09-PKI命令
本章节下载: 09-PKI命令 (436.92 KB)
目 录
1.1.3 certificate request entity
1.1.4 certificate request from
1.1.5 certificate request mode
1.1.6 certificate request polling
1.1.12 display pki certificate access-control-policy
1.1.13 display pki certificate attribute-group
1.1.14 display pki certificate domain
1.1.15 display pki certificate request-status
1.1.23 pki abort-certificate-request
1.1.24 pki certificate access-control-policy
1.1.25 pki certificate attribute-group
1.1.26 pki certificate logging enable
1.1.32 pki request-certificate
1.1.33 pki retrieve-certificate
1.1.36 pki validate-certificate
1.1.40 root-certificate fingerprint
设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
attribute命令用来配置属性规则,用于根据证书的颁发者名、主题名以及备用主题名来过滤证书。
undo attribute命令用来删除证书属性规则。
【命令】
attribute id { alt-subject-name { fqdn | ip } | { issuer-name | subject-name } { dn | fqdn | ip } } { ctn | equ | nctn | nequ } attribute-value
undo attribute id
【缺省情况】
不存在属性规则,即对证书的颁发者名、主题名以及备用主题名没有限制。
【视图】
证书属性组视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
id:证书属性规则序号,取值范围为1~16。
alt-subject-name:表示证书备用主题名(Subject Alternative Name)。
fqdn:指定实体的FQDN。
ip:指定实体的IP地址。
dn:指定实体的DN。
issuer-name:表示证书颁发者名(Issuer Name)。
subject-name:表示证书主题名(Subject Name)。
ctn:表示包含操作。
equ:表示相等操作。
nctn:表示不包含操作。
nequ:表示不等操作。
attribute-value:指定证书属性值,为1~255个字符的字符串,不区分大小写。
【使用指导】
各证书属性中可包含的属性域个数有所不同:
· 主题名和颁发者名中均只能包含一个DN,但是均可以同时包含多个FQDN和IP;
· 备用主题名中不能包含DN,但是可以同时包含多个FQDN和IP。
不同类型的证书属性域与操作关键字的组合代表了不同的匹配条件,具体如下表所示:
表1-1 对证书属性域的操作涵义
操作 |
DN |
FQDN/IP |
ctn |
DN中包含指定的属性值 |
任意一个FQDN/IP中包含了指定的属性值 |
nctn |
DN中不包含指定的属性值 |
所有FQDN/IP中均不包含指定的属性值 |
equ |
DN等于指定的属性值 |
任意一个FQDN/IP等于指定的属性值 |
nequ |
DN不等于指定的属性值 |
所有FQDN/IP均不等于指定的属性值 |
如果证书的相应属性中包含了属性规则里指定的属性域,且满足属性规则中定义的匹配条件,则认为该属性与属性规则相匹配。例如:属性规则2中定义,证书的主题名DN中包含字符串abc。如果某证书的主题名的DN中确实包含了字符串abc,则认为该证书的主题名与属性规则2匹配。
只有证书中的相应属性与某属性组中的所有属性规则都匹配上,才认为该证书与此属性组匹配。如果证书中的某属性中没有包含属性规则中指定的属性域,或者不满足属性规则中的匹配条件,则认为该证书与此属性组不匹配。
【举例】
# 创建一个名为mygroup的证书属性组,并进入证书属性组视图。
<Sysname> system-view
[Sysname] pki certificate attribute-group mygroup
# 创建证书属性规则1,定义证书主题名中的DN包含字符串abc。
[Sysname-pki-cert-attribute-group-mygroup] attribute 1 subject-name dn ctn abc
# 创建证书属性规则2,定义证书颁发者名中的FQDN不等于字符串abc。
[Sysname-pki-cert-attribute-group-mygroup] attribute 2 issuer-name fqdn nequ abc
# 创建证书属性规则3,定义证书主题备用名中的IP地址不等于10.0.0.1。
[Sysname-pki-cert-attribute-group-mygroup] attribute 3 alt-subject-name ip nequ 10.0.0.1
【相关命令】
· display pki certificate attribute-group
· rule
ca identifier命令用来指定设备信任的CA名称。
undo ca identifier命令用来恢复缺省情况。
【命令】
ca identifier name
undo ca identifier
【缺省情况】
未指定设备信任的CA。
【视图】
PKI域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
name:设备信任的CA名称,为1~63个字符的字符串,区分大小写。
【使用指导】
获取CA证书时,必须指定信任的CA名称,这个名称会被作为SCEP消息的一部分发送给CA服务器。但是一般情况下,CA服务器会忽略收到的SCEP消息中的CA名称的具体内容。但是如果在同一台服务器上配置了两个CA,且它们的URL是相同的,则服务器将根据SCEP消息中的CA名称选择对应的CA。因此,使用此命令指定的CA名称必须与希望获取的CA证书对应的CA名称一致。
【举例】
# 指定设备信任的CA名称为new-ca。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] ca identifier new-ca
certificate request entity命令用来指定用于申请证书的PKI实体名称。
undo certificate request entity命令用来恢复缺省情况。
【命令】
certificate request entity entity-name
undo certificate request entity
【缺省情况】
未指定设备申请证书所使用的PKI实体名称。
【视图】
PKI域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
entity-name:用于申请证书的PKI实体名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
本命令用于在PKI域中指定申请证书的PKI实体。PKI实体描述了申请证书的实体的各种属性(通用名、组织部门、组织、地理区域、省、国家、FQDN、IP),这些属性用于描述PKI实体的身份信息。
一个PKI域中只能指定一个PKI实体名称,多次执行本命令,最后一次执行的命令生效。
【举例】
# 指定申请证书的PKI实体名称为en1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request entity en1
【相关命令】
· pki entity
certificate request from命令用来配置证书申请的注册受理机构。
undo certificate request from命令用来恢复缺省情况。
【命令】
certificate request from { ca | ra }
undo certificate request from
【缺省情况】
未指定证书申请的注册受理机构。
【视图】
PKI域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ca:表示实体从CA申请证书。
ra:表示实体从RA申请证书。
【使用指导】
选择从CA还是RA申请证书,由CA服务器决定,需要了解CA服务器上由什么机构来受理证书申请。
推荐使用独立运行的RA作为注册受理机构。
【举例】
# 指定实体从RA申请证书。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request from ra
certificate request mode命令用来配置证书申请方式。
undo certificate request mode命令用来恢复缺省情况。
【命令】
certificate request mode { auto [ password { cipher | simple } string ] | manual }
undo certificate request mode
【缺省情况】
证书申请方式为手工方式。
【视图】
PKI域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
auto:表示用自动方式申请证书。
password:指定吊销证书时使用的密码。
cipher:以密文方式设置密码。
simple:以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~31个字符的字符串,密文密码为1~73个字符的字符串。
manual:表示用手工方式申请证书。
【使用指导】
两种申请方式都属于在线申请,具体情况如下:
· 如果是自动方式,则设备会在与PKI域关联的应用(例如IKE)需要做身份认证时,自动向证书注册机构发起获取CA证书和申请本地证书的操作。自动方式下,可以指定吊销证书时使用的密码,是否需要指定密码是由CA服务器的策略决定的。
· 如果为手工方式,则需要手工完成获取CA证书、申请本地证书的操作。
【举例】
# 指定证书申请方式为自动方式。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request mode auto
# 指定证书申请方式为自动方式,并设置吊销证书时使用的密码为明文123456。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request mode auto password simple 123456
【相关命令】
· pki request-certificate
certificate request polling命令用来配置证书申请状态的查询周期和最大次数。
undo certificate request polling命令用来恢复缺省情况。
【命令】
certificate request polling { count count | interval interval }
undo certificate request polling { count | interval }
【缺省情况】
证书申请状态的查询周期为20分钟,最多查询50次。
【视图】
PKI域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
count count:表示证书申请状态的查询次数,取值范围为1~100。
interval interval:表示证书申请状态的查询周期,取值范围为5~168,单位为分钟。
【使用指导】
设备发送证书申请后,如果CA服务器采用手工方式来签发证书申请,则不会立刻响应设备的申请。这种情况下,设备通过定期向CA服务器发送状态查询消息,能够及时获取到被CA签发的证书。CA签发证书后,设备将通过发送状态查询得到证书,之后停止发送状态查询消息。如果达到最大查询次数时,CA服务器仍未签发证书,则设备停止发送状态查询消息,本次证书申请失败。
如果CA服务器采用自动签发证书的方式,则设备可以立刻得到证书,这种情况下设备不会向CA服务器发送状态查询消息。
【举例】
# 指定证书申请状态的查询周期为15分钟,最多查询40次。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request polling interval 15
[Sysname-pki-domain-aaa] certificate request polling count 40
【相关命令】
· display pki certificate request-status
certificate request url命令用来配置实体通过SCEP进行证书申请的注册受理机构服务器的URL。
undo certificate request url命令用来恢复缺省情况。
【命令】
certificate request url url-string [ vpn-instance vpn-instance-name ]
undo certificate request url
【缺省情况】
未指定注册受理机构服务器的URL。
【视图】
PKI域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
url-string:表示证书申请的注册受理机构服务器的URL,为1~511个字符的字符串,区分大小写。实际可输入的URL长度受命令行允许输入的最大字符数限制。
vpn-instance vpn-instance-name:指定注册受理机构服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该注册受理机构服务器属于公网。
【使用指导】
本命令配置的URL内容包括注册受理机构服务器的位置及CGI命令接口脚本位置,格式为http://server_location/cgi_script_location。
【举例】
# 指定实体进行证书申请的注册受理机构服务器的URL为http://169.254.0.1/certsrv/mscep/mscep.dll。
<Sysname> system-view
[Sysname] pki domain a
[Sysname-pki-domain-a] certificate request url http://169.254.0.1/certsrv/mscep/mscep.dll
# 指定实体向VPN中的注册受理机构服务器申请证书,该服务器的URL为http://mytest.net/certsrv/mscep/mscep.dll,所在的MPLS L3VPN的实例名称为vpn1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request url http://mytest.net/certsrv/mscep/mscep.dll vpn-instance vpn1
common-name命令用来配置PKI实体的通用名,比如用户名称。
undo common-name命令用来恢复缺省情况。
【命令】
common-name common-name-sting
undo common-name
【缺省情况】
未配置PKI实体的通用名。
【视图】
PKI实体视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
