• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

04-系统管理命令参考

目录

01-CA中心命令

本章节下载 01-CA中心命令  (185.82 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Command/Command_Manual/ACG1000_CR(R6612_E6453)/04/202104/1406767_30005_0.htm

01-CA中心命令


1 CA中心命令

1.1  CA中心命令

1.1.1  pki ca crl export tftp

pki ca crl export tftp命令用来通过TFTP协议将CRL文件导出至TFTP服务器。

【命令】

pki ca crl export tftp ip-address

【视图】

用户视图

【参数】

ip-address:TFTP服务器地址。

【举例】

# 导出CRL文件至TFT服务器。

host# pki ca crl export tftp 192.168.1.105

Upload file test_ca.crl ....

 

Upload file(test_ca.crl) success.

【相关命令】

·     display pki ca crl

1.1.2  pki ca crl generate

pki ca crl generate命令用来根据CA根证书生成CRL文件。

【命令】

pki ca crl generate

【视图】

用户视图

【使用指导】

设备上需要存在CA根证书。

当需要立即生成与CA根证书对应的CRL文件时,执行此命令。

【举例】

# 立即更新CRL文件。

host# pki ca crl generate

【相关命令】

·     display pki ca crl

1.1.3  pki ca crl update-period

pki ca crl update-period命令用来配置CRL文件自动更新的间隔时间。

【命令】

pki ca crl update-period interval-time<1-30>

【缺省情况】

缺省情况下,CRL自动更新的间隔时间为30天。

【视图】

系统视图

【参数】

interval-time:CRL文件自动更新的间隔时间。取值范围为1~30天。默认为30天。

【使用指导】

当需要立即更新CRL文件时,请执行pki ca crl generate命令。

【举例】

# 配置CRL文件自动更新周期为10天。

host# system-view

host(config)# pki ca crl update-period 10

【相关命令】

·     display pki ca crl

1.1.4  pki ca root-certificate cert_key import tftp

pki ca root-certificate cert_key import tftp命令用来通过TFTP服务器导入证书密钥分离格式的CA根证书。

【命令】

pki ca root-certificate cert_key import tftp ip-address certificate keyfile [ password ]

【缺省情况】

缺省情况下,没有配置CA根证书。

【视图】

用户视图

【参数】

ip-address:TFTP服务器IP地址。

certificate:导入的CA根证书的名称。名称最长不超过63个字符,名称中不能带“()”,支持“.cer”格式。

keyfile:导入的CA根证书的密钥文件名称。名称最长不超过63个字符,名称中不能带“()”,支持“.key”格式。

password:证书的保护密码。不超过63个字符。

【使用指导】

导入时,TFTP服务器上需要有相应的导入证书才可导入。

导入证书成功后,会删除原有的CA根证书。

【举例】

# 导入一个CA根证书。

host# pki ca root-certificate cert_key import tftp 192.168.1.2 test_ca.cer test_ca.key

This new CA certificate will replace the old one? Please enter "y/n"  to confirm:  y

Download file test_ca.cer ....

Download file(test_ca.cer) success.

 

Download file test_ca.key ....

Download file(test_ca.key) success.

【相关命令】

·     display pki ca root-certificate

1.1.5  pki ca root-certificate export tftp

pki ca root-certificate export tftp命令用来通过TFTP协议将CA根证书导出到TFTP服务器。

【命令】

pki ca root-certificate export tftp ip-address { pem | p12 }

【视图】

用户视图

【参数】

ip-address:TFTP服务器IP地址。

pem:导出证书为密钥证书分离格式。

p12:导出证书为单个文件格式。

【使用指导】

导出时需要TFTP服务器网络可达。

导出时需要设备上存在CA根证书。

【举例】

# 导出CA根证书至TFTP服务器。

host# pki ca root-certificate export tftp 192.168.1.10 p12

Upload file test_ca.p12 ....

 

Upload file(test_ca.p12) success.

【相关命令】

·     display pki ca root-certificate

1.1.6  pki ca root-certificate pkcs12 import tftp

pki ca root-certificate pkcs12 import tftp命令用来通过TFTP服务器导入PKCS12格式的CA根证书。

【命令】

pki ca root-certificate pkcs12 import tftp ip-address certificate  [ password ]

【缺省情况】

缺省情况下,没有配置CA根证书。

【视图】

用户视图

【参数】

ip-addressTFTP服务器的IP地址。

certificate导入的证书名称,名称最长不超过63个字符,名称中不能带“()”,支持“.p12”格式。

password证书的保护密码。最多可输入63个字符。

【使用指导】

导入时,TFTP服务器上需要有相应的导入证书才可导入。

导入证书成功后,会删除原有的CA根证书。

【举例】

# 导入一个CA根证书。

host# pki ca root-certificate pkcs12 import tftp 192.168.1.2 test_ca.p12 1

This new CA certificate will replace the old one? Please enter "y/n"  to confirm:  y

Download file test_ca.p12 ....

