李蓉蓉 麻豆 H3C SR6600
李蓉蓉 麻豆
1.1 PKI成就号召 1.1.1 attributeattribute号召用来成就属性规矩,用于凭证文凭的颁发者名、主落款以及备用主落款来过滤文凭。
undo attribute号召用来删除文凭属性规矩。
【号召】
attribute id { alt-subject-name { fqdn | ip } | { issuer-name | subject-name } { dn | fqdn | ip } } { ctn | equ | nctn | nequ } attribute-value
undo attribute id
【缺省情况】
不存在属性规矩,即对文凭的颁发者名、主落款以及备用主落款莫得限定。
【视图】
文凭属性组视图
【缺省用户扮装】
network-admin
【参数】
id:文凭属性规矩序号,取值范围为1~16。
alt-subject-name:暗意文凭备用主落款(Subject Alternative Name)。
fqdn:指定实体的FQDN。
ip:指定实体的IP地址。
dn:指定实体的DN。
issuer-name:暗意文凭颁发者名(Issuer Name)。
subject-name:暗意文凭主落款(Subject Name)。
ctn:暗意包含操作。
equ:暗意相配操作。
nctn:暗意不包含操作。
nequ:暗意不等操作。
attribute-value:指定文凭属性值,为1~255个字符的字符串,不折柳大小写。
【使用带领】
各文凭属性中可包含的属性域个数有所不同:
· 主落款和颁发者名中均只可包含一个DN,但是均不错同期包含多个FQDN和IP;
· 备用主落款中不成包含DN,但是不错同期包含多个FQDN和IP。
不同类型的文凭属性域与操作关节字的组合代表了不同的匹配条目,具体如下表所示:
表1-1 对文凭属性域的操作涵义
操作
DN
FQDN/IP
ctn
DN中包含指定的属性值
随心一个FQDN/IP中包含了指定的属性值
nctn
DN中不包含指定的属性值
通盘FQDN/IP中均不包含指定的属性值
equ
DN等于指定的属性值
随心一个FQDN/IP等于指定的属性值
nequ
DN不等于指定的属性值
通盘FQDN/IP均不等于指定的属性值
要是文凭的相应属性中包含了属性规矩里指定的属性域,且骄横属性规矩中界说的匹配条目,则以为该属性与属性规矩相匹配。例如:属性规矩2中界说,文凭的主落款DN中包含字符串abc。要是某文凭的主落款的DN中如实包含了字符串abc,则以为该文凭的主落款与属性规矩2匹配。
只须文凭中的相应属性与某属性组中的通盘属性规矩皆匹配上,才以为该文凭与此属性组匹配。要是文凭中的某属性中莫得包含属性规矩中指定的属性域,或者不骄横属性规矩中的匹配条目,则以为该文凭与此属性组不匹配。
【例如】
# 创建一个名为mygroup的文凭属性组,并参加文凭属性组视图。
<Sysname> system-view
[Sysname] pki certificate attribute-group mygroup
# 创建文凭属性规矩1,界说文凭主落款中的DN包含字符串abc。
[Sysname-pki-cert-attribute-group-mygroup] attribute 1 subject-name dn ctn abc
# 创建文凭属性规矩2,界说文凭颁发者名中的FQDN不等于字符串abc。
[Sysname-pki-cert-attribute-group-mygroup] attribute 2 issuer-name fqdn nequ abc
# 创建文凭属性规矩3,界说文凭主题备用名中的IP地址不等于10.0.0.1。
[Sysname-pki-cert-attribute-group-mygroup] attribute 3 alt-subject-name ip nequ 10.0.0.1
【策动号召】
· display pki certificate attribute-group
· rule
1.1.2 ca identifierca identifier号召用来指定汲引信任的CA的称呼。
undo ca identifier号召用来删除汲引信任的CA。
【号召】
ca identifier name
undo ca identifier
【缺省情况】
未指定汲引信任的CA。
【视图】
PKI视图
【缺省用户扮装】
network-admin
【参数】
name:汲引信任的CA的称呼,为1~63个字符的字符串,折柳大小写。
【使用带领】
获取CA文凭时,必须指定信任的CA的称呼,这个称呼会被算作SCEP音尘的一部分发送给CA做事器。但是一般情况下,CA做事器会忽略收到的SCEP音尘中的CA称呼的具体内容。但是要是在消释台做事器上成就了两个CA,且它们的URL是相同的,则做事器将凭证SCEP音尘中的CA称呼聘请对应的CA。因此,使用此号召指定的CA称呼必须与但愿获取的CA文凭对应的CA称呼一致。
【例如】
# 指定汲引信任的CA的称呼为new-ca。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] ca identifier new-ca
1.1.3 certificate request entitycertificate request entity号召用来指定用于苦求文凭的PKI实体称呼。
undo certificate request entity号召用来取消用于苦求文凭的PKI实体称呼。
【号召】
certificate request entity entity-name
undo certificate request entity
【缺省情况】
未指定汲引苦求文凭所使用的PKI实体称呼。
【视图】
PKI域视图
【缺省用户扮装】
network-admin
【参数】
entity-name:用于苦求文凭的PKI实体的称呼,为1~31个字符的字符串,不折柳大小写。
【使用带领】
本号召用于在PKI域中指定苦求文凭的PKI实体。PKI实体形色了苦求文凭的实体的多样属性(通用名、组织部门、组织、地舆区域、省、国度、FQDN、IP),这些属性用于形色PKI实体的身份信息。
一个PKI域中只可指定一个PKI实体名,新成就的PKI实体名会粉饰已有的PKI实体名。
【例如】
# 指定苦求文凭的PKI实体的称呼为en1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request entity en1
【策动号召】
· pki entity
1.1.4 certificate request fromcertificate request from号召用来成就文凭苦求的注册受理机构。
undo certificate request from号召用来删除指定的文凭苦求注册受理机构。
【号召】
certificate request from { ca | ra }
undo certificate request from
【缺省情况】
未指定文凭苦求的注册受理机构。
【视图】
PKI域视图
【缺省用户扮装】
network-admin
【参数】
ca:暗意实体从CA苦求文凭。
ra:暗意实体从RA苦求文凭。
【使用带领】
聘请从CA如故RA苦求文凭,由CA做事器决定,需要了解CA做事器上由什么机构来受理文凭苦求。
推选使用孤独运行的RA算作注册受理机构。
【例如】
# 指定实体从RA苦求文凭。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request from ra
1.1.5 certificate request modecertificate request mode号召用来成就文凭苦求方式。
undo certificate request mode号召用来还原缺省情况。
【号召】
certificate request mode { auto [ password { cipher | simple } password ] | manual }
undo certificate request mode
【缺省情况】
文凭苦求方式为手工方式。
【视图】
PKI域视图
【缺省用户扮装】
network-admin
【参数】
auto:暗意用自动方式苦求文凭。
password:指定拆除文凭时使用的口令。
cipher:暗意以密文方式缔造口令。
simple:暗意以明文方式缔造口令。
password:缔造的明文或密文口令,折柳大小写。明文口令为1~31个字符的字符串,密文口令为1~73个字符的字符串。
manual:暗意用手工方式苦求文凭。
【使用带领】
两种苦求方式皆属于在线苦求,具体情况如下:
· 要是是自动方式,则汲引会在与PKI域关联的运用(例如IKE)需要作念身份认证时,自动向文凭注册机构发起获取CA文凭和苦求腹地文凭的操作。自动方式下,不错指定拆除文凭时使用的口令,是否需要指定口令是由CA做事器的政策决定的。
· 要是为手工方式,则需要手工完成获取CA文凭、苦求腹地文凭的操作。
以明文或密文方式缔造的口令,均以密文的方式保存在成就文献中。
【例如】
# 指定文凭苦求方式为自动方式。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request mode auto
# 指定文凭苦求方式为自动方式,并缔造拆除文凭时使用的口令为明文123456。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request mode auto password simple 123456
【策动号召】
· pki request-certificate
1.1.6 certificate request pollingcertificate request polling号召用来成就文凭苦求现象的查询周期和最大次数。
undo certificate request polling号召用来还原缺省情况。
【号召】
certificate request polling { count count | interval minutes }
undo certificate request polling { count | interval }
【缺省情况】
文凭苦求现象的查询周期为20分钟,最多查询50次。
【视图】
PKI域视图
【缺省用户扮装】
network-admin
【参数】
count count:暗意文凭苦求现象的查询次数,取值范围为1~100。
interval minutes:暗意文凭苦求现象的查询周期,取值范围为5~168,单元为分钟。
【使用带领】
汲引发送文凭苦求后,要是CA做事器继承手工方式来签发文凭苦求,则不会坐窝反馈汲引的苦求。这种情况下,汲引通过按时向CA做事器发送现象查询音尘,梗概实时获取到被CA签发的文凭。CA签发文凭后,汲引将通过发送现象查询得到文凭,之后住手发送现象查询音尘。要是达到最大查询次数时,CA做事器仍未签发文凭,则汲引住手发送现象查询音尘,本次文凭苦求失败。
要是CA做事器继承自动签发文凭的方式,则汲引不错坐窝得到文凭,这种情况下汲引不会向CA做事器发送现象查询音尘。
【例如】
# 指定文凭苦求现象的查询周期为15分钟,最多查询40次。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request polling interval 15
[Sysname-pki-domain-aaa] certificate request polling count 40
【策动号召】
· display pki certificate request-status
1.1.7 certificate request urlcertificate request url号召用来成就实体通过SCEP进行文凭苦求的注册受理机构做事器的URL。
undo certificate request url号召用来删除指定的注册受理机构做事器的URL。
【号召】
certificate request url url-string [ vpn-instance vpn-instance-name ]
undo certificate request url
【缺省情况】
未指定注册受理机构做事器的URL。
【视图】
PKI域视图
【缺省用户扮装】
network-admin
【参数】
url-string:暗意文凭苦求的注册受理机构做事器的URL,为1~511个字符的字符串,折柳大小写。
vpn-instance vpn-instance-name:指定注册受理机构做事器所属的VPN。vpn-instance-name暗意MPLS L3VPN实例称呼,为1~31个字符的字符串,折柳大小写。若未指定本参数,则暗意该注册受理机构做事器属于公网。
【使用带领】
本号召成就的URL内容包括注册受理机构做事器的位置及CGI号召接口剧本位置,样式为_location/cgi_script_location。其中,server_location是做事器的地址,不错是IPv4地址、 IPv6地址和DNS域名,cgi_script_location是注册授权机构(CA或RA )在做事器主机上的运用门径剧本的旅途。
本色可输入的URL长度罢职令行允许输入的最大字符数限定。
【例如】
# 指定实体进行文凭苦求的注册受理机构做事器的URL为。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request url
# 指定实体向VPN中的注册受理机构做事器苦求文凭,该做事器的URL为,场所的MPLS L3VPN的实例称呼为vpn1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request url http:// mytest.net /certsrv/mscep/mscep.dll vpn-instance vpn1
1.1.8 common-namecommon-name号召用来成就PKI实体的通用名,比如用户称呼。
undo common-name号召用来删除成就的PKI实体的通用名。
【号召】
common-name common-name-sting
undo common-name
【缺省情况】
未成就PKI实体的通用名。
【视图】
PKI实体视图
【缺省用户扮装】
network-admin
【参数】
common-name-sting:PKI实体的通用称呼,为1~63个字符的字符串,折柳大小写,不成包含逗号。
【例如】
# 成就PKI实体en的通用名为test。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] common-name test
1.1.9 countrycountry号召用来成就PKI实体所属的国度代码。
undo country号召用来删除成就的PKI实体所属的国度代码。
【号召】
country country-code-string
undo country
【缺省情况】
未成就PKI实体所属的国度代码。
【视图】
PKI实体视图
【缺省用户扮装】
