登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

15-安全

目录

05-HH3C-PKI-MONITOR-MIB

本章节下载 05-HH3C-PKI-MONITOR-MIB  (231.75 KB)

05-HH3C-PKI-MONITOR-MIB

  录

HH3C-PKI-MONITOR-MIB

功能介绍

MIB文件名

告警信息

hh3cPKICACertInvalid

hh3cPKICACertValid

hh3cPKICrlInvalid

hh3cPKICrlValid

hh3cPKIGetCrlSucHttp

hh3cPKIGetCrlFailHttp

hh3cPKIGetCrlSucLdap

hh3cPKIGetCrlFailLdap

hh3cPKIGetCrlFailScep

hh3cPKILocalCertInvalid

hh3cPKILocalCertValid

hh3cPKIGetLocalCertSucLdap

hh3cPKIGetLocalCertFailLdap

hh3cPKIGetLocalCertSucScep

hh3cPKIGetLocalCertFailScep

hh3cPKILocalCertNearlyExpired

hh3cPKILocalCertHasExpired

 

HH3C-PKI-MONITOR-MIB

功能介绍

HH3C-PKI-MONITOR-MIB功能包括获取设备PKI TRAP信息、PKI告警信息上报等。

MIB文件名

hh3c-pki-monitor.mib

告警信息

hh3cPKICACertInvalid

【属性】

OID

告警标题

类型

级别

清除告警

缺省状态

1.3.6.1.4.1.25506.2.209.1.3.0.1

CA证书无效时告警

事件告警

警告

-

关闭

 

【触发原因】

CA证书无效时,生成本告警。

产生此告警的可能原因包括:

设备时间和CA服务器时间未同步。

配置验证CA根证书时所使用的指纹错误。

CA证书的格式不符合证书格式要求。

FIPS模式下,CA证书的签名算法和公钥长度不满足要求。

【系统影响】

证书相关业务功能不可用。

【状态控制】

开启

命令行:snmp-agent trap enable pki ca-cert-invalid

MIB:将hh3cPKICACertInvalidTrapCntl设置为true(1)

关闭

命令行:undo snmp-agent trap enable pki ca-cert-invalid

MIB:将hh3cPKICACertInvalidTrapCntl设置为false(2)

【绑定变量】

OID(变量名)

含义

索引节点

类型

取值范围

1.3.6.1.4.1.25506.2.209.1.1.1

 (hh3cPKICACertIssuer)

CA证书颁发者

DisplayString

OCTET STRING (0..255)

1.3.6.1.4.1.25506.2.209.1.1.2

 (hh3cPKICACertSubject)

CA证书主题

DisplayString

OCTET STRING (0..255)

1.3.6.1.4.1.25506.2.209.1.1.3

 (hh3cPKICACertStartTime)

CA证书开始生效的时间

DateAndTime

OCTET STRING (8 | 11)

1.3.6.1.4.1.25506.2.209.1.1.4 (hh3cPKICACertFinishTime)

CA证书到期的时间

DateAndTime

OCTET STRING (8 | 11)

 

【处理建议】

1.执行display clock命令检查设备时间是否正确。

  - 如果不正确,在用户视图下执行clock datetime命令修改设备时间。

  - 如果正确,请执行步骤2。

2.请检查配置验证CA根证书所使用的指纹是否正确。

  - 如果不正确,请通过root-certificate fingerprint命令配置正确。

  - 如果正确,请执行步骤2。

3.请通过在线申请或者离线导入方式申请新的CA证书。如果告警依然存在,请执行步骤4。

4.请收集告警信息和配置信息,并联系H3C技术支持工程师。

hh3cPKICACertValid

【属性】

OID

告警标题

类型

级别

清除告警

缺省状态

1.3.6.1.4.1.25506.2.209.1.3.0.2

CA证书有效时告警

事件告警

警告

-

关闭

 

【触发原因】

CA证书有效时,生成本告警。

【系统影响】

对业务无影响。

【状态控制】

开启

命令行:snmp-agent trap enable pki ca-cert-valid

MIB:将hh3cPKICACertValidTrapCntl设置为true(1)

关闭

命令行:undo snmp-agent trap enable pki ca-cert-valid

MIB:将hh3cPKICACertValidTrapCntl设置为false(2)

【绑定变量】

OID(变量名)

含义

索引节点

类型

取值范围

1.3.6.1.4.1.25506.2.209.1.1.1

 (hh3cPKICACertIssuer)

CA证书颁发者

DisplayString

OCTET STRING (0..255)

