证书6kkbb.com
6kkbb.com 时间:2021-04-08 阅读:()
i目录1PKI1-11.
1PKI配置命令1-11.
1.
1attribute·1-11.
1.
2caidentifier1-21.
1.
3certificaterequestentity1-31.
1.
4certificaterequestfrom·1-41.
1.
5certificaterequestmode1-51.
1.
6certificaterequestpolling·1-61.
1.
7certificaterequesturl1-61.
1.
8common-name·1-71.
1.
9country·1-81.
1.
10crlcheckenable·1-91.
1.
11crlurl·1-91.
1.
12displaypkicertificateaccess-control-policy1-101.
1.
13displaypkicertificateattribute-group·1-111.
1.
14displaypkicertificatedomain1-131.
1.
15displaypkicertificaterequest-status1-181.
1.
16displaypkicrldomain1-191.
1.
17fqdn·1-211.
1.
18ip·1-221.
1.
19ldap-server·1-221.
1.
20locality·1-231.
1.
21organization·1-241.
1.
22organization-unit·1-241.
1.
23pkiabort-certificate-request·1-251.
1.
24pkicertificateaccess-control-policy·1-261.
1.
25pkicertificateattribute-group·1-261.
1.
26pkidelete-certificate1-271.
1.
27pkidomain1-291.
1.
28pkientity1-291.
1.
29pkiexport·1-301.
1.
30pkiimport·1-371.
1.
31pkirequest-certificate1-41ii1.
1.
32pkiretrieve-certificate1-421.
1.
33pkiretrieve-crl·1-431.
1.
34pkistorage·1-441.
1.
35pkivalidate-certificate·1-451.
1.
36public-keydsa·1-471.
1.
37public-keyecdsa·1-481.
1.
38public-keyrsa1-491.
1.
39root-certificatefingerprint·1-501.
1.
40rule·1-511.
1.
41source·1-521.
1.
42state·1-541.
1.
43usage·1-541-11PKI设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
1.
1PKI配置命令1.
1.
1attributeattribute命令用来配置属性规则,用于根据证书的颁发者名、主题名以及备用主题名来过滤证书.
undoattribute命令用来删除证书属性规则.
【命令】attributeid{alt-subject-name{fqdn|ip}|{issuer-name|subject-name}{dn|fqdn|ip}}{ctn|equ|nctn|nequ}attribute-valueundoattributeid【缺省情况】不存在属性规则,即对证书的颁发者名、主题名以及备用主题名没有限制.
【视图】证书属性组视图【缺省用户角色】network-admin【参数】id:证书属性规则序号,取值范围为1~16.
alt-subject-name:表示证书备用主题名(SubjectAlternativeName).
fqdn:指定实体的FQDN.
ip:指定实体的IP地址.
dn:指定实体的DN.
issuer-name:表示证书颁发者名(IssuerName).
subject-name:表示证书主题名(SubjectName).
ctn:表示包含操作.
equ:表示相等操作.
nctn:表示不包含操作.
nequ:表示不等操作.
1-2attribute-value:指定证书属性值,为1~255个字符的字符串,不区分大小写.
【使用指导】各证书属性中可包含的属性域个数有所不同:主题名和颁发者名中均只能包含一个DN,但是均可以同时包含多个FQDN和IP;备用主题名中不能包含DN,但是可以同时包含多个FQDN和IP.
不同类型的证书属性域与操作关键字的组合代表了不同的匹配条件,具体如下表所示:表1-1对证书属性域的操作涵义操作DNFQDN/IPctnDN中包含指定的属性值任意一个FQDN/IP中包含了指定的属性值nctnDN中不包含指定的属性值所有FQDN/IP中均不包含指定的属性值equDN等于指定的属性值任意一个FQDN/IP等于指定的属性值nequDN不等于指定的属性值所有FQDN/IP均不等于指定的属性值如果证书的相应属性中包含了属性规则里指定的属性域,且满足属性规则中定义的匹配条件,则认为该属性与属性规则相匹配.
例如:属性规则2中定义,证书的主题名DN中包含字符串abc.
如果某证书的主题名的DN中确实包含了字符串abc,则认为该证书的主题名与属性规则2匹配.
只有证书中的相应属性与某属性组中的所有属性规则都匹配上,才认为该证书与此属性组匹配.
如果证书中的某属性中没有包含属性规则中指定的属性域,或者不满足属性规则中的匹配条件,则认为该证书与此属性组不匹配.
【举例】#创建一个名为mygroup的证书属性组,并进入证书属性组视图.
system-view[Sysname]pkicertificateattribute-groupmygroup#创建证书属性规则1,定义证书主题名中的DN包含字符串abc.
[Sysname-pki-cert-attribute-group-mygroup]attribute1subject-namednctnabc#创建证书属性规则2,定义证书颁发者名中的FQDN不等于字符串abc.
[Sysname-pki-cert-attribute-group-mygroup]attribute2issuer-namefqdnnequabc#创建证书属性规则3,定义证书主题备用名中的IP地址不等于10.
0.
0.
1.
[Sysname-pki-cert-attribute-group-mygroup]attribute3alt-subject-nameipnequ10.
0.
0.
1【相关命令】displaypkicertificateattribute-grouprule1.
1.
2caidentifiercaidentifier命令用来指定设备信任的CA名称.
undocaidentifier命令用来恢复缺省情况.
【命令】caidentifiername1-3undocaidentifier【缺省情况】未指定设备信任的CA.
【视图】PKI域视图【缺省用户角色】network-admin【参数】name:设备信任的CA名称,为1~63个字符的字符串,区分大小写.
【使用指导】获取CA证书时,必须指定信任的CA名称,这个名称会被作为SCEP消息的一部分发送给CA服务器.
但是一般情况下,CA服务器会忽略收到的SCEP消息中的CA名称的具体内容.
但是如果在同一台服务器上配置了两个CA,且它们的URL是相同的,则服务器将根据SCEP消息中的CA名称选择对应的CA.
因此,使用此命令指定的CA名称必须与希望获取的CA证书对应的CA名称一致.
【举例】#指定设备信任的CA名称为new-ca.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]caidentifiernew-ca1.
1.
3certificaterequestentitycertificaterequestentity命令用来指定用于申请证书的PKI实体名称.
undocertificaterequestentity命令用来恢复缺省情况.
【命令】certificaterequestentityentity-nameundocertificaterequestentity【缺省情况】未指定设备申请证书所使用的PKI实体名称.
【视图】PKI域视图【缺省用户角色】network-admin【参数】entity-name:用于申请证书的PKI实体名称,为1~31个字符的字符串,不区分大小写.
1-4【使用指导】本命令用于在PKI域中指定申请证书的PKI实体.
PKI实体描述了申请证书的实体的各种属性(通用名、组织部门、组织、地理区域、省、国家、FQDN、IP),这些属性用于描述PKI实体的身份信息.
一个PKI域中只能指定一个PKI实体名称,多次执行本命令,最后一次执行的命令生效.
【举例】#指定申请证书的PKI实体名称为en1.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequestentityen1【相关命令】pkientity1.
1.
4certificaterequestfromcertificaterequestfrom命令用来配置证书申请的注册受理机构.
undocertificaterequestfrom命令用来恢复缺省情况.
【命令】certificaterequestfrom{ca|ra}undocertificaterequestfrom【缺省情况】未指定证书申请的注册受理机构.
【视图】PKI域视图【缺省用户角色】network-admin【参数】ca:表示实体从CA申请证书.
ra:表示实体从RA申请证书.
【使用指导】选择从CA还是RA申请证书,由CA服务器决定,需要了解CA服务器上由什么机构来受理证书申请.
推荐使用独立运行的RA作为注册受理机构.
【举例】#指定实体从RA申请证书.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequestfromra1-51.
1.
5certificaterequestmodecertificaterequestmode命令用来配置证书申请方式.
undocertificaterequestmode命令用来恢复缺省情况.
【命令】certificaterequestmode{auto[password{cipher|simple}string]|manual}undocertificaterequestmode【缺省情况】证书申请方式为手工方式.
【视图】PKI域视图【缺省用户角色】network-admin【参数】auto:表示用自动方式申请证书.
password:指定吊销证书时使用的密码.
cipher:以密文方式设置密码.
simple:以明文方式设置密码,该密码将以密文形式存储.
string:密码字符串,区分大小写.
明文密码为1~31个字符的字符串,密文密码为1~73个字符的字符串.
manual:表示用手工方式申请证书.
【使用指导】两种申请方式都属于在线申请,具体情况如下:如果是自动方式,则设备会在与PKI域关联的应用(例如IKE)需要做身份认证时,自动向证书注册机构发起获取CA证书和申请本地证书的操作.
自动方式下,可以指定吊销证书时使用的密码,是否需要指定密码是由CA服务器的策略决定的.
如果为手工方式,则需要手工完成获取CA证书、申请本地证书的操作.
【举例】#指定证书申请方式为自动方式.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequestmodeauto#指定证书申请方式为自动方式,并设置吊销证书时使用的密码为明文123456.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequestmodeautopasswordsimple1234561-6【相关命令】pkirequest-certificate1.
1.
6certificaterequestpollingcertificaterequestpolling命令用来配置证书申请状态的查询周期和最大次数.
undocertificaterequestpolling命令用来恢复缺省情况.
【命令】certificaterequestpolling{countcount|intervalinterval}undocertificaterequestpolling{count|interval}【缺省情况】证书申请状态的查询周期为20分钟,最多查询50次.
【视图】PKI域视图【缺省用户角色】network-admin【参数】countcount:表示证书申请状态的查询次数,取值范围为1~100.
intervalinterval:表示证书申请状态的查询周期,取值范围为5~168,单位为分钟.
【使用指导】设备发送证书申请后,如果CA服务器采用手工方式来签发证书申请,则不会立刻响应设备的申请.
这种情况下,设备通过定期向CA服务器发送状态查询消息,能够及时获取到被CA签发的证书.
CA签发证书后,设备将通过发送状态查询得到证书,之后停止发送状态查询消息.
如果达到最大查询次数时,CA服务器仍未签发证书,则设备停止发送状态查询消息,本次证书申请失败.
如果CA服务器采用自动签发证书的方式,则设备可以立刻得到证书,这种情况下设备不会向CA服务器发送状态查询消息.
【举例】#指定证书申请状态的查询周期为15分钟,最多查询40次.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequestpollinginterval15[Sysname-pki-domain-aaa]certificaterequestpollingcount40【相关命令】displaypkicertificaterequest-status1.
1.
7certificaterequesturlcertificaterequesturl命令用来配置实体通过SCEP进行证书申请的注册受理机构服务器的URL.
1-7undocertificaterequesturl命令用来恢复缺省情况.
【命令】certificaterequesturlurl-string[vpn-instancevpn-instance-name]undocertificaterequesturl【缺省情况】未指定注册受理机构服务器的URL.
【视图】PKI域视图【缺省用户角色】network-admin【参数】url-string:表示证书申请的注册受理机构服务器的URL,为1~511个字符的字符串,区分大小写.
实际可输入的URL长度受命令行允许输入的最大字符数限制.
vpn-instancevpn-instance-name:指定注册受理机构服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN实例名称,为1~31个字符的字符串,区分大小写.
若未指定本参数,则表示该注册受理机构服务器属于公网.
【使用指导】本命令配置的URL内容包括注册受理机构服务器的位置及CGI命令接口脚本位置,格式为http://server_location/cgi_script_location.
【举例】#指定实体进行证书申请的注册受理机构服务器的URL为http://169.
254.
0.
1/certsrv/mscep/mscep.
dll.
system-view[Sysname]pkidomaina[Sysname-pki-domain-a]certificaterequesturlhttp://169.
254.
0.
1/certsrv/mscep/mscep.
dll#指定实体向VPN中的注册受理机构服务器申请证书,该服务器的URL为http://mytest.
net/certsrv/mscep/mscep.
dll,所在的MPLSL3VPN的实例名称为vpn1.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequesturlhttp://mytest.
net/certsrv/mscep/mscep.
dllvpn-instancevpn11.
1.
8common-namecommon-name命令用来配置PKI实体的通用名,比如用户名称.
undocommon-name命令用来恢复缺省情况.
【命令】common-namecommon-name-stingundocommon-name1-8【缺省情况】未配置PKI实体的通用名.
【视图】PKI实体视图【缺省用户角色】network-admin【参数】common-name-sting:PKI实体的通用名,为1~63个字符的字符串,区分大小写,不能包含逗号.
【举例】#配置PKI实体en的通用名为test.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]common-nametest1.
1.
9countrycountry命令用来配置PKI实体所属的国家代码.
undocountry命令用来恢复缺省情况.
【命令】countrycountry-code-stringundocountry【缺省情况】未配置PKI实体所属的国家代码.
【视图】PKI实体视图【缺省用户角色】network-admin【参数】country-code-string:PKI实体所属的国家代码,为标准的两字符代码,区分大小写,例如中国为CN.
【举例】#配置PKI实体en所属的国家代码为CN.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]countryCN1-91.
1.
10crlcheckenablecrlcheckenable命令用来开启CRL检查.
undocrlcheckenable命令用来关闭CRL检查.
【命令】crlcheckenableundocrlcheckenable【缺省情况】CRL检查处于开启状态.
【视图】PKI域视图【缺省用户角色】network-admin【使用指导】CRL(CertificateRevocationList,证书废除列表)是一个由CA签发的文件,该文件中包含被该CA吊销的所有证书的列表.
一个证书有可能在有效期达到之前被CA吊销.
使能CRL检查的目的是查看设备上的实体证书或者即将要导入、获取到设备上的实体证书是否已经被CA吊销,若检查结果表明实体证书已被吊销,那么该证书就不被设备信任.
【举例】#禁止CRL检查.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]undocrlcheckenable【相关命令】pkiimportpkiretrieve-certificatepkivalidate-certificate1.
1.
11crlurlcrlurl命令用来设置CRL发布点的URL.
undocrlurl命令用来恢复缺省情况.
【命令】crlurlurl-string[vpn-instancevpn-instance-name]undocrlurl【缺省情况】未设置CRL发布点的URL.
1-10【视图】PKI域视图【缺省用户角色】network-admin【参数】url-string:表示CRL发布点的URL,为1~511个字符的字符串,区分大小写.
格式为ldap://server_location或http://server_location.
实际可输入的URL长度受命令行允许输入的最大字符数限制.
vpn-instancevpn-instance-name:指定CRL发布点所属的VPN实例.
vpn-instance-name表示MPLSL3VPN实例名称,为1~31个字符的字符串,区分大小写.
若未指定本参数,则表示该CRL发布点属于公网.
【使用指导】如果CRL检查处于使能状态,则进行CRL检查之前,需要首先从PKI域指定的CRL发布点获取CRL.
若PKI域中未配置CRL发布点的URL时,从该待验证的证书中获取发布点信息:优先获取待验证的证书中记录的发布点,如果待验证的证书中没有记录发布点,则获取CA证书中记录的发布点(若待验证的证书为CA证书,则获取上一级CA证书中记录的发布点).
如果无法通过任何途径得到发布点,则通过SCEP协议获取CRL.
若配置了LDAP格式的CRL发布点URL,则表示要通过LDAP协议获取CRL.
若该URL中未携带主机名,则需要根据PKI域中配置的LDAP服务器地址信息来得到完整的LDAP发布点URL.
【举例】#指定CRL发布点的URL为http://169.
254.
0.
30.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]crlurlhttp://169.
254.
0.
30#指定CRL发布点的URL为ldap://169.
254.
0.
30,所在的MPLSL3VPN的实例名称为vpn1.
system-view[Sysname]pkidomain1[Sysname-pki-domain-1]crlurlldap://169.
254.
0.
30vpn-instancevpn1【相关命令】ldap-serverpkiretrieve-crl1.
1.
12displaypkicertificateaccess-control-policydisplaypkicertificateaccess-control-policy命令用来显示证书访问控制策略的配置信息.
【命令】displaypkicertificateaccess-control-policy[policy-name]【视图】任意视图1-11【缺省用户角色】network-adminnetwork-operator【参数】policy-name:指定证书访问控制策略名称,为1~31个字符的字符串,不区分大小写.
【使用指导】若不指定证书访问控制策略的名称,则显示所有证书访问控制策略的配置信息.
【举例】#显示证书访问控制策略mypolicy的配置信息.
displaypkicertificateaccess-control-policymypolicyAccesscontrolpolicyname:mypolicyRule1denymygroup1Rule2permitmygroup2#显示所有证书属性访问控制策略的配置信息.
displaypkicertificateaccess-control-policyTotalPKIcertificateaccesscontrolpolicies:2Accesscontrolpolicyname:mypolicy1Rule1denymygroup1Rule2permitmygroup2Accesscontrolpolicyname:mypolicy2Rule1denymygroup3Rule2permitmygroup4表1-2displaypkicertificateaccess-control-policy命令显示信息描述表字段描述TotalPKIcertificateaccesscontrolpoliciesPKI证书访问控制策略的总数Accesscontrolpolicyname证书访问控制策略名Rulenumber访问控制规则编号permit当证书的属性与属性组里定义的属性匹配时,认为该证书有效,通过了访问控制策略的检测deny当证书的属性与属性组里定义的属性匹配时,认为该证书无效,未通过访问控制策略的检测【相关命令】pkicertificateaccess-control-policyrule1.
1.
13displaypkicertificateattribute-groupdisplaypkicertificateattribute-group命令用来显示证书属性组的配置信息.
1-12【命令】displaypkicertificateattribute-group[group-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】group-name:指定证书属性组名,为1~31个字符的字符串,不区分大小写.
【使用指导】若不指定证书属性组的名称,则显示所有证书属性组的配置信息.
【举例】#显示证书属性组mygroup的信息.
displaypkicertificateattribute-groupmygroupAttributegroupname:mygroupAttribute1subject-namednctnabcAttribute2issuer-namefqdnnctnapp#显示所有证书属性组的信息.
displaypkicertificateattribute-groupTotalPKIcertificateattributegroups:2.
Attributegroupname:mygroup1Attribute1subject-namednctnabcAttribute2issuer-namefqdnnctnappAttributegroupname:mygroup2Attribute1subject-namednctndefAttribute2issuer-namefqdnnctnfqd表1-3displaypkicertificateattribute-group命令显示信息描述表字段描述TotalPKIcertificateattributegroupsPKI证书属性组的总数Attributegroupname证书属性组名称Attributenumber属性规则编号subject-name证书主题名alt-subject-name证书备用主题名issuer-name证书颁发者名dn实体的DNfqdn实体的FQDNip实体的IP地址1-13字段描述ctn表示包含操作nctn表示不包含操作equ表示等于操作nequ表示不等操作Attribute1subject-namednctnabc属性规则内容,包括以下参数:alt-subject-name:表示证书备用主题名issuer-name:表示证书颁发者名subject-name:表示证书主题名fqdn:表示实体的FQDNip:表示实体的IP地址dn:表示实体的DNctn:表示包含操作equ:表示相等操作nctn:表示不包含操作nequ:表示不等操作【相关命令】attributepkicertificateattribute-group1.
1.
14displaypkicertificatedomaindisplaypkicertificatedomain命令用来显示证书的内容.
【命令】displaypkicertificatedomaindomain-name{ca|local|peer[serialserial-num]}【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】domain-name:显示指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
ca:显示CA证书.
local:显示本地证书.
peer:显示对端证书.
1-14serialserial-num:指定要显示的对端证书的序列号.
【使用指导】显示CA证书时,会显示此PKI域中所有CA证书的详细信息,若PKI域中存在RA证书,则同时显示RA证书的详细信息.
显示本地证书时,会显示此PKI域中所有本地证书的详细信息.
显示对端证书时,如果不指定序列号,将显示所有对端证书的简要信息;如果指定序列号,将显示该序号对应的指定对端证书的详细信息.
【举例】#显示PKI域aaa中的CA证书.
displaypkicertificatedomainaaacaCertificate:Data:Version:1(0x0)SerialNumber:5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6SignatureAlgorithm:sha1WithRSAEncryptionIssuer:C=cn,O=docm,OU=rnd,CN=rootcaValidityNotBefore:Jan602:51:412011GMTNotAfter:Dec703:12:052013GMTSubject:C=cn,O=ccc,OU=ppp,CN=rootcaSubjectPublicKeyInfo:PublicKeyAlgorithm:rsaEncryptionPublic-Key:(1024bit)Modulus:00:c4:fd:97:2c:51:36:df:4c:ea:e8:c8:70:66:f0:28:98:ec:5a:ee:d7:35:af:86:c4:49:76:6e:dd:40:4a:9e:8d:c0:cb:d9:10:9b:61:eb:0c:e0:22:ce:f6:57:7c:bb:bb:1b:1d:b6:81:ad:90:77:3d:25:21:e6:7e:11:0a:d8:1d:3c:8e:a4:17:1e:8c:38:da:97:f6:6d:be:09:e3:5f:21:c5:a0:6f:27:4b:e3:fb:9f:cd:c1:91:18:ff:16:ee:d8:cf:8c:e3:4c:a3:1b:08:5d:84:7e:11:32:5f:1a:f8:35:25:c0:7e:10:bd:aa:0f:52:db:7b:cd:5d:2b:66:5a:fbExponent:65537(0x10001)SignatureAlgorithm:sha1WithRSAEncryption6d:b1:4e:d7:ef:bb:1d:67:53:67:d0:8f:7c:96:1d:2a:03:98:3b:48:41:08:a4:8f:a9:c1:98:e3:ac:7d:05:54:7c:34:d5:ee:09:5a:11:e3:c8:7a:ab:3b:27:d7:62:a7:bb:bc:7e:12:5e:9e:4c:1c:4a:9f:d7:89:ca:20:46:de:c5:b3:ce:36:ca:5e:6e:dc:e7:c6:fe:3f:c5:38:dd:d5:a3:36:ad:f4:3d:e6:32:7f:48:df:07:f0:a2:32:89:86:72:22:cd:ed:e5:0f:95:df:9c:75:71:e7:fe:34:c5:a0:64:1c:f0:5c:e4:8f:d3:00:bd:fa:90:b6:64:d8:88:a6#显示PKI域aaa中的本地证书.
