- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-CA中心命令
本章节下载: 01-CA中心命令 (206.72 KB)
目 录
1.1.3 pki ca crl update-period
1.1.4 pki ca root-certificate cert_key import tftp
1.1.5 pki ca root-certificate export tftp
1.1.6 pki ca root-certificate pkcs12 import tftp
1.1.8 display pki ca root-certificate
1.1.9 display running-config pki
1.2.1 no pki ca user-certificate
1.2.2 pki ca user-certificate copy
1.2.3 pki ca user-certificate export tftp
1.2.4 pki ca user-certificate revoke
1.2.5 pki ca user-certificate sign
1.2.6 display pki ca user-certificate
pki ca crl export tftp命令用来通过TFTP协议将CRL文件导出至TFTP服务器。
【命令】
pki ca crl export tftp ip-address
【视图】
用户视图
【参数】
ip-address:TFTP服务器地址。
【举例】
# 导出CRL文件至TFTP服务器。
host# pki ca crl export tftp 192.168.1.105
Upload file test_ca.crl ....
Upload file(test_ca.crl) success.
【相关命令】
· display pki ca crl
pki ca crl generate命令用来根据CA根证书生成CRL文件。
【命令】
pki ca crl generate
【视图】
用户视图
【使用指导】
设备上需要存在CA根证书。
当需要立即生成与CA根证书对应的CRL文件时,执行此命令。
【举例】
# 立即更新CRL文件。
host# pki ca crl generate
【相关命令】
· display pki ca crl
pki ca crl update-period命令用来配置CRL文件自动更新的间隔时间。
【命令】
pki ca crl update-period interval-time<1-30>
【缺省情况】
缺省情况下,CRL自动更新的间隔时间为30天。
【视图】
系统视图
【参数】
interval-time:CRL文件自动更新的间隔时间。取值范围为1~30天。默认为30天。
【使用指导】
当需要立即更新CRL文件时,请执行pki ca crl generate命令。
【举例】
# 配置CRL文件自动更新周期为10天。
host# system-view
host(config)# pki ca crl update-period 10
【相关命令】
· display pki ca crl
pki ca root-certificate cert_key import tftp命令用来通过TFTP服务器导入证书密钥分离格式的CA根证书。
【命令】
pki ca root-certificate cert_key import tftp ip-address certificate keyfile [ password ]
【缺省情况】
缺省情况下,没有配置CA根证书。
【视图】
用户视图
【参数】
ip-address:TFTP服务器IP地址。
certificate:导入的CA根证书的名称。名称最长不超过63个字符,名称中不能带“()”,支持“.cer”格式。
keyfile:导入的CA根证书的密钥文件名称。名称最长不超过63个字符,名称中不能带“()”,支持“.key”格式。
password:证书的保护密码。不超过63个字符。
【使用指导】
导入时,TFTP服务器上需要有相应的导入证书才可导入。
导入证书成功后,会删除原有的CA根证书。
【举例】
# 导入一个CA根证书。
host# pki ca root-certificate cert_key import tftp 192.168.1.2 test_ca.cer test_ca.key
This new CA certificate will replace the old one? Please enter "y/n" to confirm: y
Download file test_ca.cer ....
Download file(test_ca.cer) success.
Download file test_ca.key ....
Download file(test_ca.key) success.
【相关命令】
· display pki ca root-certificate
pki ca root-certificate export tftp命令用来通过TFTP协议将CA根证书导出到TFTP服务器。
【命令】
pki ca root-certificate export tftp ip-address { pem | p12 }
【视图】
用户视图
【参数】
ip-address:TFTP服务器IP地址。
pem:导出证书为密钥证书分离格式。
p12:导出证书为单个文件格式。
【使用指导】
导出时需要TFTP服务器网络可达。
导出时需要设备上存在CA根证书。
【举例】
# 导出CA根证书至TFTP服务器。
host# pki ca root-certificate export tftp 192.168.1.10 p12
Upload file test_ca.p12 ....
Upload file(test_ca.p12) success.