1.3.6.1.4.1.25506.2.209.1.1.2

 (hh3cPKICACertSubject)

CA证书主题

DisplayString

OCTET STRING (0..255)

1.3.6.1.4.1.25506.2.209.1.1.3

 (hh3cPKICACertStartTime)

CA证书开始生效的时间

DateAndTime

OCTET STRING (8 | 11)

1.3.6.1.4.1.25506.2.209.1.1.4 (hh3cPKICACertFinishTime)

CA证书到期的时间

DateAndTime

OCTET STRING (8 | 11)

 

【处理建议】

无需处理。

hh3cPKICrlInvalid

【属性】

OID

告警标题

类型

级别

清除告警

缺省状态

1.3.6.1.4.1.25506.2.209.1.3.0.3

CRL无效时告警

事件告警

警告

-

关闭

 

【触发原因】

CRL无效时,生成本告警。

产生此告警的可能原因包括:

设备时间和CA服务器时间未同步。

CA证书的公钥验签CRL失败。

FIPS模式下,CRL签名算法不符合要求。

【系统影响】

证书相关业务功能不可用。

【状态控制】

开启

命令行:snmp-agent trap enable pki crl-invalid

MIB:将hh3cPKICrlInvalidTrapCntl设置为true(1)

关闭

命令行:undo snmp-agent trap enable pki crl-invalid

MIB:将hh3cPKICrlInvalidTrapCntl设置为false(2)

【绑定变量】

OID(变量名)

含义

索引节点

类型

取值范围

1.3.6.1.4.1.25506.2.209.1.1.5

 (hh3cPKICrlIssuer)

CRL颁发者

DisplayString

OCTET STRING (0..255)

1.3.6.1.4.1.25506.2.209.1.1.6

 (hh3cPKICrlStartTime)

CRL开始生效的时间

DateAndTime

OCTET STRING (8 | 11)

1.3.6.1.4.1.25506.2.209.1.1.7 (hh3cPKICrlFinishTime)

CRL到期的时间

DateAndTime

OCTET STRING (8 | 11)

 

【处理建议】

1.执行display clock命令检查设备时间是否正确。

  - 如果不正确,在用户视图下执行clock datetime命令修改设备时间。

  - 如果正确,请执行步骤2。

2.请重新获取CA证书,并通过HTTP/LDAP/SCEP协议获取新的CRL。如果告警依然存在,则请执行步骤3。

3.请收集告警信息和配置信息,并联系H3C技术支持工程师。

hh3cPKICrlValid

【属性】

OID

告警标题

类型

级别

清除告警

缺省状态

1.3.6.1.4.1.25506.2.209.1.3.0.4

CRL有效时告警

事件告警

警告

-

关闭

 

【触发原因】

CRL有效时,生成本告警。

【系统影响】

对业务无影响。

【状态控制】

开启

命令行:snmp-agent trap enable pki crl-valid

MIB:将hh3cPKICrlValidTrapCntl设置为true(1)

关闭

命令行:undo snmp-agent trap enable pki crl-valid

MIB:将hh3cPKICrlValidTrapCntl设置为false(2)

【绑定变量】

OID(变量名)

含义

索引节点

类型

取值范围

1.3.6.1.4.1.25506.2.209.1.1.5

 (hh3cPKICrlIssuer)

CRL颁发者

DisplayString

OCTET STRING (0..255)

1.3.6.1.4.1.25506.2.209.1.1.6

 (hh3cPKICrlStartTime)

CRL开始生效的时间

DateAndTime

OCTET STRING (8 | 11)

1.3.6.1.4.1.25506.2.209.1.1.7 (hh3cPKICrlFinishTime)

CRL到期的时间

DateAndTime

OCTET STRING (8 | 11)

 

【处理建议】

无需处理。

hh3cPKIGetCrlSucHttp

【属性】

OID

告警标题

类型

级别

清除告警

缺省状态

1.3.6.1.4.1.25506.2.209.1.3.0.5

采用HTTP协议获取CRL成功时告警

事件告警

警告

-

关闭

 

【触发原因】

采用HTTP协议获取CRL成功时,生成本告警。

【系统影响】

对业务无影响。

【状态控制】

开启

命令行:snmp-agent trap enable pki crl-http-success

MIB:将hh3cPKIGetCrlSucHttpTrapCntl设置为true(1)

关闭

命令行:undo snmp-agent trap enable pki crl-http-success

MIB:将hh3cPKIGetCrlSucHttpTrapCntl设置为false(2)

【绑定变量】

OID(变量名)

含义

索引节点

类型

取值范围

1.3.6.1.4.1.25506.2.209.1.1.8

 (hh3cPKIDomainName)

