国产情色 H3C E128C & E152C & E500C & E500D系列以太网交换机 敕令参考
国产情色
1.1 PKI配置敕令 1.1.1 attributeattribute敕令用来配置属性轨则,用于字据文凭的颁发者名、主落款以及备用主落款来过滤文凭。
undo attribute敕令用来删除文凭属性轨则。
【敕令】
attribute id { alt-subject-name { fqdn | ip } | { issuer-name | subject-name } { dn | fqdn | ip } } { ctn | equ | nctn | nequ } attribute-value
undo attribute id
【缺省情况】
不存在属性轨则,即对文凭的颁发者名、主落款以及备用主落款莫得限定。
【视图】
文凭属性组视图
【缺省用户变装】
network-admin
【参数】
id:文凭属性轨则序号,取值限制为1~16。
alt-subject-name:暗示文凭备用主落款(Subject Alternative Name)。
fqdn:指定实体的FQDN。
ip:指定实体的IP地址。
dn:指定实体的DN。
issuer-name:暗示文凭颁发者名(Issuer Name)。
subject-name:暗示文凭主落款(Subject Name)。
ctn:暗示包含操作。
equ:暗示十分操作。
nctn:暗示不包含操作。
nequ:暗示不等操作。
attribute-value:指定文凭属性值,为1~255个字符的字符串,不区别大小写。
【使用指引】
各文凭属性中可包含的属性域个数有所不同:
· 主落款和颁发者名中均只可包含一个DN,但是均不错同期包含多个FQDN和IP;
· 备用主落款中不可包含DN,但是不错同期包含多个FQDN和IP。
不同类型的文凭属性域与操作关节字的组合代表了不同的匹配要求,具体如下表所示:
表1-1 对文凭属性域的操作涵义
操作
DN
FQDN/IP
ctn
DN中包含指定的属性值
任性一个FQDN/IP中包含了指定的属性值
nctn
DN中不包含指定的属性值
总计FQDN/IP中均不包含指定的属性值
equ
DN等于指定的属性值
任性一个FQDN/IP等于指定的属性值
nequ
DN不等于指定的属性值
总计FQDN/IP均不等于指定的属性值
淌若文凭的相应属性中包含了属性轨则里指定的属性域,且餍足属性轨则中界说的匹配要求,则觉得该属性与属性轨则相匹配。例如:属性轨则2中界说,文凭的主落款DN中包含字符串abc。淌若某文凭的主落款的DN中如实包含了字符串abc,则觉得该文凭的主落款与属性轨则2匹配。
只须文凭中的相应属性与某属性组中的总计属性轨则王人匹配上,才觉得该文凭与此属性组匹配。淌若文凭中的某属性中莫得包含属性轨则中指定的属性域,或者不餍足属性轨则中的匹配要求,则觉得该文凭与此属性组不匹配。
【例如】
# 创建一个名为mygroup的文凭属性组,并投入文凭属性组视图。
telegram 文爱<Sysname> system-view
[Sysname] pki certificate attribute-group mygroup
# 创建文凭属性轨则1,界说文凭主落款中的DN包含字符串abc。
[Sysname-pki-cert-attribute-group-mygroup] attribute 1 subject-name dn ctn abc
# 创建文凭属性轨则2,界说文凭颁发者名中的FQDN不等于字符串abc。
[Sysname-pki-cert-attribute-group-mygroup] attribute 2 issuer-name fqdn nequ abc
# 创建文凭属性轨则3,界说文凭主题备用名中的IP地址不等于10.0.0.1。
[Sysname-pki-cert-attribute-group-mygroup] attribute 3 alt-subject-name ip nequ 10.0.0.1
【有关敕令】
· display pki certificate attribute-group
· rule
1.1.2 ca identifierca identifier敕令用来指定确立信任的CA称号。
undo ca identifier敕令用来收复缺省情况。
【敕令】
ca identifier name
undo ca identifier
【缺省情况】
未指定确立信任的CA。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
name:确立信任的CA称号,为1~63个字符的字符串,区别大小写。
【使用指引】
获取CA文凭时,必须指定信任的CA称号,这个称号会被动作SCEP音书的一部分发送给CA就业器。但是一般情况下,CA就业器会忽略收到的SCEP音书中的CA称号的具体内容。但是淌若在消除台就业器上配置了两个CA,且它们的URL是同样的,则就业器将字据SCEP音书中的CA称号采用对应的CA。因此,使用此敕令指定的CA称号必须与但愿获取的CA文凭对应的CA称号一致。
【例如】
# 指定确立信任的CA称号为new-ca。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] ca identifier new-ca
1.1.3 certificate request entitycertificate request entity敕令用来指定用于苦求文凭的PKI实体称号。
undo certificate request entity敕令用来收复缺省情况。
【敕令】
certificate request entity entity-name
undo certificate request entity
【缺省情况】
未指定确立苦求文凭所使用的PKI实体称号。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
entity-name:用于苦求文凭的PKI实体称号,为1~31个字符的字符串,不区别大小写。
【使用指引】
本敕令用于在PKI域中指定苦求文凭的PKI实体。PKI实体姿色了苦求文凭的实体的各式属性(通用名、组织部门、组织、地舆区域、省、国度、FQDN、IP),这些属性用于姿色PKI实体的身份信息。
一个PKI域中只可指定一个PKI实体称号,屡次施行本敕令,临了一次施行的敕令收效。
【例如】
# 指定苦求文凭的PKI实体称号为en1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request entity en1
【有关敕令】
· pki entity
1.1.4 certificate request fromcertificate request from敕令用来配置文凭苦求的注册受理机构。
undo certificate request from敕令用来收复缺省情况。
【敕令】
certificate request from { ca | ra }
undo certificate request from
【缺省情况】
未指定文凭苦求的注册受理机构。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
ca:暗示实体从CA苦求文凭。
ra:暗示实体从RA苦求文凭。
【使用指引】
采用从CA照旧RA苦求文凭,由CA就业器决定,需要了解CA就业器上由什么机构来受理文凭苦求。
保举使用孤独运行的RA动作注册受理机构。
【例如】
# 指定实体从RA苦求文凭。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request from ra
1.1.5 certificate request modecertificate request mode敕令用来配置文凭苦求方式。
undo certificate request mode敕令用来收复缺省情况。
【敕令】
certificate request mode { auto [ password { cipher | simple } string ] | manual }
undo certificate request mode
【缺省情况】
文凭苦求方式为手工方式。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
auto:暗示用自动方式苦求文凭。
password:指定根除文凭时使用的密码。
cipher:以密文方式确立密码。
simple:以明文方式确立密码,该密码将以密文形式存储。
string:密码字符串,区别大小写。明文密码为1~31个字符的字符串,密文密码为1~73个字符的字符串。
manual:暗示用手工方式苦求文凭。
【使用指引】
两种苦求方式王人属于在线苦求,具体情况如下:
· 淌若是自动方式,则确立会在与PKI域关联的运用(例如IKE)需要作念身份认证时,自动向文凭注册机构发起获取CA文凭和苦求土产货文凭的操作。自动方式下,不错指定根除文凭时使用的密码,是否需要指定密码是由CA就业器的计谋决定的。
· 淌若为手工方式,则需要手工完成获取CA文凭、苦求土产货文凭的操作。
【例如】
# 指定文凭苦求方式为自动方式。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request mode auto
# 指定文凭苦求方式为自动方式,并确立根除文凭时使用的密码为明文123456。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request mode auto password simple 123456
【有关敕令】
· pki request-certificate
1.1.6 certificate request pollingcertificate request polling敕令用来配置文凭苦求情景的查询周期和最大次数。
undo certificate request polling敕令用来收复缺省情况。
【敕令】
certificate request polling { count count | interval interval }
undo certificate request polling { count | interval }
【缺省情况】
文凭苦求情景的查询周期为20分钟,最多查询50次。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
count count:暗示文凭苦求情景的查询次数,取值限制为1~100。
interval interval:暗示文凭苦求情景的查询周期,取值限制为5~168,单元为分钟。
【使用指引】
确立发送文凭苦求后,淌若CA就业器接纳手工方式来签发文凭苦求,则不会坐窝反映确立的苦求。这种情况下,确立通过按期向CA就业器发送情景查询音书,大要实时获取到被CA签发的文凭。CA签发文凭后,确立将通过发送情景查询得到文凭,之后住手发送情景查询音书。淌若达到最大查询次数时,CA就业器仍未签发文凭,则确立住手发送情景查询音书,本次文凭苦求失败。
淌若CA就业器接纳自动签发文凭的方式,则确立不错坐窝得到文凭,这种情况下确立不会向CA就业器发送情景查询音书。
【例如】
# 指定文凭苦求情景的查询周期为15分钟,最多查询40次。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request polling interval 15
[Sysname-pki-domain-aaa] certificate request polling count 40
【有关敕令】
· display pki certificate request-status
1.1.7 certificate request urlcertificate request url敕令用来配置实体通过SCEP进行文凭苦求的注册受理机构就业器的URL。
undo certificate request url敕令用来收复缺省情况。
【敕令】
certificate request url url-string
undo certificate request url
【缺省情况】
未指定注册受理机构就业器的URL。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
url-string:暗示文凭苦求的注册受理机构就业器的URL,为1~511个字符的字符串,区别大小写。骨子可输入的URL长度解任令行允许输入的最大字符数限定。
【使用指引】
本敕令配置的URL内容包括注册受理机构就业器的位置及CGI敕令接口剧本位置,款式为_location/cgi_script_location。
【例如】
# 指定实体进行文凭苦求的注册受理机构就业器的URL为。
<Sysname> system-view
[Sysname] pki domain a
[Sysname-pki-domain-a] certificate request url
1.1.8 common-namecommon-name敕令用来配置PKI实体的通用名,比如用户称号。
undo common-name敕令用来收复缺省情况。
【敕令】
common-name common-name-sting
undo common-name
【缺省情况】
未配置PKI实体的通用名。
【视图】
PKI实体视图
【缺省用户变装】
network-admin
【参数】
common-name-sting:PKI实体的通用名,为1~63个字符的字符串,区别大小写,不可包含逗号。
【例如】
# 配置PKI实体en的通用名为test。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] common-name test
1.1.9 countrycountry敕令用来配置PKI实体所属的国度代码。
undo country敕令用来收复缺省情况。
【敕令】
country country-code-string
undo country
【缺省情况】
未配置PKI实体所属的国度代码。
【视图】
PKI实体视图
【缺省用户变装】
network-admin
【参数】
country-code-string:PKI实体所属的国度代码,为尺度的两字符代码,区别大小写,例如中国为CN。
【例如】
# 配置PKI实体en所属的国度代码为CN。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] country CN
1.1.10 crl checkcrl check enable敕令用来开启CRL查验。
undo crl check enable敕令用来关闭CRL查验。
【敕令】
crl check enable
undo crl check enable
【缺省情况】
CRL查验处于开启情景。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【使用指引】
CRL(Certificate Revocation List,文凭毁灭列表)是一个由CA签发的文献,该文献中包含被该CA根除的总计文凭的列表。一个文凭有可能在有用期达到之前被CA根除。使能CRL查验的主义是稽查确立上的实体文凭或者行将要导入、获取到确立上的实体文凭是否照旧被CA根除,若查验成果标明实体文凭已被根除,那么该文凭就不被确立信任。
【例如】
# 谢绝CRL查验。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] undo crl check enable
【有关敕令】
· pki import
· pki retrieve-certificate
· pki validate-certificate
1.1.11 crl urlcrl url敕令用来确立CRL发布点的URL。
undo crl url敕令用来收复缺省情况。
【敕令】
crl url url-string
undo crl url
【缺省情况】
未确立CRL发布点的URL。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
url-string:暗示CRL发布点的URL,为1~511个字符的字符串,区别大小写。款式为ldap://server_location或_location。骨子可输入的URL长度解任令行允许输入的最大字符数限定。
【使用指引】
淌若CRL查验处于使能情景,则进行CRL查验之前,需要率先从PKI域指定的CRL发布点获取CRL。若PKI域中未配置CRL发布点的URL时,从该待考据的文凭中获取发布点信息:优先获取待考据的文凭中记载的发布点,淌若待考据的文凭中莫得记载发布点,则获取CA文凭中记载的发布点(若待考据的文凭为CA文凭,则获取上一级CA文凭中记载的发布点)。淌若无法通过任何路线得到发布点,则通过SCEP契约获取CRL。
若配置了LDAP款式的CRL发布点URL,则暗示要通过LDAP契约获取CRL。若该URL中未佩戴主机名,则需要字据PKI域中配置的LDAP就业器地址信息来得到无缺的LDAP发布点URL。
【例如】
# 指定CRL发布点的URL为。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] crl url
【有关敕令】
· ldap-server
· pki retrieve-crl
