- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
02-本地证书命令
本章节下载: 02-本地证书命令 (186.91 KB)
目 录
1.1.1 no pki local certificate
1.1.2 pki local certificate cert_key import tftp
1.1.3 pki local certificate export tftp
1.1.4 pki local certificate pkcs12 import tftp
1.1.5 display pki local certificate
1.2.2 pki local ca export tftp
1.2.3 pki local ca import tftp
1.3.2 pki local crl export tftp
1.3.3 pki local crl import tftp
1.4.2 display pki local crl auto-get
no pki local certificate命令用来删除指定的用户证书。
【命令】
no pki local certificate certificate
【视图】
用户视图
【参数】
certificate:被删除的用户证书的名称。
【使用指导】
被删除的证书需要是在设备上存在的证书。
【举例】
# 删除一个用户证书。
host# no pki local certificate test.cer
【相关命令】
· display pki local certificate
pki local certificate cert_key import tftp命令用来通过TFTP协议导入证书密钥分离格式的用户证书。
【命令】
pki local certificate cert_key import tftp ip-address certificate keyfile [ password ]
【缺省情况】
缺省情况下,没有配置任何用户证书。
【视图】
用户视图
【参数】
ip-address:TFTP服务器IP地址。
certificate:导入的CA根证书的名称。名称最长不超过63个字符,名称中不能带“()”,支持“.cer”格式。
keyfile:导入的CA根证书的密钥文件名称。名称最长不超过31个字符,名称中不能带“()”,仅支持“.key”格式。
password:证书的保护密码。不超过63个字符。
【使用指导】
导入时,TFTP服务器上需要有相应的导入证书才可导入。
【举例】
# 导入一个用户证书。
host# pki local certificate cert_key import tftp 192.168.1.2 test.cer test.key
Download file test.cer ....
Download file(test.cer) success.
Download file test.key ....
Download file(test.key) success.
【相关命令】
· display pki local certificate
pki local certificate export tftp命令用来通过TFTP协议导出用户证书至TFTP服务器。
【命令】
pki local certificate export tftp ip-address certificate { p12 | pem } [ password ]
【视图】
用户视图
【参数】
ip-address:TFTP服务器IP地址。
certificate:导出证书的名称。
pem:导出证书为密钥证书分离格式。
p12:导出证书为单个文件格式。
password:导出证书为p12格式时的保护密码,与生成证书时的保护密码相同。
【使用指导】
导出时需要TFTP服务器网络可达。
导出时需要设备上存在相应的用户证书。
【举例】
# 导出用户证书至TFTP服务器。
host# pki local certificate export tftp 192.168.1.105 test.cer p12 1
Upload file test_ca.p12 ....
Upload file(test_ca.p12) success.
【相关命令】
· display pki local certificate
pki local certificate pkcs12 import tftp命令用来通过TFTP协议导入PKCS12格式的用户证书。
【命令】
pki local certificate pkcs12 import tftp ip-address certificate [ password ]
【缺省情况】
缺省情况下,没有配置任何用户证书。
【视图】
用户视图
【参数】
ip-address:TFTP服务器的IP地址。
certificate:导入的证书名称,名称最长不超过63个字符,名称中不能带“()”,支持“.p12”格式。
password:证书的保护密码。最多可输入63个字符。
【举例】
# 导入一个用户证书。
host# pki local certificate pkcs12 import tftp 192.168.1.105 test.p12 1
Download file test.p12 ....
Download file(test.p12) fail.