【相关命令】
· display pki ca root-certificate
pki ca root-certificate pkcs12 import tftp命令用来通过TFTP服务器导入PKCS12格式的CA根证书。
【命令】
pki ca root-certificate pkcs12 import tftp ip-address certificate [ password ]
【缺省情况】
缺省情况下,没有配置CA根证书。
【视图】
用户视图
【参数】
ip-address:TFTP服务器的IP地址。
certificate:导入的证书名称,名称最长不超过63个字符,名称中不能带“()”,支持“.p12”格式。
password:证书的保护密码。最多可输入63个字符。
【使用指导】
导入时,TFTP服务器上需要有相应的导入证书才可导入。
导入证书成功后,会删除原有的CA根证书。
【举例】
# 导入一个CA根证书。
host# pki ca root-certificate pkcs12 import tftp 192.168.1.2 test_ca.p12 1
This new CA certificate will replace the old one? Please enter "y/n" to confirm: y
Download file test_ca.p12 ....
Download file(test_ca.p12) success.
【相关命令】
· display pki ca root-certificate
display pki ca crl命令用来显示CRL文件的内容。
【命令】
display pki ca crl
【视图】
用户视图
【举例】
# 显示CRL文件内容。
host# display pki ca crl
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: /C=CN/O=OR/ST=PRO/CN=test_ca/L=LOCATION/OU=DE
Last Update: Jun 24 09:37:25 2014 GMT
Next Update: Jul 24 09:37:25 2014 GMT
CRL extensions:
X509v3 CRL Number:
1
X509v3 Authority Key Identifier:
DirName:/C=CN/O=OR/ST=PRO/CN=test_ca/L=LOCATION/OU=DE
serial:D5:1E:36:4F:B1:E6:55:A8
Revoked Certificates:
Serial Number: 93094F4168DF73AC
Revocation Date: Jun 24 09:35:22 2014 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Serial Number: D6A57BF1F6EA3873
Revocation Date: Jun 24 09:35:52 2014 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
CA Compromise
Serial Number: D1FA7F2CB225F633
Revocation Date: Jun 24 09:37:25 2014 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Unspecified
Signature Algorithm: sha1WithRSAEncryption
ab:4c:26:83:fe:42:26:91:61:1d:8b:ee:b9:de:27:5a:84:f1:
0f:b0:bb:d2:e2:80:50:75:d1:20:7c:54:e0:de:59:76:cd:07:
44:49:b8:07:00:31:c3:7c:74:a1:b1:4c:b1:81:94:da:40:d1:
d4:60:ba:3d:2b:ee:96:dd:58:15:db:0c:cd:e7:d4:ff:19:ae:
73:77:82:10:20:0f:13:7b:ed:97:88:43:3a:06:a0:af:3c:67:
93:82:4d:1e:d9:71:02:3e:59:9d:04:01:3a:ac:ce:68:52:70:
7a:ca:da:cb:b1:5c:f3:9e:8a:af:de:b4:72:07:0b:9e:ef:8f:
8b:c9
display pki ca root-certificate命令用来显示CA根证书的内容。
【命令】
display pki ca root-certificate
【视图】
用户视图
【使用指导】
仅当CA根证书存在的情况下,才能显示出CA根证书的内容。
【举例】
# 显示CA根证书的内容。
host# display pki ca root-certificate