1.1.12 display pki certificate access-control-policydisplay pki certificate access-control-policy敕令用来领略文凭造访适度计谋的配置信息。
【敕令】
display pki certificate access-control-policy [ policy-name ]
【视图】
任性视图
【缺省用户变装】
network-admin
network-operator
【参数】
policy-name:指定文凭造访适度计谋称号,为1~31个字符的字符串,不区别大小写。
【使用指引】
若不指定文凭造访适度计谋的称号,则领略总计文凭造访适度计谋的配置信息。
【例如】
# 领略文凭造访适度计谋mypolicy的配置信息。
<Sysname> display pki certificate access-control-policy mypolicy
Access control policy name: mypolicy
Rule 1 deny mygroup1
Rule 2 permit mygroup2
# 领略总计文凭属性造访适度计谋的配置信息。
<Sysname> display pki certificate access-control-policy
Total PKI certificate access control policies: 2
Access control policy name: mypolicy1
Rule 1 deny mygroup1
Rule 2 permit mygroup2
Access control policy name: mypolicy2
Rule 1 deny mygroup3
Rule 2 permit mygroup4
表1-2 display pki certificate access-control-policy敕令领略信息姿色表
字段
姿色
Total PKI certificate access control policies
PKI文凭造访适度计谋的总额
Access control policy name
文凭造访适度计谋名
Rule number
造访适度轨则编号
permit
当文凭的属性与属性组里界说的属性匹配时,觉得该文凭有用,通过了造访适度计谋的检测
deny
当文凭的属性与属性组里界说的属性匹配时,觉得该文凭无效,未通过造访适度计谋的检测
【有关敕令】
· pki certificate access-control-policy
· rule
1.1.13 display pki certificate attribute-groupdisplay pki certificate attribute-group敕令用来领略文凭属性组的配置信息。
【敕令】
display pki certificate attribute-group [ group-name ]
【视图】
任性视图
【缺省用户变装】
network-admin
network-operator
【参数】
group-name:指定文凭属性组名,为1~31个字符的字符串,不区别大小写。
【使用指引】
若不指定文凭属性组的称号,则领略总计文凭属性组的配置信息。
【例如】
# 领略文凭属性组mygroup的信息。
<Sysname> display pki certificate attribute-group mygroup
Attribute group name: mygroup
Attribute 1 subject-name dn ctn abc
Attribute 2 issuer-name fqdn nctn app
# 领略总计文凭属性组的信息。
<Sysname> display pki certificate attribute-group
Total PKI certificate attribute groups: 2.
Attribute group name: mygroup1
Attribute 1 subject-name dn ctn abc
Attribute 2 issuer-name fqdn nctn app
Attribute group name: mygroup2
Attribute 1 subject-name dn ctn def
Attribute 2 issuer-name fqdn nctn fqd
表1-3 display pki certificate attribute-group敕令领略信息姿色表
字段
姿色
Total PKI certificate attribute groups
PKI文凭属性组的总额
Attribute group name
文凭属性组称号
Attribute number
属性轨则编号
subject-name
文凭主落款
alt-subject-name
文凭备用主落款
issuer-name
文凭颁发者名
dn
实体的DN
fqdn
实体的FQDN
ip
实体的IP地址
ctn
暗示包含操作
nctn
暗示不包含操作
equ
暗示等于操作
nequ
暗示不等操作
Attribute 1 subject-name dn ctn abc
属性轨则内容,包括以下参数:
· alt-subject-name:暗示文凭备用主落款
· issuer-name:暗示文凭颁发者名
· subject-name:暗示文凭主落款
· fqdn:暗示实体的FQDN
· ip:暗示实体的IP地址
· dn:暗示实体的DN
· ctn:暗示包含操作
· equ:暗示十分操作
· nctn:暗示不包含操作
· nequ:暗示不等操作
【有关敕令】
· attribute
· pki certificate attribute-group
1.1.14 display pki certificate domaindisplay pki certificate domain敕令用来领略文凭的内容。
【敕令】
display pki certificate domain domain-name { ca | local | peer [ serial serial-num ] }
【视图】
任性视图
【缺省用户变装】
network-admin
network-operator
【参数】
domain-name:领略指定文凭方位的PKI域的称号,为1~31个字符的字符串,不区别大小写,不可包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:领略CA文凭。
local:领略土产货文凭。
peer:领略对端文凭。
serial serial-num:指定要领略的对端文凭的序列号。
【使用指引】
领略CA文凭时,会领略此PKI域中总计CA文凭的细心信息,若PKI域中存在RA文凭,则同期领略RA文凭的细心信息。
领略土产货文凭时,会领略此PKI域中总计土产货文凭的细心信息。
领略对端文凭时,淌若不指定序列号,将领略总计对端文凭的简要信息;淌若指定序列号,将领略该序号对应的指定对端文凭的细心信息。
【例如】
# 领略PKI域aaa中的CA文凭。
<Sysname> display pki certificate domain aaa ca
Certificate:
Data:
Version: 1 (0x0)
Serial Number:
5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=cn, O=docm, OU=rnd, CN=rootca
Validity
Not Before: Jan 6 02:51:41 2011 GMT
Not After : Dec 7 03:12:05 2013 GMT
Subject: C=cn, O=ccc, OU=ppp, CN=rootca
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c4:fd:97:2c:51:36:df:4c:ea:e8:c8:70:66:f0:
28:98:ec:5a:ee:d7:35:af:86:c4:49:76:6e:dd:40:
4a:9e:8d:c0:cb:d9:10:9b:61:eb:0c:e0:22:ce:f6:
57:7c:bb:bb:1b:1d:b6:81:ad:90:77:3d:25:21:e6:
7e:11:0a:d8:1d:3c:8e:a4:17:1e:8c:38:da:97:f6:
6d:be:09:e3:5f:21:c5:a0:6f:27:4b:e3:fb:9f:cd:
c1:91:18:ff:16:ee:d8:cf:8c:e3:4c:a3:1b:08:5d:
84:7e:11:32:5f:1a:f8:35:25:c0:7e:10:bd:aa:0f:
52:db:7b:cd:5d:2b:66:5a:fb
Exponent: 65537 (0x10001)
Signature Algorithm: sha1WithRSAEncryption
6d:b1:4e:d7:ef:bb:1d:67:53:67:d0:8f:7c:96:1d:2a:03:98:
3b:48:41:08:a4:8f:a9:c1:98:e3:ac:7d:05:54:7c:34:d5:ee:
09:5a:11:e3:c8:7a:ab:3b:27:d7:62:a7:bb:bc:7e:12:5e:9e:
4c:1c:4a:9f:d7:89:ca:20:46:de:c5:b3:ce:36:ca:5e:6e:dc:
e7:c6:fe:3f:c5:38:dd:d5:a3:36:ad:f4:3d:e6:32:7f:48:df:
07:f0:a2:32:89:86:72:22:cd:ed:e5:0f:95:df:9c:75:71:e7:
fe:34:c5:a0:64:1c:f0:5c:e4:8f:d3:00:bd:fa:90:b6:64:d8:
88:a6
# 领略PKI域aaa中的土产货文凭。
<Sysname> display pki certificate domain aaa local
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
bc:05:70:1f:0e:da:0d:10:16:1e
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=CN, O=sec, OU=software, CN=abdfdc
Validity
Not Before: Jan 7 20:05:44 2011 GMT
Not After : Jan 7 20:05:44 2012 GMT
Subject: O=OpenCA Labs, OU=Users, CN=fips fips-sec
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:b2:38:ad:8c:7d:78:38:37:88:ce:cc:97:17:39:
52:e1:99:b3:de:73:8b:ad:a8:04:f9:a1:f9:0d:67:
d8:95:e2:26:a4:0b:c2:8c:63:32:5d:38:3e:fd:b7:
4a:83:69:0e:3e:24:e4:ab:91:6c:56:51:88:93:9e:
12:a4:30:ad:ae:72:57:a7:ba:fb:bc:ac:20:8a:21:
46:ea:e8:93:55:f3:41:49:e9:9d:cc:ec:76:13:fd:
a5:8d:cb:5b:45:08:b7:d1:c5:b5:58:89:47:ce:12:
bd:5c:ce:b6:17:2f:e0:fc:c0:3e:b7:c4:99:31:5b:
8a:f0:ea:02:fd:2d:44:7a:67
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Cert Type:
SSL Client, S/MIME
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Client Authentication, E-mail Protection, Microsoft Smartcardlogin
Netscape Comment:
User Certificate of OpenCA Labs
X509v3 Subject Key Identifier:
91:95:51:DD:BF:4F:55:FA:E4:C4:D0:10:C2:A1:C2:99:AF:A5:CB:30
X509v3 Authority Key Identifier:
keyid:DF:D2:C9:1A:06:1F:BC:61:54:39:FE:12:C4:22:64:EB:57:3B:11:9F
X509v3 Subject Alternative Name:
email:fips@ccc.com
X509v3 Issuer Alternative Name:
email:pki@openca.org
Authority Information Access:
CA Issuers - URI:
OCSP - URI::2560/
1.3.6.1.5.5.7.48.12 - URI::830/
X509v3 CRL Distribution Points:
Full Name:
URI:
Signature Algorithm: sha256WithRSAEncryption
94:ef:56:70:48:66:be:8f:9d:bb:77:0f:c9:f4:65:77:e3:bd:
ea:9a:b8:24:ae:a1:38:2d:f4:ab:e8:0e:93:c2:30:33:c8:ef:
f5:e9:eb:9d:37:04:6f:99:bd:b2:c0:e9:eb:b1:19:7e:e3:cb:
95:cd:6c:b8:47:e2:cf:18:8d:99:f4:11:74:b1:1b:86:92:98:
af:a2:34:f7:1b:15:ee:ea:91:ed:51:17:d0:76:ec:22:4c:56:
da:d6:d1:3c:f2:43:31:4f:1d:20:c8:c2:c3:4d:e5:92:29:ee:
43:c6:d7:72:92:e8:13:87:38:9a:9c:cd:54:38:b2:ad:ba:aa:
f9:a4:68:b5:2a:df:9a:31:2f:42:80:0c:0c:d9:6d:b3:ab:0f:
dd:a0:2c:c0:aa:16:81:aa:d9:33:ca:01:75:94:92:44:05:1a:
65:41:fa:1e:41:b5:8a:cc:2b:09:6e:67:70:c4:ed:b4:bc:28:
04:50:a6:33:65:6d:49:3c:fc:a8:93:88:53:94:4c:af:23:64:
cb:af:e3:02:d1:b6:59:5f:95:52:6d:00:00:a0:cb:75:cf:b4:
50:c5:50:00:65:f4:7d:69:cc:2d:68:a4:13:5c:ef:75:aa:8f:
3f:ca:fa:eb:4d:d5:5d:27:db:46:c7:f4:7d:3a:b2:fb:a7:c9:
de:18:9d:c1
# 领略PKI域aaa中的总计对端文凭的简要信息。
<Sysname> display pki certificate domain aaa peer
Total peer certificates: 1
Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7
Subject Name: CN=sldsslserver
# 领略PKI域aaa中的一个特定序号的对端文凭的细心信息。
<Sysname> display pki certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
9a:03:37:eb:21:56:ba:1f:54:76:e4:d7:54:a5:a9:f7
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=cn, O=ccc, OU=sec, CN=ssl
Validity
Not Before: Oct 15 01:23:06 2010 GMT
Not After : Jul 26 06:30:54 2012 GMT
Subject: CN=sldsslserver
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c2:cf:37:76:93:29:5e:cd:0e:77:48:3a:4d:0f:
a6:28:a4:60:f8:31:56:28:7f:81:e3:17:47:78:98:
68:03:5b:72:f4:57:d3:bf:c5:30:32:0d:58:72:67:
04:06:61:08:3b:e9:ac:53:b9:e7:69:68:1a:23:f2:
97:4c:26:14:c2:b5:d9:34:8b:ee:c1:ef:af:1a:f4:
39:da:c5:ae:ab:56:95:b5:be:0e:c3:46:35:c1:52:
29:9c:b7:46:f2:27:80:2d:a4:65:9a:81:78:53:d4:
ca:d3:f5:f3:92:54:85:b3:ab:55:a5:03:96:2b:19:
8b:a3:4d:b2:17:08:8d:dd:81
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Authority Key Identifier:
keyid:9A:83:29:13:29:D9:62:83:CB:41:D4:75:2E:52:A1:66:38:3C:90:11
X509v3 Key Usage: critical
Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Key Agreement
Netscape Cert Type:
SSL Server
X509v3 Subject Alternative Name:
DNS:docm.com
X509v3 Subject Key Identifier:
3C:76:95:9B:DD:C2:7F:5F:98:83:B7:C7:A0:F8:99:1E:4B:D7:2F:26
X509v3 CRL Distribution Points:
Full Name:
URI::447/ssl.crl
Signature Algorithm: sha1WithRSAEncryption
61:2d:79:c7:49:16:e3:be:25:bb:8b:70:37:31:32:e5:d3:e3:
31:2c:2d:c1:f9:bf:50:ad:35:4b:c1:90:8c:65:79:b6:5f:59:
36:24:c7:14:63:44:17:1e:e4:cf:10:69:fc:93:e9:70:53:3c:
85:aa:40:7e:b5:47:75:0f:f0:b2:da:b4:a5:50:dd:06:4a:d5:
17:a5:ca:20:19:2c:e9:78:02:bd:19:77:da:07:1a:42:df:72:
ad:07:7d:e5:16:d6:75:eb:6e:06:58:ee:76:31:63:db:96:a2:
ad:83:b6:bb:ba:4b:79:59:9d:59:6c:77:59:5b:d9:07:33:a8:
f0:a5
表1-4 display pki certificate敕令领略信息姿色表
字段
姿色
Version
文凭版块号
Serial Number
文凭序列号
Signature Algorithm
签名算法
Issuer
文凭颁发者
Validity
文凭有用期
Subject
文凭所属的实体信息
Subject Public Key Info
文凭所属的实体的公钥信息
X509v3 extensions
X.509版块3款式的文凭彭胀属性
【有关敕令】
· pki domain
· pki retrieve-certificate
1.1.15 display pki certificate request-statusdisplay pki certificate request-status敕令用来领略文凭的苦求情景。
【敕令】
display pki certificate request-status [ domain domain-name ]
【视图】
任性视图
【缺省用户变装】
network-admin
network-operator
【参数】
domain domain-name:指定文凭方位的PKI域的称号,为1~31个字符的字符串,不区别大小写,不可包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用指引】
若不指定PKI域的称号,则领略总计PKI域的文凭苦求情景。
【例如】
# 领略PKI域aaa的文凭苦求情景。
<Sysname> display pki certificate request-status domain aaa
Certificate Request Transaction 1
Domain name: aaa
Status: Pending
Key usage: General
Remain polling attempts: 10
Next polling attempt after : 1191 seconds
# 领略总计PKI域的文凭苦求情景。
<Sysname> display pki certificate request-status
Certificate Request Transaction 1
Domain name: domain1
Status: Pending
Key usage: General
Remain polling attempts: 10
Next polling attempt after : 1191 seconds
Certificate Request Transaction 2
Domain name: domain2
Status: Pending
Key usage: Signature
Remain polling attempts: 10
Next polling attempt after : 188 seconds
表1-5 display pki certificate request敕令领略信息姿色表
字段
姿色
Certificate Request Transaction number
文凭苦求任务的编号,从1运行轨则编号
Domain name
PKI域名
Status
文凭苦求情景。现在,仅有一种取值Pending,暗示恭候
Key usage
文凭用途,包括以下取值:
· General:暗示通用,既不错用于加密也不错用于签名
· Signature:暗示用于签名
· Encryption:暗示用于加密
Remain polling attempts
剩余的文凭苦求情景的查询次数
Next polling attempt after
现时到下次查询文凭苦求情景的时常代隔,单元为秒
【有关敕令】
· certificate request polling
· pki domain
· pki retrieve-certificate
1.1.16 display pki crl domaindisplay pki crl domain敕令用来领略存储在土产货的CRL。
【敕令】
display pki crl domain domain-name
【视图】
任性视图
【缺省用户变装】
network-admin
network-operator
【参数】
domain domain-name:指定CRL方位的PKI域的称号,为1~31个字符的字符串,不区别大小写,不可包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用指引】
用户不错通过该敕令稽查文凭根除列表,看所需的文凭是否照旧被根除。
【例如】
# 领略PKI域aaa存储在土产货的CRL。
<Sysname> display pki crl domain aaa
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: /C=cn/O=docm/OU=sec/CN=therootca
Last Update: Apr 28 01:42:13 2011 GMT
Next Update: NONE
CRL extensions:
X509v3 CRL Number:
6
X509v3 Authority Key Identifier:
keyid:49:25:DB:07:3A:C4:8A:C2:B5:A0:64:A5:F1:54:93:69:14:51:11:EF
Revoked Certificates:
Serial Number: CDE626BF7A44A727B25F9CD81475C004
Revocation Date: Apr 28 01:37:52 2011 GMT
CRL entry extensions:
Invalidity Date:
Apr 28 01:37:49 2011 GMT
Serial Number: FCADFA81E1F56F43D3F2D3EF7EB56DE5
Revocation Date: Apr 28 01:33:28 2011 GMT
CRL entry extensions:
Invalidity Date:
Apr 28 01:33:09 2011 GMT
Signature Algorithm: sha1WithRSAEncryption
57:ac:00:3e:1e:e2:5f:59:62:04:05:9b:c7:61:58:2a:df:a4:
5c:e5:c0:14:af:c8:e7:de:cf:2a:0a:31:7d:32:da:be:cd:6a:
36:b5:83:e8:95:06:bd:b4:c0:36:fe:91:7c:77:d9:00:0f:9e:
99:03:65:9e:0c:9c:16:22:ef:4a:40:ec:59:40:60:53:4a:fc:
8e:47:57:23:e0:75:0a:a4:1c:0e:2f:3d:e0:b2:87:4d:61:8a:
4a:cb:cb:37:af:51:bd:53:78:76:a1:16:3d:0b:89:01:91:61:
52:d0:6f:5c:09:59:15:be:b8:68:65:0c:5d:1b:a1:f8:42:04:
ba:aa
表1-6 display pki crl domain领略信息姿色表
字段
姿色
Version
CRL版块号
Signature Algorithm
CA签名该CRL接纳的签名算法
Issuer
颁发该CRL的CA文凭称号
Last Update
前次更新CRL的时期
Next Update
下次更新CRL的时期
CRL extensions
CRL彭胀属性
X509v3 CRL Number
X509版块3款式的CRL序号
X509v3 Authority Key Identifier
X509版块3款式的签发该CRL的CA的符号符
keyid
公钥符号符
一个CA可能有多个密钥对,该字段用于符号CA用哪个密钥对对该CRL进行签名
Revoked Certificates
取销的文凭信息
Serial Number
被根除文凭的序列号
Revocation Date
文凭被根除的日历
CRL entry extensions:
CRL样貌彭胀属性
Signature Algorithm:
签名算法以及签名数据
【有关敕令】
· pki retrieve-crl
1.1.17 fqdnfqdn敕令用来配置PKI实体的FQDN。
undo fqdn敕令用来收复缺省情况。
【敕令】
fqdn fqdn-name-string
undo fqdn
【缺省情况】
未配置PKI实体的FQDN。
【视图】
PKI实体视图
【缺省用户变装】
network-admin
【参数】
fqdn-name-string:PKI实体的FQDN,为1~255个字符的字符串,区别大小写。形式为hostname@domainname
【使用指引】
FQDN是实体在采鸠合的唯独符号,由一个主机名和一个域名构成。
【例如】
# 配置PKI实体en的FQDN为abc@pki.domain.com。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] fqdn abc@pki.domain.com
1.1.18 ipip敕令用来配置PKI实体的IP地址。
undo ip敕令用来收复缺省情况。
【敕令】
ip { ip-address | interface interface-type interface-number }
undo ip
【缺省情况】
未配置PKI实体的IP地址。
【视图】
PKI实体视图
【缺省用户变装】
network-admin
【参数】
ip-address:指定PKI实体的IP地址。
interface interface-type interface-numbe:指定接口的主IP地址动作PKI实体的IP地址。interface-type interface-number暗示接口类型及接口编号。
【使用指引】
通过本敕令,不错径直指定PKI实体的IP地址,也不错指定确立上某接口的主IP地址动作PKI实体的IP地址。淌若指定使用某接口的IP地址,则不要求本配置施行时该接口上照旧配置了IP地址,只须确立苦求文凭时,该接口上配置了IP地址,就不错径直使用该地址动作PKI实体身份的一部分。
【例如】
# 配置PKI实体en的IP地址为192.168.0.2。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] ip 192.168.0.2
1.1.19 ldap-serverldap-server敕令用来指定LDAP就业器。
undo ldap-server敕令用来收复缺省情况。
【敕令】
ldap-server host hostname [ port port-number ]
undo ldap-server
【缺省情况】
未指定LDAP就业器。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
host hostname:LDAP就业器的主机名,为1~255个字符的字符串,区别大小写,相沿IPv4与IPv6地址的暗示表率以及DNS域名的暗示表率。
port port-number:LDAP就业器的端标语,取值限制为1~65535,缺省值为389。
【使用指引】
以下两种情况下,需要配置LDAP就业器:
· 通过LDAP契约获取土产货文凭或对端文凭时,需要指定LDAP就业器。
· 通过LDAP契约获取CRL时,若PKI域中配置的LDAP款式的CRL发布点URL中未佩戴主机名或IP地址,则需要字据此处配置的LDAP就业器地址来得到无缺的LDAP发布点URL。
在一个PKI域中,只可指定一个LDAP就业器,屡次施行本敕令,临了一次施行的敕令收效。
【例如】
# 指定LDAP就业器的IP地址为10.0.0.1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] ldap-server host 10.0.0.1
【有关敕令】
· pki retrieve-certificate
· pki retrieve-crl
1.1.20 localitylocality敕令用来配置PKI实体方位的地舆区域称号,比如城市称号。
undo locality敕令用来收复缺省情况。
【敕令】
locality locality-name
undo locality
【缺省情况】
未配置PKI实体方位的地舆区域称号。
【视图】
PKI实体视图
【缺省用户变装】
network-admin
【参数】
locality-name:PKI实体方位的地舆区域的称号,为1~63个字符的字符串,区别大小写,不可包含逗号。
【例如】
# 配置PKI实体en方位地舆区域的称号为pukras。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] locality pukras
1.1.21 organizationorganization敕令用来配置PKI实体所属组织的称号。
undo organization敕令用来收复缺省情况。
【敕令】
organization org-name
undo organization
【缺省情况】
未配置PKI实体所属组织称号。
【视图】
PKI实体视图
【缺省用户变装】
network-admin
【参数】
org-name:PKI实体所属的组织称号,为1~63个字符的字符串,区别大小写,不可包含逗号。
【例如】
# 配置PKI实体en所属的组织称号为abc。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] organization abc
1.1.22 organization-unitorganization-unit敕令用来指定实体所属的组织部门的称号。
undo organization-unit敕令用来收复缺省情况。
【敕令】
organization-unit org-unit-name
undo organization-unit
【缺省情况】
未配置PKI实体所属组织部门的称号。
【视图】
PKI实体视图
【缺省用户变装】
network-admin
【参数】
org-unit-name:PKI实体所属组织部门的称号,为1~63个字符的字符串,区别大小写,不可包含逗号。使用该参数可在消除个组织内区别不同部门的PKI实体。
【例如】
# 配置PKI实体en所属组织部门的称号为rdtest。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] organization-unit rdtest
1.1.23 pki abort-certificate-requestpki abort-certificate-request敕令用来住手文凭苦求经过。
【敕令】
pki abort-certificate-request domain domain-name
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
domain domain-name:指定文凭方位的PKI域的称号,为1~31个字符的字符串,不区别大小写,不可包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用指引】
用户在文凭苦求时,可能由于某种原因需要篡改文凭苦求的一些参数,比如通用名、国度代码、FQDN等,而此时文凭苦求正在运行,为了新的苦求不与之前的苦求发生破裂,提出先住手之前的苦求款式,再进行新的苦求。
【例如】
# 住手文凭苦求经过。
<Sysname> system-view
[Sysname] pki abort-certificate-request domain 1
The certificate request is in process.
