute group name

证书属性组名称

attribute number

属性规则编号

subject-name

证书主题名

dn

实体的DN

ctn

表示包含操作

abc

属性规则1的证书属性值

issuer-name

证书颁发者名

fqdn

实体的FQDN

nctn

表示不包含操作

app

属性规则2的证书属性值

 

1.1.16  display pki crl domain

【命令】

display pki crl domain domain-name [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

domain-name:指定证书所在的PKI域,为1~15个字符的字符串。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display pki crl domain命令用来显示存储在本地的CRL。

相关配置可参考命令pki retrieval-crlpki domain

【举例】

# 显示CRL。

<Sysname> display pki crl domain 1

 Certificate Revocation List (CRL):

        Version 2 (0x1)

        Signature Algorithm: sha1WithRSAEncryption

        Issuer:

            C=CN

            O=abc

            OU=soft

            CN=A Test Root

        Last Update: Jan  5 08:44:19 2004 GMT

        Next Update: Jan  5 21:42:13 2004 GMT

        CRL extensions:

            X509v3 Authority Key Identifier:

            keyid:0F71448E E075CAB8 ADDB3A12 0B747387 45D612EC

            Revoked Certificates:

            Serial Number: 05a234448E…

            Revocation Date: Sep  6 12:33:22 2004 GMT

            CRL entry extensions:……

            Serial Number: 05a278445E…

            Revocation Date: Sep  7 12:33:22 2004 GMT

            CRL entry extensions:…

表1-4 display pki crl domain显示信息描述表

字段

描述

Version

CRL版本号

Signature Algorithm

CRL采用的签名算法

Issuer

颁发该CRL的CA

Last Update

上次更新时间

Next Update

下次更新时间

CRL extensions

CRL扩展属性

X509v3 Authority Key Identifier

发布该无效证书的CA的标识符,证书版本为X509v3

keyid

公钥标识符

一个CA可能有多个密钥对,该字段用于标识该CRL的签名使用哪个密钥对

Revoked Certificates

撤销的证书

Serial Number

撤销证书的序列号

Revocation Date

撤销日期

CRL entry extensions

CRL条目扩展属性

 

1.1.17  fqdn

【命令】

fqdn name-str

undo fqdn

【视图】

PKI实体视图

【缺省级别】

2:系统级

【参数】

name-str:实体的FQDN,为1~127个字符的字符串,不区分大小写。

【描述】

fqdn命令用来配置实体的FQDN。undo fqdn命令用来删除实体的FQDN。

缺省情况下,未指定实体FQDN。

FQDN是实体在网络中的唯一标识,由一个主机名和域名组成,可被解析为IP地址。

【举例】

# 配置实体的FQDN为pki.domain-name.com。

<Sysname> system-view

[Sysname] pki entity 1

[Sysname-pki-entity-1] fqdn pki.domain-name.com

1.1.18  include serial-number

【命令】

include serial-number

undo include serial-number

【视图】

PKI实体视图

【缺省级别】

2:系统级

【参数】

【描述】

include serial-number命令用来配置实体的身份信息中包含设备序列号。undo include serial-number命令用来配置实体的身份信息中不包含设备序列号。

缺省情况下,实体的身份不包含设备序列号。

【举例】

# 配置实体的身份信息中包含设备序列号。

<Sysname> system-view

[Sysname] pki entity 1

[Sysname-pki-entity-1] include serial-number

1.1.19  ip (PKI Entity view)

【命令】

ip ip-address

undo ip

【视图】

PKI实体视图

【缺省级别】

2:系统级

【参数】

ip-address:实体的IP地址。

【描述】

ip命令用来配置实体的IP地址。undo ip命令用来删除实体的IP地址。

缺省情况下,未指定实体IP地址。

【举例】

# 配置实体的IP地址为11.0.0.1。

<Sysname> system-view

[Sysname] pki entity 1

[Sysname-pki-entity-1] ip 11.0.0.1

1.1.20  ldap-server

【命令】

ldap-server ip ip-address [ port port-number ] [ version version-number ]

undo ldap-server

【视图】

PKI域视图

【缺省级别】

2:系统级

【参数】

ip-address:LDAP服务器的IP地址,为点分十进制格式。

port-number:LDAP服务器的端口号,取值范围为1~65535,缺省值为389。

version-number:LDAP版本号,取值范围为2~3,缺省值为2。

【描述】

ldap-server命令用来配置LDAP服务器。undo ldap-server命令用来删除指定的LDAP服务器。

缺省情况下,未指定LDAP服务器。

【举例】

# 指定LDAP服务器的位置。

<Sysname> system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] ldap-server ip 169.254.0.30