common-name-sting:PKI实体的通用名,为1~63个字符的字符串,区分大小写,不能包含逗号。
【举例】
# 配置PKI实体en的通用名为test。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] common-name test
country命令用来配置PKI实体所属的国家代码。
undo country命令用来恢复缺省情况。
【命令】
country country-code-string
undo country
【缺省情况】
未配置PKI实体所属的国家代码。
【视图】
PKI实体视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
country-code-string:PKI实体所属的国家代码,为标准的两字符代码,区分大小写,例如中国为CN。
【举例】
# 配置PKI实体en所属的国家代码为CN。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] country CN
crl check enable命令用来开启CRL检查。
undo crl check enable命令用来关闭CRL检查。
【命令】
crl check enable
undo crl check enable
【缺省情况】
CRL检查处于开启状态。
【视图】
PKI域视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
CRL(Certificate Revocation List,证书废除列表)是一个由CA签发的文件,该文件中包含被该CA吊销的所有证书的列表。一个证书有可能在有效期达到之前被CA吊销。使能CRL检查的目的是查看设备上的实体证书或者即将要导入、获取到设备上的实体证书是否已经被CA吊销,若检查结果表明实体证书已被吊销,那么该证书就不被设备信任。
【举例】
# 禁止CRL检查。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] undo crl check enable
【相关命令】
· pki import
· pki retrieve-certificate
· pki validate-certificate
crl url命令用来设置CRL发布点的URL。
undo crl url命令用来恢复缺省情况。
【命令】
crl url url-string [ vpn-instance vpn-instance-name ]
undo crl url
【缺省情况】
未设置CRL发布点的URL。
【视图】
PKI域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
url-string:表示CRL发布点的URL,为1~511个字符的字符串,区分大小写。格式为ldap://server_location或http://server_location。实际可输入的URL长度受命令行允许输入的最大字符数限制。
vpn-instance vpn-instance-name:指定CRL发布点所属的VPN实例。vpn-instance-name表示MPLS L3VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该CRL发布点属于公网。
【使用指导】
如果CRL检查处于使能状态,则进行CRL检查之前,需要首先从PKI域指定的CRL发布点获取CRL。若PKI域中未配置CRL发布点的URL时,从该待验证的证书中获取发布点信息:优先获取待验证的证书中记录的发布点,如果待验证的证书中没有记录发布点,则获取CA证书中记录的发布点(若待验证的证书为CA证书,则获取上一级CA证书中记录的发布点)。如果无法通过任何途径得到发布点,则通过SCEP协议获取CRL。
若配置了LDAP格式的CRL发布点URL,则表示要通过LDAP协议获取CRL。若该URL中未携带主机名,则需要根据PKI域中配置的LDAP服务器地址信息来得到完整的LDAP发布点URL。
【举例】
# 指定CRL发布点的URL为http://169.254.0.30。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] crl url http://169.254.0.30
# 指定CRL发布点的URL为ldap://169.254.0.30,所在的MPLS L3VPN的实例名称为vpn1。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] crl url ldap://169.254.0.30 vpn-instance vpn1
· ldap-server
· pki retrieve-crl
display pki certificate access-control-policy命令用来显示证书访问控制策略的配置信息。
【命令】
display pki certificate access-control-policy [ policy-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
policy-name:指定证书访问控制策略名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
若不指定证书访问控制策略的名称,则显示所有证书访问控制策略的配置信息。
【举例】
# 显示证书访问控制策略mypolicy的配置信息。
<Sysname> display pki certificate access-control-policy mypolicy
Access control policy name: mypolicy
Rule 1 deny mygroup1
Rule 2 permit mygroup2
# 显示所有证书属性访问控制策略的配置信息。
<Sysname> display pki certificate access-control-policy
Total PKI certificate access control policies: 2
Access control policy name: mypolicy1
Rule 1 deny mygroup1
Rule 2 permit mygroup2
Access control policy name: mypolicy2
Rule 1 deny mygroup3
Rule 2 permit mygroup4
表1-2 display pki certificate access-control-policy命令显示信息描述表
字段 |
描述 |
Total PKI certificate access control policies |
PKI证书访问控制策略的总数 |
Access control policy name |
证书访问控制策略名 |
Rule number |
访问控制规则编号 |
permit |
当证书的属性与属性组里定义的属性匹配时,认为该证书有效,通过了访问控制策略的检测 |
deny |
当证书的属性与属性组里定义的属性匹配时,认为该证书无效,未通过访问控制策略的检测 |
【相关命令】
· pki certificate access-control-policy
· rule
display pki certificate attribute-group命令用来显示证书属性组的配置信息。
【命令】
display pki certificate attribute-group [ group-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
group-name:指定证书属性组名,为1~31个字符的字符串,不区分大小写。
【使用指导】
若不指定证书属性组的名称,则显示所有证书属性组的配置信息。
【举例】
# 显示证书属性组mygroup的信息。
<Sysname> display pki certificate attribute-group mygroup
Attribute group name: mygroup
Attribute 1 subject-name dn ctn abc
Attribute 2 issuer-name fqdn nctn app
# 显示所有证书属性组的信息。
<Sysname> display pki certificate attribute-group
Total PKI certificate attribute groups: 2.
Attribute group name: mygroup1
Attribute 1 subject-name dn ctn abc
Attribute 2 issuer-name fqdn nctn app
Attribute group name: mygroup2
Attribute 1 subject-name dn ctn def
Attribute 2 issuer-name fqdn nctn fqd
表1-3 display pki certificate attribute-group命令显示信息描述表
字段 |
描述 |
Total PKI certificate attribute groups |
PKI证书属性组的总数 |
Attribute group name |
证书属性组名称 |
Attribute number |
属性规则编号 |
subject-name |
证书主题名 |
alt-subject-name |
证书备用主题名 |
issuer-name |
证书颁发者名 |
dn |
实体的DN |
fqdn |
实体的FQDN |
ip |
实体的IP地址 |
ctn |
表示包含操作 |
nctn |
表示不包含操作 |
equ |
表示等于操作 |
nequ |
表示不等操作 |
Attribute 1 subject-name dn ctn abc |
属性规则内容,包括以下参数: · alt-subject-name:表示证书备用主题名 · issuer-name:表示证书颁发者名 · subject-name:表示证书主题名 · fqdn:表示实体的FQDN · ip:表示实体的IP地址 · dn:表示实体的DN · ctn:表示包含操作 · equ:表示相等操作 · nctn:表示不包含操作 · nequ:表示不等操作 |
【相关命令】
· attribute
· pki certificate attribute-group
display pki certificate domain命令用来显示证书的内容。
【命令】
display pki certificate domain domain-name { ca | local | peer [ serial serial-num ] }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
domain-name:显示指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:显示CA证书。
local:显示本地证书。
peer:显示对端证书。
serial serial-num:指定要显示的对端证书的序列号。
【使用指导】
显示CA证书时,会显示此PKI域中所有CA证书的详细信息,若PKI域中存在RA证书,则同时显示RA证书的详细信息。
显示本地证书时,会显示此PKI域中所有本地证书的详细信息。
显示对端证书时,如果不指定序列号,将显示所有对端证书的简要信息;如果指定序列号,将显示该序号对应的指定对端证书的详细信息。
【举例】
# 显示PKI域aaa中的CA证书。
<Sysname> display pki certificate domain aaa ca
Certificate:
Data:
Version: 1 (0x0)
Serial Number:
5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=cn, O=docm, OU=rnd, CN=rootca
Validity
Not Before: Jan 6 02:51:41 2011 GMT
Not After : Dec 7 03:12:05 2013 GMT
Subject: C=cn, O=ccc, OU=ppp, CN=rootca
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c4:fd:97:2c:51:36:df:4c:ea:e8:c8:70:66:f0:
28:98:ec:5a:ee:d7:35:af:86:c4:49:76:6e:dd:40:
4a:9e:8d:c0:cb:d9:10:9b:61:eb:0c:e0:22:ce:f6:
57:7c:bb:bb:1b:1d:b6:81:ad:90:77:3d:25:21:e6:
7e:11:0a:d8:1d:3c:8e:a4:17:1e:8c:38:da:97:f6:
6d:be:09:e3:5f:21:c5:a0:6f:27:4b:e3:fb:9f:cd:
c1:91:18:ff:16:ee:d8:cf:8c:e3:4c:a3:1b:08:5d:
84:7e:11:32:5f:1a:f8:35:25:c0:7e:10:bd:aa:0f:
52:db:7b:cd:5d:2b:66:5a:fb
Exponent: 65537 (0x10001)
Signature Algorithm: sha1WithRSAEncryption
6d:b1:4e:d7:ef:bb:1d:67:53:67:d0:8f:7c:96:1d:2a:03:98:
3b:48:41:08:a4:8f:a9:c1:98:e3:ac:7d:05:54:7c:34:d5:ee:
09:5a:11:e3:c8:7a:ab:3b:27:d7:62:a7:bb:bc:7e:12:5e:9e:
4c:1c:4a:9f:d7:89:ca:20:46:de:c5:b3:ce:36:ca:5e:6e:dc:
e7:c6:fe:3f:c5:38:dd:d5:a3:36:ad:f4:3d:e6:32:7f:48:df:
07:f0:a2:32:89:86:72:22:cd:ed:e5:0f:95:df:9c:75:71:e7:
fe:34:c5:a0:64:1c:f0:5c:e4:8f:d3:00:bd:fa:90:b6:64:d8:
88:a6
# 显示PKI域aaa中的本地证书。
<Sysname> display pki certificate domain aaa local
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
bc:05:70:1f:0e:da:0d:10:16:1e
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=CN, O=sec, OU=software, CN=abdfdc
Validity
Not Before: Jan 7 20:05:44 2011 GMT
Not After : Jan 7 20:05:44 2012 GMT
Subject: O=OpenCA Labs, OU=Users, CN=fips fips-sec
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:b2:38:ad:8c:7d:78:38:37:88:ce:cc:97:17:39:
52:e1:99:b3:de:73:8b:ad:a8:04:f9:a1:f9:0d:67:
d8:95:e2:26:a4:0b:c2:8c:63:32:5d:38:3e:fd:b7:
4a:83:69:0e:3e:24:e4:ab:91:6c:56:51:88:93:9e:
12:a4:30:ad:ae:72:57:a7:ba:fb:bc:ac:20:8a:21:
46:ea:e8:93:55:f3:41:49:e9:9d:cc:ec:76:13:fd:
a5:8d:cb:5b:45:08:b7:d1:c5:b5:58:89:47:ce:12:
bd:5c:ce:b6:17:2f:e0:fc:c0:3e:b7:c4:99:31:5b:
8a:f0:ea:02:fd:2d:44:7a:67
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Cert Type:
SSL Client, S/MIME
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Client Authentication, E-mail Protection, Microsoft Smartcardlogin
Netscape Comment:
User Certificate of OpenCA Labs
X509v3 Subject Key Identifier:
91:95:51:DD:BF:4F:55:FA:E4:C4:D0:10:C2:A1:C2:99:AF:A5:CB:30
X509v3 Authority Key Identifier:
keyid:DF:D2:C9:1A:06:1F:BC:61:54:39:FE:12:C4:22:64:EB:57:3B:11:9F
X509v3 Subject Alternative Name:
email:fips@ccc.com
X509v3 Issuer Alternative Name:
email:pki@openca.org
Authority Information Access:
CA Issuers - URI:http://titan/pki/pub/cacert/cacert.crt
OCSP - URI:http://titan:2560/
1.3.6.1.5.5.7.48.12 - URI:http://titan:830/
X509v3 CRL Distribution Points:
Full Name:
URI:http://titan/pki/pub/crl/cacrl.crl
Signature Algorithm: sha256WithRSAEncryption
94:ef:56:70:48:66:be:8f:9d:bb:77:0f:c9:f4:65:77:e3:bd:
ea:9a:b8:24:ae:a1:38:2d:f4:ab:e8:0e:93:c2:30:33:c8:ef:
f5:e9:eb:9d:37:04:6f:99:bd:b2:c0:e9:eb:b1:19:7e:e3:cb:
95:cd:6c:b8:47:e2:cf:18:8d:99:f4:11:74:b1:1b:86:92:98:
af:a2:34:f7:1b:15:ee:ea:91:ed:51:17:d0:76:ec:22:4c:56:
da:d6:d1:3c:f2:43:31:4f:1d:20:c8:c2:c3:4d:e5:92:29:ee:
43:c6:d7:72:92:e8:13:87:38:9a:9c:cd:54:38:b2:ad:ba:aa:
f9:a4:68:b5:2a:df:9a:31:2f:42:80:0c:0c:d9:6d:b3:ab:0f:
dd:a0:2c:c0:aa:16:81:aa:d9:33:ca:01:75:94:92:44:05:1a:
65:41:fa:1e:41:b5:8a:cc:2b:09:6e:67:70:c4:ed:b4:bc:28:
04:50:a6:33:65:6d:49:3c:fc:a8:93:88:53:94:4c:af:23:64:
cb:af:e3:02:d1:b6:59:5f:95:52:6d:00:00:a0:cb:75:cf:b4:
50:c5:50:00:65:f4:7d:69:cc:2d:68:a4:13:5c:ef:75:aa:8f:
3f:ca:fa:eb:4d:d5:5d:27:db:46:c7:f4:7d:3a:b2:fb:a7:c9:
de:18:9d:c1
# 显示PKI域aaa中的所有对端证书的简要信息。
<Sysname> display pki certificate domain aaa peer
Total peer certificates: 1
Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7
Subject Name: CN=sldsslserver
# 显示PKI域aaa中的一个特定序号的对端证书的详细信息。
<Sysname> display pki certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
9a:03:37:eb:21:56:ba:1f:54:76:e4:d7:54:a5:a9:f7
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=cn, O=ccc, OU=sec, CN=ssl
Validity
Not Before: Oct 15 01:23:06 2010 GMT
Not After : Jul 26 06:30:54 2012 GMT
Subject: CN=sldsslserver
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c2:cf:37:76:93:29:5e:cd:0e:77:48:3a:4d:0f:
a6:28:a4:60:f8:31:56:28:7f:81:e3:17:47:78:98:
68:03:5b:72:f4:57:d3:bf:c5:30:32:0d:58:72:67:
04:06:61:08:3b:e9:ac:53:b9:e7:69:68:1a:23:f2:
97:4c:26:14:c2:b5:d9:34:8b:ee:c1:ef:af:1a:f4:
39:da:c5:ae:ab:56:95:b5:be:0e:c3:46:35:c1:52:
29:9c:b7:46:f2:27:80:2d:a4:65:9a:81:78:53:d4:
ca:d3:f5:f3:92:54:85:b3:ab:55:a5:03:96:2b:19:
8b:a3:4d:b2:17:08:8d:dd:81
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Authority Key Identifier:
keyid:9A:83:29:13:29:D9:62:83:CB:41:D4:75:2E:52:A1:66:38:3C:90:11
X509v3 Key Usage: critical
Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Key Agreement
Netscape Cert Type:
SSL Server
X509v3 Subject Alternative Name:
DNS:docm.com
X509v3 Subject Key Identifier:
3C:76:95:9B:DD:C2:7F:5F:98:83:B7:C7:A0:F8:99:1E:4B:D7:2F:26
X509v3 CRL Distribution Points:
Full Name:
URI:http://s03130.ccc.sec.com:447/ssl.crl
Signature Algorithm: sha1WithRSAEncryption
61:2d:79:c7:49:16:e3:be:25:bb:8b:70:37:31:32:e5:d3:e3:
31:2c:2d:c1:f9:bf:50:ad:35:4b:c1:90:8c:65:79:b6:5f:59:
36:24:c7:14:63:44:17:1e:e4:cf:10:69:fc:93:e9:70:53:3c:
85:aa:40:7e:b5:47:75:0f:f0:b2:da:b4:a5:50:dd:06:4a:d5:
17:a5:ca:20:19:2c:e9:78:02:bd:19:77:da:07:1a:42:df:72:
ad:07:7d:e5:16:d6:75:eb:6e:06:58:ee:76:31:63:db:96:a2:
ad:83:b6:bb:ba:4b:79:59:9d:59:6c:77:59:5b:d9:07:33:a8:
f0:a5
表1-4 display pki certificate命令显示信息描述表
字段 |
描述 |
Version |
证书版本号 |
Serial Number |
证书序列号 |
Signature Algorithm |
签名算法 |
Issuer |
证书颁发者 |
Validity |
证书有效期 |
Subject |
证书所属的实体信息 |
Subject Public Key Info |
证书所属的实体的公钥信息 |
X509v3 extensions |
X.509版本3格式的证书扩展属性 |
【相关命令】
· pki domain
· pki retrieve-certificate
display pki certificate request-status命令用来显示证书的申请状态。
【命令】
display pki certificate request-status [ domain domain-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
domain domain-name:指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用指导】
若不指定PKI域的名称,则显示所有PKI域的证书申请状态。
【举例】
# 显示PKI域aaa的证书申请状态。
<Sysname> display pki certificate request-status domain aaa
Certificate Request Transaction 1
Domain name: aaa
Status: Pending
Key usage: General
Remain polling attempts: 10
Next polling attempt after : 1191 seconds
# 显示所有PKI域的证书申请状态。
<Sysname> display pki certificate request-status
Certificate Request Transaction 1
Domain name: domain1
Status: Pending
Key usage: General
Remain polling attempts: 10
Next polling attempt after : 1191 seconds
Certificate Request Transaction 2
Domain name: domain2
Status: Pending
Key usage: Signature
Remain polling attempts: 10
Next polling attempt after : 188 seconds
表1-5 display pki certificate request命令显示信息描述表
字段 |
描述 |
Certificate Request Transaction number |
证书申请任务的编号,从1开始顺序编号 |
Domain name |
PKI域名 |
Status |
证书申请状态。目前,仅有一种取值Pending,表示等待 |
Key usage |
证书用途,包括以下取值: · General:表示通用,既可以用于加密也可以用于签名 · Signature:表示用于签名 · Encryption:表示用于加密 |
Remain polling attempts |
剩余的证书申请状态的查询次数 |
Next polling attempt after |
当前到下次查询证书申请状态的时间间隔,单位为秒 |
【相关命令】
· certificate request polling
· pki domain
· pki retrieve-certificate
display pki crl domain命令用来显示存储在本地的CRL。
【命令】
display pki crl domain domain-name
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
domain domain-name:指定CRL所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用指导】
用户可以通过该命令查看证书吊销列表,看所需的证书是否已经被吊销。
【举例】
# 显示PKI域aaa存储在本地的CRL。
<Sysname> display pki crl domain aaa
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: /C=cn/O=docm/OU=sec/CN=therootca
Last Update: Apr 28 01:42:13 2011 GMT
Next Update: NONE
CRL extensions:
X509v3 CRL Number:
6
X509v3 Authority Key Identifier:
keyid:49:25:DB:07:3A:C4:8A:C2:B5:A0:64:A5:F1:54:93:69:14:51:11:EF
Revoked Certificates:
Serial Number: CDE626BF7A44A727B25F9CD81475C004
Revocation Date: Apr 28 01:37:52 2011 GMT
CRL entry extensions:
Invalidity Date:
Apr 28 01:37:49 2011 GMT
Serial Number: FCADFA81E1F56F43D3F2D3EF7EB56DE5
Revocation Date: Apr 28 01:33:28 2011 GMT
CRL entry extensions:
Invalidity Date:
Apr 28 01:33:09 2011 GMT
Signature Algorithm: sha1WithRSAEncryption
57:ac:00:3e:1e:e2:5f:59:62:04:05:9b:c7:61:58:2a:df:a4:
5c:e5:c0:14:af:c8:e7:de:cf:2a:0a:31:7d:32:da:be:cd:6a:
36:b5:83:e8:95:06:bd:b4:c0:36:fe:91:7c:77:d9:00:0f:9e:
99:03:65:9e:0c:9c:16:22:ef:4a:40:ec:59:40:60:53:4a:fc:
8e:47:57:23:e0:75:0a:a4:1c:0e:2f:3d:e0:b2:87:4d:61:8a:
4a:cb:cb:37:af:51:bd:53:78:76:a1:16:3d:0b:89:01:91:61:
52:d0:6f:5c:09:59:15:be:b8:68:65:0c:5d:1b:a1:f8:42:04:
ba:aa
表1-6 display pki crl domain显示信息描述表
字段 |
描述 |
Version |
CRL版本号 |
Signature Algorithm |
CA签名该CRL采用的签名算法 |
Issuer |
颁发该CRL的CA证书名称 |