1-15displaypkicertificatedomainaaalocalCertificate:Data:Version:3(0x2)SerialNumber:bc:05:70:1f:0e:da:0d:10:16:1eSignatureAlgorithm:sha256WithRSAEncryptionIssuer:C=CN,O=sec,OU=software,CN=abdfdcValidityNotBefore:Jan720:05:442011GMTNotAfter:Jan720:05:442012GMTSubject:O=OpenCALabs,OU=Users,CN=fipsfips-secSubjectPublicKeyInfo:PublicKeyAlgorithm:rsaEncryptionPublic-Key:(1024bit)Modulus:00:b2:38:ad:8c:7d:78:38:37:88:ce:cc:97:17:39:52:e1:99:b3:de:73:8b:ad:a8:04:f9:a1:f9:0d:67:d8:95:e2:26:a4:0b:c2:8c:63:32:5d:38:3e:fd:b7:4a:83:69:0e:3e:24:e4:ab:91:6c:56:51:88:93:9e:12:a4:30:ad:ae:72:57:a7:ba:fb:bc:ac:20:8a:21:46:ea:e8:93:55:f3:41:49:e9:9d:cc:ec:76:13:fd:a5:8d:cb:5b:45:08:b7:d1:c5:b5:58:89:47:ce:12:bd:5c:ce:b6:17:2f:e0:fc:c0:3e:b7:c4:99:31:5b:8a:f0:ea:02:fd:2d:44:7a:67Exponent:65537(0x10001)X509v3extensions:X509v3BasicConstraints:CA:FALSENetscapeCertType:SSLClient,S/MIMEX509v3KeyUsage:DigitalSignature,NonRepudiation,KeyEnciphermentX509v3ExtendedKeyUsage:TLSWebClientAuthentication,E-mailProtection,MicrosoftSmartcardloginNetscapeComment:UserCertificateofOpenCALabsX509v3SubjectKeyIdentifier:91:95:51:DD:BF:4F:55:FA:E4:C4:D0:10:C2:A1:C2:99:AF:A5:CB:30X509v3AuthorityKeyIdentifier:keyid:DF:D2:C9:1A:06:1F:BC:61:54:39:FE:12:C4:22:64:EB:57:3B:11:9FX509v3SubjectAlternativeName:email:fips@ccc.
comX509v3IssuerAlternativeName:email:pki@openca.
orgAuthorityInformationAccess:CAIssuers-URI:http://titan/pki/pub/cacert/cacert.
crt1-16OCSP-URI:http://titan:2560/1.
3.
6.
1.
5.
5.
7.
48.
12-URI:http://titan:830/X509v3CRLDistributionPoints:FullName:URI:http://titan/pki/pub/crl/cacrl.
crlSignatureAlgorithm:sha256WithRSAEncryption94:ef:56:70:48:66:be:8f:9d:bb:77:0f:c9:f4:65:77:e3:bd:ea:9a:b8:24:ae:a1:38:2d:f4:ab:e8:0e:93:c2:30:33:c8:ef:f5:e9:eb:9d:37:04:6f:99:bd:b2:c0:e9:eb:b1:19:7e:e3:cb:95:cd:6c:b8:47:e2:cf:18:8d:99:f4:11:74:b1:1b:86:92:98:af:a2:34:f7:1b:15:ee:ea:91:ed:51:17:d0:76:ec:22:4c:56:da:d6:d1:3c:f2:43:31:4f:1d:20:c8:c2:c3:4d:e5:92:29:ee:43:c6:d7:72:92:e8:13:87:38:9a:9c:cd:54:38:b2:ad:ba:aa:f9:a4:68:b5:2a:df:9a:31:2f:42:80:0c:0c:d9:6d:b3:ab:0f:dd:a0:2c:c0:aa:16:81:aa:d9:33:ca:01:75:94:92:44:05:1a:65:41:fa:1e:41:b5:8a:cc:2b:09:6e:67:70:c4:ed:b4:bc:28:04:50:a6:33:65:6d:49:3c:fc:a8:93:88:53:94:4c:af:23:64:cb:af:e3:02:d1:b6:59:5f:95:52:6d:00:00:a0:cb:75:cf:b4:50:c5:50:00:65:f4:7d:69:cc:2d:68:a4:13:5c:ef:75:aa:8f:3f:ca:fa:eb:4d:d5:5d:27:db:46:c7:f4:7d:3a:b2:fb:a7:c9:de:18:9d:c1#显示PKI域aaa中的所有对端证书的简要信息.
displaypkicertificatedomainaaapeerTotalpeercertificates:1SerialNumber:9a0337eb2156ba1f5476e4d754a5a9f7SubjectName:CN=sldsslserver#显示PKI域aaa中的一个特定序号的对端证书的详细信息.
displaypkicertificatedomainaaapeerserial9a0337eb2156ba1f5476e4d754a5a9f7Certificate:Data:Version:3(0x2)SerialNumber:9a:03:37:eb:21:56:ba:1f:54:76:e4:d7:54:a5:a9:f7SignatureAlgorithm:sha1WithRSAEncryptionIssuer:C=cn,O=ccc,OU=sec,CN=sslValidityNotBefore:Oct1501:23:062010GMTNotAfter:Jul2606:30:542012GMTSubject:CN=sldsslserverSubjectPublicKeyInfo:PublicKeyAlgorithm:rsaEncryptionPublic-Key:(1024bit)Modulus:1-1700:c2:cf:37:76:93:29:5e:cd:0e:77:48:3a:4d:0f:a6:28:a4:60:f8:31:56:28:7f:81:e3:17:47:78:98:68:03:5b:72:f4:57:d3:bf:c5:30:32:0d:58:72:67:04:06:61:08:3b:e9:ac:53:b9:e7:69:68:1a:23:f2:97:4c:26:14:c2:b5:d9:34:8b:ee:c1:ef:af:1a:f4:39:da:c5:ae:ab:56:95:b5:be:0e:c3:46:35:c1:52:29:9c:b7:46:f2:27:80:2d:a4:65:9a:81:78:53:d4:ca:d3:f5:f3:92:54:85:b3:ab:55:a5:03:96:2b:19:8b:a3:4d:b2:17:08:8d:dd:81Exponent:65537(0x10001)X509v3extensions:X509v3AuthorityKeyIdentifier:keyid:9A:83:29:13:29:D9:62:83:CB:41:D4:75:2E:52:A1:66:38:3C:90:11X509v3KeyUsage:criticalDigitalSignature,NonRepudiation,KeyEncipherment,DataEncipherment,KeyAgreementNetscapeCertType:SSLServerX509v3SubjectAlternativeName:DNS:docm.
comX509v3SubjectKeyIdentifier:3C:76:95:9B:DD:C2:7F:5F:98:83:B7:C7:A0:F8:99:1E:4B:D7:2F:26X509v3CRLDistributionPoints:FullName:URI:http://s03130.
ccc.
sec.
com:447/ssl.
crlSignatureAlgorithm:sha1WithRSAEncryption61:2d:79:c7:49:16:e3:be:25:bb:8b:70:37:31:32:e5:d3:e3:31:2c:2d:c1:f9:bf:50:ad:35:4b:c1:90:8c:65:79:b6:5f:59:36:24:c7:14:63:44:17:1e:e4:cf:10:69:fc:93:e9:70:53:3c:85:aa:40:7e:b5:47:75:0f:f0:b2:da:b4:a5:50:dd:06:4a:d5:17:a5:ca:20:19:2c:e9:78:02:bd:19:77:da:07:1a:42:df:72:ad:07:7d:e5:16:d6:75:eb:6e:06:58:ee:76:31:63:db:96:a2:ad:83:b6:bb:ba:4b:79:59:9d:59:6c:77:59:5b:d9:07:33:a8:f0:a5表1-4displaypkicertificate命令显示信息描述表字段描述Version证书版本号SerialNumber证书序列号SignatureAlgorithm签名算法Issuer证书颁发者Validity证书有效期Subject证书所属的实体信息1-18字段描述SubjectPublicKeyInfo证书所属的实体的公钥信息X509v3extensionsX.
509版本3格式的证书扩展属性【相关命令】pkidomainpkiretrieve-certificate1.
1.
15displaypkicertificaterequest-statusdisplaypkicertificaterequest-status命令用来显示证书的申请状态.
【命令】displaypkicertificaterequest-status[domaindomain-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】domaindomain-name:指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
【使用指导】若不指定PKI域的名称,则显示所有PKI域的证书申请状态.
【举例】#显示PKI域aaa的证书申请状态.
displaypkicertificaterequest-statusdomainaaaCertificateRequestTransaction1Domainname:aaaStatus:PendingKeyusage:GeneralRemainpollingattempts:10Nextpollingattemptafter:1191seconds#显示所有PKI域的证书申请状态.
displaypkicertificaterequest-statusCertificateRequestTransaction1Domainname:domain1Status:PendingKeyusage:GeneralRemainpollingattempts:10Nextpollingattemptafter:1191seconds1-19CertificateRequestTransaction2Domainname:domain2Status:PendingKeyusage:SignatureRemainpollingattempts:10Nextpollingattemptafter:188seconds表1-5displaypkicertificaterequest命令显示信息描述表字段描述CertificateRequestTransactionnumber证书申请任务的编号,从1开始顺序编号DomainnamePKI域名Status证书申请状态.
目前,仅有一种取值Pending,表示等待Keyusage证书用途,包括以下取值:General:表示通用,既可以用于加密也可以用于签名Signature:表示用于签名Encryption:表示用于加密Remainpollingattempts剩余的证书申请状态的查询次数Nextpollingattemptafter当前到下次查询证书申请状态的时间间隔,单位为秒【相关命令】certificaterequestpollingpkidomainpkiretrieve-certificate1.
1.
16displaypkicrldomaindisplaypkicrldomain命令用来显示存储在本地的CRL.
【命令】displaypkicrldomaindomain-name【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】domaindomain-name:指定CRL所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
1-20【使用指导】用户可以通过该命令查看证书吊销列表,看所需的证书是否已经被吊销.
【举例】#显示PKI域aaa存储在本地的CRL.
displaypkicrldomainaaaCertificateRevocationList(CRL):Version2(0x1)SignatureAlgorithm:sha1WithRSAEncryptionIssuer:/C=cn/O=docm/OU=sec/CN=therootcaLastUpdate:Apr2801:42:132011GMTNextUpdate:NONECRLextensions:X509v3CRLNumber:6X509v3AuthorityKeyIdentifier:keyid:49:25:DB:07:3A:C4:8A:C2:B5:A0:64:A5:F1:54:93:69:14:51:11:EFRevokedCertificates:SerialNumber:CDE626BF7A44A727B25F9CD81475C004RevocationDate:Apr2801:37:522011GMTCRLentryextensions:InvalidityDate:Apr2801:37:492011GMTSerialNumber:FCADFA81E1F56F43D3F2D3EF7EB56DE5RevocationDate:Apr2801:33:282011GMTCRLentryextensions:InvalidityDate:Apr2801:33:092011GMTSignatureAlgorithm:sha1WithRSAEncryption57:ac:00:3e:1e:e2:5f:59:62:04:05:9b:c7:61:58:2a:df:a4:5c:e5:c0:14:af:c8:e7:de:cf:2a:0a:31:7d:32:da:be:cd:6a:36:b5:83:e8:95:06:bd:b4:c0:36:fe:91:7c:77:d9:00:0f:9e:99:03:65:9e:0c:9c:16:22:ef:4a:40:ec:59:40:60:53:4a:fc:8e:47:57:23:e0:75:0a:a4:1c:0e:2f:3d:e0:b2:87:4d:61:8a:4a:cb:cb:37:af:51:bd:53:78:76:a1:16:3d:0b:89:01:91:61:52:d0:6f:5c:09:59:15:be:b8:68:65:0c:5d:1b:a1:f8:42:04:ba:aa表1-6displaypkicrldomain显示信息描述表字段描述VersionCRL版本号SignatureAlgorithmCA签名该CRL采用的签名算法Issuer颁发该CRL的CA证书名称LastUpdate上次更新CRL的时间NextUpdate下次更新CRL的时间1-21字段描述CRLextensionsCRL扩展属性X509v3CRLNumberX509版本3格式的CRL序号X509v3AuthorityKeyIdentifierX509版本3格式的签发该CRL的CA的标识符keyid公钥标识符一个CA可能有多个密钥对,该字段用于标识CA用哪个密钥对对该CRL进行签名RevokedCertificates撤销的证书信息SerialNumber被吊销证书的序列号RevocationDate证书被吊销的日期CRLentryextensions:CRL项目扩展属性SignatureAlgorithm:签名算法以及签名数据【相关命令】pkiretrieve-crl1.
1.
17fqdnfqdn命令用来配置PKI实体的FQDN.
undofqdn命令用来恢复缺省情况.
【命令】fqdnfqdn-name-stringundofqdn【缺省情况】未配置PKI实体的FQDN.
【视图】PKI实体视图【缺省用户角色】network-admin【参数】fqdn-name-string:PKI实体的FQDN,为1~255个字符的字符串,区分大小写.
形式为hostname@domainname【使用指导】FQDN是实体在网络中的唯一标识,由一个主机名和一个域名组成.
【举例】#配置PKI实体en的FQDN为abc@pki.
domain.
com.
1-22system-view[Sysname]pkientityen[Sysname-pki-entity-en]fqdnabc@pki.
domain.
com1.
1.
18ipip命令用来配置PKI实体的IP地址.
undoip命令用来恢复缺省情况.
【命令】ip{ip-address|interfaceinterface-typeinterface-number}undoip【缺省情况】未配置PKI实体的IP地址.
【视图】PKI实体视图【缺省用户角色】network-admin【参数】ip-address:指定PKI实体的IP地址.
interfaceinterface-typeinterface-numbe:指定接口的主IP地址作为PKI实体的IP地址.
interface-typeinterface-number表示接口类型及接口编号.
【使用指导】通过本命令,可以直接指定PKI实体的IP地址,也可以指定设备上某接口的主IP地址作为PKI实体的IP地址.
如果指定使用某接口的IP地址,则不要求本配置执行时该接口上已经配置了IP地址,只要设备申请证书时,该接口上配置了IP地址,就可以直接使用该地址作为PKI实体身份的一部分.
【举例】#配置PKI实体en的IP地址为192.
168.
0.
2.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]ip192.
168.
0.
21.
1.
19ldap-serverldap-server命令用来指定LDAP服务器.
undoldap-server命令用来恢复缺省情况.
【命令】ldap-serverhosthostname[portport-number][vpn-instancevpn-instance-name]undoldap-server1-23【缺省情况】未指定LDAP服务器.
【视图】PKI域视图【缺省用户角色】network-admin【参数】hosthostname:LDAP服务器的主机名,为1~255个字符的字符串,区分大小写,支持IPv4与IPv6地址的表示方法以及DNS域名的表示方法.
portport-number:LDAP服务器的端口号,取值范围为1~65535,缺省值为389.
vpn-instancevpn-instance-name:指定LDAP服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN实例名称,为1~31个字符的字符串,区分大小写.
若未指定本参数,则表示该LDAP服务器属于公网.
【使用指导】以下两种情况下,需要配置LDAP服务器:通过LDAP协议获取本地证书或对端证书时,需要指定LDAP服务器.
通过LDAP协议获取CRL时,若PKI域中配置的LDAP格式的CRL发布点URL中未携带主机名或IP地址,则需要根据此处配置的LDAP服务器地址来得到完整的LDAP发布点URL.
在一个PKI域中,只能指定一个LDAP服务器,多次执行本命令,最后一次执行的命令生效.
【举例】#指定LDAP服务器的IP地址为10.
0.
0.
1.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]ldap-serverhost10.
0.
0.
1#指定LDAP服务器,IP地址为10.
0.
0.
11,端口号为333,所在的MPLSL3VPN的实例名称为vpn1.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]ldap-serverhost10.
0.
0.
11port333vpn-instancevpn1【相关命令】pkiretrieve-certificatepkiretrieve-crl1.
1.
20localitylocality命令用来配置PKI实体所在的地理区域名称,比如城市名称.
undolocality命令用来恢复缺省情况.
【命令】localitylocality-nameundolocality1-24【缺省情况】未配置PKI实体所在的地理区域名称.
【视图】PKI实体视图【缺省用户角色】network-admin【参数】locality-name:PKI实体所在的地理区域的名称,为1~63个字符的字符串,区分大小写,不能包含逗号.
【举例】#配置PKI实体en所在地理区域的名称为pukras.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]localitypukras1.
1.
21organizationorganization命令用来配置PKI实体所属组织的名称.
undoorganization命令用来恢复缺省情况.
【命令】organizationorg-nameundoorganization【缺省情况】未配置PKI实体所属组织名称.
【视图】PKI实体视图【缺省用户角色】network-admin【参数】org-name:PKI实体所属的组织名称,为1~63个字符的字符串,区分大小写,不能包含逗号.
【举例】#配置PKI实体en所属的组织名称为abc.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]organizationabc1.
1.
22organization-unitorganization-unit命令用来指定实体所属的组织部门的名称.
1-25undoorganization-unit命令用来恢复缺省情况.
【命令】organization-unitorg-unit-nameundoorganization-unit【缺省情况】未配置PKI实体所属组织部门的名称.
【视图】PKI实体视图【缺省用户角色】network-admin【参数】org-unit-name:PKI实体所属组织部门的名称,为1~63个字符的字符串,区分大小写,不能包含逗号.
使用该参数可在同一个组织内区分不同部门的PKI实体.
【举例】#配置PKI实体en所属组织部门的名称为rdtest.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]organization-unitrdtest1.
1.
23pkiabort-certificate-requestpkiabort-certificate-request命令用来停止证书申请过程.
【命令】pkiabort-certificate-requestdomaindomain-name【视图】系统视图【缺省用户角色】network-admin【参数】domaindomain-name:指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
【使用指导】用户在证书申请时,可能由于某种原因需要改变证书申请的一些参数,比如通用名、国家代码、FQDN等,而此时证书申请正在运行,为了新的申请不与之前的申请发生冲突,建议先停止之前的申请程序,再进行新的申请.
【举例】#停止证书申请过程.
system-view1-26[Sysname]pkiabort-certificate-requestdomain1Thecertificaterequestisinprocess.
Confirmtoabortit[Y/N]:y【相关命令】displaypkicertificaterequest-statuspkirequest-certificatedomain1.
1.
24pkicertificateaccess-control-policypkicertificateaccess-control-policy命令用来创建证书访问控制策略,并进入证书访问控制策略视图.
如果指定的证书访问控制策略已存在,则直接进入其视图.
undopkicertificateaccess-control-policy命令用来删除指定的证书访问控制策略.
【命令】pkicertificateaccess-control-policypolicy-nameundopkicertificateaccess-control-policypolicy-name【缺省情况】不存在证书访问控制策略.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:表示证书访问控制策略名称,为1~31个字符的字符串,不区分大小写.
【使用指导】一个证书访问控制策略中可以定义多个证书属性的访问控制规则.
【举例】#配置一个名称为mypolicy的证书访问控制策略,并进入证书访问控制策略视图.
system-view[Sysname]pkicertificateaccess-control-policymypolicy[Sysname-pki-cert-acp-mypolicy]【相关命令】displaypkicertificateaccess-control-policyrule1.
1.
25pkicertificateattribute-grouppkicertificateattribute-group命令用来创建证书属性组并进入证书属性组视图.
如果指定的证书属性组已存在,则直接进入其视图.
undopkicertificateattribute-group命令用来删除指定的证书属性组.
1-27【命令】pkicertificateattribute-groupgroup-nameundopkicertificateattribute-groupgroup-name【缺省情况】不存在证书属性组.
【视图】系统视图【缺省用户角色】network-admin【参数】group-name:证书属性组名称,为1~31个字符的字符串,不区分大小写.
【使用指导】一个证书属性组就是一系列证书属性规则(通过attribute命令配置)的集合,这些属性规则定义了对证书的颁发者名、主题名以及备用主题名进行过滤的匹配条件.
当证书属性组下没有任何属性规则时,则认为对证书的属性没有任何限制.
【举例】#创建一个名为mygroup的证书属性组,并进入证书属性组视图.
system-view[Sysname]pkicertificateattribute-groupmygroup[Sysname-pki-cert-attribute-group-mygroup]【相关命令】attributedisplaypkicertificateattribute-grouprule1.
1.
26pkidelete-certificatepkidelete-certificate命令用来删除PKI域中的证书.
【命令】pkidelete-certificatedomaindomain-name{ca|local|peer[serialserial-num]}【视图】系统视图【缺省用户角色】network-admin1-28【参数】domaindomain-name:证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
ca:表示删除CA证书.
local:表示删除本地证书.
peer:表示删除对端证书.
serialserial-num:表示通过指定序列号删除一个指定的对端证书.
serial-num为对端证书的序列号,为1~127个字符的字符串,不区分大小写.
在每个CA签发的证书范围内,序列号可以唯一标识一个证书.
如果不指定本参数,则表示删除本PKI域中的所有对端证书.
【使用指导】删除CA证书时将同时删除所在PKI域中的本地证书和所有对端证书,以及CRL.
如果需要删除指定的对端证书,则需要首先通过displaypkicertificate命令查看本域中已有的对端证书的序列号,然后再通过指定序列号的方式删除该对端证书.
【举例】#删除PKI域aaa中的CA证书.
system-view[Sysname]pkidelete-certificatedomainaaacaLocalcertificates,peercertificatesandCRLwillalsobedeletedwhiledeletingtheCAcertificate.
ConfirmtodeletetheCAcertificate[Y/N]:y[Sysname]#删除PKI域aaa中的本地证书.
system-view[Sysname]pkidelete-certificatedomainaaalocal[Sysname]#删除PKI域aaa中的所有对端证书.
system-view[Sysname]pkidelete-certificatedomainaaapeer[Sysname]#首先查看PKI域aaa中的对端证书,然后通过指定序列号的方式删除对端证书.
system-view[Sysname]displaypkicertificatedomainaaapeerTotalpeercertificates:1SerialNumber:9a0337eb2156ba1f5476e4d754a5a9f7SubjectName:CN=abc[Sysname]pkidelete-certificatedomainaaapeerserial9a0337eb2156ba1f5476e4d754a5a9f7【相关命令】displaypkicertificate1-291.
1.
27pkidomainpkidomain命令用来创建PKI域,并进入PKI域视图.
如果指定的PKI域已存在,则直接进入PKI域视图.
undopkidomain命令用来删除指定的PKI域.
【命令】pkidomaindomain-nameundopkidomaindomain-name【缺省情况】不存在PKI域.
【视图】系统视图【缺省用户角色】network-admin【参数】domain-name:PKI域名,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
【使用指导】删除PKI域的同时,会将该域相关的证书和CRL都删除掉,因此请慎重操作.
【举例】#创建PKI域aaa并进入PKI域视图.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]1.
1.
28pkientitypkientity命令用来创建PKI实体,并进入PKI实体视图.
如果指定的PKI实体已存在,则直接进入PKI实体视图.
undopkientity命令用来删除指定的PKI实体.
【命令】pkientityentity-nameundopkientityentity-name【缺省情况】不存在PKI实体.
【视图】系统视图1-30【缺省用户角色】network-admin【参数】entity-name:PKI实体的名称,为1~31个字符的字符串,不区分大小写.