network-admin
【参数】
country-code-string:PKI实体所属的国度代码,为标准的两字符代码,折柳大小写,例如中国为CN。
【例如】
# 成就PKI实体en所属的国度代码为CN。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] country CN
1.1.10 crl checkcrl check enable号召用来使能CRL查验。
undo crl check enable号召用来谢却CRL查验。
【号召】
crl check enable
undo crl check enable
【缺省情况】
CRL查验处于使能现象。
【视图】
PKI域视图
【缺省用户扮装】
network-admin
【使用带领】
CRL(Certificate Revocation List,文凭废弃列表)是一个由CA签发的文献,该文献中包含被该CA拆除的通盘文凭的列表。一个文凭有可能在灵验期达到之前被CA拆除。使能CRL查验的标的是稽查汲引上的实体文凭或者行将要导入、获取到汲引上的实体文凭是否依然被CA拆除,若查验效果标明实体文凭已被拆除,那么该文凭就不被汲引信任。
【例如】
# 谢却CRL查验。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] undo crl check enable
【策动号召】
· pki import
· pki retrieve-certificate
· pki validate-certificate
1.1.11 crl urlcrl url号召用来缔造CRL发布点的URL。
undo crl url号召用来删除CRL发布点的URL。
【号召】
crl url url-string [ vpn-instance vpn-instance-name ]
undo crl url
【缺省情况】
未缔造CRL发布点的URL。
【视图】
PKI域视图
【缺省用户扮装】
network-admin
【参数】
url-string:暗意CRL发布点的URL,为1~511个字符的字符串,折柳大小写。样式为ldap://server_location或_location,其中server_location不错为IP地址和DNS域名。
vpn-instance vpn-instance-name:指定CRL发布点所属的VPN。vpn-instance-name暗意MPLS L3VPN实例称呼,为1~31个字符的字符串,折柳大小写。若未指定本参数,则暗意该CRL发布点属于公网。
【使用带领】
要是CRL查验处于使能现象,则进行CRL查验之前,需要领先从PKI域指定的CRL发布点获取CRL。若PKI域中未成就CRL发布点的URL时,从该待考证的文凭中获取发布点信息:优先获取待考证的文凭中纪录的发布点,要是待考证的文凭中莫得纪录发布点,则获取CA文凭中纪录的发布点(若待考证的文凭为CA文凭,则获取上一级CA文凭中纪录的发布点)。要是无法通过任何阶梯得到发布点,则通过SCEP公约获取CRL。
若成就了LDAP样式的CRL发布点URL,则暗意要通过LDAP公约获取CRL。若该URL中未佩带主机名,则需要凭证PKI域中成就的LDAP做事器地址信息来得到完满的LDAP发布点URL。
本色可输入的URL长度罢职令行允许输入的最大字符数限定。
【例如】
# 指定CRL发布点的URL为。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] crl url
# 指定CRL发布点的URL为ldap://169.254.0.30,场所的MPLS L3VPN的实例称呼为vpn1。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] crl url ldap://169.254.0.30 vpn-instance vpn1
【策动号召】
· ldap-server
· pki retrieve-crl
1.1.12 display pki certificate access-control-policydisplay pki certificate access-control-policy号召用来走漏文凭探问收敛政策的成就信息。
【号召】
display pki certificate access-control-policy [ policy-name ]
【视图】
随心视图
【缺省用户扮装】
network-admin
network-operator
【参数】
policy-name:指定文凭探问收敛政策称呼,为1~31个字符的字符串,不折柳大小写。
【使用带领】
若不指定文凭探问收敛政策的称呼,则走漏通盘文凭探问收敛政策的成就信息。
【例如】
# 走漏文凭探问收敛政策mypolicy的成就信息。
<Sysname> display pki certificate access-control-policy mypolicy
Access control policy name: mypolicy
Rule 1 deny mygroup1
Rule 2 permit mygroup2
# 走漏通盘文凭属性探问收敛政策的成就信息。
<Sysname> display pki certificate access-control-policy
Total PKI certificate access control policies: 2
Access control policy name: mypolicy1
Rule 1 deny mygroup1
Rule 2 permit mygroup2
Access control policy name: mypolicy2
Rule 1 deny mygroup3
Rule 2 permit mygroup4
表1-2 display pki certificate access-control-policy号召走漏信息形色表
字段
形色
Total PKI certificate access control policies
PKI文凭探问收敛政策的总额
Access control policy name
文凭探问收敛政策名
Rule number
探问收敛规矩编号
permit
当文凭的属性与属性组里界说的属性匹配时,以为该文凭灵验,通过了探问收敛政策的检测
deny
当文凭的属性与属性组里界说的属性匹配时,以为该文凭无效,未通过探问收敛政策的检测
【策动号召】
· pki certificate access-control-policy
· rule
1.1.13 display pki certificate attribute-groupdisplay pki certificate attribute-group号召用来走漏文凭属性组的成就信息。
【号召】
display pki certificate attribute-group [ group-name ]
【视图】
随心视图
【缺省用户扮装】
network-admin
network-operator
【参数】
group-name:指定文凭属性组名,为1~31个字符的字符串,不折柳大小写。
【使用带领】
若不指定文凭属性组的名字,则走漏通盘文凭属性组的成就信息。
【例如】
# 走漏文凭属性组mygroup的信息。
taylor swift ai换脸<Sysname> display pki certificate attribute-group mygroup
Attribute group name: mygroup
Attribute 1 subject-name dn ctn abc
Attribute 2 issuer-name fqdn nctn app
# 走漏通盘文凭属性组的信息。
<Sysname> display pki certificate attribute-group
Total PKI certificate attribute groups: 2.
Attribute group name: mygroup1
Attribute 1 subject-name dn ctn abc
Attribute 2 issuer-name fqdn nctn app
Attribute group name: mygroup2
Attribute 1 subject-name dn ctn def
Attribute 2 issuer-name fqdn nctn fqd
表1-3 display pki certificate attribute-group号召走漏信息形色表
字段
形色
Total PKI certificate attribute groups
PKI文凭属性组的总额
Attribute group name
文凭属性组称呼
Attribute number
属性规矩编号
subject-name
文凭主落款
alt-subject-name
文凭备用主落款
issuer-name
文凭颁发者名
dn
实体的DN
fqdn
实体的FQDN
ip
实体的IP地址
ctn
暗意包含操作
nctn
暗意不包含操作
equ
暗意等于操作
nequ
暗意不等操作
Attribute 1 subject-name dn ctn abc
属性规矩内容,包括以下参数:
· alt-subject-name:暗意文凭备用主落款
· issuer-name:暗意文凭颁发者名
· subject-name:暗意文凭主落款
· fqdn:暗意实体的FQDN
· ip:暗意实体的IP地址
· dn:暗意实体的DN
· ctn:暗意包含操作
· equ:暗意相配操作
· nctn:暗意不包含操作
· nequ:暗意不等操作
【策动号召】
· attribute
· pki certificate attribute-group
1.1.14 display pki certificate domaindisplay pki certificate domain号召用来走漏文凭的内容。
【号召】
display pki certificate domain domain-name { ca | local | peer [ serial serial-num ] }
【视图】
随心视图
【缺省用户扮装】
network-admin
network-operator
【参数】
domain-name:走漏指定文凭场所的PKI域的称呼,为1~31个字符的字符串,不折柳大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:走漏CA文凭。
local:走漏腹地文凭。
peer:走漏对端文凭。
serial serial-num:指定要走漏的对端文凭的序列号。
【使用带领】
· 走漏CA文凭时,会走漏此PKI域中通盘CA文凭的详备信息,若PKI域中存在RA文凭,则同期走漏RA文凭的详备信息。
· 走漏腹地文凭时,会走漏此PKI域中通盘腹地文凭的详备信息。
· 走漏对端文凭时,要是不指定序列号,将走漏通盘对端文凭的简要信息;要是指定序列号,将走漏该序号对应的指定对端文凭的详备信息。
【例如】
# 走漏PKI域aaa中的CA文凭。
<Sysname> display pki certificate domain aaa ca
Certificate:
Data:
Version: 1 (0x0)
Serial Number:
5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=cn, O=docm, OU=rnd, CN=rootca
Validity
Not Before: Jan 6 02:51:41 2011 GMT
Not After : Dec 7 03:12:05 2013 GMT
Subject: C=cn, O=ccc, OU=ppp, CN=rootca
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c4:fd:97:2c:51:36:df:4c:ea:e8:c8:70:66:f0:
28:98:ec:5a:ee:d7:35:af:86:c4:49:76:6e:dd:40:
4a:9e:8d:c0:cb:d9:10:9b:61:eb:0c:e0:22:ce:f6:
57:7c:bb:bb:1b:1d:b6:81:ad:90:77:3d:25:21:e6:
7e:11:0a:d8:1d:3c:8e:a4:17:1e:8c:38:da:97:f6:
6d:be:09:e3:5f:21:c5:a0:6f:27:4b:e3:fb:9f:cd:
c1:91:18:ff:16:ee:d8:cf:8c:e3:4c:a3:1b:08:5d:
84:7e:11:32:5f:1a:f8:35:25:c0:7e:10:bd:aa:0f:
52:db:7b:cd:5d:2b:66:5a:fb
Exponent: 65537 (0x10001)
Signature Algorithm: sha1WithRSAEncryption
6d:b1:4e:d7:ef:bb:1d:67:53:67:d0:8f:7c:96:1d:2a:03:98:
3b:48:41:08:a4:8f:a9:c1:98:e3:ac:7d:05:54:7c:34:d5:ee:
09:5a:11:e3:c8:7a:ab:3b:27:d7:62:a7:bb:bc:7e:12:5e:9e:
4c:1c:4a:9f:d7:89:ca:20:46:de:c5:b3:ce:36:ca:5e:6e:dc:
e7:c6:fe:3f:c5:38:dd:d5:a3:36:ad:f4:3d:e6:32:7f:48:df:
07:f0:a2:32:89:86:72:22:cd:ed:e5:0f:95:df:9c:75:71:e7:
fe:34:c5:a0:64:1c:f0:5c:e4:8f:d3:00:bd:fa:90:b6:64:d8:
88:a6
# 走漏PKI域aaa中的腹地文凭。
<Sysname> display pki certificate domain aaa local
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
bc:05:70:1f:0e:da:0d:10:16:1e
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=CN, O=sec, OU=software, CN=ipsec
Validity
Not Before: Jan 7 20:05:44 2011 GMT
Not After : Jan 7 20:05:44 2012 GMT
Subject: O=OpenCA Labs, OU=Users, CN=fips fips-sec
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:b2:38:ad:8c:7d:78:38:37:88:ce:cc:97:17:39:
52:e1:99:b3:de:73:8b:ad:a8:04:f9:a1:f9:0d:67:
d8:95:e2:26:a4:0b:c2:8c:63:32:5d:38:3e:fd:b7:
4a:83:69:0e:3e:24:e4:ab:91:6c:56:51:88:93:9e:
12:a4:30:ad:ae:72:57:a7:ba:fb:bc:ac:20:8a:21:
46:ea:e8:93:55:f3:41:49:e9:9d:cc:ec:76:13:fd:
a5:8d:cb:5b:45:08:b7:d1:c5:b5:58:89:47:ce:12:
bd:5c:ce:b6:17:2f:e0:fc:c0:3e:b7:c4:99:31:5b:
8a:f0:ea:02:fd:2d:44:7a:67
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Cert Type:
SSL Client, S/MIME
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Client Authentication, E-mail Protection, Microsoft Smartcardlogin
Netscape Comment:
User Certificate of OpenCA Labs
X509v3 Subject Key Identifier:
91:95:51:DD:BF:4F:55:FA:E4:C4:D0:10:C2:A1:C2:99:AF:A5:CB:30
X509v3 Authority Key Identifier:
keyid:DF:D2:C9:1A:06:1F:BC:61:54:39:FE:12:C4:22:64:EB:57:3B:11:9F
X509v3 Subject Alternative Name:
email:fips@ccc.com
X509v3 Issuer Alternative Name:
email:pki@openca.org
Authority Information Access:
CA Issuers - URI:
OCSP - URI::2560/
1.3.6.1.5.5.7.48.12 - URI::830/
X509v3 CRL Distribution Points:
Full Name:
URI:
Signature Algorithm: sha256WithRSAEncryption
94:ef:56:70:48:66:be:8f:9d:bb:77:0f:c9:f4:65:77:e3:bd:
ea:9a:b8:24:ae:a1:38:2d:f4:ab:e8:0e:93:c2:30:33:c8:ef:
f5:e9:eb:9d:37:04:6f:99:bd:b2:c0:e9:eb:b1:19:7e:e3:cb:
95:cd:6c:b8:47:e2:cf:18:8d:99:f4:11:74:b1:1b:86:92:98:
af:a2:34:f7:1b:15:ee:ea:91:ed:51:17:d0:76:ec:22:4c:56:
da:d6:d1:3c:f2:43:31:4f:1d:20:c8:c2:c3:4d:e5:92:29:ee:
43:c6:d7:72:92:e8:13:87:38:9a:9c:cd:54:38:b2:ad:ba:aa:
f9:a4:68:b5:2a:df:9a:31:2f:42:80:0c:0c:d9:6d:b3:ab:0f:
dd:a0:2c:c0:aa:16:81:aa:d9:33:ca:01:75:94:92:44:05:1a:
65:41:fa:1e:41:b5:8a:cc:2b:09:6e:67:70:c4:ed:b4:bc:28:
04:50:a6:33:65:6d:49:3c:fc:a8:93:88:53:94:4c:af:23:64:
cb:af:e3:02:d1:b6:59:5f:95:52:6d:00:00:a0:cb:75:cf:b4:
50:c5:50:00:65:f4:7d:69:cc:2d:68:a4:13:5c:ef:75:aa:8f:
3f:ca:fa:eb:4d:d5:5d:27:db:46:c7:f4:7d:3a:b2:fb:a7:c9:
de:18:9d:c1
# 走漏PKI域aaa中的通盘对端文凭的简要信息。
<Sysname> display pki certificate domain aaa peer
Total peer certificates: 1
Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7
Subject Name: CN=sldsslserver
# 走漏PKI域aaa中的一个特定序号的对端文凭的详备信息。
<Sysname> display pki certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
9a:03:37:eb:21:56:ba:1f:54:76:e4:d7:54:a5:a9:f7
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=cn, O=ccc, OU=sec, CN=ssl
Validity
Not Before: Oct 15 01:23:06 2010 GMT
Not After : Jul 26 06:30:54 2012 GMT
Subject: CN=sldsslserver
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c2:cf:37:76:93:29:5e:cd:0e:77:48:3a:4d:0f:
a6:28:a4:60:f8:31:56:28:7f:81:e3:17:47:78:98:
68:03:5b:72:f4:57:d3:bf:c5:30:32:0d:58:72:67:
04:06:61:08:3b:e9:ac:53:b9:e7:69:68:1a:23:f2:
97:4c:26:14:c2:b5:d9:34:8b:ee:c1:ef:af:1a:f4:
39:da:c5:ae:ab:56:95:b5:be:0e:c3:46:35:c1:52:
29:9c:b7:46:f2:27:80:2d:a4:65:9a:81:78:53:d4:
ca:d3:f5:f3:92:54:85:b3:ab:55:a5:03:96:2b:19:
8b:a3:4d:b2:17:08:8d:dd:81
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Authority Key Identifier:
keyid:9A:83:29:13:29:D9:62:83:CB:41:D4:75:2E:52:A1:66:38:3C:90:11
X509v3 Key Usage: critical
Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Key Agreement
Netscape Cert Type:
SSL Server
X509v3 Subject Alternative Name:
DNS:docm.com
X509v3 Subject Key Identifier:
3C:76:95:9B:DD:C2:7F:5F:98:83:B7:C7:A0:F8:99:1E:4B:D7:2F:26
X509v3 CRL Distribution Points:
Full Name:
URI::447/ssl.crl
Signature Algorithm: sha1WithRSAEncryption
61:2d:79:c7:49:16:e3:be:25:bb:8b:70:37:31:32:e5:d3:e3:
31:2c:2d:c1:f9:bf:50:ad:35:4b:c1:90:8c:65:79:b6:5f:59:
36:24:c7:14:63:44:17:1e:e4:cf:10:69:fc:93:e9:70:53:3c:
85:aa:40:7e:b5:47:75:0f:f0:b2:da:b4:a5:50:dd:06:4a:d5:
17:a5:ca:20:19:2c:e9:78:02:bd:19:77:da:07:1a:42:df:72:
ad:07:7d:e5:16:d6:75:eb:6e:06:58:ee:76:31:63:db:96:a2:
ad:83:b6:bb:ba:4b:79:59:9d:59:6c:77:59:5b:d9:07:33:a8:
f0:a5
表1-4 display pki certificate号召走漏信息形色表
字段
形色
Version
文凭版块号
Serial Number
文凭序列号
Signature Algorithm
签名算法
Issuer
文凭颁发者
Validity
文凭灵验期
Subject
文凭所属的实体信息
Subject Public Key Info
文凭所属的实体的公钥信息
X509v3 extensions
X.509版块3样式的文凭推广属性
【策动号召】
· pki domain
· pki retrieve-certificate
1.1.15 display pki certificate request-statusdisplay pki certificate request-status号召用来走漏文凭的苦求现象。
【号召】
display pki certificate request-status [ domain domain-name ]
【视图】
随心视图
【缺省用户扮装】
network-admin
network-operator
【参数】
domain domain-name:指定文凭场所的PKI域的称呼,为1~31个字符的字符串,不折柳大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用带领】
若不指定PKI域的称呼,则走漏通盘PKI域的文凭苦求现象。
【例如】
# 走漏PKI域aaa的文凭苦求现象。
<Sysname> display pki certificate request-status domain aaa
Certificate Request Transaction 1
Domain name: aaa
Status: Pending
Key usage: General
Remain polling attempts: 10
Next polling attempt after : 1191 seconds
# 走漏通盘PKI域的文凭苦求现象。
<Sysname> display pki certificate request-status
Certificate Request Transaction 1
Domain name: domain1
Status: Pending
Key usage: General
Remain polling attempts: 10
Next polling attempt after : 1191 seconds
Certificate Request Transaction 2
Domain name: domain2
Status: Pending
Key usage: Signature
Remain polling attempts: 10
Next polling attempt after : 188 seconds
表1-1 display pki certificate request号召走漏信息形色表
字段
形色
Certificate Request Transaction number
文凭苦求任务的编号,从1运行规章编号
Domain name
PKI域名
Status
文凭苦求现象。现在,仅有一种取值Pending,暗意恭候
Key usage
文凭用途,包括以下取值:
· General:暗意通用,既不错用于加密也不错用于签名
· Signature:暗意用于签名
· Encryption:暗意用于加密
Remain polling attempts
剩余的文凭苦求现象的查询次数
Next polling attempt after
现时到下次查询文凭苦求现象的时候断绝,单元为秒
【策动号召】
l certificate request polling
l pki domain
l pki retrieve-certificate
1.1.16 display pki crldisplay pki crl domain号召用来走漏存储在腹地的CRL。
【号召】
display pki crl domain domain-name
【视图】
随心视图
【缺省用户扮装】
network-admin
network-operator
【参数】
domain domain-name:指定CRL场所的PKI域的称呼,为1~31个字符的字符串,不折柳大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用带领】
用户不错通过该号召稽查文凭拆除列表,看所需的文凭是否依然被拆除。
【例如】
# 走漏存储在腹地的CRL。
<Sysname> display pki crl domain aaa
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: /C=cn/O=docm/OU=sec/CN=therootca
Last Update: Apr 28 01:42:13 2011 GMT
Next Update: NONE
CRL extensions:
X509v3 CRL Number:
6
X509v3 Authority Key Identifier:
keyid:49:25:DB:07:3A:C4:8A:C2:B5:A0:64:A5:F1:54:93:69:14:51:11:EF
Revoked Certificates:
Serial Number: CDE626BF7A44A727B25F9CD81475C004
Revocation Date: Apr 28 01:37:52 2011 GMT
CRL entry extensions:
Invalidity Date:
Apr 28 01:37:49 2011 GMT
Serial Number: FCADFA81E1F56F43D3F2D3EF7EB56DE5
Revocation Date: Apr 28 01:33:28 2011 GMT
CRL entry extensions:
Invalidity Date:
Apr 28 01:33:09 2011 GMT
Signature Algorithm: sha1WithRSAEncryption
57:ac:00:3e:1e:e2:5f:59:62:04:05:9b:c7:61:58:2a:df:a4:
5c:e5:c0:14:af:c8:e7:de:cf:2a:0a:31:7d:32:da:be:cd:6a:
36:b5:83:e8:95:06:bd:b4:c0:36:fe:91:7c:77:d9:00:0f:9e:
99:03:65:9e:0c:9c:16:22:ef:4a:40:ec:59:40:60:53:4a:fc:
8e:47:57:23:e0:75:0a:a4:1c:0e:2f:3d:e0:b2:87:4d:61:8a:
4a:cb:cb:37:af:51:bd:53:78:76:a1:16:3d:0b:89:01:91:61:
52:d0:6f:5c:09:59:15:be:b8:68:65:0c:5d:1b:a1:f8:42:04:
ba:aa
表1-5 display pki crl domain走漏信息形色表
字段
形色
Version
CRL版块号
Signature Algorithm
CA签名该CRL继承的签名算法
Issuer
颁发该CRL的CA文凭称呼
Last Update
前次更新CRL的时候
Next Update
下次更新CRL的时候
CRL extensions
CRL推广属性
X509v3 CRL Number
X509版块3样式的CRL序号
X509v3 Authority Key Identifier
X509版块3样式的签发该CRL的CA的记号符
keyid
公钥记号符
一个CA可能有多个密钥对,该字段用于记号CA用哪个密钥对对该CRL进行签名
Revoked Certificates
肃除的文凭信息
Serial Number
被拆除文凭的序列号
Revocation Date
文凭被拆除的日历
CRL entry extensions:
CRL样式推广属性
Signature Algorithm:
签名算法以及签名数据
【策动号召】
· pki retrieve-crl
1.1.17 fqdnfqdn号召用来成就PKI实体的FQDN。
undo fqdn号召用来删除成就的PKI实体的FQDN。
【号召】
fqdn fqdn-name-string
undo fqdn
【缺省情况】
未成就PKI实体的FQDN。
【视图】
PKI实体视图
【缺省用户扮装】
network-admin
【参数】
fqdn-name-string:PKI实体的FQDN,为1~255个字符的字符串,折柳大小写。
【使用带领】
FQDN是实体在积蓄会的唯独记号,由一个主机名和一个域名构成,姿首为hostname@domainname。
【例如】
# 成就PKI实体en的FQDN为abc@pki.domain.com。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] fqdn abc@pki.domain.com
1.1.18 ipip号召用来成就PKI实体的IP地址。
undo ip号召用来删除成就的PKI实体的IP地址。
【号召】
ip { ip-address | interface interface-type interface-number }
undo ip
【缺省情况】
未成就PKI实体的IP地址。
【视图】
PKI实体视图
【缺省用户扮装】
network-admin
【参数】
ip-address:指定PKI实体的IPv4地址。
interface interface-type interface-numbe:指定接口的主IPv4地址算作PKI实体的IPv4地址。interface-type interface-number暗意接口类型及接口编号。
【使用带领】
通过本号召,不错告成指定PKI实体的IP地址,也不错指定汲引上某接口的主IPv4地址算作PKI实体的IP地址。要是指定使用某接口的IP地址,则不要求本成就本质时该接口上依然成就了IP地址,只须汲引苦求文凭时,该接口上成就了IP地址,就不错告成使用该地址算作PKI实体身份的一部分。
【例如】
# 成就PKI实体en的IP地址为192.168.0.2。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] ip 192.168.0.2
1.1.19 ldap-serverldap-server号召用来指定LDAP做事器。
undo ldap-server号召用来删除指定的LDAP做事器。
【号召】
ldap-server host hostname [ port port-number ] [ vpn-instance vpn-instance-name ]
undo ldap-server
【缺省情况】
未指定LDAP做事器。
【视图】
PKI域视图
【缺省用户扮装】
network-admin
【参数】
host host-name:LDAP做事器的主机名,为1~255个字符的字符串,折柳大小写,复古IPv4与IPv6地址的暗意步骤以及DNS域名的暗意步骤。
port port-number:LDAP做事器的端标语,取值范围为1~65535,缺省值为389。
vpn-instance vpn-instance-name:指定LDAP做事器所属的VPN。vpn-instance-name暗意MPLS L3VPN实例称呼,为1~31个字符的字符串,折柳大小写。若未指定本参数,则暗意该LDAP做事器属于公网。
【使用带领】
以下两种情况下,需要成就LDAP做事器:
· 通过LDAP公约获取腹地文凭或对端文凭时,需要指定LDAP做事器。
· 通过LDAP公约获取CRL时,若PKI域中成就的LDAP样式的CRL发布点URL中未佩带主机名,则需要凭证此处成就的LDAP做事器地址来得到完满的LDAP发布点URL。
在一个PKI域中,只可指定一个LDAP做事器,若类似本质本号召,最新的成就见效。
【例如】
# 指定LDAP做事器的IP地址为10.0.0.1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] ldap-server host 10.0.0.1
# 指定LDAP做事器,IP地址为10.0.0.11,端标语为333,场所的MPLS L3VPN的实例称呼为vpn1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] ldap-server host 10.0.0.11 port 333 vpn-instance vpn1
【策动号召】
· pki retrieve-certificate
· pki retrieve-crl
1.1.20 localitylocality号召用来成就PKI实体场所的地舆区域称呼,比如城市称呼。
undo locality号召用来删除成就的PKI实体场所的地舆区域称呼。
【号召】
locality locality-name
undo locality
【缺省情况】
未成就PKI实体场所的地舆区域称呼。
【视图】
PKI实体视图
【缺省用户扮装】
network-admin
【参数】
locality-name:PKI实体场所的地舆区域的称呼,为1~63个字符的字符串,折柳大小写,不成包含逗号。
【例如】
# 成就PKI实体en场所地舆区域的称呼为pukras。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] locality pukras
1.1.21 organizationorganization号召用来成就PKI实体所属组织的称呼。
undo organization号召用来删除成就的PKI实体所属组织的称呼。
【号召】
organization org-name
undo organization
【缺省情况】
未成就PKI实体所属组织称呼。
【视图】
PKI实体视图
【缺省用户扮装】
network-admin
【参数】
org-name:PKI实体所属的组织称呼,为1~63个字符的字符串,折柳大小写,不成包含逗号。
【例如】
# 成就PKI实体en所属的组织称呼为abc。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] organization abc
1.1.22 organization-unitorganization-unit号召用来指定实体所属的组织部门的称呼。
undo organization-unit号召用来删除实体所属的组织部门的称呼。
【号召】
organization-unit org-unit-name
undo organization-unit
【缺省情况】
未成就PKI实体所属组织部门的称呼。
【视图】
PKI实体视图
【缺省用户扮装】
network-admin
【参数】
org-unit-name:PKI实体所属组织部门的称呼,为1~63个字符的字符串,折柳大小写,不成包含逗号。使用该参数可在消释个单元内折柳不同部门的PKI实体。
【例如】
# 成就PKI实体en所属组织部门的称呼为rdtest。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] organization-unit rdtest
1.1.23 pki abort-certificate-requestpki abort-certificate-request号召用来住手文凭苦求历程。
【号召】
pki abort-certificate-request domain domain-name
【视图】
系统视图
【缺省用户扮装】
network-admin
【参数】
domain domain-name:指定文凭场所的PKI域的称呼,为1~31个字符的字符串,不折柳大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用带领】
用户在文凭苦求时,可能由于某种原因需要改造文凭苦求的一些参数,比如通用名、国度代码、FQDN等,而此时文凭苦求正在运行,为了新的苦求不与之前的苦求发生挫折,提议先住手之前的苦求门径,再进行新的苦求。
【例如】
# 住手文凭苦求历程。
<Sysname> system-view
[Sysname] pki abort-certificate- request domain 1
The certificate request is in process.
Confirm to abort it? [Y/N]:y
【策动号召】
· display pki certificate request-status
· pki request-certificate domain
1.1.24 pki certificate access-control-policypki certificate access-control-policy号召用来创建文凭探问收敛政策,并参加文凭探问收敛政策视图。要是指定的文凭探问收敛政策已存在,则告成参加其视图。
undo pki certificate access-control-policy号召用来删除指定的文凭探问收敛政策。
【号召】
pki certificate access-control-policy policy-name
undo pki certificate access-control-policy policy-name
【缺省情况】
不存在文凭探问收敛政策。
【视图】
系统视图
【缺省用户扮装】
network-admin
【参数】
policy-name:暗意文凭探问收敛政策称呼,为1~31个字符的字符串,不折柳大小写。
【使用带领】
一个文凭探问收敛政策中不错界说多个文凭属性的探问收敛规矩。
【例如】
# 成就一个称呼为mypolicy的文凭探问收敛政策,并参加文凭探问收敛政策视图。
<Sysname> system-view
[Sysname] pki certificate access-control-policy mypolicy
[Sysname-pki-cert-acp-mypolicy]
【策动号召】
· display pki certificate access-control-policy
· rule
1.1.25 pki certificate attribute-grouppki certificate attribute-group号召用来创建文凭属性组并参加文凭属性组视图。要是指定的文凭属性组已存在,则告成参加其视图。
undo pki certificate attribute-group号召用来删除指定的文凭属性组。
【号召】
pki certificate attribute-group group-name
undo pki certificate attribute-group group-name
【缺省情况】
不存在文凭属性组。
【视图】
系统视图
【缺省用户扮装】
network-admin
【参数】
group-name:文凭属性组称呼,为1~31个字符的字符串,不折柳大小写。
【使用带领】
一个文凭属性组即是一系列文凭属性规矩(通过attribute号召成就)的衔尾,这些属性规矩界说了对文凭的颁发者名、主落款以及备用主落款进行过滤的匹配条目。当文凭属性组下莫得任何属性规矩时,则以为对文凭的属性莫得任何限定。
【例如】
# 创建一个名为mygroup的文凭属性组,并参加文凭属性组视图。
<Sysname> system-view
[Sysname] pki certificate attribute-group mygroup
[Sysname-pki-cert-attribute-group-mygroup]
【策动号召】
· attribute
· display pki certificate attribute-group
· rule
1.1.26 pki delete-certificatepki delete-certificate号召用来删除PKI域中的文凭。
【号召】
pki delete-certificate domain domain-name { ca | local | peer [ serial serial-num ] }
【视图】
系统视图
【缺省用户扮装】
network-admin
【参数】
domain domain-name:文凭场所的PKI域的称呼,为1~31个字符的字符串,不折柳大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:暗意删除CA文凭。
local:暗意删除腹地文凭。
peer:暗意删除对端文凭。
serial serial-num:暗意通过指定序列号删除一个指定的对端文凭。serial-num为对端文凭的序列号,为1~127个字符的字符串,不折柳大小写。在每个CA签发的文凭范围内,序列号不错唯独记号一个文凭。要是不指定本参数,则暗意删除本PKI域中的通盘对端文凭。
【使用带领】
删除CA文凭时将同期删除场所PKI域中的腹地文凭和通盘对端文凭,以及CRL。
要是需要删除指定的对端文凭,则需要领先通过display pki certificate号召稽查本域中已有的对端文凭的序列号,然后再通过指定序列号的方式删除该对端文凭。
【例如】
# 删除PKI域aaa中的CA文凭。
<Sysname> system-view
[Sysname] pki delete-certificate domain aaa ca
Local certificates, peer certificates and CRL will also be deleted while deleting the CA certificate.