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 15356771495294948776 (0xd51e364fb1e655a8)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CN, O=OR, ST=PRO, CN=test_ca, L=LOCATION, OU=DE
Validity
Not Before: Jun 20 03:16:47 2014 GMT
Not After : Jul 10 03:16:47 2014 GMT
Subject: C=CN, O=OR, ST=PRO, CN=test_ca, L=LOCATION, OU=DE
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c9:db:1e:45:66:2d:b5:6c:06:a0:79:62:4d:6c:
ce:92:4b:16:89:3b:5a:0a:62:b7:d6:7b:68:ab:f8:
ac:1c:3d:04:2f:0f:7f:fa:9a:69:4e:09:8f:9d:e2:
a1:35:67:44:58:c5:8d:14:fa:36:6f:c5:0f:b3:9b:
01:7e:1d:00:dc:44:ad:4a:34:16:1f:e9:af:1d:62:
6a:68:cb:e1:d9:30:e7:e2:0e:59:e7:ed:48:3d:83:
75:4e:12:df:90:35:0d:22:5c:7a:35:69:f7:33:ab:
39:58:68:ae:d7:71:55:65:36:53:f1:b4:09:3f:71:
c1:c0:66:0d:19:a2:e1:69:eb
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
Signature Algorithm: sha1WithRSAEncryption
2d:cb:0a:a8:d5:20:c7:f9:94:16:20:14:48:8d:26:40:ac:01:
8e:e1:42:f6:17:28:48:7a:56:d5:67:24:81:60:5e:e4:60:46:
13:64:5b:8b:f1:87:b1:f1:04:3e:63:7f:eb:79:61:43:91:1f:
06:0f:b5:e7:a5:d4:04:be:6a:93:46:70:90:c4:af:a5:61:67:
9d:1b:b1:39:e0:ca:17:58:3e:33:3b:48:71:80:dd:23:9b:94:
34:f7:6b:6b:60:ee:fd:cc:dc:61:63:c5:c1:52:37:95:05:b1:
d8:14:85:65:8a:71:61:f4:19:9f:66:fd:39:de:a5:a7:c0:d4:
88:d0
display running-config pki命令用来显示CA中心的配置。
【命令】
display running-config pki
【视图】
用户视图
【举例】
# 显示CA中心的配置。
host# display running-config pki
pki ca crl update-period 30
!
no pki ca user-certificate命令用来删除设备上的用户证书。
【命令】
no pki ca user-certificate certificate
【视图】
用户视图
【参数】
certificate:需要被删除的证书名称。
【使用指导】
删除证书后,签发撤销记录中也将删除该证书的记录。
删除的证书必须是设备上存在的证书。
【举例】
# 删除一个证书。
host# no pki ca user-certificate test.cer
【相关命令】
· display pki ca user-certificate
pki ca user-certificate copy命令用来将指定的用户证书拷贝到本地证书中的用户证书。
【命令】
pki ca user-certificate copy certificate
【视图】
用户视图
【参数】
certificate:用户证书的名称。
【使用指导】
拷贝的证书必须是设备上存在的证书。
【举例】
# 拷贝一个证书到本地证书中的用户证书。
host# pki ca user-certificate copy test.cer
pki ca user-certificate export tftp命令用来通过TFTP协议导出用户证书。
【命令】
pki ca user-certificate export tftp ip-address certificate { p12 | pem }
【视图】
用户视图
【参数】
ip-address:TFTP服务器的地址。
certificate:被导出的证书的名称。
p12:导出为PKCS12格式的证书。
pem:导出为PEM格式的证书。
【使用指导】
导出的证书仅为设备上存在的用户证书。
【举例】
# 导出一个用户证书。
host# pki ca user-certificate export tftp 192.168.1.105 test.cer p12
Upload file test.p12 ....
Upload file(test.p12) success.