Last Update |
上次更新CRL的时间 |
Next Update |
下次更新CRL的时间 |
CRL extensions |
CRL扩展属性 |
X509v3 CRL Number |
X509版本3格式的CRL序号 |
X509v3 Authority Key Identifier |
X509版本3格式的签发该CRL的CA的标识符 |
keyid |
公钥标识符 一个CA可能有多个密钥对,该字段用于标识CA用哪个密钥对对该CRL进行签名 |
Revoked Certificates |
撤销的证书信息 |
Serial Number |
被吊销证书的序列号 |
Revocation Date |
证书被吊销的日期 |
CRL entry extensions: |
CRL项目扩展属性 |
Signature Algorithm: |
签名算法以及签名数据 |
【相关命令】
· pki retrieve-crl
fqdn命令用来配置PKI实体的FQDN。
undo fqdn命令用来恢复缺省情况。
【命令】
fqdn fqdn-name-string
undo fqdn
【缺省情况】
未配置PKI实体的FQDN。
【视图】
PKI实体视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
fqdn-name-string:PKI实体的FQDN,为1~255个字符的字符串,区分大小写。形式为hostname@domainname
【使用指导】
FQDN是实体在网络中的唯一标识,由一个主机名和一个域名组成。
【举例】
# 配置PKI实体en的FQDN为abc@pki.domain.com。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] fqdn abc@pki.domain.com
ip命令用来配置PKI实体的IP地址。
undo ip命令用来恢复缺省情况。
【命令】
ip { ip-address | interface interface-type interface-number }
undo ip
【缺省情况】
未配置PKI实体的IP地址。
【视图】
PKI实体视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ip-address:指定PKI实体的IP地址。
interface interface-type interface-numbe:指定接口的主IP地址作为PKI实体的IP地址。interface-type interface-number表示接口类型及接口编号。
【使用指导】
通过本命令,可以直接指定PKI实体的IP地址,也可以指定设备上某接口的主IP地址作为PKI实体的IP地址。如果指定使用某接口的IP地址,则不要求本配置执行时该接口上已经配置了IP地址,只要设备申请证书时,该接口上配置了IP地址,就可以直接使用该地址作为PKI实体身份的一部分。
【举例】
# 配置PKI实体en的IP地址为192.168.0.2。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] ip 192.168.0.2
ldap-server命令用来指定LDAP服务器。
undo ldap-server命令用来恢复缺省情况。
【命令】
ldap-server host hostname [ port port-number ] [ vpn-instance vpn-instance-name ]
undo ldap-server
【缺省情况】
未指定LDAP服务器。
【视图】
PKI域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
host hostname:LDAP服务器的主机名,为1~255个字符的字符串,区分大小写,支持IPv4与IPv6地址的表示方法以及DNS域名的表示方法。
port port-number:LDAP服务器的端口号,取值范围为1~65535,缺省值为389。
vpn-instance vpn-instance-name:指定LDAP服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该LDAP服务器属于公网。
【使用指导】
以下两种情况下,需要配置LDAP服务器:
· 通过LDAP协议获取本地证书或对端证书时,需要指定LDAP服务器。
· 通过LDAP协议获取CRL时,若PKI域中配置的LDAP格式的CRL发布点URL中未携带主机名或IP地址,则需要根据此处配置的LDAP服务器地址来得到完整的LDAP发布点URL。
在一个PKI域中,只能指定一个LDAP服务器,多次执行本命令,最后一次执行的命令生效。
【举例】
# 指定LDAP服务器的IP地址为10.0.0.1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] ldap-server host 10.0.0.1
# 指定LDAP服务器,IP地址为10.0.0.11,端口号为333,所在的MPLS L3VPN的实例名称为vpn1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] ldap-server host 10.0.0.11 port 333 vpn-instance vpn1
【相关命令】
· pki retrieve-certificate
· pki retrieve-crl
locality命令用来配置PKI实体所在的地理区域名称,比如城市名称。
undo locality命令用来恢复缺省情况。
【命令】
locality locality-name
undo locality
【缺省情况】
未配置PKI实体所在的地理区域名称。
【视图】
PKI实体视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
locality-name:PKI实体所在的地理区域的名称,为1~63个字符的字符串,区分大小写,不能包含逗号。
【举例】
# 配置PKI实体en所在地理区域的名称为pukras。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] locality pukras
organization命令用来配置PKI实体所属组织的名称。
undo organization命令用来恢复缺省情况。
【命令】
organization org-name
undo organization
【缺省情况】
未配置PKI实体所属组织名称。
【视图】
PKI实体视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
org-name:PKI实体所属的组织名称,为1~63个字符的字符串,区分大小写,不能包含逗号。
【举例】
# 配置PKI实体en所属的组织名称为abc。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] organization abc
organization-unit命令用来指定实体所属的组织部门的名称。
undo organization-unit命令用来恢复缺省情况。
【命令】
organization-unit org-unit-name
undo organization-unit
【缺省情况】
未配置PKI实体所属组织部门的名称。
【视图】
PKI实体视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
org-unit-name:PKI实体所属组织部门的名称,为1~63个字符的字符串,区分大小写,不能包含逗号。使用该参数可在同一个组织内区分不同部门的PKI实体。
【举例】
# 配置PKI实体en所属组织部门的名称为rdtest。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] organization-unit rdtest
pki abort-certificate-request命令用来停止证书申请过程。
【命令】
pki abort-certificate-request domain domain-name
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
domain domain-name:指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用指导】
用户在证书申请时,可能由于某种原因需要改变证书申请的一些参数,比如通用名、国家代码、FQDN等,而此时证书申请正在运行,为了新的申请不与之前的申请发生冲突,建议先停止之前的申请程序,再进行新的申请。
【举例】
# 停止证书申请过程。
<Sysname> system-view
[Sysname] pki abort-certificate-request domain 1
The certificate request is in process.
Confirm to abort it? [Y/N]:y
【相关命令】
· display pki certificate request-status
· pki request-certificate domain
pki certificate access-control-policy命令用来创建证书访问控制策略,并进入证书访问控制策略视图。如果指定的证书访问控制策略已存在,则直接进入其视图。
undo pki certificate access-control-policy命令用来删除指定的证书访问控制策略。
【命令】
pki certificate access-control-policy policy-name
undo pki certificate access-control-policy policy-name
【缺省情况】
不存在证书访问控制策略。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
policy-name:表示证书访问控制策略名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
一个证书访问控制策略中可以定义多个证书属性的访问控制规则。
【举例】
# 配置一个名称为mypolicy的证书访问控制策略,并进入证书访问控制策略视图。
<Sysname> system-view
[Sysname] pki certificate access-control-policy mypolicy
[Sysname-pki-cert-acp-mypolicy]
【相关命令】
· display pki certificate access-control-policy
· rule
pki certificate attribute-group命令用来创建证书属性组并进入证书属性组视图。如果指定的证书属性组已存在,则直接进入其视图。
undo pki certificate attribute-group命令用来删除指定的证书属性组。
【命令】
pki certificate attribute-group group-name
undo pki certificate attribute-group group-name
【缺省情况】
不存在证书属性组。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
group-name:证书属性组名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
一个证书属性组就是一系列证书属性规则(通过attribute命令配置)的集合,这些属性规则定义了对证书的颁发者名、主题名以及备用主题名进行过滤的匹配条件。当证书属性组下没有任何属性规则时,则认为对证书的属性没有任何限制。
【举例】
# 创建一个名为mygroup的证书属性组,并进入证书属性组视图。
<Sysname> system-view
[Sysname] pki certificate attribute-group mygroup
[Sysname-pki-cert-attribute-group-mygroup]
【相关命令】
· attribute
· display pki certificate attribute-group
· rule
pki certificate logging enable命令用来开启本地证书到期提醒功能。
undo pki certificate logging enable命令用来关闭本地证书到期提醒功能。
【命令】
pki certificate logging { local-will-expire | local-has-expired } enable
undo pki certificate logging { local-will-expire | local-has-expired } enable
【缺省情况】
本地证书到期提醒功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
local-will-expire:表示本地证书到期前30天内(含30天),打印本地证书到期提醒日志,且每间隔一天打印一次。
local-has-expired:表示本地证书到期后,打印本地证书到期提醒日志,且每间隔一天打印一次。
【使用指导】
当需要检查PKI域下的本地证书是否到期时,可以开启本地证书到期提醒功能,每隔1小时,将会对证书做一次检查。在距离本地证书到期30天内(含30天)或证书已经到期时,系统会打印本地证书到期提醒日志,且每隔一天打印一次。
【举例】
# 开启本地证书到期提醒功能,本地证书到期前30天内(含30天),打印本地证书到期提醒日志,且每间隔一天打印一次。
<Sysname> system-view
[Sysname] pki certificate logging local-will-expire enable
pki delete-certificate命令用来删除PKI域中的证书。
【命令】
pki delete-certificate domain domain-name { ca | local | peer [ serial serial-num ] }
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
domain domain-name:证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:表示删除CA证书。
local:表示删除本地证书。
peer:表示删除对端证书。
serial serial-num:表示通过指定序列号删除一个指定的对端证书。serial-num为对端证书的序列号,为1~127个字符的字符串,不区分大小写。在每个CA签发的证书范围内,序列号可以唯一标识一个证书。如果不指定本参数,则表示删除本PKI域中的所有对端证书。
【使用指导】
删除CA证书时将同时删除所在PKI域中的本地证书和所有对端证书,以及CRL。
如果需要删除指定的对端证书,则需要首先通过display pki certificate命令查看本域中已有的对端证书的序列号,然后再通过指定序列号的方式删除该对端证书。
【举例】
# 删除PKI域aaa中的CA证书。
<Sysname> system-view
[Sysname] pki delete-certificate domain aaa ca
Local certificates, peer certificates and CRL will also be deleted while deleting the CA certificate.