1.1.21  locality

【命令】

locality locality-name

undo locality

【视图】

PKI实体视图

【缺省级别】

2:系统级

【参数】

locality-name:地理区域的名称,为1~31个字符的字符串,不区分大小写,不能包含逗号。

【描述】

locality命令用来配置实体所在的地理区域名称,比如城市名称。undo locality命令用来删除实体所在的地理区域的名称。

缺省情况下,未指定实体所在地理区域。

【举例】

# 配置实体所在地理区域名称为city。

<Sysname> system-view

[Sysname] pki entity 1

[Sysname-pki-entity-1] locality city

1.1.22  organization

【命令】

organization org-name

undo organization

【视图】

PKI实体视图

【缺省级别】

2:系统级

【参数】

org-name:组织名称,为1~31个字符的字符串,不区分大小写,不能包含逗号。

【描述】

organization命令用来配置实体所属组织的名称。undo organization命令用来删除实体所属组织的名称。

缺省情况下,未指定实体所属组织。

【举例】

# 配置实体所属组织名称为test-lab。

<Sysname> system-view

[Sysname] pki entity 1

[Sysname-pki-entity-1] organization test-lab

1.1.23  organization-unit

【命令】

organization-unit org-unit-name

undo organization-unit

【视图】

PKI实体视图

【缺省级别】

2:系统级

【参数】

org-unit-name:组织部门的名称,为1~31个字符的字符串,不区分大小写,不能包含逗号。使用该参数在同一个单位内区分不同的部门。

【描述】

organization-unit命令用来指定实体所属的组织部门的名称。undo organization-unit命令用来删除实体所属的组织部门的名称。

缺省情况下,未指定实体所属部门。

【举例】

# 配置实体所属组织部门名称为group1。

<Sysname> system-view

[Sysname] pki entity 1

[Sysname-pki-entity-1] organization-unit group1

1.1.24  pki certificate access-control-policy

【命令】

pki certificate access-control-policy policy-name

undo pki certificate access-control-policy { policy-name | all }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

policy-name:表示证书属性的访问控制策略名称,为1~16个字符的字符串,不区分大小写,不能是“a”、“al”和“all”。

all:表示所有证书属性的访问控制策略。

【描述】

pki certificate access-control-policy命令用来创建证书属性访问控制策略,并进入证书属性访问控制策略视图。undo pki certificate access-control-policy命令用来删除一个或者所有证书属性访问控制策略。

缺省情况下,不存在证书属性访问控制策略。

【举例】

# 配置一个名称为mypolicy的访问控制策略,并进入证书属性访问控制策略视图。

<Sysname> system-view

[Sysname] pki certificate access-control-policy mypolicy

[Sysname-pki-cert-acp-mypolicy]

1.1.25  pki certificate attribute-group

【命令】

pki certificate attribute-group group-name

undo pki certificate attribute-group { group-name | all }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

group-name:证书属性组名称,为1~16个字符的字符串,不区分大小写,不能是“a”、“al”和“all”。

all:表示所有属性组。

【描述】

pki certificate attribute-group命令用来创建证书属性组并进入证书属性组视图。undo pki certificate attribute-group命令用来删除一个或者所有证书属性组。

缺省情况下,不存在证书属性组。

【举例】

# 创建一个名为mygroup的证书属性组,并进入证书属性组视图。

<Sysname> system-view

[Sysname] pki certificate attribute-group mygroup

[Sysname-pki-cert-attribute-group-mygroup]

1.1.26  pki delete-certificate

【命令】

pki delete-certificate { ca | local } domain domain-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ca:表示删除存储在本地的CA证书。

local:表示删除存储在本地的本地证书。

domain-name:指定待删除证书所在的PKI域,为1~15个字符的字符串。

【描述】

pki delete-certificate命令用来删除本地存储的指定PKI域的证书。

【举例】

# 删除PKI域cer中的本地证书。

<Sysname> system-view

[Sysname] pki delete-certificate local domain cer

1.1.27  pki domain

【命令】

pki domain domain-name

undo pki domain domain-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

domain-name:指定一个PKI域名,为1~15个字符的字符串,不区分大小写。

【描述】

pki domain命令用来创建PKI域,并进入PKI域视图。如果指定的PKI域已存在,则直接进入其视图。undo pki domain命令用来删除指定的PKI域。