【相关命令】
· display pki ca user-certificate
pki ca user-certificate revoke命令用来撤销已签发的用户证书。
【命令】
pki ca user-certificate revoke certificate reason { Unspecified | KeyCompromise | CaCompromise | Affiliation Changed }
【视图】
用户视图
【参数】
certificate:需要被撤销的用户证书的名称。
Unspecified:撤销原因为未指定。
KeyCompromise:撤销原因为私钥泄露。
CaCompromise:撤销原因为CA证书泄露。
Affiliation Changed:撤销原因为从属关系改变。
【使用指导】
能被撤销的用户证书,仅为已签发的用户证书。
撤消后,用户证书将不再为有效证书。
撤销的证书必须是设备上存在的证书。
【举例】
# 撤销一个用户证书。
host# pki ca user-certificate revoke test.cer reason KeyCompromise
【相关命令】
· display pki ca user-certificate
pki ca user-certificate sign命令用来签发用户证书。
【命令】
pki ca user-certificate sign certificate days days password password
【缺省情况】
缺省情况下,没有用户证书请求,不能进行用户证书的签发。
【视图】
用户视图
【参数】
certificate:需要被签发的用户证书的名称。
days:被签发的用户证书的有效期。取值范围为1~65535天。
password:签发的用户证书的保护密码。最多可为63个字符。
【使用指导】
用户请求证书只可以在WEB页面中创建,命令行下仅可以进行签发。
被签发的用户请求证书,仅为已创建的用户请求证书。
【举例】
# 签发用户请求证书test.csr。
host# pki ca user-certificate sign test.csr days 10 password 1
【相关命令】
· display pki ca user-certificate
display pki ca user-certificate命令用来显示所有的用户证书或者指定用户证书的详细内容。
【命令】
display pki ca user-certificate [ certificate ]
【视图】
用户视图
【参数】
certificate:用户证书的名称。
【使用指导】
当指定某一存在的用户证书时,将显示该证书的详细内容。
当不指定用户证书时,将显示设备上所有的用户证书的简略信息。
【举例】
# 显示所有的用户证书。
host# display pki ca user-certificate
Name version location status reference subject
----------------------------------------------------------------------------------------
test.cer 3 Local Certificate 0 C=CN,CN=test
----------------------------------------------------------------------------------------
Total file: 1; Local certificate file: 1; Local certificate request file: 0
#显示一个用户证书的详细内容。
host# display pki ca user-certificate test.cer
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 12580604629034846311 (0xae9749415541c867)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CN, O=OR, ST=PRO, CN=test_ca, L=LOCATION, OU=DE
Validity
Not Before: Jul 5 03:00:03 2014 GMT
Not After : Jul 15 03:00:03 2014 GMT
Subject: C=CN, CN=test
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c2:27:5a:cd:42:40:ab:b1:bc:10:6c:10:6c:2b:
80:f1:75:11:43:c7:ee:3b:91:c3:7d:c7:ea:ca:96:
f8:4b:5d:5f:f2:ed:c3:24:23:40:a4:ee:e2:83:07:
11:db:6a:dd:a6:1d:a6:5a:5f:9c:ec:14:70:a9:63:
9a:ba:88:7e:54:98:c5:ca:5d:65:11:c1:f0:90:95:
f8:05:29:b2:c1:32:88:06:8f:76:1c:fc:f2:53:36:
a9:fe:13:08:c7:e8:dd:31:e9:00:cf:f2:32:fb:3b:
4c:9f:19:3d:61:5d:49:b9:3b:72:4c:9c:30:f9:e9:
82:16:27:25:29:87:e5:d6:3f
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication, E-mail Protection, Code Signing, Microsoft Server Gated Crypto, OCSP Signing, Time Stamping, dvcs
Signature Algorithm: sha1WithRSAEncryption
4a:f6:d4:fd:33:26:20:7c:79:da:19:2a:f6:58:bf:65:44:4a:
d2:50:59:be:52:0f:26:03:14:2e:e3:11:a7:21:9a:04:96:0a:
93:de:8b:54:a2:b8:b7:69:2f:60:ef:96:d1:7a:a3:4d:e0:4b:
46:f3:86:2b:8e:84:39:8d:96:9e:d6:68:21:04:b2:ad:90:2d:
08:ee:16:7d:85:eb:17:df:e0:f3:74:8e:74:0e:9b:9c:f0:14:
27:b0:ad:72:84:a6:de:ed:c0:a1:5d:45:a5:e2:38:ea:c9:ae:
de:18:0f:cd:bb:9f:5e:c5:e1:1b:e9:9a:4c:6e:4d:83:55:cf:
17:14
表1-1 显示用户证书信息命令显示信息描述表
|
字段 |
描述 |
|
Name |
用户证书的名称 |
|
version |
证书版本信息 |
|
location |
证书位置信息 |
|
status |
证书状态,有Requset、Certificate、Revoked状态 |
|
reference |
证书被引用次数 |
|
subject |
主题信息 |
|
Requset |
请求证书状态 |
|
Certificate |
已签发的证书状态 |
|
Revoked |
已撤销的证书状态 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