Confirm to delete the CA certificate? [Y/N]:y
[Sysname]
# 删除PKI域aaa中的腹地文凭。
<Sysname> system-view
[Sysname] pki delete-certificate domain aaa local
[Sysname]
# 删除PKI域aaa中的通盘对端文凭。
<Sysname> system-view
[Sysname] pki delete-certificate domain aaa peer
[Sysname]
# 领先稽查PKI域aaa中的对端文凭,然后通过指定序列号的方式删除对端文凭。
<Sysname> system-view
[Sysname] display pki certificate domain aaa peer
Total peer certificates: 1
Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7
Subject Name: CN=abc
[Sysname] pki delete-certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7
【策动号召】
· display pki certificate
1.1.27 pki domainpki domain号召用来创建PKI域,并参加PKI域视图。要是指定的PKI域已存在,则告成参加其视图。
undo pki domain号召用来删除指定的PKI域。
【号召】
pki domain domain-name
undo pki domain domain-name
【缺省情况】
不存在PKI域。
【视图】
系统视图
【缺省用户扮装】
network-admin
【参数】
domain-name:PKI域名,为1~31个字符的字符串,不折柳大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用带领】
删除PKI域的同期,会将该域策动的文凭和CRL皆删除去,因此请隆重操作。
【例如】
# 创建PKI域aaa并参加其视图。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa]
1.1.28 pki entitypki entity号召用来创建PKI实体,并参加PKI实体视图。要是指定的PKI实体已存在,则告成参加其视图。
undo pki entity号召用来删除指定的PKI实体。
【号召】
pki entity entity-name
undo pki entity entity-name
【缺省情况】
无PKI实体存在。
【视图】
系统视图
【缺省用户扮装】
network-admin
【参数】
entity-name:PKI实体的称呼,为1~31个字符的字符串,不折柳大小写。
【使用带领】
在PKI实体视图下可成就PKI实体的多样属性(通用名、组织部门、组织、地舆区域、省、国度、FQDN、IP),这些属性用于形色PKI实体的身份信息。当苦求文凭时,PKI实体的信息将算作文凭中主题(Subjuct)部分的内容。
【例如】
# 创建称呼为en的PKI实体,并参加该实体视图。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en]
【策动号召】
· pki domain
1.1.29 pki exportpki export号召用来将PKI域中的CA文凭、腹地文凭导出到文献中或末端上。
【号召】
pki export domain domain-name der { all | ca | local } filename filename
pki export domain domain-name p12 { all | local } passphrase p12passwordstring filename filename
低加密版块中:
pki export domain domain-name pem { { all | local } [ des-cbc pempasswordstring ] | ca } [ filename filename ]
高加密版块中:
pki export domain domain-name pem { { all | local } [ { 3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc } pempasswordstring ] | ca } [ filename filename ]
【视图】
系统视图
【缺省用户扮装】
network-admin
【参数】
domain domain-name:文凭场所的PKI域的称呼,为1~31个字符的字符串,不折柳大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
der:指定文凭文献样式为DER编码。
p12:指定文凭文献样式为PKCS12编码。
pem:指定文凭文献样式为PEM编码。
all:暗意导出通盘文凭,包括PKI域中通盘的CA文凭和腹地文凭,但不包括RA文凭。
ca:暗意导出CA文凭。
local:暗意导出腹地文凭或者腹地文凭和其对应私钥。
passphrase p12passwordstring:指定对PKCS12编码样式的腹地文凭对应的私钥进行加密所继承的口令。
3des-cbc:对腹地文凭对应的私钥数据继承3DES_CBC算法进行加密。
aes-128-cbc:对腹地文凭对应的私钥数据继承128位AES_CBC算法进行加密。
aes-192-cbc:对腹地文凭对应的私钥数据继承192位AES_CBC算法进行加密。
aes-256-cbc:对腹地文凭对应的私钥数据继承256位AES_CBC算法进行加密。
des-cbc:对腹地文凭对应的私钥数据继承DES_CBC算法进行加密。
pempasswordstring:指定对PEM编码样式的腹地文凭对应的私钥进行加密所继承的口令。
filename filename:指定保存文凭的文献名,不折柳大小写。要是不指定本参数,则暗意要将文凭告成导出到末端上走漏,这种方式仅PEM编码样式的文凭才复古。
【使用带领】
导出CA文凭时,要是PKI域中只须一个CA文凭则导出单个CA文凭到用户指定的一个文献或末端,要是是一个CA文凭链则导出通盘这个词CA文凭链到用户指定的一个文献或末端。
导出腹地文凭时,汲引上本色保存文凭的文凭文献称呼并不一定是用户指定的称呼,它与腹地文凭的密钥对用途策动,具体的定名规矩如下(假定用户指定的文献名为filename):
· 要是腹地文凭的密钥对用途为签名,则文凭文献称呼为filename-sign;
· 要是腹地文凭的密钥对用途为加密,则文凭文献称呼为filename-encr;
· 要是腹地文凭的密钥对用途为通用(RSA/ECDSA/DSA),则文凭文献称呼为用户输入的filename。
导出腹地文凭时,要是PKI域中有两个腹地文凭,则导出效果如下:
· 若指定文献名,则将每个腹地文凭分别导出到一个单独的文献中;
· 若不指定文献名,则将通盘腹地文凭一次性一谈导出到末端上,并由不同的教导信息进行分割走漏。
导出通盘文凭时,要是PKI域中只须腹地文凭或者只须CA文凭,则导出效果与单独导出相同。要是PKI域中存在腹地文凭和CA文凭,则具体导出效果如下:
· 若指定文献名,则将每个腹地文凭分别导出到一个单独的文献,该腹地文凭对应的完满CA文凭链也会同期导出到该文献中。
· 若不指定文献名,则将通盘的腹地文凭及域中的CA文凭或者CA文凭链一次性一谈导出到末端上,并由不同的教导信息进行分割走漏。
需要疑望的是:
· 以PKCS12样式导出通盘文凭时,PKI域中必须有腹地文凭,不然会导出失败。
· 以PEM样式导出腹地文凭或者通盘文凭时,若不指定私钥的加密算法和私钥加密口令,则不会导出腹地文凭对应的私钥信息。
· 以PEM样式导出腹地文凭或者通盘文凭时,若指定私钥加密算法和私钥加密口令,且此时腹地文凭有匹配的私钥,则同期导出腹地文凭的私钥信息;要是此时腹地文凭莫得匹配的私钥,则导出该腹地文凭失败。
· 导出腹地文凭时,若现时PKI域中的密钥对成就已被修改,导致腹地文凭的公钥与该密钥对的公钥部分不匹配,则导出该腹地文凭失败。
· 导出腹地文凭或者通盘文凭时,要是PKI域中有两个腹地文凭,则导出某种密钥用途的腹地文凭失败并不会影响导出另外一个腹地文凭。
· 指定的文献名中不错带完满旅途,当系统中不存在用户所指定旅途时,则会导出失败。
【例如】
# 导出PKI域中的CA文凭到DER编码的文献,文献称呼为cert-ca.der。
<Sysname> system-view
[Sysname] pki export domain domain1 der ca filename cert-ca.der
# 导出PKI域中的腹地文凭到DER编码的文献,文献称呼为cert-lo.der。
<Sysname> system-view
[Sysname] pki export domain domain1 der local filename cert-lo.der
# 导出PKI域中的通盘文凭到DER编码的文献,文献称呼为cert-all.p7b。
<Sysname> system-view
[Sysname] pki export domain domain1 der all filename cert-all.p7b
# 导出PKI域中的CA文凭到PEM编码的文献,文献称呼为cacert。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca filename cacert
# 导出PKI域中的腹地文凭过火对应的私钥到PEM编码的文献,指定保护私钥信息的加密算法为DES_CBC、加密口令为111,文献称呼为local.pem。
<Sysname> system-view
[Sysname] pki export domain domain1 pem local des-cbc 111 filename local.pem
# 导出PKI域中通盘文凭到PEM编码的文献,不指定加密算法和加密口令,不导出腹地文凭对应的私钥信息,文献称呼为all.pem。
<Sysname> system-view
[Sysname] pki export domain domain1 pem all filename all.pem
# 以PEM样式导出PKI域中腹地文凭过火对应的私钥到末端,指定保护私钥信息的加密算法为DES_CBC、加密口令为111。
<Sysname> system-view
[Sysname] pki export domain domain1 pem local des-cbc 111
%The signature usage local certificate:
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
subject=/C=CN/O=OpenCA Labs/OU=Users/CN=chktest chktest
issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----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-----END ENCRYPTED PRIVATE KEY-----
# 以PEM样式导出PKI域中通盘文凭到末端,指定保护腹地文凭对应私钥的加密算法为DES_CBC、加密口令为111。
<Sysname> system-view
[Sysname] pki export domain domain1 pem all des-cbc 111
%The signature usage local certificate:
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
subject=/C=CN/O=OpenCA Labs/OU=Users/CN=chktest chktest
issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
Bag Attributes: <No Attributes>
subject=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----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-----END ENCRYPTED PRIVATE KEY-----
# 以PEM样式导出PKI域中CA文凭到末端。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# 导出PKI域中CA文凭到PEM编码的文献,指定文献称呼为cacert。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca filename cacert
# 导出PKI域中CA文凭(文凭链)到末端。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIB8jCCAVsCEFxy3MSlQ835MrnBkI/dUPYwDQYJKoZIhvcNAQEFBQAwOjELMAkG
A1UEBhMCY24xDDAKBgNVBAoTA2gzYzEMMAoGA1UECxMDaDNjMQ8wDQYDVQQDEwZy
b290Y2EwHhcNMTEwMTA2MDI1MTQxWhcNMTMxMjA3MDMxMjA1WjA6MQswCQYDVQQG
EwJjbjEMMAoGA1UEChMDaDNjMQwwCgYDVQQLEwNoM2MxDzANBgNVBAMTBnJvb3Rj
YTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAxP2XLFE230zq6MhwZvAomOxa
7tc1r4bESXZu3UBKno3Ay9kQm2HrDOAizvZXfLu7Gx22ga2Qdz0lIeZ+EQrYHTyO
pBcejDjal/ZtvgnjXyHFoG8nS+P7n83BkRj/Fu7Yz4zjTKMbCF2EfhEyXxr4NSXA
fhC9qg9S23vNXStmWvsCAwEAATANBgkqhkiG9w0BAQUFAAOBgQBtsU7X77sdZ1Nn
0I98lh0qA5g7SEEIpI+pwZjjrH0FVHw01e4JWhHjyHqrOyfXYqe7vH4SXp5MHEqf
14nKIEbexbPONspebtznxv4/xTjd1aM2rfQ95jJ/SN8H8KIyiYZyIs3t5Q+V35x1
cef+NMWgZBzwXOSP0wC9+pC2ZNiIpg==
-----END CERTIFICATE-----
# 导出PKI域中的腹地文凭过火对应的私钥到PKCS12编码的文献,指定保护私钥信息的加密口令为123,文献称呼为cert-lo.der。
<Sysname> system-view
[Sysname] pki export domain domain1 p12 local passphrase 123 filename cert-lo.der
# 导出PKI域中的通盘文凭到PKCS12编码的文献,指定文献称呼为cert-all.p7b。
<Sysname> system-view
[Sysname] pki export domain domain1 p12 all passphrase 123 filename cert-all.p7b
【策动号召】