缺省情况下,不存在PKI域。

目前,一台设备可支持同时创建32个PKI域。

【举例】

# 创建PKI域并进入其视图。

<Sysname> system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1]

1.1.28  pki entity

【命令】

pki entity entity-name

undo pki entity entity-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

entity-name:实体名,为1~15个字符的字符串,不区分大小写。

【描述】

pki entity命令用来配置实体名称,并进入该实体视图。undo pki entity命令用来删除此实体的名称及其实体命名空间下的所有配置。

缺省情况下,无实体存在。

在PKI实体视图下可配置实体的各种属性值。entity-name只是用来方便被其它命令引用,不用于证书的相关字段。

【举例】

# 配置实体名称为en,并进入该实体视图。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en]

1.1.29  pki import-certificate

【命令】

pki import-certificate { ca | local } domain domain-name { der | p12 | pem } [ filename filename ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ca:表示CA证书。

local:表示本地证书。

domain-name:证书所在的PKI域,为1~15个字符的字符串。

der:指定证书文件格式为DER编码。

p12:指定证书文件格式为P12编码。

pem:指定证书文件格式为PEM编码。

filename filename:要导入的证书的文件名,为1~127个字符的字符串,不区分大小写。若不指定该参数,则为获取证书时默认保存的文件名,即domain-name_ca.cer、domain-name_local.cer或者domain-name_peerentity_entity-name.cer。

【描述】

pki import-certificate命令用来将已有的CA证书或本地证书导入到本地保存。

需要注意的是,在FIPS模式下无法导入MD5证书。

相关配置可参考命令pki domain

【举例】

# 导入PKI域cer中的CA证书,证书文件格式为PEM编码。

<Sysname> system-view

[Sysname] pki import-certificate ca domain cer pem

1.1.30  pki request-certificate domain

【命令】

pki request-certificate domain domain-name [ password ] [ pkcs10 [ filename filename ] ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

domain-name:包含证书申请中CA或RA等信息的PKI域名,为1~15个字符的字符串。

password:在证书撤销时需要提供的密码,为1~31个字符的字符串,区分大小写。

pkcs10:在终端上显示出BASE64编码的PKCS#10证书申请信息,该信息可用于带外方式(如电话、磁盘、电子邮件等)的证书请求。

filename filename:将PKCS#10证书申请信息保存到本地的文件中。其中,filename表示保存证书申请信息的文件名,为1~127个字符的字符串,不区分大小写。

【描述】

pki request-certificate domain命令用来通过SCEP协议向CA申请本地证书。

当SCEP出现异常无法正常通信时,可以通过执行指定参数pkcs10的本命令打印出本地的证书申请信息(BASE64格式),或者通过执行指定pkcs10 filename filename参数的本命令将证书申请信息直接保存到本地的指定文件中,然后通过带外方式将这些本地证书申请信息发送给CA进行证书申请。

此命令不会被保存在配置文件中。

相关配置可参考命令pki domain

【举例】

# 手工申请证书,并在终端上显示PKCS#10证书请求。

<Sysname> system-view

[Sysname] pki request-certificate domain 1 pkcs10

-----BEGIN CERTIFICATE REQUEST-----

MIIBTDCBtgIBADANMQswCQYDVQQDEwJqajCBnzANBgkqhkiG9w0BAQEFAAOBjQAw

gYkCgYEAw5Drj8ofs9THA4ezkDcQPBy8pvH1kumampPsJmx8sGG52NFtbrDTnTT5

ALx3LJijB3d/ndKpcHT/DfbJVDCn5gdw32tBZyCkEwMHZN3ol2z7Nvdu5TED6iN8

4m+hfp1QWoV6lty3o9pxAXuQl8peUDcfN6WV3LBXYyl1WCtkLkECAwEAAaAAMA0G

CSqGSIb3DQEBBAUAA4GBAA8E7BaIdmT6NVCZgv/I/1tqZH3TS4e4H9Qo5NiCKiEw

R8owVmA0XVtGMbyqBNcDTG0f5NbHrXZQT5+MbFJOnm5K/mn1ro5TJKMTKV46PlCZ

JUjsugaY02GBY0BVcylpC9iIXLuXNIqjh1MBIqVsa1lQOHS7YMvnop6hXAQlkM4c

-----END CERTIFICATE REQUEST-----

1.1.31  pki retrieval-certificate

【命令】

pki retrieval-certificate { ca | local } domain domain-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ca:表示下载CA证书。

local:表示下载本地证书。

domain-name:包含证书申请中CA或RA等信息的域名。

【描述】

pki retrieval-certificate命令用来从证书发布服务器上在线获取证书并下载至本地。

成功获取到本地的证书将被默认保存在设备的根目录下,文件名称为domain-name_ca.cer、domain-name_local.cer或者domain-name_peerentity_entity-name.cer。