PKI域名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.9

 (hh3cPKICrlUrl)

CRL的URL路径

OCTET STRING

OCTET STRING  (0..1023)

1.3.6.1.4.1.25506.2.209.1.1.10 (hh3cPKIVrfName)

VPN实例名称

OCTET STRING

OCTET STRING  (0..31)

 

【处理建议】

无需处理。

hh3cPKIGetCrlFailHttp

【属性】

OID

告警标题

类型

级别

清除告警

缺省状态

1.3.6.1.4.1.25506.2.209.1.3.0.6

采用HTTP协议获取CRL失败时告警

事件告警

警告

-

关闭

 

【触发原因】

采用HTTP协议获取CRL失败时,生成本告警。

产生此告警的可能原因包括:

设备时间和HTTP服务器时间未同步。

设备与HTTP服务器之间的路由不可达。

CA服务器没有签发CRL。

CRL发布点位置设置不正确。

HTTP服务器的服务不正常。

【系统影响】

CRL到期后,证书相关业务功能不可用。

【状态控制】

开启

命令行:snmp-agent trap enable pki crl-http-failure

MIB:将hh3cPKIGetCrlFailHttpTrapCntl设置为true(1)

关闭

命令行:undo snmp-agent trap enable pki crl-http-failure

MIB:将hh3cPKIGetCrlFailHttpTrapCntl设置为false(2)

【绑定变量】

OID(变量名)

含义

索引节点

类型

取值范围

1.3.6.1.4.1.25506.2.209.1.1.8

 (hh3cPKIDomainName)

PKI域名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.9

 (hh3cPKICrlUrl)

CRL的URL路径

OCTET STRING

OCTET STRING  (0..1023)

1.3.6.1.4.1.25506.2.209.1.1.10 (hh3cPKIVrfName)

VPN实例名称

OCTET STRING

OCTET STRING  (0..31)

 

【处理建议】

1.执行display clock命令检查设备时间是否正确。

  - 如果不正确,在用户视图下执行clock datetime命令修改设备时间。

  - 如果正确,请执行步骤2。

2.通过Ping方式检查设备与HTTP服务器之间的路由是否可达。

  - 如果不可达,请排查路由和物理链路,使得两者之间路由可达。

  - 如果可达,请执行步骤3。

3.检查CA服务器是否签发CRL。

  - 如果没有签发,请在CA上发布CRL。

  - 如果已签发,请执行步骤4。

4.检查CRL发布点位置是否设置正确。

  - 如果设置不正确,请通过crl url命令进行设置。

  - 如果正确,请执行步骤5。

5.检查HTTP服务器的服务是否正常。

  - 如果不正常,请确保HTTP服务器的服务正常。

  - 如果正常,请执行步骤6。

6.请收集告警信息和配置信息,并联系H3C技术支持工程师。

hh3cPKIGetCrlSucLdap

【属性】

OID

告警标题

类型

级别

清除告警

缺省状态

1.3.6.1.4.1.25506.2.209.1.3.0.7

采用LDAP协议获取CRL成功时告警

事件告警

警告

-

关闭

 

【触发原因】

采用LDAP协议获取CRL成功时,生成本告警。

【系统影响】

对业务无影响。

【状态控制】

开启

命令行:snmp-agent trap enable pki crl-ldap-success

MIB:将hh3cPKIGetCrlSucLdapTrapCntl设置为true(1)

关闭

命令行:undo snmp-agent trap enable pki crl-ldap-success

MIB:将hh3cPKIGetCrlSucLdapTrapCntl设置为false(2)

【绑定变量】

OID(变量名)

含义

索引节点

类型

取值范围

1.3.6.1.4.1.25506.2.209.1.1.8

 (hh3cPKIDomainName)

PKI域名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.9

 (hh3cPKICrlUrl)

CRL的URL路径

OCTET STRING

OCTET STRING  (0..1023)

1.3.6.1.4.1.25506.2.209.1.1.10 (hh3cPKIVrfName)

VPN实例名称

OCTET STRING

OCTET STRING  (0..31)

 

【处理建议】

无需处理。

hh3cPKIGetCrlFailLdap

【属性】

OID

告警标题

类型

级别

清除告警

缺省状态

1.3.6.1.4.1.25506.2.209.1.3.0.8

采用LDAP协议获取CRL失败时告警

事件告警

警告

-

关闭

 

【触发原因】

采用LDAP协议获取CRL失败时,生成本告警。

产生此告警的可能原因包括:

设备时间和LDAP服务器时间未同步。

设备与LDAP服务器之间的路由不可达。

CA没有签发CRL。

CRL发布点的位置设置不正确。

CRL发布点没有携带主机名时,PKI域中也没有配置LDAP服务器地址信息。

LDAP服务器的服务不正常。

【系统影响】

CRL到期后,证书相关业务功能不可用。

【状态控制】

开启

命令行:snmp-agent trap enable pki crl-ldap-failure

MIB:将hh3cPKIGetCrlFailLdapTrapCntl设置为true(1)

关闭

命令行:undo snmp-agent trap enable pki crl-ldap-failure

MIB:将hh3cPKIGetCrlFailLdapTrapCntl设置为false(2)

【绑定变量】

OID (变量名)

含义

索引节点

类型

取值范围

 

1.3.6.1.4.1.25506.2.209.1.1.8

(hh3cPKIDomainName)

PKI域名称

OCTET STRING

OCTET STRING  (0..31)

 

1.3.6.1.4.1.25506.2.209.1.1.9

(hh3cPKICrlUrl)

CRL的URL路径

OCTET STRING

OCTET STRING  (0..1023)

 

1.3.6.1.4.1.25506.2.209.1.1.10

(hh3cPKIVrfName)

VPN实例名称

OCTET STRING

OCTET STRING  (0..31)

 

 

【处理建议】

执行display clock命令检查设备时间是否正确。

如果不正确,在用户视图下执行clock datetime命令修改设备时间。

如果正确,请执行步骤2。

通过Ping方式检查设备与LDAP服务器之间的路由是否可达。

如果不可达,请排查路由和物理链路,使得两者之间路由可达。

如果可达,请执行步骤3。

检查CA服务器是否签发CRL。

如果没有签发,请在CA服务器上发布CRL。

如果已签发,请执行步骤4。

检查CRL发布点位置是否设置正确。

如果未设置或者设置不正确,请通过crl url命令进行设置。

如果正确,请执行步骤5。

如果CRL发布点没有携带主机名时,请检查PKI域中是否设置LDAP服务器地址信息,以及是否设置正确。

如果未设置或者设置不正确,请通过ldap-server命令进行设置。

如果正确,请执行步骤6。

检查LDAP服务器的服务是否正常。

如果不正常,请确保LDAP服务器的服务正常。

如果正常,请执行步骤7。

请收集告警信息和配置信息,并联系H3C技术支持工程师。

hh3cPKIGetCrlSucScep

【属性】

OID

告警标题

类型

级别

清除告警

缺省状态

 

1.3.6.1.4.1.25506.2.209.1.3.0.9

采用SCEP协议获取CRL成功时告警

事件告警

警告

-

关闭

 

 

【触发原因】

采用SCEP协议获取CRL成功时,生成本告警。

【系统影响】

对业务无影响。

【状态控制】

开启

命令行:snmp-agent trap enable pki crl-scep-success

MIB:将hh3cPKIGetCrlSucScepTrapCntl设置为true(1)

关闭

命令行:undo snmp-agent trap enable pki crl-scep-success

MIB:将hh3cPKIGetCrlSucScepTrapCntl设置为false(2)

【绑定变量】

OID(变量名)

含义

索引节点

类型

取值范围

1.3.6.1.4.1.25506.2.209.1.1.8

 (hh3cPKIDomainName)

PKI域名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.10

 (hh3cPKIVrfName)

VPN实例名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.11 (hh3cPKICertUrl)

证书的URL路径

OCTET STRING

OCTET STRING  (0..1023)

 

【处理建议】

无需处理。

hh3cPKIGetCrlFailScep

【属性】

OID

告警标题

类型

级别

清除告警

缺省状态

1.3.6.1.4.1.25506.2.209.1.3.0.10

采用SCEP协议获取CRL失败时告警

事件告警

警告

-

关闭

 

【触发原因】

采用SCEP协议获取CRL失败时,生成本告警。

产生此告警的可能原因包括:

设备时间和CA服务器时间未同步.

