- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-PKI命令
本章節下載: 09-PKI命令 (201.01 KB)
1.1.3 certificate request entity
1.1.4 certificate request from
1.1.5 certificate request mode
1.1.6 certificate request polling
1.1.13 display pki certificate
1.1.14 display pki certificate access-control-policy
1.1.15 display pki certificate attribute-group
1.1.23 pki certificate access-control-policy
1.1.24 pki certificate attribute-group
1.1.29 pki request-certificate domain
1.1.30 pki retrieval-certificate
1.1.31 pki retrieval-crl domain
1.1.32 pki validate-certificate
1.1.33 root-certificate fingerprint
1.1.34 rule (PKI Cert access control policy view)
【命令】
attribute id { alt-subject-name { fqdn | ip } | { issuer-name | subject-name } { dn | fqdn | ip } } { ctn | equ | nctn | nequ} attribute-value
undo attribute { id | all }
【視圖】
證書屬性組視圖
【缺省級別】
2:係統級
【參數】
id:證書屬性規則序號,取值範圍為1~16。
alt-subject-name:表示證書備用主題名。
fqdn:指定實體的FQDN。
ip:指定實體的IP地址。
issuer-name:表示證書頒發者名。
subject-name:表示證書主題名。
dn:指定實體的DN。
ctn:表示包含操作。
equ:表示相等操作。
nctn:表示不包含操作。
nequ:表示不等操作。
attribute-value:表示證書屬性值,為1~128個字符的字符串,不區分大小寫。
all:表示所有證書屬性規則。
【描述】
attribute命令用來配置證書頒發者名、證書主題名以及備用主題名的屬性規則。undo attribute命令用來刪除一個或者所有證書的屬性規則。
缺省情況下,對證書的頒發者名、主題名以及備用主題名沒有限製。
需要注意的是,證書備用主題名屬性不會以域名的方式出現,所以在證書備用主題名屬性的規則配置中沒有出現dn。
【舉例】
# 創建一個證書屬性規則。該規則定義,主題名的DN包含字符串abc。
<Sysname> system-view
[Sysname] pki certificate attribute-group mygroup
[Sysname-pki-cert-attribute-group-mygroup] attribute 1 subject-name dn ctn abc
# 創建一個證書屬性規則。該規則定義,頒發者名稱中的FQDN不等於字符串abc。
[Sysname-pki-cert-attribute-group-mygroup] attribute 2 issuer-name fqdn nequ abc
# 創建一個證書屬性規則。該規則定義,主題備用名稱中的IP地址不等於10.0.0.1。
[Sysname-pki-cert-attribute-group-mygroup] attribute 3 alt-subject-name ip nequ 10.0.0.1
【命令】
ca identifier name
undo ca identifier
【視圖】
PKI域視圖
【缺省級別】
2:係統級
【參數】
name:設備信任的CA的名稱,為1~63個字符的字符串,不區分大小寫。
【描述】
ca identifier命令用來指定設備信任的CA的名稱。undo ca identifier命令用來刪除設備信任的CA。
缺省情況下,未指定設備信任的CA。
該設備證書的申請、獲取、廢除及查詢均通過該CA執行。
【舉例】
# 指定設備信任的CA的名稱為new-ca。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] ca identifier new-ca
【命令】
certificate request entity entity-name
undo certificate request entity
【視圖】
PKI域視圖
【缺省級別】
2:係統級
【參數】
entity-name:申請證書的實體所用名稱,為1~15個字符的字符串,不區分大小寫。
【描述】
certificate request entity命令用來指定申請證書的實體名稱。undo certificate request entity命令用來取消申請證書所用的實體名稱。
缺省情況下,未指定設備申請證書所使用的實體名稱。
相關配置可參考命令pki entity。
【舉例】
# 指定設備申請證書時使用實體entity1。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] certificate request entity entity1
【命令】