Confirm to abort it? [Y/N]:y
【有关敕令】
· display pki certificate request-status
· pki request-certificate domain
1.1.24 pki certificate access-control-policypki certificate access-control-policy敕令用来创建文凭造访适度计谋,并投入文凭造访适度计谋视图。淌若指定的文凭造访适度计谋已存在,则径直投入其视图。
undo pki certificate access-control-policy敕令用来删除指定的文凭造访适度计谋。
【敕令】
pki certificate access-control-policy policy-name
undo pki certificate access-control-policy policy-name
【缺省情况】
不存在文凭造访适度计谋。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
policy-name:暗示文凭造访适度计谋称号,为1~31个字符的字符串,不区别大小写。
【使用指引】
一个文凭造访适度计谋中不错界说多个文凭属性的造访适度轨则。
【例如】
# 配置一个称号为mypolicy的文凭造访适度计谋,并投入文凭造访适度计谋视图。
<Sysname> system-view
[Sysname] pki certificate access-control-policy mypolicy
[Sysname-pki-cert-acp-mypolicy]
【有关敕令】
· display pki certificate access-control-policy
· rule
1.1.25 pki certificate attribute-grouppki certificate attribute-group敕令用来创建文凭属性组并投入文凭属性组视图。淌若指定的文凭属性组已存在,则径直投入其视图。
undo pki certificate attribute-group敕令用来删除指定的文凭属性组。
【敕令】
pki certificate attribute-group group-name
undo pki certificate attribute-group group-name
【缺省情况】
不存在文凭属性组。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
group-name:文凭属性组称号,为1~31个字符的字符串,不区别大小写。
【使用指引】
一个文凭属性组便是一系列文凭属性轨则(通过attribute敕令配置)的和洽,这些属性轨则界说了对文凭的颁发者名、主落款以及备用主落款进行过滤的匹配要求。当文凭属性组下莫得任何属性轨则时,则觉得对文凭的属性莫得任何限定。
【例如】
# 创建一个名为mygroup的文凭属性组,并投入文凭属性组视图。
<Sysname> system-view
[Sysname] pki certificate attribute-group mygroup
[Sysname-pki-cert-attribute-group-mygroup]
【有关敕令】
· attribute
· display pki certificate attribute-group
· rule
1.1.26 pki delete-certificatepki delete-certificate敕令用来删除PKI域中的文凭。
【敕令】
pki delete-certificate domain domain-name { ca | local | peer [ serial serial-num ] }
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
domain domain-name:文凭方位的PKI域的称号,为1~31个字符的字符串,不区别大小写,不可包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:暗示删除CA文凭。
local:暗示删除土产货文凭。
peer:暗示删除对端文凭。
serial serial-num:暗示通过指定序列号删除一个指定的对端文凭。serial-num为对端文凭的序列号,为1~127个字符的字符串,不区别大小写。在每个CA签发的文凭限制内,序列号不错唯独符号一个文凭。淌若不指定本参数,则暗示删除本PKI域中的总计对端文凭。
【使用指引】
删除CA文凭时将同期删除方位PKI域中的土产货文凭和总计对端文凭,以及CRL。
淌若需要删除指定的对端文凭,则需要率先通过display pki certificate敕令稽查本域中已有的对端文凭的序列号,然后再通过指定序列号的方式删除该对端文凭。
【例如】
# 删除PKI域aaa中的CA文凭。
<Sysname> system-view
[Sysname] pki delete-certificate domain aaa ca
Local certificates, peer certificates and CRL will also be deleted while deleting the CA certificate.
Confirm to delete the CA certificate? [Y/N]:y
[Sysname]
# 删除PKI域aaa中的土产货文凭。
<Sysname> system-view
[Sysname] pki delete-certificate domain aaa local
[Sysname]
# 删除PKI域aaa中的总计对端文凭。
<Sysname> system-view
[Sysname] pki delete-certificate domain aaa peer
[Sysname]
# 率先稽查PKI域aaa中的对端文凭,然后通过指定序列号的方式删除对端文凭。
<Sysname> system-view
[Sysname] display pki certificate domain aaa peer
Total peer certificates: 1
Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7
Subject Name: CN=abc
[Sysname] pki delete-certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7
【有关敕令】
· display pki certificate
1.1.27 pki domainpki domain敕令用来创建PKI域,并投入PKI域视图。淌若指定的PKI域已存在,则径直投入PKI域视图。
undo pki domain敕令用来删除指定的PKI域。
【敕令】
pki domain domain-name
undo pki domain domain-name
【缺省情况】
不存在PKI域。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
domain-name:PKI域名,为1~31个字符的字符串,不区别大小写,不可包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用指引】
删除PKI域的同期,会将该域有关的文凭和CRL王人删除去,因此请慎重操作。
【例如】
# 创建PKI域aaa并投入PKI域视图。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa]
1.1.28 pki entitypki entity敕令用来创建PKI实体,并投入PKI实体视图。淌若指定的PKI实体已存在,则径直投入PKI实体视图。
undo pki entity敕令用来删除指定的PKI实体。
【敕令】
pki entity entity-name
undo pki entity entity-name
【缺省情况】
不存在PKI实体。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
entity-name:PKI实体的称号,为1~31个字符的字符串,不区别大小写。
【使用指引】
在PKI实体视图下可配置PKI实体的各式属性(通用名、组织部门、组织、地舆区域、省、国度、FQDN、IP),这些属性用于姿色PKI实体的身份信息。当苦求文凭时,PKI实体的信息将动作文凭中主题(Subjuct)部分的内容。
【例如】
# 创建称号为en的PKI实体,并投入该实体视图。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en]
【有关敕令】
· pki domain
1.1.29 pki exportpki export敕令用来将PKI域中的CA文凭、土产货文凭导出到文献中或末端上。
【敕令】
pki export domain domain-name der { all | ca | local } filename filename
pki export domain domain-name p12 { all | local } passphrase p12-key filename filename
pki export domain domain-name pem { { all | local } [ { 3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc } pem-key ] | ca } [ filename filename ]
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
domain domain-name:文凭方位的PKI域的称号,为1~31个字符的字符串,不区别大小写,不可包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
der:指定文凭文献款式为DER编码(包括PKCS#7款式的文凭)。
p12:指定文凭文献款式为PKCS#12编码。
pem:指定文凭文献款式为PEM编码。
all:暗示导出总计文凭,包括PKI域中总计的CA文凭和土产货文凭,但不包括RA文凭。
ca:暗示导出CA文凭。
local:暗示导出土产货文凭或者土产货文凭和其对应私钥。
passphrase p12-key:指定对PKCS12编码款式的土产货文凭对应的私钥进行加密所接纳的口令。
3des-cbc:对土产货文凭对应的私钥数据接纳3DES_CBC算法进行加密。
aes-128-cbc:对土产货文凭对应的私钥数据接纳128位AES_CBC算法进行加密。
aes-192-cbc:对土产货文凭对应的私钥数据接纳192位AES_CBC算法进行加密。
aes-256-cbc:对土产货文凭对应的私钥数据接纳256位AES_CBC算法进行加密。
des-cbc:对土产货文凭对应的私钥数据接纳DES_CBC算法进行加密。
pem-key:指定对PEM编码款式的土产货文凭对应的私钥进行加密所接纳的口令。
filename filename:指定保存文凭的文献名,不区别大小写。淌若不指定本参数,则暗示要将文凭径直导出到末端上领略,这种方式仅PEM编码款式的文凭才相沿。
【使用指引】
导出CA文凭时,淌若PKI域中只须一个CA文凭则导出单个CA文凭到用户指定的一个文献或末端,淌若是一个CA文凭链则导出通盘CA文凭链到用户指定的一个文献或末端。
导出土产货文凭时,确立上骨子保存文凭的文凭文献称号并不一定是用户指定的称号,它与土产货文凭的密钥对用途有关,具体的定名轨则如下(假定用户指定的文献名为certificate):
· 淌若土产货文凭的密钥对用途为签名,则文凭文献称号为certificate-signature;
· 淌若土产货文凭的密钥对用途为加密,则文凭文献称号为certificate-encryption;
· 淌若土产货文凭的密钥对用途为通用(RSA/ECDSA/DSA),则文凭文献称号为用户输入的certificate。
导出土产货文凭时,淌若PKI域中有两个土产货文凭,则导出成果如下:
· 若指定文献名,则将每个土产货文凭分别导出到一个单独的文献中;
· 若不指定文献名,则将总计土产货文凭一次性沿途导出到末端上,并由不同的辅导信息进行分割领略。
导出总计文凭时,淌若PKI域中只须土产货文凭或者只须CA文凭,则导出成果与单独导出同样。淌若PKI域中存在土产货文凭和CA文凭,则具体导出成果如下:
· 若指定文献名,则将每个土产货文凭分别导出到一个单独的文献,该土产货文凭对应的无缺CA文凭链也会同期导出到该文献中。
· 若不指定文献名,则将总计的土产货文凭及域中的CA文凭或者CA文凭链一次性沿途导出到末端上,并由不同的辅导信息进行分割领略。
以PKCS12款式导出总计文凭时,PKI域中必须有土产货文凭,不然会导出失败。
以PEM款式导出土产货文凭或者总计文凭时,若不指定私钥的加密算法和私钥加密口令,则不会导出土产货文凭对应的私钥信息。
以PEM款式导出土产货文凭或者总计文凭时,若指定私钥加密算法和私钥加密口令,且此时土产货文凭有匹配的私钥,则同期导出土产货文凭的私钥信息;淌若此时土产货文凭莫得匹配的私钥,则导出该土产货文凭失败。
导出土产货文凭时,若现时PKI域中的密钥对配置已被修改,导致土产货文凭的公钥与该密钥对的公钥部分不匹配,则导出该土产货文凭失败。
导出土产货文凭或者总计文凭时,淌若PKI域中有两个土产货文凭,则导出某种密钥用途的土产货文凭失败并不会影响导出另外一个土产货文凭。
指定的文献名中不错带无缺旅途,当系统中不存在用户所指定旅途时,则会导出失败。
【例如】
# 导出PKI域中的CA文凭到DER编码的文献,文献称号为cert-ca.der。
<Sysname> system-view
[Sysname] pki export domain domain1 der ca filename cert-ca.der
