探花 白虎 H3C SPM系列智能PoE处罚器 号令参考(R5208P03)
attribute号令用来成就属性端正探花 白虎,用于凭据文凭的颁发者名、主落款以及备用主落款来过滤文凭。
undo attribute号令用来删除文凭属性端正。
【号令】
attribute id { alt-subject-name { fqdn | ip } | { issuer-name | subject-name } { dn | fqdn | ip } } { ctn | equ | nctn | nequ } attribute-value
undo attribute id
【缺省情况】
不存在属性端正,即对文凭的颁发者名、主落款以及备用主落款莫得限定。
【视图】
文凭属性组视图
【缺省用户脚色】
network-admin
【参数】
id:文凭属性端正序号,取值界限为1~16。
alt-subject-name:暗示文凭备用主落款(Subject Alternative Name)。
fqdn:指定实体的FQDN。
ip:指定实体的IP地址。
dn:指定实体的DN。
issuer-name:暗示文凭颁发者名(Issuer Name)。
subject-name:暗示文凭主落款(Subject Name)。
ctn:暗示包含操作。
equ:暗示超越操作。
nctn:暗示不包含操作。
nequ:暗示不等操作。
attribute-value:指定文凭属性值,为1~255个字符的字符串,不隔离大小写。
【使用引导】
各文凭属性中可包含的属性域个数有所不同:
· 主落款和颁发者名中均只可包含一个DN,但是均不错同期包含多个FQDN和IP;
· 备用主落款中不成包含DN,但是不错同期包含多个FQDN和IP。
不同类型的文凭属性域与操作要道字的组合代表了不同的匹配条目,具体如下表所示:
表1-1 对文凭属性域的操作涵义
操作
DN
FQDN/IP
ctn
DN中包含指定的属性值
恣意一个FQDN/IP中包含了指定的属性值
nctn
DN中不包含指定的属性值
所有FQDN/IP中均不包含指定的属性值
equ
DN等于指定的属性值
恣意一个FQDN/IP等于指定的属性值
nequ
DN不等于指定的属性值
所有FQDN/IP均不等于指定的属性值
如若文凭的相应属性中包含了属性端正里指定的属性域,且知足属性端正中界说的匹配条目,则以为该属性与属性端正相匹配。例如:属性端正2中界说,文凭的主落款DN中包含字符串abc。如若某文凭的主落款的DN中确乎包含了字符串abc,则以为该文凭的主落款与属性端正2匹配。
惟有文凭中的相应属性与某属性组中的所有属性端正都匹配上,才以为该文凭与此属性组匹配。如若文凭中的某属性中莫得包含属性端正中指定的属性域,或者不知足属性端正中的匹配条目,则以为该文凭与此属性组不匹配。
【例如】
# 创建文凭属性端正1,界说文凭主落款中的DN包含字符串abc。
<Sysname> system-view
[Sysname] pki certificate attribute-group mygroup
[Sysname-pki-cert-attribute-group-mygroup] attribute 1 subject-name dn ctn abc
# 创建文凭属性端正2,界说文凭颁发者名中的FQDN不等于字符串abc。
[Sysname-pki-cert-attribute-group-mygroup] attribute 2 issuer-name fqdn nequ abc
# 创建文凭属性端正3,界说文凭主题备用名中的IP地址不等于10.0.0.1。
[Sysname-pki-cert-attribute-group-mygroup] attribute 3 alt-subject-name ip nequ 10.0.0.1
【联系号令】
· display pki certificate attribute-group
· rule
1.1.2 ca identifierca identifier号令用来指定确立信任的CA称呼。
undo ca identifier号令用来归附缺省情况。
【号令】
ca identifier name
undo ca identifier
【缺省情况】
未指定确立信任的CA。
【视图】
PKI域视图
【缺省用户脚色】
network-admin
【参数】
name:确立信任的CA称呼,为1~63个字符的字符串,隔离大小写。
【使用引导】
获取CA文凭时,必须指定信任的CA称呼,这个称呼会被看成SCEP音书的一部分发送给CA劳动器。但是一般情况下,CA劳动器会忽略收到的SCEP音书中的CA称呼的具体内容。但是如若在统一台劳动器上成就了两个CA,且它们的URL是交流的,则劳动器将凭据SCEP音书中的CA称呼遴荐对应的CA。因此,使用此号令指定的CA称呼必须与但愿获取的CA文凭对应的CA称呼一致。
【例如】
# 指定确立信任的CA称呼为new-ca。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] ca identifier new-ca
1.1.3 certificate request entitycertificate request entity号令用来指定用于肯求文凭的PKI实体称呼。
undo certificate request entity号令用来归附缺省情况。
【号令】
certificate request entity entity-name
undo certificate request entity
【缺省情况】
未指定确立肯求文凭所使用的PKI实体称呼。
【视图】
PKI域视图
【缺省用户脚色】
network-admin
【参数】
entity-name:用于肯求文凭的PKI实体称呼,为1~31个字符的字符串,不隔离大小写。
【使用引导】
本号令用于在PKI域中指定肯求文凭的PKI实体。PKI实体形色了肯求文凭的实体的多样属性(通用名、组织部门、组织、地舆区域、省、国度、FQDN、IP),这些属性用于形色PKI实体的身份信息。
一个PKI域中只可指定一个PKI实体名,新成就的PKI实体名会掩饰已有的PKI实体名。
【例如】
# 指定肯求文凭的PKI实体称呼为en1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request entity en1
【联系号令】
· pki entity
1.1.4 certificate request fromcertificate request from号令用来成就文凭肯求的注册受理机构。
undo certificate request from号令用来归附缺省情况。
【号令】
certificate request from { ca | ra }
undo certificate request from
【缺省情况】
未指定文凭肯求的注册受理机构。
【视图】
PKI域视图
【缺省用户脚色】
network-admin
【参数】
ca:暗示实体从CA肯求文凭。
ra:暗示实体从RA肯求文凭。
【使用引导】
遴荐从CA照旧RA肯求文凭,由CA劳动器决定,需要了解CA劳动器上由什么机构来受理文凭肯求。
保举使用颓靡运行的RA看成注册受理机构。
【例如】
# 指定实体从RA肯求文凭。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request from ra
1.1.5 certificate request modecertificate request mode号令用来成就文凭肯求阵势。
undo certificate request mode号令用来归附缺省情况。
【号令】
certificate request mode { auto [ password { cipher | simple } string | renew-before-expire days [ reuse-public-key ] [ automatic-append common-name ] ] * | manual }
undo certificate request mode
【缺省情况】
文凭肯求阵势为手工阵势。
【视图】
PKI域视图
【缺省用户脚色】
network-admin
【参数】
auto:暗示用自动阵势肯求文凭。
password:指定肃清文凭时使用的密码。
cipher:以密文阵势竖立密码。
simple:以明文阵势竖立密码,该密码将以密文神志存储。
string:密码字符串,隔离大小写。明文密码为1~31个字符的字符串,密文密码为1~73个字符的字符串。
renew-before-expire days:暗示文凭自动续签功能。days是文凭自动续签提前的时分,取值界限为0~365,单元为天。如若取值为0则暗示文凭到期时再自动续签,会出现暂时的业务中断。
reuse-public-key:暗示文凭自动续签时使用原有密钥对。若不指定该参数,则暗示文凭自动续签的历程中会自动生成新的密钥对,且文凭续签成功后原有密钥对被立即掩饰。
automatic-append common-name:暗示文凭自动续签时在PKI实体的通用名后添加就地值。若不指定该参数,则文凭自动续签时在PKI实体的通用名后不添加就地值。
manual:暗示用手工阵势肯求文凭。
【使用引导】
两种肯求阵势都属于在线肯求,具体情况如下:
· 如若是自动阵势,则确立会在与PKI域关联的诈骗需要作念身份认证时,自动向文凭注册机构发起获取CA文凭和肯求腹地文凭的操作。自动阵势下,不错指定肃清文凭时使用的口令,是否需要指定口令是由CA劳动器的战略决定的。
· 如若为手工阵势,则需要手工完成获取CA文凭、肯求腹地文凭的操作。
为幸免由于文凭落后酿成业务中断,请在遴荐自动阵势肯求文凭时成就文凭自动续签功能。文凭自动续签是指,系统在文凭有用期到达之前自动肯求新的文凭,肯求成功后新文凭立即替换原有文凭。