certificate request from { ca | ra }
undo certificate request from
【視圖】
PKI域視圖
【缺省級別】
2:係統級
【參數】
ca:表示實體從CA注冊申請證書。
ra:表示實體從RA注冊申請證書。
【描述】
certificate request from命令用來為實體配置證書申請的注冊受理機構。undo certificate request from命令用來取消指定的證書申請注冊受理機構。
缺省情況下,未指定證書申請的注冊受理機構。
【舉例】
# 指定實體從CA注冊申請證書。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] certificate request from ca
【命令】
certificate request mode { auto [ key-length key-length | password { cipher | simple } password ] * | manual }
undo certificate request mode
【視圖】
PKI域視圖
【缺省級別】
2:係統級
【參數】
auto:表示用自動方式申請證書。
key-length:指定RSA密鑰長度,取值範圍為512~2048,單位為bit,缺省值為1024bit。
cipher:表示以密文方式設置吊銷證書時使用的密碼。
simple:表示以明文方式設置吊銷證書時使用的密碼。
password:設置的明文密碼或密文密碼,區分大小寫。明文密鑰為1~31個字符的字符串;密文密鑰為1~73個字符的字符串。
manual:表示用手工方式申請證書。
【描述】
certificate request mode命令用來配置證書申請方式。undo certificate request mode命令用來恢複缺省情況。
缺省情況下,證書申請為手工方式。
如果是自動方式,則在本地沒有自己的證書時自動向注冊機構進行申請,但不會在證書快要過期時以及證書過期之後自動申請新的證書。如果為手工方式,則需要手工完成各項證書申請工作。
以明文或密文方式設置的密碼,均以密文的方式保存在配置文件中。
相關配置可參考命令pki request-certificate。
【舉例】
# 指定證書申請為自動方式。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] certificate request mode auto
【命令】
certificate request polling { count count | interval minutes }
undo certificate request polling { count | interval }
【視圖】
PKI域視圖
【缺省級別】
2:係統級
【參數】
count count:表示證書申請狀態的查詢次數。count表示查詢次數,取值範圍為1~100。
interval minutes:表示證書申請狀態的查詢周期。minutes表示查詢周期,取值範圍為5~168,單位為分鍾。
【描述】
certificate request polling命令用來配置證書申請狀態的查詢周期和次數。undo certificate request polling命令用來恢複缺省情況。
缺省情況下,證書申請狀態的查詢周期為20分鍾、每一個周期查詢50次。
實體在發送證書申請後,如果CA采用手工驗證申請,證書的發布會需要很長時間。實體需要定期發送狀態查詢,以便在證書簽發後能及時獲取到證書。
相關配置可參考命令display pki certificate。
【舉例】
# 指定狀態查詢周期為15分鍾、每一個周期查詢40次。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] certificate request polling interval 15
[Sysname-pki-domain-1] certificate request polling count 40
【命令】
certificate request url url-string
undo certificate request url
【視圖】
PKI域視圖
【缺省級別】
2:係統級
【參數】
url-string:表示證書申請的注冊機構服務器的URL,為1~127個字符的字符串,不區分大小寫。內容包括服務器位置及CA的CGI命令接口腳本位置,格式為http://server_location/ca_script_location。其中,server_location目前僅支持IP地址的表示方式,不支持域名解析,ca_script_location是CA在服務器主機上的應用程序腳本的路徑。
【描述】
certificate request url命令用來配置設備通過SCEP進行證書申請的注冊機構服務器的URL。undo certificate request url命令用來刪除證書申請服務器的URL。
缺省情況下,未指定注冊服務器的URL。
【舉例】
# 指定注冊服務器的URL。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] certificate request url http://169.254.0.100/certsrv/mscep/mscep.dll
【命令】
