蕾丝女同蕾丝女同
1.1 PKI配置敕令 1.1.1 attributeattribute敕令用来配置属性礼貌,用于凭证文凭的颁发者名、主落款以及备用主落款来过滤文凭。
undo attribute敕令用来删除文凭属性礼貌。
【敕令】
attribute id { alt-subject-name { fqdn | ip } | { issuer-name | subject-name } { dn | fqdn | ip } } { ctn | equ | nctn | nequ } attribute-value
undo attribute id
【缺省情况】
不存在属性礼貌,即对文凭的颁发者名、主落款以及备用主落款莫得限定。
【视图】
文凭属性组视图
【缺省用户变装】
network-admin
【参数】
id:文凭属性礼貌序号,取值限制为1~16。
alt-subject-name:默示文凭备用主落款(Subject Alternative Name)。
fqdn:指定实体的FQDN。
ip:指定实体的IP地址。
dn:指定实体的DN。
issuer-name:默示文凭颁发者名(Issuer Name)。
subject-name:默示文凭主落款(Subject Name)。
ctn:默示包含操作。
equ:默示相配操作。
nctn:默示不包含操作。
nequ:默示不等操作。
attribute-value:指定文凭属性值,为1~255个字符的字符串,不分离大小写。
【使用带领】
各文凭属性中可包含的属性域个数有所不同:
· 主落款和颁发者名中均只可包含一个DN,但是均不错同期包含多个FQDN和IP;
· 备用主落款中弗成包含DN,但是不错同期包含多个FQDN和IP。
不同类型的文凭属性域与操作重要字的组合代表了不同的匹配要求,具体如下表所示:
表1-1 对文凭属性域的操作涵义
操作
DN
FQDN/IP
ctn
DN中包含指定的属性值
放纵一个FQDN/IP中包含了指定的属性值
nctn
DN中不包含指定的属性值
通盘FQDN/IP中均不包含指定的属性值
equ
DN等于指定的属性值
放纵一个FQDN/IP等于指定的属性值
nequ
DN不等于指定的属性值
通盘FQDN/IP均不等于指定的属性值
若是文凭的相应属性中包含了属性礼貌里指定的属性域,且幽闲属性礼貌中界说的匹配要求,则以为该属性与属性礼貌相匹配。例如:属性礼貌2中界说,文凭的主落款DN中包含字符串abc。若是某文凭的主落款的DN中如实包含了字符串abc,则以为该文凭的主落款与属性礼貌2匹配。
唯有文凭中的相应属性与某属性组中的通盘属性礼貌王人匹配上,才以为该文凭与此属性组匹配。若是文凭中的某属性中莫得包含属性礼貌中指定的属性域,或者不幽闲属性礼貌中的匹配要求,则以为该文凭与此属性组不匹配。
【例如】
# 创建文凭属性礼貌1,界说文凭主落款中的DN包含字符串abc。
<Sysname> system-view
[Sysname] pki certificate attribute-group mygroup
[Sysname-pki-cert-attribute-group-mygroup] attribute 1 subject-name dn ctn abc
# 创建文凭属性礼貌2,界说文凭颁发者名中的FQDN不等于字符串abc。
[Sysname-pki-cert-attribute-group-mygroup] attribute 2 issuer-name fqdn nequ abc
# 创建文凭属性礼貌3,界说文凭主题备用名中的IP地址不等于10.0.0.1。
[Sysname-pki-cert-attribute-group-mygroup] attribute 3 alt-subject-name ip nequ 10.0.0.1
【关联敕令】
· display pki certificate attribute-group
· rule
1.1.2 ca identifierca identifier敕令用来指定缔造信任的CA称呼。
undo ca identifier敕令用来还原缺省情况。
【敕令】
ca identifier name
undo ca identifier
【缺省情况】
未指定缔造信任的CA。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
name:缔造信任的CA称呼,为1~63个字符的字符串,分离大小写。
【使用带领】
获取CA文凭时,必须指定信任的CA称呼,这个称呼会被手脚SCEP音尘的一部分发送给CA劳动器。但是一般情况下,CA劳动器会忽略收到的SCEP音尘中的CA称呼的具体内容。但是若是在归并台劳动器上配置了两个CA,且它们的URL是疏通的,则劳动器将凭证SCEP音尘中的CA称呼选择对应的CA。因此,使用此敕令指定的CA称呼必须与但愿获取的CA文凭对应的CA称呼一致。
【例如】
# 指定缔造信任的CA称呼为new-ca。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] ca identifier new-ca
1.1.3 certificate request entitycertificate request entity敕令用来指定用于恳求文凭的PKI实体称呼。
undo certificate request entity敕令用来还原缺省情况。
【敕令】
certificate request entity entity-name
undo certificate request entity
【缺省情况】
未指定缔造恳求文凭所使用的PKI实体称呼。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
entity-name:用于恳求文凭的PKI实体称呼,为1~31个字符的字符串,不分离大小写。
【使用带领】
本敕令用于在PKI域中指定恳求文凭的PKI实体。PKI实体形色了恳求文凭的实体的多样属性(通用名、组织部门、组织、地舆区域、省、国度、FQDN、IP),这些属性用于形色PKI实体的身份信息。
一个PKI域中只可指定一个PKI实体称呼,屡次践诺本敕令,临了一次践诺的敕令奏效。
【例如】
# 指定恳求文凭的PKI实体称呼为en1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request entity en1
【关联敕令】
· pki entity
1.1.4 certificate request fromcertificate request from敕令用来配置文凭恳求的注册受理机构。
undo certificate request from敕令用来还原缺省情况。
【敕令】
certificate request from { ca | ra }
undo certificate request from
【缺省情况】
未指定文凭恳求的注册受理机构。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
ca:默示实体从CA恳求文凭。
ra:默示实体从RA恳求文凭。
【使用带领】
选择从CA照旧RA恳求文凭,由CA劳动器决定,需要了解CA劳动器上由什么机构来受理文凭恳求。
推选使用孤独运行的RA手脚注册受理机构。
【例如】
# 指定实体从RA恳求文凭。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request from ra
1.1.5 certificate request modecertificate request mode敕令用来配置文凭恳求格式。
undo certificate request mode敕令用来还原缺省情况。
【敕令】
certificate request mode { auto [ password { cipher | simple } string | renew-before-expire days [ reuse-public-key ] [ automatic-append common-name ] ] * | manual }
undo certificate request mode
【缺省情况】
文凭恳求格式为手工格式。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
auto:默示用自动格式恳求文凭。
password:指定拔除文凭时使用的密码。
cipher:以密文格式树立密码。
simple:以明文格式树立密码,该密码将以密文格式存储。
string:密码字符串,分离大小写。明文密码为1~31个字符的字符串,密文密码为1~73个字符的字符串。
renew-before-expire days:默示文凭自动续签功能。days是文凭自动续签提前的时候,取值限制为0~365,单元为天。若是取值为0则默示文凭到期时再自动续签,会出现暂时的业务中断。
reuse-public-key:默示文凭自动续签时使用原有密钥对。若不指定该参数,则默示文凭自动续签的经过中会自动生成新的密钥对,且文凭续签顺利后原有密钥对被立即阴私。
automatic-append common-name:默示文凭自动续签时在PKI实体的通用名后添加随即值。若不指定该参数,则文凭自动续签时在PKI实体的通用名后不添加随即值。
manual:默示用手工格式恳求文凭。
【使用带领】
两种恳求格式王人属于在线恳求,具体情况如下:
· 若是是自动格式,则缔造会在与PKI域关联的欺骗(例如IKE)需要作念身份认证时,自动向文凭注册机构发起获取CA文凭和恳求腹地文凭的操作。自动格式下,不错指定拔除文凭时使用的密码,是否需要指定密码是由CA劳动器的计谋决定的。
· 若是为手工格式,则需要手工完成获取CA文凭、恳求腹地文凭的操作。
为幸免由于文凭过时形成业务中断,请在选择自动格式恳求文凭时配置文凭自动续签功能。文凭自动续签是指,系统在文凭灵验期到达之前自动恳求新的文凭,恳求顺利后新文凭立即替换原有文凭。
由于某些CA劳动器不扶直PKI实体使用疏通的通用名屡次恳求文凭,为了保证自动续签文凭顺利,请配置automatic-append common-name参数使缔造每次王人使用新的通用名为PKI实体恳求新的文凭。
【例如】
# 指定文凭恳求格式为自动格式。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request mode auto
# 指定文凭恳求格式为自动格式,并树立拔除文凭时使用的密码为明文123456。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request mode auto password simple 123456
# 指定文凭恳求格式为自动格式,并树立拔除文凭时使用的口令为明文123456,树立文凭到期前60天自动恳求新文凭替换原有文凭,恳求新文凭时生成新密钥对。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request mode auto password simple 123456 renew-before-expire 60
【关联敕令】
· pki request-certificate
1.1.6 certificate request pollingcertificate request polling敕令用来配置文凭恳求情景的查询周期和最大次数。
undo certificate request polling敕令用来还原缺省情况。
【敕令】
certificate request polling { count count | interval interval }
undo certificate request polling { count | interval }
【缺省情况】
文凭恳求情景的查询周期为20分钟,最多查询50次。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
count count:默示文凭恳求情景的查询次数,取值限制为1~100。
interval interval:默示文凭恳求情景的查询周期,取值限制为5~168,单元为分钟。
【使用带领】
缔造发送文凭恳求后,若是CA劳动器摄取手工格式来签发文凭恳求,则不会坐窝反馈缔造的恳求。这种情况下,缔造通过按期向CA劳动器发送情景查询音尘,大略实时获取到被CA签发的文凭。CA签发文凭后,缔造将通过发送情景查询得到文凭,之后罢手发送情景查询音尘。若是达到最大查询次数时,CA劳动器仍未签发文凭,则缔造罢手发送情景查询音尘,本次文凭恳求失败。
若是CA劳动器摄取自动签发文凭的格式,则缔造不错坐窝得到文凭,这种情况下缔造不会向CA劳动器发送情景查询音尘。
【例如】
# 指定文凭恳求情景的查询周期为15分钟,最多查询40次。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request polling interval 15
[Sysname-pki-domain-aaa] certificate request polling count 40
【关联敕令】
· display pki certificate request-status
1.1.7 certificate request urlcertificate request url敕令用来配置实体通过SCEP进行文凭恳求的注册受理机构劳动器的URL。
undo certificate request url敕令用来还原缺省情况。
【敕令】
certificate request url url-string
undo certificate request url
【缺省情况】
未指定注册受理机构劳动器的URL。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
url-string:默示文凭恳求的注册受理机构劳动器的URL,为1~511个字符的字符串,分离大小写。
【使用带领】
本敕令配置的URL内容包括注册受理机构劳动器的位置及CGI敕令接口剧本位置,格式为_location/cgi_script_location。其中,server_location是劳动器的地址,不错是IPv4地址、 IPv6地址和DNS域名,cgi_script_location是注册授权机构(CA或RA )在劳动器主机上的欺骗格式剧本的旅途。
本色可输入的URL长度解雇令行允许输入的最大字符数限定。
【例如】
# 指定实体进行文凭恳求的注册受理机构劳动器的URL为。
<Sysname> system-view
[Sysname] pki domain a
[Sysname-pki-domain-a] certificate request url
1.1.8 common-namecommon-name敕令用来配置PKI实体的通用名,比如用户称呼。
undo common-name敕令用来还原缺省情况。
【敕令】
common-name common-name-sting
undo common-name
【缺省情况】
未配置PKI实体的通用名。
【视图】
PKI实体视图
【缺省用户变装】
network-admin
【参数】
common-name-sting:PKI实体的通用名,为1~63个字符的字符串,分离大小写,弗成包含逗号。
【例如】
# 配置PKI实体en的通用名为test。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] common-name test
1.1.9 countrycountry敕令用来配置PKI实体所属的国度代码。
undo country敕令用来还原缺省情况。
【敕令】
country country-code-string
undo country
【缺省情况】
未配置PKI实体所属的国度代码。
【视图】
PKI实体视图
【缺省用户变装】
network-admin
【参数】
country-code-string:PKI实体所属的国度代码,为程序的两字符代码,分离大小写,例如中国为CN。
【例如】
# 配置PKI实体en所属的国度代码为CN。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] country CN
1.1.10 crl checkcrl check enable敕令用来开启CRL搜检。
undo crl check enable敕令用来关闭CRL搜检。
【敕令】
crl check enable
undo crl check enable