Confirm to delete the CA certificate? [Y/N]:y
[Sysname]
# 删除PKI域aaa中的本地证书。
<Sysname> system-view
[Sysname] pki delete-certificate domain aaa local
[Sysname]
# 删除PKI域aaa中的所有对端证书。
<Sysname> system-view
[Sysname] pki delete-certificate domain aaa peer
[Sysname]
# 首先查看PKI域aaa中的对端证书,然后通过指定序列号的方式删除对端证书。
<Sysname> system-view
[Sysname] display pki certificate domain aaa peer
Total peer certificates: 1
Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7
Subject Name: CN=abc
[Sysname] pki delete-certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7
【相关命令】
· display pki certificate
pki domain命令用来创建PKI域,并进入PKI域视图。如果指定的PKI域已存在,则直接进入PKI域视图。
undo pki domain命令用来删除指定的PKI域。
【命令】
pki domain domain-name
undo pki domain domain-name
【缺省情况】
不存在PKI域。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
domain-name:PKI域名,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用指导】
删除PKI域的同时,会将该域相关的证书和CRL都删除掉,因此请慎重操作。
【举例】
# 创建PKI域aaa并进入PKI域视图。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa]
pki entity命令用来创建PKI实体,并进入PKI实体视图。如果指定的PKI实体已存在,则直接进入PKI实体视图。
undo pki entity命令用来删除指定的PKI实体。
【命令】
pki entity entity-name
undo pki entity entity-name
【缺省情况】
不存在PKI实体。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
entity-name:PKI实体的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
在PKI实体视图下可配置PKI实体的各种属性(通用名、组织部门、组织、地理区域、省、国家、FQDN、IP),这些属性用于描述PKI实体的身份信息。当申请证书时,PKI实体的信息将作为证书中主题(Subjuct)部分的内容。
【举例】
# 创建名称为en的PKI实体,并进入该实体视图。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en]
【相关命令】
· pki domain
pki export命令用来将PKI域中的CA证书、本地证书导出到文件中或终端上。
【命令】
pki export domain domain-name der { all | ca | local } filename filename
pki export domain domain-name p12 { all | local } passphrase p12-key filename filename
pki export domain domain-name pem { { all | local } [ { 3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc } pem-key ] | ca } [ filename filename ]
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
domain domain-name:证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
der:指定证书文件格式为DER编码(包括PKCS#7格式的证书)。
p12:指定证书文件格式为PKCS#12编码。
pem:指定证书文件格式为PEM编码。
all:表示导出所有证书,包括PKI域中所有的CA证书和本地证书,但不包括RA证书。
ca:表示导出CA证书。
local:表示导出本地证书或者本地证书和其对应私钥。
passphrase p12-key:指定对PKCS12编码格式的本地证书对应的私钥进行加密所采用的口令。
3des-cbc:对本地证书对应的私钥数据采用3DES_CBC算法进行加密。
aes-128-cbc:对本地证书对应的私钥数据采用128位AES_CBC算法进行加密。
aes-192-cbc:对本地证书对应的私钥数据采用192位AES_CBC算法进行加密。
aes-256-cbc:对本地证书对应的私钥数据采用256位AES_CBC算法进行加密。
des-cbc:对本地证书对应的私钥数据采用DES_CBC算法进行加密。
pem-key:指定对PEM编码格式的本地证书对应的私钥进行加密所采用的口令。
filename filename:指定保存证书的文件名,不区分大小写。如果不指定本参数,则表示要将证书直接导出到终端上显示,这种方式仅PEM编码格式的证书才支持。
【使用指导】
导出CA证书时,如果PKI域中只有一个CA证书则导出单个CA证书到用户指定的一个文件或终端,如果是一个CA证书链则导出整个CA证书链到用户指定的一个文件或终端。
导出本地证书时,设备上实际保存证书的证书文件名称并不一定是用户指定的名称,它与本地证书的密钥对用途相关,具体的命名规则如下(假设用户指定的文件名为certificate):
· 如果本地证书的密钥对用途为签名,则证书文件名称为certificate-signature;
· 如果本地证书的密钥对用途为加密,则证书文件名称为certificate-encryption;
· 如果本地证书的密钥对用途为通用(RSA/ECDSA/DSA),则证书文件名称为用户输入的certificate。
导出本地证书时,如果PKI域中有两个本地证书,则导出结果如下:
· 若指定文件名,则将每个本地证书分别导出到一个单独的文件中;
· 若不指定文件名,则将所有本地证书一次性全部导出到终端上,并由不同的提示信息进行分割显示。
导出所有证书时,如果PKI域中只有本地证书或者只有CA证书,则导出结果与单独导出相同。如果PKI域中存在本地证书和CA证书,则具体导出结果如下:
· 若指定文件名,则将每个本地证书分别导出到一个单独的文件,该本地证书对应的完整CA证书链也会同时导出到该文件中。
· 若不指定文件名,则将所有的本地证书及域中的CA证书或者CA证书链一次性全部导出到终端上,并由不同的提示信息进行分割显示。
以PKCS12格式导出所有证书时,PKI域中必须有本地证书,否则会导出失败。
以PEM格式导出本地证书或者所有证书时,若不指定私钥的加密算法和私钥加密口令,则不会导出本地证书对应的私钥信息。
以PEM格式导出本地证书或者所有证书时,若指定私钥加密算法和私钥加密口令,且此时本地证书有匹配的私钥,则同时导出本地证书的私钥信息;如果此时本地证书没有匹配的私钥,则导出该本地证书失败。
导出本地证书时,若当前PKI域中的密钥对配置已被修改,导致本地证书的公钥与该密钥对的公钥部分不匹配,则导出该本地证书失败。
导出本地证书或者所有证书时,如果PKI域中有两个本地证书,则导出某种密钥用途的本地证书失败并不会影响导出另外一个本地证书。
指定的文件名中可以带完整路径,当系统中不存在用户所指定路径时,则会导出失败。
【举例】
# 导出PKI域中的CA证书到DER编码的文件,文件名称为cert-ca.der。
<Sysname> system-view
[Sysname] pki export domain domain1 der ca filename cert-ca.der
# 导出PKI域中的本地证书到DER编码的文件,文件名称为cert-lo.der。
<Sysname> system-view
[Sysname] pki export domain domain1 der local filename cert-lo.der
# 导出PKI域中的所有证书到DER编码的文件,文件名称为cert-all.p7b。
<Sysname> system-view
[Sysname] pki export domain domain1 der all filename cert-all.p7b
# 导出PKI域中的CA证书到PEM编码的文件,文件名称为cacert。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca filename cacert
# 导出PKI域中的本地证书及其对应的私钥到PEM编码的文件,指定保护私钥信息的加密算法为DES_CBC、加密口令为111,文件名称为local.pem。
<Sysname> system-view
[Sysname] pki export domain domain1 pem local des-cbc 111 filename local.pem
# 导出PKI域中所有证书到PEM编码的文件,不指定加密算法和加密口令,不导出本地证书对应的私钥信息,文件名称为all.pem。
<Sysname> system-view
[Sysname] pki export domain domain1 pem all filename all.pem
# 以PEM格式导出PKI域中本地证书及其对应的私钥到终端,指定保护私钥信息的加密算法为DES_CBC、加密口令为111。
<Sysname> system-view
[Sysname] pki export domain domain1 pem local des-cbc 111
*** The signature usage local certificate: ***
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
subject=/C=CN/O=OpenCA Labs/OU=Users/CN=chktest chktest
issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIICwzA9BgkqhkiG9w0BBQ0wMDAbBgkqhkiG9w0BBQwwDgQIAbfcE+KoYYoCAggA
MBEGBSsOAwIHBAjB+UsJM07JRQSCAoABqtASbjGTQbdxL3n4wNHmyWLxbvL9v27C
Uu6MjYJDCipVzxHU0rExgn+6cQsK5uK99FPBmy4q9/nnyrooTX8BVlXAjenvgyii
WQLwnIg1IuM8j2aPkQ3wbae1+0RACjSLy1u/PCl5sp6CDxI0b9xz6cxIGxKvUOCc
/gxdgk97XZSW/0qnOSZkhgeqBZuxq6Va8iRyho7RCStVxQaeiAZpq/WoZbcS5CKI
/WXEBQd4AX2UxN0Ld/On7Wc6KFToixROTxWTtf8SEsKGPDfrEKq3fSTW1xokB8nM
bkRtU+fUiY27V/mr1RHO6+yEr+/wGGClBy5YDoD4I9xPkGUkmqx+kfYbMo4yxkSi
JdL+X3uEjHnQ/rvnPSKBEU/URwXHxMX9CdCTSqh/SajnrGuB/E4JhOEnS/H9dIM+
DN6iz1IwPFklbcK9KMGwV1bosymXmuEbYCYmSmhZb5FnR/RIyE804Jz9ifin3g0Q
ZrykfG7LHL7Ga4nh0hpEeEDiHGEMcQU+g0EtfpOLTI8cMJf7kdNWDnI0AYCvBAAM
3CY3BElDVjJq3ioyHSJca8C+3lzcueuAF+lO7Y4Zluq3dqWeuJjE+/1BZJbMmaQA
X6NmXKNzmtTPcMtojf+n3+uju0le0d0QYXQz/wPsV+9IYRYasjzoXE5dhZ5sIPOd
u9x9hhp5Ns23bwyNP135qTNjx9i/CZMKvLKywm3Yg+Bgg8Df4bBrFrsH1U0ifmmp
ir2+OuhlC+GbHOxWNeBCa8iAq91k6FGFJ0OLA2oIvhCnh45tM7BjjKTHk+RZdMiA
0TKSWuOyihrwxdUEWh999GKUpkwDHLZJFd21z/kWspqThodEx8ea
-----END ENCRYPTED PRIVATE KEY-----
# 以PEM格式导出PKI域中所有证书到终端,指定保护本地证书对应私钥的加密算法为DES_CBC、加密口令为111。
<Sysname> system-view
[Sysname] pki export domain domain1 pem all des-cbc 111
*** The signature usage local certificate: ***
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
subject=/C=CN/O=OpenCA Labs/OU=Users/CN=chktest chktest
issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
Bag Attributes: <No Attributes>
subject=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----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-----END ENCRYPTED PRIVATE KEY-----