· pki domain
1.1.30 pki importpki import号召用来将CA文凭、腹地文凭或对端文凭导入到指定的PKI域中保存。
【号召】
pki import domain domain-name { der { ca | local | peer } filename filename | p12 local filename filename | pem { ca | local | peer } [ filename filename ] }
【视图】
系统视图
【缺省用户扮装】
network-admin
【参数】
domain domain-name:保存文凭的PKI域的称呼,为1~31个字符的字符串,不折柳大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
der:指定文凭样式为DER编码(包括PKCS#7样式的文凭)。
p12:指定文凭样式为PKCS#12编码。
pem:指定文凭样式为PEM编码。
ca:暗意CA文凭。
local:暗意腹地文凭。
peer:暗意对端文凭。
filename filename:要导入的文凭场所的文献名,不折柳大小写。要是不指定本参数,则暗意要通过告成在末端上粘贴文凭内容的方式导入文凭,这种方式仅PEM编码样式的文凭才复古。
【使用带领】
要是汲引所处的环境中,莫得文凭的发布点,或者CA做事器不复古通过SCEP公约与汲引交互,则可通过此号召将文凭导入到汲引。另外,当文凭对应的密钥对由CA做事器生成时,CA做事器会将文凭和对应的密钥对打包成一个文献,使用这么的文凭前也需要通过此号召将其导入到汲引。只须PKCS#12样式或PEM样式的文凭文献中可能包含密钥对。
文凭导入之前:
· 需要通过FTP、TFTP等公约将文凭文献传送到汲引的存储介质中。要是汲引所处的环境不允许使用FTP、TFTP等公约,则不错告成在末端上粘贴文凭的内容,但是粘贴的文凭必须是PEM样式的,因为只须PEM编码的文凭内容为可打印字符。
· 必须存在签发腹地文凭(或对端文凭)的CA文凭链技艺到手导入腹地文凭(或对端文凭),这里的CA文凭链不错是保存在汲引上的PKI域中的,也不错是腹地文凭(或对端文凭)中佩带的。因此,若汲引和腹地文凭(或对端文凭)中皆莫得CA文凭链,则需要领先本质导入CA文凭的号召。
导入腹地文凭或对端文凭时:
· 要是用户要导入的腹地文凭(或对端文凭)中含有CA文凭链,则不错通过导入腹地文凭(或对端文凭)的号召一次性将CA文凭和腹地文凭(或对端文凭)均导入到汲引。导入的历程中,要是发现签发此腹地文凭(或对端文凭)的CA文凭依然存在于汲引上的任一PKI域中,则系统会教导用户是否将其进行粉饰。
· 要是要导入的腹地文凭(或对端文凭)中不含有CA文凭链,但签发此腹地文凭(或对端文凭)的CA文凭依然存在于汲引上的任一PKI域中,则不错告成导入腹地文凭(或对端文凭)。
导入CA文凭时:
· 若要导入的CA文凭为根CA或者包含了完满的文凭链(即含有根文凭),则不错导入到汲引。
· 若要导入的CA文凭莫得包含完满的文凭链(即不含有根文凭),但梗概与汲引上已有的CA文凭拼接成完满的文凭链,则也不错导入到汲引;要是不成与汲引上已有的CA文凭拼接成完成的文凭链,则不成导入到汲引。
一些情况下,在文凭导入的历程中,需要用户阐发或输入策动信息:
· 若要导入的文凭文献中包含了根文凭,且汲引上现在还莫得任何PKI域中有此根文凭,且要导入的PKI域中莫得成就root-certificate fingerprint,则在导入历程中还需要阐发该根文凭的指纹信息是否与用户的预期一致。用户需要通过策动CA做事器惩处员来获取预期的根文凭指纹信息。
· 当导入含有密钥对的腹地文凭时,需要输进口令。用户需要策动CA做事器惩处员取得口令的内容。
导入含有密钥对的腹地文凭时,系统辖先会凭证查找到的PKI域中已有的密钥对成就来保存该密钥对。若PKI域中已保存了对应的密钥对,则汲引会教导用户聘请是否粉饰已有的密钥对。若PKI域中莫得任何密钥对的成就,则凭证密钥对的算法及文凭的密钥用途,生成相应的密钥对成就。密钥对的具体保存规矩如下:
· 要是腹地文凭佩带的密钥对的用途为通用,则步骤查找指定PKI域中通用用途、签名用途、加密用途的密钥对成就,并以找到成就中的密钥对称呼保存该密钥对;若以上用途的密钥对成就均不存在,则教导用户输入密钥对称呼(缺省的密钥对称呼为PKI域的称呼),并生成相应的密钥对成就。
· 要是腹地文凭佩带的密钥对的用途为签名,则步骤查找指定PKI域中通用用途、签名用途的密钥对成就,并以找到成就中的密钥对称呼保存该密钥对;若以上两种用途的密钥对成就均不存在,则教导用户输入密钥对称呼(缺省的密钥对称呼为PKI域的称呼),并生成相应的密钥对成就。
· 要是腹地文凭佩带的密钥对的用途为加密,则查找指定PKI域中加密用途的密钥对成就,并以该成就中的密钥对称呼保存密钥对;若加密用途密钥对的成就不存在,则教导用户输入密钥对称呼(缺省的密钥对称呼为PKI域的称呼),并生成相应的密钥对成就。
由于以上历程中系统会自动更新或生成密钥对成就,因此提议用户在进行此类导入操作后,保存成就文献。
【例如】
# 向PKI域aaa中导入CA文凭,文凭文献样式为PEM编码,文凭文献称呼为rootca_pem.cer,文凭文献中包含根文凭。
<Sysname> system-view
[Sysname] pki import domain aaa pem ca filename rootca_pem.cer
The trusted CA's finger print is:
MD5 fingerprint:FFFF 3EFF FFFF 37FF FFFF 137B FFFF 7535
SHA1 fingerprint:FFFF FF7F FF2B FFFF 7618 FF4C FFFF 0A7D FFFF FF69
Is the finger print correct?(Y/N):y
[Sysname]
# 向PKI域bbb中导入CA文凭,文凭文献样式为PEM编码,文凭文献称呼为aca_pem.cer,文凭文献中不包含根文凭。
<Sysname> system-view
[Sysname] pki import domain bbb pem ca filename aca_pem.cer
[Sysname]
# 向PKI域bbb中导入腹地文凭,文凭文献样式为PKCS#12编码,文凭文献称呼为local-ca.p12,文凭文献中包含了密钥对。
<Sysname> system-view
[Sysname] pki import domain bbb p12 local filename local-ca.p12
Please input challenge password:
******
[Sysname]
# 向PKI域bbb中通过粘贴文凭内容的方式导入PEM编码的腹地文凭。文凭中含有密钥对和CA文凭链。
<Sysname> system-view
[Sysname] pki import domain bbb pem local
Enter PEM-formatted certificate.
End with a Ctrl+c on a line by itself.
Bag Attributes
localKeyID: 01 00 00 00
friendlyName: {F7619D96-3AC2-40D4-B6F3-4EAB73DEED73}
Microsoft CSP Name: Microsoft Enhanced Cryptographic Provider v1.0
Key Attributes
X509v3 Key Usage: 10
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,8DCE37F0A61A4B8C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-----END RSA PRIVATE KEY-----
Bag Attributes
localKeyID: 01 00 00 00
subject=/CN=sldsslserver
issuer=/C=cn/O=ccc/OU=sec/CN=ssl
-----BEGIN CERTIFICATE-----
MIICjzCCAfigAwIBAgIRAJoDN+shVrofVHbk11SlqfcwDQYJKoZIhvcNAQEFBQAw
NzELMAkGA1UEBhMCY24xDDAKBgNVBAoTA2gzYzEMMAoGA1UECxMDc2VjMQwwCgYD
VQQDEwNzc2wwHhcNMTAxMDE1MDEyMzA2WhcNMTIwNzI2MDYzMDU0WjAXMRUwEwYD
VQQDEwxzbGRzc2xzZXJ2ZXIwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMLP
N3aTKV7NDndIOk0PpiikYPgxVih/geMXR3iYaANbcvRX07/FMDINWHJnBAZhCDvp
rFO552loGiPyl0wmFMK12TSL7sHvrxr0OdrFrqtWlbW+DsNGNcFSKZy3RvIngC2k
ZZqBeFPUytP185JUhbOrVaUDlisZi6NNshcIjd2BAgMBAAGjgbowgbcwHwYDVR0j
BBgwFoAUmoMpEynZYoPLQdR1LlKhZjg8kBEwDgYDVR0PAQH/BAQDAgP4MBEGCWCG
SAGG+EIBAQQEAwIGQDASBgNVHREECzAJggdoM2MuY29tMB0GA1UdDgQWBBQ8dpWb
3cJ/X5iDt8eg+JkeS9cvJjA+BgNVHR8ENzA1MDOgMaAvhi1odHRwOi8vczAzMTMw
LmgzYy5odWF3ZWktM2NvbS5jb206NDQ3L3NzbC5jcmwwDQYJKoZIhvcNAQEFBQAD
gYEAYS15x0kW474lu4twNzEy5dPjMSwtwfm/UK01S8GQjGV5tl9ZNiTHFGNEFx7k
zxBp/JPpcFM8hapAfrVHdQ/wstq0pVDdBkrVF6XKIBks6XgCvRl32gcaQt9yrQd9
5RbWdetuBljudjFj25airYO2u7pLeVmdWWx3WVvZBzOo8KU=
-----END CERTIFICATE-----
Bag Attributes: <Empty Attributes>
subject=/C=cn/O=ccc/OU=sec/CN=ssl
issuer=/C=cn/O=ccc/OU=sec/CN=ssl
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Please input the password:********
Local certificate already exist, confirm to overwrite it? [Y/N]:y
The PKI domain already has a CA certificate. If it is overwritten, local certificates, peer certificates and CRL of this domain will also be deleted.
Overwrite it? [Y/N]:y
The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).
Please enter the key pair name [default name: bbb]:
The key pair already exists.
Please enter the key pair name:
import-key
【策动号召】
· display pki certificate
· public-key dsa
· public-key ecdsa
· public-key rsa
1.1.31 pki request-certificatepki request-certificate号召用来手工苦求腹地文凭或生成PKCS#10文凭苦求。
【号召】
pki request-certificate domain domain-name [ password password ] [ pkcs10 [ filename filename ] ]
【视图】
系统视图
【缺省用户扮装】
network-admin
【参数】
domain domain-name:指定文凭苦求所属的 PKI域名,为1~31个字符的字符串,不折柳大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
password password:在文凭肃除时需要提供的口令,为1~31个字符的字符串,折柳大小写。该口令包含在提交给CA的文凭苦求中,在拆除该文凭时,需要提供该口令。
pkcs10:在末端上走漏出BASE64样式的PKCS#10文凭苦求信息,该信息可用于带外方式(如电话、磁盘、电子邮件等)的文凭请求。
filename filename:将PKCS#10样式的文凭苦求信息保存到腹地的文献中。其中,filename暗意保存文凭苦求信息的文献名,不折柳大小写。
【使用带领】
当SCEP公约不成以前通讯时,不错通过本质指定参数pkcs10的本号召打印出腹地的文凭苦求信息(BASE64样式),或者通过本质指定pkcs10 filename filename参数的本号召将文凭苦求信息告成保存到腹地的指定文献中,然后通过带外方式将这些腹地文凭苦求信息发送给CA进行文凭苦求。指定的文献名中不错带完满旅途,当系统中不存在用户所指定旅途时,则会保存失败。
此号召不会被保存在成就文献中。
【例如】
# 在末端上走漏PKCS#10样式的文凭苦求信息。
<Sysname> system-view
[Sysname] pki request-certificate domain aaa pkcs10
*** Request for general certificate ***
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIBTDCBtgIBADANMQswCQYDVQQDEwJqajCBnzANBgkqhkiG9w0BAQEFAAOBjQAw
gYkCgYEAw5Drj8ofs9THA4ezkDcQPBy8pvH1kumampPsJmx8sGG52NFtbrDTnTT5
ALx3LJijB3d/ndKpcHT/DfbJVDCn5gdw32tBZyCkEwMHZN3ol2z7Nmdcu5TED6iN8
4m+hfp1QWoV6lty3o9pxAXuQl8peUDcfN6WV3LBXYyl1WCtkLkECAwEAAaAAMA0G
CSqGSIb3DQEBBAUAA4GBAA8E7BaIdmT6NVCZgv/I/1tqZH3TS4e4H9Qo5NiCKiEw
R8owVmA0XVtGMbyqBNcDTG0f5NbHrXZQT5+MbFJOnm5K/mn1ro5TJKMTKV46PlCZ
JUjsugaY02GBY0BVcylpC9iIXLuXNIqjh1MBIqVsa1lQOHS7YMvnop6hXAQlkM4c
-----END NEW CERTIFICATE REQUEST-----
# 手工苦求腹地文凭。
[Sysname] pki request-certificate domain openca
Start to request the general certificate ...
……
Certificate requested successfully.