【相关命令】
· display pki local certificate
display pki local certificate命令用来显示所有用户证书的概略信息,或者指定证书的详细信息。
【命令】
display pki local certificate [ certificate ]
【视图】
用户视图
【参数】
certificate:要显示的用户证书的名称。
【举例】
# 显示所有用户证书的概略信息。
host# display pki local certificate
Name version location status reference subject
----------------------------------------------------------------------------------------
test.cer 3 Local Certificate 0 C=CN,CN=test
----------------------------------------------------------------------------------------
Total file: 1; Local certificate file: 1; Local certificate request file: 0
# 显示指定证书的详细内容。
host# display pki local certificate test.cer
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 11411664746016242959 (0x9e5e609ffa257d0f)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CN, O=OR, ST=PRO, CN=test_ca, L=LOCATION, OU=DE
Validity
Not Before: Jul 5 05:39:09 2014 GMT
Not After : Jul 15 05:39:09 2014 GMT
Subject: C=CN, CN=test
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:bd:6c:aa:56:4f:ab:c6:62:d5:f8:77:9b:66:86:
71:30:11:6c:73:b6:96:54:d6:eb:d3:7f:87:97:10:
03:30:87:76:86:95:78:4b:25:a8:eb:34:49:8b:ab:
0d:f2:c1:19:7c:99:a4:55:5b:53:4e:ce:98:a9:90:
4a:89:8c:61:f0:7a:16:3a:0b:32:1d:c0:29:20:91:
94:e8:5f:eb:ab:89:17:ae:9b:c6:bf:6c:76:db:b6:
05:80:2a:d3:7b:3e:30:d4:f7:65:49:8a:c5:b8:02:
f9:b3:60:08:6a:41:a2:88:6a:6e:2c:d6:74:ca:82:
b1:44:12:2e:c5:94:b9:3e:a5
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication, E-mail Protection, Code Signing, Microsoft Server Gated Crypto, OCSP Signing, Time Stamping, dvcs
Signature Algorithm: sha1WithRSAEncryption
33:98:35:1e:93:6e:b5:d9:8d:8c:f8:0f:93:89:40:52:10:2a:
19:04:61:62:e9:27:27:40:e9:89:86:d1:08:68:01:39:35:5a:
c6:47:1d:4c:40:aa:3e:b8:97:d1:ce:06:24:f9:7b:10:f5:54:
fa:ce:06:28:a5:ed:1e:03:34:a1:1e:e7:a6:35:3d:35:ab:ca:
98:0a:5d:04:34:99:71:ec:97:2d:8b:58:05:42:66:05:8a:73:
30:ca:a9:3d:08:60:78:6f:99:a1:4e:b2:2b:10:85:f9:c3:23:
ed:47:be:48:06:85:74:dd:f6:63:48:5f:50:66:ec:d3:2a:bf:
3d:e7
表1-1 display pki local certificate显示信息描述表
|
字段 |
描述 |
|
Name |
用户证书的名称 |
|
version |
证书版本信息 |
|
location |
证书位置信息 |
|
status |
证书状态,通常为Certificate状态 |
|
reference |
证书被引用次数 |
|
subject |
主题信息 |
|
Certificate |
已签发的证书状态 |
no pki local ca命令用来删除一个CA证书。
【命令】
no pki local ca certificate
【视图】
用户视图
【参数】
certificate:删除的证书名称。
【使用指导】
被删除的CA证书为在设备上存在的CA证书。
【举例】
# 删除一个CA证书。
host# no pki local ca test_ca.cer
【相关命令】
· display pki local ca
pki local ca export tftp命令用来通过TFTP协议导出一个CA证书至TFTP服务器。
【命令】
pki local ca export tftp ip-address certificate
【视图】
用户视图
【参数】
ip-address:TFTP服务器IP地址。
certificate:导出的证书名称。
【使用指导】
被导出的CA证书为在设备上存在的CA证书。
【举例】
# 导出一个CA证书至TFTP服务器。
host# pki local ca export tftp 192.168.1.105 test_ca.cer
Upload file test_ca.cer ....
Upload file(test_ca.cer) success.
【相关命令】
· display pki local ca
pki local ca import tftp命令用来通过TFTP协议向本地CA证书中导入CA证书。
【命令】
pki local ca import tftp ip-address certificate
【缺省情况】
缺省情况下,没有配置CA证书。
【视图】
用户视图
【参数】
ip-address:TFTP服务器IP地址。
certificate:导入的证书名称,名称最长不超过63个字符,名称中不能带“()”,支持“.cer”格式。
【使用指导】
导入时,TFTP服务器上需要有相应的导入证书才可导入。
【举例】
# 导入一个CA证书。
host# pki local ca import tftp 192.168.1.105 test_ca.cer
Download file test_ca.cer ....
Download file(test_ca.cer) success.