common-name name
undo common-name
【視圖】
PKI實體視圖
【缺省級別】
2:係統級
【參數】
name:實體的通用名稱,為1~31個字符的字符串,不區分大小寫,不能包含逗號。
【描述】
common-name命令用來配置實體的通用名,比如用戶名稱。undo common-name命令用來刪除實體的通用名。
缺省情況下,未指定實體通用名。
【舉例】
# 配置實體的通用名為test。
<Sysname> system-view
[Sysname] pki entity 1
[Sysname-pki-entity-1] common-name test
【命令】
country country-code-str
undo country
【視圖】
PKI實體視圖
【缺省級別】
2:係統級
【參數】
country-code-str:兩字符國家代碼,不區分大小寫。
【描述】
country命令用來指定實體所屬的國家代碼,代碼用標準的兩字符代碼,例如中國為“CN”。undo country命令用來刪除實體所屬的國家代碼。
缺省情況下,未指定實體所屬國家代碼。
【舉例】
# 配置實體所屬的國家代碼為CN。
<Sysname> system-view
[Sysname] pki entity 1
[Sysname-pki-entity-1] country CN
【命令】
crl check { disable | enable }
【視圖】
PKI域視圖
【缺省級別】
2:係統級
【參數】
disable:禁止CRL檢查。
enable:使能CRL檢查。
【描述】
crl check命令用來使能或者禁止CRL檢查。
缺省情況下,CRL檢查處於開啟狀態。
CRL是由CA簽發的文件,其中包含所有被CA廢除的證書列表,表明某些證書已被廢除。廢除有可能發生在證書有效期結束之前。CRL檢查的目的是查看實體的證書是否被CA廢除,若檢查結果表明實體證書已被廢除,那麼該證書就不再被其他實體信任。
【舉例】
# 禁止CRL檢查。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] crl check disable
【命令】
crl update-period hours
undo crl update-period
【視圖】
PKI域視圖
【缺省級別】
2:係統級
【參數】
hours:指定更新周期,取值範圍為1~720,單位為小時。
【描述】
crl update-period命令用來指定CRL的更新周期。undo crl update-period命令用來恢複缺省情況。
缺省情況下,CRL的更新周期由CRL文件中的下次更新域決定。
CRL的更新周期是指使用證書的PKI實體從CRL存儲服務器下載CRL的時間間隔。
【舉例】
# 指定CRL的更新周期為20小時。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] crl update-period 20
【命令】
crl url url-string
undo crl url
【視圖】
PKI域視圖
【缺省級別】
2:係統級
【參數】
url-string:表示CRL的發布點URL,為1~127個字符的字符串,不區分大小寫。格式為ldap://server_location,或http://server_location,其中,server_location目前僅支持IP地址的表示方式,不支持域名解析。
【描述】
crl url命令用來設置CRL發布點的URL。undo crl url命令用來刪除該URL。
缺省情況下,未指定CRL發布點的URL。
需要注意的是,未配置CRL發布點的URL時,通過SCEP協議獲取CRL,該操作在獲取CA證書和本地證書之後進行。
【舉例】
# 指定CRL發布點的URL。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] crl url ldap://169.254.0.30
【命令】
display pki certificate { { ca | local } domain domain-name | request-status } [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
ca:顯示CA的證書。
local:顯示本地的證書。
domain-name:指定證書所在的PKI域,為1~15個字符的字符串。
request-status:顯示證書申請後的狀態。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display pki certificate命令用來顯示證書的內容或申請狀態。
相關配置可參考命令pki retrieval-certificate、pki domain和certificate request polling。
【舉例】
# 顯示本地證書。
<Sysname> display pki certificate local domain 1
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
10B7D4E3 00010000 0086
Signature Algorithm: md5WithRSAEncryption
Issuer:
C=CN
ST=Country A
L=City X
O=abc
OU=bjs
CN=new-ca
Validity