由于某些CA劳动器不复古PKI实体使用交流的通用名屡次肯求文凭,为了保证自动续签文凭成功,请成就automatic-append common-name参数使确立每次都使用新的通用名为PKI实体肯求新的文凭。
【例如】
# 指定文凭肯求阵势为自动阵势。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request mode auto
# 指定文凭肯求阵势为自动阵势,并竖立肃清文凭时使用的口令为明文123456。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request mode auto password simple 123456
# 指定文凭肯求阵势为自动阵势,并竖立肃清文凭时使用的口令为明文123456,竖立文凭到期前60天自动肯求新文凭替换原有文凭,肯求新文凭时生成新密钥对。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request mode auto password simple 123456 renew-before-expire 60
【联系号令】
· pki request-certificate
1.1.6 certificate request pollingcertificate request polling号令用来成就文凭肯求景色的查询周期和最大次数。
undo certificate request polling号令用来归附缺省情况。
【号令】
certificate request polling { count count | interval interval }
undo certificate request polling { count | interval }
【缺省情况】
文凭肯求景色的查询周期为20分钟,最多查询50次。
【视图】
PKI域视图
【缺省用户脚色】
network-admin
【参数】
count count:暗示文凭肯求景色的查询次数,取值界限为1~100。
Interval interval:暗示文凭肯求景色的查询周期,取值界限为5~168,单元为分钟。
【使用引导】
确立发送文凭肯求后,如若CA劳动器接收手工阵势来签发文凭肯求,则不会坐窝反馈确立的肯求。这种情况下,确立通过依期向CA劳动器发送景色查询音书,大要实时获取到被CA签发的文凭。CA签发文凭后,确立将通过发送景色查询得到文凭,之后住手发送景色查询音书。如若达到最大查询次数时,CA劳动器仍未签发文凭,则确立住手发送景色查询音书,本次文凭肯求失败。
如若CA劳动器接收自动签发文凭的阵势,则确立不错坐窝得到文凭,这种情况下确立不会向CA劳动器发送景色查询音书。
【例如】
# 指定文凭肯求景色的查询周期为15分钟,最多查询40次。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request polling interval 15
[Sysname-pki-domain-aaa] certificate request polling count 40
【联系号令】
· display pki certificate request-status
1.1.7 certificate request urlcertificate request url号令用来成就实体通过SCEP进行文凭肯求的注册受理机构劳动器的URL。
undo certificate request url号令用来归附缺省情况。
【号令】
certificate request url url-string
undo certificate request url
【缺省情况】
未指定注册受理机构劳动器的URL。
【视图】
PKI域视图
【缺省用户脚色】
network-admin
【参数】
url-string:暗示文凭肯求的注册受理机构劳动器的URL,为1~511个字符的字符串,隔离大小写。
【使用引导】
本号令成就的URL内容包括注册受理机构劳动器的位置及CGI号令接口剧本位置,神志为_location/cgi_script_location。其中,server_location是劳动器的地址,不错是IPv4地址、 IPv6地址和DNS域名,cgi_script_location是注册授权机构(CA或RA )在劳动器主机上的诈骗门径剧本的旅途。
内容可输入的URL长度衔号令行允许输入的最大字符数限定。
【例如】
# 指定实体进行文凭肯求的注册受理机构劳动器的URL为。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request url
1.1.8 common-namecommon-name号令用来成就PKI实体的通用名,比如用户称呼。
undo common-name号令用来归附残障情况。
【号令】
common-name common-name-sting
undo common-name
【缺省情况】
未成就PKI实体的通用名。
【视图】
PKI实体视图
【缺省用户脚色】
network-admin
【参数】
common-name-sting:PKI实体的通用名,为1~63个字符的字符串,隔离大小写,不成包含逗号。
【例如】
# 成就PKI实体en的通用名为test。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] common-name test
1.1.9 countrycountry号令用来成就PKI实体所属的国度代码。
undo country号令用来删除成就的PKI实体所属的国度代码。
【号令】
country country-code-string
undo country
【缺省情况】
未成就PKI实体所属的国度代码。
【视图】
PKI实体视图
【缺省用户脚色】
network-admin
【参数】
country-code-string:PKI实体所属的国度代码,为范例的两字符代码,隔离大小写,例如中国为CN。
【例如】
# 成就PKI实体en所属的国度代码为CN。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] country CN
1.1.10 crl checkcrl check enable号令用来开启CRL查验。
undo crl check enable号令用来关闭CRL查验。
【号令】
crl check enable
undo crl check enable
【缺省情况】
CRL查验处于开启景色。
【视图】
PKI域视图
【缺省用户脚色】
network-admin
【使用引导】
CRL(Certificate Revocation List,文凭烧毁列表)是一个由CA签发的文献,该文献中包含被该CA肃清的所有文凭的列表。一个文凭有可能在有用期达到之前被CA肃清。使能CRL查验的方向是检察确立上的实体文凭或者行将要导入、获取到确立上的实体文凭是否一经被CA肃清,若查验恶果标明实体文凭已被肃清,那么该文凭就不被确立信任。
【例如】
# 关闭CRL查验。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] undo crl check enable
【联系号令】
· pki import
· pki retrieve-certificate
· pki validate-certificate
1.1.11 crl urlcrl url号令用来竖立CRL发布点的URL。
undo crl url号令用来归附缺省情况。
【号令】
crl url url-string
undo crl url
【缺省情况】
未竖立CRL发布点的URL。
【视图】
PKI域视图
【缺省用户脚色】
network-admin
【参数】
url-string:暗示CRL发布点的URL,为1~511个字符的字符串,隔离大小写。神志为ldap://server_location或_location,其中server_location不错为IP地址和DNS域名。
【使用引导】
如若CRL查验处于使能景色,则进行CRL查验之前,需要最初从PKI域指定的CRL发布点获取CRL。若PKI域中未成就CRL发布点的URL时,从该待考证的文凭中获取发布点信息:优先获取待考证的文凭中纪录的发布点,如若待考证的文凭中莫得纪录发布点,则获取CA文凭中纪录的发布点(若待考证的文凭为CA文凭,则获取上一级CA文凭中纪录的发布点)。如若无法通过任何途径得到发布点,则通过SCEP左券获取CRL。
若成就了LDAP神志的CRL发布点URL,则暗示要通过LDAP左券获取CRL。若该URL中未捎带主机名,则需要凭据PKI域中成就的LDAP劳动器地址信息来得到好意思满的LDAP发布点URL。
内容可输入的URL长度衔号令行允许输入的最大字符数限定。
【例如】
# 指定CRL发布点的URL为。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] crl url
【联系号令】
· ldap-server
· pki retrieve-crl
1.1.12 display pki certificate access-control-policydisplay pki certificate access-control-policy号令用来清爽文凭打听抑止战略的成就信息。
【号令】
display pki certificate access-control-policy [ policy-name ]
【视图】
恣意视图
【缺省用户脚色】
network-admin
network-operator
【参数】