 

Download file(test_ca.p12) success.

【相关命令】

·     display pki ca root-certificate

1.1.7  display pki ca crl

display pki ca crl命令用来显示CRL文件的内容。

【命令】

display pki ca crl

【视图】

用户视图

【举例】

# 显示CRL文件内容。

host# display pki ca crl

Certificate Revocation List (CRL):

        Version 2 (0x1)

    Signature Algorithm: sha1WithRSAEncryption

        Issuer: /C=CN/O=OR/ST=PRO/CN=test_ca/L=LOCATION/OU=DE

        Last Update: Jun 24 09:37:25 2014 GMT

        Next Update: Jul 24 09:37:25 2014 GMT

        CRL extensions:

            X509v3 CRL Number:

                1

            X509v3 Authority Key Identifier:

                DirName:/C=CN/O=OR/ST=PRO/CN=test_ca/L=LOCATION/OU=DE

                serial:D5:1E:36:4F:B1:E6:55:A8

 

Revoked Certificates:

    Serial Number: 93094F4168DF73AC

        Revocation Date: Jun 24 09:35:22 2014 GMT

        CRL entry extensions:

            X509v3 CRL Reason Code:

                Key Compromise

    Serial Number: D6A57BF1F6EA3873

        Revocation Date: Jun 24 09:35:52 2014 GMT

        CRL entry extensions:

            X509v3 CRL Reason Code:

                CA Compromise

    Serial Number: D1FA7F2CB225F633

        Revocation Date: Jun 24 09:37:25 2014 GMT

        CRL entry extensions:

            X509v3 CRL Reason Code:

                Unspecified

    Signature Algorithm: sha1WithRSAEncryption

         ab:4c:26:83:fe:42:26:91:61:1d:8b:ee:b9:de:27:5a:84:f1:

         0f:b0:bb:d2:e2:80:50:75:d1:20:7c:54:e0:de:59:76:cd:07:

         44:49:b8:07:00:31:c3:7c:74:a1:b1:4c:b1:81:94:da:40:d1:

         d4:60:ba:3d:2b:ee:96:dd:58:15:db:0c:cd:e7:d4:ff:19:ae:

         73:77:82:10:20:0f:13:7b:ed:97:88:43:3a:06:a0:af:3c:67:

         93:82:4d:1e:d9:71:02:3e:59:9d:04:01:3a:ac:ce:68:52:70:

         7a:ca:da:cb:b1:5c:f3:9e:8a:af:de:b4:72:07:0b:9e:ef:8f:

         8b:c9

1.1.8  display pki ca root-certificate

display pki ca root-certificate命令用来显示CA根证书的内容。

【命令】

display pki ca root-certificate

【视图】

用户视图

【使用指导】

仅当CA根证书存在的情况下,才能显示出CA根证书的内容。

【举例】

# 显示CA根证书的内容。

host# display pki ca root-certificate

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number: 15356771495294948776 (0xd51e364fb1e655a8)

    Signature Algorithm: sha1WithRSAEncryption

        Issuer: C=CN, O=OR, ST=PRO, CN=test_ca, L=LOCATION, OU=DE

        Validity

            Not Before: Jun 20 03:16:47 2014 GMT

            Not After : Jul 10 03:16:47 2014 GMT

        Subject: C=CN, O=OR, ST=PRO, CN=test_ca, L=LOCATION, OU=DE

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                Public-Key: (1024 bit)

                Modulus:

                    00:c9:db:1e:45:66:2d:b5:6c:06:a0:79:62:4d:6c:

                    ce:92:4b:16:89:3b:5a:0a:62:b7:d6:7b:68:ab:f8:

                    ac:1c:3d:04:2f:0f:7f:fa:9a:69:4e:09:8f:9d:e2:

                    a1:35:67:44:58:c5:8d:14:fa:36:6f:c5:0f:b3:9b:

                    01:7e:1d:00:dc:44:ad:4a:34:16:1f:e9:af:1d:62:

                    6a:68:cb:e1:d9:30:e7:e2:0e:59:e7:ed:48:3d:83:

                    75:4e:12:df:90:35:0d:22:5c:7a:35:69:f7:33:ab:

                    39:58:68:ae:d7:71:55:65:36:53:f1:b4:09:3f:71:

                    c1:c0:66:0d:19:a2:e1:69:eb

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Basic Constraints: critical

                CA:TRUE

            X509v3 Key Usage: critical

                Digital Signature, Certificate Sign, CRL Sign

    Signature Algorithm: sha1WithRSAEncryption

         2d:cb:0a:a8:d5:20:c7:f9:94:16:20:14:48:8d:26:40:ac:01:

         8e:e1:42:f6:17:28:48:7a:56:d5:67:24:81:60:5e:e4:60:46:

         13:64:5b:8b:f1:87:b1:f1:04:3e:63:7f:eb:79:61:43:91:1f:

         06:0f:b5:e7:a5:d4:04:be:6a:93:46:70:90:c4:af:a5:61:67:

         9d:1b:b1:39:e0:ca:17:58:3e:33:3b:48:71:80:dd:23:9b:94:

         34:f7:6b:6b:60:ee:fd:cc:dc:61:63:c5:c1:52:37:95:05:b1:

         d8:14:85:65:8a:71:61:f4:19:9f:66:fd:39:de:a5:a7:c0:d4:

         88:d0

1.1.9  display running-config pki

display running-config pki命令用来显示CA中心的配置。

【命令】

display running-config pki

【视图】

用户视图

【举例】

# 显示CA中心的配置。

host# display running-config pki

pki ca crl update-period 30

!

1.2  用户证书命令

1.2.1  no pki ca user-certificate

no pki ca user-certificate命令用来删除设备上的用户证书。

【命令】

no pki ca user-certificate certificate

【视图】

用户视图

【参数】

certificate:需要被删除的证书名称。

【使用指导】

删除证书后,签发撤销记录中也将删除该证书的记录。

删除的证书必须是设备上存在的证书。

【举例】

# 删除一个证书。

host# no pki ca user-certificate test.cer

【相关命令】

·     display pki ca user-certificate

1.2.2  pki ca user-certificate copy

pki ca user-certificate copy命令用来将指定的用户证书拷贝到本地证书中的用户证书。

【命令】

pki ca user-certificate copy certificate

【视图】

用户视图

【参数】

certificate:用户证书的名称。

【使用指导】

拷贝的证书必须是设备上存在的证书。

【举例】

# 拷贝一个证书到本地证书中的用户证书。

host# pki ca user-certificate copy test.cer

1.2.3  pki ca user-certificate export tftp

pki ca user-certificate export tftp命令用来通过TFTP协议导出用户证书。

【命令】

pki ca user-certificate export tftp ip-address certificate { p12 | pem }

【视图】

用户视图

【参数】

ip-address:TFTP服务器的地址。

certificate:被导出的证书的名称。

p12:导出为PKCS12格式的证书。

pem:导出为PEM格式的证书。

【使用指导】

导出的证书仅为设备上存在的用户证书。

【举例】

# 导出一个用户证书。

host# pki ca user-certificate export tftp 192.168.1.105 test.cer p12

Upload file test.p12 ....

 

Upload file(test.p12) success.

【相关命令】

·     display pki ca user-certificate

1.2.4  pki ca user-certificate revoke

pki ca user-certificate revoke命令用来撤销已签发的用户证书。

【命令】

pki ca user-certificate revoke certificate reason { Unspecified | KeyCompromise | CaCompromise | Affiliation Changed }