【策动号召】
· display pki certificate
1.1.32 pki retrieve-certificatepki retrieve-certificate号召用来从文凭发布做事器上在线获取文凭并下载至腹地。
【号召】
pki retrieve-certificate domain domain-name { ca | local | peer entity-name }
【视图】
系统视图
【缺省用户扮装】
network-admin
【参数】
domain domain-name:指定文凭场所的PKI域的称呼,为1~31个字符的字符串,不折柳大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:暗意获取CA文凭。
local:暗意获取腹地文凭。
peer entity-name:暗意获取对端的文凭。其中entity-name为对端的实体名,为1~31个字符的字符串,不折柳大小写。
【使用带领】
获取CA文凭是通过SCEP公约进行的。获取CA文凭时,要是腹地已有CA文凭存在,则该操作将不被允许。这种情况下,若要再行获取CA文凭,请先使用pki delete-certificate号召删除已有的CA文凭与对应的腹地文凭后,再本质此号召。
获取腹地文凭和对端文凭是通过LDAP公约进行的。获取腹地文凭或对端文凭时,要是腹地已有腹地文凭或对端文凭,则该操作是被允许进行的。最终,属于一个PKI实体的消释种公钥算法的腹地文凭只可存在一个,后者告成粉饰已有的,但关于RSA算法的文凭而言,不错存在一个签名用途的文凭和一个加密用途的文凭。
通盘获取到的CA文凭、腹地文凭或对端文凭只须通过考证之后才会被保存到腹地文凭库中。
需要疑望的是,此号召不会被保存在成就文献中。
【例如】
# 从文凭发布做事器上获取CA文凭。(需要用户阐发CA根文凭的指纹)
<Sysname> system-view
[Sysname] pki retrieve-certificate domain aaa ca
The trusted CA's finger print is:
MD5 fingerprint:5C41 E657 A0D6 ECB4 6BD6 1823 7473 AABC
SHA1 fingerprint:1616 E7A5 D89A 2A99 9419 1C12 D696 8228 87BC C266
Is the finger print correct?(Y/N):y
Retrieved the certificates successfully.
# 从文凭发布做事器上获取腹地文凭。
<Sysname> system-view
[Sysname] pki retrieve-certificate domain aaa local
Retrieved the certificates successfully.
# 从文凭发布做事器上获取对端文凭。
<Sysname> system-view
[Sysname] pki retrieve-certificate domain aaa peer en1
Retrieved the certificates successfully.
【策动号召】
· display pki certificate
· pki delete-certificate
1.1.33 pki retrieve-crlpki retrieve-crl号召用来获取CRL并下载至腹地。
【号召】
pki retrieve-crl domain domain-name
【视图】
系统视图
【缺省用户扮装】
network-admin
【参数】
domain-name:指定CRL所属的PKI域的称呼,为1~31个字符的字符串,不折柳大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用带领】
获取CRL的标的是为了考证PKI域中的腹地文凭和对端文凭的正当性。若要到手获取CRL,PKI域中必须存在CA文凭。
汲引复古通过HTTP、LDAP或SCEP公约从CRL发布点上获取CRL,具体继承那种公约,由PKI域中CRL发布点的成就决定:
· 若成就的CRL发布点URL样式为HTTP样式,则通过HTTP公约获取CRL。
· 若成就的CRL发布点URL样式为LDAP样式,则通过LDAP公约获取CRL。若成就的CRL发布点URL(通过号召crl url)中空泛主机名,例如ldap:///CN=8088,OU=test,U=rd,C=cn,则还需要在PKI域中成就LDAP做事器的URL(通过号召ldap server)。此时,汲引会将成就的LDAP做事器URL和成就的CRL发布点URL中的不完满的LDAP发布点组装成完满的LDAP发布点,再通过LDAP公约获取CRL。
· 若PKI域中莫得成就CRL发布点,则汲引会步骤从腹地文凭、CA文凭中查找CRL的发布点,要是从中查找到了CRL发布点,则通过该发布点获取CRL;不然,通过SCEP公约获取CRL。
【例如】
# 从CRL发布点上获取CRL。
<Sysname> system-view
[Sysname] pki retrieve-crl domain aaa
Retrieve CRL of the domain aaa successfully.
【策动号召】
· crl url
· ldap server
1.1.34 pki storagepki storage号召用来成就文凭和CRL的存储旅途。
undo pki storage号召用来还原缺省情况。
【号召】
pki storage { certificates | crls } dir-path
undo pki storage { certificates | crls }
【缺省情况】
文凭和CRL的存储旅途为汲引存储介质上的PKI目次。
【视图】
系统视图
【缺省用户扮装】
network-admin
【参数】
certificates:指定文凭的存储目次。
crls:指定CRL的存储目次。
dir-path:存储目次的旅途称呼,折柳大小写,不成以‘/’泉源,不成包含“../”。dir-path不错是填塞旅途也不错是相对旅途,但必须依然存在。
【使用带领】
dir-path只然而现时主控板上的旅途,不成是其它主控板上的旅途。
汲引缺省的PKI目次在汲引初度到手苦求、获取或导入文凭时自动创建。
要是需要指定的目次还不存在,需要先使用mkdir号召创建这个目次,再使用此号召配存储旅途。若修改了文凭或CRL的存储目次,则原存储旅途下的文凭文献(以.cer和.p12为后缀的文献)和CRL文献(以.crl为后缀的文献)将被迁移到该旅途下保存,且原存储旅途下的其它文献不受影响。
【例如】
# 缔造文凭的存储旅途为flash:/pki-new。
<Sysname> system-view
[Sysname] pki storage certificates flash:/pki-new
# 缔造CRL存储旅途为pki-new。
<Sysname> system-view
[Sysname] pki storage crls pki-new
1.1.35 pki validate-certificatepki validate-certificate号召用来考证文凭的灵验性。
【号召】
pki validate-certificate domain domain-name { ca | local }
【视图】
系统视图
【缺省用户扮装】
network-admin
【参数】
domain domain-name:指定文凭场所的PKI域的称呼,为1~31个字符的字符串,不折柳大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:暗意考证CA文凭。
local:暗意考证腹地文凭。
【使用带领】
文凭考证的内容包括:文凭是否由用户信任的CA签发;文凭是否仍在灵验期内;要是使能了CRL查验功能,还会考证文凭是否被拆除。要是考证文凭的时候,PKI域中莫得CRL,则会先从腹地文凭库中查找是否存在CRL,要是找到CRL,则把文凭库中保存的CRL加载到该PKI域中,不然,就从CA做事器上获取并保存到腹地。
导入文凭、苦求文凭、获取文凭以及运用门径使用PKI功能时,皆会自动对文凭进行考证,因此一般不需要使用此号召进行非常的考证。要是用户但愿在莫得任何前述操作的情况下单独本质文凭的考证,不错使用此号召。
考证CA文凭时,会对从现时CA到根CA的整条CA文凭链进行CRL查验。
【例如】
# 考证PKI域aaa中的CA文凭的灵验性。
<Sysname> system-view
[Sysname] pki validate-certificate domain aaa ca
Verifying certificate......
Serial Number:
f6:3c:15:31:fe:bb:ec:94:dc:3d:b9:3a:d9:07:70:e5
Issuer:
C=cn
O=ccc
OU=ppp
CN=rootca
Subject:
C=cn
O=abc
OU=test
CN=aca
Verify result: OK
Verifying certificate......
Serial Number:
5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6
Issuer:
C=cn
O=ccc
OU=ppp
CN=rootca
Subject:
C=cn
O=ccc
OU=ppp
CN=rootca
Verify result: OK
# 考证PKI域aaa中的腹地文凭的灵验性。
<Sysname> system-view
[Sysname] pki validate-certificate domain aaa local
Verifying certificate......
Serial Number:
bc:05:70:1f:0e:da:0d:10:16:1e
Issuer:
C=CN
O=sec
OU=software
CN=bca
Subject:
O=OpenCA Labs
OU=Users
CN=fips fips-sec
Verify result: OK
【策动号召】
· crl check
· pki domain
1.1.36 public-key dsapublic-key dsa号召用来指定文凭苦求使用的DSA密钥对。
undo public-key号召用来取消指定的密钥对。
【号召】
public-key dsa name key-name [ length key-length ]
undo public-key
【缺省情况】
未指定任何密钥对。
【视图】
PKI域视图
【缺省用户扮装】
network-admin
【参数】
name key-name:密钥对的称呼,为1~64个字符的字符串,不折柳大小写,只可包含字母、数字和连字符“-”。
length key-length:密钥的长度。非FIPS模式下,key-length的取值范围为512~2048,单元为比特,缺省值为1024;FIPS模式下,key-length的取值为2048,单元为比特,缺省值为2048。密钥越长,密钥安全性越高,但策动的公钥运算越耗时。
【使用带领】
本号召中援用的密钥对并不要求依然存在,不错通过以下随心一种阶梯赢得:
· 通过本质public-key local create号召生成。
· 通过运用门径认证历程触发生成。例如IKE协商历程中,要是使用数字签名认证方式,则可能会触发生成密钥对。
· 通过导入文凭(使用pki import号召)的方式从外界赢得。
一个PKI域中只可同期存在一种算法(RSA、DSA或ECDSA)的密钥对。关于RSA密钥对来说,一个PKI域中只允许单独存在一种用途的RSA密钥对,或同期存在一个用于签名的和一个用于加密的RSA密钥对。因此,在一个PKI域中,除RSA签名密钥对和RSA加密密钥对的成就不会相互粉饰以外,其它类型的新的密钥对成就均会粉饰已有的密钥对成就。
本号召中指定的密钥长度仅对将要由汲引生成的密钥对灵验。要是本质本号召时,汲引上依然存在指定称呼的密钥对,则后续通过此号召指定的该密钥对的密钥长度没特意旨。要是指定称呼的密钥对是通过导入文凭的方式赢得,则通过本号召指定的密钥长度也没特意旨。
【例如】
# 指定文凭苦求所使用的DSA密钥对为abc,密钥的长度为2048比特。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key dsa name abc length 2048
【策动号召】
· pki import
· public-key local create(安全号召参考/公钥惩处)
1.1.37 public-key ecdsapublic-key ecdsa号召用来指定文凭苦求使用的ECDSA密钥对。
undo public-key号召用来取消指定的密钥对。
【号召】
public-key ecdsa name key-name
undo public-key
【缺省情况】
未指定任何密钥对。
【视图】
PKI域视图
【缺省用户扮装】
network-admin
【参数】
name key-name:密钥对的称呼,为1~64个字符的字符串,不折柳大小写,只可包含字母、数字和连字符“-”。
【使用带领】
本号召中援用的密钥对并不要求依然存在,不错通过以下随心一种阶梯赢得:
· 通过本质public-key local create号召生成。
· 通过运用门径认证历程触发生成。例如IKE协商历程中,要是使用数字签名认证方式,则可能会触发生成密钥对。
· 通过导入文凭(使用pki import号召)的方式从外界赢得。
一个PKI域中只可同期存在一种算法(RSA、DSA或ECDSA)的密钥对。关于RSA密钥对来说,一个PKI域中只允许单独存在一种用途的RSA密钥对,或同期存在一个用于签名的和一个用于加密的RSA密钥对。因此,在一个PKI域中,除RSA签名密钥对和RSA加密密钥对的成就不会相互粉饰以外,其它类型的新的密钥对成就均会粉饰已有的密钥对成就。
本号召中指定的密钥长度仅对将要由汲引生成的密钥对灵验。要是本质本号召时,汲引上依然存在指定称呼的密钥对,则后续通过此号召指定的该密钥对的密钥长度没特意旨。要是指定称呼的密钥对是通过导入文凭的方式赢得,则通过本号召指定的密钥长度也没特意旨。