policy-name:指定文凭打听抑止战略称呼,为1~31个字符的字符串,不隔离大小写。
【使用引导】
若不指定文凭打听抑止战略的称呼,则清爽所有文凭打听抑止战略的成就信息。
【例如】
# 清爽文凭打听抑止战略mypolicy的成就信息。
<Sysname> display pki certificate access-control-policy mypolicy
Access control policy name: mypolicy
Rule 1 deny mygroup1
Rule 2 permit mygroup2
# 清爽所有文凭属性打听抑止战略的成就信息。
<Sysname> display pki certificate access-control-policy
Total PKI certificate access control policies: 2
Access control policy name: mypolicy1
Rule 1 deny mygroup1
Rule 2 permit mygroup2
Access control policy name: mypolicy2
Rule 1 deny mygroup3
Rule 2 permit mygroup4
表1-2 display pki certificate access-control-policy号令清爽信息形色表
字段
形色
Total PKI certificate access control policies
PKI文凭打听抑止战略的总额
Access control policy name
文凭打听抑止战略名
Rule number
打听抑止端正编号
Permit
当文凭的属性与属性组里界说的属性匹配时,以为该文凭有用,通过了打听抑止战略的检测
Deny
当文凭的属性与属性组里界说的属性匹配时,以为该文凭无效,未通过打听抑止战略的检测
【联系号令】
· pki certificate access-control-policy
· rule
1.1.13 display pki certificate attribute-groupdisplay pki certificate attribute-group号令用来清爽文凭属性组的成就信息。
【号令】
display pki certificate attribute-group [ group-name ]
【视图】
恣意视图
【缺省用户脚色】
network-admin
network-operator
【参数】
group-name:指定文凭属性组名,为1~31个字符的字符串,不隔离大小写。
【使用引导】
若不指定文凭属性组的称呼,则清爽所有文凭属性组的成就信息。
【例如】
# 清爽文凭属性组mygroup的信息。
<Sysname> display pki certificate attribute-group mygroup
Attribute group name: mygroup
Attribute 1 subject-name dn ctn abc
Attribute 2 issuer-name fqdn nctn app
# 清爽所有文凭属性组的信息。
<Sysname> display pki certificate attribute-group
Total PKI certificate attribute groups: 2.
Attribute group name: mygroup1
Attribute 1 subject-name dn ctn abc
Attribute 2 issuer-name fqdn nctn app
Attribute group name: mygroup2
Attribute 1 subject-name dn ctn def
Attribute 2 issuer-name fqdn nctn fqd
表1-3 display pki certificate attribute-group号令清爽信息形色表
字段
形色
Total PKI certificate attribute groups
PKI文凭属性组的总额
Attribute group name
文凭属性组称呼
Attribute number
属性端正编号
subject-name
文凭主落款
alt-subject-name
文凭备用主落款
issuer-name
文凭颁发者名
Dn
实体的DN
Fqdn
实体的FQDN
Ip
实体的IP地址
Ctn
暗示包含操作
Nctn
暗示不包含操作
Equ
暗示等于操作
Nequ
暗示不等操作
Attribute 1 subject-name dn ctn abc
属性端正内容,包括以下参数:
· alt-subject-name:暗示文凭备用主落款
· issuer-name:暗示文凭颁发者名
· subject-name:暗示文凭主落款
· fqdn:暗示实体的FQDN
· ip:暗示实体的IP地址
· dn:暗示实体的DN
· ctn:暗示包含操作
· equ:暗示超越操作
· nctn:暗示不包含操作
· nequ:暗示不等操作
【联系号令】
· attribute
· pki certificate attribute-group
1.1.14 display pki certificate domaindisplay pki certificate domain号令用来清爽文凭的内容。
【号令】
display pki certificate domain domain-name { ca | local | peer [ serial serial-num ] }
【视图】
恣意视图
【缺省用户脚色】
network-admin
network-operator
【参数】
domain-name:清爽指定文凭地方的PKI域的称呼,为1~31个字符的字符串,不隔离大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:清爽CA文凭。
local:清爽腹地文凭。
peer:清爽对端文凭。
serial serial-num:指定要清爽的对端文凭的序列号。
【使用引导】
清爽CA文凭时,会清爽此PKI域中所有CA文凭的戒备信息,若PKI域中存在RA文凭,则同期清爽RA文凭的戒备信息。
清爽腹地文凭时,会清爽此PKI域中所有腹地文凭的戒备信息。
清爽对端文凭时,如若不指定序列号,将清爽所有对端文凭的简要信息;如若指定序列号,将清爽该序号对应的指定对端文凭的戒备信息。
【例如】
# 清爽PKI域aaa中的CA文凭。
<Sysname> display pki certificate domain aaa ca
Certificate:
Data:
Version: 1 (0x0)
Serial Number:
5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=cn, O=docm, OU=rnd, CN=rootca
Validity
Not Before: Jan 6 02:51:41 2011 GMT
Not After : Dec 7 03:12:05 2013 GMT
Subject: C=cn, O=ccc, OU=ppp, CN=rootca
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c4:fd:97:2c:51:36:df:4c:ea:e8:c8:70:66:f0:
28:98:ec:5a:ee:d7:35:af:86:c4:49:76:6e:dd:40:
4a:9e:8d:c0:cb:d9:10:9b:61:eb:0c:e0:22:ce:f6:
57:7c:bb:bb:1b:1d:b6:81:ad:90:77:3d:25:21:e6:
7e:11:0a:d8:1d:3c:8e:a4:17:1e:8c:38:da:97:f6:
6d:be:09:e3:5f:21:c5:a0:6f:27:4b:e3:fb:9f:cd:
c1:91:18:ff:16:ee:d8:cf:8c:e3:4c:a3:1b:08:5d:
84:7e:11:32:5f:1a:f8:35:25:c0:7e:10:bd:aa:0f:
52:db:7b:cd:5d:2b:66:5a:fb
Exponent: 65537 (0x10001)
Signature Algorithm: sha1WithRSAEncryption
6d:b1:4e:d7:ef:bb:1d:67:53:67:d0:8f:7c:96:1d:2a:03:98:
3b:48:41:08:a4:8f:a9:c1:98:e3:ac:7d:05:54:7c:34:d5:ee:
09:5a:11:e3:c8:7a:ab:3b:27:d7:62:a7:bb:bc:7e:12:5e:9e:
4c:1c:4a:9f:d7:89:ca:20:46:de:c5:b3:ce:36:ca:5e:6e:dc:
e7:c6:fe:3f:c5:38:dd:d5:a3:36:ad:f4:3d:e6:32:7f:48:df:
07:f0:a2:32:89:86:72:22:cd:ed:e5:0f:95:df:9c:75:71:e7:
fe:34:c5:a0:64:1c:f0:5c:e4:8f:d3:00:bd:fa:90:b6:64:d8:
88:a6
# 清爽PKI域aaa中的腹地文凭。
<Sysname> display pki certificate domain aaa local
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
bc:05:70:1f:0e:da:0d:10:16:1e
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=CN, O=sec, OU=software, CN=ipsec
