- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
24-keychain命令
本章節下載: 24-keychain命令 (176.94 KB)
accept-lifetime utc命令用來配置用於報文接收的key的絕對時間模式的生命周期。
undo accept-lifetime命令用來恢複缺省情況。
【命令】
accept-lifetime utc start-time start-date { duration { duration-value | infinite } | to end-time end-date }
undo accept-lifetime
【缺省情況】
未配置用於報文接收的key的生命周期。
【視圖】
key視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
start-time:開始時間,格式為HH:MM:SS(小時:分鍾:秒),HH取值範圍為0~23,MM和SS取值範圍為0~59。
start-date:開始日期,格式為MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日),MM的取值範圍為1~12,DD的取值範圍與月份有關,YYYY的取值範圍為2000~2035。
duration duration-value:指定key的生命周期從設置的start-time和start-date開始所持續時間,取值範圍為1~2147483646,單位為秒。
duration infinite:表示從設置的start-time和start-date開始,key永遠可以用來驗證接收的報文。
to:指定結束時間和日期。
end-time:結束時間,格式為HH:MM:SS(小時:分鍾:秒),HH取值範圍為0~23,MM和SS取值範圍為0~59。
end-date:結束日期,格式為MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日),MM的取值範圍為1~12,DD的取值範圍與月份有關,YYYY的取值範圍為2000~2035。
【使用指導】
隻有同時滿足如下條件的key,才是有效key,才可被應用程序用於對接收的報文進行校驗:
· 配置了認證密鑰
· 配置了認證算法
· 係統當前的絕對時間處於accept-lifetime utc指定的時間範圍內
如果應用程序接收到的報文中攜帶key-id信息,且該key-id對應的key是有效的,則使用該key對接收到的報文進行校驗;否則,應用程序將使用當前keychain中所有的有效key對接收到的報文進行校驗,如果接收到的報文無法通過任何一個有效key的校驗,則報文校驗失敗。
應用程序可以使用多個有效key對接收到的報文進行校驗。
【舉例】
# 在工作於絕對時間模式的keychain abc中,配置用來校驗接收報文時key 1的生命周期。
<Sysname> system-view
[Sysname] keychain abc mode absolute
[Sysname-keychain-abc] key 1
[Sysname-keychain-abc-key-1] accept-lifetime utc 12:30 2015/1/21 to 18:30 2015/1/21
authentication-algorithm命令用來配置key的認證算法。
undo authentication-algorithm命令用來恢複缺省情況。
【命令】
authentication-algorithm { hmac-md5 | md5 }
undo authentication-algorithm
【缺省情況】
未配置key的認證算法。
【視圖】
key視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
hmac-md5:HMAC-MD5認證算法。
md5:MD5認證算法。
【使用指導】
如果應用程序不支持authentication-algorithm配置的認證算法,則無法使用該key進行報文校驗。
【舉例】
# 在工作於絕對時間模式的keychain abc中,配置key 1的認證算法為MD5。
<Sysname> system-view
[Sysname] keychain abc mode absolute
[Sysname-keychain-abc] key 1
[Sysname-keychain-abc-key-1] authentication-algorithm md5
display keychain命令用來顯示keychain的信息。
【命令】
display keychain [ name keychain-name [ key key-id ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
name keychain-name:keychain名稱,為1~63個字符的字符串,區分大小寫。如果不指定本參數,則顯示所有keychain的信息。
key key-id:key的標識符,取值範圍為0~281474976710655。如果不指定本參數,則顯示屬於某keychain的全部key的信息。
【舉例】
# 顯示keychain的信息。
<Sysname> display keychain
Keychain name : abc
Mode : absolute
Accept tolerance : 0
TCP kind value : 254
TCP algorithm value
HMAC-MD5 : 5
MD5 : 3
Default send key ID : None
Active send key ID : 1
Active accept key IDs: 1 2
Key ID : 1
Key string : $c$3$vuJpEX3Lah7xcSR2uqmrTK2IZQJZguJh3g==
Algorithm : md5
Send lifetime : 01:00:00 2015/01/22 to 01:00:00 2015/01/25
Send status : Active
Accept lifetime : 01:00:00 2015/01/22 to 01:00:00 2015/01/27
Accept status : Active
Key ID : 2
Key string : $c$3$vuJpEX3Lah7xcSR2uqmrTK2IZQJZguJh3g==
Algorithm : md5
Send lifetime : 01:00:01 2015/01/25 to 01:00:00 2015/01/27
Send status : Inactive
Accept lifetime : 01:00:00 2015/01/22 to 01:00:00 2015/01/27
Accept status : Active
表1-1 display keychain命令顯示信息描述表
|
字段 |
描述 |
|
Keychain name |
keychain名稱 |
|
Mode |
keychain的時間模式: absolute:絕對時間模式 |
|
Accept tolerance |
key在報文接收時的容忍度 |
|
TCP kind value |
TCP增強認證選項中的類型值。缺省情況下為254 |
|
TCP algorithm value |
TCP認證算法所對應的算法ID。缺省情況下,HMAC-MD5對應的算法ID為5,MD5對應的算法ID為3 |
|
Default send key ID |
(暫不支持)缺省發送key的ID、以及缺省發送key的狀態 |
|
Active send key ID |
用於對發送報文進行校驗的有效key |
|
Active accept key IDs |