设备与CA服务器之间的路由不可达。

获取CRL之前先获取本地证书和密钥对。

未设置受理机构或者设置的受理机构不正确。

未指定CA服务器的PKI协议报文的源IP地址,或者指定的地址不正确。

CA服务器的服务不正常。

【系统影响】

CRL到期后,证书相关业务功能不可用。

【状态控制】

开启

命令行:snmp-agent trap enable pki crl-scep-failure

MIB:将hh3cPKIGetCrlFailScepTrapCntl设置为true(1)

关闭

命令行:undo snmp-agent trap enable pki crl-scep-failure

MIB:将hh3cPKIGetCrlFailScepTrapCntl设置为false(2)

【绑定变量】

OID(变量名)

含义

索引节点

类型

取值范围

1.3.6.1.4.1.25506.2.209.1.1.8

 (hh3cPKIDomainName)

PKI域名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.10

 (hh3cPKIVrfName)

VPN实例名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.11 (hh3cPKICertUrl)

证书的URL路径

OCTET STRING

OCTET STRING  (0..1023)

 

【处理建议】

1.执行display clock命令检查设备时间是否正确。

  - 如果不正确,在用户视图下执行clock datetime命令修改设备时间。

  - 如果正确,请执行步骤2。

2.通过Ping方式检查设备与CA服务器之间的路由是否可达。

  - 如果不可达,请排查路由和链路,使得两者之间路由可达。

  - 如果可达,请执行步骤3。

3.检查是否已经获取本地证书和配套密钥对。

  - 如果未获取,请先通过在线申请或者离线导入方式申请新的本地证书,并获取配套密钥对。

  - 如果已获取,请执行步骤4。

4.检查受理结构是否设置,以及是否设置正确。

  - 如果未设置或者设置不正确,请通过certificate request from命令进行设置。

  - 如果正确,请执行步骤5。

5.检查CA服务器上是否指定了正确的PKI协议报文的源IP地址。

  - 如果没有,请联系CA服务器管理员,通过source命令配置正确的源IP地址。

  - 如果有,请执行步骤6。

6.检查CA服务器的服务是否正常。

  - 如果不正常,请确保CA服务器的服务正常。

  - 如果正常,请执行步骤7。

7.请收集告警信息和配置信息,并联系H3C技术支持工程师。

hh3cPKILocalCertInvalid

【属性】

OID

告警标题

类型

级别

清除告警

缺省状态

1.3.6.1.4.1.25506.2.209.1.3.0.11

本地证书无效时告警

事件告警

警告

-

关闭

 

【触发原因】

本地证书无效时,生成本告警。

产生此告警的可能原因包括:

设备时间和CA服务器时间未同步。

CA证书的公钥验签本地证书失败。

【系统影响】

证书相关业务功能不可用。

【状态控制】

开启

命令行:snmp-agent trap enable pki local-cert-invalid

MIB:将hh3cPKILocCertInvalidTrapCntl设置为true(1)

关闭

命令行:undo snmp-agent trap enable pki local-cert-invalid

MIB:将hh3cPKILocCertInvalidTrapCntl设置为false(2)

【绑定变量】

OID(变量名)

含义

索引节点

类型

取值范围

1.3.6.1.4.1.25506.2.209.1.1.8

 (hh3cPKIDomainName)

PKI域名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.12

 (hh3cPKILocalCertIssuer)

本地证书颁发者

DisplayString

OCTET STRING (0..255)

1.3.6.1.4.1.25506.2.209.1.1.13

 (hh3cPKILocalCertSubject)

本地证书主题

DisplayString

OCTET STRING (0..255)

1.3.6.1.4.1.25506.2.209.1.1.14

 (hh3cPKILocalCertStartTime)

本地证书开始生效的时间

DateAndTime

OCTET STRING (8 | 11)

1.3.6.1.4.1.25506.2.209.1.1.15 (hh3cPKILocalCertFinishTime)

本地证书到期的时间

DateAndTime

OCTET STRING (8 | 11)

 

【处理建议】

1.执行display clock命令检查设备时间是否正确。

  - 如果不正确,在用户视图下执行clock datetime命令修改设备时间。

  - 如果正确,请执行步骤2。

2.请收集告警信息和配置信息,并联系H3C技术支持工程师。

hh3cPKILocalCertValid

【属性】

OID

告警标题

类型

级别

清除告警

缺省状态

1.3.6.1.4.1.25506.2.209.1.3.0.12

本地证书有效时告警

事件告警

警告

-

关闭

 

【触发原因】

本地证书有效时,生成本告警。

【系统影响】

对业务无影响

【状态控制】

开启

命令行:snmp-agent trap enable pki local-cert-valid

MIB:将hh3cPKILocCertValidTrapCntl设置为true(1)

关闭

命令行:undo snmp-agent trap enable pki local-cert-valid

MIB:将hh3cPKILocCertValidTrapCntl设置为false(2)

【绑定变量】

OID(变量名)

含义

索引节点

类型

取值范围

1.3.6.1.4.1.25506.2.209.1.1.8

 (hh3cPKIDomainName)