Validity
Not Before: Jan 7 20:05:44 2011 GMT
Not After : Jan 7 20:05:44 2012 GMT
Subject: O=OpenCA Labs, OU=Users, CN=fips fips-sec
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:b2:38:ad:8c:7d:78:38:37:88:ce:cc:97:17:39:
52:e1:99:b3:de:73:8b:ad:a8:04:f9:a1:f9:0d:67:
d8:95:e2:26:a4:0b:c2:8c:63:32:5d:38:3e:fd:b7:
4a:83:69:0e:3e:24:e4:ab:91:6c:56:51:88:93:9e:
12:a4:30:ad:ae:72:57:a7:ba:fb:bc:ac:20:8a:21:
46:ea:e8:93:55:f3:41:49:e9:9d:cc:ec:76:13:fd:
a5:8d:cb:5b:45:08:b7:d1:c5:b5:58:89:47:ce:12:
bd:5c:ce:b6:17:2f:e0:fc:c0:3e:b7:c4:99:31:5b:
8a:f0:ea:02:fd:2d:44:7a:67
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Cert Type:
SSL Client, S/MIME
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Client Authentication, E-mail Protection, Microsoft Smartcardlogin
Netscape Comment:
User Certificate of OpenCA Labs
X509v3 Subject Key Identifier:
91:95:51:DD:BF:4F:55:FA:E4:C4:D0:10:C2:A1:C2:99:AF:A5:CB:30
X509v3 Authority Key Identifier:
keyid:DF:D2:C9:1A:06:1F:BC:61:54:39:FE:12:C4:22:64:EB:57:3B:11:9F
X509v3 Subject Alternative Name:
email:[email protected]
X509v3 Issuer Alternative Name:
email:[email protected]
Authority Information Access:
CA Issuers - URI:
OCSP - URI::2560/
1.3.6.1.5.5.7.48.12 - URI::830/
X509v3 CRL Distribution Points:
Full Name:
URI:
Signature Algorithm: sha256WithRSAEncryption
94:ef:56:70:48:66:be:8f:9d:bb:77:0f:c9:f4:65:77:e3:bd:
ea:9a:b8:24:ae:a1:38:2d:f4:ab:e8:0e:93:c2:30:33:c8:ef:
f5:e9:eb:9d:37:04:6f:99:bd:b2:c0:e9:eb:b1:19:7e:e3:cb:
95:cd:6c:b8:47:e2:cf:18:8d:99:f4:11:74:b1:1b:86:92:98:
af:a2:34:f7:1b:15:ee:ea:91:ed:51:17:d0:76:ec:22:4c:56:
da:d6:d1:3c:f2:43:31:4f:1d:20:c8:c2:c3:4d:e5:92:29:ee:
43:c6:d7:72:92:e8:13:87:38:9a:9c:cd:54:38:b2:ad:ba:aa:
f9:a4:68:b5:2a:df:9a:31:2f:42:80:0c:0c:d9:6d:b3:ab:0f:
dd:a0:2c:c0:aa:16:81:aa:d9:33:ca:01:75:94:92:44:05:1a:
65:41:fa:1e:41:b5:8a:cc:2b:09:6e:67:70:c4:ed:b4:bc:28:
04:50:a6:33:65:6d:49:3c:fc:a8:93:88:53:94:4c:af:23:64:
cb:af:e3:02:d1:b6:59:5f:95:52:6d:00:00:a0:cb:75:cf:b4:
50:c5:50:00:65:f4:7d:69:cc:2d:68:a4:13:5c:ef:75:aa:8f:
3f:ca:fa:eb:4d:d5:5d:27:db:46:c7:f4:7d:3a:b2:fb:a7:c9:
de:18:9d:c1
# 清爽PKI域aaa中的所有对端文凭的简要信息。
<Sysname> display pki certificate domain aaa peer
Total peer certificates: 1
Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7
Subject Name: CN=sldsslserver
# 清爽PKI域aaa中的一个特定序号的对端文凭的戒备信息。
<Sysname> display pki certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
9a:03:37:eb:21:56:ba:1f:54:76:e4:d7:54:a5:a9:f7
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=cn, O=ccc, OU=sec, CN=ssl
Validity
Not Before: Oct 15 01:23:06 2010 GMT
Not After : Jul 26 06:30:54 2012 GMT
Subject: CN=sldsslserver
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c2:cf:37:76:93:29:5e:cd:0e:77:48:3a:4d:0f:
a6:28:a4:60:f8:31:56:28:7f:81:e3:17:47:78:98:
68:03:5b:72:f4:57:d3:bf:c5:30:32:0d:58:72:67:
04:06:61:08:3b:e9:ac:53:b9:e7:69:68:1a:23:f2:
97:4c:26:14:c2:b5:d9:34:8b:ee:c1:ef:af:1a:f4:
39:da:c5:ae:ab:56:95:b5:be:0e:c3:46:35:c1:52:
29:9c:b7:46:f2:27:80:2d:a4:65:9a:81:78:53:d4:
ca:d3:f5:f3:92:54:85:b3:ab:55:a5:03:96:2b:19:
8b:a3:4d:b2:17:08:8d:dd:81
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Authority Key Identifier:
keyid:9A:83:29:13:29:D9:62:83:CB:41:D4:75:2E:52:A1:66:38:3C:90:11
X509v3 Key Usage: critical
Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Key Agreement
Netscape Cert Type:
SSL Server
X509v3 Subject Alternative Name:
DNS:docm.com
X509v3 Subject Key Identifier:
3C:76:95:9B:DD:C2:7F:5F:98:83:B7:C7:A0:F8:99:1E:4B:D7:2F:26
X509v3 CRL Distribution Points:
Full Name:
URI::447/ssl.crl
Signature Algorithm: sha1WithRSAEncryption
61:2d:79:c7:49:16:e3:be:25:bb:8b:70:37:31:32:e5:d3:e3:
31:2c:2d:c1:f9:bf:50:ad:35:4b:c1:90:8c:65:79:b6:5f:59:
36:24:c7:14:63:44:17:1e:e4:cf:10:69:fc:93:e9:70:53:3c:
85:aa:40:7e:b5:47:75:0f:f0:b2:da:b4:a5:50:dd:06:4a:d5:
17:a5:ca:20:19:2c:e9:78:02:bd:19:77:da:07:1a:42:df:72:
ad:07:7d:e5:16:d6:75:eb:6e:06:58:ee:76:31:63:db:96:a2:
ad:83:b6:bb:ba:4b:79:59:9d:59:6c:77:59:5b:d9:07:33:a8:
f0:a5
表1-4 display pki certificate号令清爽信息形色表
字段
形色
Version
文凭版块号
Serial Number
文凭序列号
Signature Algorithm
签名算法
Issuer
文凭颁发者
Validity
文凭有用期
Subject
文凭所属的实体信息
Subject Public Key Info
文凭所属的实体的公钥信息
X509v3 extensions
X.509版块3神志的文凭扩张属性
【联系号令】