【视图】

用户视图

【参数】

certificate:需要被撤销的用户证书的名称。

Unspecified:撤销原因为未指定。

KeyCompromise:撤销原因为私钥泄露。

CaCompromise:撤销原因为CA证书泄露。

Affiliation Changed:撤销原因为从属关系改变。

【使用指导】

能被撤销的用户证书,仅为已签发的用户证书。

撤消后,用户证书将不再为有效证书。

撤销的证书必须是设备上存在的证书。

【举例】

# 撤销一个用户证书。

host# pki ca user-certificate revoke test.cer reason KeyCompromise

【相关命令】

·     display pki ca user-certificate

1.2.5  pki ca user-certificate sign

pki ca user-certificate sign命令用来签发用户证书。

【命令】

pki ca user-certificate sign certificate days days password password

【缺省情况】

缺省情况下,没有用户证书请求,不能进行用户证书的签发。

【视图】

用户视图

【参数】

certificate:需要被签发的用户证书的名称。

days:被签发的用户证书的有效期。取值范围为1~65535天。

password:签发的用户证书的保护密码。最多可为63个字符。

【使用指导】

用户请求证书只可以在WEB页面中创建,命令行下仅可以进行签发。

被签发的用户请求证书,仅为已创建的用户请求证书。

【举例】

# 签发用户请求证书test.csr。

host# pki ca user-certificate sign test.csr days 10 password 1

【相关命令】

·     display pki ca user-certificate

1.2.6  display pki ca user-certificate

display pki ca user-certificate命令用来显示所有的用户证书或者指定用户证书的详细内容。

【命令】

display pki ca user-certificate [ certificate ]

【视图】

用户视图

【参数】

certificate:用户证书的名称。

【使用指导】

当指定某一存在的用户证书时,将显示该证书的详细内容。

当不指定用户证书时,将显示设备上所有的用户证书的简略信息。

【举例】

# 显示所有的用户证书。

host# display pki ca user-certificate

Name             version  location   status         reference  subject

----------------------------------------------------------------------------------------

test.cer         3        Local      Certificate    0          C=CN,CN=test

----------------------------------------------------------------------------------------

  Total file: 1; Local certificate file: 1; Local certificate request file: 0

#显示一个用户证书的详细内容。

host# display pki ca user-certificate test.cer

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number: 12580604629034846311 (0xae9749415541c867)

    Signature Algorithm: sha1WithRSAEncryption

        Issuer: C=CN, O=OR, ST=PRO, CN=test_ca, L=LOCATION, OU=DE

        Validity

            Not Before: Jul  5 03:00:03 2014 GMT

            Not After : Jul 15 03:00:03 2014 GMT

        Subject: C=CN, CN=test

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                Public-Key: (1024 bit)

                Modulus:

                    00:c2:27:5a:cd:42:40:ab:b1:bc:10:6c:10:6c:2b:

                    80:f1:75:11:43:c7:ee:3b:91:c3:7d:c7:ea:ca:96:

                    f8:4b:5d:5f:f2:ed:c3:24:23:40:a4:ee:e2:83:07:

                    11:db:6a:dd:a6:1d:a6:5a:5f:9c:ec:14:70:a9:63:

                    9a:ba:88:7e:54:98:c5:ca:5d:65:11:c1:f0:90:95:

                    f8:05:29:b2:c1:32:88:06:8f:76:1c:fc:f2:53:36:

                    a9:fe:13:08:c7:e8:dd:31:e9:00:cf:f2:32:fb:3b:

                    4c:9f:19:3d:61:5d:49:b9:3b:72:4c:9c:30:f9:e9:

                    82:16:27:25:29:87:e5:d6:3f

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Key Usage:

                Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment

            X509v3 Extended Key Usage:

                TLS Web Server Authentication, TLS Web Client Authentication, E-mail Protection, Code Signing, Microsoft Server Gated Crypto, OCSP Signing, Time Stamping, dvcs

    Signature Algorithm: sha1WithRSAEncryption

         4a:f6:d4:fd:33:26:20:7c:79:da:19:2a:f6:58:bf:65:44:4a:

         d2:50:59:be:52:0f:26:03:14:2e:e3:11:a7:21:9a:04:96:0a:

         93:de:8b:54:a2:b8:b7:69:2f:60:ef:96:d1:7a:a3:4d:e0:4b:

         46:f3:86:2b:8e:84:39:8d:96:9e:d6:68:21:04:b2:ad:90:2d:

         08:ee:16:7d:85:eb:17:df:e0:f3:74:8e:74:0e:9b:9c:f0:14:

         27:b0:ad:72:84:a6:de:ed:c0:a1:5d:45:a5:e2:38:ea:c9:ae:

         de:18:0f:cd:bb:9f:5e:c5:e1:1b:e9:9a:4c:6e:4d:83:55:cf:

         17:14

表1-1 显示用户证书信息命令显示信息描述表

字段

描述

Name

用户证书的名称

version

证书版本信息

location

证书位置信息

status

证书状态,有Requset、Certificate、Revoked状态

reference

证书被引用次数

subject

主题信息

Requset

请求证书状态

Certificate

已签发的证书状态

Revoked

已撤销的证书状态

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们