Not Before: Jan 13 08:57:21 2012 GMT
Not After : Jan 20 09:07:21 2012 GMT
Subject:
C=CN
ST=Country B
L=City Y
CN=pki test
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (512 bit)
Modulus (512 bit):
00D41D1F …
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
DNS:hyf.xxyyzz.net
X509v3 CRL Distribution Points:
URI:http://1.1.1.1:447/myca.crl
… …
Signature Algorithm: md5WithRSAEncryption
A3A5A447 4D08387D …
表1-1 display pki certificate命令顯示信息描述表
|
字段 |
描述 |
|
Version |
證書版本號 |
|
Serial Number |
證書序列號 |
|
Signature Algorithm |
簽名算法 |
|
Issuer |
證書頒發者 |
|
Validity |
證書有效期 |
|
Subject |
證書申請實體 |
|
Subject Public Key Info |
申請實體公鑰信息 |
|
X509v3 extensions |
X509版本3格式證書擴展屬性 |
|
X509v3 CRL Distribution Points |
X509版本3格式CRL發布點 |
【命令】
display pki certificate access-control-policy { policy-name | all } [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
policy-name:指定證書屬性訪問控製策略名,為1~16個字符的字符串。
all:所有證書屬性訪問控製策略。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display pki certificate access-control-policy命令用來顯示證書屬性訪問控製策略信息。
【舉例】
# 顯示證書屬性訪問控製策略mypolicy的信息。
<Sysname> display pki certificate access-control-policy mypolicy
access-control-policy name: mypolicy
rule 1 deny mygroup1
rule 2 permit mygroup2
表1-2 display pki certificate access-control-policy命令顯示信息描述表
|
字段 |
描述 |
|
access-control-policy |
證書屬性的訪問控製策略名 |
|
rule number |
控製規則編號 |
【命令】
display pki certificate attribute-group { group-name | all } [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
group-name:指定證書屬性組名,為1~16個字符的字符串。
all:所有證書屬性組。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display pki certificate attribute-group命令用來顯示證書屬性組的信息。
【舉例】
# 顯示證書屬性組mygroup的信息。
<Sysname> display pki certificate attribute-group mygroup
attribute group name: mygroup
attribute 1 subject-name dn ctn abc
attribute 2 issuer-name fqdn nctn app
表1-3 display pki certificate attribute-group命令顯示信息描述表
|
字段 |
描述 |
|
attribute group name |
證書屬性組名稱 |
|
attribute number |
屬性規則編號 |
|
subject-name |
證書主題名 |
|
dn |
實體的DN |
|
ctn |
表示包含操作 |
|
abc |
屬性規則1的證書屬性值 |
|
issuer-name |
證書頒發者名 |
|
fqdn |
實體的FQDN |
|
nctn |
表示不包含操作 |
|
app |
屬性規則2的證書屬性值 |
【命令】
display pki crl domain domain-name [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
domain-name:指定證書所在的PKI域,為1~15個字符的字符串。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display pki crl domain命令用來顯示存儲在本地的CRL。
相關配置可參考命令pki retrieval-crl和pki domain。
【舉例】
# 顯示CRL。
<Sysname> display pki crl domain 1