# 导出PKI域中的土产货文凭到DER编码的文献,文献称号为cert-lo.der。
<Sysname> system-view
[Sysname] pki export domain domain1 der local filename cert-lo.der
# 导出PKI域中的总计文凭到DER编码的文献,文献称号为cert-all.p7b。
<Sysname> system-view
[Sysname] pki export domain domain1 der all filename cert-all.p7b
# 导出PKI域中的CA文凭到PEM编码的文献,文献称号为cacert。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca filename cacert
# 导出PKI域中的土产货文凭偏激对应的私钥到PEM编码的文献,指定保护私钥信息的加密算法为DES_CBC、加密口令为111,文献称号为local.pem。
<Sysname> system-view
[Sysname] pki export domain domain1 pem local des-cbc 111 filename local.pem
# 导出PKI域中总计文凭到PEM编码的文献,不指定加密算法和加密口令,不导出土产货文凭对应的私钥信息,文献称号为all.pem。
<Sysname> system-view
[Sysname] pki export domain domain1 pem all filename all.pem
# 以PEM款式导出PKI域中土产货文凭偏激对应的私钥到末端,指定保护私钥信息的加密算法为DES_CBC、加密口令为111。
<Sysname> system-view
[Sysname] pki export domain domain1 pem local des-cbc 111
%The signature usage local certificate:
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
subject=/C=CN/O=OpenCA Labs/OU=Users/CN=chktest chktest
issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
-----BEGIN CERTIFICATE-----
MIIEqjCCA5KgAwIBAgILAOhID4rI04kBfYgwDQYJKoZIhvcNAQELBQAwRTELMAkG
A1UEBhMCQ04xFDASBgNVBAoMC09wZW5DQSBMYWJzMREwDwYDVQQLDAhzb2Z0d2Fy
ZTENMAsGA1UEAwwEYWJjZDAeFw0xMTA0MjYxMzMxMjlaFw0xMjA0MjUxMzMxMjla
ME0xCzAJBgNVBAYTAkNOMRQwEgYDVQQKDAtPcGVuQ0EgTGFiczEOMAwGA1UECwwF
VXNlcnMxGDAWBgNVBAMMD2Noa3Rlc3QgY2hrdGVzdDCBnzANBgkqhkiG9w0BAQEF
AAOBjQAwgYkCgYEA54rUZ0Ux2kApceE4ATpQ437CU6ovuHS5eJKZyky8fhMoTHhE
jE2KfBQIzOZSgo2mdgpkccjr9Ek6IUC03ed1lPn0IG/YaAl4Tjgkiv+w1NrlSvAy
cnPaSUko2QbO9sg3ycye1zqpbbqj775ulGpcXyXYD9OY63/Cp5+DRQ92zGsCAwEA
AaOCAhUwggIRMAkGA1UdEwQCMAAwUAYDVR0gBEkwRzAGBgQqAwMEMAYGBCoDAwUw
NQYEKgMDBjAtMCsGCCsGAQUFBwIBFh9odHRwczovL3RpdGFuL3BraS9wdWIvY3Bz
L2Jhc2ljMBEGCWCGSAGG+EIBAQQEAwIFoDALBgNVHQ8EBAMCBsAwKQYDVR0lBCIw
IAYIKwYBBQUHAwIGCCsGAQUFBwMEBgorBgEEAYI3FAICMC4GCWCGSAGG+EIBDQQh
Fh9Vc2VyIENlcnRpZmljYXRlIG9mIE9wZW5DQSBMYWJzMB0GA1UdDgQWBBTPw8FY
ut7Xr2Ct/23zU/ybgU9dQjAfBgNVHSMEGDAWgBQzEQ58yIC54wxodp6JzZvn/gx0
CDAaBgNVHREEEzARgQ9jaGt0ZXN0QGgzYy5jb20wGQYDVR0SBBIwEIEOcGtpQG9w
ZW5jYS5vcmcwgYEGCCsGAQUFBwEBBHUwczAyBggrBgEFBQcwAoYmaHR0cDovL3Rp
dGFuL3BraS9wdWIvY2FjZXJ0L2NhY2VydC5jcnQwHgYIKwYBBQUHMAGGEmh0dHA6
Ly90aXRhbjoyNTYwLzAdBggrBgEFBQcwDIYRaHR0cDovL3RpdGFuOjgzMC8wPAYD
VR0fBDUwMzAxoC+gLYYraHR0cDovLzE5Mi4xNjguNDAuMTI4L3BraS9wdWIvY3Js
L2NhY3JsLmNybDANBgkqhkiG9w0BAQsFAAOCAQEAGcMeSpBJiuRmsJW0iZK5nygB
tgD8c0b+n4v/F36sJjY1fRFSr4gPLIxZhPWhTrqsCd+QMELRCDNHDxvt3/1NEG12
X6BVjLcKXKH/EQe0fnwK+7PegAJ15P56xDeACHz2oysvNQ0Ot6hGylMqaZ8pKUKv
UDS8c+HgIBrhmxvXztI08N1imYHq27Wy9j6NpSS60mMFmI5whzCWfTSHzqlT2DNd
no0id18SZidApfCZL8zoMWEFI163JZSarv+H5Kbb063dxXfbsqX9Noxggh0gD8dK
7X7/rTJuuhTWVof5gxSUJp+aCCdvSKg0lvJY+tJeXoaznrINVw3SuXJ+Ax8GEw==
-----END CERTIFICATE-----
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----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-----END ENCRYPTED PRIVATE KEY-----
# 以PEM款式导出PKI域中总计文凭到末端,指定保护土产货文凭对应私钥的加密算法为DES_CBC、加密口令为111。
<Sysname> system-view
[Sysname] pki export domain domain1 pem all des-cbc 111
%The signature usage local certificate:
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
subject=/C=CN/O=OpenCA Labs/OU=Users/CN=chktest chktest
issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
Bag Attributes: <No Attributes>
subject=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
-----BEGIN CERTIFICATE-----
MIIEYTCCA0mgAwIBAgIBFzANBgkqhkiG9w0BAQsFADBFMQswCQYDVQQGEwJDTjEU
MBIGA1UECgwLT3BlbkNBIExhYnMxETAPBgNVBAsMCHNvZnR3YXJlMQ0wCwYDVQQD
DARhYmNkMB4XDTExMDQxODExNDQ0N1oXDTEzMDQxNzExNDQ0N1owRTELMAkGA1UE
BhMCQ04xFDASBgNVBAoMC09wZW5DQSBMYWJzMREwDwYDVQQLDAhzb2Z0d2FyZTEN
MAsGA1UEAwwEYWJjZDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAM1g
vomMF8S4u6q51bOwjKFUBwxyvOy4D897LmOSedaCyDt6Lvp+PBEHfwWBYBpsHhk7
kmnSNhX5dZ6NxunHaARZ2VlcctsYKyvAQapuaThy1tuOcphAB+jQQL9dPoqdk0xp
jvmPDlW+k832Konn9U4dIivS0n+/KMGh0g5UyzHGqUUOo7s9qFuQf5EjQon40TZg
BwUnFYRlvGe7bSQpXjwi8LTyxHPy+dDVjO5CP+rXx5IiToFy1YGWewkyn/WeswDf
Yx7ZludNus5vKWTihgx2Qalgb+sqUMwI/WUET7ghO2dRxPUdUbgIYF0saTndKPYd
4oBgl6M0SMsHhe9nF5UCAwEAAaOCAVowggFWMA8GA1UdEwEB/wQFMAMBAf8wCwYD
VR0PBAQDAgEGMB0GA1UdDgQWBBQzEQ58yIC54wxodp6JzZvn/gx0CDAfBgNVHSME
GDAWgBQzEQ58yIC54wxodp6JzZvn/gx0CDAZBgNVHREEEjAQgQ5wa2lAb3BlbmNh
Lm9yZzAZBgNVHRIEEjAQgQ5wa2lAb3BlbmNhLm9yZzCBgQYIKwYBBQUHAQEEdTBz
MDIGCCsGAQUFBzAChiZodHRwOi8mdcGl0YW4vcGtpL3B1Yi9jYWNlcnQvY2FjZXJ0
LmNydDAeBggrBgEFBQcwAYYSaHR0cDovL3RpdGFuOjI1NjAvMB0GCCsGAQUFBzAM
hhFodHRwOi8mdcGl0YW46ODMwLzA8BgNVHR8ENTAzMDGgL6AthitodHRwOi8vMTky
LjE2OC40MC4xMjgvcGtpL3B1Yi9jcmwvY2FjcmwuY3JsMA0GCSqGSIb3DQEBCwUA
A4IBAQC0q0SSmvQNfa5ELtRKYF62C/Y8QTLbk6lZDTZuIzN15SGKQcbNM970ffCD
Lk1zosyEVE7PLnii3bZ5khcGO3byyXfluAqRyOGVJcudaw7uIQqgv0AJQ+zaQSHi
d4kQf5QWgYkQ55/C5puOmcMRgCbMpR2lYkqXLDjTIAZIHRZ/sTp6c+ie2bFxi/YT
3xYbO0wDMuGOKJJpsyKTKcbG9NdfbDyFgzEYAobyYqAUB3C0/bMfBduwhQWKSoYE
6vZsPGAEisCmAl3dIp49jPgVkixoShraYF1jLsWzJGlzem8QvWYzOqKEDwq3SV0Z
cXK8gzDBcsobcUMkwIYPAmd1kAPX
-----END CERTIFICATE-----
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----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-----END ENCRYPTED PRIVATE KEY-----
# 以PEM款式导出PKI域中CA文凭到末端。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# 导出PKI域中CA文凭到PEM编码的文献,指定文献称号为cacert。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca filename cacert
# 导出PKI域中CA文凭(文凭链)到末端。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# 导出PKI域中的土产货文凭偏激对应的私钥到PKCS12编码的文献,指定保护私钥信息的加密口令为123,文献称号为cert-lo.der。
<Sysname> system-view
[Sysname] pki export domain domain1 p12 local passphrase 123 filename cert-lo.der
# 导出PKI域中的总计文凭到PKCS12编码的文献,指定文献称号为cert-all.p7b。
<Sysname> system-view
[Sysname] pki export domain domain1 p12 all passphrase 123 filename cert-all.p7b
【有关敕令】
· pki domain
1.1.30 pki importpki import敕令用来将CA文凭、土产货文凭或对端文凭导入到指定的PKI域中保存。
【敕令】
pki import domain domain-name { der { ca | local | peer } filename filename | p12 local filename filename | pem { ca | local | peer } [ filename filename ] }
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
domain domain-name:保存文凭的PKI域的称号,为1~31个字符的字符串,不区别大小写,不可包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
der:指定文凭文献款式为DER编码(包括PKCS#7款式的文凭)。
p12:指定文凭文献款式为PKCS#12编码。
pem:指定文凭文献款式为PEM编码。
ca:暗示CA文凭。
local:暗示土产货文凭。