【相关命令】
· display pki local ca
display pki local ca命令用来显示所有本地CA证书的概要信息或者某个证书的详细内容。
【命令】
display pki local ca [ certificate ]
【视图】
用户视图
【参数】
certificate:要显示详细信息的证书名称。
【举例】
# 显示所有CA证书的概要信息。
host# display pki local ca
Name version reference subject
----------------------------------------------------------------------------------------
test_ca.cer 3 0 C=CN,O=OR,ST=PRO,CN=test_ca,L=LOCATION,OU=DE
----------------------------------------------------------------------------------------
Total CA certificate file: 1
# 显示指定CA证书的内容。
host# display pki ca root-certificate
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 15356771495294948776 (0xd51e364fb1e655a8)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CN, O=OR, ST=PRO, CN=test_ca, L=LOCATION, OU=DE
Validity
Not Before: Jun 20 03:16:47 2014 GMT
Not After : Jul 10 03:16:47 2014 GMT
Subject: C=CN, O=OR, ST=PRO, CN=test_ca, L=LOCATION, OU=DE
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c9:db:1e:45:66:2d:b5:6c:06:a0:79:62:4d:6c:
ce:92:4b:16:89:3b:5a:0a:62:b7:d6:7b:68:ab:f8:
ac:1c:3d:04:2f:0f:7f:fa:9a:69:4e:09:8f:9d:e2:
a1:35:67:44:58:c5:8d:14:fa:36:6f:c5:0f:b3:9b:
01:7e:1d:00:dc:44:ad:4a:34:16:1f:e9:af:1d:62:
6a:68:cb:e1:d9:30:e7:e2:0e:59:e7:ed:48:3d:83:
75:4e:12:df:90:35:0d:22:5c:7a:35:69:f7:33:ab:
39:58:68:ae:d7:71:55:65:36:53:f1:b4:09:3f:71:
c1:c0:66:0d:19:a2:e1:69:eb
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
Signature Algorithm: sha1WithRSAEncryption
2d:cb:0a:a8:d5:20:c7:f9:94:16:20:14:48:8d:26:40:ac:01:
8e:e1:42:f6:17:28:48:7a:56:d5:67:24:81:60:5e:e4:60:46:
13:64:5b:8b:f1:87:b1:f1:04:3e:63:7f:eb:79:61:43:91:1f:
06:0f:b5:e7:a5:d4:04:be:6a:93:46:70:90:c4:af:a5:61:67:
9d:1b:b1:39:e0:ca:17:58:3e:33:3b:48:71:80:dd:23:9b:94:
34:f7:6b:6b:60:ee:fd:cc:dc:61:63:c5:c1:52:37:95:05:b1:
d8:14:85:65:8a:71:61:f4:19:9f:66:fd:39:de:a5:a7:c0:d4:
88:d0
表1-2 display pki local ca显示信息描述表
|
字段 |
描述 |
|
Name |
用户证书的名称 |
|
version |
证书版本信息 |
|
reference |
证书被引用次数 |
|
subject |
主题信息 |
no pki local crl命令用来删除一个CRL证书。
【命令】
no pki local crl certificate
【视图】
用户视图
【参数】
certificate:要删除的CRL证书的名称。
【使用指导】
被删除的CRL证书必须在设备上存在。
【举例】
# 删除一个CRL证书。
host# no pki local crl test_ca.crl
【相关命令】
· display pki local crl
pki local crl export tftp命令用来通过TFTP协议导出CRL证书至TFTP服务器。
【命令】
pki local crl export tftp ip-address certificate
【视图】
用户视图
【参数】
ip-address:TFTP服务器IP地址。
certificate:导出的CRL证书名称。
【使用指导】
导出的CRL证书在设备上存在才可导出。
【举例】
# 导出一个CRL证书至TFTP服务器。
host# pki local crl export tftp 192.168.1.105 test_ca.crl
Upload file test_ca.crl ....
Upload file(test_ca.crl) success.
【相关命令】
· display pki local crl
pki local crl import tftp命令用来通过TFTP协议导入CRL证书。
【命令】
pki local crl import tftp ip-address certificate
【缺省情况】
缺省情况下,没有配置CRL证书。
【视图】
用户视图
【参数】
ip-address:TFTP服务器IP地址。
certificate:导入的CRL证书名称,名称最长不超过63个字符,名称中不能带“()”,支持“.crl”格式。
【使用指导】
导入时,TFTP服务器上需要有相应的导入证书才可导入。
【举例】
# 导入CRL证书。
host# pki local crl import tftp 192.168.1.105 test_ca.crl
Download file test_ca.crl ....
Download file(test_ca.crl) success.