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer:
C=CN
O=abc
OU=soft
CN=A Test Root
Last Update: Jan 5 08:44:19 2012 GMT
Next Update: Jan 5 21:42:13 2012 GMT
CRL extensions:
X509v3 Authority Key Identifier:
keyid:0F71448E E075CAB8 ADDB3A12 0B747387 45D612EC
Revoked Certificates:
Serial Number: 05a234448E…
Revocation Date: Feb 6 12:33:22 2012 GMT
CRL entry extensions:……
Serial Number: 05a278445E…
Revocation Date: Feb 7 12:33:22 2012 GMT
CRL entry extensions:…
表1-4 display pki crl domain顯示信息描述表
|
字段 |
描述 |
|
Version |
CRL版本號 |
|
Signature Algorithm |
CRL采用的簽名算法 |
|
Issuer |
頒發該CRL的CA |
|
Last Update |
上次更新時間 |
|
Next Update |
下次更新時間 |
|
CRL extensions |
CRL擴展屬性 |
|
X509v3 Authority Key Identifier |
發布該無效證書的CA的標識符,證書版本為X509v3 |
|
keyid |
公鑰標識符 一個CA可能有多個密鑰對,該字段用於標識該CRL的簽名使用哪個密鑰對 |
|
Revoked Certificates |
撤銷的證書 |
|
Serial Number |
撤銷證書的序列號 |
|
Revocation Date |
撤銷日期 |
【命令】
fqdn name-str
undo fqdn
【視圖】
PKI實體視圖
【缺省級別】
2:係統級
【參數】
name-str:實體的FQDN,為1~127個字符的字符串,不區分大小寫。
【描述】
fqdn命令用來配置實體的FQDN。undo fqdn命令用來刪除實體的FQDN。
缺省情況下,未指定實體FQDN。
FQDN是實體在網絡中的唯一標識,由一個主機名和域名組成,可被解析為IP地址。
【舉例】
# 配置實體的FQDN為pki.domain-name.com。
<Sysname> system-view
[Sysname] pki entity 1
[Sysname-pki-entity-1] fqdn pki.domain-name.com
【命令】
ip ip-address
undo ip
【視圖】
PKI實體視圖
【缺省級別】
2:係統級
【參數】
ip-address:實體的IP地址。
【描述】
ip命令用來配置實體的IP地址。undo ip命令用來刪除實體的IP地址。
缺省情況下,未指定實體IP地址。
【舉例】
# 配置實體的IP地址為11.0.0.1。
<Sysname> system-view
[Sysname] pki entity 1
[Sysname-pki-entity-1] ip 11.0.0.1
【命令】
ldap-server ip ip-address [ port port-number ] [ version version-number ]
undo ldap-server
【視圖】
PKI域視圖
【缺省級別】
2:係統級
【參數】
ip-address:LDAP服務器的IP地址,為點分十進製格式。
port-number:LDAP服務器的端口號,取值範圍為1~65535,缺省值為389。
version-number:LDAP版本號,取值範圍為2~3,缺省值為2。
【描述】
ldap-server命令用來配置LDAP服務器。undo ldap-server命令用來刪除指定的LDAP服務器。
缺省情況下,未指定LDAP服務器。
【舉例】
# 指定LDAP服務器的位置。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] ldap-server ip 169.254.0.30
【命令】
locality locality-name
undo locality
【視圖】
PKI實體視圖
【缺省級別】
2:係統級
【參數】
locality-name:地理區域的名稱,為1~31個字符的字符串,不區分大小寫,不能包含逗號。
【描述】
locality命令用來配置實體所在的地理區域名稱,比如城市名稱。undo locality命令用來刪除實體所在的地理區域的名稱。
缺省情況下,未指定實體所在地理區域。
【舉例】
# 配置實體所在地理區域名稱為city。
<Sysname> system-view
[Sysname] pki entity 1
[Sysname-pki-entity-1] locality city
【命令】
organization org-name
undo organization
【視圖】
PKI實體視圖
【缺省級別】
2:係統級
【參數】
org-name:組織名稱,為1~31個字符的字符串,不區分大小寫,不能包含逗號。
【描述】
organization命令用來配置實體所屬組織的名稱。undo organization命令用來刪除實體所屬組織的名稱。