【缺省情况】
CRL搜检处于开启情景。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【使用带领】
CRL(Certificate Revocation List,文凭毁灭列表)是一个由CA签发的文献,该文献中包含被该CA拔除的通盘文凭的列表。一个文凭有可能在灵验期达到之前被CA拔除。使能CRL搜检的地方是稽察缔造上的实体文凭或者行将要导入、获取到缔造上的实体文凭是否还是被CA拔除,若搜检后果标明实体文凭已被拔除,那么该文凭就不被缔造信任。
【例如】
# 关闭CRL搜检。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] undo crl check enable
【关联敕令】
· pki import
· pki retrieve-certificate
· pki validate-certificate
1.1.11 crl urlcrl url敕令用来树立CRL发布点的URL。
undo crl url敕令用来还原缺省情况。
【敕令】
crl url url-string
undo crl url
【缺省情况】
未树立CRL发布点的URL。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
url-string:默示CRL发布点的URL,为1~511个字符的字符串,分离大小写。格式为ldap://server_location或_location,其中server_location不错为IP地址和DNS域名。
【使用带领】
若是CRL搜检处于使能情景,则进行CRL搜检之前,需要当先从PKI域指定的CRL发布点获取CRL。若PKI域中未配置CRL发布点的URL时,从该待考据的文凭中获取发布点信息:优先获取待考据的文凭中记载的发布点,若是待考据的文凭中莫得记载发布点,则获取CA文凭中记载的发布点(若待考据的文凭为CA文凭,则获取上一级CA文凭中记载的发布点)。若是无法通过任何道路得到发布点,则通过SCEP条约获取CRL。
若配置了LDAP格式的CRL发布点URL,则默示要通过LDAP条约获取CRL。若该URL中未捎带主机名,则需要凭证PKI域中配置的LDAP劳动器地址信息来得到圆善的LDAP发布点URL。
本色可输入的URL长度解雇令行允许输入的最大字符数限定。
【例如】
# 指定CRL发布点的URL为。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] crl url
【关联敕令】
· ldap-server
· pki retrieve-crl
1.1.12 display pki certificate access-control-policydisplay pki certificate access-control-policy敕令用来表露文凭探问适度计谋的配置信息。
【敕令】
display pki certificate access-control-policy [ policy-name ]
【视图】
放纵视图
【缺省用户变装】
network-admin
network-operator
【参数】
policy-name:指定文凭探问适度计谋称呼,为1~31个字符的字符串,不分离大小写。
【使用带领】
若不指定文凭探问适度计谋的称呼,则表露通盘文凭探问适度计谋的配置信息。
【例如】
# 表露文凭探问适度计谋mypolicy的配置信息。
<Sysname> display pki certificate access-control-policy mypolicy
Access control policy name: mypolicy
Rule 1 deny mygroup1
Rule 2 permit mygroup2
# 表露通盘文凭属性探问适度计谋的配置信息。
<Sysname> display pki certificate access-control-policy
Total PKI certificate access control policies: 2
Access control policy name: mypolicy1
Rule 1 deny mygroup1
Rule 2 permit mygroup2
Access control policy name: mypolicy2
Rule 1 deny mygroup3
Rule 2 permit mygroup4
表1-2 display pki certificate access-control-policy敕令表露信息形色表
字段
形色
Total PKI certificate access control policies
PKI文凭探问适度计谋的总额
Access control policy name
文凭探问适度计谋名
Rule number
探问适度礼貌编号
permit
当文凭的属性与属性组里界说的属性匹配时,以为该文凭灵验,通过了探问适度计谋的检测
deny
当文凭的属性与属性组里界说的属性匹配时,以为该文凭无效,未通过探问适度计谋的检测
【关联敕令】
· pki certificate access-control-policy
· rule
1.1.13 display pki certificate attribute-groupdisplay pki certificate attribute-group敕令用来表露文凭属性组的配置信息。
【敕令】
display pki certificate attribute-group [ group-name ]
【视图】
放纵视图
【缺省用户变装】
network-admin
network-operator
【参数】
group-name:指定文凭属性组名,为1~31个字符的字符串,不分离大小写。
【使用带领】
若不指定文凭属性组的称呼,则表露通盘文凭属性组的配置信息。
【例如】
# 表露文凭属性组mygroup的信息。
<Sysname> display pki certificate attribute-group mygroup
Attribute group name: mygroup
Attribute 1 subject-name dn ctn abc
Attribute 2 issuer-name fqdn nctn app
# 表露通盘文凭属性组的信息。
<Sysname> display pki certificate attribute-group
Total PKI certificate attribute groups: 2.
Attribute group name: mygroup1
Attribute 1 subject-name dn ctn abc
Attribute 2 issuer-name fqdn nctn app
Attribute group name: mygroup2
Attribute 1 subject-name dn ctn def
Attribute 2 issuer-name fqdn nctn fqd
表1-3 display pki certificate attribute-group敕令表露信息形色表
字段
形色
Total PKI certificate attribute groups
PKI文凭属性组的总额
Attribute group name
文凭属性组称呼
Attribute number
属性礼貌编号
subject-name
文凭主落款
alt-subject-name
文凭备用主落款
issuer-name
文凭颁发者名
dn
实体的DN
fqdn
实体的FQDN
ip
实体的IP地址
ctn
默示包含操作
nctn
默示不包含操作
equ
默示等于操作
nequ
默示不等操作
Attribute 1 subject-name dn ctn abc
属性礼貌内容,包括以下参数:
· alt-subject-name:默示文凭备用主落款
· issuer-name:默示文凭颁发者名
· subject-name:默示文凭主落款
· fqdn:默示实体的FQDN
· ip:默示实体的IP地址
· dn:默示实体的DN
· ctn:默示包含操作
· equ:默示相配操作
· nctn:默示不包含操作
· nequ:默示不等操作
【关联敕令】
· attribute
· pki certificate attribute-group
1.1.14 display pki certificate domaindisplay pki certificate domain敕令用来表露文凭的内容。
【敕令】
display pki certificate domain domain-name { ca | local | peer [ serial serial-num ] }
【视图】
放纵视图
【缺省用户变装】
network-admin
network-operator
【参数】
domain-name:表露指定文凭所在的PKI域的称呼,为1~31个字符的字符串,不分离大小写,弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:表露CA文凭。
local:表露腹地文凭。
peer:表露对端文凭。
serial serial-num:指定要表露的对端文凭的序列号。
【使用带领】
表露CA文凭时,会表露此PKI域中通盘CA文凭的夺目信息,若PKI域中存在RA文凭,则同期表露RA文凭的夺目信息。
表露腹地文凭时,会表露此PKI域中通盘腹地文凭的夺目信息。
表露对端文凭时,若是不指定序列号,将表露通盘对端文凭的简要信息;若是指定序列号,将表露该序号对应的指定对端文凭的夺目信息。
【例如】
# 表露PKI域aaa中的CA文凭。
<Sysname> display pki certificate domain aaa ca
Certificate:
Data:
Version: 1 (0x0)
Serial Number:
5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=cn, O=docm, OU=rnd, CN=rootca
Validity
Not Before: Jan 6 02:51:41 2011 GMT
Not After : Dec 7 03:12:05 2013 GMT
Subject: C=cn, O=ccc, OU=ppp, CN=rootca
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c4:fd:97:2c:51:36:df:4c:ea:e8:c8:70:66:f0:
28:98:ec:5a:ee:d7:35:af:86:c4:49:76:6e:dd:40:
4a:9e:8d:c0:cb:d9:10:9b:61:eb:0c:e0:22:ce:f6:
57:7c:bb:bb:1b:1d:b6:81:ad:90:77:3d:25:21:e6:
7e:11:0a:d8:1d:3c:8e:a4:17:1e:8c:38:da:97:f6:
6d:be:09:e3:5f:21:c5:a0:6f:27:4b:e3:fb:9f:cd:
c1:91:18:ff:16:ee:d8:cf:8c:e3:4c:a3:1b:08:5d:
84:7e:11:32:5f:1a:f8:35:25:c0:7e:10:bd:aa:0f:
52:db:7b:cd:5d:2b:66:5a:fb
Exponent: 65537 (0x10001)
Signature Algorithm: sha1WithRSAEncryption
6d:b1:4e:d7:ef:bb:1d:67:53:67:d0:8f:7c:96:1d:2a:03:98:
3b:48:41:08:a4:8f:a9:c1:98:e3:ac:7d:05:54:7c:34:d5:ee:
09:5a:11:e3:c8:7a:ab:3b:27:d7:62:a7:bb:bc:7e:12:5e:9e:
4c:1c:4a:9f:d7:89:ca:20:46:de:c5:b3:ce:36:ca:5e:6e:dc:
e7:c6:fe:3f:c5:38:dd:d5:a3:36:ad:f4:3d:e6:32:7f:48:df:
07:f0:a2:32:89:86:72:22:cd:ed:e5:0f:95:df:9c:75:71:e7:
fe:34:c5:a0:64:1c:f0:5c:e4:8f:d3:00:bd:fa:90:b6:64:d8:
88:a6
# 表露PKI域aaa中的腹地文凭。
<Sysname> display pki certificate domain aaa local
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
bc:05:70:1f:0e:da:0d:10:16:1e
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=CN, O=sec, OU=software, CN=ipsec
Validity
Not Before: Jan 7 20:05:44 2011 GMT
Not After : Jan 7 20:05:44 2012 GMT
Subject: O=OpenCA Labs, OU=Users, CN=fips fips-sec
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:b2:38:ad:8c:7d:78:38:37:88:ce:cc:97:17:39:
52:e1:99:b3:de:73:8b:ad:a8:04:f9:a1:f9:0d:67:
d8:95:e2:26:a4:0b:c2:8c:63:32:5d:38:3e:fd:b7:
4a:83:69:0e:3e:24:e4:ab:91:6c:56:51:88:93:9e:
12:a4:30:ad:ae:72:57:a7:ba:fb:bc:ac:20:8a:21:
46:ea:e8:93:55:f3:41:49:e9:9d:cc:ec:76:13:fd:
a5:8d:cb:5b:45:08:b7:d1:c5:b5:58:89:47:ce:12:
bd:5c:ce:b6:17:2f:e0:fc:c0:3e:b7:c4:99:31:5b:
8a:f0:ea:02:fd:2d:44:7a:67
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Cert Type:
SSL Client, S/MIME
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Client Authentication, E-mail Protection, Microsoft Smartcardlogin
Netscape Comment:
User Certificate of OpenCA Labs
X509v3 Subject Key Identifier:
91:95:51:DD:BF:4F:55:FA:E4:C4:D0:10:C2:A1:C2:99:AF:A5:CB:30
X509v3 Authority Key Identifier:
keyid:DF:D2:C9:1A:06:1F:BC:61:54:39:FE:12:C4:22:64:EB:57:3B:11:9F
X509v3 Subject Alternative Name:
email:[email protected]
X509v3 Issuer Alternative Name:
email:[email protected]
Authority Information Access:
CA Issuers - URI:
OCSP - URI::2560/
1.3.6.1.5.5.7.48.12 - URI::830/
X509v3 CRL Distribution Points:
Full Name:
URI:
Signature Algorithm: sha256WithRSAEncryption
94:ef:56:70:48:66:be:8f:9d:bb:77:0f:c9:f4:65:77:e3:bd:
ea:9a:b8:24:ae:a1:38:2d:f4:ab:e8:0e:93:c2:30:33:c8:ef:
f5:e9:eb:9d:37:04:6f:99:bd:b2:c0:e9:eb:b1:19:7e:e3:cb:
95:cd:6c:b8:47:e2:cf:18:8d:99:f4:11:74:b1:1b:86:92:98:
af:a2:34:f7:1b:15:ee:ea:91:ed:51:17:d0:76:ec:22:4c:56:
da:d6:d1:3c:f2:43:31:4f:1d:20:c8:c2:c3:4d:e5:92:29:ee:
43:c6:d7:72:92:e8:13:87:38:9a:9c:cd:54:38:b2:ad:ba:aa:
f9:a4:68:b5:2a:df:9a:31:2f:42:80:0c:0c:d9:6d:b3:ab:0f:
dd:a0:2c:c0:aa:16:81:aa:d9:33:ca:01:75:94:92:44:05:1a:
65:41:fa:1e:41:b5:8a:cc:2b:09:6e:67:70:c4:ed:b4:bc:28:
04:50:a6:33:65:6d:49:3c:fc:a8:93:88:53:94:4c:af:23:64:
cb:af:e3:02:d1:b6:59:5f:95:52:6d:00:00:a0:cb:75:cf:b4:
50:c5:50:00:65:f4:7d:69:cc:2d:68:a4:13:5c:ef:75:aa:8f:
3f:ca:fa:eb:4d:d5:5d:27:db:46:c7:f4:7d:3a:b2:fb:a7:c9:
de:18:9d:c1
# 表露PKI域aaa中的通盘对端文凭的简要信息。
<Sysname> display pki certificate domain aaa peer
Total peer certificates: 1
Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7
Subject Name: CN=sldsslserver
# 表露PKI域aaa中的一个特定序号的对端文凭的夺目信息。
<Sysname> display pki certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
9a:03:37:eb:21:56:ba:1f:54:76:e4:d7:54:a5:a9:f7
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=cn, O=ccc, OU=sec, CN=ssl
Validity
Not Before: Oct 15 01:23:06 2010 GMT
Not After : Jul 26 06:30:54 2012 GMT
Subject: CN=sldsslserver
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c2:cf:37:76:93:29:5e:cd:0e:77:48:3a:4d:0f:
a6:28:a4:60:f8:31:56:28:7f:81:e3:17:47:78:98:
68:03:5b:72:f4:57:d3:bf:c5:30:32:0d:58:72:67:
04:06:61:08:3b:e9:ac:53:b9:e7:69:68:1a:23:f2:
97:4c:26:14:c2:b5:d9:34:8b:ee:c1:ef:af:1a:f4:
39:da:c5:ae:ab:56:95:b5:be:0e:c3:46:35:c1:52:
29:9c:b7:46:f2:27:80:2d:a4:65:9a:81:78:53:d4:
ca:d3:f5:f3:92:54:85:b3:ab:55:a5:03:96:2b:19:
8b:a3:4d:b2:17:08:8d:dd:81
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Authority Key Identifier:
keyid:9A:83:29:13:29:D9:62:83:CB:41:D4:75:2E:52:A1:66:38:3C:90:11
X509v3 Key Usage: critical
Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Key Agreement
Netscape Cert Type:
SSL Server
X509v3 Subject Alternative Name:
DNS:docm.com
X509v3 Subject Key Identifier:
3C:76:95:9B:DD:C2:7F:5F:98:83:B7:C7:A0:F8:99:1E:4B:D7:2F:26
X509v3 CRL Distribution Points:
Full Name:
URI::447/ssl.crl
Signature Algorithm: sha1WithRSAEncryption
61:2d:79:c7:49:16:e3:be:25:bb:8b:70:37:31:32:e5:d3:e3:
31:2c:2d:c1:f9:bf:50:ad:35:4b:c1:90:8c:65:79:b6:5f:59:
36:24:c7:14:63:44:17:1e:e4:cf:10:69:fc:93:e9:70:53:3c:
85:aa:40:7e:b5:47:75:0f:f0:b2:da:b4:a5:50:dd:06:4a:d5:
17:a5:ca:20:19:2c:e9:78:02:bd:19:77:da:07:1a:42:df:72:
ad:07:7d:e5:16:d6:75:eb:6e:06:58:ee:76:31:63:db:96:a2:
ad:83:b6:bb:ba:4b:79:59:9d:59:6c:77:59:5b:d9:07:33:a8:
f0:a5
表1-4 display pki certificate敕令表露信息形色表
字段
形色
Version
文凭版块号
Serial Number
文凭序列号
Signature Algorithm
签名算法
Issuer
文凭颁发者
Validity
文凭灵验期
Subject
文凭所属的实体信息
Subject Public Key Info
文凭所属的实体的公钥信息
X509v3 extensions
X.509版块3格式的文凭推广属性
【关联敕令】
· pki domain
· pki retrieve-certificate
1.1.15 display pki certificate renew-statusdisplay pki certificate renew-status敕令用来表露PKI域的文凭续签情景。
【敕令】
display pki certificate renew-status [ domain domain-name ]
【视图】
放纵视图
【缺省用户变装】
network-admin
network-operator
【参数】
domain domain-name:指定PKI域的称呼,为1~31个字符的字符串,不分离大小写,弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。若未指定PKI域的称呼,则表露通盘PKI域的文凭续签情景。
【例如】
# 表露通盘PKI域的文凭续签情景,其中PKI域domain1的文凭恳求格式配置中未指定reuse-public-key,续签时生成了新的密钥对。
<Sysname> display pki certificate renew-status
Domain Name: domain1
Renew Time : 03:12:05 2016-06-13
Renew public key:
Key type: RSA
Time when key pair created: 15:40:48 2016/06/13
Key code:
30819F300D06092A864886F70D010101050003818D0030818902818100DAA4AAFEFE04C2C9
667269BB8226E26331E30F41A8FF922C7338208097E84332610632B49F75DABF6D871B80CE
C1BA2B75020077C74745C933E2F390DC0B39D35B88283D700A163BB309B19F8F87216A44AB
FBF6A3D64DEB33E5CEBF2BCF26296778A26A84F4F4C5DBF8B656ACFA62CD96863474899BC1
2DA4C04EF5AE0835090203010001
# 表露指定PKI域的文凭续签情景。
<Sysname> display pki certificate renew-status domain domain1
Domain Name: domain1
Renew Time : 03:12:05 2016-06-13
Renew public key:
Key type: RSA
Time when key pair created: 15:40:48 2016/06/13
Key code:
30819F300D06092A864886F70D010101050003818D0030818902818100DAA4AAFEFE04C2C9
667269BB8226E26331E30F41A8FF922C7338208097E84332610632B49F75DABF6D871B80CE
C1BA2B75020077C74745C933E2F390DC0B39D35B88283D700A163BB309B19F8F87216A44AB
FBF6A3D64DEB33E5CEBF2BCF26296778A26A84F4F4C5DBF8B656ACFA62CD96863474899BC1
2DA4C04EF5AE0835090203010001
表1-5 display pki certificate renew-status敕令表露信息形色表
字段
形色
Domain Name
PKI域名
Renew Time
瞻望文凭续签发生的技能蕾丝女同
Renew public key
文凭续签时使用的新密钥对的信息,唯有在文凭续签经过比拟慢或续签失败的情况下才会显败露此密钥对信息
Key type
密钥对的类型,取值包括: RSA、DSA和ECDSA
Time when key pair created
密钥对的创建时候和日历
Key code
密钥对的密钥信息
【关联敕令】
· certificate request mode
· pki domain
1.1.16 display pki certificate request-statusdisplay pki certificate request-status敕令用来表露文凭的恳求情景。
【敕令】
display pki certificate request-status [ domain domain-name ]
【视图】
放纵视图
【缺省用户变装】
network-admin
network-operator
【参数】
domain domain-name:指定文凭所在的PKI域的称呼,为1~31个字符的字符串,不分离大小写,弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用带领】
若不指定PKI域的称呼,则表露通盘PKI域的文凭恳求情景。
【例如】
# 表露PKI域aaa的文凭恳求情景。
<Sysname> display pki certificate request-status domain aaa
Certificate Request Transaction 1
Domain name: aaa
Status: Pending
Key usage: General
Remain polling attempts: 10
Next polling attempt after : 1191 seconds
# 表露通盘PKI域的文凭恳求情景。
<Sysname> display pki certificate request-status
Certificate Request Transaction 1
Domain name: domain1
Status: Pending
Key usage: General
Remain polling attempts: 10
Next polling attempt after : 1191 seconds
Certificate Request Transaction 2
Domain name: domain2
Status: Pending
Key usage: Signature
Remain polling attempts: 10
Next polling attempt after : 188 seconds
表1-6 display pki certificate request敕令表露信息形色表
字段
形色
Certificate Request Transaction number
文凭恳求任务的编号,从1运行限定编号
Domain name
PKI域名
Status
文凭恳求情景。现在,仅有一种取值Pending,默示恭候
Key usage
文凭用途,包括以下取值:
· General:默示通用,既不错用于加密也不错用于签名
· Signature:默示用于签名
· Encryption:默示用于加密
Remain polling attempts
剩余的文凭恳求情景的查询次数
Next polling attempt after
面前到下次查询文凭恳求情景的时候断绝,单元为秒
【关联敕令】
· certificate request polling
· pki domain
· pki retrieve-certificate
1.1.17 display pki crl domaindisplay pki crl domain敕令用来表露存储在腹地的CRL。
【敕令】
display pki crl domain domain-name
【视图】
放纵视图
【缺省用户变装】
network-admin
network-operator
【参数】
domain domain-name:指定CRL所在的PKI域的称呼,为1~31个字符的字符串,不分离大小写,弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用带领】
用户不错通过该敕令稽察文凭拔除列表,看所需的文凭是否还是被拔除。
【例如】
# 表露存储在腹地的CRL。
<Sysname> display pki crl domain aaa
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: /C=cn/O=docm/OU=sec/CN=therootca
Last Update: Apr 28 01:42:13 2011 GMT
Next Update: NONE
CRL extensions:
X509v3 CRL Number:
6
X509v3 Authority Key Identifier:
keyid:49:25:DB:07:3A:C4:8A:C2:B5:A0:64:A5:F1:54:93:69:14:51:11:EF
Revoked Certificates:
Serial Number: CDE626BF7A44A727B25F9CD81475C004
Revocation Date: Apr 28 01:37:52 2011 GMT
CRL entry extensions:
Invalidity Date:
Apr 28 01:37:49 2011 GMT
Serial Number: FCADFA81E1F56F43D3F2D3EF7EB56DE5
Revocation Date: Apr 28 01:33:28 2011 GMT
CRL entry extensions:
Invalidity Date:
Apr 28 01:33:09 2011 GMT
Signature Algorithm: sha1WithRSAEncryption
57:ac:00:3e:1e:e2:5f:59:62:04:05:9b:c7:61:58:2a:df:a4:
5c:e5:c0:14:af:c8:e7:de:cf:2a:0a:31:7d:32:da:be:cd:6a:
36:b5:83:e8:95:06:bd:b4:c0:36:fe:91:7c:77:d9:00:0f:9e:
99:03:65:9e:0c:9c:16:22:ef:4a:40:ec:59:40:60:53:4a:fc:
8e:47:57:23:e0:75:0a:a4:1c:0e:2f:3d:e0:b2:87:4d:61:8a:
4a:cb:cb:37:af:51:bd:53:78:76:a1:16:3d:0b:89:01:91:61:
52:d0:6f:5c:09:59:15:be:b8:68:65:0c:5d:1b:a1:f8:42:04:
ba:aa
表1-7 display pki crl domain表露信息形色表
字段
形色
Version
CRL版块号
Signature Algorithm
CA签名该CRL摄取的签名算法
Issuer
颁发该CRL的CA文凭称呼
Last Update
前次更新CRL的时候
Next Update
下次更新CRL的时候
CRL extensions
CRL推广属性
X509v3 CRL Number
X509版块3格式的CRL序号
X509v3 Authority Key Identifier
X509版块3格式的签发该CRL的CA的标记符
keyid
公钥标记符
一个CA可能有多个密钥对,该字段用于标记CA用哪个密钥对对该CRL进行签名
Revoked Certificates
撤废的文凭信息
Serial Number
被拔除文凭的序列号
Revocation Date
文凭被拔除的日历
CRL entry extensions:
CRL样貌推广属性
Signature Algorithm:
签名算法以及签名数据
【关联敕令】
· pki retrieve-crl
1.1.18 fqdnfqdn敕令用来配置PKI实体的FQDN。
undo fqdn敕令用来还原缺省情况。
【敕令】
fqdn fqdn-name-string
undo fqdn
【缺省情况】
未配置PKI实体的FQDN。
【视图】
PKI实体视图
【缺省用户变装】
network-admin
【参数】
fqdn-name-string:PKI实体的FQDN,为1~255个字符的字符串,分离大小写。
【使用带领】
FQDN是实体在汇齐集的唯独标记,由一个主机名和一个域名构成,格式为hostname@domainname。
【例如】
# 配置PKI实体en的FQDN为[email protected]。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] fqdn [email protected]
1.1.19 ipip敕令用来配置PKI实体的IP地址。
undo ip敕令用来还原缺省情况。
【敕令】
ip { ip-address | interface interface-type interface-number }
undo ip
【缺省情况】
未配置PKI实体的IP地址。
【视图】
PKI实体视图
【缺省用户变装】
network-admin
【参数】
ip-address:指定PKI实体的IP地址。
interface interface-type interface-numbe:指定接口的主IP地址手脚PKI实体的IP地址。interface-type interface-number默示接口类型及接口编号。
【使用带领】
通过本敕令,不错径直指定PKI实体的IP地址,也不错指定缔造上某接口的主IP地址手脚PKI实体的IP地址。若是指定使用某接口的IP地址,则不要求本配置践诺时该接口上还是配置了IP地址,只须缔造恳求文凭时,该接口上配置了IP地址,就不错径直使用该地址手脚PKI实体身份的一部分。
【例如】
# 配置PKI实体en的IP地址为192.168.0.2。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] ip 192.168.0.2
1.1.20 ldap-serverldap-server敕令用来指定LDAP劳动器。
undo ldap-server敕令用来还原缺省情况。
【敕令】
ldap-server host hostname [ port port-number ] [ vpn-instance vpn-instance-name ]
undo ldap-server
【缺省情况】
未指定LDAP劳动器。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
host hostname:LDAP劳动器的主机名,为1~255个字符的字符串,分离大小写,扶直IPv4与IPv6地址的默示顺序以及DNS域名的默示顺序。
port port-number:LDAP劳动器的端标语,取值限制为1~65535,缺省值为389。
vpn-instance vpn-instance-name:指定LDAP劳动器所属的VPN。vpn-instance-name默示MPLS L3VPN实例称呼,为1~31个字符的字符串,分离大小写。若未指定本参数,则默示该LDAP劳动器属于公网。
【使用带领】
以下两种情况下,需要配置LDAP劳动器:
· 通过LDAP条约获取腹地文凭或对端文凭时,需要指定LDAP劳动器。
· 通过LDAP条约获取CRL时,若PKI域中配置的LDAP格式的CRL发布点URL中未捎带主机名,则需要凭证此处配置的LDAP劳动器地址来得到圆善的LDAP发布点URL。
在一个PKI域中,只可指定一个LDAP劳动器,屡次践诺本敕令,临了一次践诺的敕令奏效。
【例如】
# 指定LDAP劳动器的IP地址为10.0.0.1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] ldap-server host 10.0.0.1
# 指定LDAP劳动器,IP地址为10.0.0.11,端标语为333,所在的MPLS L3VPN的实例称呼为vpn1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] ldap-server host 10.0.0.11 port 333 vpn-instance vpn1
【关联敕令】
· pki retrieve-certificate
· pki retrieve-crl
1.1.21 localitylocality敕令用来配置PKI实体所在的地舆区域称呼,比如城市称呼。
undo locality敕令用来还原缺省情况。
【敕令】
locality locality-name
undo locality
【缺省情况】
未配置PKI实体所在的地舆区域称呼。
【视图】
PKI实体视图
【缺省用户变装】
network-admin
【参数】
locality-name:PKI实体所在的地舆区域的称呼,为1~63个字符的字符串,分离大小写,弗成包含逗号。
【例如】
# 配置PKI实体en所在地舆区域的称呼为pukras。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] locality pukras
1.1.22 organizationorganization敕令用来配置PKI实体所属组织的称呼。
undo organization敕令用来还原缺省情况。
【敕令】
organization org-name
undo organization
【缺省情况】
未配置PKI实体所属组织称呼。
【视图】
PKI实体视图
【缺省用户变装】
network-admin
【参数】
org-name:PKI实体所属的组织称呼,为1~63个字符的字符串,分离大小写,弗成包含逗号。
【例如】
# 配置PKI实体en所属的组织称呼为abc。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] organization abc
1.1.23 organization-unitorganization-unit敕令用来指定实体所属的组织部门的称呼。
undo organization-unit敕令用来还原缺省情况。
【敕令】
organization-unit org-unit-name
undo organization-unit
【缺省情况】
未配置PKI实体所属组织部门的称呼。
【视图】
PKI实体视图
【缺省用户变装】
network-admin
【参数】
org-unit-name:PKI实体所属组织部门的称呼,为1~63个字符的字符串,分离大小写,弗成包含逗号。使用该参数可在归并个组织内分离不同部门的PKI实体。
【例如】
# 配置PKI实体en所属组织部门的称呼为rdtest。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] organization-unit rdtest
1.1.24 pki abort-certificate-requestpki abort-certificate-request敕令用来罢手文凭恳求经过。
【敕令】
pki abort-certificate-request domain domain-name
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
domain domain-name:指定文凭所在的PKI域的称呼,为1~31个字符的字符串,不分离大小写,弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用带领】
用户在文凭恳求时,可能由于某种原因需要更动文凭恳求的一些参数,比如通用名、国度代码、FQDN等,而此时文凭恳求正在运行,为了新的恳求不与之前的恳求发生蹂躏,提议先罢手之前的恳求格式,再进行新的恳求。
【例如】
# 罢手文凭恳求经过。
<Sysname> system-view
[Sysname] pki abort-certificate-request domain 1
The certificate request is in process.
Confirm to abort it? [Y/N]:y
【关联敕令】
· display pki certificate request-status
· pki request-certificate domain
1.1.25 pki certificate access-control-policypki certificate access-control-policy敕令用来创建文凭探问适度计谋,并参加文凭探问适度计谋视图。若是指定的文凭探问适度计谋已存在,则径直参加其视图。
undo pki certificate access-control-policy敕令用来删除指定的文凭探问适度计谋。
【敕令】
pki certificate access-control-policy policy-name
undo pki certificate access-control-policy policy-name
【缺省情况】
不存在文凭探问适度计谋。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
policy-name:默示文凭探问适度计谋称呼,为1~31个字符的字符串,不分离大小写。
【使用带领】
一个文凭探问适度计谋中不错界说多个文凭属性的探问适度礼貌。
【例如】
# 配置一个称呼为mypolicy的文凭探问适度计谋,并参加文凭探问适度计谋视图。
<Sysname> system-view
[Sysname] pki certificate access-control-policy mypolicy
[Sysname-pki-cert-acp-mypolicy]
【关联敕令】
· display pki certificate access-control-policy
· rule
1.1.26 pki certificate attribute-grouppki certificate attribute-group敕令用来创建文凭属性组并参加文凭属性组视图。若是指定的文凭属性组已存在,则径直参加其视图。
undo pki certificate attribute-group敕令用来删除指定的文凭属性组。
【敕令】
pki certificate attribute-group group-name
undo pki certificate attribute-group group-name
【缺省情况】
不存在文凭属性组。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
group-name:文凭属性组称呼,为1~31个字符的字符串,不分离大小写。
【使用带领】
一个文凭属性组即是一系列文凭属性礼貌(通过attribute敕令配置)的网络,这些属性礼貌界说了对文凭的颁发者名、主落款以及备用主落款进行过滤的匹配要求。当文凭属性组下莫得任何属性礼貌时,则以为对文凭的属性莫得任何限定。
【例如】
# 创建一个名为mygroup的文凭属性组,并参加文凭属性组视图。
<Sysname> system-view
[Sysname] pki certificate attribute-group mygroup
[Sysname-pki-cert-attribute-group-mygroup]
【关联敕令】
· attribute
· display pki certificate attribute-group
· rule
1.1.27 pki delete-certificatepki delete-certificate敕令用来删除PKI域中的文凭。
【敕令】
pki delete-certificate domain domain-name { ca | local | peer [ serial serial-num ] }
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
domain domain-name:文凭所在的PKI域的称呼,为1~31个字符的字符串,不分离大小写,弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:默示删除CA文凭。
local:默示删除腹地文凭。
peer:默示删除对端文凭。
serial serial-num:默示通过指定序列号删除一个指定的对端文凭。serial-num为对端文凭的序列号,为1~127个字符的字符串,不分离大小写。在每个CA签发的文凭限制内,序列号不错唯独标记一个文凭。若是不指定本参数,则默示删除本PKI域中的通盘对端文凭。
【使用带领】
删除CA文凭时将同期删除所在PKI域中的腹地文凭和通盘对端文凭,以及CRL。
若是需要删除指定的对端文凭,则需要当先通过display pki certificate敕令稽察本域中已有的对端文凭的序列号,然后再通过指定序列号的格式删除该对端文凭。
【例如】
# 删除PKI域aaa中的CA文凭。
<Sysname> system-view
[Sysname] pki delete-certificate domain aaa ca
Local certificates, peer certificates and CRL will also be deleted while deleting the CA certificate.
Confirm to delete the CA certificate? [Y/N]:y
[Sysname]
# 删除PKI域aaa中的腹地文凭。
<Sysname> system-view
[Sysname] pki delete-certificate domain aaa local
[Sysname]
# 删除PKI域aaa中的通盘对端文凭。
<Sysname> system-view
[Sysname] pki delete-certificate domain aaa peer
[Sysname]
# 当先稽察PKI域aaa中的对端文凭,然后通过指定序列号的格式删除对端文凭。
<Sysname> system-view
[Sysname] display pki certificate domain aaa peer
Total peer certificates: 1
Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7
Subject Name: CN=abc
[Sysname] pki delete-certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7
【关联敕令】
· display pki certificate
1.1.28 pki domainpki domain敕令用来创建PKI域,并参加PKI域视图。若是指定的PKI域已存在,则径直参加PKI域视图。
undo pki domain敕令用来删除指定的PKI域。
【敕令】
pki domain domain-name