PKI域名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.12

 (hh3cPKILocalCertIssuer)

本地证书颁发者

DisplayString

OCTET STRING (0..255)

1.3.6.1.4.1.25506.2.209.1.1.13

 (hh3cPKILocalCertSubject)

本地证书主题

DisplayString

OCTET STRING (0..255)

1.3.6.1.4.1.25506.2.209.1.1.14

 (hh3cPKILocalCertStartTime)

本地证书开始生效的时间

DateAndTime

OCTET STRING (8 | 11)

1.3.6.1.4.1.25506.2.209.1.1.15 (hh3cPKILocalCertFinishTime)

本地证书到期的时间

DateAndTime

OCTET STRING (8 | 11)

 

【处理建议】

无需处理。

hh3cPKIGetLocalCertSucLdap

【属性】

OID

告警标题

类型

级别

清除告警

缺省状态

1.3.6.1.4.1.25506.2.209.1.3.0.13

采用LDAP协议获取本地证书成功时告警

事件告警

警告

-

关闭

 

【触发原因】

采用LDAP协议获取本地证书成功时,生成本告警。

【系统影响】

对业务无影响

【状态控制】

开启

命令行:snmp-agent trap enable pki local-cert-ldap-success

MIB:将hh3cPKIGetCertSucLdapTrapCntl设置为true(1)

关闭

命令行:undo snmp-agent trap enable pki local-cert-ldap-success

MIB:将hh3cPKIGetCertSucLdapTrapCntl设置为false(2)

【绑定变量】

OID(变量名)

含义

索引节点

类型

取值范围

1.3.6.1.4.1.25506.2.209.1.1.8

 (hh3cPKIDomainName)

PKI域名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.10

 (hh3cPKIVrfName)

VPN实例名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.11

 (hh3cPKICertUrl)

证书的URL路径

OCTET STRING

OCTET STRING  (0..1023)

1.3.6.1.4.1.25506.2.209.1.1.16

 (hh3cPKIEntityName)

PKI实体名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.17 (hh3cPKICertSave)

保存的证书文件名

DisplayString

OCTET STRING (0..255)

 

【处理建议】

无需处理。

hh3cPKIGetLocalCertFailLdap

【属性】

OID

告警标题

类型

级别

清除告警

缺省状态

1.3.6.1.4.1.25506.2.209.1.3.0.14

采用LDAP协议获取本地证书失败时告警

事件告警

警告

-

关闭

 

【触发原因】

采用LDAP协议获取本地证书失败时,生成本告警。

产生此告警的可能原因包括:

设备时间和CA服务器时间未同步。

设备与LDAP服务器之间的路由不可达。

PKI域中没有指定LDAP服务器的主机名,或者LDAP服务器主机名不正确。

PKI域中没有引用PKI实体配置,或PKI实体配置不正确。

PKI域没有指定申请使用的密钥对,或者指定的密钥对与获取到的本地证书不匹配。

LDAP服务器的服务不正常。

【系统影响】

证书到期后,证书相关业务功能不可用。

【状态控制】

开启

命令行:snmp-agent trap enable pki local-cert-ldap-failure

MIB:将hh3cPKIGetCertFailLdapTrapCntl设置为true(1)

关闭

命令行:undo snmp-agent trap enable pki local-cert-ldap-failure

MIB:将hh3cPKIGetCertFailLdapTrapCntl设置为false(2)

【绑定变量】

OID(变量名)

含义

索引节点

类型

取值范围

1.3.6.1.4.1.25506.2.209.1.1.8

 (hh3cPKIDomainName)

PKI域名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.10

 (hh3cPKIVrfName)

VPN实例名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.11

 (hh3cPKICertUrl)

证书的URL路径

OCTET STRING

OCTET STRING  (0..1023)

1.3.6.1.4.1.25506.2.209.1.1.16

 (hh3cPKIEntityName)

PKI实体名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.17 (hh3cPKICertSave)

保存的证书文件名

DisplayString

OCTET STRING (0..255)

 