【使用指导】在PKI实体视图下可配置PKI实体的各种属性(通用名、组织部门、组织、地理区域、省、国家、FQDN、IP),这些属性用于描述PKI实体的身份信息.
当申请证书时,PKI实体的信息将作为证书中主题(Subjuct)部分的内容.
【举例】#创建名称为en的PKI实体,并进入该实体视图.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]【相关命令】pkidomain1.
1.
29pkiexportpkiexport命令用来将PKI域中的CA证书、本地证书导出到文件中或终端上.
【命令】pkiexportdomaindomain-nameder{all|ca|local}filenamefilenamepkiexportdomaindomain-namep12{all|local}passphrasep12-keyfilenamefilenamepkiexportdomaindomain-namepem{{all|local}[{3des-cbc|aes-128-cbc|aes-192-cbc|aes-256-cbc|des-cbc}pem-key]|ca}[filenamefilename]【视图】系统视图【缺省用户角色】network-admin【参数】domaindomain-name:证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
der:指定证书文件格式为DER编码(包括PKCS#7格式的证书).
p12:指定证书文件格式为PKCS#12编码.
pem:指定证书文件格式为PEM编码.
all:表示导出所有证书,包括PKI域中所有的CA证书和本地证书,但不包括RA证书.
ca:表示导出CA证书.
local:表示导出本地证书或者本地证书和其对应私钥.
1-31passphrasep12-key:指定对PKCS12编码格式的本地证书对应的私钥进行加密所采用的口令.
3des-cbc:对本地证书对应的私钥数据采用3DES_CBC算法进行加密.
aes-128-cbc:对本地证书对应的私钥数据采用128位AES_CBC算法进行加密.
aes-192-cbc:对本地证书对应的私钥数据采用192位AES_CBC算法进行加密.
aes-256-cbc:对本地证书对应的私钥数据采用256位AES_CBC算法进行加密.
des-cbc:对本地证书对应的私钥数据采用DES_CBC算法进行加密.
pem-key:指定对PEM编码格式的本地证书对应的私钥进行加密所采用的口令.
filenamefilename:指定保存证书的文件名,不区分大小写.
如果不指定本参数,则表示要将证书直接导出到终端上显示,这种方式仅PEM编码格式的证书才支持.
【使用指导】导出CA证书时,如果PKI域中只有一个CA证书则导出单个CA证书到用户指定的一个文件或终端,如果是一个CA证书链则导出整个CA证书链到用户指定的一个文件或终端.
导出本地证书时,设备上实际保存证书的证书文件名称并不一定是用户指定的名称,它与本地证书的密钥对用途相关,具体的命名规则如下(假设用户指定的文件名为certificate):如果本地证书的密钥对用途为签名,则证书文件名称为certificate-signature;如果本地证书的密钥对用途为加密,则证书文件名称为certificate-encryption;如果本地证书的密钥对用途为通用(RSA/ECDSA/DSA),则证书文件名称为用户输入的certificate.
导出本地证书时,如果PKI域中有两个本地证书,则导出结果如下:若指定文件名,则将每个本地证书分别导出到一个单独的文件中;若不指定文件名,则将所有本地证书一次性全部导出到终端上,并由不同的提示信息进行分割显示.
导出所有证书时,如果PKI域中只有本地证书或者只有CA证书,则导出结果与单独导出相同.
如果PKI域中存在本地证书和CA证书,则具体导出结果如下:若指定文件名,则将每个本地证书分别导出到一个单独的文件,该本地证书对应的完整CA证书链也会同时导出到该文件中.
若不指定文件名,则将所有的本地证书及域中的CA证书或者CA证书链一次性全部导出到终端上,并由不同的提示信息进行分割显示.
以PKCS12格式导出所有证书时,PKI域中必须有本地证书,否则会导出失败.
以PEM格式导出本地证书或者所有证书时,若不指定私钥的加密算法和私钥加密口令,则不会导出本地证书对应的私钥信息.
以PEM格式导出本地证书或者所有证书时,若指定私钥加密算法和私钥加密口令,且此时本地证书有匹配的私钥,则同时导出本地证书的私钥信息;如果此时本地证书没有匹配的私钥,则导出该本地证书失败.
导出本地证书时,若当前PKI域中的密钥对配置已被修改,导致本地证书的公钥与该密钥对的公钥部分不匹配,则导出该本地证书失败.
导出本地证书或者所有证书时,如果PKI域中有两个本地证书,则导出某种密钥用途的本地证书失败并不会影响导出另外一个本地证书.
指定的文件名中可以带完整路径,当系统中不存在用户所指定路径时,则会导出失败.
1-32【举例】#导出PKI域中的CA证书到DER编码的文件,文件名称为cert-ca.
der.
system-view[Sysname]pkiexportdomaindomain1dercafilenamecert-ca.
der#导出PKI域中的本地证书到DER编码的文件,文件名称为cert-lo.
der.
system-view[Sysname]pkiexportdomaindomain1derlocalfilenamecert-lo.
der#导出PKI域中的所有证书到DER编码的文件,文件名称为cert-all.
p7b.
system-view[Sysname]pkiexportdomaindomain1derallfilenamecert-all.
p7b#导出PKI域中的CA证书到PEM编码的文件,文件名称为cacert.
system-view[Sysname]pkiexportdomaindomain1pemcafilenamecacert#导出PKI域中的本地证书及其对应的私钥到PEM编码的文件,指定保护私钥信息的加密算法为DES_CBC、加密口令为111,文件名称为local.
pem.
system-view[Sysname]pkiexportdomaindomain1pemlocaldes-cbc111filenamelocal.
pem#导出PKI域中所有证书到PEM编码的文件,不指定加密算法和加密口令,不导出本地证书对应的私钥信息,文件名称为all.
pem.
system-view[Sysname]pkiexportdomaindomain1pemallfilenameall.
pem#以PEM格式导出PKI域中本地证书及其对应的私钥到终端,指定保护私钥信息的加密算法为DES_CBC、加密口令为111.
system-view[Sysname]pkiexportdomaindomain1pemlocaldes-cbc111%Thesignatureusagelocalcertificate:BagAttributesfriendlyName:localKeyID:990BC23B8BD1E433422B31C337C01DDF0D79091Dsubject=/C=CN/O=OpenCALabs/OU=Users/CN=chktestchktestissuer=/C=CN/O=OpenCALabs/OU=software/CN=abcd-----BEGINCERTIFICATE-----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-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-----ENDCERTIFICATE-----BagAttributesfriendlyName:localKeyID:990BC23B8BD1E433422B31C337C01DDF0D79091DKeyAttributes:-----BEGINENCRYPTEDPRIVATEKEY-----MIICwzA9BgkqhkiG9w0BBQ0wMDAbBgkqhkiG9w0BBQwwDgQIAbfcE+KoYYoCAggAMBEGBSsOAwIHBAjB+UsJM07JRQSCAoABqtASbjGTQbdxL3n4wNHmyWLxbvL9v27CUu6MjYJDCipVzxHU0rExgn+6cQsK5uK99FPBmy4q9/nnyrooTX8BVlXAjenvgyiiWQLwnIg1IuM8j2aPkQ3wbae1+0RACjSLy1u/PCl5sp6CDxI0b9xz6cxIGxKvUOCc/gxdgk97XZSW/0qnOSZkhgeqBZuxq6Va8iRyho7RCStVxQaeiAZpq/WoZbcS5CKI/WXEBQd4AX2UxN0Ld/On7Wc6KFToixROTxWTtf8SEsKGPDfrEKq3fSTW1xokB8nMbkRtU+fUiY27V/mr1RHO6+yEr+/wGGClBy5YDoD4I9xPkGUkmqx+kfYbMo4yxkSiJdL+X3uEjHnQ/rvnPSKBEU/URwXHxMX9CdCTSqh/SajnrGuB/E4JhOEnS/H9dIM+DN6iz1IwPFklbcK9KMGwV1bosymXmuEbYCYmSmhZb5FnR/RIyE804Jz9ifin3g0QZrykfG7LHL7Ga4nh0hpEeEDiHGEMcQU+g0EtfpOLTI8cMJf7kdNWDnI0AYCvBAAM3CY3BElDVjJq3ioyHSJca8C+3lzcueuAF+lO7Y4Zluq3dqWeuJjE+/1BZJbMmaQAX6NmXKNzmtTPcMtojf+n3+uju0le0d0QYXQz/wPsV+9IYRYasjzoXE5dhZ5sIPOdu9x9hhp5Ns23bwyNP135qTNjx9i/CZMKvLKywm3Yg+Bgg8Df4bBrFrsH1U0ifmmpir2+OuhlC+GbHOxWNeBCa8iAq91k6FGFJ0OLA2oIvhCnh45tM7BjjKTHk+RZdMiA0TKSWuOyihrwxdUEWh999GKUpkwDHLZJFd21z/kWspqThodEx8ea-----ENDENCRYPTEDPRIVATEKEY-----#以PEM格式导出PKI域中所有证书到终端,指定保护本地证书对应私钥的加密算法为DES_CBC、加密口令为111.
system-view[Sysname]pkiexportdomaindomain1pemalldes-cbc111%Thesignatureusagelocalcertificate:BagAttributesfriendlyName:localKeyID:990BC23B8BD1E433422B31C337C01DDF0D79091Dsubject=/C=CN/O=OpenCALabs/OU=Users/CN=chktestchktestissuer=/C=CN/O=OpenCALabs/OU=software/CN=abcd-----BEGINCERTIFICATE-----MIIEqjCCA5KgAwIBAgILAOhID4rI04kBfYgwDQYJKoZIhvcNAQELBQAwRTELMAkGA1UEBhMCQ04xFDASBgNVBAoMC09wZW5DQSBMYWJzMREwDwYDVQQLDAhzb2Z0d2Fy1-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-----ENDCERTIFICATE-----BagAttributes:subject=/C=CN/O=OpenCALabs/OU=software/CN=abcdissuer=/C=CN/O=OpenCALabs/OU=software/CN=abcd-----BEGINCERTIFICATE-----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-35d4kQf5QWgYkQ55/C5puOmcMRgCbMpR2lYkqXLDjTIAZIHRZ/sTp6c+ie2bFxi/YT3xYbO0wDMuGOKJJpsyKTKcbG9NdfbDyFgzEYAobyYqAUB3C0/bMfBduwhQWKSoYE6vZsPGAEisCmAl3dIp49jPgVkixoShraYF1jLsWzJGlzem8QvWYzOqKEDwq3SV0ZcXK8gzDBcsobcUMkwIYPAmd1kAPX-----ENDCERTIFICATE-----BagAttributesfriendlyName:localKeyID:990BC23B8BD1E433422B31C337C01DDF0D79091DKeyAttributes:-----BEGINENCRYPTEDPRIVATEKEY-----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-----ENDENCRYPTEDPRIVATEKEY-----#以PEM格式导出PKI域中CA证书到终端.
system-view[Sysname]pkiexportdomaindomain1pemca-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----#导出PKI域中CA证书到PEM编码的文件,指定文件名称为cacert.
system-view[Sysname]pkiexportdomaindomain1pemcafilenamecacert#导出PKI域中CA证书(证书链)到终端.
system-view[Sysname]pkiexportdomaindomain1pemca1-36-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE----------BEGINCERTIFICATE-----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-----ENDCERTIFICATE----------BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----#导出PKI域中的本地证书及其对应的私钥到PKCS12编码的文件,指定保护私钥信息的加密口令为123,文件名称为cert-lo.
der.
system-view[Sysname]pkiexportdomaindomain1p12localpassphrase123filenamecert-lo.
der#导出PKI域中的所有证书到PKCS12编码的文件,指定文件名称为cert-all.
p7b.
system-view[Sysname]pkiexportdomaindomain1p12allpassphrase123filenamecert-all.
p7b1-37【相关命令】pkidomain1.
1.
30pkiimportpkiimport命令用来将CA证书、本地证书或对端证书导入到指定的PKI域中保存.
【命令】pkiimportdomaindomain-name{der{ca|local|peer}filenamefilename|p12localfilenamefilename|pem{ca|local|peer}[filenamefilename]}【视图】系统视图【缺省用户角色】network-admin【参数】domaindomain-name:保存证书的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
der:指定证书文件格式为DER编码(包括PKCS#7格式的证书).
p12:指定证书文件格式为PKCS#12编码.
pem:指定证书文件格式为PEM编码.
ca:表示CA证书.
local:表示本地证书.
peer:表示对端证书.
filenamefilename:要导入的证书所在的文件名,不区分大小写.
如果不指定本参数,则表示要通过直接在终端上粘贴证书内容的方式导入证书,这种方式仅PEM编码格式的证书才支持.
【使用指导】如果设备所处的环境中,没有证书的发布点,或者CA服务器不支持通过SCEP协议与设备交互,则可通过此命令将证书导入到设备.
另外,当证书对应的密钥对由CA服务器生成时,CA服务器会将证书和对应的密钥对打包成一个文件,使用这样的证书前也需要通过此命令将其导入到设备.
只有PKCS#12格式或PEM格式的证书文件中可能包含密钥对.
证书导入之前:需要通过FTP、TFTP等协议将证书文件传送到设备的存储介质中.
如果设备所处的环境不允许使用FTP、TFTP等协议,则可以直接在终端上粘贴证书的内容,但是粘贴的证书必须是PEM格式的,因为只有PEM编码的证书内容为可打印字符.
必须存在签发本地证书(或对端证书)的CA证书链才能成功导入本地证书(或对端证书),这里的CA证书链可以是保存在设备上的PKI域中的,也可以是本地证书(或对端证书)中携带的.
因此,若设备和本地证书(或对端证书)中都没有CA证书链,则需要首先执行导入CA证书的命令.
导入本地证书或对端证书时:1-38如果用户要导入的本地证书(或对端证书)中含有CA证书链,则可以通过导入本地证书(或对端证书)的命令一次性将CA证书和本地证书(或对端证书)均导入到设备.
导入的过程中,如果发现签发此本地证书(或对端证书)的CA证书已经存在于设备上的任一PKI域中,则系统会提示用户是否将其进行覆盖.
如果要导入的本地证书(或对端证书)中不含有CA证书链,但签发此本地证书(或对端证书)的CA证书已经存在于设备上的任一PKI域中,则可以直接导入本地证书(或对端证书).
导入CA证书时:若要导入的CA证书为根CA或者包含了完整的证书链(即含有根证书),则可以导入到设备.
若要导入的CA证书没有包含完整的证书链(即不含有根证书),但能够与设备上已有的CA证书拼接成完整的证书链,则也可以导入到设备;如果不能与设备上已有的CA证书拼接成完成的证书链,则不能导入到设备.
一些情况下,在证书导入的过程中,需要用户确认或输入相关信息:若要导入的证书文件中包含了根证书,且设备上目前还没有任何PKI域中有此根证书,且要导入的PKI域中没有配置root-certificatefingerprint,则在导入过程中还需要确认该根证书的指纹信息是否与用户的预期一致.
用户需要通过联系CA服务器管理员来获取预期的根证书指纹信息.
当导入含有密钥对的本地证书时,需要输入口令.
用户需要联系CA服务器管理员取得口令的内容.
导入含有密钥对的本地证书时,系统首先会根据查找到的PKI域中已有的密钥对配置来保存该密钥对.
若PKI域中已保存了对应的密钥对,则设备会提示用户选择是否覆盖已有的密钥对.
若PKI域中没有任何密钥对的配置,则根据密钥对的算法及证书的密钥用途,生成相应的密钥对配置.
密钥对的具体保存规则如下:如果本地证书携带的密钥对的用途为通用,则依次查找指定PKI域中通用用途、签名用途、加密用途的密钥对配置,并以找到配置中的密钥对名称保存该密钥对;若以上用途的密钥对配置均不存在,则提示用户输入密钥对名称(缺省的密钥对名称为PKI域的名称),并生成相应的密钥对配置.
如果本地证书携带的密钥对的用途为签名,则依次查找指定PKI域中通用用途、签名用途的密钥对配置,并以找到配置中的密钥对名称保存该密钥对;若以上两种用途的密钥对配置均不存在,则提示用户输入密钥对名称(缺省的密钥对名称为PKI域的名称),并生成相应的密钥对配置.
如果本地证书携带的密钥对的用途为加密,则查找指定PKI域中加密用途的密钥对配置,并以该配置中的密钥对名称保存密钥对;若加密用途密钥对的配置不存在,则提示用户输入密钥对名称(缺省的密钥对名称为PKI域的名称),并生成相应的密钥对配置.
由于以上过程中系统会自动更新或生成密钥对配置,因此建议用户在进行此类导入操作后,保存配置文件.
【举例】#向PKI域aaa中导入CA证书,证书文件格式为PEM编码,证书文件名称为rootca_pem.
cer,证书文件中包含根证书.
system-view[Sysname]pkiimportdomainaaapemcafilenamerootca_pem.
cerThetrustedCA'sfingerprintis:1-39MD5fingerprint:FFFF3EFFFFFF37FFFFFF137BFFFF7535SHA1fingerprint:FFFFFF7FFF2BFFFF7618FF4CFFFF0A7DFFFFFF69Isthefingerprintcorrect(Y/N):y[Sysname]#向PKI域bbb中导入CA证书,证书文件格式为PEM编码,证书文件名称为aca_pem.
cer,证书文件中不包含根证书.
system-view[Sysname]pkiimportdomainbbbpemcafilenameaca_pem.
cer[Sysname]#向PKI域bbb中导入本地证书,证书文件格式为PKCS#12编码,证书文件名称为local-ca.
p12,证书文件中包含了密钥对.
system-view[Sysname]pkiimportdomainbbbp12localfilenamelocal-ca.
p12Pleaseinputchallengepassword:******[Sysname]#向PKI域bbb中通过粘贴证书内容的方式导入PEM编码的本地证书.
证书中含有密钥对和CA证书链.
system-view[Sysname]pkiimportdomainbbbpemlocalEnterPEM-formattedcertificate.
EndwithaCtrl+conalinebyitself.
BagAttributeslocalKeyID:01000000friendlyName:{F7619D96-3AC2-40D4-B6F3-4EAB73DEED73}MicrosoftCSPName:MicrosoftEnhancedCryptographicProviderv1.
0KeyAttributesX509v3KeyUsage:10-----BEGINRSAPRIVATEKEY-----Proc-Type:4,ENCRYPTEDDEK-Info:DES-EDE3-CBC,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-----ENDRSAPRIVATEKEY-----BagAttributes1-40localKeyID:01000000subject=/CN=sldsslserverissuer=/C=cn/O=ccc/OU=sec/CN=ssl-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----BagAttributes:subject=/C=cn/O=ccc/OU=sec/CN=sslissuer=/C=cn/O=ccc/OU=sec/CN=ssl-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----Pleaseinputthepassword:Localcertificatealreadyexist,confirmtooverwriteit[Y/N]:yThePKIdomainalreadyhasaCAcertificate.
Ifitisoverwritten,localcertificates,peercertificatesandCRLofthisdomainwillalsobedeleted.
Overwriteit[Y/N]:yThesystemisgoingtosavethekeypair.
Youmustspecifyakeypairname,whichisacase-insensitivestringof1to64characters.
Validcharactersincludeatoz,AtoZ,0to9,andhyphens(-).
Pleaseenterthekeypairname[defaultname:bbb]:Thekeypairalreadyexists.
Pleaseenterthekeypairname:1-41import-key【相关命令】displaypkicertificatepublic-keydsapublic-keyecdsapublic-keyrsa1.
1.
31pkirequest-certificatepkirequest-certificate命令用来手工申请本地证书或生成PKCS#10证书申请.
【命令】pkirequest-certificatedomaindomain-name[passwordpassword][pkcs10[filenamefilename]]【视图】系统视图【缺省用户角色】network-admin【参数】domaindomain-name:指定证书申请所属的PKI域名,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
passwordpassword:在证书撤销时需要提供的口令,为1~31个字符的字符串,区分大小写.
该口令包含在提交给CA的证书申请中,在吊销该证书时,需要提供该口令.
pkcs10:在终端上显示出BASE64格式的PKCS#10证书申请信息,该信息可用于带外方式(如电话、磁盘、电子邮件等)的证书请求.
filenamefilename:将PKCS#10格式的证书申请信息保存到本地的文件中.
其中,filename表示保存证书申请信息的文件名,不区分大小写.
【使用指导】当SCEP协议不能正常通信时,可以通过执行指定参数pkcs10的本命令打印出本地的证书申请信息(BASE64格式),或者通过执行指定pkcs10filenamefilename参数的本命令将证书申请信息直接保存到本地的指定文件中,然后通过带外方式将这些本地证书申请信息发送给CA进行证书申请.
指定的文件名中可以带完整路径,当系统中不存在用户所指定路径时,则会保存失败.
此命令不会被保存在配置文件中.
【举例】#在终端上显示PKCS#10格式的证书申请信息.
system-view[Sysname]pkirequest-certificatedomainaaapkcs10***Requestforgeneralcertificate***-----BEGINNEWCERTIFICATEREQUEST-----MIIBTDCBtgIBADANMQswCQYDVQQDEwJqajCBnzANBgkqhkiG9w0BAQEFAAOBjQAw1-42gYkCgYEAw5Drj8ofs9THA4ezkDcQPBy8pvH1kumampPsJmx8sGG52NFtbrDTnTT5ALx3LJijB3d/ndKpcHT/DfbJVDCn5gdw32tBZyCkEwMHZN3ol2z7Nmdcu5TED6iN84m+hfp1QWoV6lty3o9pxAXuQl8peUDcfN6WV3LBXYyl1WCtkLkECAwEAAaAAMA0GCSqGSIb3DQEBBAUAA4GBAA8E7BaIdmT6NVCZgv/I/1tqZH3TS4e4H9Qo5NiCKiEwR8owVmA0XVtGMbyqBNcDTG0f5NbHrXZQT5+MbFJOnm5K/mn1ro5TJKMTKV46PlCZJUjsugaY02GBY0BVcylpC9iIXLuXNIqjh1MBIqVsa1lQOHS7YMvnop6hXAQlkM4c-----ENDNEWCERTIFICATEREQUEST-----#手工申请本地证书.
[Sysname]pkirequest-certificatedomainopencaStarttorequestgeneralcertificate.
.
.
……Certificaterequestedsuccessfully.
【相关命令】displaypkicertificate1.
1.
32pkiretrieve-certificatepkiretrieve-certificate命令用来从证书发布服务器上在线获取证书并下载至本地.
【命令】pkiretrieve-certificatedomaindomain-name{ca|local|peerentity-name}【视图】系统视图【缺省用户角色】network-admin【参数】domaindomain-name:指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
ca:表示获取CA证书.
local:表示获取本地证书.
peerentity-name:表示获取对端的证书.