peer:暗示对端文凭。
filename filename:要导入的文凭方位的文献名,不区别大小写。淌若不指定本参数,则暗示要通过径直在末端上粘贴文凭内容的方式导入文凭,这种方式仅PEM编码款式的文凭才相沿。
【使用指引】
淌若确立所处的环境中,莫得文凭的发布点,或者CA就业器不相沿通过SCEP契约与确立交互,则可通过此敕令将文凭导入到确立。另外,当文凭对应的密钥对由CA就业器生成时,CA就业器会将文凭和对应的密钥对打包成一个文献,使用这么的文凭前也需要通过此敕令将其导入到确立。只须PKCS#12款式或PEM款式的文凭文献中可能包含密钥对。
文凭导入之前:
· 需要通过FTP、TFTP等契约将文凭文献传送到确立的存储介质中。淌若确立所处的环境不允许使用FTP、TFTP等契约,则不错径直在末端上粘贴文凭的内容,但是粘贴的文凭必须是PEM款式的,因为只须PEM编码的文凭内容为可打印字符。
· 必须存在签发土产货文凭(或对端文凭)的CA文凭链本事告成导入土产货文凭(或对端文凭),这里的CA文凭链不错是保存在确立上的PKI域中的,也不错是土产货文凭(或对端文凭)中佩戴的。因此,若确立和土产货文凭(或对端文凭)中王人莫得CA文凭链,则需要率先施行导入CA文凭的敕令。
导入土产货文凭或对端文凭时:
· 淌若用户要导入的土产货文凭(或对端文凭)中含有CA文凭链,则不错通过导入土产货文凭(或对端文凭)的敕令一次性将CA文凭和土产货文凭(或对端文凭)均导入到确立。导入的经过中,淌若发现签发此土产货文凭(或对端文凭)的CA文凭照旧存在于确立上的任一PKI域中,则系统会辅导用户是否将其进行笼罩。
· 淌若要导入的土产货文凭(或对端文凭)中不含有CA文凭链,但签发此土产货文凭(或对端文凭)的CA文凭照旧存在于确立上的任一PKI域中,则不错径直导入土产货文凭(或对端文凭)。
导入CA文凭时:
· 若要导入的CA文凭为根CA或者包含了无缺的文凭链(即含有根文凭),则不错导入到确立。
· 若要导入的CA文凭莫得包含无缺的文凭链(即不含有根文凭),但大要与确立上已有的CA文凭拼接成无缺的文凭链,则也不错导入到确立;淌若不可与确立上已有的CA文凭拼接成完成的文凭链,则不可导入到确立。
一些情况下,在文凭导入的经过中,需要用户阐明或输入有关信息:
· 若要导入的文凭文献中包含了根文凭,且确立上现在还莫得任何PKI域中有此根文凭,且要导入的PKI域中莫得配置root-certificate fingerprint,则在导入经过中还需要阐明该根文凭的指纹信息是否与用户的预期一致。用户需要通过联系CA就业器处理员来获取预期的根文凭指纹信息。
· 当导入含有密钥对的土产货文凭时,需要输进口令。用户需要联系CA就业器处理员取得口令的内容。
导入含有密钥对的土产货文凭时,系统帅先会字据查找到的PKI域中已有的密钥对配置来保存该密钥对。若PKI域中已保存了对应的密钥对,则确立会辅导用户采用是否笼罩已有的密钥对。若PKI域中莫得任何密钥对的配置,则字据密钥对的算法及文凭的密钥用途,生成相应的密钥对配置。密钥对的具体保存轨则如下:
· 淌若土产货文凭佩戴的密钥对的用途为通用,则治安查找指定PKI域中通用用途、签名用途、加密用途的密钥对配置,并以找到配置中的密钥对称号保存该密钥对;若以上用途的密钥对配置均不存在,则辅导用户输入密钥对称号(缺省的密钥对称号为PKI域的称号),并生成相应的密钥对配置。
· 淌若土产货文凭佩戴的密钥对的用途为签名,则治安查找指定PKI域中通用用途、签名用途的密钥对配置,并以找到配置中的密钥对称号保存该密钥对;若以上两种用途的密钥对配置均不存在,则辅导用户输入密钥对称号(缺省的密钥对称号为PKI域的称号),并生成相应的密钥对配置。
· 淌若土产货文凭佩戴的密钥对的用途为加密,则查找指定PKI域中加密用途的密钥对配置,并以该配置中的密钥对称号保存密钥对;若加密用途密钥对的配置不存在,则辅导用户输入密钥对称号(缺省的密钥对称号为PKI域的称号),并生成相应的密钥对配置。
由于以上经过中系统会自动更新或生成密钥对配置,因此提出用户在进行此类导入操作后,保存配置文献。
【例如】
# 向PKI域aaa中导入CA文凭,文凭文献款式为PEM编码,文凭文献称号为rootca_pem.cer,文凭文献中包含根文凭。
<Sysname> system-view
[Sysname] pki import domain aaa pem ca filename rootca_pem.cer
The trusted CA's finger print is:
MD5 fingerprint:FFFF 3EFF FFFF 37FF FFFF 137B FFFF 7535
SHA1 fingerprint:FFFF FF7F FF2B FFFF 7618 FF4C FFFF 0A7D FFFF FF69
Is the finger print correct?(Y/N):y
[Sysname]
# 向PKI域bbb中导入CA文凭,文凭文献款式为PEM编码,文凭文献称号为aca_pem.cer,文凭文献中不包含根文凭。
<Sysname> system-view
[Sysname] pki import domain bbb pem ca filename aca_pem.cer
[Sysname]
# 向PKI域bbb中导入土产货文凭,文凭文献款式为PKCS#12编码,文凭文献称号为local-ca.p12,文凭文献中包含了密钥对。
<Sysname> system-view
[Sysname] pki import domain bbb p12 local filename local-ca.p12
Please input challenge password:
******
[Sysname]
# 向PKI域bbb中通过粘贴文凭内容的方式导入PEM编码的土产货文凭。文凭中含有密钥对和CA文凭链。
<Sysname> system-view
[Sysname] pki import domain bbb pem local
Enter PEM-formatted certificate.
End with a Ctrl+c on a line by itself.
Bag Attributes
localKeyID: 01 00 00 00
friendlyName: {F7619D96-3AC2-40D4-B6F3-4EAB73DEED73}
Microsoft CSP Name: Microsoft Enhanced Cryptographic Provider v1.0
Key Attributes
X509v3 Key Usage: 10
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,8DCE37F0A61A4B8C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-----END RSA PRIVATE KEY-----
Bag Attributes
localKeyID: 01 00 00 00
subject=/CN=sldsslserver
issuer=/C=cn/O=ccc/OU=sec/CN=ssl
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Bag Attributes: <Empty Attributes>
subject=/C=cn/O=ccc/OU=sec/CN=ssl
issuer=/C=cn/O=ccc/OU=sec/CN=ssl
-----BEGIN CERTIFICATE-----
MIIB7DCCAVUCEG+jJTPxxiE67pl2ff0SnOMwDQYJKoZIhvcNAQEFBQAwNzELMAkG
A1UEBhMCY24xDDAKBgNVBAoTA2gzYzEMMAoGA1UECxMDc2VjMQwwCgYDVQQDEwNz
c2wwHhcNMDkwNzMxMDY0ODQ2WhcNMTIwNzI5MDYyODU4WjA3MQswCQYDVQQGEwJj
bjEMMAoGA1UEChMDaDNjMQwwCgYDVQQLEwNzZWMxDDAKBgNVBAMTA3NzbDCBnzAN
BgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAt8QSMetQ70GONiFh7iJkvGQ8nC15zCF1
cqC/RcJhE/88LkKyQcu9j+Tz8Bk9Qj2UPaZdrk8fOrgtBsa7lZ+UO3j3l30q84l+
HjWq8yxVLRQahU3gqJze6pGR2l0s76u6GRyCX/zizGrHKqYlNnxK44NyRZx2klQ2
tKQAfpXCPIkCAwEAATANBgkqhkiG9w0BAQUFAAOBgQBWsaMgRbBMtYNrrYCMjY6g
c7PBjvajVOKNUMxaDalePmXfKCxl91+PKM7+i8I/zLcoQO+sHbva26a2/C4sNvoJ
2QZs6GtAOahP6CDqXC5VuNBU6eTKNKjL+mf6uuDeMxrlDNha0iymdrXXVIp5cuIu
fl7xgArs8Ks6aXDXM1o4DQ==
-----END CERTIFICATE-----
Please input the password:********
Local certificate already exist, confirm to overwrite it? [Y/N]:y
The PKI domain already has a CA certificate. If it is overwritten, local certificates, peer certificates and CRL of this domain will also be deleted.
Overwrite it? [Y/N]:y
The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).
Please enter the key pair name [default name: bbb]:
The key pair already exists.
Please enter the key pair name:
import-key
【有关敕令】
· display pki certificate
· public-key dsa
· public-key ecdsa
· public-key rsa
1.1.31 pki request-certificatepki request-certificate敕令用来手工苦求土产货文凭或生成PKCS#10文凭苦求。
【敕令】
pki request-certificate domain domain-name [ password password ] [ pkcs10 [ filename filename ] ]
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
domain domain-name:指定文凭苦求所属的PKI域名,为1~31个字符的字符串,不区别大小写,不可包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
password password:在文凭取销时需要提供的口令,为1~31个字符的字符串,区别大小写。该口令包含在提交给CA的文凭苦求中,在根除该文凭时,需要提供该口令。
pkcs10:在末端上领略出BASE64款式的PKCS#10文凭苦求信息,该信息可用于带外方式(如电话、磁盘、电子邮件等)的文凭请求。
filename filename:将PKCS#10款式的文凭苦求信息保存到土产货的文献中。其中,filename暗示保存文凭苦求信息的文献名,不区别大小写。
【使用指引】
当SCEP契约不可闲居通讯时,不错通过施行指定参数pkcs10的本敕令打印出土产货的文凭苦求信息(BASE64款式),或者通过施行指定pkcs10 filename filename参数的本敕令将文凭苦求信息径直保存到土产货的指定文献中,然后通过带外方式将这些土产货文凭苦求信息发送给CA进行文凭苦求。指定的文献名中不错带无缺旅途,当系统中不存在用户所指定旅途时,则会保存失败。
此敕令不会被保存在配置文献中。
【例如】
# 在末端上领略PKCS#10款式的文凭苦求信息。
<Sysname> system-view
[Sysname] pki request-certificate domain aaa pkcs10
*** Request for general certificate ***
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIBTDCBtgIBADANMQswCQYDVQQDEwJqajCBnzANBgkqhkiG9w0BAQEFAAOBjQAw
gYkCgYEAw5Drj8ofs9THA4ezkDcQPBy8pvH1kumampPsJmx8sGG52NFtbrDTnTT5
ALx3LJijB3d/ndKpcHT/DfbJVDCn5gdw32tBZyCkEwMHZN3ol2z7Nmdcu5TED6iN8
4m+hfp1QWoV6lty3o9pxAXuQl8peUDcfN6WV3LBXYyl1WCtkLkECAwEAAaAAMA0G
CSqGSIb3DQEBBAUAA4GBAA8E7BaIdmT6NVCZgv/I/1tqZH3TS4e4H9Qo5NiCKiEw
R8owVmA0XVtGMbyqBNcDTG0f5NbHrXZQT5+MbFJOnm5K/mn1ro5TJKMTKV46PlCZ
JUjsugaY02GBY0BVcylpC9iIXLuXNIqjh1MBIqVsa1lQOHS7YMvnop6hXAQlkM4c
-----END NEW CERTIFICATE REQUEST-----
# 手工苦求土产货文凭。
[Sysname] pki request-certificate domain openca
Start to request the general certificate ...