【处理建议】

1.执行命令display clock命令检查设备时间是否正确。

  - 如果不正确,在用户视图下执行clock datetime命令修改设备时间。

  - 如果正确,请执行步骤2。

2.通过Ping方式检查设备与LDAP服务器之间的路由是否可达。

  - 如果不可达,请排查路由和物理链路,使得两者之间路由可达。

  - 如果可达,请执行步骤2。

3.检查PKI域中是否指定LDAP服务器的主机名。

  - 如果未指定或者指定不正确,请通过ldap-server命令进行设置。

  - 如果指定正确,请执行步骤4。

4.检查PKI域中是否引用PKI实体配置。

  - 如果未指定或者指定不正确,请通过certificate request entity命令进行设置。

  - 如果引用正确,请执行步骤5。

5.检查PKI域中是否指定正确的申请密钥对。

  - 如果未指定或者指定不正确,请通过public-key命令进行设置,并使其与待获取的本地证书匹配。

  - 如果指定正确,请执行步骤6。

6.检查LDAP服务器的服务是否正常。

  - 如果不正常,请确保LDAP服务器的服务正常。

  - 如果正常,请执行步骤7。

7.请收集告警信息和配置信息,并联系H3C技术支持工程师。

hh3cPKIGetLocalCertSucScep

【属性】

OID

告警标题

类型

级别

清除告警

缺省状态

1.3.6.1.4.1.25506.2.209.1.3.0.15

采用SCEP协议获取本地证书成功时告警

事件告警

警告

-

关闭

 

【触发原因】

采用SCEP协议获取本地证书成功时,生成本告警。

【系统影响】

对业务无影响。

【状态控制】

开启

命令行:snmp-agent trap enable pki local-cert-scep-success

MIB:将hh3cPKIGetLocCeSucScepTrapCntl设置为true(1)

关闭

命令行:undo snmp-agent trap enable pki local-cert-scep-success

MIB:将hh3cPKIGetLocCeSucScepTrapCntl设置为false(2)

【绑定变量】

OID(变量名)

含义

索引节点

类型

取值范围

1.3.6.1.4.1.25506.2.209.1.1.8

 (hh3cPKIDomainName)

PKI域名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.10

 (hh3cPKIVrfName)

VPN实例名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.11

 (hh3cPKICertUrl)

证书的URL路径

OCTET STRING

OCTET STRING  (0..1023)

1.3.6.1.4.1.25506.2.209.1.1.17 (hh3cPKICertSave)

保存的证书文件名

DisplayString

OCTET STRING (0..255)

 

【处理建议】

正常运行信息,无需处理。

hh3cPKIGetLocalCertFailScep

【属性】

OID

告警标题

类型

级别

清除告警

缺省状态

1.3.6.1.4.1.25506.2.209.1.3.0.16

采用SCEP协议获取本地证书失败时告警

事件告警

警告

-

关闭

 

【触发原因】

采用SCEP协议获取本地证书失败时,生成本告警。

产生此告警的可能原因包括:

设备时间和CA服务器时间未同步。

设备与CA服务器之间的路由不可达。

PKI域指定的密钥对与获取到的本地证书不匹配。

PKI域配置错误证书申请的注册受理机构服务器的URL。

CA服务器的服务不正常。

【系统影响】

证书到期后,证书相关业务功能不可用。

【状态控制】

开启

命令行:snmp-agent trap enable pki local-cert-scep-failure

MIB:将hh3cPKIGetLocCeFailScepTrapCntl设置为true(1)

关闭

命令行:undo snmp-agent trap enable pki local-cert-scep-failure

MIB:将hh3cPKIGetLocCeFailScepTrapCntl设置为false(2)

【绑定变量】

OID(变量名)

含义

索引节点

类型

取值范围

1.3.6.1.4.1.25506.2.209.1.1.8

 (hh3cPKIDomainName)

PKI域名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.10

 (hh3cPKIVrfName)

VPN实例名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.11

 (hh3cPKICertUrl)

证书的URL路径

OCTET STRING

OCTET STRING  (0..1023)

1.3.6.1.4.1.25506.2.209.1.1.17 (hh3cPKICertSave)

保存的证书文件名

DisplayString

OCTET STRING (0..255)

 

【处理建议】

1.执行命令display clock命令检查设备时间是否正确。

  - 如果不正确,在用户视图下执行clock datetime命令修改设备时间。

  - 如果正确,请执行步骤2。

2.通过Ping方式检查设备与CA服务器之间的路由是否可达。

  - 如果不可达,请排查路由和物理链路,使得两者之间路由可达。

  - 如果可达,请执行步骤3。

3.检查PKI域中是否指定正确的申请密钥对。

  - 如果指定不正确,请通过public-key命令进行设置,并使其与待获取的本地证书匹配。

  - 如果指定正确,请执行步骤4。

4.检查PKI域中是否指定证书申请的注册受理机构服务器的URL。

  - 如果指定不正确,请通过certificate request url命令进行设置。

  - 如果指定正确,请执行步骤5。

5.检查CA服务器的服务是否正常。

  - 如果不正常,请确保CA服务器的服务正常。

  - 如果正常,请执行步骤6。

6.请收集告警信息和配置信息,并联系H3C技术支持工程师。

hh3cPKILocalCertNearlyExpired

【属性】

OID

告警标题

类型

级别

清除告警

缺省状态

1.3.6.1.4.1.25506.2.209.1.3.0.17

本地证书即将到期时告警

事件告警

警告

-

关闭

 