其中entity-name为对端的实体名,为1~31个字符的字符串,不区分大小写.
【使用指导】获取CA证书是通过SCEP协议进行的.
获取CA证书时,如果本地已有CA证书存在,则该操作将不被允许.
这种情况下,若要重新获取CA证书,请先使用pkidelete-certificate命令删除已有的CA证书与对应的本地证书后,再执行此命令.
获取本地证书和对端证书是通过LDAP协议进行的.
获取本地证书或对端证书时,如果本地已有本地证书或对端证书,则该操作是被允许进行的.
最终,属于一个PKI实体的同一种公钥算法的本地证书只能存在一个,后者直接覆盖已有的,但对于RSA算法的证书而言,可以存在一个签名用途的证书和一个加密用途的证书.
所有获取到的CA证书、本地证书或对端证书只有通过验证之后才会被保存到本地证书库中.
此命令不会被保存在配置文件中.
1-43【举例】#从证书发布服务器上获取CA证书.
(需要用户确认CA根证书的指纹)system-view[Sysname]pkiretrieve-certificatedomainaaacaThetrustedCA'sfingerprintis:MD5fingerprint:5C41E657A0D6ECB46BD618237473AABCSHA1fingerprint:1616E7A5D89A2A9994191C12D696822887BCC266Isthefingerprintcorrect(Y/N):yRetrievedthecertificatessuccessfully.
#从证书发布服务器上获取本地证书.
system-view[Sysname]pkiretrieve-certificatedomainaaalocalRetrievedthecertificatessuccessfully.
#从证书发布服务器上获取对端证书.
system-view[Sysname]pkiretrieve-certificatedomainaaapeeren1Retrievedthecertificatessuccessfully.
【相关命令】displaypkicertificatepkidelete-certificate1.
1.
33pkiretrieve-crlpkiretrieve-crl命令用来获取CRL并下载至本地.
【命令】pkiretrieve-crldomaindomain-name【视图】系统视图【缺省用户角色】network-admin【参数】domain-name:指定CRL所属的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
【使用指导】获取CRL的目的是为了验证PKI域中的本地证书和对端证书的合法性.
若要成功获取CRL,PKI域中必须存在CA证书.
设备支持通过HTTP、LDAP或SCEP协议从CRL发布点上获取CRL,具体采用那种协议,由PKI域中CRL发布点的配置决定:若配置的CRL发布点URL格式为HTTP格式,则通过HTTP协议获取CRL.
若配置的CRL发布点URL格式为LDAP格式,则通过LDAP协议获取CRL.
若配置的CRL发布点URL(通过命令crlurl)中缺少主机名,例如ldap:///CN=8088,OU=test,U=rd,C=cn,1-44则还需要在PKI域中配置LDAP服务器的URL(通过命令ldapserver).
此时,设备会将配置的LDAP服务器URL和配置的CRL发布点URL中的不完整的LDAP发布点拼装成完整的LDAP发布点,再通过LDAP协议获取CRL.
若PKI域中没有配置CRL发布点,则设备会依次从本地证书、CA证书中查找CRL的发布点,如果从中查找到了CRL发布点,则通过该发布点获取CRL;否则,通过SCEP协议获取CRL.
【举例】#从CRL发布点上获取CRL.
system-view[Sysname]pkiretrieve-crldomainaaaRetrieveCRLofthedomainaaasuccessfully.
【相关命令】crlurlldapserver1.
1.
34pkistoragepkistorage命令用来配置证书和CRL的存储路径.
undopkistorage命令用来恢复缺省情况.
【命令】pkistorage{certificates|crls}dir-pathundopkistorage{certificates|crls}【缺省情况】证书和CRL的存储路径为设备存储介质上的PKI目录.
【视图】系统视图【缺省用户角色】network-admin【参数】certificates:指定证书的存储目录.
crls:指定CRL的存储目录.
dir-path:存储目录的路径名称,区分大小写,不能以'/'开头,不能包含".
.
/".
dir-path可以是绝对路径也可以是相对路径,但必须已经存在.
【使用指导】dir-path只能是当前主用设备上的路径,不能是其它从设备上的路径.
设备缺省的PKI目录在设备首次成功申请、获取或导入证书时自动创建.
如果需要指定的目录还不存在,需要先使用mkdir命令创建这个目录,再使用此命令配存储路径.
若修改了证书或CRL的存储目录,则原存储路径下的证书文件(以.
cer和.
p12为后缀的文件)和CRL文件(以.
crl为后缀的文件)将被移动到该路径下保存,且原存储路径下的其它文件不受影响.
1-45【举例】#设置证书的存储路径为flash:/pki-new.
system-view[Sysname]pkistoragecertificatesflash:/pki-new#设置CRL存储路径为pki-new.
system-view[Sysname]pkistoragecrlspki-new1.
1.
35pkivalidate-certificatepkivalidate-certificate命令用来验证证书的有效性.
【命令】pkivalidate-certificatedomaindomain-name{ca|local}【视图】系统视图【缺省用户角色】network-admin【参数】domaindomain-name:指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
ca:表示验证CA证书.
local:表示验证本地证书.
【使用指导】证书验证的内容包括:证书是否由用户信任的CA签发;证书是否仍在有效期内;如果使能了CRL检查功能,还会验证证书是否被吊销.
如果验证证书的时候,PKI域中没有CRL,则会先从本地证书库中查找是否存在CRL,如果找到CRL,则把证书库中保存的CRL加载到该PKI域中,否则,就从CA服务器上获取并保存到本地.
导入证书、申请证书、获取证书以及应用程序使用PKI功能时,都会自动对证书进行验证,因此一般不需要使用此命令进行额外的验证.
如果用户希望在没有任何前述操作的情况下单独执行证书的验证,可以使用此命令.
验证CA证书时,会对从当前CA到根CA的整条CA证书链进行CRL检查.
【举例】#验证PKI域aaa中的CA证书的有效性.
system-view[Sysname]pkivalidate-certificatedomainaaacaVerifyingcertificate.
.
.
.
.
.
SerialNumber:f6:3c:15:31:fe:bb:ec:94:dc:3d:b9:3a:d9:07:70:e5Issuer:C=cnO=ccc1-46OU=pppCN=rootcaSubject:C=cnO=abcOU=testCN=acaVerifyresult:OKVerifyingcertificate.
.
.
.
.
.
SerialNumber:5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6Issuer:C=cnO=cccOU=pppCN=rootcaSubject:C=cnO=cccOU=pppCN=rootcaVerifyresult:OK#验证PKI域aaa中的本地证书的有效性.
system-view[Sysname]pkivalidate-certificatedomainaaalocalVerifyingcertificate.
.
.
.
.
.
SerialNumber:bc:05:70:1f:0e:da:0d:10:16:1eIssuer:C=CNO=secOU=softwareCN=bcaSubject:O=OpenCALabsOU=UsersCN=fipsfips-secVerifyresult:OK【相关命令】crlcheckpkidomain1-471.
1.
36public-keydsapublic-keydsa命令用来指定证书申请使用的DSA密钥对.
undopublic-key命令用来恢复缺省情况.
【命令】public-keydsanamekey-name[lengthkey-length]undopublic-key【缺省情况】未指定证书申请使用的密钥对.
【视图】PKI域视图【缺省用户角色】network-admin【参数】namekey-name:密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符"-".
lengthkey-length:密钥的长度.
非FIPS模式下,key-length的取值范围为512~2048,单位为比特,缺省值为1024;FIPS模式下,key-length的取值为2048,单位为比特,缺省值为2048.
密钥越长,密钥安全性越高,但相关的公钥运算越耗时.
【使用指导】本命令中引用的密钥对并不要求已经存在,可以通过以下任意一种途径获得:通过执行public-keylocalcreate命令生成.
通过应用程序认证过程触发生成.
例如IKE协商过程中,如果使用数字签名认证方式,则可能会触发生成密钥对.
通过导入证书(使用pkiimport命令)的方式从外界获得.
一个PKI域中只能同时存在一种算法(RSA、DSA或ECDSA)的密钥对.
在同一个PKI域中多次执行public-keydsa命令,最后一次执行的命令生效.
本命令中指定的密钥长度仅对将要由设备生成的密钥对有效.
如果执行本命令时,设备上已经存在指定名称的密钥对,则后续通过此命令指定的该密钥对的密钥长度没有意义.
如果指定名称的密钥对是通过导入证书的方式获得,则通过本命令指定的密钥长度也没有意义.
【举例】#指定证书申请所使用的DSA密钥对为abc,密钥的长度为2048比特.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]public-keydsanameabclength2048【相关命令】pkiimportpublic-keylocalcreate(安全命令参考/公钥管理)1-481.
1.
37public-keyecdsapublic-keyecdsa命令用来指定证书申请使用的ECDSA密钥对.
undopublic-key命令用来恢复缺省情况.
【命令】(非FIPS模式)public-keyecdsanamekey-name[secp192r1|secp256r1|secp384r1|secp521r1]undopublic-key(FIPS模式)public-keyecdsanamekey-name[secp256r1|secp384r1|secp521r1]undopublic-key【缺省情况】未指定证书申请使用的密钥对.
【视图】PKI域视图【缺省用户角色】network-admin【参数】namekey-name:密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符"-".
secp192r1:密钥对使用的椭圆曲线算法的名称为secp192r1,密钥长度为192比特.
secp256r1:密钥对使用的椭圆曲线算法的名称为secp256r1,密钥长度为256比特.
secp384r1:密钥对使用的椭圆曲线算法的名称为secp384r1,密钥长度为384比特.
secp521r1:密钥对使用的椭圆曲线算法的名称为secp521r1,密钥长度为521比特.
【使用指导】本命令中引用的密钥对并不要求已经存在,可以通过以下任意一种途径获得:通过执行public-keylocalcreate命令生成.
通过应用程序认证过程触发生成.
例如IKE协商过程中,如果使用数字签名认证方式,则可能会触发生成密钥对.
通过导入证书(使用pkiimport命令)的方式从外界获得.
若未指定任何参数,则在非FIPS模式下缺省使用密钥对secp192r1;在FIPS模式下缺省使用密钥对secp256r1.
一个PKI域中只能同时存在一种算法(RSA、DSA或ECDSA)的密钥对.
在同一个PKI域中多次执行public-keyecdsa命令,最后一次执行的命令生效.
本命令中指定的密钥长度仅对将要由设备生成的密钥对有效.
如果执行本命令时,设备上已经存在指定名称的密钥对,则后续通过此命令指定的该密钥对的密钥长度没有意义.
如果指定名称的密钥对是通过导入证书的方式获得,则通过本命令指定的密钥长度也没有意义.
1-49【举例】#指定证书申请所使用的ECDSA密钥对为abc,椭圆曲线算法的名称为secp384r1.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]public-keyecdsanameabcsecp384r1【相关命令】pkiimportpublic-keylocalcreate(安全命令参考/公钥管理)1.
1.
38public-keyrsapublic-keyrsa命令用来指定证书申请使用的RSA密钥对.
undopublic-key命令用来恢复缺省情况.
【命令】public-keyrsa{{encryptionnameencryption-key-name[lengthkey-length]|signaturenamesignature-key-name[lengthkey-length]}*|generalnamekey-name[lengthkey-length]}undopublic-key【缺省情况】未指定证书申请使用的密钥对.
【视图】PKI域视图【缺省用户角色】network-admin【参数】encryption:指定密钥对的用途为加密.
nameencryption-key-name:加密密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符"-".
signature:指定密钥对的用途为签名.
namesignature-key-name:签名密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符"-".
general:指定密钥对的用途为通用,既可以用于签名也可以用于加密.
namekey-name:通用密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符"-".
lengthkey-length:密钥的长度.
非FIPS模式下,key-length的取值范围为512~4096,单位为比特,缺省为1024;FIPS模式下,key-length的取值范围为2048~4096,取值为256的倍数,单位为比特,缺省为2048.
密钥越长,密钥安全性越高,但相关的公钥运算越耗时.
【使用指导】本命令中引用的密钥对并不要求已经存在,可以通过以下任意一种途径获得:1-50通过执行public-keylocalcreate命令生成.
通过应用程序认证过程触发生成.
例如IKE协商过程中,如果使用数字签名认证方式,则可能会触发生成密钥对.
通过导入证书(使用pkiimport命令)的方式从外界获得.
一个PKI域中只能同时存在一种算法(RSA、DSA或ECDSA)的密钥对.
对于RSA密钥对来说,一个PKI域中只允许单独存在一种用途的RSA密钥对,或同时存在一个用于签名的和一个用于加密的RSA密钥对.
因此,在一个PKI域中,RSA签名密钥对和RSA加密密钥对的配置不会互相覆盖.
分别指定RSA签名密钥对和RSA加密密钥对时,它们的密钥长度可以不相同.
本命令中指定的密钥长度仅对将要由设备生成的密钥对有效.
如果执行本命令时,设备上已经存在指定名称的密钥对,则后续通过此命令指定的该密钥对的密钥长度没有意义.
如果指定名称的密钥对是通过导入证书的方式获得,则通过本命令指定的密钥长度也没有意义.
【举例】#指定证书申请所使用的RSA密钥对为abc,密钥用途为通用,密钥的长度为2048比特.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]public-keyrsageneralnameabclength2048#指定证书申请所使用的加密RSA密钥对为rsa1(密钥的长度为2048比特),签名RSA密钥对为sig1(密钥的长度为2048比特).
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]public-keyrsaencryptionnamersa1length2048[Sysname-pki-domain-aaa]public-keyrsasignaturenamesig1length2048【相关命令】pkiimportpublic-keylocalcreate(安全命令参考/公钥管理)1.
1.
39root-certificatefingerprintroot-certificatefingerprint命令用来配置验证CA根证书时所使用的指纹.
undoroot-certificatefingerprint命令用来恢复缺省情况.
【命令】(非FIPS模式)root-certificatefingerprint{md5|sha1}stringundoroot-certificatefingerprint(FIPS模式)root-certificatefingerprintsha1stringundoroot-certificatefingerprint【缺省情况】未指定验证CA根证书时使用的指纹.
1-51【视图】PKI域视图【缺省用户角色】network-admin【参数】md5:使用MD5指纹.
sha1:使用SHA1指纹.
string:指定所使用的指纹信息.
当选择MD5指纹时,string必须为32个字符的字符串,并且以16进制的形式输入;当选择SHA1指纹时,string必须为40个字符的字符串,并且以16进制的形式输入.
【使用指导】当本地证书申请模式为自动方式且PKI域中没有CA证书时,必须通过本命令配置验证CA证书时所使用的指纹.
当IKE协商等应用触发设备进行本地证书申请时,设备会自动从CA服务器上获取CA证书,如果获取的CA证书中包含了本地不存在的CA根证书,则设备会验证该CA根证书的指纹.
此时,如果设备上没有配置CA根证书指纹或者配置了错误的CA根证书指纹,则本地证书申请失败.
通过pkiimport命令导入CA证书或者通过pkiretrieve-certificate命令获取CA证书时,可以选择是否配置验证CA根证书使用的指纹:如果PKI域中配置了验证CA根证书使用的指纹,则当导入的CA证书文件或者获取的CA证书中包含本地不存在的CA根证书时,直接使用配置的CA根证书指纹进行验证.
如果配置了错误的CA根证书指纹,则CA证书导入和CA证书获取均会失败;否则,需要用户来确认该CA证书的CA根证书指纹是否可信.
【举例】#配置验证CA根证书时使用的MD5指纹.
(仅非FIPS模式下支持)system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]root-certificatefingerprintmd512EF53FA355CD23E12EF53FA355CD23E#配置验证CA根证书时使用的SHA1指纹.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]root-certificatefingerprintsha1D1526110AAD7527FB093ED7FC037B0B3CDDDAD93【相关命令】certificaterequestmodepkiimportpkiretrieve-certificate1.
1.
40rulerule命令用来配置证书属性的访问控制规则.
undorule命令用来删除指定的证书属性访问控制规则.
1-52【命令】rule[id]{deny|permit}group-nameundoruleid【缺省情况】不存在证书属性的访问控制规则.
【视图】证书访问控制策略视图【缺省用户角色】network-admin【参数】id:证书属性访问控制规则编号,取值范围为1~16,缺省值为当前还未被使用的且合法的最小编号,取值越小优先级越高.
deny:当证书的属性与所关联的属性组匹配时,认为该证书无效,未通过访问控制策略的检测.
permit:当证书的属性与所关联的属性组匹配时,认为该证书有效,通过了访问控制策略的检测.
group-name:规则所关联的证书属性组名称,为1~31个字符的字符串,不区分大小写.
【使用指导】配置证书属性访问控制规则时,可以关联一个当前并不存在的证书属性组,后续可以通过命令pkicertificateattribute-group完成相应的配置.
若规则所关联的证书属性组中没有定义任何属性规则(通过命令attribute配置),或关联的证书属性组不存在,则认为被检测的证书属性与该属性组匹配.
如果一个访问控制策略中有多个规则,则按照规则编号从小到大的顺序遍历所有规则,一旦证书与某一个规则匹配,则立即结束检测,不再继续匹配其它规则;若遍历完所有规则后,证书没有与任何规则匹配,则认为该证书不能通过访问控制策略的检测.
【举例】#配置一个访问控制规则,要求当证书与证书属性组mygroup匹配时,认为该证书有效,通过了访问控制策略的检测.
system-view[Sysname]pkicertificateaccess-control-policymypolicy[Sysname-pki-cert-acp-mypolicy]rule1permitmygroup【相关命令】attributedisplaypkicertificateaccess-control-policypkicertificateattribute-group1.
1.
41sourcesource命令用来指定PKI操作产生的协议报文使用的源IP地址.
undosource命令用来恢复缺省情况.
1-53【命令】source{ip|ipv6}{ip-address|interfaceinterface-typeinterface-number}undosource【缺省情况】PKI操作产生的协议报文的源IP地址为系统根据路由表项查找到的出接口的地址.
【视图】PKI域视图【缺省用户角色】network-admin【参数】ipip-address:指定源IPv4地址.
ipv6ip-address:指定源IPv6地址.
interfaceinterface-typeinterface-number:指定该接口的主IPv4地址或接口上最小的IPv6地址为源IP地址.
interface-typeinterface-number表示接口类型和接口编号.
【使用指导】如果希望PKI操作产生的协议报文的源IP地址是一个特定的地址,则需要配置此命令,例如CA服务器上的策略要求仅接受来自指定地址或网段的证书申请.
如果该IP地址是动态获取的,则可以指定一个接口,使用该接口上的IP地址作为源地址.
此处指定的源IP地址,必须与CA服务器之间路由可达.
一个PKI域中只能存在一个源IP地址,后配置的生效.
【举例】#指定PKI操作产生的协议报文的源IP地址为111.
1.
1.
8.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]sourceip111.
1.
1.
8#指定PKI操作产生的协议报文的源IPv6地址为1::8.
system-view[Sysname]pkidomain1[Sysname-pki-domain-1]sourceipv61::8#指定PKI操作产生的协议报文的源IP地址为接口Vlan-interface1的IP地址.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]sourceipinterfacevlan-interface1#指定PKI操作产生的协议报文的源IPv6地址为接口Vlan-interface1的IPv6地址.
system-view[Sysname]pkidomain1[Sysname-pki-domain-1]sourceipv6interfacevlan-interface11-541.
1.
42statestate命令用来配置PKI实体所属的州或省的名称.
undostate命令用来恢复缺省情况.
【命令】statestate-nameundostate【缺省情况】未配置PKI实体所属的州或省的名称.
【视图】PKI实体视图【缺省用户角色】network-admin【参数】state-name:PKI实体所属的州或省的名称,为1~63个字符的字符串,区分大小写,不能包含逗号.
【举例】#配置PKI实体en所在省为countryA.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]statecountryA1.
1.
43usageusage命令用来指定证书的扩展用途.
undousage命令用来删除指定证书的扩展用途.
【命令】usage{ike|ssl-client|ssl-server}*undousage[ike|ssl-client|ssl-server]*【缺省情况】未指定证书的扩展用途,表示可用于IKE、SSL客户端和SSL服务器端用途.
【视图】PKI域视图【缺省用户角色】network-admin【参数】ike:指定证书扩展用途为IKE,即IKE对等体使用的证书.
ssl-client:指定证书扩展用途为SSL客户端,即SSL客户端使用的证书.
1-55ssl-server:指定证书扩展用途为SSL服务器端,即SSL服务器端使用的证书.
【使用指导】若不指定任何参数,则undousage命令表示删除所有指定的证书扩展用途,证书的用途由证书的使用者决定,PKI不做任何限定.
证书中携带的扩展用途与CA服务器的策略相关,申请到的证书中的扩展用途可能与此处指定的不完全一致,最终请以CA服务器的实际情况为准.
【举例】#指定证书扩展用途为IKE.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]usageike
1PKI配置命令1-11.
1.
1attribute·1-11.
1.
2caidentifier1-21.
1.
3certificaterequestentity1-31.
1.
4certificaterequestfrom·1-41.
1.
5certificaterequestmode1-51.
1.
6certificaterequestpolling·1-61.
1.
7certificaterequesturl1-61.
1.
8common-name·1-71.
1.
9country·1-81.
1.
10crlcheckenable·1-91.
1.
11crlurl·1-91.
1.
12displaypkicertificateaccess-control-policy1-101.
1.
13displaypkicertificateattribute-group·1-111.
1.
14displaypkicertificatedomain1-131.
1.
15displaypkicertificaterequest-status1-181.
1.
16displaypkicrldomain1-191.
1.
17fqdn·1-211.
1.
18ip·1-221.
1.
19ldap-server·1-221.
1.
20locality·1-231.
1.
21organization·1-241.
1.
22organization-unit·1-241.
1.
23pkiabort-certificate-request·1-251.
1.
24pkicertificateaccess-control-policy·1-261.
1.
25pkicertificateattribute-group·1-261.
1.
26pkidelete-certificate1-271.
1.
27pkidomain1-291.
1.
28pkientity1-291.
1.
29pkiexport·1-301.
1.
30pkiimport·1-371.
1.
31pkirequest-certificate1-41ii1.
1.
32pkiretrieve-certificate1-421.
1.
33pkiretrieve-crl·1-431.
1.
34pkistorage·1-441.
1.
35pkivalidate-certificate·1-451.
1.
36public-keydsa·1-471.
1.
37public-keyecdsa·1-481.
1.
38public-keyrsa1-491.
1.
39root-certificatefingerprint·1-501.
1.
40rule·1-511.
1.
41source·1-521.
1.
42state·1-541.
1.
43usage·1-541-11PKI设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
1.
1PKI配置命令1.