……
Certificate requested successfully.
【有关敕令】
· display pki certificate
1.1.32 pki retrieve-certificatepki retrieve-certificate敕令用来从文凭发布就业器上在线获取文凭并下载至土产货。
【敕令】
pki retrieve-certificate domain domain-name { ca | local | peer entity-name }
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
domain domain-name:指定文凭方位的PKI域的称号,为1~31个字符的字符串,不区别大小写,不可包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:暗示获取CA文凭。
local:暗示获取土产货文凭。
peer entity-name:暗示获取对端的文凭。其中entity-name为对端的实体名,为1~31个字符的字符串,不区别大小写。
【使用指引】
获取CA文凭是通过SCEP契约进行的。获取CA文凭时,淌若土产货已有CA文凭存在,则该操作将不被允许。这种情况下,若要重新获取CA文凭,请先使用pki delete-certificate敕令删除已有的CA文凭与对应的土产货文凭后,再施行此敕令。
获取土产货文凭和对端文凭是通过LDAP契约进行的。获取土产货文凭或对端文凭时,淌若土产货已有土产货文凭或对端文凭,则该操作是被允许进行的。最终,属于一个PKI实体的消除种公钥算法的土产货文凭只可存在一个,后者径直笼罩已有的,但关于RSA算法的文凭而言,不错存在一个签名用途的文凭和一个加密用途的文凭。
总计获取到的CA文凭、土产货文凭或对端文凭只须通过考据之后才会被保存到土产货文凭库中。
此敕令不会被保存在配置文献中。
【例如】
# 从文凭发布就业器上获取CA文凭。(需要用户阐明CA根文凭的指纹)
<Sysname> system-view
[Sysname] pki retrieve-certificate domain aaa ca
The trusted CA's finger print is:
MD5 fingerprint:5C41 E657 A0D6 ECB4 6BD6 1823 7473 AABC
SHA1 fingerprint:1616 E7A5 D89A 2A99 9419 1C12 D696 8228 87BC C266
Is the finger print correct?(Y/N):y
Retrieved the certificates successfully.
# 从文凭发布就业器上获取土产货文凭。
<Sysname> system-view
[Sysname] pki retrieve-certificate domain aaa local
Retrieved the certificates successfully.
# 从文凭发布就业器上获取对端文凭。
<Sysname> system-view
[Sysname] pki retrieve-certificate domain aaa peer en1
Retrieved the certificates successfully.
【有关敕令】
· display pki certificate
· pki delete-certificate
1.1.33 pki retrieve-crlpki retrieve-crl敕令用来获取CRL并下载至土产货。
【敕令】
pki retrieve-crl domain domain-name
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
domain-name:指定CRL所属的PKI域的称号,为1~31个字符的字符串,不区别大小写,不可包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用指引】
获取CRL的主义是为了考据PKI域中的土产货文凭和对端文凭的正当性。若要告成获取CRL,PKI域中必须存在CA文凭。
确立相沿通过HTTP、LDAP或SCEP契约从CRL发布点上获取CRL,具体接纳那种契约,由PKI域中CRL发布点的配置决定:
· 若配置的CRL发布点URL款式为HTTP款式,则通过HTTP契约获取CRL。
· 若配置的CRL发布点URL款式为LDAP款式,则通过LDAP契约获取CRL。若配置的CRL发布点URL(通过敕令crl url)中衰败主机名,例如ldap:///CN=8088,OU=test,U=rd,C=cn,则还需要在PKI域中配置LDAP就业器的URL(通过敕令ldap server)。此时,确立会将配置的LDAP就业器URL和配置的CRL发布点URL中的不无缺的LDAP发布点组装成无缺的LDAP发布点,再通过LDAP契约获取CRL。
· 若PKI域中莫得配置CRL发布点,则确立会治安从土产货文凭、CA文凭中查找CRL的发布点,淌若从中查找到了CRL发布点,则通过该发布点获取CRL;不然,通过SCEP契约获取CRL。
【例如】
# 从CRL发布点上获取CRL。
<Sysname> system-view
[Sysname] pki retrieve-crl domain aaa
Retrieve CRL of the domain aaa successfully.
【有关敕令】
· crl url
· ldap server
1.1.34 pki storagepki storage敕令用来配置文凭和CRL的存储旅途。
undo pki storage敕令用来收复缺省情况。
【敕令】
pki storage { certificates | crls } dir-path
undo pki storage { certificates | crls }
【缺省情况】
文凭和CRL的存储旅途为确立存储介质上的PKI目次。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
certificates:指定文凭的存储目次。
crls:指定CRL的存储目次。
dir-path:存储目次的旅途称号,区别大小写,不不错‘/’开头,不可包含“../”。dir-path不错是统统旅途也不错是相对旅途,但必须照旧存在。
【使用指引】
dir-path只但是现时主用确立上的旅途,不可是其它从确立上的旅途。
确立缺省的PKI目次在确立初度告成苦求、获取或导入文凭时自动创建。
淌若需要指定的目次还不存在,需要先使用mkdir敕令创建这个目次,再使用此敕令配存储旅途。若修改了文凭或CRL的存储目次,则原存储旅途下的文凭文献(以.cer和.p12为后缀的文献)和CRL文献(以.crl为后缀的文献)将被挪动到该旅途下保存,且原存储旅途下的其它文献不受影响。
【例如】
# 确立文凭的存储旅途为flash:/pki-new。
<Sysname> system-view
[Sysname] pki storage certificates flash:/pki-new
# 确立CRL存储旅途为pki-new。
<Sysname> system-view
[Sysname] pki storage crls pki-new
1.1.35 pki validate-certificatepki validate-certificate敕令用来考据文凭的有用性。
【敕令】
pki validate-certificate domain domain-name { ca | local }
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
domain domain-name:指定文凭方位的PKI域的称号,为1~31个字符的字符串,不区别大小写,不可包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:暗示考据CA文凭。
local:暗示考据土产货文凭。
【使用指引】
文凭考据的内容包括:文凭是否由用户信任的CA签发;文凭是否仍在有用期内;淌若使能了CRL查验功能,还会考据文凭是否被根除。淌若考据文凭的时候,PKI域中莫得CRL,则会先从土产货文凭库中查找是否存在CRL,淌若找到CRL,则把文凭库中保存的CRL加载到该PKI域中,不然,就从CA就业器上获取并保存到土产货。
导入文凭、苦求文凭、获取文凭以及运用款式使用PKI功能时,王人会自动对文凭进行考据,因此一般不需要使用此敕令进行特地的考据。淌若用户但愿在莫得任何前述操作的情况下单独施行文凭的考据,不错使用此敕令。
考据CA文凭时,会对从现时CA到根CA的整条CA文凭链进行CRL查验。
【例如】
# 考据PKI域aaa中的CA文凭的有用性。
<Sysname> system-view
[Sysname] pki validate-certificate domain aaa ca
Verifying certificate......
Serial Number:
f6:3c:15:31:fe:bb:ec:94:dc:3d:b9:3a:d9:07:70:e5
Issuer:
C=cn
O=ccc
OU=ppp
CN=rootca
Subject:
C=cn
O=abc
OU=test
CN=aca
Verify result: OK
Verifying certificate......
Serial Number:
5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6
Issuer:
C=cn
O=ccc
OU=ppp
CN=rootca
Subject:
C=cn
O=ccc
OU=ppp
CN=rootca
Verify result: OK
# 考据PKI域aaa中的土产货文凭的有用性。
<Sysname> system-view
[Sysname] pki validate-certificate domain aaa local
Verifying certificate......