# 以PEM格式导出PKI域中CA证书到终端。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# 导出PKI域中CA证书到PEM编码的文件,指定文件名称为cacert。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca filename cacert
# 导出PKI域中CA证书(证书链)到终端。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# 导出PKI域中的本地证书及其对应的私钥到PKCS12编码的文件,指定保护私钥信息的加密口令为123,文件名称为cert-lo.der。
<Sysname> system-view
[Sysname] pki export domain domain1 p12 local passphrase 123 filename cert-lo.der
# 导出PKI域中的所有证书到PKCS12编码的文件,指定文件名称为cert-all.p7b。
<Sysname> system-view
[Sysname] pki export domain domain1 p12 all passphrase 123 filename cert-all.p7b
【相关命令】
· pki domain
pki import命令用来将CA证书、本地证书或对端证书导入到指定的PKI域中保存。
【命令】
pki import domain domain-name { der { ca | local | peer } filename filename | p12 local filename filename | pem { ca | local | peer } [ filename filename ] }
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
domain domain-name:保存证书的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
der:指定证书文件格式为DER编码(包括PKCS#7格式的证书)。
p12:指定证书文件格式为PKCS#12编码。
pem:指定证书文件格式为PEM编码。
ca:表示CA证书。
local:表示本地证书。
peer:表示对端证书。
filename filename:要导入的证书所在的文件名,不区分大小写。如果不指定本参数,则表示要通过直接在终端上粘贴证书内容的方式导入证书,这种方式仅PEM编码格式的证书才支持。
【使用指导】
如果设备所处的环境中,没有证书的发布点,或者CA服务器不支持通过SCEP协议与设备交互,则可通过此命令将证书导入到设备。另外,当证书对应的密钥对由CA服务器生成时,CA服务器会将证书和对应的密钥对打包成一个文件,使用这样的证书前也需要通过此命令将其导入到设备。只有PKCS#12格式或PEM格式的证书文件中可能包含密钥对。
证书导入之前:
· 需要通过FTP、TFTP等协议将证书文件传送到设备的存储介质中。如果设备所处的环境不允许使用FTP、TFTP等协议,则可以直接在终端上粘贴证书的内容,但是粘贴的证书必须是PEM格式的,因为只有PEM编码的证书内容为可打印字符。
· 必须存在签发本地证书(或对端证书)的CA证书链才能成功导入本地证书(或对端证书),这里的CA证书链可以是保存在设备上的PKI域中的,也可以是本地证书(或对端证书)中携带的。因此,若设备和本地证书(或对端证书)中都没有CA证书链,则需要首先执行导入CA证书的命令。
导入本地证书或对端证书时:
· 如果用户要导入的本地证书(或对端证书)中含有CA证书链,则可以通过导入本地证书(或对端证书)的命令一次性将CA证书和本地证书(或对端证书)均导入到设备。导入的过程中,如果发现签发此本地证书(或对端证书)的CA证书已经存在于设备上的任一PKI域中,则系统会提示用户是否将其进行覆盖。
· 如果要导入的本地证书(或对端证书)中不含有CA证书链,但签发此本地证书(或对端证书)的CA证书已经存在于设备上的任一PKI域中,则可以直接导入本地证书(或对端证书)。
导入CA证书时:
· 若要导入的CA证书为根CA或者包含了完整的证书链(即含有根证书),则可以导入到设备。
· 若要导入的CA证书没有包含完整的证书链(即不含有根证书),但能够与设备上已有的CA证书拼接成完整的证书链,则也可以导入到设备;如果不能与设备上已有的CA证书拼接成完成的证书链,则不能导入到设备。
一些情况下,在证书导入的过程中,需要用户确认或输入相关信息:
· 若要导入的证书文件中包含了根证书,且设备上目前还没有任何PKI域中有此根证书,且要导入的PKI域中没有配置root-certificate fingerprint,则在导入过程中还需要确认该根证书的指纹信息是否与用户的预期一致。用户需要通过联系CA服务器管理员来获取预期的根证书指纹信息。
· 当导入含有密钥对的本地证书时,需要输入口令。用户需要联系CA服务器管理员取得口令的内容。
导入含有密钥对的本地证书时,系统首先会根据查找到的PKI域中已有的密钥对配置来保存该密钥对。若PKI域中已保存了对应的密钥对,则设备会提示用户选择是否覆盖已有的密钥对。若PKI域中没有任何密钥对的配置,则根据密钥对的算法及证书的密钥用途,生成相应的密钥对配置。密钥对的具体保存规则如下:
· 如果本地证书携带的密钥对的用途为通用,则依次查找指定PKI域中通用用途、签名用途、加密用途的密钥对配置,并以找到配置中的密钥对名称保存该密钥对;若以上用途的密钥对配置均不存在,则提示用户输入密钥对名称(缺省的密钥对名称为PKI域的名称),并生成相应的密钥对配置。
· 如果本地证书携带的密钥对的用途为签名,则依次查找指定PKI域中通用用途、签名用途的密钥对配置,并以找到配置中的密钥对名称保存该密钥对;若以上两种用途的密钥对配置均不存在,则提示用户输入密钥对名称(缺省的密钥对名称为PKI域的名称),并生成相应的密钥对配置。
· 如果本地证书携带的密钥对的用途为加密,则查找指定PKI域中加密用途的密钥对配置,并以该配置中的密钥对名称保存密钥对;若加密用途密钥对的配置不存在,则提示用户输入密钥对名称(缺省的密钥对名称为PKI域的名称),并生成相应的密钥对配置。
由于以上过程中系统会自动更新或生成密钥对配置,因此建议用户在进行此类导入操作后,保存配置文件。
【举例】
# 向PKI域aaa中导入CA证书,证书文件格式为PEM编码,证书文件名称为rootca_pem.cer,证书文件中包含根证书。
<Sysname> system-view
[Sysname] pki import domain aaa pem ca filename rootca_pem.cer
The trusted CA's finger print is:
MD5 fingerprint:FFFF 3EFF FFFF 37FF FFFF 137B FFFF 7535
SHA1 fingerprint:FFFF FF7F FF2B FFFF 7618 FF4C FFFF 0A7D FFFF FF69
Is the finger print correct?(Y/N):y
[Sysname]
# 向PKI域bbb中导入CA证书,证书文件格式为PEM编码,证书文件名称为aca_pem.cer,证书文件中不包含根证书。
<Sysname> system-view
[Sysname] pki import domain bbb pem ca filename aca_pem.cer
[Sysname]
# 向PKI域bbb中导入本地证书,证书文件格式为PKCS#12编码,证书文件名称为local-ca.p12,证书文件中包含了密钥对。
<Sysname> system-view
[Sysname] pki import domain bbb p12 local filename local-ca.p12
Please input challenge password:
******
[Sysname]
# 向PKI域bbb中通过粘贴证书内容的方式导入PEM编码的本地证书。证书中含有密钥对和CA证书链。
<Sysname> system-view
[Sysname] pki import domain bbb pem local
Enter PEM-formatted certificate.
End with a Ctrl+c on a line by itself.
Bag Attributes
localKeyID: 01 00 00 00
friendlyName: {F7619D96-3AC2-40D4-B6F3-4EAB73DEED73}
Microsoft CSP Name: Microsoft Enhanced Cryptographic Provider v1.0
Key Attributes
X509v3 Key Usage: 10
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,8DCE37F0A61A4B8C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-----END RSA PRIVATE KEY-----
Bag Attributes
localKeyID: 01 00 00 00
subject=/CN=sldsslserver
issuer=/C=cn/O=ccc/OU=sec/CN=ssl
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Bag Attributes: <Empty Attributes>
subject=/C=cn/O=ccc/OU=sec/CN=ssl
issuer=/C=cn/O=ccc/OU=sec/CN=ssl
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Please input the password:
Local certificate already exist, confirm to overwrite it? [Y/N]:y
The PKI domain already has a CA certificate. If it is overwritten, local certificates, peer certificates and CRL of this domain will also be deleted.
Overwrite it? [Y/N]:y
The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).
Please enter the key pair name [default name: bbb]:
The key pair already exists.
Please enter the key pair name:
import-key
【相关命令】
· display pki certificate
· public-key dsa
· public-key ecdsa
· public-key rsa
pki request-certificate命令用来手工申请本地证书或生成PKCS#10证书申请。
【命令】
pki request-certificate domain domain-name [ password password ] [ pkcs10 [ filename filename ] ]
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
domain domain-name:指定证书申请所属的PKI域名,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
password password:在证书撤销时需要提供的口令,为1~31个字符的字符串,区分大小写。该口令包含在提交给CA的证书申请中,在吊销该证书时,需要提供该口令。
pkcs10:在终端上显示出BASE64格式的PKCS#10证书申请信息,该信息可用于带外方式(如电话、磁盘、电子邮件等)的证书请求。
filename filename:将PKCS#10格式的证书申请信息保存到本地的文件中。其中,filename表示保存证书申请信息的文件名,不区分大小写。
【使用指导】
当SCEP协议不能正常通信时,可以通过执行指定参数pkcs10的本命令打印出本地的证书申请信息(BASE64格式),或者通过执行指定pkcs10 filename filename参数的本命令将证书申请信息直接保存到本地的指定文件中,然后通过带外方式将这些本地证书申请信息发送给CA进行证书申请。指定的文件名中可以带完整路径,当系统中不存在用户所指定路径时,则会保存失败。
此命令不会被保存在配置文件中。
【举例】
# 在终端上显示PKCS#10格式的证书申请信息。
<Sysname> system-view
[Sysname] pki request-certificate domain aaa pkcs10
*** Request for general certificate ***
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIBTDCBtgIBADANMQswCQYDVQQDEwJqajCBnzANBgkqhkiG9w0BAQEFAAOBjQAw
gYkCgYEAw5Drj8ofs9THA4ezkDcQPBy8pvH1kumampPsJmx8sGG52NFtbrDTnTT5
ALx3LJijB3d/ndKpcHT/DfbJVDCn5gdw32tBZyCkEwMHZN3ol2z7Nmdcu5TED6iN8
4m+hfp1QWoV6lty3o9pxAXuQl8peUDcfN6WV3LBXYyl1WCtkLkECAwEAAaAAMA0G
CSqGSIb3DQEBBAUAA4GBAA8E7BaIdmT6NVCZgv/I/1tqZH3TS4e4H9Qo5NiCKiEw
R8owVmA0XVtGMbyqBNcDTG0f5NbHrXZQT5+MbFJOnm5K/mn1ro5TJKMTKV46PlCZ
JUjsugaY02GBY0BVcylpC9iIXLuXNIqjh1MBIqVsa1lQOHS7YMvnop6hXAQlkM4c
-----END NEW CERTIFICATE REQUEST-----
# 手工申请本地证书。
[Sysname] pki request-certificate domain openca
Start to request general certificate ...