缺省情況下,未指定實體所屬組織。
【舉例】
# 配置實體所屬組織名稱為test-lab。
<Sysname> system-view
[Sysname] pki entity 1
[Sysname-pki-entity-1] organization test-lab
【命令】
organization-unit org-unit-name
undo organization-unit
【視圖】
PKI實體視圖
【缺省級別】
2:係統級
【參數】
org-unit-name:組織部門的名稱,為1~31個字符的字符串,不區分大小寫,不能包含逗號。使用該參數在同一個單位內區分不同的部門。
【描述】
organization-unit命令用來指定實體所屬的組織部門的名稱。undo organization-unit命令用來刪除實體所屬的組織部門的名稱。
缺省情況下,未指定實體所屬部門。
【舉例】
# 配置實體所屬組織部門名稱為group1。
<Sysname> system-view
[Sysname] pki entity 1
[Sysname-pki-entity-1] organization-unit group1
【命令】
pki certificate access-control-policy policy-name
undo pki certificate access-control-policy { policy-name | all }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
policy-name:表示證書屬性的訪問控製策略名稱,為1~16個字符的字符串,不區分大小寫,不能是“a”、“al”和“all”。
all:表示所有證書屬性的訪問控製策略。
【描述】
pki certificate access-control-policy命令用來創建證書屬性訪問控製策略,並進入證書屬性訪問控製策略視圖。undo pki certificate access-control-policy命令用來刪除一個或者所有證書屬性訪問控製策略。
缺省情況下,不存在證書屬性訪問控製策略。
【舉例】
# 配置一個名稱為mypolicy的訪問控製策略,並進入證書屬性訪問控製策略視圖。
<Sysname> system-view
[Sysname] pki certificate access-control-policy mypolicy
[Sysname-pki-cert-acp-mypolicy]
【命令】
pki certificate attribute-group group-name
undo pki certificate attribute-group { group-name | all }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
group-name:證書屬性組名稱,為1~16個字符的字符串,不區分大小寫,不能是“a”、“al”和“all”。
all:表示所有屬性組。
【描述】
pki certificate attribute-group命令用來創建證書屬性組並進入證書屬性組視圖。undo pki certificate attribute-group命令用來刪除一個或者所有證書屬性組。
缺省情況下,不存在證書屬性組。
【舉例】
# 創建一個名為mygroup的證書屬性組,並進入證書屬性組視圖。
<Sysname> system-view
[Sysname] pki certificate attribute-group mygroup
[Sysname-pki-cert-attribute-group-mygroup]
【命令】
pki delete-certificate { ca | local } domain domain-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
ca:表示刪除存儲在本地的CA證書。
local:表示刪除存儲在本地的本地證書。
domain-name:指定待刪除證書所在的PKI域,為1~15個字符的字符串。
【描述】
pki delete-certificate命令用來刪除本地存儲的指定PKI域的證書。
【舉例】
# 刪除PKI域cer中的本地證書。
<Sysname> system-view
[Sysname] pki delete-certificate local domain cer
【命令】
pki domain domain-name
undo pki domain domain-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
domain-name:指定一個PKI域名,為1~15個字符的字符串,不區分大小寫。
【描述】
pki domain命令用來創建PKI域,並進入PKI域視圖。如果指定的PKI域已存在,則直接進入其視圖。undo pki domain命令用來刪除指定的PKI域。
缺省情況下,不存在PKI域。
【舉例】
# 創建PKI域並進入其視圖。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1]
【命令】
pki entity entity-name
undo pki entity entity-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
entity-name:實體名,為1~15個字符的字符串,不區分大小寫。