【例如】
# 指定文凭苦求所使用的ECDSA密钥对为abc。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key ecdsa name abc
【策动号召】
· pki import
· public-key local create(安全号召参考/公钥惩处)
1.1.38 public-key rsapublic-key rsa号召用来指定文凭苦求使用的RSA密钥对。
undo public-key号召用来取消指定的密钥对。
【号召】
public-key rsa { { encryption name encryption-key-name [ length key-length ] | signature name signature-key-name [ length key-length ] } * | general name key-name [ length key-length ] }
undo public-key
【缺省情况】
未指定任何密钥对。
【视图】
PKI域视图
【缺省用户扮装】
network-admin
【参数】
encryption:指定密钥对的用途为加密。
name encryption-key-name:加密密钥对的称呼,为1~64个字符的字符串,不折柳大小写,只可包含字母、数字和连字符“-”。
signature:指定密钥对的用途为签名。
name signature-key-name:签名密钥对的称呼,为1~64个字符的字符串,不折柳大小写,只可包含字母、数字和连字符“-”。
general:指定密钥对的用途为通用,既不错用于签名也不错用于加密。
name key-name:通用密钥对的称呼,为1~64个字符的字符串,不折柳大小写,只可包含字母、数字和连字符“-”。
length key-length:密钥的长度。非FIPS模式下,key-length的取值范围为512~2048,单元为比特,缺省为1024;FIPS模式下,key-length的取值为2048,单元为比特,缺省为2048。密钥越长,密钥安全性越高,但策动的公钥运算越耗时。
【使用带领】
本号召中援用的密钥对并不要求依然存在,不错通过以下随心一种阶梯赢得:
· 通过本质public-key local create号召生成。
· 通过运用门径认证历程触发生成。例如IKE协商历程中,要是使用数字签名认证方式,则可能会触发生成密钥对。
· 通过导入文凭(使用pki import号召)的方式从外界赢得。
一个PKI域中只可同期存在一种算法(RSA、DSA或ECDSA)的密钥对。关于RSA密钥对来说,一个PKI域中只允许单独存在一种用途的RSA密钥对,或同期存在一个用于签名的和一个用于加密的RSA密钥对。因此,在一个PKI域中,除RSA签名密钥对和RSA加密密钥对的成就不会相互粉饰以外,其它类型的新的密钥对成就均会粉饰已有的密钥对成就。
分别指定RSA签名密钥对和RSA加密密钥对时,它们的密钥长度不错不相同。
本号召中指定的密钥长度仅对将要由汲引生成的密钥对灵验。要是本质本号召时,汲引上依然存在指定称呼的密钥对,则后续通过此号召指定的该密钥对的密钥长度没特意旨。要是指定称呼的密钥对是通过导入文凭的方式赢得,则通过本号召指定的密钥长度也没特意旨。
【例如】
# 指定文凭苦求所使用的RSA密钥对为abc,密钥用途为通用,密钥的长度为2048比特。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key rsa general name abc length 2048
# 指定文凭苦求所使用的加密RSA密钥对为rsa1(密钥的长度为2048比特),签名RSA密钥对为sig1(密钥的长度为2048比特)。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key rsa encryption name rsa1 length 2048
[Sysname-pki-domain-aaa] public-key rsa signature name sig1 length 2048
【策动号召】
· pki import
· public-key local create(安全号召参考/公钥惩处)
1.1.39 root-certificate fingerprintroot-certificate fingerprint号召用来成就考证CA根文凭时所使用的指纹。
undo root-certificate fingerprint号召用来取消成就的根文凭指纹。
【号召】
非FIPS模式下:
root-certificate fingerprint { md5 | sha1 } string
undo root-certificate fingerprint
FIPS 模式下:
root-certificate fingerprint sha1 string
undo root-certificate fingerprint
【缺省情况】
未指定考证CA根文凭时使用的指纹。
【视图】
PKI域视图
【缺省用户扮装】
network-admin
【参数】
md5:使用MD5指纹。
sha1:使用SHA1指纹。
string:指定所使用的指纹信息。当聘请MD5指纹时,string必须为32个字符的字符串,况兼以16进制的姿首输入;当聘请SHA1指纹时,string必须为40个字符的字符串,况兼以16进制的姿首输入。
【使用带领】
当腹地文凭苦求模式为自动方式且PKI域中莫得CA文凭时,必须通过本号召成就考证CA文凭时所使用的指纹。当IKE协商等运用触发汲引进行腹地文凭苦求时,汲引会自动从CA做事器上获取CA文凭,要是获取的CA文凭中包含了腹地不存在的CA根文凭,则汲引会考证该CA根文凭的指纹。此时,要是汲引上莫得成就CA根文凭指纹或者成就了不实的CA根文凭指纹,则腹地文凭苦求失败。
通过pki import号召导入CA文凭或者通过pki retrieve-certificate号召获取CA文凭时,不错聘请是否成就考证CA根文凭使用的指纹:要是PKI域中成就了考证CA根文凭使用的指纹,则当导入的CA文凭文献或者获取的CA文凭中包含腹地不存在的CA根文凭时,告成使用成就的CA根文凭指纹进行考证。要是成就了不实的CA根文凭指纹,则CA文凭导入和CA文凭获取均会失败;不然,需要用户来阐发该CA文凭的CA根文凭指纹是否真的。
【例如】
# 成就考证CA根文凭时使用的MD5指纹。(仅非FIPS模式下复古)
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] root-certificate fingerprint md5 12EF53FA355CD23E12EF53FA355CD23E
# 成就考证CA根文凭时使用的SHA1指纹。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] root-certificate fingerprint sha1 D1526110AAD7527FB093ED7FC037B0B3CDDDAD93
【策动号召】
· certificate request mode
· pki import
· pki retrieve-certificate
1.1.40 rulerule号召用来成就文凭属性的探问收敛规矩。
undo rule号召用来删除指定的文凭属性探问收敛规矩。
【号召】
rule [ id ] { deny | permit } group-name
undo rule id
【缺省情况】
不存在文凭属性的探问收敛规矩。
【视图】
文凭探问收敛政策视图
【缺省用户扮装】
network-admin
【参数】
id:文凭属性探问收敛规矩编号,取值范围为1~16,缺省值为现时还未被使用的且正当的最小编号,取值越小优先级越高。
deny:当文凭的属性与所关联的属性组匹配时,以为该文凭无效,未通过探问收敛政策的检测。
permit:当文凭的属性与所关联的属性组匹配时,以为该文凭灵验,通过了探问收敛政策的检测。
group-name:规矩所关联的文凭属性组称呼,为1~31个字符的字符串,不折柳大小写。
【使用带领】
成就文凭属性探问收敛规矩时,不错关联一个现时并不存在的文凭属性组,后续不错通过号召pki certificate attribute-group完成相应的成就。
若规矩所关联的文凭属性组中莫得界说任何属性规矩(通过号召attribute成就),或关联的文凭属性组不存在,则以为被检测的文凭属性与该属性组匹配。
要是一个探问收敛政策中有多个规矩,则按照规矩编号从小到大的规章遍历通盘规矩,一朝文凭与某一个规矩匹配,则立即杀青检测,不再不时匹配其它规矩;若遍历完通盘规矩后,文凭莫得与任何规矩匹配,则以为该文凭不成通过探问收敛政策的检测。
【例如】
# 成就一个探问收敛规矩,要求当文凭与文凭属性组mygroup匹配时,以为该文凭灵验,通过了探问收敛政策的检测。
<Sysname> system-view
[Sysname] pki certificate access-control-policy mypolicy
[Sysname-pki-cert-acp-mypolicy] rule 1 permit mygroup
【策动号召】
· attribute
· display pki certificate access-control-policy
· pki certificate attribute-group
1.1.41 sourcesource号召用来指定PKI操作产生的公约报文使用的源IP地址。
undo source号召用来取消指定的源IP地址。
【号召】
source { ip | ipv6 } { ip-address | interface interface-type interface-number }
undo source
【缺省情况】
PKI操作产生的公约报文的源IP地址为系统凭证路由表项查找到的出接口的地址。
【视图】
PKI域视图
【缺省用户扮装】
network-admin
【参数】
ip ip-address:指定源IPv4地址。
ipv6 ip-address:指定源IPv6地址。
interface interface-type interface-number:指定该接口的主IPv4地址或接口上最小的IPv6地址为源IP地址。interface-type interface-number暗意接口类型和接口编号。
【使用带领】
要是但愿PKI操作产生的公约报文的源IP地址是一个特定的地址,则需要成就此号召,例如CA做事器上的政策要求仅承袭来自指定地址或网段的文凭苦求。要是该IP地址是动态获取的,则不错指定一个接口,使用该接口上的IP地址算作源地址。
此处指定的源IP地址,必须与CA做事器之间路由可达。
一个PKI域中只可存在一个源IP地址,后成就的见效。
【例如】
# 指定PKI操作产生的公约报文的源IP地址为111.1.1.8。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] source ip 111.1.1.8
# 指定PKI操作产生的公约报文的源IPv6地址为1::8。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] source ipv6 1::8
# 指定PKI操作产生的公约报文的源IP地址为接口GigabitEthernet2/0/1的IP地址。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] source ip interface gigabitethernet 2/0/1
# 指定PKI操作产生的公约报文的源IPv6地址为接口GigabitEthernet2/0/1的IPv6地址。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] source ipv6 interface gigabitethernet 2/0/1
1.1.42 statestate号召用来成就PKI实体所属的州或省的称呼。
undo state号召用来删除成就的PKI所属的州或省的称呼。
【号召】
state state-name
undo state
【缺省情况】
未成就PKI实体所属的州或省的称呼。
【视图】
PKI实体视图
【缺省用户扮装】
network-admin
【参数】
state-name:PKI实体所属的州或省的称呼,为1~63个字符的字符串,折柳大小写,不成包含逗号。
【例如】
# 成就PKI实体en场所省为countryA。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] state countryA
1.1.43 usageusage号召用来指定文凭的推广用途。
undo usage号召用来删除指定文凭的推广用途。
【号召】
usage { ike | ssl-client | ssl-server } *
undo usage [ ike | ssl-client | ssl-server ] *
【缺省情况】
未指定文凭的推广用途,暗意可用于通盘用途。
【视图】
PKI域视图
【缺省用户扮装】
network-admin
【参数】
ike:指定文凭推广用途为IKE,即IKE平等体使用的文凭。
ssl-client:指定文凭推广用途为SSL客户端,即SSL客户端使用的文凭。
ssl-server:指定文凭推广用途为SSL做事器端,即SSL做事器端使用的文凭。
【使用带领】
若不指定任何参数,则undo usage号召暗意删除通盘指定的文凭推广用途,文凭的用途由文凭的使用者决定,PKI不作念任何纵容。
文凭中佩带的推广用途与CA做事器的政策策动,苦求到的文凭中的推广用途可能与此处指定的不完全一致,最终请以CA做事器的本色情况为准。
【例如】
# 指定文凭推广用途为IKE。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] usage ike李蓉蓉 麻豆