【触发原因】

本地证书到期前30天内(包括30天),生成本告警。

产生此告警的可能原因包括:

设备时间和CA服务器时间未同步。

当前设备时间在证书到期时间前30天内(包括30天)。

【系统影响】

证书到期后,业务功能不可用。

【状态控制】

开启

命令行:snmp-agent trap enable pki local-cert-nearly-expired

MIB:将hh3cPKILocCertNearExpirTrapCntl设置为true(1)

关闭

命令行:undo snmp-agent trap enable pki local-cert-nearly-expired

MIB:将hh3cPKILocCertNearExpirTrapCntl设置为false(2)

【绑定变量】

OID(变量名)

含义

索引节点

类型

取值范围

1.3.6.1.4.1.25506.2.209.1.1.8

 (hh3cPKIDomainName)

PKI域名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.12

 (hh3cPKILocalCertIssuer)

本地证书颁发者

DisplayString

OCTET STRING (0..255)

1.3.6.1.4.1.25506.2.209.1.1.13

 (hh3cPKILocalCertSubject)

本地证书主题

DisplayString

OCTET STRING (0..255)

1.3.6.1.4.1.25506.2.209.1.1.14

 (hh3cPKILocalCertStartTime)

本地证书开始生效的时间

DateAndTime

OCTET STRING (8 | 11)

1.3.6.1.4.1.25506.2.209.1.1.15 (hh3cPKILocalCertFinishTime)

本地证书到期的时间

DateAndTime

OCTET STRING (8 | 11)

 

【处理建议】

1.执行命令display clock检查设备时间是否正确。

  - 如果不正确,在用户视图下执行命令clock datetime修改设备时间。

  - 如果正确,请执行步骤2。

2.请通过SCEP/LDAP协议在线申请新的证书,或者通过离线申请新的证书。如果告警依旧存在,请执行步骤3。

3.请收集告警信息和配置信息,并联系H3C技术支持工程师。

hh3cPKILocalCertHasExpired

【属性】

OID

告警标题

类型

级别

清除告警

缺省状态

1.3.6.1.4.1.25506.2.209.1.3.0.18

本地证书已过期时告警

事件告警

警告

-

关闭

 

【触发原因】

本地证书有效结束时间大于当前设备时间时,生成本告警。

产生此告警的可能原因包括:

设备时间和CA服务器时间未同步。

证书的有效结束时间大于当前设备时间。

【系统影响】

证书相关业务功能不可用。

【状态控制】

开启

命令行:snmp-agent trap enable pki local-cert-has-expired

MIB:将hh3cPKILocCertHasExpirTrapCntl设置为true(1)

关闭

命令行:undo snmp-agent trap enable pki local-cert-has-expired

MIB:将hh3cPKILocCertHasExpirTrapCntl设置为false(2)

【绑定变量】

OID(变量名)

含义

索引节点

类型

取值范围

1.3.6.1.4.1.25506.2.209.1.1.8

 (hh3cPKIDomainName)

PKI域名称

OCTET STRING

OCTET STRING  (0..31)

1.3.6.1.4.1.25506.2.209.1.1.12

 (hh3cPKILocalCertIssuer)

本地证书颁发者

DisplayString

OCTET STRING (0..255)

1.3.6.1.4.1.25506.2.209.1.1.13

 (hh3cPKILocalCertSubject)

本地证书主题

DisplayString

OCTET STRING (0..255)

1.3.6.1.4.1.25506.2.209.1.1.14

 (hh3cPKILocalCertStartTime)

本地证书开始生效的时间

DateAndTime

OCTET STRING (8 | 11)

1.3.6.1.4.1.25506.2.209.1.1.15 (hh3cPKILocalCertFinishTime)

本地证书到期的时间

DateAndTime

OCTET STRING (8 | 11)

 

【处理建议】

1.执行命令display clock检查设备时间是否正确。

  - 如果不正确,在用户视图下执行命令clock datetime修改设备时间。

  - 如果正确,请执行步骤2。

2.请通过SCEP/LDAP协议在线申请新的证书,或者通过离线申请新的证书。如果告警依旧存在,请执行步骤3。

3.请收集告警信息和配置信息,并联系H3C技术支持工程师。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们