【描述】
pki entity命令用來配置實體名稱,並進入該實體視圖。undo pki entity命令用來刪除此實體的名稱及其實體命名空間下的所有配置。
缺省情況下,無實體存在。
在PKI實體視圖下可配置實體的各種屬性值。entity-name隻是用來方便被其他命令引用,不用於證書的相關字段。
【舉例】
# 配置實體名稱為en,並進入該實體視圖。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en]
【命令】
pki import-certificate { ca | local } domain domain-name { der | p12 | pem } [ filename filename ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
ca:表示CA證書。
local:表示本地證書。
domain-name:證書所在的PKI域,為1~15個字符的字符串。
der:指定證書文件格式為DER編碼。
p12:指定證書文件格式為P12編碼。
pem:指定證書文件格式為PEM編碼。
filename filename:證書的文件名,為1~127個字符的字符串,不區分大小寫。若不指定該參數,則為獲取證書時默認保存的文件名,即domain-name_ca.cer或者domain-name_local.cer。
【描述】
pki import-certificate命令用來將已有的CA證書或本地證書導入到本地保存。
相關配置可參考命令pki domain。
【舉例】
# 導入PKI域cer中的CA證書,證書文件格式為PEM編碼。
<Sysname> system-view
[Sysname] pki import-certificate ca domain cer pem
【命令】
pki request-certificate domain domain-name [ password ] [ pkcs10 [ filename filename ] ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
domain-name:包含證書申請中CA或RA等信息的PKI域名,為1~15個字符的字符串。
password:在證書撤銷時需要提供的密碼,為1~31個字符的字符串,區分大小寫。
pkcs10:在終端上顯示出BASE64編碼的PKCS#10證書申請信息,該信息可用於帶外方式(如電話、磁盤、電子郵件等)的證書請求。
filename filename:將PKCS#10證書申請信息保存到本地的文件中。其中,filename表示保存證書申請信息的文件名,為1~127個字符的字符串,不區分大小寫。
【描述】
pki request-certificate domain命令用來通過SCEP協議向CA申請本地證書。
當SCEP出現異常無法正常通信時,可以通過執行指定參數pkcs10的本命令打印出本地的證書申請信息(BASE64格式),或者通過執行指定pkcs10 filename filename參數的本命令將證書申請信息直接保存到本地的指定文件中,然後通過帶外方式將這些本地證書申請信息發送給CA進行證書申請。
此命令不會被保存在配置文件中。
相關配置可參考命令pki domain。
【舉例】
# 手工申請證書,並在終端上顯示PKCS#10證書請求。
<Sysname> system-view
[Sysname] pki request-certificate domain 1 pkcs10
-----BEGIN CERTIFICATE REQUEST-----
MIIBTDCBtgIBADANMQswCQYDVQQDEwJqajCBnzANBgkqhkiG9w0BAQEFAAOBjQAw
gYkCgYEAw5Drj8ofs9THA4ezkDcQPBy8pvH1kumampPsJmx8sGG52NFtbrDTnTT5
ALx3LJijB3d/ndKpcHT/DfbJVDCn5gdw32tBZyCkEwMHZN3ol2z7Nvdu5TED6iN8
4m+hfp1QWoV6lty3o9pxAXuQl8peUDcfN6WV3LBXYyl1WCtkLkECAwEAAaAAMA0G
CSqGSIb3DQEBBAUAA4GBAA8E7BaIdmT6NVCZgv/I/1tqZH3TS4e4H9Qo5NiCKiEw
R8owVmA0XVtGMbyqBNcDTG0f5NbHrXZQT5+MbFJOnm5K/mn1ro5TJKMTKV46PlCZ
JUjsugaY02GBY0BVcylpC9iIXLuXNIqjh1MBIqVsa1lQOHS7YMvnop6hXAQlkM4c
-----END CERTIFICATE REQUEST-----
【命令】
pki retrieval-certificate { ca | local } domain domain-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
ca:表示下載CA證書。
local:表示下載本地證書。
domain-name:包含證書申請中CA或RA等信息的域名,為1~15個字符的字符串。
【描述】
pki retrieval-certificate命令用來從證書發布服務器上在線獲取證書並下載至本地。
成功獲取到本地的證書將被默認保存在設備的根目錄下,文件名稱為domain-name_ca.cer或者domain-name_local.cer。