· pki domain
· pki retrieve-certificate
1.1.15 display pki certificate renew-statusdisplay pki certificate renew-status号令用来清爽PKI域的文凭续签景色。
【号令】
display pki certificate renew-status [ domain domain-name ]
【视图】
恣意视图
【缺省用户脚色】
network-admin
network-operator
【参数】
domain domain-name:指定PKI域的称呼,为1~31个字符的字符串,不隔离大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。若未指定PKI域的称呼,则清爽所有PKI域的文凭续签景色。
【例如】
# 清爽所有PKI域的文凭续签景色,其中PKI域domain1的文凭肯求阵势成就中未指定reuse-public-key,续签时生成了新的密钥对。
<Sysname> display pki certificate renew-status
Domain Name: domain1
Renew Time : 03:12:05 2016-06-13
Renew public key:
Key type: RSA
Time when key pair created: 15:40:48 2015/05/12
Key code:
30819F300D06092A864886F70D010101050003818D0030818902818100DAA4AAFEFE04C2C9
667269BB8226E26331E30F41A8FF922C7338208097E84332610632B49F75DABF6D871B80CE
C1BA2B75020077C74745C933E2F390DC0B39D35B88283D700A163BB309B19F8F87216A44AB探花 白虎
FBF6A3D64DEB33E5CEBF2BCF26296778A26A84F4F4C5DBF8B656ACFA62CD96863474899BC1
2DA4C04EF5AE0835090203010001
# 清爽指定PKI域的文凭续签景色。
<Sysname> display pki certificate renew-status domain domain1
Domain Name: domain1
Renew Time : 03:12:05 2016-06-13
Renew public key:
Key type: RSA
Time when key pair created: 15:40:48 2016-06-13
Key code:
30819F300D06092A864886F70D010101050003818D0030818902818100DAA4AAFEFE04C2C9
667269BB8226E26331E30F41A8FF922C7338208097E84332610632B49F75DABF6D871B80CE
C1BA2B75020077C74745C933E2F390DC0B39D35B88283D700A163BB309B19F8F87216A44AB
FBF6A3D64DEB33E5CEBF2BCF26296778A26A84F4F4C5DBF8B656ACFA62CD96863474899BC1
2DA4C04EF5AE0835090203010001
表1-5 display pki certificate renew-status号令清爽信息形色表
字段
形色
Domain Name
PKI域名
Renew Time
瞻望文凭续签发生的技巧
Renew public key
文凭续签时使用的新密钥对的信息,惟有在文凭续签历程比拟慢或续签失败的情况下才会清爽出此密钥对信息
Key type
密钥对的类型,取值包括: RSA、DSA和ECDSA
Time when key pair created
密钥对的创建时分和日历
Key code
密钥对的密钥信息
【联系号令】
· certificate request mode
· pki domain
1.1.16 display pki certificate request-statusdisplay pki certificate request-status号令用来清爽文凭的肯求景色。
【号令】
display pki certificate request-status [ domain domain-name ]
【视图】
恣意视图
【缺省用户脚色】
network-admin
network-operator
【参数】
domain domain-name:指定文凭地方的PKI域的称呼,为1~31个字符的字符串,不隔离大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用引导】
若不指定PKI域的称呼,则清爽所有PKI域的文凭肯求景色。
【例如】
# 清爽PKI域aaa的文凭肯求景色。
<Sysname> display pki certificate request-status domain aaa
Certificate Request Transaction 1
Domain name: aaa
Status: Pending
Key usage: General
Remain polling attempts: 10
Next polling attempt after : 1191 seconds
# 清爽所有PKI域的文凭肯求景色。
<Sysname> display pki certificate request-status
Certificate Request Transaction 1
Domain name: domain1
Status: Pending
Key usage: General
Remain polling attempts: 10
Next polling attempt after : 1191 seconds
Certificate Request Transaction 2
Domain name: domain2
Status: Pending
Key usage: Signature
Remain polling attempts: 10
Next polling attempt after : 188 seconds
表1-6 display pki certificate request号令清爽信息形色表
字段
形色
Certificate Request Transaction number
文凭肯求任务的编号,从1启动法规编号
Domain name
PKI域名
Status
文凭肯求景色。当今,仅有一种取值Pending,暗示恭候
Key usage
文凭用途,包括以下取值:
· General:暗示通用,既不错用于加密也不错用于签名
· Signature:暗示用于签名
· Encryption:暗示用于加密
Remain polling attempts
剩余的文凭肯求景色的查询次数
Next polling attempt after
现时到下次查询文凭肯求景色的时分圮绝,单元为秒
【联系号令】
· certificate request polling
· pki domain
· pki retrieve-certificate
1.1.17 display pki crl domaindisplay pki crl domain号令用来清爽存储在腹地的CRL。
【号令】
display pki crl domain domain-name
【视图】
恣意视图
【缺省用户脚色】
network-admin
network-operator
【参数】
domain domain-name:指定CRL地方的PKI域的称呼,为1~31个字符的字符串,不隔离大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用引导】
用户不错通过该号令检察文凭肃清列表,看所需的文凭是否一经被肃清。
【例如】
# 清爽存储在腹地的CRL。
<Sysname> display pki crl domain aaa
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: /C=cn/O=docm/OU=sec/CN=therootca
Last Update: Apr 28 01:42:13 2011 GMT
Next Update: NONE
CRL extensions:
X509v3 CRL Number:
6
X509v3 Authority Key Identifier:
keyid:49:25:DB:07:3A:C4:8A:C2:B5:A0:64:A5:F1:54:93:69:14:51:11:EF
Revoked Certificates:
Serial Number: CDE626BF7A44A727B25F9CD81475C004
Revocation Date: Apr 28 01:37:52 2011 GMT
CRL entry extensions:
Invalidity Date:
Apr 28 01:37:49 2011 GMT
Serial Number: FCADFA81E1F56F43D3F2D3EF7EB56DE5
Revocation Date: Apr 28 01:33:28 2011 GMT
CRL entry extensions:
Invalidity Date:
Apr 28 01:33:09 2011 GMT
Signature Algorithm: sha1WithRSAEncryption