undo pki domain domain-name
【缺省情况】
不存在PKI域。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
domain-name:PKI域名,为1~31个字符的字符串,不分离大小写,弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用带领】
删除PKI域的同期,会将该域关联的文凭和CRL王人删裁撤,因此请正式操作。
【例如】
# 创建PKI域aaa并参加PKI域视图。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa]
1.1.29 pki entitypki entity敕令用来创建PKI实体,并参加PKI实体视图。若是指定的PKI实体已存在,则径直参加PKI实体视图。
undo pki entity敕令用来删除指定的PKI实体。
【敕令】
pki entity entity-name
undo pki entity entity-name
【缺省情况】
不存在PKI实体。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
entity-name:PKI实体的称呼,为1~31个字符的字符串,不分离大小写。
【使用带领】
在PKI实体视图下可配置PKI实体的多样属性(通用名、组织部门、组织、地舆区域、省、国度、FQDN、IP),这些属性用于形色PKI实体的身份信息。当恳求文凭时,PKI实体的信息将手脚文凭中主题(Subjuct)部分的内容。
【例如】
# 创建称呼为en的PKI实体,并参加该实体视图。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en]
【关联敕令】
· pki domain
1.1.30 pki exportpki export敕令用来将PKI域中的CA文凭、腹地文凭导出到文献中或末端上。
【敕令】
pki export domain domain-name der { all | ca | local } filename filename
pki export domain domain-name p12 { all | local } passphrase p12-key filename filename
pki export domain domain-name pem { { all | local } [ { 3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc } pem-key ] | ca } [ filename filename ]
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
domain domain-name:文凭所在的PKI域的称呼,为1~31个字符的字符串,不分离大小写,弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
der:指定文凭文献格式为DER编码(包括PKCS#7格式的文凭)。
p12:指定文凭文献格式为PKCS#12编码。
pem:指定文凭文献格式为PEM编码。
all:默示导出通盘文凭,包括PKI域中通盘的CA文凭和腹地文凭,但不包括RA文凭。
ca:默示导出CA文凭。
local:默示导出腹地文凭或者腹地文凭和其对应私钥。
passphrase p12-key:指定对PKCS12编码格式的腹地文凭对应的私钥进行加密所摄取的口令。
3des-cbc:对腹地文凭对应的私钥数据摄取3DES_CBC算法进行加密。
aes-128-cbc:对腹地文凭对应的私钥数据摄取128位AES_CBC算法进行加密。
aes-192-cbc:对腹地文凭对应的私钥数据摄取192位AES_CBC算法进行加密。
aes-256-cbc:对腹地文凭对应的私钥数据摄取256位AES_CBC算法进行加密。
des-cbc:对腹地文凭对应的私钥数据摄取DES_CBC算法进行加密。
pem-key:指定对PEM编码格式的腹地文凭对应的私钥进行加密所摄取的口令。
filename filename:指定保存文凭的文献名,不分离大小写。若是不指定本参数,则默示要将文凭径直导出到末端上表露,这种格式仅PEM编码格式的文凭才扶直。
【使用带领】
导出CA文凭时,若是PKI域中唯有一个CA文凭则导出单个CA文凭到用户指定的一个文献或末端,若是是一个CA文凭链则导出通盘这个词CA文凭链到用户指定的一个文献或末端。
导出腹地文凭时,缔造上本色保存文凭的文凭文献称呼并不一定是用户指定的称呼,它与腹地文凭的密钥对用途关联,具体的定名礼貌如下(假定用户指定的文献名为filename):
· 若是腹地文凭的密钥对用途为签名,则文凭文献称呼为filename-signature;
· 若是腹地文凭的密钥对用途为加密,则文凭文献称呼为filename-encryption;
· 若是腹地文凭的密钥对用途为通用(RSA/ECDSA/DSA),则文凭文献称呼为用户输入的filename。
导出腹地文凭时,若是PKI域中有两个腹地文凭,则导出后果如下:
· 若指定文献名,则将每个腹地文凭分别导出到一个单独的文献中;
· 若不指定文献名,则将通盘腹地文凭一次性一齐导出到末端上,并由不同的指示信息进行分割表露。
导出通盘文凭时,若是PKI域中唯有腹地文凭或者唯有CA文凭,则导出后果与单独导出疏通。若是PKI域中存在腹地文凭和CA文凭,则具体导出后果如下:
· 若指定文献名,则将每个腹地文凭分别导出到一个单独的文献,该腹地文凭对应的圆善CA文凭链也会同期导出到该文献中。
· 若不指定文献名,则将通盘的腹地文凭及域中的CA文凭或者CA文凭链一次性一齐导出到末端上,并由不同的指示信息进行分割表露。
以PKCS12格式导出通盘文凭时,PKI域中必须有腹地文凭,不然会导出失败。
以PEM格式导出腹地文凭或者通盘文凭时,若不指定私钥的加密算法和私钥加密口令,则不会导出腹地文凭对应的私钥信息。
以PEM格式导出腹地文凭或者通盘文凭时,若指定私钥加密算法和私钥加密口令,且此时腹地文凭有匹配的私钥,则同期导出腹地文凭的私钥信息;若是此时腹地文凭莫得匹配的私钥,则导出该腹地文凭失败。
导出腹地文凭时,若面前PKI域中的密钥对配置已被修改,导致腹地文凭的公钥与该密钥对的公钥部分不匹配,则导出该腹地文凭失败。
导出腹地文凭或者通盘文凭时,若是PKI域中有两个腹地文凭,则导出某种密钥用途的腹地文凭失败并不会影响导出另外一个腹地文凭。
指定的文献名中不错带圆善旅途,当系统中不存在用户所指定旅途时,则会导出失败。
【例如】
# 导出PKI域中的CA文凭到DER编码的文献,文献称呼为cert-ca.der。
<Sysname> system-view
[Sysname] pki export domain domain1 der ca filename cert-ca.der
# 导出PKI域中的腹地文凭到DER编码的文献,文献称呼为cert-lo.der。
<Sysname> system-view
[Sysname] pki export domain domain1 der local filename cert-lo.der
# 导出PKI域中的通盘文凭到DER编码的文献,文献称呼为cert-all.p7b。
<Sysname> system-view
[Sysname] pki export domain domain1 der all filename cert-all.p7b
# 导出PKI域中的CA文凭到PEM编码的文献,文献称呼为cacert。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca filename cacert
# 导出PKI域中的腹地文凭高出对应的私钥到PEM编码的文献,指定保护私钥信息的加密算法为DES_CBC、加密口令为111,文献称呼为local.pem。
<Sysname> system-view
[Sysname] pki export domain domain1 pem local des-cbc 111 filename local.pem
# 导出PKI域中通盘文凭到PEM编码的文献,不指定加密算法和加密口令,不导出腹地文凭对应的私钥信息,文献称呼为all.pem。
<Sysname> system-view
[Sysname] pki export domain domain1 pem all filename all.pem
# 以PEM格式导出PKI域中腹地文凭高出对应的私钥到末端,指定保护私钥信息的加密算法为DES_CBC、加密口令为111。
<Sysname> system-view
[Sysname] pki export domain domain1 pem local des-cbc 111
%The signature usage local certificate:
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
subject=/C=CN/O=OpenCA Labs/OU=Users/CN=chktest chktest
issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----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-----END ENCRYPTED PRIVATE KEY-----
# 以PEM格式导出PKI域中通盘文凭到末端,指定保护腹地文凭对应私钥的加密算法为DES_CBC、加密口令为111。
<Sysname> system-view
[Sysname] pki export domain domain1 pem all des-cbc 111
%The signature usage local certificate:
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
subject=/C=CN/O=OpenCA Labs/OU=Users/CN=chktest chktest
issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
Bag Attributes: <No Attributes>
subject=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
-----BEGIN CERTIFICATE-----
MIIEYTCCA0mgAwIBAgIBFzANBgkqhkiG9w0BAQsFADBFMQswCQYDVQQGEwJDTjEU
MBIGA1UECgwLT3BlbkNBIExhYnMxETAPBgNVBAsMCHNvZnR3YXJlMQ0wCwYDVQQD
DARhYmNkMB4XDTExMDQxODExNDQ0N1oXDTEzMDQxNzExNDQ0N1owRTELMAkGA1UE
BhMCQ04xFDASBgNVBAoMC09wZW5DQSBMYWJzMREwDwYDVQQLDAhzb2Z0d2FyZTEN
MAsGA1UEAwwEYWJjZDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAM1g
vomMF8S4u6q51bOwjKFUBwxyvOy4D897LmOSedaCyDt6Lvp+PBEHfwWBYBpsHhk7
kmnSNhX5dZ6NxunHaARZ2VlcctsYKyvAQapuaThy1tuOcphAB+jQQL9dPoqdk0xp
jvmPDlW+k832Konn9U4dIivS0n+/KMGh0g5UyzHGqUUOo7s9qFuQf5EjQon40TZg
BwUnFYRlvGe7bSQpXjwi8LTyxHPy+dDVjO5CP+rXx5IiToFy1YGWewkyn/WeswDf
Yx7ZludNus5vKWTihgx2Qalgb+sqUMwI/WUET7ghO2dRxPUdUbgIYF0saTndKPYd
4oBgl6M0SMsHhe9nF5UCAwEAAaOCAVowggFWMA8GA1UdEwEB/wQFMAMBAf8wCwYD
VR0PBAQDAgEGMB0GA1UdDgQWBBQzEQ58yIC54wxodp6JzZvn/gx0CDAfBgNVHSME
GDAWgBQzEQ58yIC54wxodp6JzZvn/gx0CDAZBgNVHREEEjAQgQ5wa2lAb3BlbmNh
Lm9yZzAZBgNVHRIEEjAQgQ5wa2lAb3BlbmNhLm9yZzCBgQYIKwYBBQUHAQEEdTBz
MDIGCCsGAQUFBzAChiZodHRwOi8mdcGl0YW4vcGtpL3B1Yi9jYWNlcnQvY2FjZXJ0
LmNydDAeBggrBgEFBQcwAYYSaHR0cDovL3RpdGFuOjI1NjAvMB0GCCsGAQUFBzAM
hhFodHRwOi8mdcGl0YW46ODMwLzA8BgNVHR8ENTAzMDGgL6AthitodHRwOi8vMTky
LjE2OC40MC4xMjgvcGtpL3B1Yi9jcmwvY2FjcmwuY3JsMA0GCSqGSIb3DQEBCwUA
A4IBAQC0q0SSmvQNfa5ELtRKYF62C/Y8QTLbk6lZDTZuIzN15SGKQcbNM970ffCD
Lk1zosyEVE7PLnii3bZ5khcGO3byyXfluAqRyOGVJcudaw7uIQqgv0AJQ+zaQSHi
d4kQf5QWgYkQ55/C5puOmcMRgCbMpR2lYkqXLDjTIAZIHRZ/sTp6c+ie2bFxi/YT
3xYbO0wDMuGOKJJpsyKTKcbG9NdfbDyFgzEYAobyYqAUB3C0/bMfBduwhQWKSoYE
6vZsPGAEisCmAl3dIp49jPgVkixoShraYF1jLsWzJGlzem8QvWYzOqKEDwq3SV0Z
cXK8gzDBcsobcUMkwIYPAmd1kAPX
-----END CERTIFICATE-----
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIICwzA9BgkqhkiG9w0BBQ0wMDAbBgkqhkiG9w0BBQwwDgQIcUSKSW9GVmICAggA
MBEGBSsOAwIHBAi5QZM+lSYWPASCAoBKDYulE5f2BXL9ZhI9zWAJpx2cShz/9PsW
5Qm106D+xSj1eAzkx/m4Xb4xRU8oOAuzu1DlWfSHKXoaa0OoRSiOEX1eg0eo/2vv
CHCvKHfTJr4gVSSa7i4I+aQ6AItrI6q99WlkN/e/IE5U1UE4ZhcsIiFJG+IvG7S8
f9liWQ2CImy/hjgFCD9nqSLN8wUzP7O2SdLVlUb5z4FR6VISZdgTFE8j7ko2HtUs
HVSg0nm114EwPtPMMbHefcuQ6b82y1M+dWfVxBN9K03lN4tZNfPWwLSRrPvjUzBG
dKtjf3/IFdV7/tUMy9JJSpt4iFt1h7SZPcOoGp1ZW+YUR30I7YnFE+9Yp/46KWT8
bk7j0STRnZX/xMy/9E52uHkLdW1ET3TXralLMYt/4jg4M0jUvoi3GS2Kbo+czsUn
gKgqwYnxVfRSvt8d6GBYrpF2tMFS9LEyngPKXExd+m4mAryuT5PhdFTkb1B190Lp
UIBjk3IXnr7AdrhvyLkH0UuQE95emXBD/K0HlD73cMrtmogL8F4yS5B2hpIr/v5/
eW35+1QMnJ9FtHFnVsLx9wl9lX8iNfsoBhg6FQ/hNSioN7rNBe7wwIRzxPVfEhO8
5ajQxWlidRn5RkzfUo6HuAcq02QTpSXI6wf2bzsVmr5sk+fRaELD/cwL6VjtXO6x
ZBLJcUyAwvScrOtTEK7Q5n0I34gQd4qcF0D1x9yQ4sqvTeU/7Jkm6XCPV05/5uiF
RLCfFAwaJMBdIQ6jDQHnpWT67uNDwdEzaPmuTVMme5Woc5zsqE5DY3hWu4oqFdDz
kPLnbX74IZ0gOLki9eIJkVswnF5HkBCKS50ejlW6TgbMNZ+JPk2w
-----END ENCRYPTED PRIVATE KEY-----