相關配置可參考命令pki domain。
【舉例】
# 從證書發布服務器上下載CA證書。
<Sysname> system-view
[Sysname] pki retrieval-certificate ca domain 1
【命令】
pki retrieval-crl domain domain-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
domain-name:包含證書申請中CA或RA等信息的域名,為1~15個字符的字符串。
【描述】
pki retrieval-crl domain命令用來從CRL發布服務器上獲取最新的CRL。
下載CRL的目的是驗證當前證書的合法性。
相關配置請參考命令pki domain。
【舉例】
# 從CRL發布服務器上獲取CRL。
<Sysname> system-view
[Sysname] pki retrieval-crl domain 1
【命令】
pki validate-certificate { ca | local } domain domain-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
ca:表示驗證CA證書。
local:表示驗證本地證書。
domain-name:指明待驗證證書所在的域,為1~15個字符的字符串。
【描述】
pki validate-certificate命令用來檢查證書的有效性。
證書驗證的核心就是檢查CA在證書上的簽名,並確定證書仍在有效期內,而且未被廢除。
相關配置可參考命令pki domain。
【舉例】
# 檢查本地證書的有效性。
<Sysname> system-view
[Sysname] pki validate-certificate local domain 1
【命令】
root-certificate fingerprint { md5 | sha1 } string
undo root-certificate fingerprint
【視圖】
PKI域視圖
【缺省級別】
2:係統級
【參數】
md5:使用MD5指紋。
sha1:使用SHA1指紋。
string:指定所使用的指紋。當選擇MD5指紋時,string必須為32個字符,並且以16進製的形式輸入;當選擇SHA1指紋時,string必須為40個字符,並且以16進製的形式輸入。
【描述】
root-certificate fingerprint命令用來配置驗證CA根證書時所使用的指紋。undo root-certificate fingerprint命令用來取消配置的指紋。
缺省情況下,未指定驗證CA根證書時使用的指紋。
【舉例】
# 配置驗證CA根證書時使用的MD5指紋。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] root-certificate fingerprint md5 12EF53FA355CD23E12EF53FA355CD23E
# 配置驗證CA根證書時使用的SHA1指紋。
[Sysname-pki-domain-1] root-certificate fingerprint sha1 D1526110AAD7527FB093ED7FC037B0B3CDDDAD93
【命令】
rule [ id ] { deny | permit } group-name
undo rule { id | all }
【視圖】
證書屬性的訪問控製策略視圖
【缺省級別】
2:係統級
【參數】
id:證書屬性訪問控製規則編號,取值範圍為1~16,缺省值為1~16中未被使用的最小的編號。
deny:當證書的屬性與屬性組裏定義的屬性匹配時,認為該證書無效,訪問控製策略檢測不通過。
permit:當證書的屬性與屬性組裏定義的屬性匹配時,認為該證書有效,訪問控製策略檢測通過。
group-name:規則所關聯的證書屬性組名稱,為1~16個字符的字符串,不區分大小寫,不能是“a”、“al”和“all”。
all:所有控製規則。
【描述】
rule命令用來創建證書屬性的訪問控製規則。undo rule命令用來刪除指定或者所有訪問控製規則。
缺省情況下,不存在證書屬性的訪問控製規則。
需要注意的是,規則所關聯的證書屬性組必須已經存在。
【舉例】
# 創建一個訪問控製規則,該規則表示,當證書與mygroup證書屬性組匹配時,認為該證書有效,訪問控製策略檢測通過。
<Sysname> system-view
[Sysname] pki certificate access-control-policy mypolicy
[Sysname-pki-cert-acp-mypolicy] rule 1 permit mygroup
【命令】
state state-name
undo state
【視圖】
PKI實體視圖
【缺省級別】
2:係統級
【參數】
state-name:州或省的名稱,為1~31個字符的字符串,不區分大小寫,不能包含逗號。
【描述】
state命令用來配置實體所屬的州或省的名稱。undo state命令用來刪除所屬的州或省的名稱。
缺省情況下,未指定實體所在州或省。
【舉例】
# 配置實體所在省為country。
<Sysname> system-view
[Sysname] pki entity 1
[Sysname-pki-entity-1] state country
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