57:ac:00:3e:1e:e2:5f:59:62:04:05:9b:c7:61:58:2a:df:a4:
5c:e5:c0:14:af:c8:e7:de:cf:2a:0a:31:7d:32:da:be:cd:6a:
36:b5:83:e8:95:06:bd:b4:c0:36:fe:91:7c:77:d9:00:0f:9e:
99:03:65:9e:0c:9c:16:22:ef:4a:40:ec:59:40:60:53:4a:fc:
8e:47:57:23:e0:75:0a:a4:1c:0e:2f:3d:e0:b2:87:4d:61:8a:
4a:cb:cb:37:af:51:bd:53:78:76:a1:16:3d:0b:89:01:91:61:
52:d0:6f:5c:09:59:15:be:b8:68:65:0c:5d:1b:a1:f8:42:04:
ba:aa
表1-7 display pki crl domain清爽信息形色表
字段
形色
Version
CRL版块号
Signature Algorithm
CA签名该CRL接收的签名算法
Issuer
颁发该CRL的CA文凭称呼
Last Update
前次更新CRL的时分
Next Update
下次更新CRL的时分
CRL extensions
CRL扩张属性
X509v3 CRL Number
X509版块3神志的CRL序号
X509v3 Authority Key Identifier
X509版块3神志的签发该CRL的CA的符号符
Keyid
公钥符号符
一个CA可能有多个密钥对,该字段用于符号CA用哪个密钥对对该CRL进行签名
Revoked Certificates
破除的文凭信息
Serial Number
被肃清文凭的序列号
Revocation Date
文凭被肃清的日历
CRL entry extensions:
CRL技俩扩张属性
Signature Algorithm:
签名算法以及签名数据
【联系号令】
· pki retrieve-crl
1.1.18 fqdnfqdn号令用来成就PKI实体的FQDN。
undo fqdn号令用来归附缺省情况。
【号令】
fqdn fqdn-name-string
undo fqdn
【缺省情况】
未成就PKI实体的FQDN。
【视图】
PKI实体视图
【缺省用户脚色】
network-admin
【参数】
fqdn-name-string:PKI实体的FQDN,为1~255个字符的字符串,隔离大小写。
【使用引导】
FQDN是实体在网罗中的独一符号,由一个主机名和一个域名构成,神志为hostname@domainname。
【例如】
# 成就PKI实体en的FQDN为[email protected]。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] fqdn [email protected]
1.1.19 ipip号令用来成就PKI实体的IP地址。
undo ip号令用来归附缺省情况。
【号令】
ip { ip-address | interface interface-type interface-number }
undo ip
【缺省情况】
未成就PKI实体的IP地址。
【视图】
PKI实体视图
【缺省用户脚色】
network-admin
【参数】
ip-address:指定PKI实体的IP地址。
interface interface-type interface-numbe:指定接口的主IP地址看成PKI实体的IP地址。interface-type interface-number暗示接口类型及接口编号。
【使用引导】
通过本号令,不错径直指定PKI实体的IP地址,也不错指定确立上某接口的主IP地址看成PKI实体的IP地址。如若指定使用某接口的IP地址,则不要求本成就实施时该接口上一经成就了IP地址,只须确立肯求文凭时,该接口上成就了IP地址,就不错径直使用该地址看成PKI实体身份的一部分。
【例如】
# 成就PKI实体en的IP地址为192.168.0.2。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] ip 192.168.0.2
1.1.20 ldap-serverldap-server号令用来指定LDAP劳动器。
undo ldap-server号令用来归附缺省情况。
【号令】
ldap-server host hostname [ port port-number ]
undo ldap-server
【缺省情况】
未指定LDAP劳动器。
【视图】
PKI域视图
【缺省用户脚色】
network-admin
【参数】
host host-name:LDAP劳动器的主机名,为1~255个字符的字符串,隔离大小写,复古IPv4与IPv6地址的暗示行动以及DNS域名的暗示行动。
port port-number:LDAP劳动器的端标语,取值界限为1~65535,缺省值为389。
【使用引导】
以下两种情况下,需要成就LDAP劳动器:
· 通过LDAP左券获取腹地文凭或对端文凭时,需要指定LDAP劳动器。
· 通过LDAP左券获取CRL时,若PKI域中成就的LDAP神志的CRL发布点URL中未捎带主机名,则需要凭据此处成就的LDAP劳动器地址来得到好意思满的LDAP发布点URL。
在一个PKI域中,只可指定一个LDAP劳动器,屡次实施本号令,终末一次实施的号令见效。
【例如】
# 指定LDAP劳动器的IP地址为10.0.0.1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] ldap-server host 10.0.0.1
# 指定LDAP劳动器,IP地址为10.0.0.11,端标语为333。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] ldap-server host 10.0.0.11 port 333
【联系号令】
· pki retrieve-certificate
· pki retrieve-crl
1.1.21 localitylocality号令用来成就PKI实体地方的地舆区域称呼,比如城市称呼。
undo locality号令用来归附缺省情况。
【号令】
locality locality-name
undo locality
【缺省情况】
未成就PKI实体地方的地舆区域称呼。
【视图】
PKI实体视图
【缺省用户脚色】
network-admin
【参数】
locality-name:PKI实体地方的地舆区域的称呼,为1~63个字符的字符串,隔离大小写,不成包含逗号。
【例如】
# 成就PKI实体en地方地舆区域的称呼为pukras。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] locality pukras
1.1.22 organizationorganization号令用来成就PKI实体所属组织的称呼。
undo organization号令用来归附缺省情况。
【号令】
organization org-name
undo organization
【缺省情况】
未成就PKI实体所属组织称呼。
【视图】
PKI实体视图
【缺省用户脚色】
network-admin
【参数】
org-name:PKI实体所属的组织称呼,为1~63个字符的字符串,隔离大小写,不成包含逗号。
【例如】
# 成就PKI实体en所属的组织称呼为abc。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] organization abc
1.1.23 organization-unitorganization-unit号令用来指定实体所属的组织部门的称呼。
undo organization-unit号令用来归附缺省情况。
【号令】
organization-unit org-unit-name
undo organization-unit
【缺省情况】
未成就PKI实体所属组织部门的称呼。
【视图】
PKI实体视图
【缺省用户脚色】
network-admin
【参数】
org-unit-name:PKI实体所属组织部门的称呼,为1~63个字符的字符串,隔离大小写,不成包含逗号。使用该参数可在统一个组织内隔离不同部门的PKI实体。
【例如】
# 成就PKI实体en所属组织部门的称呼为rdtest。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] organization-unit rdtest
1.1.24 pki abort-certificate-requestpki abort-certificate-request号令用来住手文凭肯求历程。
【号令】
pki abort-certificate-request domain domain-name
【视图】
系统视图
【缺省用户脚色】
network-admin
【参数】
domain domain-name:指定文凭地方的PKI域的称呼,为1~31个字符的字符串,不隔离大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用引导】
用户在文凭肯求时,可能由于某种原因需要编削文凭肯求的一些参数,比如通用名、国度代码、FQDN等,而此时文凭肯求正在运行,为了新的肯求不与之前的肯求发生打破,冷漠先住手之前的肯求门径,再进行新的肯求。
【例如】
# 住手文凭肯求历程。
<Sysname> system-view
[Sysname] pki abort-certificate- request domain 1
The certificate request is in process.