用於對接收報文進行校驗的有效key |
|
Key ID |
key的標識符 |
|
Key string |
key的認證密鑰(密文形式) |
|
Algorithm |
key的認證算法: · hmac-md5:HMAC-MD5認證算法 · md5:MD5認證算法 |
|
Send lifetime |
配置用來校驗發送報文時key的生命周期 |
|
Send status |
用於對發送報文進行校驗的key的是否有效: · Active:用於對發送報文進行校驗的key有效 · Inactive:用於對發送報文進行校驗的key無效 |
|
Accept lifetime |
配置用來校驗接收報文時key的生命周期 |
|
Accept status |
用於對接收報文進行校驗的key是否有效: · Active:用於對接收報文進行校驗的key有效 · Inactive:用於對接收報文進行校驗的key無效 |
key命令用來創建一個key,並進入key視圖。如果指定的key已經存在,則直接進入key視圖。
undo key命令用來刪除指定的key及key視圖下的所有配置。
【命令】
key key-id
undo key key-id
【缺省情況】
不存在key。
【視圖】
keychain視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
key-id:key的標識符,取值範圍為0~281474976710655。
【使用指導】
一個keychain下可以配置多個key,各個key必須指定不同的key-id。
【舉例】
# 創建標識符為1的key,並進入key視圖。
<Sysname> system-view
[Sysname] keychain abc mode absolute
[Sysname-keychain-abc] key 1
[Sysname-keychain-abc-key-1]
key-string命令用來配置key的認證密鑰。
undo key-string命令用來恢複缺省情況。
【命令】
key-string { cipher | plain } string
undo key-string
【缺省情況】
未配置key的認證密鑰。
【視圖】
key視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
cipher:以密文方式設置密鑰。
plain:以明文方式設置密鑰,該密碼將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~255個字符的字符串,密文密鑰為33~373個字符的字符串。
【使用指導】
key的認證密鑰的明文長度有可能會超出應用程序支持的範圍,這種情況下應用程序需要截取自己支持的長度範圍的明文密鑰來對報文進行校驗。
【舉例】
# 在key視圖下,以明文形式設置key 1的密鑰為123456。
<Sysname> system-view
[Sysname] keychain abc mode absolute
[Sysname-keychain-abc] key 1
[Sysname-keychain-abc-key-1] key-string plain 123456
keychain命令用來創建一個keychain,並進入keychain視圖。如果指定的keychain已經存在,則直接進入keychain視圖。
undo keychain命令用來刪除指定的keychain及keychain視圖下的所有配置。
【命令】
keychain keychain-name [ mode absolute ]
undo keychain keychain-name
【缺省情況】
不存在keychain。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
keychain-name:keychain名,為1~63個字符的字符串,區分大小寫。
mode:keychain工作的時間模式。
absolute:絕對時間模式。該模式的keychain中,key的生命周期是從指定的起始日期、時間到指定的結束日期、時間,各個日期和時間都是UTC(UTC,Coordinated Universal Time,國際協調時間)絕對時間,不受係統的時區和夏令時的影響。
【使用指導】
創建keychain時必須指定其工作的時間模式。對於已存在的keychain,不可修改其工作的時間模式。進入已存在的keychain視圖時可以不指定其工作的時間模式。
【舉例】
# 創建名為abc的keychain,指定其工作在絕對時間模式下,並進入keychain視圖。
<Sysname> system-view
[Sysname] keychain abc mode absolute
[Sysname-keychain-abc]
send-lifetime utc命令用來配置用於報文發送的key的絕對時間模式的生命周期。
undo send-lifetime命令用來恢複缺省情況。
【命令】
send-lifetime utc start-time start-date { duration { duration-value | infinite } | to end-time end-date }
undo send-lifetime
【缺省情況】
未配置用於報文發送的key的生命周期。
【視圖】
key視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
start-time:開始時間,格式為HH:MM:SS(小時:分鍾:秒),HH取值範圍為0~23,MM和SS取值範圍為0~59。
start-date:開始日期,格式為MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日),MM的取值範圍為1~12,DD的取值範圍與月份有關,YYYY的取值範圍為2000~2035。
duration duration-value:指定key的生命周期從設置的start-time和start-date開始所持續時間,取值範圍為1~2147483646,單位為秒。
duration infinite:表示從設置的start-time和start-date開始,key永遠可以用來驗證發送的報文。
to:指定結束時間和日期。
end-time:結束時間,格式為HH:MM:SS(小時:分鍾:秒),HH取值範圍為0~23,MM和SS取值範圍為0~59。
end-date:結束日期,格式為MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日),MM的取值範圍為1~12,DD的取值範圍與月份有關,YYYY的取值範圍為2000~2035。
【使用指導】
隻有同時滿足如下條件的key,才是有效key,才可被應用程序用於對發送的報文進行校驗:
· 配置了認證密鑰
· 配置了認證算法
· 係統當前的絕對時間處於send-lifetime utc指定的時間範圍內
同一個keychain內的各個key使用send-lifetime utc指定的生命周期不可重疊,以確保在同一時刻,應用程序隻使用一個key對發送的報文進行校驗。
【舉例】
# 在工作於絕對時間模式的keychain abc下,配置用來校驗發送報文時key 1的生命周期。
<Sysname> system-view
[Sysname] keychain abc mode absolute
[Sysname-keychain-abc] key 1
[Sysname-keychain-abc-key-1] send-lifetime utc 12:30 2015/1/21 to 18:30 2015/1/21
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