1.
1attributeattribute命令用来配置属性规则,用于根据证书的颁发者名、主题名以及备用主题名来过滤证书.
undoattribute命令用来删除证书属性规则.
【命令】attributeid{alt-subject-name{fqdn|ip}|{issuer-name|subject-name}{dn|fqdn|ip}}{ctn|equ|nctn|nequ}attribute-valueundoattributeid【缺省情况】不存在属性规则,即对证书的颁发者名、主题名以及备用主题名没有限制.
【视图】证书属性组视图【缺省用户角色】network-admin【参数】id:证书属性规则序号,取值范围为1~16.
alt-subject-name:表示证书备用主题名(SubjectAlternativeName).
fqdn:指定实体的FQDN.
ip:指定实体的IP地址.
dn:指定实体的DN.
issuer-name:表示证书颁发者名(IssuerName).
subject-name:表示证书主题名(SubjectName).
ctn:表示包含操作.
equ:表示相等操作.
nctn:表示不包含操作.
nequ:表示不等操作.
1-2attribute-value:指定证书属性值,为1~255个字符的字符串,不区分大小写.
【使用指导】各证书属性中可包含的属性域个数有所不同:主题名和颁发者名中均只能包含一个DN,但是均可以同时包含多个FQDN和IP;备用主题名中不能包含DN,但是可以同时包含多个FQDN和IP.
不同类型的证书属性域与操作关键字的组合代表了不同的匹配条件,具体如下表所示:表1-1对证书属性域的操作涵义操作DNFQDN/IPctnDN中包含指定的属性值任意一个FQDN/IP中包含了指定的属性值nctnDN中不包含指定的属性值所有FQDN/IP中均不包含指定的属性值equDN等于指定的属性值任意一个FQDN/IP等于指定的属性值nequDN不等于指定的属性值所有FQDN/IP均不等于指定的属性值如果证书的相应属性中包含了属性规则里指定的属性域,且满足属性规则中定义的匹配条件,则认为该属性与属性规则相匹配.
例如:属性规则2中定义,证书的主题名DN中包含字符串abc.
如果某证书的主题名的DN中确实包含了字符串abc,则认为该证书的主题名与属性规则2匹配.
只有证书中的相应属性与某属性组中的所有属性规则都匹配上,才认为该证书与此属性组匹配.
如果证书中的某属性中没有包含属性规则中指定的属性域,或者不满足属性规则中的匹配条件,则认为该证书与此属性组不匹配.
【举例】#创建一个名为mygroup的证书属性组,并进入证书属性组视图.
system-view[Sysname]pkicertificateattribute-groupmygroup#创建证书属性规则1,定义证书主题名中的DN包含字符串abc.
[Sysname-pki-cert-attribute-group-mygroup]attribute1subject-namednctnabc#创建证书属性规则2,定义证书颁发者名中的FQDN不等于字符串abc.
[Sysname-pki-cert-attribute-group-mygroup]attribute2issuer-namefqdnnequabc#创建证书属性规则3,定义证书主题备用名中的IP地址不等于10.
0.
0.
1.
[Sysname-pki-cert-attribute-group-mygroup]attribute3alt-subject-nameipnequ10.
0.
0.
1【相关命令】displaypkicertificateattribute-grouprule1.
1.
2caidentifiercaidentifier命令用来指定设备信任的CA名称.
undocaidentifier命令用来恢复缺省情况.
【命令】caidentifiername1-3undocaidentifier【缺省情况】未指定设备信任的CA.
【视图】PKI域视图【缺省用户角色】network-admin【参数】name:设备信任的CA名称,为1~63个字符的字符串,区分大小写.
【使用指导】获取CA证书时,必须指定信任的CA名称,这个名称会被作为SCEP消息的一部分发送给CA服务器.
但是一般情况下,CA服务器会忽略收到的SCEP消息中的CA名称的具体内容.
但是如果在同一台服务器上配置了两个CA,且它们的URL是相同的,则服务器将根据SCEP消息中的CA名称选择对应的CA.
因此,使用此命令指定的CA名称必须与希望获取的CA证书对应的CA名称一致.
【举例】#指定设备信任的CA名称为new-ca.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]caidentifiernew-ca1.
1.
3certificaterequestentitycertificaterequestentity命令用来指定用于申请证书的PKI实体名称.
undocertificaterequestentity命令用来恢复缺省情况.
【命令】certificaterequestentityentity-nameundocertificaterequestentity【缺省情况】未指定设备申请证书所使用的PKI实体名称.
【视图】PKI域视图【缺省用户角色】network-admin【参数】entity-name:用于申请证书的PKI实体名称,为1~31个字符的字符串,不区分大小写.
1-4【使用指导】本命令用于在PKI域中指定申请证书的PKI实体.
PKI实体描述了申请证书的实体的各种属性(通用名、组织部门、组织、地理区域、省、国家、FQDN、IP),这些属性用于描述PKI实体的身份信息.
一个PKI域中只能指定一个PKI实体名称,多次执行本命令,最后一次执行的命令生效.
【举例】#指定申请证书的PKI实体名称为en1.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequestentityen1【相关命令】pkientity1.
1.
4certificaterequestfromcertificaterequestfrom命令用来配置证书申请的注册受理机构.
undocertificaterequestfrom命令用来恢复缺省情况.
【命令】certificaterequestfrom{ca|ra}undocertificaterequestfrom【缺省情况】未指定证书申请的注册受理机构.
【视图】PKI域视图【缺省用户角色】network-admin【参数】ca:表示实体从CA申请证书.
ra:表示实体从RA申请证书.
【使用指导】选择从CA还是RA申请证书,由CA服务器决定,需要了解CA服务器上由什么机构来受理证书申请.
推荐使用独立运行的RA作为注册受理机构.
【举例】#指定实体从RA申请证书.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequestfromra1-51.
1.
5certificaterequestmodecertificaterequestmode命令用来配置证书申请方式.
undocertificaterequestmode命令用来恢复缺省情况.
【命令】certificaterequestmode{auto[password{cipher|simple}string]|manual}undocertificaterequestmode【缺省情况】证书申请方式为手工方式.
【视图】PKI域视图【缺省用户角色】network-admin【参数】auto:表示用自动方式申请证书.
password:指定吊销证书时使用的密码.
cipher:以密文方式设置密码.
simple:以明文方式设置密码,该密码将以密文形式存储.
string:密码字符串,区分大小写.
明文密码为1~31个字符的字符串,密文密码为1~73个字符的字符串.
manual:表示用手工方式申请证书.
【使用指导】两种申请方式都属于在线申请,具体情况如下:如果是自动方式,则设备会在与PKI域关联的应用(例如IKE)需要做身份认证时,自动向证书注册机构发起获取CA证书和申请本地证书的操作.
自动方式下,可以指定吊销证书时使用的密码,是否需要指定密码是由CA服务器的策略决定的.
如果为手工方式,则需要手工完成获取CA证书、申请本地证书的操作.
【举例】#指定证书申请方式为自动方式.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequestmodeauto#指定证书申请方式为自动方式,并设置吊销证书时使用的密码为明文123456.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequestmodeautopasswordsimple1234561-6【相关命令】pkirequest-certificate1.
1.
6certificaterequestpollingcertificaterequestpolling命令用来配置证书申请状态的查询周期和最大次数.
undocertificaterequestpolling命令用来恢复缺省情况.
【命令】certificaterequestpolling{countcount|intervalinterval}undocertificaterequestpolling{count|interval}【缺省情况】证书申请状态的查询周期为20分钟,最多查询50次.
【视图】PKI域视图【缺省用户角色】network-admin【参数】countcount:表示证书申请状态的查询次数,取值范围为1~100.
intervalinterval:表示证书申请状态的查询周期,取值范围为5~168,单位为分钟.
【使用指导】设备发送证书申请后,如果CA服务器采用手工方式来签发证书申请,则不会立刻响应设备的申请.
这种情况下,设备通过定期向CA服务器发送状态查询消息,能够及时获取到被CA签发的证书.
CA签发证书后,设备将通过发送状态查询得到证书,之后停止发送状态查询消息.
如果达到最大查询次数时,CA服务器仍未签发证书,则设备停止发送状态查询消息,本次证书申请失败.
如果CA服务器采用自动签发证书的方式,则设备可以立刻得到证书,这种情况下设备不会向CA服务器发送状态查询消息.
【举例】#指定证书申请状态的查询周期为15分钟,最多查询40次.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequestpollinginterval15[Sysname-pki-domain-aaa]certificaterequestpollingcount40【相关命令】displaypkicertificaterequest-status1.
1.
7certificaterequesturlcertificaterequesturl命令用来配置实体通过SCEP进行证书申请的注册受理机构服务器的URL.
1-7undocertificaterequesturl命令用来恢复缺省情况.
【命令】certificaterequesturlurl-string[vpn-instancevpn-instance-name]undocertificaterequesturl【缺省情况】未指定注册受理机构服务器的URL.
【视图】PKI域视图【缺省用户角色】network-admin【参数】url-string:表示证书申请的注册受理机构服务器的URL,为1~511个字符的字符串,区分大小写.
实际可输入的URL长度受命令行允许输入的最大字符数限制.
vpn-instancevpn-instance-name:指定注册受理机构服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN实例名称,为1~31个字符的字符串,区分大小写.
若未指定本参数,则表示该注册受理机构服务器属于公网.
【使用指导】本命令配置的URL内容包括注册受理机构服务器的位置及CGI命令接口脚本位置,格式为http://server_location/cgi_script_location.
【举例】#指定实体进行证书申请的注册受理机构服务器的URL为http://169.
254.
0.
1/certsrv/mscep/mscep.
dll.
system-view[Sysname]pkidomaina[Sysname-pki-domain-a]certificaterequesturlhttp://169.
254.
0.
1/certsrv/mscep/mscep.
dll#指定实体向VPN中的注册受理机构服务器申请证书,该服务器的URL为http://mytest.
net/certsrv/mscep/mscep.
dll,所在的MPLSL3VPN的实例名称为vpn1.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]certificaterequesturlhttp://mytest.
net/certsrv/mscep/mscep.
dllvpn-instancevpn11.
1.
8common-namecommon-name命令用来配置PKI实体的通用名,比如用户名称.
undocommon-name命令用来恢复缺省情况.
【命令】common-namecommon-name-stingundocommon-name1-8【缺省情况】未配置PKI实体的通用名.
【视图】PKI实体视图【缺省用户角色】network-admin【参数】common-name-sting:PKI实体的通用名,为1~63个字符的字符串,区分大小写,不能包含逗号.
【举例】#配置PKI实体en的通用名为test.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]common-nametest1.
1.
9countrycountry命令用来配置PKI实体所属的国家代码.
undocountry命令用来恢复缺省情况.
【命令】countrycountry-code-stringundocountry【缺省情况】未配置PKI实体所属的国家代码.
【视图】PKI实体视图【缺省用户角色】network-admin【参数】country-code-string:PKI实体所属的国家代码,为标准的两字符代码,区分大小写,例如中国为CN.
【举例】#配置PKI实体en所属的国家代码为CN.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]countryCN1-91.
1.
10crlcheckenablecrlcheckenable命令用来开启CRL检查.
undocrlcheckenable命令用来关闭CRL检查.
【命令】crlcheckenableundocrlcheckenable【缺省情况】CRL检查处于开启状态.
【视图】PKI域视图【缺省用户角色】network-admin【使用指导】CRL(CertificateRevocationList,证书废除列表)是一个由CA签发的文件,该文件中包含被该CA吊销的所有证书的列表.
一个证书有可能在有效期达到之前被CA吊销.
使能CRL检查的目的是查看设备上的实体证书或者即将要导入、获取到设备上的实体证书是否已经被CA吊销,若检查结果表明实体证书已被吊销,那么该证书就不被设备信任.
【举例】#禁止CRL检查.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]undocrlcheckenable【相关命令】pkiimportpkiretrieve-certificatepkivalidate-certificate1.
1.
11crlurlcrlurl命令用来设置CRL发布点的URL.
undocrlurl命令用来恢复缺省情况.
【命令】crlurlurl-string[vpn-instancevpn-instance-name]undocrlurl【缺省情况】未设置CRL发布点的URL.
1-10【视图】PKI域视图【缺省用户角色】network-admin【参数】url-string:表示CRL发布点的URL,为1~511个字符的字符串,区分大小写.
格式为ldap://server_location或http://server_location.
实际可输入的URL长度受命令行允许输入的最大字符数限制.
vpn-instancevpn-instance-name:指定CRL发布点所属的VPN实例.
vpn-instance-name表示MPLSL3VPN实例名称,为1~31个字符的字符串,区分大小写.
若未指定本参数,则表示该CRL发布点属于公网.
【使用指导】如果CRL检查处于使能状态,则进行CRL检查之前,需要首先从PKI域指定的CRL发布点获取CRL.
若PKI域中未配置CRL发布点的URL时,从该待验证的证书中获取发布点信息:优先获取待验证的证书中记录的发布点,如果待验证的证书中没有记录发布点,则获取CA证书中记录的发布点(若待验证的证书为CA证书,则获取上一级CA证书中记录的发布点).
如果无法通过任何途径得到发布点,则通过SCEP协议获取CRL.
若配置了LDAP格式的CRL发布点URL,则表示要通过LDAP协议获取CRL.
若该URL中未携带主机名,则需要根据PKI域中配置的LDAP服务器地址信息来得到完整的LDAP发布点URL.
【举例】#指定CRL发布点的URL为http://169.
254.
0.
30.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]crlurlhttp://169.
254.
0.
30#指定CRL发布点的URL为ldap://169.
254.
0.
30,所在的MPLSL3VPN的实例名称为vpn1.
system-view[Sysname]pkidomain1[Sysname-pki-domain-1]crlurlldap://169.
254.
0.
30vpn-instancevpn1【相关命令】ldap-serverpkiretrieve-crl1.
1.
12displaypkicertificateaccess-control-policydisplaypkicertificateaccess-control-policy命令用来显示证书访问控制策略的配置信息.
【命令】displaypkicertificateaccess-control-policy[policy-name]【视图】任意视图1-11【缺省用户角色】network-adminnetwork-operator【参数】policy-name:指定证书访问控制策略名称,为1~31个字符的字符串,不区分大小写.
【使用指导】若不指定证书访问控制策略的名称,则显示所有证书访问控制策略的配置信息.
【举例】#显示证书访问控制策略mypolicy的配置信息.
displaypkicertificateaccess-control-policymypolicyAccesscontrolpolicyname:mypolicyRule1denymygroup1Rule2permitmygroup2#显示所有证书属性访问控制策略的配置信息.
displaypkicertificateaccess-control-policyTotalPKIcertificateaccesscontrolpolicies:2Accesscontrolpolicyname:mypolicy1Rule1denymygroup1Rule2permitmygroup2Accesscontrolpolicyname:mypolicy2Rule1denymygroup3Rule2permitmygroup4表1-2displaypkicertificateaccess-control-policy命令显示信息描述表字段描述TotalPKIcertificateaccesscontrolpoliciesPKI证书访问控制策略的总数Accesscontrolpolicyname证书访问控制策略名Rulenumber访问控制规则编号permit当证书的属性与属性组里定义的属性匹配时,认为该证书有效,通过了访问控制策略的检测deny当证书的属性与属性组里定义的属性匹配时,认为该证书无效,未通过访问控制策略的检测【相关命令】pkicertificateaccess-control-policyrule1.
1.
13displaypkicertificateattribute-groupdisplaypkicertificateattribute-group命令用来显示证书属性组的配置信息.
1-12【命令】displaypkicertificateattribute-group[group-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】group-name:指定证书属性组名,为1~31个字符的字符串,不区分大小写.
【使用指导】若不指定证书属性组的名称,则显示所有证书属性组的配置信息.
【举例】#显示证书属性组mygroup的信息.
displaypkicertificateattribute-groupmygroupAttributegroupname:mygroupAttribute1subject-namednctnabcAttribute2issuer-namefqdnnctnapp#显示所有证书属性组的信息.
displaypkicertificateattribute-groupTotalPKIcertificateattributegroups:2.
Attributegroupname:mygroup1Attribute1subject-namednctnabcAttribute2issuer-namefqdnnctnappAttributegroupname:mygroup2Attribute1subject-namednctndefAttribute2issuer-namefqdnnctnfqd表1-3displaypkicertificateattribute-group命令显示信息描述表字段描述TotalPKIcertificateattributegroupsPKI证书属性组的总数Attributegroupname证书属性组名称Attributenumber属性规则编号subject-name证书主题名alt-subject-name证书备用主题名issuer-name证书颁发者名dn实体的DNfqdn实体的FQDNip实体的IP地址1-13字段描述ctn表示包含操作nctn表示不包含操作equ表示等于操作nequ表示不等操作Attribute1subject-namednctnabc属性规则内容,包括以下参数:alt-subject-name:表示证书备用主题名issuer-name:表示证书颁发者名subject-name:表示证书主题名fqdn:表示实体的FQDNip:表示实体的IP地址dn:表示实体的DNctn:表示包含操作equ:表示相等操作nctn:表示不包含操作nequ:表示不等操作【相关命令】attributepkicertificateattribute-group1.
1.
14displaypkicertificatedomaindisplaypkicertificatedomain命令用来显示证书的内容.
【命令】displaypkicertificatedomaindomain-name{ca|local|peer[serialserial-num]}【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】domain-name:显示指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
ca:显示CA证书.
local:显示本地证书.
peer:显示对端证书.
1-14serialserial-num:指定要显示的对端证书的序列号.
【使用指导】显示CA证书时,会显示此PKI域中所有CA证书的详细信息,若PKI域中存在RA证书,则同时显示RA证书的详细信息.
显示本地证书时,会显示此PKI域中所有本地证书的详细信息.
显示对端证书时,如果不指定序列号,将显示所有对端证书的简要信息;如果指定序列号,将显示该序号对应的指定对端证书的详细信息.
【举例】#显示PKI域aaa中的CA证书.
displaypkicertificatedomainaaacaCertificate:Data:Version:1(0x0)SerialNumber:5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6SignatureAlgorithm:sha1WithRSAEncryptionIssuer:C=cn,O=docm,OU=rnd,CN=rootcaValidityNotBefore:Jan602:51:412011GMTNotAfter:Dec703:12:052013GMTSubject:C=cn,O=ccc,OU=ppp,CN=rootcaSubjectPublicKeyInfo:PublicKeyAlgorithm:rsaEncryptionPublic-Key:(1024bit)Modulus:00:c4:fd:97:2c:51:36:df:4c:ea:e8:c8:70:66:f0:28:98:ec:5a:ee:d7:35:af:86:c4:49:76:6e:dd:40:4a:9e:8d:c0:cb:d9:10:9b:61:eb:0c:e0:22:ce:f6:57:7c:bb:bb:1b:1d:b6:81:ad:90:77:3d:25:21:e6:7e:11:0a:d8:1d:3c:8e:a4:17:1e:8c:38:da:97:f6:6d:be:09:e3:5f:21:c5:a0:6f:27:4b:e3:fb:9f:cd:c1:91:18:ff:16:ee:d8:cf:8c:e3:4c:a3:1b:08:5d:84:7e:11:32:5f:1a:f8:35:25:c0:7e:10:bd:aa:0f:52:db:7b:cd:5d:2b:66:5a:fbExponent:65537(0x10001)SignatureAlgorithm:sha1WithRSAEncryption6d:b1:4e:d7:ef:bb:1d:67:53:67:d0:8f:7c:96:1d:2a:03:98:3b:48:41:08:a4:8f:a9:c1:98:e3:ac:7d:05:54:7c:34:d5:ee:09:5a:11:e3:c8:7a:ab:3b:27:d7:62:a7:bb:bc:7e:12:5e:9e:4c:1c:4a:9f:d7:89:ca:20:46:de:c5:b3:ce:36:ca:5e:6e:dc:e7:c6:fe:3f:c5:38:dd:d5:a3:36:ad:f4:3d:e6:32:7f:48:df:07:f0:a2:32:89:86:72:22:cd:ed:e5:0f:95:df:9c:75:71:e7:fe:34:c5:a0:64:1c:f0:5c:e4:8f:d3:00:bd:fa:90:b6:64:d8:88:a6#显示PKI域aaa中的本地证书.
1-15displaypkicertificatedomainaaalocalCertificate:Data:Version:3(0x2)SerialNumber:bc:05:70:1f:0e:da:0d:10:16:1eSignatureAlgorithm:sha256WithRSAEncryptionIssuer:C=CN,O=sec,OU=software,CN=abdfdcValidityNotBefore:Jan720:05:442011GMTNotAfter:Jan720:05:442012GMTSubject:O=OpenCALabs,OU=Users,CN=fipsfips-secSubjectPublicKeyInfo:PublicKeyAlgorithm:rsaEncryptionPublic-Key:(1024bit)Modulus:00:b2:38:ad:8c:7d:78:38:37:88:ce:cc:97:17:39:52:e1:99:b3:de:73:8b:ad:a8:04:f9:a1:f9:0d:67:d8:95:e2:26:a4:0b:c2:8c:63:32:5d:38:3e:fd:b7:4a:83:69:0e:3e:24:e4:ab:91:6c:56:51:88:93:9e:12:a4:30:ad:ae:72:57:a7:ba:fb:bc:ac:20:8a:21:46:ea:e8:93:55:f3:41:49:e9:9d:cc:ec:76:13:fd:a5:8d:cb:5b:45:08:b7:d1:c5:b5:58:89:47:ce:12:bd:5c:ce:b6:17:2f:e0:fc:c0:3e:b7:c4:99:31:5b:8a:f0:ea:02:fd:2d:44:7a:67Exponent:65537(0x10001)X509v3extensions:X509v3BasicConstraints:CA:FALSENetscapeCertType:SSLClient,S/MIMEX509v3KeyUsage:DigitalSignature,NonRepudiation,KeyEnciphermentX509v3ExtendedKeyUsage:TLSWebClientAuthentication,E-mailProtection,MicrosoftSmartcardloginNetscapeComment:UserCertificateofOpenCALabsX509v3SubjectKeyIdentifier:91:95:51:DD:BF:4F:55:FA:E4:C4:D0:10:C2:A1:C2:99:AF:A5:CB:30X509v3AuthorityKeyIdentifier:keyid:DF:D2:C9:1A:06:1F:BC:61:54:39:FE:12:C4:22:64:EB:57:3B:11:9FX509v3SubjectAlternativeName:email:fips@ccc.
comX509v3IssuerAlternativeName:email:pki@openca.
orgAuthorityInformationAccess:CAIssuers-URI:http://titan/pki/pub/cacert/cacert.
crt1-16OCSP-URI:http://titan:2560/1.
3.
6.
1.
5.