……
Certificate requested successfully.
【相关命令】
· display pki certificate
pki retrieve-certificate命令用来从证书发布服务器上在线获取证书并下载至本地。
【命令】
pki retrieve-certificate domain domain-name { ca | local | peer entity-name }
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
domain domain-name:指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:表示获取CA证书。
local:表示获取本地证书。
peer entity-name:表示获取对端的证书。其中entity-name为对端的实体名,为1~31个字符的字符串,不区分大小写。
【使用指导】
获取CA证书是通过SCEP协议进行的。获取CA证书时,如果本地已有CA证书存在,则该操作将不被允许。这种情况下,若要重新获取CA证书,请先使用pki delete-certificate命令删除已有的CA证书与对应的本地证书后,再执行此命令。
获取本地证书和对端证书是通过LDAP协议进行的。获取本地证书或对端证书时,如果本地已有本地证书或对端证书,则该操作是被允许进行的。最终,属于一个PKI实体的同一种公钥算法的本地证书只能存在一个,后者直接覆盖已有的,但对于RSA算法的证书而言,可以存在一个签名用途的证书和一个加密用途的证书。
所有获取到的CA证书、本地证书或对端证书只有通过验证之后才会被保存到本地证书库中。
此命令不会被保存在配置文件中。
【举例】
# 从证书发布服务器上获取CA证书。(需要用户确认CA根证书的指纹)
<Sysname> system-view
[Sysname] pki retrieve-certificate domain aaa ca
The trusted CA's finger print is:
MD5 fingerprint:5C41 E657 A0D6 ECB4 6BD6 1823 7473 AABC
SHA1 fingerprint:1616 E7A5 D89A 2A99 9419 1C12 D696 8228 87BC C266
Is the finger print correct?(Y/N):y
Retrieved the certificates successfully.
# 从证书发布服务器上获取本地证书。
<Sysname> system-view
[Sysname] pki retrieve-certificate domain aaa local
Retrieved the certificates successfully.
# 从证书发布服务器上获取对端证书。
<Sysname> system-view
[Sysname] pki retrieve-certificate domain aaa peer en1
Retrieved the certificates successfully.
【相关命令】
· display pki certificate
· pki delete-certificate
pki retrieve-crl命令用来获取CRL并下载至本地。
【命令】
pki retrieve-crl domain domain-name
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
domain-name:指定CRL所属的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用指导】
获取CRL的目的是为了验证PKI域中的本地证书和对端证书的合法性。若要成功获取CRL,PKI域中必须存在CA证书。
设备支持通过HTTP、LDAP或SCEP协议从CRL发布点上获取CRL,具体采用那种协议,由PKI域中CRL发布点的配置决定:
· 若配置的CRL发布点URL格式为HTTP格式,则通过HTTP协议获取CRL。
· 若配置的CRL发布点URL格式为LDAP格式,则通过LDAP协议获取CRL。若配置的CRL发布点URL(通过命令crl url)中缺少主机名,例如ldap:///CN=8088,OU=test,U=rd,C=cn,则还需要在PKI域中配置LDAP服务器的URL(通过命令ldap server)。此时,设备会将配置的LDAP服务器URL和配置的CRL发布点URL中的不完整的LDAP发布点拼装成完整的LDAP发布点,再通过LDAP协议获取CRL。
· 若PKI域中没有配置CRL发布点,则设备会依次从本地证书、CA证书中查找CRL的发布点,如果从中查找到了CRL发布点,则通过该发布点获取CRL;否则,通过SCEP协议获取CRL。
【举例】
# 从CRL发布点上获取CRL。
<Sysname> system-view
[Sysname] pki retrieve-crl domain aaa
Retrieve CRL of the domain aaa successfully.
【相关命令】
· crl url
· ldap server
pki storage命令用来配置证书和CRL的存储路径。
undo pki storage命令用来恢复缺省情况。
【命令】
pki storage { certificates | crls } dir-path
undo pki storage { certificates | crls }
【缺省情况】
证书和CRL的存储路径为设备存储介质上的PKI目录。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
certificates:指定证书的存储目录。
crls:指定CRL的存储目录。
dir-path:存储目录的路径名称,区分大小写,不能以‘/’开头,不能包含“../”。dir-path可以是绝对路径也可以是相对路径,但必须已经存在。
【使用指导】
dir-path只能是当前主控板上的路径,不能是其它主控板上的路径。(独立运行模式)
dir-path只能是当前全局主用主控板上的路径,不能是其它主控板上的路径。(IRF模式)
设备缺省的PKI目录在设备首次成功申请、获取或导入证书时自动创建。
如果需要指定的目录还不存在,需要先使用mkdir命令创建这个目录,再使用此命令配存储路径。若修改了证书或CRL的存储目录,则原存储路径下的证书文件(以.cer和.p12为后缀的文件)和CRL文件(以.crl为后缀的文件)将被移动到该路径下保存,且原存储路径下的其它文件不受影响。
【举例】
# 设置证书的存储路径为flash:/pki-new。
<Sysname> system-view
[Sysname] pki storage certificates flash:/pki-new
# 设置CRL存储路径为pki-new。
<Sysname> system-view
[Sysname] pki storage crls pki-new
pki validate-certificate命令用来验证证书的有效性。
【命令】
pki validate-certificate domain domain-name { ca | local }
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
domain domain-name:指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:表示验证CA证书。
local:表示验证本地证书。
【使用指导】
证书验证的内容包括:证书是否由用户信任的CA签发;证书是否仍在有效期内;如果使能了CRL检查功能,还会验证证书是否被吊销。如果验证证书的时候,PKI域中没有CRL,则会先从本地证书库中查找是否存在CRL,如果找到CRL,则把证书库中保存的CRL加载到该PKI域中,否则,就从CA服务器上获取并保存到本地。
导入证书、申请证书、获取证书以及应用程序使用PKI功能时,都会自动对证书进行验证,因此一般不需要使用此命令进行额外的验证。如果用户希望在没有任何前述操作的情况下单独执行证书的验证,可以使用此命令。
验证CA证书时,会对从当前CA到根CA的整条CA证书链进行CRL检查。
【举例】
# 验证PKI域aaa中的CA证书的有效性。
<Sysname> system-view
[Sysname] pki validate-certificate domain aaa ca
Verifying certificate......
Serial Number:
f6:3c:15:31:fe:bb:ec:94:dc:3d:b9:3a:d9:07:70:e5
Issuer:
C=cn
O=ccc
OU=ppp
CN=rootca
Subject:
C=cn
O=abc
OU=test
CN=aca
Verify result: OK
Verifying certificate......
Serial Number:
5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6
Issuer:
C=cn
O=ccc
OU=ppp
CN=rootca
Subject:
C=cn
O=ccc
OU=ppp
CN=rootca
Verify result: OK
# 验证PKI域aaa中的本地证书的有效性。
<Sysname> system-view
[Sysname] pki validate-certificate domain aaa local
Verifying certificate......
Serial Number:
bc:05:70:1f:0e:da:0d:10:16:1e
Issuer:
C=CN
O=sec
OU=software
CN=bca
Subject:
O=OpenCA Labs
OU=Users
CN=fips fips-sec
Verify result: OK
【相关命令】
· crl check
· pki domain
public-key dsa命令用来指定证书申请使用的DSA密钥对。
undo public-key命令用来恢复缺省情况。
【命令】
public-key dsa name key-name [ length key-length ]
undo public-key
【缺省情况】
未指定证书申请使用的密钥对。
【视图】
PKI域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
name key-name:密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符“-”。
length key-length:密钥的长度。非FIPS模式下,key-length的取值范围为512~2048,单位为比特,缺省值为1024;FIPS模式下,key-length的取值为2048,单位为比特,缺省值为2048。密钥越长,密钥安全性越高,但相关的公钥运算越耗时。
【使用指导】
本命令中引用的密钥对并不要求已经存在,可以通过以下任意一种途径获得:
· 通过执行public-key local create命令生成。
· 通过应用程序认证过程触发生成。例如IKE协商过程中,如果使用数字签名认证方式,则可能会触发生成密钥对。
· 通过导入证书(使用pki import命令)的方式从外界获得。
一个PKI域中只能同时存在一种算法(RSA、DSA或ECDSA)的密钥对。在同一个PKI域中多次执行public-key dsa命令,最后一次执行的命令生效。
本命令中指定的密钥长度仅对将要由设备生成的密钥对有效。如果执行本命令时,设备上已经存在指定名称的密钥对,则后续通过此命令指定的该密钥对的密钥长度没有意义。如果指定名称的密钥对是通过导入证书的方式获得,则通过本命令指定的密钥长度也没有意义。
【举例】
# 指定证书申请所使用的DSA密钥对为abc,密钥的长度为2048比特。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key dsa name abc length 2048
【相关命令】
· pki import
· public-key local create(安全命令参考/公钥管理)
public-key ecdsa命令用来指定证书申请使用的ECDSA密钥对。
undo public-key命令用来恢复缺省情况。
【命令】
(非FIPS模式)
public-key ecdsa name key-name [ secp192r1 | secp256r1 | secp384r1 | secp521r1 ]
undo public-key
(FIPS模式)
public-key ecdsa name key-name [ secp256r1 | secp384r1 | secp521r1 ]
undo public-key
【缺省情况】
未指定证书申请使用的密钥对。
【视图】
PKI域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
name key-name:密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符“-”。
secp192r1:密钥对使用的椭圆曲线算法的名称为secp192r1,密钥长度为192比特。
secp256r1:密钥对使用的椭圆曲线算法的名称为secp256r1,密钥长度为256比特。
secp384r1:密钥对使用的椭圆曲线算法的名称为secp384r1,密钥长度为384比特。
secp521r1:密钥对使用的椭圆曲线算法的名称为secp521r1,密钥长度为521比特。
【使用指导】
本命令中引用的密钥对并不要求已经存在,可以通过以下任意一种途径获得:
· 通过执行public-key local create命令生成。
· 通过应用程序认证过程触发生成。例如IKE协商过程中,如果使用数字签名认证方式,则可能会触发生成密钥对。
· 通过导入证书(使用pki import命令)的方式从外界获得。
若未指定任何参数,则在非FIPS模式下缺省使用密钥对secp192r1;在FIPS模式下缺省使用密钥对secp256r1。
一个PKI域中只能同时存在一种算法(RSA、DSA或ECDSA)的密钥对。在同一个PKI域中多次执行public-key ecdsa命令,最后一次执行的命令生效。