Serial Number:
bc:05:70:1f:0e:da:0d:10:16:1e
Issuer:
C=CN
O=sec
OU=software
CN=bca
Subject:
O=OpenCA Labs
OU=Users
CN=fips fips-sec
Verify result: OK
【有关敕令】
· crl check
· pki domain
1.1.36 public-key dsapublic-key dsa敕令用来指定文凭苦求使用的DSA密钥对。
undo public-key敕令用来收复缺省情况。
【敕令】
public-key dsa name key-name [ length key-length ]
undo public-key
【缺省情况】
未指定文凭苦求使用的密钥对。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
name key-name:密钥对的称号,为1~64个字符的字符串,不区别大小写,只可包含字母、数字和连字符“-”。
length key-length:密钥的长度。非FIPS模式下,key-length的取值限制为512~2048,单元为比特,缺省值为1024;FIPS模式下,key-length的取值为2048,单元为比特,缺省值为2048。密钥越长,密钥安全性越高,但有关的公钥运算越耗时。
【使用指引】
本敕令中援用的密钥对并不要求照旧存在,不错通过以下任性一种路线获取:
· 通过施行public-key local create敕令生成。
· 通过运用款式认证经过触发生成。例如IKE协商经过中,淌若使用数字签名认证方式,则可能会触发生成密钥对。
· 通过导入文凭(使用pki import敕令)的方式从外界获取。
一个PKI域中只可同期存在一种算法(RSA、DSA或ECDSA)的密钥对。在消除个PKI域中屡次施行public-key dsa敕令,临了一次施行的敕令收效。
本敕令中指定的密钥长度仅对将要由确立生成的密钥对有用。淌若施行本敕令时,确立上照旧存在指定称号的密钥对,则后续通过此敕令指定的该密钥对的密钥长度没故敬爱敬爱。淌若指定称号的密钥对是通过导入文凭的方式获取,则通过本敕令指定的密钥长度也没故敬爱敬爱。
【例如】
# 指定文凭苦求所使用的DSA密钥对为abc,密钥的长度为2048比特。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key dsa name abc length 2048
【有关敕令】
· pki import
· public-key local create(安全敕令参考/公钥处理)
1.1.37 public-key ecdsapublic-key ecdsa敕令用来指定文凭苦求使用的ECDSA密钥对。
undo public-key敕令用来收复缺省情况。
【敕令】
非FIPS模式下:
public-key ecdsa name key-name [ secp192r1 | secp256r1 | secp384r1 | secp521r1 ]
undo public-key
FIPS模式下:
public-key ecdsa name key-name [ secp256r1 | secp384r1 | secp521r1 ]
undo public-key
【缺省情况】
未指定文凭苦求使用的密钥对。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
name key-name:密钥对的称号,为1~64个字符的字符串,不区别大小写,只可包含字母、数字和连字符“-”。
secp192r1:密钥对使用的椭圆弧线算法的称号为secp192r1,密钥长度为192比特。
secp256r1:密钥对使用的椭圆弧线算法的称号为secp256r1,密钥长度为256比特。
secp384r1:密钥对使用的椭圆弧线算法的称号为secp384r1,密钥长度为384比特。
secp521r1:密钥对使用的椭圆弧线算法的称号为secp521r1,密钥长度为521比特。
【使用指引】
本敕令中援用的密钥对并不要求照旧存在,不错通过以下任性一种路线获取:
· 通过施行public-key local create敕令生成。
· 通过运用款式认证经过触发生成。例如IKE协商经过中,淌若使用数字签名认证方式,则可能会触发生成密钥对。
· 通过导入文凭(使用pki import敕令)的方式从外界获取。
若未指定任何参数,则在非FIPS模式下缺省使用密钥对secp192r1;在FIPS模式下缺省使用密钥对secp256r1。
一个PKI域中只可同期存在一种算法(RSA、DSA或ECDSA)的密钥对。在消除个PKI域中屡次施行public-key ecdsa敕令,临了一次施行的敕令收效。
本敕令中指定的密钥长度仅对将要由确立生成的密钥对有用。淌若施行本敕令时,确立上照旧存在指定称号的密钥对,则后续通过此敕令指定的该密钥对的密钥长度没故敬爱敬爱。淌若指定称号的密钥对是通过导入文凭的方式获取,则通过本敕令指定的密钥长度也没故敬爱敬爱。
【例如】
# 指定文凭苦求所使用的ECDSA密钥对为abc,椭圆弧线算法的称号为secp384r1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key ecdsa name abc secp384r1
【有关敕令】
· pki import
· public-key local create(安全敕令参考/公钥处理)
1.1.38 public-key rsapublic-key rsa敕令用来指定文凭苦求使用的RSA密钥对。
undo public-key敕令用来收复缺省情况。
【敕令】
public-key rsa { { encryption name encryption-key-name [ length key-length ] | signature name signature-key-name [ length key-length ] } * | general name key-name [ length key-length ] }
undo public-key
【缺省情况】
未指定文凭苦求使用的密钥对。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
encryption:指定密钥对的用途为加密。
name encryption-key-name:加密密钥对的称号,为1~64个字符的字符串,不区别大小写,只可包含字母、数字和连字符“-”。
signature:指定密钥对的用途为签名。
name signature-key-name:签名密钥对的称号,为1~64个字符的字符串,不区别大小写,只可包含字母、数字和连字符“-”。
general:指定密钥对的用途为通用,既不错用于签名也不错用于加密。
name key-name:通用密钥对的称号,为1~64个字符的字符串,不区别大小写,只可包含字母、数字和连字符“-”。
length key-length:密钥的长度。非FIPS模式下,key-length的取值限制为512~2048,单元为比特,缺省为1024;FIPS模式下,key-length的取值为2048,单元为比特,缺省为2048。密钥越长,密钥安全性越高,但有关的公钥运算越耗时。
【使用指引】
本敕令中援用的密钥对并不要求照旧存在,不错通过以下任性一种路线获取:
· 通过施行public-key local create敕令生成。
· 通过运用款式认证经过触发生成。例如IKE协商经过中,淌若使用数字签名认证方式,则可能会触发生成密钥对。
· 通过导入文凭(使用pki import敕令)的方式从外界获取。
一个PKI域中只可同期存在一种算法(RSA、DSA或ECDSA)的密钥对。关于RSA密钥对来说,一个PKI域中只允许单独存在一种用途的RSA密钥对,或同期存在一个用于签名的和一个用于加密的RSA密钥对。因此,在一个PKI域中,RSA签名密钥对和RSA加密密钥对的配置不会相互笼罩。
分别指定RSA签名密钥对和RSA加密密钥对时,它们的密钥长度不错不同样。
本敕令中指定的密钥长度仅对将要由确立生成的密钥对有用。淌若施行本敕令时,确立上照旧存在指定称号的密钥对,则后续通过此敕令指定的该密钥对的密钥长度没故敬爱敬爱。淌若指定称号的密钥对是通过导入文凭的方式获取,则通过本敕令指定的密钥长度也没故敬爱敬爱。
【例如】
# 指定文凭苦求所使用的RSA密钥对为abc,密钥用途为通用,密钥的长度为2048比特。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key rsa general name abc length 2048
# 指定文凭苦求所使用的加密RSA密钥对为rsa1(密钥的长度为2048比特),签名RSA密钥对为sig1(密钥的长度为2048比特)。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key rsa encryption name rsa1 length 2048
[Sysname-pki-domain-aaa] public-key rsa signature name sig1 length 2048
【有关敕令】
· pki import
· public-key local create(安全敕令参考/公钥处理)
1.1.39 root-certificate fingerprintroot-certificate fingerprint敕令用来配置考据CA根文凭时所使用的指纹。
undo root-certificate fingerprint敕令用来收复缺省情况。
【敕令】
非FIPS模式下:
root-certificate fingerprint { md5 | sha1 } string
undo root-certificate fingerprint
FIPS 模式下:
root-certificate fingerprint sha1 string
undo root-certificate fingerprint
【缺省情况】
未指定考据CA根文凭时使用的指纹。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
md5:使用MD5指纹。
sha1:使用SHA1指纹。
string:指定所使用的指纹信息。当采用MD5指纹时,string必须为32个字符的字符串,何况以16进制的形式输入;当采用SHA1指纹时,string必须为40个字符的字符串,何况以16进制的形式输入。
【使用指引】
当土产货文凭苦求模式为自动方式且PKI域中莫得CA文凭时,必须通过本敕令配置考据CA文凭时所使用的指纹。当IKE协商等运用触发确立进行土产货文凭苦求时,确立会自动从CA就业器上获取CA文凭,淌若获取的CA文凭中包含了土产货不存在的CA根文凭,则确立会考据该CA根文凭的指纹。此时,淌若确立上莫得配置CA根文凭指纹或者配置了很是的CA根文凭指纹,则土产货文凭苦求失败。
通过pki import敕令导入CA文凭或者通过pki retrieve-certificate敕令获取CA文凭时,不错采用是否配置考据CA根文凭使用的指纹:淌若PKI域中配置了考据CA根文凭使用的指纹,则当导入的CA文凭文献或者获取的CA文凭中包含土产货不存在的CA根文凭时,径直使用配置的CA根文凭指纹进行考据。淌若配置了很是的CA根文凭指纹,则CA文凭导入和CA文凭获取均会失败;不然,需要用户来阐明该CA文凭的CA根文凭指纹是否真确。
【例如】
# 配置考据CA根文凭时使用的MD5指纹。(仅非FIPS模式下相沿)
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] root-certificate fingerprint md5 12EF53FA355CD23E12EF53FA355CD23E
# 配置考据CA根文凭时使用的SHA1指纹。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] root-certificate fingerprint sha1 D1526110AAD7527FB093ED7FC037B0B3CDDDAD93
【有关敕令】
· certificate request mode
· pki import
· pki retrieve-certificate
1.1.40 rulerule敕令用来配置文凭属性的造访适度轨则。
undo rule敕令用来删除指定的文凭属性造访适度轨则。
【敕令】
rule [ id ] { deny | permit } group-name
undo rule id
【缺省情况】
不存在文凭属性的造访适度轨则。
【视图】
文凭造访适度计谋视图
【缺省用户变装】
network-admin
【参数】
id:文凭属性造访适度轨则编号,取值限制为1~16,缺省值为现时还未被使用的且正当的最小编号,取值越小优先级越高。
deny:当文凭的属性与所关联的属性组匹配时,觉得该文凭无效,未通过造访适度计谋的检测。
permit:当文凭的属性与所关联的属性组匹配时,觉得该文凭有用,通过了造访适度计谋的检测。
group-name:轨则所关联的文凭属性组称号,为1~31个字符的字符串,不区别大小写。
【使用指引】
配置文凭属性造访适度轨则时,不错关联一个现时并不存在的文凭属性组,后续不错通过敕令pki certificate attribute-group完成相应的配置。
若轨则所关联的文凭属性组中莫得界说任何属性轨则(通过敕令attribute配置),或关联的文凭属性组不存在,则觉得被检测的文凭属性与该属性组匹配。
淌若一个造访适度计谋中有多个轨则,则按照轨则编号从小到大的轨则遍历总计轨则,一朝文凭与某一个轨则匹配,则立即罢了检测,不再持续匹配其它轨则;若遍历完总计轨则后,文凭莫得与任何轨则匹配,则觉得该文凭不可通过造访适度计谋的检测。
【例如】
# 配置一个造访适度轨则,要求当文凭与文凭属性组mygroup匹配时,觉得该文凭有用,通过了造访适度计谋的检测。
<Sysname> system-view
[Sysname] pki certificate access-control-policy mypolicy
[Sysname-pki-cert-acp-mypolicy] rule 1 permit mygroup
【有关敕令】
· attribute
· display pki certificate access-control-policy
· pki certificate attribute-group
1.1.41 sourcesource敕令用来指定PKI操作产生的契约报文使用的源IP地址。
undo source敕令用来收复缺省情况。
【敕令】
source { ip | ipv6 } { ip-address | interface interface-type interface-number }
undo source
【缺省情况】
PKI操作产生的契约报文的源IP地址为系统字据路由表项查找到的出接口的地址。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
ip ip-address:指定源IPv4地址。
ipv6 ip-address:指定源IPv6地址。
interface interface-type interface-number:指定该接口的主IPv4地址或接口上最小的IPv6地址为源IP地址。interface-type interface-number暗示接口类型和接口编号。
【使用指引】
淌若但愿PKI操作产生的契约报文的源IP地址是一个特定的地址,则需要配置此敕令,例如CA就业器上的计谋要求仅禁受来自指定地址或网段的文凭苦求。淌若该IP地址是动态获取的,则不错指定一个接口,使用该接口上的IP地址动作源地址。
此处指定的源IP地址,必须与CA就业器之间路由可达。
一个PKI域中只可存在一个源IP地址,后配置的收效。
【例如】
# 指定PKI操作产生的契约报文的源IP地址为111.1.1.8。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] source ip 111.1.1.8
# 指定PKI操作产生的契约报文的源IPv6地址为1::8。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] source ipv6 1::8
# 指定PKI操作产生的契约报文的源IP地址为接口Vlan-interface1的IP地址。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] source ip interface vlan-interface 1
# 指定PKI操作产生的契约报文的源IPv6地址为接口Vlan-interface1的IPv6地址。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] source ipv6 interface vlan-interface 1
1.1.42 statestate敕令用来配置PKI实体所属的州或省的称号。
undo state敕令用来收复缺省情况。
【敕令】
state state-name
undo state
【缺省情况】
未配置PKI实体所属的州或省的称号。
【视图】
PKI实体视图
【缺省用户变装】
network-admin
【参数】
state-name:PKI实体所属的州或省的称号,为1~63个字符的字符串,区别大小写,不可包含逗号。
【例如】
# 配置PKI实体en方位省为countryA。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] state countryA
1.1.43 usageusage敕令用来指定文凭的彭胀用途。
undo usage敕令用来删除指定文凭的彭胀用途。
【敕令】
usage { ike | ssl-client | ssl-server } *
undo usage [ ike | ssl-client | ssl-server ] *
【缺省情况】
未指定文凭的彭胀用途,暗示可用于IKE、SSL客户端和SSL就业器端用途。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
ike:指定文凭彭胀用途为IKE,即IKE平等体使用的文凭。
ssl-client:指定文凭彭胀用途为SSL客户端,即SSL客户端使用的文凭。
ssl-server:指定文凭彭胀用途为SSL就业器端,即SSL就业器端使用的文凭。
【使用指引】
若不指定任何参数,则undo usage敕令暗示删除总计指定的文凭彭胀用途,文凭的用途由文凭的使用者决定,PKI不作念任何放荡。
文凭中佩戴的彭胀用途与CA就业器的计谋有关,苦求到的文凭中的彭胀用途可能与此处指定的不完全一致,最终请以CA就业器的骨子情况为准。
【例如】
# 指定文凭彭胀用途为IKE。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] usage ike国产情色