5.
7.
48.
12-URI:http://titan:830/X509v3CRLDistributionPoints:FullName:URI:http://titan/pki/pub/crl/cacrl.
crlSignatureAlgorithm:sha256WithRSAEncryption94:ef:56:70:48:66:be:8f:9d:bb:77:0f:c9:f4:65:77:e3:bd:ea:9a:b8:24:ae:a1:38:2d:f4:ab:e8:0e:93:c2:30:33:c8:ef:f5:e9:eb:9d:37:04:6f:99:bd:b2:c0:e9:eb:b1:19:7e:e3:cb:95:cd:6c:b8:47:e2:cf:18:8d:99:f4:11:74:b1:1b:86:92:98:af:a2:34:f7:1b:15:ee:ea:91:ed:51:17:d0:76:ec:22:4c:56:da:d6:d1:3c:f2:43:31:4f:1d:20:c8:c2:c3:4d:e5:92:29:ee:43:c6:d7:72:92:e8:13:87:38:9a:9c:cd:54:38:b2:ad:ba:aa:f9:a4:68:b5:2a:df:9a:31:2f:42:80:0c:0c:d9:6d:b3:ab:0f:dd:a0:2c:c0:aa:16:81:aa:d9:33:ca:01:75:94:92:44:05:1a:65:41:fa:1e:41:b5:8a:cc:2b:09:6e:67:70:c4:ed:b4:bc:28:04:50:a6:33:65:6d:49:3c:fc:a8:93:88:53:94:4c:af:23:64:cb:af:e3:02:d1:b6:59:5f:95:52:6d:00:00:a0:cb:75:cf:b4:50:c5:50:00:65:f4:7d:69:cc:2d:68:a4:13:5c:ef:75:aa:8f:3f:ca:fa:eb:4d:d5:5d:27:db:46:c7:f4:7d:3a:b2:fb:a7:c9:de:18:9d:c1#显示PKI域aaa中的所有对端证书的简要信息.
displaypkicertificatedomainaaapeerTotalpeercertificates:1SerialNumber:9a0337eb2156ba1f5476e4d754a5a9f7SubjectName:CN=sldsslserver#显示PKI域aaa中的一个特定序号的对端证书的详细信息.
displaypkicertificatedomainaaapeerserial9a0337eb2156ba1f5476e4d754a5a9f7Certificate:Data:Version:3(0x2)SerialNumber:9a:03:37:eb:21:56:ba:1f:54:76:e4:d7:54:a5:a9:f7SignatureAlgorithm:sha1WithRSAEncryptionIssuer:C=cn,O=ccc,OU=sec,CN=sslValidityNotBefore:Oct1501:23:062010GMTNotAfter:Jul2606:30:542012GMTSubject:CN=sldsslserverSubjectPublicKeyInfo:PublicKeyAlgorithm:rsaEncryptionPublic-Key:(1024bit)Modulus:1-1700:c2:cf:37:76:93:29:5e:cd:0e:77:48:3a:4d:0f:a6:28:a4:60:f8:31:56:28:7f:81:e3:17:47:78:98:68:03:5b:72:f4:57:d3:bf:c5:30:32:0d:58:72:67:04:06:61:08:3b:e9:ac:53:b9:e7:69:68:1a:23:f2:97:4c:26:14:c2:b5:d9:34:8b:ee:c1:ef:af:1a:f4:39:da:c5:ae:ab:56:95:b5:be:0e:c3:46:35:c1:52:29:9c:b7:46:f2:27:80:2d:a4:65:9a:81:78:53:d4:ca:d3:f5:f3:92:54:85:b3:ab:55:a5:03:96:2b:19:8b:a3:4d:b2:17:08:8d:dd:81Exponent:65537(0x10001)X509v3extensions:X509v3AuthorityKeyIdentifier:keyid:9A:83:29:13:29:D9:62:83:CB:41:D4:75:2E:52:A1:66:38:3C:90:11X509v3KeyUsage:criticalDigitalSignature,NonRepudiation,KeyEncipherment,DataEncipherment,KeyAgreementNetscapeCertType:SSLServerX509v3SubjectAlternativeName:DNS:docm.
comX509v3SubjectKeyIdentifier:3C:76:95:9B:DD:C2:7F:5F:98:83:B7:C7:A0:F8:99:1E:4B:D7:2F:26X509v3CRLDistributionPoints:FullName:URI:http://s03130.
ccc.
sec.
com:447/ssl.
crlSignatureAlgorithm:sha1WithRSAEncryption61:2d:79:c7:49:16:e3:be:25:bb:8b:70:37:31:32:e5:d3:e3:31:2c:2d:c1:f9:bf:50:ad:35:4b:c1:90:8c:65:79:b6:5f:59:36:24:c7:14:63:44:17:1e:e4:cf:10:69:fc:93:e9:70:53:3c:85:aa:40:7e:b5:47:75:0f:f0:b2:da:b4:a5:50:dd:06:4a:d5:17:a5:ca:20:19:2c:e9:78:02:bd:19:77:da:07:1a:42:df:72:ad:07:7d:e5:16:d6:75:eb:6e:06:58:ee:76:31:63:db:96:a2:ad:83:b6:bb:ba:4b:79:59:9d:59:6c:77:59:5b:d9:07:33:a8:f0:a5表1-4displaypkicertificate命令显示信息描述表字段描述Version证书版本号SerialNumber证书序列号SignatureAlgorithm签名算法Issuer证书颁发者Validity证书有效期Subject证书所属的实体信息1-18字段描述SubjectPublicKeyInfo证书所属的实体的公钥信息X509v3extensionsX.
509版本3格式的证书扩展属性【相关命令】pkidomainpkiretrieve-certificate1.
1.
15displaypkicertificaterequest-statusdisplaypkicertificaterequest-status命令用来显示证书的申请状态.
【命令】displaypkicertificaterequest-status[domaindomain-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】domaindomain-name:指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
【使用指导】若不指定PKI域的名称,则显示所有PKI域的证书申请状态.
【举例】#显示PKI域aaa的证书申请状态.
displaypkicertificaterequest-statusdomainaaaCertificateRequestTransaction1Domainname:aaaStatus:PendingKeyusage:GeneralRemainpollingattempts:10Nextpollingattemptafter:1191seconds#显示所有PKI域的证书申请状态.
displaypkicertificaterequest-statusCertificateRequestTransaction1Domainname:domain1Status:PendingKeyusage:GeneralRemainpollingattempts:10Nextpollingattemptafter:1191seconds1-19CertificateRequestTransaction2Domainname:domain2Status:PendingKeyusage:SignatureRemainpollingattempts:10Nextpollingattemptafter:188seconds表1-5displaypkicertificaterequest命令显示信息描述表字段描述CertificateRequestTransactionnumber证书申请任务的编号,从1开始顺序编号DomainnamePKI域名Status证书申请状态.
目前,仅有一种取值Pending,表示等待Keyusage证书用途,包括以下取值:General:表示通用,既可以用于加密也可以用于签名Signature:表示用于签名Encryption:表示用于加密Remainpollingattempts剩余的证书申请状态的查询次数Nextpollingattemptafter当前到下次查询证书申请状态的时间间隔,单位为秒【相关命令】certificaterequestpollingpkidomainpkiretrieve-certificate1.
1.
16displaypkicrldomaindisplaypkicrldomain命令用来显示存储在本地的CRL.
【命令】displaypkicrldomaindomain-name【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】domaindomain-name:指定CRL所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
1-20【使用指导】用户可以通过该命令查看证书吊销列表,看所需的证书是否已经被吊销.
【举例】#显示PKI域aaa存储在本地的CRL.
displaypkicrldomainaaaCertificateRevocationList(CRL):Version2(0x1)SignatureAlgorithm:sha1WithRSAEncryptionIssuer:/C=cn/O=docm/OU=sec/CN=therootcaLastUpdate:Apr2801:42:132011GMTNextUpdate:NONECRLextensions:X509v3CRLNumber:6X509v3AuthorityKeyIdentifier:keyid:49:25:DB:07:3A:C4:8A:C2:B5:A0:64:A5:F1:54:93:69:14:51:11:EFRevokedCertificates:SerialNumber:CDE626BF7A44A727B25F9CD81475C004RevocationDate:Apr2801:37:522011GMTCRLentryextensions:InvalidityDate:Apr2801:37:492011GMTSerialNumber:FCADFA81E1F56F43D3F2D3EF7EB56DE5RevocationDate:Apr2801:33:282011GMTCRLentryextensions:InvalidityDate:Apr2801:33:092011GMTSignatureAlgorithm:sha1WithRSAEncryption57:ac:00:3e:1e:e2:5f:59:62:04:05:9b:c7:61:58:2a:df:a4:5c:e5:c0:14:af:c8:e7:de:cf:2a:0a:31:7d:32:da:be:cd:6a:36:b5:83:e8:95:06:bd:b4:c0:36:fe:91:7c:77:d9:00:0f:9e:99:03:65:9e:0c:9c:16:22:ef:4a:40:ec:59:40:60:53:4a:fc:8e:47:57:23:e0:75:0a:a4:1c:0e:2f:3d:e0:b2:87:4d:61:8a:4a:cb:cb:37:af:51:bd:53:78:76:a1:16:3d:0b:89:01:91:61:52:d0:6f:5c:09:59:15:be:b8:68:65:0c:5d:1b:a1:f8:42:04:ba:aa表1-6displaypkicrldomain显示信息描述表字段描述VersionCRL版本号SignatureAlgorithmCA签名该CRL采用的签名算法Issuer颁发该CRL的CA证书名称LastUpdate上次更新CRL的时间NextUpdate下次更新CRL的时间1-21字段描述CRLextensionsCRL扩展属性X509v3CRLNumberX509版本3格式的CRL序号X509v3AuthorityKeyIdentifierX509版本3格式的签发该CRL的CA的标识符keyid公钥标识符一个CA可能有多个密钥对,该字段用于标识CA用哪个密钥对对该CRL进行签名RevokedCertificates撤销的证书信息SerialNumber被吊销证书的序列号RevocationDate证书被吊销的日期CRLentryextensions:CRL项目扩展属性SignatureAlgorithm:签名算法以及签名数据【相关命令】pkiretrieve-crl1.
1.
17fqdnfqdn命令用来配置PKI实体的FQDN.
undofqdn命令用来恢复缺省情况.
【命令】fqdnfqdn-name-stringundofqdn【缺省情况】未配置PKI实体的FQDN.
【视图】PKI实体视图【缺省用户角色】network-admin【参数】fqdn-name-string:PKI实体的FQDN,为1~255个字符的字符串,区分大小写.
形式为hostname@domainname【使用指导】FQDN是实体在网络中的唯一标识,由一个主机名和一个域名组成.
【举例】#配置PKI实体en的FQDN为abc@pki.
domain.
com.
1-22system-view[Sysname]pkientityen[Sysname-pki-entity-en]fqdnabc@pki.
domain.
com1.
1.
18ipip命令用来配置PKI实体的IP地址.
undoip命令用来恢复缺省情况.
【命令】ip{ip-address|interfaceinterface-typeinterface-number}undoip【缺省情况】未配置PKI实体的IP地址.
【视图】PKI实体视图【缺省用户角色】network-admin【参数】ip-address:指定PKI实体的IP地址.
interfaceinterface-typeinterface-numbe:指定接口的主IP地址作为PKI实体的IP地址.
interface-typeinterface-number表示接口类型及接口编号.
【使用指导】通过本命令,可以直接指定PKI实体的IP地址,也可以指定设备上某接口的主IP地址作为PKI实体的IP地址.
如果指定使用某接口的IP地址,则不要求本配置执行时该接口上已经配置了IP地址,只要设备申请证书时,该接口上配置了IP地址,就可以直接使用该地址作为PKI实体身份的一部分.
【举例】#配置PKI实体en的IP地址为192.
168.
0.
2.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]ip192.
168.
0.
21.
1.
19ldap-serverldap-server命令用来指定LDAP服务器.
undoldap-server命令用来恢复缺省情况.
【命令】ldap-serverhosthostname[portport-number][vpn-instancevpn-instance-name]undoldap-server1-23【缺省情况】未指定LDAP服务器.
【视图】PKI域视图【缺省用户角色】network-admin【参数】hosthostname:LDAP服务器的主机名,为1~255个字符的字符串,区分大小写,支持IPv4与IPv6地址的表示方法以及DNS域名的表示方法.
portport-number:LDAP服务器的端口号,取值范围为1~65535,缺省值为389.
vpn-instancevpn-instance-name:指定LDAP服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN实例名称,为1~31个字符的字符串,区分大小写.
若未指定本参数,则表示该LDAP服务器属于公网.
【使用指导】以下两种情况下,需要配置LDAP服务器:通过LDAP协议获取本地证书或对端证书时,需要指定LDAP服务器.
通过LDAP协议获取CRL时,若PKI域中配置的LDAP格式的CRL发布点URL中未携带主机名或IP地址,则需要根据此处配置的LDAP服务器地址来得到完整的LDAP发布点URL.
在一个PKI域中,只能指定一个LDAP服务器,多次执行本命令,最后一次执行的命令生效.
【举例】#指定LDAP服务器的IP地址为10.
0.
0.
1.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]ldap-serverhost10.
0.
0.
1#指定LDAP服务器,IP地址为10.
0.
0.
11,端口号为333,所在的MPLSL3VPN的实例名称为vpn1.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]ldap-serverhost10.
0.
0.
11port333vpn-instancevpn1【相关命令】pkiretrieve-certificatepkiretrieve-crl1.
1.
20localitylocality命令用来配置PKI实体所在的地理区域名称,比如城市名称.
undolocality命令用来恢复缺省情况.
【命令】localitylocality-nameundolocality1-24【缺省情况】未配置PKI实体所在的地理区域名称.
【视图】PKI实体视图【缺省用户角色】network-admin【参数】locality-name:PKI实体所在的地理区域的名称,为1~63个字符的字符串,区分大小写,不能包含逗号.
【举例】#配置PKI实体en所在地理区域的名称为pukras.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]localitypukras1.
1.
21organizationorganization命令用来配置PKI实体所属组织的名称.
undoorganization命令用来恢复缺省情况.
【命令】organizationorg-nameundoorganization【缺省情况】未配置PKI实体所属组织名称.
【视图】PKI实体视图【缺省用户角色】network-admin【参数】org-name:PKI实体所属的组织名称,为1~63个字符的字符串,区分大小写,不能包含逗号.
【举例】#配置PKI实体en所属的组织名称为abc.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]organizationabc1.
1.
22organization-unitorganization-unit命令用来指定实体所属的组织部门的名称.
1-25undoorganization-unit命令用来恢复缺省情况.
【命令】organization-unitorg-unit-nameundoorganization-unit【缺省情况】未配置PKI实体所属组织部门的名称.
【视图】PKI实体视图【缺省用户角色】network-admin【参数】org-unit-name:PKI实体所属组织部门的名称,为1~63个字符的字符串,区分大小写,不能包含逗号.
使用该参数可在同一个组织内区分不同部门的PKI实体.
【举例】#配置PKI实体en所属组织部门的名称为rdtest.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]organization-unitrdtest1.
1.
23pkiabort-certificate-requestpkiabort-certificate-request命令用来停止证书申请过程.
【命令】pkiabort-certificate-requestdomaindomain-name【视图】系统视图【缺省用户角色】network-admin【参数】domaindomain-name:指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
【使用指导】用户在证书申请时,可能由于某种原因需要改变证书申请的一些参数,比如通用名、国家代码、FQDN等,而此时证书申请正在运行,为了新的申请不与之前的申请发生冲突,建议先停止之前的申请程序,再进行新的申请.
【举例】#停止证书申请过程.
system-view1-26[Sysname]pkiabort-certificate-requestdomain1Thecertificaterequestisinprocess.
Confirmtoabortit[Y/N]:y【相关命令】displaypkicertificaterequest-statuspkirequest-certificatedomain1.
1.
24pkicertificateaccess-control-policypkicertificateaccess-control-policy命令用来创建证书访问控制策略,并进入证书访问控制策略视图.
如果指定的证书访问控制策略已存在,则直接进入其视图.
undopkicertificateaccess-control-policy命令用来删除指定的证书访问控制策略.
【命令】pkicertificateaccess-control-policypolicy-nameundopkicertificateaccess-control-policypolicy-name【缺省情况】不存在证书访问控制策略.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:表示证书访问控制策略名称,为1~31个字符的字符串,不区分大小写.
【使用指导】一个证书访问控制策略中可以定义多个证书属性的访问控制规则.
【举例】#配置一个名称为mypolicy的证书访问控制策略,并进入证书访问控制策略视图.
system-view[Sysname]pkicertificateaccess-control-policymypolicy[Sysname-pki-cert-acp-mypolicy]【相关命令】displaypkicertificateaccess-control-policyrule1.
1.
25pkicertificateattribute-grouppkicertificateattribute-group命令用来创建证书属性组并进入证书属性组视图.
如果指定的证书属性组已存在,则直接进入其视图.
undopkicertificateattribute-group命令用来删除指定的证书属性组.
1-27【命令】pkicertificateattribute-groupgroup-nameundopkicertificateattribute-groupgroup-name【缺省情况】不存在证书属性组.
【视图】系统视图【缺省用户角色】network-admin【参数】group-name:证书属性组名称,为1~31个字符的字符串,不区分大小写.
【使用指导】一个证书属性组就是一系列证书属性规则(通过attribute命令配置)的集合,这些属性规则定义了对证书的颁发者名、主题名以及备用主题名进行过滤的匹配条件.
当证书属性组下没有任何属性规则时,则认为对证书的属性没有任何限制.
【举例】#创建一个名为mygroup的证书属性组,并进入证书属性组视图.
system-view[Sysname]pkicertificateattribute-groupmygroup[Sysname-pki-cert-attribute-group-mygroup]【相关命令】attributedisplaypkicertificateattribute-grouprule1.
1.
26pkidelete-certificatepkidelete-certificate命令用来删除PKI域中的证书.
【命令】pkidelete-certificatedomaindomain-name{ca|local|peer[serialserial-num]}【视图】系统视图【缺省用户角色】network-admin1-28【参数】domaindomain-name:证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
ca:表示删除CA证书.
local:表示删除本地证书.
peer:表示删除对端证书.
serialserial-num:表示通过指定序列号删除一个指定的对端证书.
serial-num为对端证书的序列号,为1~127个字符的字符串,不区分大小写.
在每个CA签发的证书范围内,序列号可以唯一标识一个证书.
如果不指定本参数,则表示删除本PKI域中的所有对端证书.
【使用指导】删除CA证书时将同时删除所在PKI域中的本地证书和所有对端证书,以及CRL.
如果需要删除指定的对端证书,则需要首先通过displaypkicertificate命令查看本域中已有的对端证书的序列号,然后再通过指定序列号的方式删除该对端证书.
【举例】#删除PKI域aaa中的CA证书.
system-view[Sysname]pkidelete-certificatedomainaaacaLocalcertificates,peercertificatesandCRLwillalsobedeletedwhiledeletingtheCAcertificate.
ConfirmtodeletetheCAcertificate[Y/N]:y[Sysname]#删除PKI域aaa中的本地证书.
system-view[Sysname]pkidelete-certificatedomainaaalocal[Sysname]#删除PKI域aaa中的所有对端证书.
system-view[Sysname]pkidelete-certificatedomainaaapeer[Sysname]#首先查看PKI域aaa中的对端证书,然后通过指定序列号的方式删除对端证书.
system-view[Sysname]displaypkicertificatedomainaaapeerTotalpeercertificates:1SerialNumber:9a0337eb2156ba1f5476e4d754a5a9f7SubjectName:CN=abc[Sysname]pkidelete-certificatedomainaaapeerserial9a0337eb2156ba1f5476e4d754a5a9f7【相关命令】displaypkicertificate1-291.
1.
27pkidomainpkidomain命令用来创建PKI域,并进入PKI域视图.
如果指定的PKI域已存在,则直接进入PKI域视图.
undopkidomain命令用来删除指定的PKI域.
【命令】pkidomaindomain-nameundopkidomaindomain-name【缺省情况】不存在PKI域.
【视图】系统视图【缺省用户角色】network-admin【参数】domain-name:PKI域名,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
【使用指导】删除PKI域的同时,会将该域相关的证书和CRL都删除掉,因此请慎重操作.
【举例】#创建PKI域aaa并进入PKI域视图.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]1.
1.
28pkientitypkientity命令用来创建PKI实体,并进入PKI实体视图.
如果指定的PKI实体已存在,则直接进入PKI实体视图.
undopkientity命令用来删除指定的PKI实体.
【命令】pkientityentity-nameundopkientityentity-name【缺省情况】不存在PKI实体.
【视图】系统视图1-30【缺省用户角色】network-admin【参数】entity-name:PKI实体的名称,为1~31个字符的字符串,不区分大小写.
【使用指导】在PKI实体视图下可配置PKI实体的各种属性(通用名、组织部门、组织、地理区域、省、国家、FQDN、IP),这些属性用于描述PKI实体的身份信息.
当申请证书时,PKI实体的信息将作为证书中主题(Subjuct)部分的内容.
【举例】#创建名称为en的PKI实体,并进入该实体视图.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]【相关命令】pkidomain1.
1.
29pkiexportpkiexport命令用来将PKI域中的CA证书、本地证书导出到文件中或终端上.
【命令】pkiexportdomaindomain-nameder{all|ca|local}filenamefilenamepkiexportdomaindomain-namep12{all|local}passphrasep12-keyfilenamefilenamepkiexportdomaindomain-namepem{{all|local}[{3des-cbc|aes-128-cbc|aes-192-cbc|aes-256-cbc|des-cbc}pem-key]|ca}[filenamefilename]【视图】系统视图【缺省用户角色】network-admin【参数】domaindomain-name:证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
der:指定证书文件格式为DER编码(包括PKCS#7格式的证书).
p12:指定证书文件格式为PKCS#12编码.
pem:指定证书文件格式为PEM编码.
all:表示导出所有证书,包括PKI域中所有的CA证书和本地证书,但不包括RA证书.
ca:表示导出CA证书.
local:表示导出本地证书或者本地证书和其对应私钥.
1-31passphrasep12-key:指定对PKCS12编码格式的本地证书对应的私钥进行加密所采用的口令.
3des-cbc:对本地证书对应的私钥数据采用3DES_CBC算法进行加密.
aes-128-cbc:对本地证书对应的私钥数据采用128位AES_CBC算法进行加密.
aes-192-cbc:对本地证书对应的私钥数据采用192位AES_CBC算法进行加密.
aes-256-cbc:对本地证书对应的私钥数据采用256位AES_CBC算法进行加密.
des-cbc:对本地证书对应的私钥数据采用DES_CBC算法进行加密.
pem-key:指定对PEM编码格式的本地证书对应的私钥进行加密所采用的口令.
filenamefilename:指定保存证书的文件名,不区分大小写.