本命令中指定的密钥长度仅对将要由设备生成的密钥对有效。如果执行本命令时,设备上已经存在指定名称的密钥对,则后续通过此命令指定的该密钥对的密钥长度没有意义。如果指定名称的密钥对是通过导入证书的方式获得,则通过本命令指定的密钥长度也没有意义。
【举例】
# 指定证书申请所使用的ECDSA密钥对为abc,椭圆曲线算法的名称为secp384r1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key ecdsa name abc secp384r1
【相关命令】
· pki import
· public-key local create(安全命令参考/公钥管理)
public-key rsa命令用来指定证书申请使用的RSA密钥对。
undo public-key命令用来恢复缺省情况。
【命令】
public-key rsa { { encryption name encryption-key-name [ length key-length ] | signature name signature-key-name [ length key-length ] } * | general name key-name [ length key-length ] }
undo public-key
【缺省情况】
未指定证书申请使用的密钥对。
【视图】
PKI域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
encryption:指定密钥对的用途为加密。
name encryption-key-name:加密密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符“-”。
signature:指定密钥对的用途为签名。
name signature-key-name:签名密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符“-”。
general:指定密钥对的用途为通用,既可以用于签名也可以用于加密。
name key-name:通用密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符“-”。
length key-length:密钥的长度。非FIPS模式下,key-length的取值范围为512~4096,单位为比特,缺省为1024;FIPS模式下,key-length的取值范围为2048~4096,取值为256的倍数,单位为比特,缺省为2048。密钥越长,密钥安全性越高,但相关的公钥运算越耗时。
【使用指导】
本命令中引用的密钥对并不要求已经存在,可以通过以下任意一种途径获得:
· 通过执行public-key local create命令生成。
· 通过应用程序认证过程触发生成。例如IKE协商过程中,如果使用数字签名认证方式,则可能会触发生成密钥对。
· 通过导入证书(使用pki import命令)的方式从外界获得。
一个PKI域中只能同时存在一种算法(RSA、DSA或ECDSA)的密钥对。对于RSA密钥对来说,一个PKI域中只允许单独存在一种用途的RSA密钥对,或同时存在一个用于签名的和一个用于加密的RSA密钥对。因此,在一个PKI域中,RSA签名密钥对和RSA加密密钥对的配置不会互相覆盖。
分别指定RSA签名密钥对和RSA加密密钥对时,它们的密钥长度可以不相同。
本命令中指定的密钥长度仅对将要由设备生成的密钥对有效。如果执行本命令时,设备上已经存在指定名称的密钥对,则后续通过此命令指定的该密钥对的密钥长度没有意义。如果指定名称的密钥对是通过导入证书的方式获得,则通过本命令指定的密钥长度也没有意义。
【举例】
# 指定证书申请所使用的RSA密钥对为abc,密钥用途为通用,密钥的长度为2048比特。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key rsa general name abc length 2048
# 指定证书申请所使用的加密RSA密钥对为rsa1(密钥的长度为2048比特),签名RSA密钥对为sig1(密钥的长度为2048比特)。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key rsa encryption name rsa1 length 2048
[Sysname-pki-domain-aaa] public-key rsa signature name sig1 length 2048
【相关命令】
· pki import
· public-key local create(安全命令参考/公钥管理)
root-certificate fingerprint命令用来配置验证CA根证书时所使用的指纹。
undo root-certificate fingerprint命令用来恢复缺省情况。
【命令】
(非FIPS模式)
root-certificate fingerprint { md5 | sha1 } string
undo root-certificate fingerprint
(FIPS模式)
root-certificate fingerprint sha1 string
undo root-certificate fingerprint
【缺省情况】
未指定验证CA根证书时使用的指纹。
【视图】
PKI域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
md5:使用MD5指纹。
sha1:使用SHA1指纹。
string:指定所使用的指纹信息。当选择MD5指纹时,string必须为32个字符的字符串,并且以16进制的形式输入;当选择SHA1指纹时,string必须为40个字符的字符串,并且以16进制的形式输入。
【使用指导】
当本地证书申请模式为自动方式且PKI域中没有CA证书时,必须通过本命令配置验证CA证书时所使用的指纹。当IKE协商等应用触发设备进行本地证书申请时,设备会自动从CA服务器上获取CA证书,如果获取的CA证书中包含了本地不存在的CA根证书,则设备会验证该CA根证书的指纹。此时,如果设备上没有配置CA根证书指纹或者配置了错误的CA根证书指纹,则本地证书申请失败。
通过pki import命令导入CA证书或者通过pki retrieve-certificate命令获取CA证书时,可以选择是否配置验证CA根证书使用的指纹:如果PKI域中配置了验证CA根证书使用的指纹,则当导入的CA证书文件或者获取的CA证书中包含本地不存在的CA根证书时,直接使用配置的CA根证书指纹进行验证。如果配置了错误的CA根证书指纹,则CA证书导入和CA证书获取均会失败;否则,需要用户来确认该CA证书的CA根证书指纹是否可信。
【举例】
# 配置验证CA根证书时使用的MD5指纹。(仅非FIPS模式下支持)
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] root-certificate fingerprint md5 12EF53FA355CD23E12EF53FA355CD23E
# 配置验证CA根证书时使用的SHA1指纹。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] root-certificate fingerprint sha1 D1526110AAD7527FB093ED7FC037B0B3CDDDAD93
【相关命令】
· certificate request mode
· pki import
· pki retrieve-certificate
rule命令用来配置证书属性的访问控制规则。
undo rule命令用来删除指定的证书属性访问控制规则。
【命令】
rule [ id ] { deny | permit } group-name
undo rule id
【缺省情况】
不存在证书属性的访问控制规则。
【视图】
证书访问控制策略视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
id:证书属性访问控制规则编号,取值范围为1~16,缺省值为当前还未被使用的且合法的最小编号,取值越小优先级越高。
deny:当证书的属性与所关联的属性组匹配时,认为该证书无效,未通过访问控制策略的检测。
permit:当证书的属性与所关联的属性组匹配时,认为该证书有效,通过了访问控制策略的检测。
group-name:规则所关联的证书属性组名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
配置证书属性访问控制规则时,可以关联一个当前并不存在的证书属性组,后续可以通过命令pki certificate attribute-group完成相应的配置。
若规则所关联的证书属性组中没有定义任何属性规则(通过命令attribute配置),或关联的证书属性组不存在,则认为被检测的证书属性与该属性组匹配。
如果一个访问控制策略中有多个规则,则按照规则编号从小到大的顺序遍历所有规则,一旦证书与某一个规则匹配,则立即结束检测,不再继续匹配其它规则;若遍历完所有规则后,证书没有与任何规则匹配,则认为该证书不能通过访问控制策略的检测。
【举例】
# 配置一个访问控制规则,要求当证书与证书属性组mygroup匹配时,认为该证书有效,通过了访问控制策略的检测。
<Sysname> system-view
[Sysname] pki certificate access-control-policy mypolicy
[Sysname-pki-cert-acp-mypolicy] rule 1 permit mygroup
【相关命令】
· attribute
· display pki certificate access-control-policy
· pki certificate attribute-group
source命令用来指定PKI操作产生的协议报文使用的源IP地址。
undo source命令用来恢复缺省情况。
【命令】
source { ip | ipv6 } { ip-address | interface interface-type interface-number }
undo source
【缺省情况】
PKI操作产生的协议报文的源IP地址为系统根据路由表项查找到的出接口的地址。
【视图】
PKI域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ip ip-address:指定源IPv4地址。
ipv6 ip-address:指定源IPv6地址。
interface interface-type interface-number:指定该接口的主IPv4地址或接口上最小的IPv6地址为源IP地址。interface-type interface-number表示接口类型和接口编号。
【使用指导】
如果希望PKI操作产生的协议报文的源IP地址是一个特定的地址,则需要配置此命令,例如CA服务器上的策略要求仅接受来自指定地址或网段的证书申请。如果该IP地址是动态获取的,则可以指定一个接口,使用该接口上的IP地址作为源地址。
此处指定的源IP地址,必须与CA服务器之间路由可达。
一个PKI域中只能存在一个源IP地址,后配置的生效。
【举例】
# 指定PKI操作产生的协议报文的源IP地址为111.1.1.8。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] source ip 111.1.1.8
# 指定PKI操作产生的协议报文的源IPv6地址为1::8。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] source ipv6 1::8
# 指定PKI操作产生的协议报文的源IP地址为接口Vlan-interface1的IP地址。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] source ip interface vlan-interface 1
# 指定PKI操作产生的协议报文的源IPv6地址为接口Vlan-interface1的IPv6地址。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] source ipv6 interface vlan-interface 1
state命令用来配置PKI实体所属的州或省的名称。
undo state命令用来恢复缺省情况。
【命令】
state state-name
undo state
【缺省情况】
未配置PKI实体所属的州或省的名称。
【视图】
PKI实体视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
state-name:PKI实体所属的州或省的名称,为1~63个字符的字符串,区分大小写,不能包含逗号。
【举例】
# 配置PKI实体en所在省为countryA。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] state countryA
usage命令用来指定证书的扩展用途。
undo usage命令用来删除指定证书的扩展用途。
【命令】
usage { ike | ssl-client | ssl-server } *
undo usage [ ike | ssl-client | ssl-server ] *
【缺省情况】
未指定证书的扩展用途,表示可用于IKE、SSL客户端和SSL服务器端用途。
【视图】
PKI域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ike:指定证书扩展用途为IKE,即IKE对等体使用的证书。
ssl-client:指定证书扩展用途为SSL客户端,即SSL客户端使用的证书。
ssl-server:指定证书扩展用途为SSL服务器端,即SSL服务器端使用的证书。
【使用指导】
若不指定任何参数,则undo usage命令表示删除所有指定的证书扩展用途,证书的用途由证书的使用者决定,PKI不做任何限定。
证书中携带的扩展用途与CA服务器的策略相关,申请到的证书中的扩展用途可能与此处指定的不完全一致,最终请以CA服务器的实际情况为准。
【举例】
# 指定证书扩展用途为IKE。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] usage ike
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!