# 以PEM格式导出PKI域中CA文凭到末端。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# 导出PKI域中CA文凭到PEM编码的文献,指定文献称呼为cacert。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca filename cacert
# 导出PKI域中CA文凭(文凭链)到末端。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIB8jCCAVsCEFxy3MSlQ835MrnBkI/dUPYwDQYJKoZIhvcNAQEFBQAwOjELMAkG
A1UEBhMCY24xDDAKBgNVBAoTA2gzYzEMMAoGA1UECxMDaDNjMQ8wDQYDVQQDEwZy
b290Y2EwHhcNMTEwMTA2MDI1MTQxWhcNMTMxMjA3MDMxMjA1WjA6MQswCQYDVQQG
EwJjbjEMMAoGA1UEChMDaDNjMQwwCgYDVQQLEwNoM2MxDzANBgNVBAMTBnJvb3Rj
YTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAxP2XLFE230zq6MhwZvAomOxa
7tc1r4bESXZu3UBKno3Ay9kQm2HrDOAizvZXfLu7Gx22ga2Qdz0lIeZ+EQrYHTyO
pBcejDjal/ZtvgnjXyHFoG8nS+P7n83BkRj/Fu7Yz4zjTKMbCF2EfhEyXxr4NSXA
fhC9qg9S23vNXStmWvsCAwEAATANBgkqhkiG9w0BAQUFAAOBgQBtsU7X77sdZ1Nn
0I98lh0qA5g7SEEIpI+pwZjjrH0FVHw01e4JWhHjyHqrOyfXYqe7vH4SXp5MHEqf
14nKIEbexbPONspebtznxv4/xTjd1aM2rfQ95jJ/SN8H8KIyiYZyIs3t5Q+V35x1
cef+NMWgZBzwXOSP0wC9+pC2ZNiIpg==
-----END CERTIFICATE-----
# 导出PKI域中的腹地文凭高出对应的私钥到PKCS12编码的文献,指定保护私钥信息的加密口令为123,文献称呼为cert-lo.der。
<Sysname> system-view
[Sysname] pki export domain domain1 p12 local passphrase 123 filename cert-lo.der
# 导出PKI域中的通盘文凭到PKCS12编码的文献,指定文献称呼为cert-all.p7b。
<Sysname> system-view
[Sysname] pki export domain domain1 p12 all passphrase 123 filename cert-all.p7b
【关联敕令】
· pki domain
1.1.31 pki importpki import敕令用来将CA文凭、腹地文凭或对端文凭导入到指定的PKI域中保存。
【敕令】
pki import domain domain-name { der { ca | local | peer } filename filename | p12 local filename filename | pem { ca | local | peer } [ filename filename ] }
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
domain domain-name:保存文凭的PKI域的称呼,为1~31个字符的字符串,不分离大小写,弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
der:指定文凭文献格式为DER编码(包括PKCS#7格式的文凭)。
p12:指定文凭文献格式为PKCS#12编码。
pem:指定文凭文献格式为PEM编码。
ca:默示CA文凭。
local:默示腹地文凭。
peer:默示对端文凭。
filename filename:要导入的文凭所在的文献名,不分离大小写。若是不指定本参数,则默示要通过径直在末端上粘贴文凭内容的格式导入文凭,这种格式仅PEM编码格式的文凭才扶直。
【使用带领】
若是缔造所处的环境中,莫得文凭的发布点,或者CA劳动器不扶直通过SCEP条约与缔造交互,则可通过此敕令将文凭导入到缔造。另外,当文凭对应的密钥对由CA劳动器生成时,CA劳动器会将文凭和对应的密钥对打包成一个文献,使用这么的文凭前也需要通过此敕令将其导入到缔造。唯有PKCS#12格式或PEM格式的文凭文献中可能包含密钥对。
文凭导入之前:
· 需要通过FTP、TFTP等条约将文凭文献传送到缔造的存储介质中。若是缔造所处的环境不允许使用FTP、TFTP等条约,则不错径直在末端上粘贴文凭的内容,但是粘贴的文凭必须是PEM格式的,因为唯有PEM编码的文凭内容为可打印字符。
· 必须存在签发腹地文凭(或对端文凭)的CA文凭链才智顺利导入腹地文凭(或对端文凭),这里的CA文凭链不错是保存在缔造上的PKI域中的,也不错是腹地文凭(或对端文凭)中捎带的。因此,若缔造和腹地文凭(或对端文凭)中王人莫得CA文凭链,则需要当先践诺导入CA文凭的敕令。
导入腹地文凭或对端文凭时:
· 若是用户要导入的腹地文凭(或对端文凭)中含有CA文凭链,则不错通过导入腹地文凭(或对端文凭)的敕令一次性将CA文凭和腹地文凭(或对端文凭)均导入到缔造。导入的经过中,若是发现签发此腹地文凭(或对端文凭)的CA文凭还是存在于缔造上的任一PKI域中,则系统会指示用户是否将其进行阴私。
· 若是要导入的腹地文凭(或对端文凭)中不含有CA文凭链,但签发此腹地文凭(或对端文凭)的CA文凭还是存在于缔造上的任一PKI域中,则不错径直导入腹地文凭(或对端文凭)。
导入CA文凭时:
· 若要导入的CA文凭为根CA或者包含了圆善的文凭链(即含有根文凭),则不错导入到缔造。
· 若要导入的CA文凭莫得包含圆善的文凭链(即不含有根文凭),但大略与缔造上已有的CA文凭拼接成圆善的文凭链,则也不错导入到缔造;若是弗成与缔造上已有的CA文凭拼接成完成的文凭链,则弗成导入到缔造。
一些情况下,在文凭导入的经过中,需要用户证实或输入关联信息:
· 若要导入的文凭文献中包含了根文凭,且缔造上现在还莫得任何PKI域中有此根文凭,且要导入的PKI域中莫得配置root-certificate fingerprint,则在导入经过中还需要证实该根文凭的指纹信息是否与用户的预期一致。用户需要通过关连CA劳动器责罚员来获取预期的根文凭指纹信息。
· 当导入含有密钥对的腹地文凭时,需要输进口令。用户需要关连CA劳动器责罚员取得口令的内容。
导入含有密钥对的腹地文凭时,系统当先会凭证查找到的PKI域中已有的密钥对配置来保存该密钥对。若PKI域中已保存了对应的密钥对,则缔造会指示用户选择是否阴私已有的密钥对。若PKI域中莫得任何密钥对的配置,则凭证密钥对的算法及文凭的密钥用途,生成相应的密钥对配置。密钥对的具体保存礼貌如下:
· 若是腹地文凭捎带的密钥对的用途为通用,则递次查找指定PKI域中通用用途、签名用途、加密用途的密钥对配置,并以找到配置中的密钥对称呼保存该密钥对;若以上用途的密钥对配置均不存在,则指示用户输入密钥对称呼(缺省的密钥对称呼为PKI域的称呼),并生成相应的密钥对配置。
· 若是腹地文凭捎带的密钥对的用途为签名,则递次查找指定PKI域中通用用途、签名用途的密钥对配置,并以找到配置中的密钥对称呼保存该密钥对;若以上两种用途的密钥对配置均不存在,则指示用户输入密钥对称呼(缺省的密钥对称呼为PKI域的称呼),并生成相应的密钥对配置。
· 若是腹地文凭捎带的密钥对的用途为加密,则查找指定PKI域中加密用途的密钥对配置,并以该配置中的密钥对称呼保存密钥对;若加密用途密钥对的配置不存在,则指示用户输入密钥对称呼(缺省的密钥对称呼为PKI域的称呼),并生成相应的密钥对配置。
由于以上经过中系统会自动更新或生成密钥对配置,因此提议用户在进行此类导入操作后,保存配置文献。
【例如】
# 向PKI域aaa中导入CA文凭,文凭文献格式为PEM编码,文凭文献称呼为rootca_pem.cer,文凭文献中包含根文凭。
<Sysname> system-view
[Sysname] pki import domain aaa pem ca filename rootca_pem.cer
The trusted CA's finger print is:
MD5 fingerprint:FFFF 3EFF FFFF 37FF FFFF 137B FFFF 7535
SHA1 fingerprint:FFFF FF7F FF2B FFFF 7618 FF4C FFFF 0A7D FFFF FF69
Is the finger print correct?(Y/N):y
[Sysname]
# 向PKI域bbb中导入CA文凭,文凭文献格式为PEM编码,文凭文献称呼为aca_pem.cer,文凭文献中不包含根文凭。
<Sysname> system-view
[Sysname] pki import domain bbb pem ca filename aca_pem.cer
[Sysname]
# 向PKI域bbb中导入腹地文凭,文凭文献格式为PKCS#12编码,文凭文献称呼为local-ca.p12,文凭文献中包含了密钥对。
<Sysname> system-view
[Sysname] pki import domain bbb p12 local filename local-ca.p12
Please input challenge password:
******
[Sysname]
# 向PKI域bbb中通过粘贴文凭内容的格式导入PEM编码的腹地文凭。文凭中含有密钥对和CA文凭链。
<Sysname> system-view
[Sysname] pki import domain bbb pem local
Enter PEM-formatted certificate.
End with a Ctrl+c on a line by itself.
Bag Attributes
localKeyID: 01 00 00 00
friendlyName: {F7619D96-3AC2-40D4-B6F3-4EAB73DEED73}
Microsoft CSP Name: Microsoft Enhanced Cryptographic Provider v1.0
Key Attributes
X509v3 Key Usage: 10
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,8DCE37F0A61A4B8C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-----END RSA PRIVATE KEY-----
Bag Attributes
localKeyID: 01 00 00 00
subject=/CN=sldsslserver
issuer=/C=cn/O=ccc/OU=sec/CN=ssl
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Bag Attributes: <Empty Attributes>
subject=/C=cn/O=ccc/OU=sec/CN=ssl
issuer=/C=cn/O=ccc/OU=sec/CN=ssl
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Please input the password:********
Local certificate already exist, confirm to overwrite it? [Y/N]:y
The PKI domain already has a CA certificate. If it is overwritten, local certificates, peer certificates and CRL of this domain will also be deleted.
Overwrite it? [Y/N]:y
The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).
Please enter the key pair name [default name: bbb]:
The key pair already exists.
Please enter the key pair name:
import-key
【关联敕令】
· display pki certificate
· public-key dsa
· public-key ecdsa
· public-key rsa
1.1.32 pki request-certificatepki request-certificate敕令用来手工恳求腹地文凭或生成PKCS#10文凭恳求。
【敕令】
pki request-certificate domain domain-name [ password password ] [ pkcs10 [ filename filename ] ]
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
domain domain-name:指定文凭恳求所属的PKI域名,为1~31个字符的字符串,不分离大小写,弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
password password:在文凭撤废时需要提供的口令,为1~31个字符的字符串,分离大小写。该口令包含在提交给CA的文凭恳求中,在拔除该文凭时,需要提供该口令。
pkcs10:在末端上显败露BASE64格式的PKCS#10文凭恳求信息,该信息可用于带外格式(如电话、磁盘、电子邮件等)的文凭请求。
filename filename:将PKCS#10格式的文凭恳求信息保存到腹地的文献中。其中,filename默示保存文凭恳求信息的文献名,不分离大小写。
【使用带领】
当SCEP条约弗成平方通讯时,不错通过践诺指定参数pkcs10的本敕令打印出腹地的文凭恳求信息(BASE64格式),或者通过践诺指定pkcs10 filename filename参数的本敕令将文凭恳求信息径直保存到腹地的指定文献中,然后通过带外格式将这些腹地文凭恳求信息发送给CA进行文凭恳求。指定的文献名中不错带圆善旅途,当系统中不存在用户所指定旅途时,则会保存失败。
此敕令不会被保存在配置文献中。
【例如】
# 在末端上表露PKCS#10格式的文凭恳求信息。
<Sysname> system-view
[Sysname] pki request-certificate domain aaa pkcs10
*** Request for general certificate ***
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIBTDCBtgIBADANMQswCQYDVQQDEwJqajCBnzANBgkqhkiG9w0BAQEFAAOBjQAw
gYkCgYEAw5Drj8ofs9THA4ezkDcQPBy8pvH1kumampPsJmx8sGG52NFtbrDTnTT5
ALx3LJijB3d/ndKpcHT/DfbJVDCn5gdw32tBZyCkEwMHZN3ol2z7Nmdcu5TED6iN8
4m+hfp1QWoV6lty3o9pxAXuQl8peUDcfN6WV3LBXYyl1WCtkLkECAwEAAaAAMA0G
CSqGSIb3DQEBBAUAA4GBAA8E7BaIdmT6NVCZgv/I/1tqZH3TS4e4H9Qo5NiCKiEw
R8owVmA0XVtGMbyqBNcDTG0f5NbHrXZQT5+MbFJOnm5K/mn1ro5TJKMTKV46PlCZ
JUjsugaY02GBY0BVcylpC9iIXLuXNIqjh1MBIqVsa1lQOHS7YMvnop6hXAQlkM4c
-----END NEW CERTIFICATE REQUEST-----
# 手工恳求腹地文凭。
[Sysname] pki request-certificate domain openca
Start to request general certificate ...
……
Certificate requested successfully.