【相关命令】
· display pki local crl
display pki local crl命令用来显示所有CRL证书的概要息或者某个CRL证书的详细内容。
【命令】
display pki local crl [ certificate ]
【视图】
用户视图
【参数】
certificate:为要显示的CRL证书的名称。
【举例】
# 显示所有CRL证书的概要信息。
host# display pki local crl
Name version issuer
----------------------------------------------------------------------------------------
test_ca.crl 2 C=CN,O=OR,ST=PRO,CN=test_ca,L=LOCATION,OU=DE
----------------------------------------------------------------------------------------
Total CRL file: 1
# 显示指定CRL证书的详细信息。
host# display pki local crl test_ca.crl
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: /C=CN/O=OR/ST=PRO/CN=test_ca/L=LOCATION/OU=DE
Last Update: Jul 5 03:18:47 2014 GMT
Next Update: Jul 15 03:18:47 2014 GMT
CRL extensions:
X509v3 CRL Number:
1
X509v3 Authority Key Identifier:
DirName:/C=CN/O=OR/ST=PRO/CN=test_ca/L=LOCATION/OU=DE
serial:D5:1E:36:4F:B1:E6:55:A8
Revoked Certificates:
Serial Number: AE9749415541C867
Revocation Date: Jul 5 03:18:47 2014 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha1WithRSAEncryption
90:3f:61:80:b4:da:6d:08:2f:bd:4b:2d:9a:01:c1:40:c5:e4:
67:5d:4e:b2:8c:37:e7:61:08:90:5a:1a:e5:ee:60:59:12:db:
92:20:15:d6:ed:ef:e7:8d:f7:2c:fc:50:e1:97:dd:e2:60:4b:
24:b3:c6:d7:81:b1:c2:68:61:f4:c0:2a:53:b8:2c:fe:cd:4c:
7e:3c:8e:b9:f4:c1:81:d4:87:cc:a9:72:45:37:67:11:b2:7a:
e1:be:46:9d:ca:53:d1:82:76:d7:2e:5a:54:24:38:b1:b5:82:
32:3c:63:e8:41:0d:14:ad:d3:71:e9:d0:8c:7e:b0:32:c3:fc:
f9:5d
表1-3 display pki local crl显示信息描述表
|
字段 |
描述 |
|
Name |
用户证书的名称 |
|
version |
证书版本信息 |
|
issuer |
签发者信息 |
pki local crl auto-get命令用来添加一条自动获取CRL证书的配置。
no pki local crl auto-get命令用来删除一条自动获取CRL证书的配置。
【命令】
pki local crl auto-get name interval-time { http-url | ldap-server } server
no pki local crl auto-get name
【缺省情况】
缺省情况下,没有自动获取CRL文件的配置。
【视图】
系统视图
【参数】
name:自动获取CRL证书的配置名称。为1~31个字符的字符串,且不能包含“%!"#$&`*+,/:;<=>?\^'{}!”。
interval-time:自动获取CRL证书的间隔时间。取值范围为1到720小时。
server:CRL证书服务器。
http-url:通过HTTP协议获取CRL证书。
ldap-server:从LDAP服务器获取CRL证书。
【使用指导】
自动获取到的CRL证书将以自动获取配置的名称命名。
【举例】
# 创建一条自动获取CRL证书的配置。
host(config)# pki local crl auto-get auto-crl 24 http-url http://192.168.1.1/ca.crl
【相关命令】
· display pki local crl auto-get
· display running-config pki
display pki local crl auto-get命令用来显示所有自动获取CRL证书的配置。
【命令】
display pki local crl auto-get [ name ]
【视图】
用户视图
【参数】
name:自动获取CRL证书的配置名称。
【举例】
# 显示所有CRL自动获取的配置。
host# display pki local crl auto-get
Name Period Type Server
----------------------------------------------------------------------------------------
auto-crl 24 http-url http://192.168.1.1/ca.crl
----------------------------------------------------------------------------------------
Total: 1
# 显示指定CRL自动获取配置。
host# display pki local crl auto-get auto-crl
pki local crl auto-get auto-crl 24 http-url http://192.168.1.1/ca.crl
表1-4 显示CRL证书自动获取配置命令显示信息描述表
|
字段 |
描述 |
|
Name |
自动获取CRL证书的配置名称 |
|
Period |
自动获取的间隔时间 |
|
Type |
自动获取的方式,有http-url、ldap两种 |
|
Server |
自动获取的服务器信息 |
|
http-url |
通过HTTP协议获取 |
|
ldap |
通过LDAP服务器获取 |
【相关命令】
· display running-config pki
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