Confirm to abort it? [Y/N]:y
【联系号令】
· display pki certificate request-status
· pki request-certificate domain
1.1.25 pki certificate access-control-policypki certificate access-control-policy号令用来创建文凭打听抑止战略,并参加文凭打听抑止战略视图。如若指定的文凭打听抑止战略已存在,则径直参加其视图。
undo pki certificate access-control-policy号令用来删除指定的文凭打听抑止战略。
【号令】
pki certificate access-control-policy policy-name
undo pki certificate access-control-policy policy-name
【缺省情况】
不存在文凭打听抑止战略。
【视图】
系统视图
【缺省用户脚色】
network-admin
【参数】
policy-name:暗示文凭打听抑止战略称呼,为1~31个字符的字符串,不隔离大小写。
【使用引导】
一个文凭打听抑止战略中不错界说多个文凭属性的打听抑止端正。
【例如】
# 成就一个称呼为mypolicy的文凭打听抑止战略,并参加文凭打听抑止战略视图。
<Sysname> system-view
[Sysname] pki certificate access-control-policy mypolicy
[Sysname-pki-cert-acp-mypolicy]
【联系号令】
· display pki certificate access-control-policy
· rule
1.1.26 pki certificate attribute-grouppki certificate attribute-group号令用来创建文凭属性组并参加文凭属性组视图。如若指定的文凭属性组已存在,则径直参加其视图。
undo pki certificate attribute-group号令用来删除指定的文凭属性组。
【号令】
pki certificate attribute-group group-name
undo pki certificate attribute-group group-name
【缺省情况】
不存在文凭属性组。
【视图】
系统视图
【缺省用户脚色】
network-admin
【参数】
group-name:文凭属性组称呼,为1~31个字符的字符串,不隔离大小写。
【使用引导】
一个文凭属性组即是一系列文凭属性端正(通过attribute号令成就)的蚁集,这些属性端正界说了对文凭的颁发者名、主落款以及备用主落款进行过滤的匹配条目。当文凭属性组下莫得任何属性端正时,则以为对文凭的属性莫得任何限定。
【例如】
# 创建一个名为mygroup的文凭属性组,并参加文凭属性组视图。
<Sysname> system-view
[Sysname] pki certificate attribute-group mygroup
[Sysname-pki-cert-attribute-group-mygroup]
【联系号令】
· attribute
· display pki certificate attribute-group
· rule
1.1.27 pki delete-certificatepki delete-certificate号令用来删除PKI域中的文凭。
【号令】
pki delete-certificate domain domain-name { ca | local | peer [ serial serial-num ] }
【视图】
系统视图
【缺省用户脚色】
network-admin
【参数】
domain domain-name:文凭地方的PKI域的称呼,为1~31个字符的字符串,不隔离大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:暗示删除CA文凭。
local:暗示删除腹地文凭。
peer:暗示删除对端文凭。
serial serial-num:暗示通过指定序列号删除一个指定的对端文凭。serial-num为对端文凭的序列号,为1~127个字符的字符串,不隔离大小写。在每个CA签发的文凭界限内,序列号不错独一符号一个文凭。如若不指定本参数,则暗示删除本PKI域中的所有对端文凭。
【使用引导】
删除CA文凭时将同期删除地方PKI域中的腹地文凭和所有对端文凭,以及CRL。
如若需要删除指定的对端文凭,则需要最初通过display pki certificate号令检察本域中已有的对端文凭的序列号,然后再通过指定序列号的阵势删除该对端文凭。
【例如】
# 删除PKI域aaa中的CA文凭。
<Sysname> system-view
[Sysname] pki delete-certificate domain aaa ca
Local certificates, peer certificates and CRL will also be deleted while deleting the CA certificate.