【关联敕令】
· display pki certificate
1.1.33 pki retrieve-certificatepki retrieve-certificate敕令用来从文凭发布劳动器上在线获取文凭并下载至腹地。
【敕令】
pki retrieve-certificate domain domain-name { ca | local | peer entity-name }
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
domain domain-name:指定文凭所在的PKI域的称呼,为1~31个字符的字符串,不分离大小写,弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:默示获取CA文凭。
local:默示获取腹地文凭。
peer entity-name:默示获取对端的文凭。其中entity-name为对端的实体名,为1~31个字符的字符串,不分离大小写。
【使用带领】
获取CA文凭是通过SCEP条约进行的。获取CA文凭时,若是腹地已有CA文凭存在,则该操作将不被允许。这种情况下,若要从头获取CA文凭,请先使用pki delete-certificate敕令删除已有的CA文凭与对应的腹地文凭后,再践诺此敕令。
获取腹地文凭和对端文凭是通过LDAP条约进行的。获取腹地文凭或对端文凭时,若是腹地已有腹地文凭或对端文凭,则该操作是被允许进行的。最终,属于一个PKI实体的归并种公钥算法的腹地文凭只可存在一个,后者径直阴私已有的,但关于RSA算法的文凭而言,不错存在一个签名用途的文凭和一个加密用途的文凭。
通盘获取到的CA文凭、腹地文凭或对端文凭唯有通过考据之后才会被保存到腹地文凭库中。
此敕令不会被保存在配置文献中。
【例如】
# 从文凭发布劳动器上获取CA文凭。(需要用户证实CA根文凭的指纹)
<Sysname> system-view
[Sysname] pki retrieve-certificate domain aaa ca
The trusted CA's finger print is:
MD5 fingerprint:5C41 E657 A0D6 ECB4 6BD6 1823 7473 AABC
SHA1 fingerprint:1616 E7A5 D89A 2A99 9419 1C12 D696 8228 87BC C266
Is the finger print correct?(Y/N):y
Retrieved the certificates successfully.
# 从文凭发布劳动器上获取腹地文凭。
<Sysname> system-view
[Sysname] pki retrieve-certificate domain aaa local
Retrieved the certificates successfully.
# 从文凭发布劳动器上获取对端文凭。
<Sysname> system-view
[Sysname] pki retrieve-certificate domain aaa peer en1
Retrieved the certificates successfully.
【关联敕令】
· display pki certificate
· pki delete-certificate
1.1.34 pki retrieve-crlpki retrieve-crl敕令用来获取CRL并下载至腹地。
【敕令】
pki retrieve-crl domain domain-name
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
domain-name:指定CRL所属的PKI域的称呼,为1~31个字符的字符串,不分离大小写,弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用带领】
获取CRL的地方是为了考据PKI域中的腹地文凭和对端文凭的正当性。若要顺利获取CRL,PKI域中必须存在CA文凭。
缔造扶直通过HTTP、LDAP或SCEP条约从CRL发布点上获取CRL,具体摄取那种条约,由PKI域中CRL发布点的配置决定:
· 若配置的CRL发布点URL格式为HTTP格式,则通过HTTP条约获取CRL。
· 若配置的CRL发布点URL格式为LDAP格式,则通过LDAP条约获取CRL。若配置的CRL发布点URL(通过敕令crl url)中败落主机名,例如ldap:///CN=8088,OU=test,U=rd,C=cn,则还需要在PKI域中配置LDAP劳动器的URL(通过敕令ldap server)。此时,缔造会将配置的LDAP劳动器URL和配置的CRL发布点URL中的不圆善的LDAP发布点组装成圆善的LDAP发布点,再通过LDAP条约获取CRL。
· 若PKI域中莫得配置CRL发布点,则缔造会递次从腹地文凭、CA文凭中查找CRL的发布点,若是从中查找到了CRL发布点,则通过该发布点获取CRL;不然,通过SCEP条约获取CRL。
【例如】
# 从CRL发布点上获取CRL。
<Sysname> system-view
[Sysname] pki retrieve-crl domain aaa
Retrieve CRL of the domain aaa successfully.
【关联敕令】
· crl url
· ldap server
1.1.35 pki storagepki storage敕令用来配置文凭和CRL的存储旅途。
undo pki storage敕令用来还原缺省情况。
【敕令】
pki storage { certificates | crls } dir-path
undo pki storage { certificates | crls }
【缺省情况】
文凭和CRL的存储旅途为缔造存储介质上的PKI目次,此PKI目次在缔造初度顺利恳求、获取或导入文凭时自动创建。
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
certificates:指定文凭的存储目次。
crls:指定CRL的存储目次。
dir-path:存储目次的旅途称呼,分离大小写,弗成以‘/’起首,弗成包含“../”。dir-path不错是十足旅途也不错是相对旅途,但必须还是存在。
【使用带领】
dir-path只但是面前主用缔造上的旅途,弗成是其它从缔造上的旅途。(齐集式IRF缔造)
dir-path只但是面前主控板上的旅途,弗成是其它主控板上的旅途。(溜达式缔造孤独运行模式)
dir-path只但是面前全局主用主控板上的旅途,弗成是其它主控板上的旅途。(溜达式IRF模式)
若是需要指定的目次还不存在,需要先使用mkdir敕令创建这个目次,再使用此敕令配存储旅途。若修改了文凭或CRL的存储目次,则原存储旅途下的文凭文献(以.cer和.p12为后缀的文献)和CRL文献(以.crl为后缀的文献)将被出动到该旅途下保存,且原存储旅途下的其它文献不受影响。
【例如】
# 树立文凭的存储旅途为flash:/pki-new。
<Sysname> system-view
[Sysname] pki storage certificates flash:/pki-new
# 树立CRL存储旅途为pki-new。
<Sysname> system-view
[Sysname] pki storage crls pki-new
1.1.36 pki validate-certificatepki validate-certificate敕令用来考据文凭的灵验性。
【敕令】
pki validate-certificate domain domain-name { ca | local }
【视图】
系统视图
【缺省用户变装】
network-admin
【参数】
domain domain-name:指定文凭所在的PKI域的称呼,为1~31个字符的字符串,不分离大小写,弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:默示考据CA文凭。
local:默示考据腹地文凭。
【使用带领】
文凭考据的内容包括:文凭是否由用户信任的CA签发;文凭是否仍在灵验期内;若是使能了CRL搜检功能,还会考据文凭是否被拔除。若是考据文凭的时候,PKI域中莫得CRL,则会先从腹地文凭库中查找是否存在CRL,若是找到CRL,则把文凭库中保存的CRL加载到该PKI域中,不然,就从CA劳动器上获取并保存到腹地。
导入文凭、恳求文凭、获取文凭以及欺骗格式使用PKI功能时,王人会自动对文凭进行考据,因此一般不需要使用此敕令进行罕见的考据。若是用户但愿在莫得任何前述操作的情况下单独践诺文凭的考据,不错使用此敕令。
考据CA文凭时,会对从面前CA到根CA的整条CA文凭链进行CRL搜检。
【例如】
# 考据PKI域aaa中的CA文凭的灵验性。
<Sysname> system-view
[Sysname] pki validate-certificate domain aaa ca
Verifying certificates......
Serial Number:
在线爱f6:3c:15:31:fe:bb:ec:94:dc:3d:b9:3a:d9:07:70:e5
Issuer:
C=cn
O=ccc
OU=ppp
CN=rootca
Subject:
C=cn
O=abc
OU=test
CN=aca
Verify result: OK
Verifying certificates......
Serial Number:
5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6
Issuer:
C=cn
O=ccc
OU=ppp
CN=rootca
Subject:
C=cn
O=ccc
OU=ppp
CN=rootca
Verify result: OK
# 考据PKI域aaa中的腹地文凭的灵验性。
<Sysname> system-view
[Sysname] pki validate-certificate domain aaa local
Verifying certificates......
Serial Number:
bc:05:70:1f:0e:da:0d:10:16:1e
Issuer:
C=CN
O=sec
OU=software
CN=bca
Subject:
O=OpenCA Labs
OU=Users
CN=fips fips-sec
Verify result: OK
【关联敕令】
· crl check
· pki domain
1.1.37 public-key dsapublic-key dsa敕令用来指定文凭恳求使用的DSA密钥对。
undo public-key敕令用来还原缺省情况。
【敕令】
public-key dsa name key-name [ length key-length ]
undo public-key
【缺省情况】
未指定文凭恳求使用的密钥对。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
name key-name:密钥对的称呼,为1~64个字符的字符串,不分离大小写,只可包含字母、数字和连字符“-”。
length key-length:密钥的长度。非FIPS模式下,key-length的取值限制为512~2048,单元为比特,缺省值为1024;FIPS模式下,key-length的取值为2048,单元为比特,缺省值为2048。密钥越长,密钥安全性越高,但关联的公钥运算越耗时。
【使用带领】
本敕令中援用的密钥对并不要求还是存在,不错通过以下放纵一种道路得回:
· 通过践诺public-key local create敕令生成。
· 通过欺骗格式认证经过触发生成。例如IKE协商经过中,若是使用数字签名认证格式,则可能会触发生成密钥对。
· 通过导入文凭(使用pki import敕令)的格式从外界得回。
一个PKI域中只可同期存在一种算法(RSA、DSA或ECDSA)的密钥对。关于RSA密钥对来说,一个PKI域中只允许单独存在一种用途的RSA密钥对,或同期存在一个用于签名的和一个用于加密的RSA密钥对。因此,在一个PKI域中,除RSA签名密钥对和RSA加密密钥对的配置不会相互阴私除外,其它类型的新的密钥对配置均会阴私已有的密钥对配置。
本敕令中指定的密钥长度仅对将要由缔造生成的密钥对灵验。若是践诺本敕令时,缔造上还是存在指定称呼的密钥对,则后续通过此敕令指定的该密钥对的密钥长度没专门旨。若是指定称呼的密钥对是通过导入文凭的格式得回,则通过本敕令指定的密钥长度也没专门旨。
【例如】
# 指定文凭恳求所使用的DSA密钥对为abc,密钥的长度为2048比特。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key dsa name abc length 2048
【关联敕令】
· pki import
· public-key local create(安全敕令参考/公钥责罚)
1.1.38 public-key ecdsapublic-key ecdsa敕令用来指定文凭恳求使用的ECDSA密钥对。
undo public-key敕令用来还原缺省情况。
【敕令】
非FIPS模式下:
public-key ecdsa name key-name [ secp192r1 | secp256r1 | secp384r1 ]
undo public-key
FIPS模式下:
public-key ecdsa name key-name [ secp256r1 | secp384r1 ]
undo public-key
【缺省情况】
未指定文凭恳求使用的密钥对。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
name key-name:密钥对的称呼,为1~64个字符的字符串,不分离大小写,只可包含字母、数字和连字符“-”。
secp192r1:密钥对使用的椭圆弧线算法的称呼为secp192r1,密钥长度为192比特。
secp256r1:密钥对使用的椭圆弧线算法的称呼为secp256r1,密钥长度为256比特。
secp384r1:密钥对使用的椭圆弧线算法的称呼为secp384r1,密钥长度为384比特。
【使用带领】
本敕令中援用的密钥对并不要求还是存在,不错通过以下放纵一种道路得回:
· 通过践诺public-key local create敕令生成。
· 通过欺骗格式认证经过触发生成。例如IKE协商经过中,若是使用数字签名认证格式,则可能会触发生成密钥对。
· 通过导入文凭(使用pki import敕令)的格式从外界得回。
若未指定任何参数,则在非FIPS模式下缺省使用密钥对secp192r1;在FIPS模式下缺省使用密钥对secp256r1。
一个PKI域中只可同期存在一种算法(RSA、DSA或ECDSA)的密钥对。关于RSA密钥对来说,一个PKI域中只允许单独存在一种用途的RSA密钥对,或同期存在一个用于签名的和一个用于加密的RSA密钥对。因此,在一个PKI域中,除RSA签名密钥对和RSA加密密钥对的配置不会相互阴私除外,其它类型的新的密钥对配置均会阴私已有的密钥对配置。
本敕令中指定的密钥长度仅对将要由缔造生成的密钥对灵验。若是践诺本敕令时,缔造上还是存在指定称呼的密钥对,则后续通过此敕令指定的该密钥对的密钥长度没专门旨。若是指定称呼的密钥对是通过导入文凭的格式得回,则通过本敕令指定的密钥长度也没专门旨。
【例如】
# 指定文凭恳求所使用的ECDSA密钥对为abc,椭圆弧线算法的称呼为secp384r1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key ecdsa name abc secp384r1
【关联敕令】
· pki import
· public-key local create(安全敕令参考/公钥责罚)
1.1.39 public-key rsapublic-key rsa敕令用来指定文凭恳求使用的RSA密钥对。
undo public-key敕令用来还原缺省情况。
【敕令】