如果不指定本参数,则表示要将证书直接导出到终端上显示,这种方式仅PEM编码格式的证书才支持.
【使用指导】导出CA证书时,如果PKI域中只有一个CA证书则导出单个CA证书到用户指定的一个文件或终端,如果是一个CA证书链则导出整个CA证书链到用户指定的一个文件或终端.
导出本地证书时,设备上实际保存证书的证书文件名称并不一定是用户指定的名称,它与本地证书的密钥对用途相关,具体的命名规则如下(假设用户指定的文件名为certificate):如果本地证书的密钥对用途为签名,则证书文件名称为certificate-signature;如果本地证书的密钥对用途为加密,则证书文件名称为certificate-encryption;如果本地证书的密钥对用途为通用(RSA/ECDSA/DSA),则证书文件名称为用户输入的certificate.
导出本地证书时,如果PKI域中有两个本地证书,则导出结果如下:若指定文件名,则将每个本地证书分别导出到一个单独的文件中;若不指定文件名,则将所有本地证书一次性全部导出到终端上,并由不同的提示信息进行分割显示.
导出所有证书时,如果PKI域中只有本地证书或者只有CA证书,则导出结果与单独导出相同.
如果PKI域中存在本地证书和CA证书,则具体导出结果如下:若指定文件名,则将每个本地证书分别导出到一个单独的文件,该本地证书对应的完整CA证书链也会同时导出到该文件中.
若不指定文件名,则将所有的本地证书及域中的CA证书或者CA证书链一次性全部导出到终端上,并由不同的提示信息进行分割显示.
以PKCS12格式导出所有证书时,PKI域中必须有本地证书,否则会导出失败.
以PEM格式导出本地证书或者所有证书时,若不指定私钥的加密算法和私钥加密口令,则不会导出本地证书对应的私钥信息.
以PEM格式导出本地证书或者所有证书时,若指定私钥加密算法和私钥加密口令,且此时本地证书有匹配的私钥,则同时导出本地证书的私钥信息;如果此时本地证书没有匹配的私钥,则导出该本地证书失败.
导出本地证书时,若当前PKI域中的密钥对配置已被修改,导致本地证书的公钥与该密钥对的公钥部分不匹配,则导出该本地证书失败.
导出本地证书或者所有证书时,如果PKI域中有两个本地证书,则导出某种密钥用途的本地证书失败并不会影响导出另外一个本地证书.
指定的文件名中可以带完整路径,当系统中不存在用户所指定路径时,则会导出失败.
1-32【举例】#导出PKI域中的CA证书到DER编码的文件,文件名称为cert-ca.
der.
system-view[Sysname]pkiexportdomaindomain1dercafilenamecert-ca.
der#导出PKI域中的本地证书到DER编码的文件,文件名称为cert-lo.
der.
system-view[Sysname]pkiexportdomaindomain1derlocalfilenamecert-lo.
der#导出PKI域中的所有证书到DER编码的文件,文件名称为cert-all.
p7b.
system-view[Sysname]pkiexportdomaindomain1derallfilenamecert-all.
p7b#导出PKI域中的CA证书到PEM编码的文件,文件名称为cacert.
system-view[Sysname]pkiexportdomaindomain1pemcafilenamecacert#导出PKI域中的本地证书及其对应的私钥到PEM编码的文件,指定保护私钥信息的加密算法为DES_CBC、加密口令为111,文件名称为local.
pem.
system-view[Sysname]pkiexportdomaindomain1pemlocaldes-cbc111filenamelocal.
pem#导出PKI域中所有证书到PEM编码的文件,不指定加密算法和加密口令,不导出本地证书对应的私钥信息,文件名称为all.
pem.
system-view[Sysname]pkiexportdomaindomain1pemallfilenameall.
pem#以PEM格式导出PKI域中本地证书及其对应的私钥到终端,指定保护私钥信息的加密算法为DES_CBC、加密口令为111.
system-view[Sysname]pkiexportdomaindomain1pemlocaldes-cbc111%Thesignatureusagelocalcertificate:BagAttributesfriendlyName:localKeyID:990BC23B8BD1E433422B31C337C01DDF0D79091Dsubject=/C=CN/O=OpenCALabs/OU=Users/CN=chktestchktestissuer=/C=CN/O=OpenCALabs/OU=software/CN=abcd-----BEGINCERTIFICATE-----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-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-----ENDCERTIFICATE-----BagAttributesfriendlyName:localKeyID:990BC23B8BD1E433422B31C337C01DDF0D79091DKeyAttributes:-----BEGINENCRYPTEDPRIVATEKEY-----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-----ENDENCRYPTEDPRIVATEKEY-----#以PEM格式导出PKI域中所有证书到终端,指定保护本地证书对应私钥的加密算法为DES_CBC、加密口令为111.
system-view[Sysname]pkiexportdomaindomain1pemalldes-cbc111%Thesignatureusagelocalcertificate:BagAttributesfriendlyName:localKeyID:990BC23B8BD1E433422B31C337C01DDF0D79091Dsubject=/C=CN/O=OpenCALabs/OU=Users/CN=chktestchktestissuer=/C=CN/O=OpenCALabs/OU=software/CN=abcd-----BEGINCERTIFICATE-----MIIEqjCCA5KgAwIBAgILAOhID4rI04kBfYgwDQYJKoZIhvcNAQELBQAwRTELMAkGA1UEBhMCQ04xFDASBgNVBAoMC09wZW5DQSBMYWJzMREwDwYDVQQLDAhzb2Z0d2Fy1-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-----ENDCERTIFICATE-----BagAttributes:subject=/C=CN/O=OpenCALabs/OU=software/CN=abcdissuer=/C=CN/O=OpenCALabs/OU=software/CN=abcd-----BEGINCERTIFICATE-----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-35d4kQf5QWgYkQ55/C5puOmcMRgCbMpR2lYkqXLDjTIAZIHRZ/sTp6c+ie2bFxi/YT3xYbO0wDMuGOKJJpsyKTKcbG9NdfbDyFgzEYAobyYqAUB3C0/bMfBduwhQWKSoYE6vZsPGAEisCmAl3dIp49jPgVkixoShraYF1jLsWzJGlzem8QvWYzOqKEDwq3SV0ZcXK8gzDBcsobcUMkwIYPAmd1kAPX-----ENDCERTIFICATE-----BagAttributesfriendlyName:localKeyID:990BC23B8BD1E433422B31C337C01DDF0D79091DKeyAttributes:-----BEGINENCRYPTEDPRIVATEKEY-----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-----ENDENCRYPTEDPRIVATEKEY-----#以PEM格式导出PKI域中CA证书到终端.
system-view[Sysname]pkiexportdomaindomain1pemca-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----#导出PKI域中CA证书到PEM编码的文件,指定文件名称为cacert.
system-view[Sysname]pkiexportdomaindomain1pemcafilenamecacert#导出PKI域中CA证书(证书链)到终端.
system-view[Sysname]pkiexportdomaindomain1pemca1-36-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE----------BEGINCERTIFICATE-----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-----ENDCERTIFICATE----------BEGINCERTIFICATE-----MIIB8jCCAVsCEFxy3MSlQ835MrnBkI/dUPYwDQYJKoZIhvcNAQEFBQAwOjELMAkGA1UEBhMCY24xDDAKBgNVBAoTA2gzYzEMMAoGA1UECxMDaDNjMQ8wDQYDVQQDEwZyb290Y2EwHhcNMTEwMTA2MDI1MTQxWhcNMTMxMjA3MDMxMjA1WjA6MQswCQYDVQQGEwJjbjEMMAoGA1UEChMDaDNjMQwwCgYDVQQLEwNoM2MxDzANBgNVBAMTBnJvb3RjYTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAxP2XLFE230zq6MhwZvAomOxa7tc1r4bESXZu3UBKno3Ay9kQm2HrDOAizvZXfLu7Gx22ga2Qdz0lIeZ+EQrYHTyOpBcejDjal/ZtvgnjXyHFoG8nS+P7n83BkRj/Fu7Yz4zjTKMbCF2EfhEyXxr4NSXAfhC9qg9S23vNXStmWvsCAwEAATANBgkqhkiG9w0BAQUFAAOBgQBtsU7X77sdZ1Nn0I98lh0qA5g7SEEIpI+pwZjjrH0FVHw01e4JWhHjyHqrOyfXYqe7vH4SXp5MHEqf14nKIEbexbPONspebtznxv4/xTjd1aM2rfQ95jJ/SN8H8KIyiYZyIs3t5Q+V35x1cef+NMWgZBzwXOSP0wC9+pC2ZNiIpg==-----ENDCERTIFICATE-----#导出PKI域中的本地证书及其对应的私钥到PKCS12编码的文件,指定保护私钥信息的加密口令为123,文件名称为cert-lo.
der.
system-view[Sysname]pkiexportdomaindomain1p12localpassphrase123filenamecert-lo.
der#导出PKI域中的所有证书到PKCS12编码的文件,指定文件名称为cert-all.
p7b.
system-view[Sysname]pkiexportdomaindomain1p12allpassphrase123filenamecert-all.
p7b1-37【相关命令】pkidomain1.
1.
30pkiimportpkiimport命令用来将CA证书、本地证书或对端证书导入到指定的PKI域中保存.
【命令】pkiimportdomaindomain-name{der{ca|local|peer}filenamefilename|p12localfilenamefilename|pem{ca|local|peer}[filenamefilename]}【视图】系统视图【缺省用户角色】network-admin【参数】domaindomain-name:保存证书的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
der:指定证书文件格式为DER编码(包括PKCS#7格式的证书).
p12:指定证书文件格式为PKCS#12编码.
pem:指定证书文件格式为PEM编码.
ca:表示CA证书.
local:表示本地证书.
peer:表示对端证书.
filenamefilename:要导入的证书所在的文件名,不区分大小写.
如果不指定本参数,则表示要通过直接在终端上粘贴证书内容的方式导入证书,这种方式仅PEM编码格式的证书才支持.
【使用指导】如果设备所处的环境中,没有证书的发布点,或者CA服务器不支持通过SCEP协议与设备交互,则可通过此命令将证书导入到设备.
另外,当证书对应的密钥对由CA服务器生成时,CA服务器会将证书和对应的密钥对打包成一个文件,使用这样的证书前也需要通过此命令将其导入到设备.
只有PKCS#12格式或PEM格式的证书文件中可能包含密钥对.
证书导入之前:需要通过FTP、TFTP等协议将证书文件传送到设备的存储介质中.
如果设备所处的环境不允许使用FTP、TFTP等协议,则可以直接在终端上粘贴证书的内容,但是粘贴的证书必须是PEM格式的,因为只有PEM编码的证书内容为可打印字符.
必须存在签发本地证书(或对端证书)的CA证书链才能成功导入本地证书(或对端证书),这里的CA证书链可以是保存在设备上的PKI域中的,也可以是本地证书(或对端证书)中携带的.
因此,若设备和本地证书(或对端证书)中都没有CA证书链,则需要首先执行导入CA证书的命令.
导入本地证书或对端证书时:1-38如果用户要导入的本地证书(或对端证书)中含有CA证书链,则可以通过导入本地证书(或对端证书)的命令一次性将CA证书和本地证书(或对端证书)均导入到设备.
导入的过程中,如果发现签发此本地证书(或对端证书)的CA证书已经存在于设备上的任一PKI域中,则系统会提示用户是否将其进行覆盖.
如果要导入的本地证书(或对端证书)中不含有CA证书链,但签发此本地证书(或对端证书)的CA证书已经存在于设备上的任一PKI域中,则可以直接导入本地证书(或对端证书).
导入CA证书时:若要导入的CA证书为根CA或者包含了完整的证书链(即含有根证书),则可以导入到设备.
若要导入的CA证书没有包含完整的证书链(即不含有根证书),但能够与设备上已有的CA证书拼接成完整的证书链,则也可以导入到设备;如果不能与设备上已有的CA证书拼接成完成的证书链,则不能导入到设备.
一些情况下,在证书导入的过程中,需要用户确认或输入相关信息:若要导入的证书文件中包含了根证书,且设备上目前还没有任何PKI域中有此根证书,且要导入的PKI域中没有配置root-certificatefingerprint,则在导入过程中还需要确认该根证书的指纹信息是否与用户的预期一致.
用户需要通过联系CA服务器管理员来获取预期的根证书指纹信息.
当导入含有密钥对的本地证书时,需要输入口令.
用户需要联系CA服务器管理员取得口令的内容.
导入含有密钥对的本地证书时,系统首先会根据查找到的PKI域中已有的密钥对配置来保存该密钥对.
若PKI域中已保存了对应的密钥对,则设备会提示用户选择是否覆盖已有的密钥对.
若PKI域中没有任何密钥对的配置,则根据密钥对的算法及证书的密钥用途,生成相应的密钥对配置.
密钥对的具体保存规则如下:如果本地证书携带的密钥对的用途为通用,则依次查找指定PKI域中通用用途、签名用途、加密用途的密钥对配置,并以找到配置中的密钥对名称保存该密钥对;若以上用途的密钥对配置均不存在,则提示用户输入密钥对名称(缺省的密钥对名称为PKI域的名称),并生成相应的密钥对配置.
如果本地证书携带的密钥对的用途为签名,则依次查找指定PKI域中通用用途、签名用途的密钥对配置,并以找到配置中的密钥对名称保存该密钥对;若以上两种用途的密钥对配置均不存在,则提示用户输入密钥对名称(缺省的密钥对名称为PKI域的名称),并生成相应的密钥对配置.
如果本地证书携带的密钥对的用途为加密,则查找指定PKI域中加密用途的密钥对配置,并以该配置中的密钥对名称保存密钥对;若加密用途密钥对的配置不存在,则提示用户输入密钥对名称(缺省的密钥对名称为PKI域的名称),并生成相应的密钥对配置.
由于以上过程中系统会自动更新或生成密钥对配置,因此建议用户在进行此类导入操作后,保存配置文件.
【举例】#向PKI域aaa中导入CA证书,证书文件格式为PEM编码,证书文件名称为rootca_pem.
cer,证书文件中包含根证书.
system-view[Sysname]pkiimportdomainaaapemcafilenamerootca_pem.
cerThetrustedCA'sfingerprintis:1-39MD5fingerprint:FFFF3EFFFFFF37FFFFFF137BFFFF7535SHA1fingerprint:FFFFFF7FFF2BFFFF7618FF4CFFFF0A7DFFFFFF69Isthefingerprintcorrect(Y/N):y[Sysname]#向PKI域bbb中导入CA证书,证书文件格式为PEM编码,证书文件名称为aca_pem.
cer,证书文件中不包含根证书.
system-view[Sysname]pkiimportdomainbbbpemcafilenameaca_pem.
cer[Sysname]#向PKI域bbb中导入本地证书,证书文件格式为PKCS#12编码,证书文件名称为local-ca.
p12,证书文件中包含了密钥对.
system-view[Sysname]pkiimportdomainbbbp12localfilenamelocal-ca.
p12Pleaseinputchallengepassword:******[Sysname]#向PKI域bbb中通过粘贴证书内容的方式导入PEM编码的本地证书.
证书中含有密钥对和CA证书链.
system-view[Sysname]pkiimportdomainbbbpemlocalEnterPEM-formattedcertificate.
EndwithaCtrl+conalinebyitself.
BagAttributeslocalKeyID:01000000friendlyName:{F7619D96-3AC2-40D4-B6F3-4EAB73DEED73}MicrosoftCSPName:MicrosoftEnhancedCryptographicProviderv1.
0KeyAttributesX509v3KeyUsage:10-----BEGINRSAPRIVATEKEY-----Proc-Type:4,ENCRYPTEDDEK-Info:DES-EDE3-CBC,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-----ENDRSAPRIVATEKEY-----BagAttributes1-40localKeyID:01000000subject=/CN=sldsslserverissuer=/C=cn/O=ccc/OU=sec/CN=ssl-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----BagAttributes:subject=/C=cn/O=ccc/OU=sec/CN=sslissuer=/C=cn/O=ccc/OU=sec/CN=ssl-----BEGINCERTIFICATE-----MIIB7DCCAVUCEG+jJTPxxiE67pl2ff0SnOMwDQYJKoZIhvcNAQEFBQAwNzELMAkGA1UEBhMCY24xDDAKBgNVBAoTA2gzYzEMMAoGA1UECxMDc2VjMQwwCgYDVQQDEwNzc2wwHhcNMDkwNzMxMDY0ODQ2WhcNMTIwNzI5MDYyODU4WjA3MQswCQYDVQQGEwJjbjEMMAoGA1UEChMDaDNjMQwwCgYDVQQLEwNzZWMxDDAKBgNVBAMTA3NzbDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAt8QSMetQ70GONiFh7iJkvGQ8nC15zCF1cqC/RcJhE/88LkKyQcu9j+Tz8Bk9Qj2UPaZdrk8fOrgtBsa7lZ+UO3j3l30q84l+HjWq8yxVLRQahU3gqJze6pGR2l0s76u6GRyCX/zizGrHKqYlNnxK44NyRZx2klQ2tKQAfpXCPIkCAwEAATANBgkqhkiG9w0BAQUFAAOBgQBWsaMgRbBMtYNrrYCMjY6gc7PBjvajVOKNUMxaDalePmXfKCxl91+PKM7+i8I/zLcoQO+sHbva26a2/C4sNvoJ2QZs6GtAOahP6CDqXC5VuNBU6eTKNKjL+mf6uuDeMxrlDNha0iymdrXXVIp5cuIufl7xgArs8Ks6aXDXM1o4DQ==-----ENDCERTIFICATE-----Pleaseinputthepassword:Localcertificatealreadyexist,confirmtooverwriteit[Y/N]:yThePKIdomainalreadyhasaCAcertificate.
Ifitisoverwritten,localcertificates,peercertificatesandCRLofthisdomainwillalsobedeleted.
Overwriteit[Y/N]:yThesystemisgoingtosavethekeypair.
Youmustspecifyakeypairname,whichisacase-insensitivestringof1to64characters.
Validcharactersincludeatoz,AtoZ,0to9,andhyphens(-).
Pleaseenterthekeypairname[defaultname:bbb]:Thekeypairalreadyexists.
Pleaseenterthekeypairname:1-41import-key【相关命令】displaypkicertificatepublic-keydsapublic-keyecdsapublic-keyrsa1.
1.
31pkirequest-certificatepkirequest-certificate命令用来手工申请本地证书或生成PKCS#10证书申请.
【命令】pkirequest-certificatedomaindomain-name[passwordpassword][pkcs10[filenamefilename]]【视图】系统视图【缺省用户角色】network-admin【参数】domaindomain-name:指定证书申请所属的PKI域名,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
passwordpassword:在证书撤销时需要提供的口令,为1~31个字符的字符串,区分大小写.
该口令包含在提交给CA的证书申请中,在吊销该证书时,需要提供该口令.
pkcs10:在终端上显示出BASE64格式的PKCS#10证书申请信息,该信息可用于带外方式(如电话、磁盘、电子邮件等)的证书请求.
filenamefilename:将PKCS#10格式的证书申请信息保存到本地的文件中.
其中,filename表示保存证书申请信息的文件名,不区分大小写.
【使用指导】当SCEP协议不能正常通信时,可以通过执行指定参数pkcs10的本命令打印出本地的证书申请信息(BASE64格式),或者通过执行指定pkcs10filenamefilename参数的本命令将证书申请信息直接保存到本地的指定文件中,然后通过带外方式将这些本地证书申请信息发送给CA进行证书申请.
指定的文件名中可以带完整路径,当系统中不存在用户所指定路径时,则会保存失败.
此命令不会被保存在配置文件中.
【举例】#在终端上显示PKCS#10格式的证书申请信息.
system-view[Sysname]pkirequest-certificatedomainaaapkcs10***Requestforgeneralcertificate***-----BEGINNEWCERTIFICATEREQUEST-----MIIBTDCBtgIBADANMQswCQYDVQQDEwJqajCBnzANBgkqhkiG9w0BAQEFAAOBjQAw1-42gYkCgYEAw5Drj8ofs9THA4ezkDcQPBy8pvH1kumampPsJmx8sGG52NFtbrDTnTT5ALx3LJijB3d/ndKpcHT/DfbJVDCn5gdw32tBZyCkEwMHZN3ol2z7Nmdcu5TED6iN84m+hfp1QWoV6lty3o9pxAXuQl8peUDcfN6WV3LBXYyl1WCtkLkECAwEAAaAAMA0GCSqGSIb3DQEBBAUAA4GBAA8E7BaIdmT6NVCZgv/I/1tqZH3TS4e4H9Qo5NiCKiEwR8owVmA0XVtGMbyqBNcDTG0f5NbHrXZQT5+MbFJOnm5K/mn1ro5TJKMTKV46PlCZJUjsugaY02GBY0BVcylpC9iIXLuXNIqjh1MBIqVsa1lQOHS7YMvnop6hXAQlkM4c-----ENDNEWCERTIFICATEREQUEST-----#手工申请本地证书.
[Sysname]pkirequest-certificatedomainopencaStarttorequestgeneralcertificate.
.
.
……Certificaterequestedsuccessfully.
【相关命令】displaypkicertificate1.
1.
32pkiretrieve-certificatepkiretrieve-certificate命令用来从证书发布服务器上在线获取证书并下载至本地.
【命令】pkiretrieve-certificatedomaindomain-name{ca|local|peerentity-name}【视图】系统视图【缺省用户角色】network-admin【参数】domaindomain-name:指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
ca:表示获取CA证书.
local:表示获取本地证书.
peerentity-name:表示获取对端的证书.
其中entity-name为对端的实体名,为1~31个字符的字符串,不区分大小写.
【使用指导】获取CA证书是通过SCEP协议进行的.
获取CA证书时,如果本地已有CA证书存在,则该操作将不被允许.
这种情况下,若要重新获取CA证书,请先使用pkidelete-certificate命令删除已有的CA证书与对应的本地证书后,再执行此命令.
获取本地证书和对端证书是通过LDAP协议进行的.
获取本地证书或对端证书时,如果本地已有本地证书或对端证书,则该操作是被允许进行的.
最终,属于一个PKI实体的同一种公钥算法的本地证书只能存在一个,后者直接覆盖已有的,但对于RSA算法的证书而言,可以存在一个签名用途的证书和一个加密用途的证书.
所有获取到的CA证书、本地证书或对端证书只有通过验证之后才会被保存到本地证书库中.
此命令不会被保存在配置文件中.
1-43【举例】#从证书发布服务器上获取CA证书.