相关配置可参考命令pki domain

【举例】

# 从证书发布服务器上下载CA证书。

<Sysname> system-view

[Sysname] pki retrieval-certificate ca domain 1

1.1.32  pki retrieval-crl domain

【命令】

pki retrieval-crl domain domain-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

domain-name:包含证书申请中CA或RA等信息的域名,为1~15个字符的字符串。

【描述】

pki retrieval-crl domain命令用来从CRL发布服务器上获取最新的CRL。

下载CRL的目的是验证当前证书的合法性。

相关配置请参考命令pki domain

【举例】

# 从CRL发布服务器上获取CRL。

<Sysname> system-view

[Sysname] pki retrieval-crl domain 1

1.1.33  pki validate-certificate

【命令】

pki validate-certificate { ca | local } domain domain-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ca:表示验证CA证书。

local:表示验证本地证书。

domain-name:指明待验证证书所在的域,为1~15个字符的字符串。

【描述】

pki validate-certificate命令用来检查证书的有效性。

证书验证的核心就是检查CA在证书上的签名,并确定证书仍在有效期内,而且未被废除。

相关配置可参考命令pki domain

【举例】

# 检查本地证书的有效性。

<Sysname> system-view

[Sysname] pki validate-certificate local domain 1

1.1.34  root-certificate fingerprint

【命令】

root-certificate fingerprint { md5 | sha1 } string

undo root-certificate fingerprint

【视图】

PKI域视图

【缺省级别】

2:系统级

【参数】

md5:使用MD5指纹。

sha1:使用SHA1指纹。

string:指定所使用的指纹。当选择MD5指纹时,string必须为32个字符,并且以16进制的形式输入;当选择SHA1指纹时,string必须为40个字符,并且以16进制的形式输入。

【描述】

root-certificate fingerprint命令用来配置验证CA根证书时所使用的指纹。undo root-certificate fingerprint命令用来取消配置的指纹。

缺省情况下,未指定验证CA根证书时使用的指纹。

【举例】

# 配置验证CA根证书时使用的MD5指纹。

<Sysname> system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] root-certificate fingerprint md5 12EF53FA355CD23E12EF53FA355CD23E

# 配置验证CA根证书时使用的SHA1指纹。

[Sysname-pki-domain-1] root-certificate fingerprint sha1 D1526110AAD7527FB093ED7FC037B0B3CDDDAD93

1.1.35  rule (PKI Cert access control policy view)

【命令】

rule [ id ] { deny | permit } group-name

undo rule { id | all }

【视图】

证书属性的访问控制策略视图

【缺省级别】

2:系统级

【参数】

id:证书属性访问控制规则编号,取值范围为1~16,缺省值为1~16中未被使用的最小的编号。

deny:当证书的属性与属性组里定义的属性匹配时,认为该证书无效,访问控制策略检测不通过。

permit:当证书的属性与属性组里定义的属性匹配时,认为该证书有效,访问控制策略检测通过。

group-name:规则所关联的证书属性组名称,为1~16个字符的字符串,不区分大小写,不能是“a”、“al”和“all”。

all:所有控制规则。

【描述】

rule命令用来创建证书属性的访问控制规则。undo rule命令用来删除指定或者所有访问控制规则。

缺省情况下,不存在证书属性的访问控制规则。

需要注意的是,规则所关联的证书属性组必须已经存在。

【举例】

# 创建一个访问控制规则,该规则表示,当证书与mygroup证书属性组匹配时,认为该证书有效,访问控制策略检测通过。

<Sysname> system-view

[Sysname] pki certificate access-control-policy mypolicy

[Sysname-pki-cert-acp-mypolicy] rule 1 permit mygroup

1.1.36  state

【命令】

state state-name

undo state

【视图】

PKI实体视图

【缺省级别】

2:系统级

【参数】

state-name:州或省的名称,为1~31个字符的字符串,不区分大小写,不能包含逗号。

【描述】

state命令用来配置实体所属的州或省的名称。undo state命令用来删除所属的州或省的名称。

缺省情况下,未指定实体所在州或省。

【举例】

# 配置实体所在省为country。

<Sysname> system-view

[Sysname] pki entity 1

[Sysname-pki-entity-1] state country

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!