public-key rsa { { encryption name encryption-key-name [ length key-length ] | signature name signature-key-name [ length key-length ] } * | general name key-name [ length key-length ] }
undo public-key
【缺省情况】
未指定文凭恳求使用的密钥对。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
encryption:指定密钥对的用途为加密。
name encryption-key-name:加密密钥对的称呼,为1~64个字符的字符串,不分离大小写,只可包含字母、数字和连字符“-”。
signature:指定密钥对的用途为签名。
name signature-key-name:签名密钥对的称呼,为1~64个字符的字符串,不分离大小写,只可包含字母、数字和连字符“-”。
general:指定密钥对的用途为通用,既不错用于签名也不错用于加密。
name key-name:通用密钥对的称呼,为1~64个字符的字符串,不分离大小写,只可包含字母、数字和连字符“-”。
length key-length:密钥的长度。非FIPS模式下,key-length的取值限制为512~2048,单元为比特,缺省为1024;FIPS模式下,key-length的取值为2048,单元为比特,缺省为2048。密钥越长,密钥安全性越高,但关联的公钥运算越耗时。
【使用带领】
本敕令中援用的密钥对并不要求还是存在,不错通过以下放纵一种道路得回:
· 通过践诺public-key local create敕令生成。
· 通过欺骗格式认证经过触发生成。例如IKE协商经过中,若是使用数字签名认证格式,则可能会触发生成密钥对。
· 通过导入文凭(使用pki import敕令)的格式从外界得回。
一个PKI域中只可同期存在一种算法(RSA、DSA或ECDSA)的密钥对。关于RSA密钥对来说,一个PKI域中只允许单独存在一种用途的RSA密钥对,或同期存在一个用于签名的和一个用于加密的RSA密钥对。因此,在一个PKI域中,除RSA签名密钥对和RSA加密密钥对的配置不会相互阴私除外,其它类型的新的密钥对配置均会阴私已有的密钥对配置。
分别指定RSA签名密钥对和RSA加密密钥对时,它们的密钥长度不错不疏通。
本敕令中指定的密钥长度仅对将要由缔造生成的密钥对灵验。若是践诺本敕令时,缔造上还是存在指定称呼的密钥对,则后续通过此敕令指定的该密钥对的密钥长度没专门旨。若是指定称呼的密钥对是通过导入文凭的格式得回,则通过本敕令指定的密钥长度也没专门旨。
【例如】
# 指定文凭恳求所使用的RSA密钥对为abc,密钥用途为通用,密钥的长度为2048比特。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key rsa general name abc length 2048
# 指定文凭恳求所使用的加密RSA密钥对为rsa1(密钥的长度为2048比特),签名RSA密钥对为sig1(密钥的长度为2048比特)。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key rsa encryption name rsa1 length 2048
[Sysname-pki-domain-aaa] public-key rsa signature name sig1 length 2048
【关联敕令】
· pki import
· public-key local create(安全敕令参考/公钥责罚)
1.1.40 root-certificate fingerprintroot-certificate fingerprint敕令用来配置考据CA根文凭时所使用的指纹。
undo root-certificate fingerprint敕令用来还原缺省情况。
【敕令】
非FIPS模式下:
root-certificate fingerprint { md5 | sha1 } string
undo root-certificate fingerprint
FIPS 模式下:
root-certificate fingerprint sha1 string
undo root-certificate fingerprint
【缺省情况】
未指定考据CA根文凭时使用的指纹。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
md5:使用MD5指纹。
sha1:使用SHA1指纹。
string:指定所使用的指纹信息。当选择MD5指纹时,string必须为32个字符的字符串,况且以16进制的格式输入;当选择SHA1指纹时,string必须为40个字符的字符串,况且以16进制的格式输入。
【使用带领】
当腹地文凭恳求模式为自动格式且PKI域中莫得CA文凭时,必须通过本敕令配置考据CA文凭时所使用的指纹。当IKE协商等欺骗触发缔造进行腹地文凭恳求时,缔造会自动从CA劳动器上获取CA文凭,若是获取的CA文凭中包含了腹地不存在的CA根文凭,则缔造会考据该CA根文凭的指纹。此时,若是缔造上莫得配置CA根文凭指纹或者配置了失实的CA根文凭指纹,则腹地文凭恳求失败。
通过pki import敕令导入CA文凭或者通过pki retrieval敕令获取CA文凭时,不错选择是否配置考据CA根文凭使用的指纹:若是PKI域中配置了考据CA根文凭使用的指纹,则当导入的CA文凭文献或者获取的CA文凭中包含腹地不存在的CA根文凭时,径直使用配置的CA根文凭指纹进行考据。若是配置了失实的CA根文凭指纹,则CA文凭导入和CA文凭获取均会失败;不然,需要用户来证实该CA文凭的CA根文凭指纹是否真确。
【例如】
# 配置考据CA根文凭时使用的MD5指纹。(仅非FIPS模式下扶直)
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] root-certificate fingerprint md5 12EF53FA355CD23E12EF53FA355CD23E
# 配置考据CA根文凭时使用的SHA1指纹。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] root-certificate fingerprint sha1 D1526110AAD7527FB093ED7FC037B0B3CDDDAD93
【关联敕令】
· certificate request mode
· pki import
· pki retrieve-certificate
1.1.41 rulerule敕令用来配置文凭属性的探问适度礼貌。
undo rule敕令用来删除指定的文凭属性探问适度礼貌。
【敕令】
rule [ id ] { deny | permit } group-name
undo rule id
【缺省情况】
不存在文凭属性的探问适度礼貌。
【视图】
文凭探问适度计谋视图
【缺省用户变装】
network-admin
【参数】
id:文凭属性探问适度礼貌编号,取值限制为1~16,缺省值为面前还未被使用的且正当的最小编号,取值越小优先级越高。
deny:当文凭的属性与所关联的属性组匹配时,以为该文凭无效,未通过探问适度计谋的检测。
permit:当文凭的属性与所关联的属性组匹配时,以为该文凭灵验,通过了探问适度计谋的检测。
group-name:礼貌所关联的文凭属性组称呼,为1~31个字符的字符串,不分离大小写。
【使用带领】
配置文凭属性探问适度礼貌时,不错关联一个面前并不存在的文凭属性组,后续不错通过敕令pki certificate attribute-group完成相应的配置。
若礼貌所关联的文凭属性组中莫得界说任何属性礼貌(通过敕令attribute配置),或关联的文凭属性组不存在,则以为被检测的文凭属性与该属性组匹配。
若是一个探问适度计谋中有多个礼貌,则按照礼貌编号从小到大的限定遍历通盘礼貌,一朝文凭与某一个礼貌匹配,则立即杀青检测,不再连接匹配其它礼貌;若遍历完通盘礼貌后,文凭莫得与任何礼貌匹配,则以为该文凭弗成通过探问适度计谋的检测。
【例如】
# 配置一个探问适度礼貌,要求当文凭与文凭属性组mygroup匹配时,以为该文凭灵验,通过了探问适度计谋的检测。
<Sysname> system-view
[Sysname] pki certificate access-control-policy mypolicy
[Sysname-pki-cert-acp-mypolicy] rule 1 permit mygroup
【关联敕令】
· attribute
· display pki certificate access-control-policy
· pki certificate attribute-group
1.1.42 sourcesource敕令用来指定PKI操作产生的条约报文使用的源IP地址。
undo source敕令用来还原缺省情况。
【敕令】
source { ip | ipv6 } { ip-address | interface interface-type interface-number }
undo source
【缺省情况】
PKI操作产生的条约报文的源IP地址为系统凭证路由表项查找到的出接口的地址。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
ip:指定源IPv4地址。
ipv6:指定源IPv6地址。
ip-address:默示IPv4或IPv6地址。
interface interface-type interface-number:指定该接口的主IPv4地址或接口上最小的IPv6地址为源IP地址。interface-type interface-number默示接口类型和接口编号。
【使用带领】
若是但愿PKI操作产生的条约报文的源IP地址是一个特定的地址,则需要配置此敕令,例如CA劳动器上的计谋要求仅秉承来自指定地址或网段的文凭恳求。若是该IP地址是动态获取的,则不错指定一个接口,使用该接口上的IP地址手脚源地址。
此处指定的源IP地址,必须与CA劳动器之间路由可达。
一个PKI域中只可存在一个源IP地址,后配置的奏效。
【例如】
# 指定PKI操作产生的条约报文的源IP地址为111.1.1.8。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] source ip 111.1.1.8
# 指定PKI操作产生的条约报文的源IPv6地址为1::8。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] source ipv6 1::8
# 指定PKI操作产生的条约报文的源IP地址为接口GigabitEthernet1/0/1的IP地址。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] source ip interface gigabitethernet 1/0/1
# 指定PKI操作产生的条约报文的源IPv6地址为接口GigabitEthernet1/0/1的IPv6地址。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] source ipv6 interface gigabitethernet 1/0/1
1.1.43 statestate敕令用来配置PKI实体所属的州或省的称呼。
undo state敕令用来还原缺省情况。
【敕令】
state state-name
undo state
【缺省情况】
未配置PKI实体所属的州或省的称呼。
【视图】
PKI实体视图
【缺省用户变装】
network-admin
【参数】
state-name:PKI实体所属的州或省的称呼,为1~63个字符的字符串,分离大小写,弗成包含逗号。
【例如】
# 配置PKI实体en所在省为countryA。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] state countryA
1.1.44 subject-dnsubject-dn敕令用来配置PKI实体的识笔名,包括通用名、国度代码、地舆区域称呼、组织称呼、组织部门称呼和省份称呼参数。
undo subject-dn敕令用来还原缺省情况。
【敕令】
subject-dn dn-string
undo subject-dn
【缺省情况】
未配置PKI实体的识笔名。
【视图】
PKI实体视图
【缺省用户变装】
network-admin
【参数】
dn-string:PKI实体的识笔名,长度为1~255个字符的字符串,不分离大小写。
【使用带领】
PKI实体识笔名的参数格式为:参数=参数值,多个参数之间以逗号分隔,且不错对归并个参数屡次赋值。例如CN=aaa,CN=bbb,C=cn。PKI实体识笔名扶直的参数包括:
· CN:通用名
· C:所属国度代码
· L:所在地舆区域称呼
· O:所属组织称呼
· OU:所属组织部门称呼
· ST:所属州省
本敕令配置的识笔名优先级高于通过common-name、country、locality、organization、organization-unit和state敕令单独配置的识笔名。
屡次践诺本敕令,临了一次践诺的敕令奏效。
【例如】
# 配置PKI实体en的通用名为test,所属的国度代码为CN,所属的组织称呼为abc,所属组织部门的称呼为rdtest,所属组织部门的称呼为rstest,所在省为countryA,所在地舆区域的称呼为pukras。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] subject-dn CN=test,C=CN,O=abc,OU=rdtest,OU=rstest,ST=countryA,L=pukras
【关联敕令】
· common-name
· country
· locality
· organization
· organization-unit
· state
1.1.45 usageusage敕令用来指定文凭的推广用途。
undo usage敕令用来删除指定文凭的推广用途。
【敕令】
usage { ike | ssl-client | ssl-server } *
undo usage [ ike | ssl-client | ssl-server ] *
【缺省情况】
未指定文凭的推广用途,默示可用于通盘用途。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
ike:指定文凭推广用途为IKE,即IKE平等体使用的文凭。
ssl-client:指定文凭推广用途为SSL客户端,即SSL客户端使用的文凭。
ssl-server:指定文凭推广用途为SSL劳动器端,即SSL劳动器端使用的文凭。
【使用带领】
若不指定任何参数,则undo usage敕令默示删除通盘指定的文凭推广用途,文凭的用途由文凭的使用者决定,PKI不作念任何适度。
文凭中捎带的推广用途与CA劳动器的计谋关联,恳求到的文凭中的推广用途可能与此处指定的不完全一致,最终请以CA劳动器的本色情况为准。
【例如】
# 指定文凭推广用途为IKE。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] usage ike
1.1.46 vpn-instancevpn-instance指定注册受理机构劳动器和CRL发布点所属的VPN实例。
undo vpn-instance敕令用来还原缺省情况。
【敕令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情况】
注册受理机构劳动器和CRL发布点属于公网。
【视图】
PKI域视图
【缺省用户变装】
network-admin
【参数】
vpn-instance-name:默示MPLS L3VPN的VPN实例称呼,为1~31个字符的字符串,分离大小写。
【例如】
# 指定注册受理机构劳动器和CRL发布点所属的VPN实例称呼为vpn1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] vpn-instance vpn1