(需要用户确认CA根证书的指纹)system-view[Sysname]pkiretrieve-certificatedomainaaacaThetrustedCA'sfingerprintis:MD5fingerprint:5C41E657A0D6ECB46BD618237473AABCSHA1fingerprint:1616E7A5D89A2A9994191C12D696822887BCC266Isthefingerprintcorrect(Y/N):yRetrievedthecertificatessuccessfully.
#从证书发布服务器上获取本地证书.
system-view[Sysname]pkiretrieve-certificatedomainaaalocalRetrievedthecertificatessuccessfully.
#从证书发布服务器上获取对端证书.
system-view[Sysname]pkiretrieve-certificatedomainaaapeeren1Retrievedthecertificatessuccessfully.
【相关命令】displaypkicertificatepkidelete-certificate1.
1.
33pkiretrieve-crlpkiretrieve-crl命令用来获取CRL并下载至本地.
【命令】pkiretrieve-crldomaindomain-name【视图】系统视图【缺省用户角色】network-admin【参数】domain-name:指定CRL所属的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
【使用指导】获取CRL的目的是为了验证PKI域中的本地证书和对端证书的合法性.
若要成功获取CRL,PKI域中必须存在CA证书.
设备支持通过HTTP、LDAP或SCEP协议从CRL发布点上获取CRL,具体采用那种协议,由PKI域中CRL发布点的配置决定:若配置的CRL发布点URL格式为HTTP格式,则通过HTTP协议获取CRL.
若配置的CRL发布点URL格式为LDAP格式,则通过LDAP协议获取CRL.
若配置的CRL发布点URL(通过命令crlurl)中缺少主机名,例如ldap:///CN=8088,OU=test,U=rd,C=cn,1-44则还需要在PKI域中配置LDAP服务器的URL(通过命令ldapserver).
此时,设备会将配置的LDAP服务器URL和配置的CRL发布点URL中的不完整的LDAP发布点拼装成完整的LDAP发布点,再通过LDAP协议获取CRL.
若PKI域中没有配置CRL发布点,则设备会依次从本地证书、CA证书中查找CRL的发布点,如果从中查找到了CRL发布点,则通过该发布点获取CRL;否则,通过SCEP协议获取CRL.
【举例】#从CRL发布点上获取CRL.
system-view[Sysname]pkiretrieve-crldomainaaaRetrieveCRLofthedomainaaasuccessfully.
【相关命令】crlurlldapserver1.
1.
34pkistoragepkistorage命令用来配置证书和CRL的存储路径.
undopkistorage命令用来恢复缺省情况.
【命令】pkistorage{certificates|crls}dir-pathundopkistorage{certificates|crls}【缺省情况】证书和CRL的存储路径为设备存储介质上的PKI目录.
【视图】系统视图【缺省用户角色】network-admin【参数】certificates:指定证书的存储目录.
crls:指定CRL的存储目录.
dir-path:存储目录的路径名称,区分大小写,不能以'/'开头,不能包含".
.
/".
dir-path可以是绝对路径也可以是相对路径,但必须已经存在.
【使用指导】dir-path只能是当前主用设备上的路径,不能是其它从设备上的路径.
设备缺省的PKI目录在设备首次成功申请、获取或导入证书时自动创建.
如果需要指定的目录还不存在,需要先使用mkdir命令创建这个目录,再使用此命令配存储路径.
若修改了证书或CRL的存储目录,则原存储路径下的证书文件(以.
cer和.
p12为后缀的文件)和CRL文件(以.
crl为后缀的文件)将被移动到该路径下保存,且原存储路径下的其它文件不受影响.
1-45【举例】#设置证书的存储路径为flash:/pki-new.
system-view[Sysname]pkistoragecertificatesflash:/pki-new#设置CRL存储路径为pki-new.
system-view[Sysname]pkistoragecrlspki-new1.
1.
35pkivalidate-certificatepkivalidate-certificate命令用来验证证书的有效性.
【命令】pkivalidate-certificatedomaindomain-name{ca|local}【视图】系统视图【缺省用户角色】network-admin【参数】domaindomain-name:指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括"~"、"*"、"\"、"|"、":"、".
"、""、"""和"'".
ca:表示验证CA证书.
local:表示验证本地证书.
【使用指导】证书验证的内容包括:证书是否由用户信任的CA签发;证书是否仍在有效期内;如果使能了CRL检查功能,还会验证证书是否被吊销.
如果验证证书的时候,PKI域中没有CRL,则会先从本地证书库中查找是否存在CRL,如果找到CRL,则把证书库中保存的CRL加载到该PKI域中,否则,就从CA服务器上获取并保存到本地.
导入证书、申请证书、获取证书以及应用程序使用PKI功能时,都会自动对证书进行验证,因此一般不需要使用此命令进行额外的验证.
如果用户希望在没有任何前述操作的情况下单独执行证书的验证,可以使用此命令.
验证CA证书时,会对从当前CA到根CA的整条CA证书链进行CRL检查.
【举例】#验证PKI域aaa中的CA证书的有效性.
system-view[Sysname]pkivalidate-certificatedomainaaacaVerifyingcertificate.
.
.
.
.
.
SerialNumber:f6:3c:15:31:fe:bb:ec:94:dc:3d:b9:3a:d9:07:70:e5Issuer:C=cnO=ccc1-46OU=pppCN=rootcaSubject:C=cnO=abcOU=testCN=acaVerifyresult:OKVerifyingcertificate.
.
.
.
.
.
SerialNumber:5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6Issuer:C=cnO=cccOU=pppCN=rootcaSubject:C=cnO=cccOU=pppCN=rootcaVerifyresult:OK#验证PKI域aaa中的本地证书的有效性.
system-view[Sysname]pkivalidate-certificatedomainaaalocalVerifyingcertificate.
.
.
.
.
.
SerialNumber:bc:05:70:1f:0e:da:0d:10:16:1eIssuer:C=CNO=secOU=softwareCN=bcaSubject:O=OpenCALabsOU=UsersCN=fipsfips-secVerifyresult:OK【相关命令】crlcheckpkidomain1-471.
1.
36public-keydsapublic-keydsa命令用来指定证书申请使用的DSA密钥对.
undopublic-key命令用来恢复缺省情况.
【命令】public-keydsanamekey-name[lengthkey-length]undopublic-key【缺省情况】未指定证书申请使用的密钥对.
【视图】PKI域视图【缺省用户角色】network-admin【参数】namekey-name:密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符"-".
lengthkey-length:密钥的长度.
非FIPS模式下,key-length的取值范围为512~2048,单位为比特,缺省值为1024;FIPS模式下,key-length的取值为2048,单位为比特,缺省值为2048.
密钥越长,密钥安全性越高,但相关的公钥运算越耗时.
【使用指导】本命令中引用的密钥对并不要求已经存在,可以通过以下任意一种途径获得:通过执行public-keylocalcreate命令生成.
通过应用程序认证过程触发生成.
例如IKE协商过程中,如果使用数字签名认证方式,则可能会触发生成密钥对.
通过导入证书(使用pkiimport命令)的方式从外界获得.
一个PKI域中只能同时存在一种算法(RSA、DSA或ECDSA)的密钥对.
在同一个PKI域中多次执行public-keydsa命令,最后一次执行的命令生效.
本命令中指定的密钥长度仅对将要由设备生成的密钥对有效.
如果执行本命令时,设备上已经存在指定名称的密钥对,则后续通过此命令指定的该密钥对的密钥长度没有意义.
如果指定名称的密钥对是通过导入证书的方式获得,则通过本命令指定的密钥长度也没有意义.
【举例】#指定证书申请所使用的DSA密钥对为abc,密钥的长度为2048比特.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]public-keydsanameabclength2048【相关命令】pkiimportpublic-keylocalcreate(安全命令参考/公钥管理)1-481.
1.
37public-keyecdsapublic-keyecdsa命令用来指定证书申请使用的ECDSA密钥对.
undopublic-key命令用来恢复缺省情况.
【命令】(非FIPS模式)public-keyecdsanamekey-name[secp192r1|secp256r1|secp384r1|secp521r1]undopublic-key(FIPS模式)public-keyecdsanamekey-name[secp256r1|secp384r1|secp521r1]undopublic-key【缺省情况】未指定证书申请使用的密钥对.
【视图】PKI域视图【缺省用户角色】network-admin【参数】namekey-name:密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符"-".
secp192r1:密钥对使用的椭圆曲线算法的名称为secp192r1,密钥长度为192比特.
secp256r1:密钥对使用的椭圆曲线算法的名称为secp256r1,密钥长度为256比特.
secp384r1:密钥对使用的椭圆曲线算法的名称为secp384r1,密钥长度为384比特.
secp521r1:密钥对使用的椭圆曲线算法的名称为secp521r1,密钥长度为521比特.
【使用指导】本命令中引用的密钥对并不要求已经存在,可以通过以下任意一种途径获得:通过执行public-keylocalcreate命令生成.
通过应用程序认证过程触发生成.
例如IKE协商过程中,如果使用数字签名认证方式,则可能会触发生成密钥对.
通过导入证书(使用pkiimport命令)的方式从外界获得.
若未指定任何参数,则在非FIPS模式下缺省使用密钥对secp192r1;在FIPS模式下缺省使用密钥对secp256r1.
一个PKI域中只能同时存在一种算法(RSA、DSA或ECDSA)的密钥对.
在同一个PKI域中多次执行public-keyecdsa命令,最后一次执行的命令生效.
本命令中指定的密钥长度仅对将要由设备生成的密钥对有效.
如果执行本命令时,设备上已经存在指定名称的密钥对,则后续通过此命令指定的该密钥对的密钥长度没有意义.
如果指定名称的密钥对是通过导入证书的方式获得,则通过本命令指定的密钥长度也没有意义.
1-49【举例】#指定证书申请所使用的ECDSA密钥对为abc,椭圆曲线算法的名称为secp384r1.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]public-keyecdsanameabcsecp384r1【相关命令】pkiimportpublic-keylocalcreate(安全命令参考/公钥管理)1.
1.
38public-keyrsapublic-keyrsa命令用来指定证书申请使用的RSA密钥对.
undopublic-key命令用来恢复缺省情况.
【命令】public-keyrsa{{encryptionnameencryption-key-name[lengthkey-length]|signaturenamesignature-key-name[lengthkey-length]}*|generalnamekey-name[lengthkey-length]}undopublic-key【缺省情况】未指定证书申请使用的密钥对.
【视图】PKI域视图【缺省用户角色】network-admin【参数】encryption:指定密钥对的用途为加密.
nameencryption-key-name:加密密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符"-".
signature:指定密钥对的用途为签名.
namesignature-key-name:签名密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符"-".
general:指定密钥对的用途为通用,既可以用于签名也可以用于加密.
namekey-name:通用密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符"-".
lengthkey-length:密钥的长度.
非FIPS模式下,key-length的取值范围为512~4096,单位为比特,缺省为1024;FIPS模式下,key-length的取值范围为2048~4096,取值为256的倍数,单位为比特,缺省为2048.
密钥越长,密钥安全性越高,但相关的公钥运算越耗时.
【使用指导】本命令中引用的密钥对并不要求已经存在,可以通过以下任意一种途径获得:1-50通过执行public-keylocalcreate命令生成.
通过应用程序认证过程触发生成.
例如IKE协商过程中,如果使用数字签名认证方式,则可能会触发生成密钥对.
通过导入证书(使用pkiimport命令)的方式从外界获得.
一个PKI域中只能同时存在一种算法(RSA、DSA或ECDSA)的密钥对.
对于RSA密钥对来说,一个PKI域中只允许单独存在一种用途的RSA密钥对,或同时存在一个用于签名的和一个用于加密的RSA密钥对.
因此,在一个PKI域中,RSA签名密钥对和RSA加密密钥对的配置不会互相覆盖.
分别指定RSA签名密钥对和RSA加密密钥对时,它们的密钥长度可以不相同.
本命令中指定的密钥长度仅对将要由设备生成的密钥对有效.
如果执行本命令时,设备上已经存在指定名称的密钥对,则后续通过此命令指定的该密钥对的密钥长度没有意义.
如果指定名称的密钥对是通过导入证书的方式获得,则通过本命令指定的密钥长度也没有意义.
【举例】#指定证书申请所使用的RSA密钥对为abc,密钥用途为通用,密钥的长度为2048比特.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]public-keyrsageneralnameabclength2048#指定证书申请所使用的加密RSA密钥对为rsa1(密钥的长度为2048比特),签名RSA密钥对为sig1(密钥的长度为2048比特).
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]public-keyrsaencryptionnamersa1length2048[Sysname-pki-domain-aaa]public-keyrsasignaturenamesig1length2048【相关命令】pkiimportpublic-keylocalcreate(安全命令参考/公钥管理)1.
1.
39root-certificatefingerprintroot-certificatefingerprint命令用来配置验证CA根证书时所使用的指纹.
undoroot-certificatefingerprint命令用来恢复缺省情况.
【命令】(非FIPS模式)root-certificatefingerprint{md5|sha1}stringundoroot-certificatefingerprint(FIPS模式)root-certificatefingerprintsha1stringundoroot-certificatefingerprint【缺省情况】未指定验证CA根证书时使用的指纹.
1-51【视图】PKI域视图【缺省用户角色】network-admin【参数】md5:使用MD5指纹.
sha1:使用SHA1指纹.
string:指定所使用的指纹信息.
当选择MD5指纹时,string必须为32个字符的字符串,并且以16进制的形式输入;当选择SHA1指纹时,string必须为40个字符的字符串,并且以16进制的形式输入.
【使用指导】当本地证书申请模式为自动方式且PKI域中没有CA证书时,必须通过本命令配置验证CA证书时所使用的指纹.
当IKE协商等应用触发设备进行本地证书申请时,设备会自动从CA服务器上获取CA证书,如果获取的CA证书中包含了本地不存在的CA根证书,则设备会验证该CA根证书的指纹.
此时,如果设备上没有配置CA根证书指纹或者配置了错误的CA根证书指纹,则本地证书申请失败.
通过pkiimport命令导入CA证书或者通过pkiretrieve-certificate命令获取CA证书时,可以选择是否配置验证CA根证书使用的指纹:如果PKI域中配置了验证CA根证书使用的指纹,则当导入的CA证书文件或者获取的CA证书中包含本地不存在的CA根证书时,直接使用配置的CA根证书指纹进行验证.
如果配置了错误的CA根证书指纹,则CA证书导入和CA证书获取均会失败;否则,需要用户来确认该CA证书的CA根证书指纹是否可信.
【举例】#配置验证CA根证书时使用的MD5指纹.
(仅非FIPS模式下支持)system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]root-certificatefingerprintmd512EF53FA355CD23E12EF53FA355CD23E#配置验证CA根证书时使用的SHA1指纹.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]root-certificatefingerprintsha1D1526110AAD7527FB093ED7FC037B0B3CDDDAD93【相关命令】certificaterequestmodepkiimportpkiretrieve-certificate1.
1.
40rulerule命令用来配置证书属性的访问控制规则.
undorule命令用来删除指定的证书属性访问控制规则.
1-52【命令】rule[id]{deny|permit}group-nameundoruleid【缺省情况】不存在证书属性的访问控制规则.
【视图】证书访问控制策略视图【缺省用户角色】network-admin【参数】id:证书属性访问控制规则编号,取值范围为1~16,缺省值为当前还未被使用的且合法的最小编号,取值越小优先级越高.
deny:当证书的属性与所关联的属性组匹配时,认为该证书无效,未通过访问控制策略的检测.
permit:当证书的属性与所关联的属性组匹配时,认为该证书有效,通过了访问控制策略的检测.
group-name:规则所关联的证书属性组名称,为1~31个字符的字符串,不区分大小写.
【使用指导】配置证书属性访问控制规则时,可以关联一个当前并不存在的证书属性组,后续可以通过命令pkicertificateattribute-group完成相应的配置.
若规则所关联的证书属性组中没有定义任何属性规则(通过命令attribute配置),或关联的证书属性组不存在,则认为被检测的证书属性与该属性组匹配.
如果一个访问控制策略中有多个规则,则按照规则编号从小到大的顺序遍历所有规则,一旦证书与某一个规则匹配,则立即结束检测,不再继续匹配其它规则;若遍历完所有规则后,证书没有与任何规则匹配,则认为该证书不能通过访问控制策略的检测.
【举例】#配置一个访问控制规则,要求当证书与证书属性组mygroup匹配时,认为该证书有效,通过了访问控制策略的检测.
system-view[Sysname]pkicertificateaccess-control-policymypolicy[Sysname-pki-cert-acp-mypolicy]rule1permitmygroup【相关命令】attributedisplaypkicertificateaccess-control-policypkicertificateattribute-group1.
1.
41sourcesource命令用来指定PKI操作产生的协议报文使用的源IP地址.
undosource命令用来恢复缺省情况.
1-53【命令】source{ip|ipv6}{ip-address|interfaceinterface-typeinterface-number}undosource【缺省情况】PKI操作产生的协议报文的源IP地址为系统根据路由表项查找到的出接口的地址.
【视图】PKI域视图【缺省用户角色】network-admin【参数】ipip-address:指定源IPv4地址.
ipv6ip-address:指定源IPv6地址.
interfaceinterface-typeinterface-number:指定该接口的主IPv4地址或接口上最小的IPv6地址为源IP地址.
interface-typeinterface-number表示接口类型和接口编号.
【使用指导】如果希望PKI操作产生的协议报文的源IP地址是一个特定的地址,则需要配置此命令,例如CA服务器上的策略要求仅接受来自指定地址或网段的证书申请.
如果该IP地址是动态获取的,则可以指定一个接口,使用该接口上的IP地址作为源地址.
此处指定的源IP地址,必须与CA服务器之间路由可达.
一个PKI域中只能存在一个源IP地址,后配置的生效.
【举例】#指定PKI操作产生的协议报文的源IP地址为111.
1.
1.
8.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]sourceip111.
1.
1.
8#指定PKI操作产生的协议报文的源IPv6地址为1::8.
system-view[Sysname]pkidomain1[Sysname-pki-domain-1]sourceipv61::8#指定PKI操作产生的协议报文的源IP地址为接口Vlan-interface1的IP地址.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]sourceipinterfacevlan-interface1#指定PKI操作产生的协议报文的源IPv6地址为接口Vlan-interface1的IPv6地址.
system-view[Sysname]pkidomain1[Sysname-pki-domain-1]sourceipv6interfacevlan-interface11-541.
1.
42statestate命令用来配置PKI实体所属的州或省的名称.
undostate命令用来恢复缺省情况.
【命令】statestate-nameundostate【缺省情况】未配置PKI实体所属的州或省的名称.
【视图】PKI实体视图【缺省用户角色】network-admin【参数】state-name:PKI实体所属的州或省的名称,为1~63个字符的字符串,区分大小写,不能包含逗号.
【举例】#配置PKI实体en所在省为countryA.
system-view[Sysname]pkientityen[Sysname-pki-entity-en]statecountryA1.
1.
43usageusage命令用来指定证书的扩展用途.
undousage命令用来删除指定证书的扩展用途.
【命令】usage{ike|ssl-client|ssl-server}*undousage[ike|ssl-client|ssl-server]*【缺省情况】未指定证书的扩展用途,表示可用于IKE、SSL客户端和SSL服务器端用途.
【视图】PKI域视图【缺省用户角色】network-admin【参数】ike:指定证书扩展用途为IKE,即IKE对等体使用的证书.
ssl-client:指定证书扩展用途为SSL客户端,即SSL客户端使用的证书.
1-55ssl-server:指定证书扩展用途为SSL服务器端,即SSL服务器端使用的证书.
【使用指导】若不指定任何参数,则undousage命令表示删除所有指定的证书扩展用途,证书的用途由证书的使用者决定,PKI不做任何限定.
证书中携带的扩展用途与CA服务器的策略相关,申请到的证书中的扩展用途可能与此处指定的不完全一致,最终请以CA服务器的实际情况为准.
【举例】#指定证书扩展用途为IKE.
system-view[Sysname]pkidomainaaa[Sysname-pki-domain-aaa]usageike
- 证书6kkbb.com相关文档
- P6KE10CA6kkbb.com
- review6kkbb.com
- 颐和新能源N5KTL、6KTL产品顺利通过德国T
- www.proteomics-journal.com
- 11.36kkbb.com
- TZyPd6kkbb.com
青果云(59元/月)香港多线BGP云服务器 1核 1G
青果云香港CN2_GIA主机测评青果云香港多线BGP网络,接入电信CN2 GIA等优质链路,测试IP:45.251.136.1青果网络QG.NET是一家高效多云管理服务商,拥有工信部颁发的全网云计算/CDN/IDC/ISP/IP-VPN等多项资质,是CNNIC/APNIC联盟的成员之一。青果云香港CN2_GIA主机性能分享下面和大家分享下。官方网站:点击进入CPU内存系统盘数据盘宽带ip价格购买地...
福州云服务器 1核 2G 2M 12元/月(买5个月) 萤光云
厦门靠谱云股份有限公司 双十一到了,站长我就给介绍一家折扣力度名列前茅的云厂商——萤光云。1H2G2M的高防50G云服务器,依照他们的规则叠加优惠,可以做到12元/月。更大配置和带宽的价格,也在一般云厂商中脱颖而出,性价比超高。官网:www.lightnode.cn叠加优惠:全区季付55折+满100-50各个配置价格表:地域配置双十一优惠价说明福州(带50G防御)/上海/北京1H2G2M12元/月...
香港 1核1G 29元/月 美国1核 2G 36元/月 快云科技
快云科技: 11.11钜惠 美国云机2H5G年付148仅有40台,云服务器全场7折,香港云服务器年付388仅不到五折 公司介绍:快云科技是成立于2020年的新进主机商,持有IDC/ICP/ISP等证件资质齐全主营产品有:香港弹性云服务器,美国vps和日本vps,香港物理机,国内高防物理机以及美国日本高防物理机官网地址:www.345idc.com活动截止日期为2021年11月13日此次促销活动提供...
6kkbb.com为你推荐
-
网络访问怎样设置Internet网络连接共享?敬汉卿姓名被抢注身份证信息被抢注12306账号怎么办johncusack约翰·库萨克好看的的恐怖片全集留学生认证留学生前阶段双认证认证什么内容?老虎数码相机里的传感器CCD和CMO是什么意思?甲骨文不满赔偿公司倒闭员工不满一年怎么赔偿冯媛甑冯媛甄 康熙来了rawtools闪迪32Gsd卡,无法格式化,显示只有30M,并且是raw格式。如何恢复?www.7788dy.com回家的诱惑 哪个网站更新的最快啊www.7788dy.comwww.tom365.com这个免费的电影网站有毒吗?