Confirm to delete the CA certificate? [Y/N]:y
[Sysname]
# 删除PKI域aaa中的腹地文凭。
<Sysname> system-view
[Sysname] pki delete-certificate domain aaa local
[Sysname]
# 删除PKI域aaa中的所有对端文凭。
<Sysname> system-view
[Sysname] pki delete-certificate domain aaa peer
[Sysname]
# 最初检察PKI域aaa中的对端文凭,然后通过指定序列号的阵势删除对端文凭。
<Sysname> system-view
[Sysname] display pki certificate domain aaa peer
Total peer certificates: 1
Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7
Subject Name: CN=abc
[Sysname] pki delete-certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7
【联系号令】
· display pki certificate
1.1.28 pki domainpki domain号令用来创建PKI域,并参加PKI域视图。如若指定的PKI域已存在,则径直参加PKI域视图。
undo pki domain号令用来删除指定的PKI域。
【号令】
pki domain domain-name
undo pki domain domain-name
【缺省情况】
不存在PKI域。
【视图】
系统视图
【缺省用户脚色】
network-admin
【参数】
domain-name:PKI域名,为1~31个字符的字符串,不隔离大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用引导】
删除PKI域的同期,会将该域联系的文凭和CRL都删除去,因此请平缓操作。
【例如】
# 创建PKI域aaa并参加PKI域视图。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa]
1.1.29 pki entitypki entity号令用来创建PKI实体,并参加PKI实体视图。如若指定的PKI实体已存在,则径直参加PKI实体视图。
undo pki entity号令用来删除指定的PKI实体。
【号令】
pki entity entity-name
undo pki entity entity-name
【缺省情况】
不存在PKI实体。
【视图】
系统视图
【缺省用户脚色】
network-admin
【参数】
entity-name:PKI实体的称呼,为1~31个字符的字符串,不隔离大小写。
【使用引导】
在PKI实体视图下可成就PKI实体的多样属性(通用名、组织部门、组织、地舆区域、省、国度、FQDN、IP),这些属性用于形色PKI实体的身份信息。当肯求文凭时,PKI实体的信息将看成文凭中主题(Subjuct)部分的内容。
【例如】
# 创建称呼为en的PKI实体,并参加该实体视图。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en]
【联系号令】
· pki domain
1.1.30 pki exportpki export号令用来将PKI域中的CA文凭、腹地文凭导出到文献中或末端上。
【号令】
pki export domain domain-name der { all | ca | local } filename filename
pki export domain domain-name p12 { all | local } passphrase p12-key filename filename
pki export domain domain-name pem { { all | local } [ { 3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc } pem-key ] | ca } [ filename filename ]
【视图】
系统视图
【缺省用户脚色】
network-admin
【参数】
domain domain-name:文凭地方的PKI域的称呼,为1~31个字符的字符串,不隔离大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
der:指定文凭文献神志为DER编码。
p12:指定文凭文献神志为PKCS12编码。
pem:指定文凭文献神志为PEM编码。
all:暗示导出所有文凭,包括PKI域中所有的CA文凭和腹地文凭,但不包括RA文凭。
ca:暗示导出CA文凭。
local:暗示导出腹地文凭或者腹地文凭和其对应私钥。
passphrase p12-key:指定对PKCS12编码神志的腹地文凭对应的私钥进行加密所接收的口令。
3des-cbc:对腹地文凭对应的私钥数据接收3DES_CBC算法进行加密。
aes-128-cbc:对腹地文凭对应的私钥数据接收128位AES_CBC算法进行加密。
aes-192-cbc:对腹地文凭对应的私钥数据接收192位AES_CBC算法进行加密。
aes-256-cbc:对腹地文凭对应的私钥数据接收256位AES_CBC算法进行加密。
des-cbc:对腹地文凭对应的私钥数据接收DES_CBC算法进行加密。
pem-key:指定对PEM编码神志的腹地文凭对应的私钥进行加密所接收的口令。
filename filename:指定保存文凭的文献名,不隔离大小写。如若不指定本参数,则暗示要将文凭径直导出到末端上清爽,这种阵势仅PEM编码神志的文凭才复古。
【使用引导】
导出CA文凭时,如若PKI域中惟有一个CA文凭则导出单个CA文凭到用户指定的一个文献或末端,如若是一个CA文凭链则导出所有这个词CA文凭链到用户指定的一个文献或末端。
导出腹地文凭时,确立上内容保存文凭的文凭文献称呼并不一定是用户指定的称呼,它与腹地文凭的密钥对用途联系,具体的定名端正如下(假定用户指定的文献名为filename):
· 如若腹地文凭的密钥对用途为签名,则文凭文献称呼为filename-signature;
· 如若腹地文凭的密钥对用途为加密,则文凭文献称呼为filename-encryption;
· 如若腹地文凭的密钥对用途为通用(RSA/ECDSA/DSA),则文凭文献称呼为用户输入的filename。
导出腹地文凭时,如若PKI域中有两个腹地文凭,则导出恶果如下:
· 若指定文献名,则将每个腹地文凭分别导出到一个单独的文献中;
· 若不指定文献名,则将所有腹地文凭一次性一皆导出到末端上,并由不同的指示信息进行分割清爽。
导出所有文凭时,如若PKI域中惟有腹地文凭或者惟有CA文凭,则导出恶果与单独导出交流。如若PKI域中存在腹地文凭和CA文凭,则具体导出恶果如下:
· 若指定文献名,则将每个腹地文凭分别导出到一个单独的文献,该腹地文凭对应的好意思满CA文凭链也会同期导出到该文献中。
· 若不指定文献名,则将所有的腹地文凭及域中的CA文凭或者CA文凭链一次性一皆导出到末端上,并由不同的指示信息进行分割清爽。
以PKCS12神志导出所有文凭时,PKI域中必须有腹地文凭,不然会导出失败。
以PEM神志导出腹地文凭或者所有文凭时,若不指定私钥的加密算法和私钥加密口令,则不会导出腹地文凭对应的私钥信息。
以PEM神志导出腹地文凭或者所有文凭时,若指定私钥加密算法和私钥加密口令,且此时腹地文凭有匹配的私钥,则同期导出腹地文凭的私钥信息;如若此时腹地文凭莫得匹配的私钥,则导出该腹地文凭失败。
导出腹地文凭时,若现时PKI域中的密钥对成就已被修改,导致腹地文凭的公钥与该密钥对的公钥部分不匹配,则导出该腹地文凭失败。
导出腹地文凭或者所有文凭时,如若PKI域中有两个腹地文凭,则导出某种密钥用途的腹地文凭失败并不会影响导出另外一个腹地文凭。
指定的文献名中不错带好意思满旅途,当系统中不存在用户所指定旅途时,则会导出失败。
【例如】
# 导出PKI域中的CA文凭到DER编码的文献,文献称呼为cert-ca.der。
<Sysname> system-view
[Sysname] pki export domain domain1 der ca filename cert-ca.der
# 导出PKI域中的腹地文凭到DER编码的文献,文献称呼为cert-lo.der。
<Sysname> system-view
[Sysname] pki export domain domain1 der local filename cert-lo.der
# 导出PKI域中的所有文凭到DER编码的文献,文献称呼为cert-all.p7b。
<Sysname> system-view
[Sysname] pki export domain domain1 der all filename cert-all.p7b
# 导出PKI域中的CA文凭到PEM编码的文献,文献称呼为cacert。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca filename cacert
# 导出PKI域中的腹地文凭偏持对应的私钥到PEM编码的文献,指定保护私钥信息的加密算法为DES_CBC、加密口令为111,文献称呼为local.pem。
<Sysname> system-view
[Sysname] pki export domain domain1 pem local des-cbc 111 filename local.pem
# 导出PKI域中所有文凭到PEM编码的文献,不指定加密算法和加密口令,不导出腹地文凭对应的私钥信息,文献称呼为all.pem。
<Sysname> system-view
[Sysname] pki export domain domain1 pem all filename all.pem
# 以PEM神志导出PKI域中腹地文凭偏持对应的私钥到末端,指定保护私钥信息的加密算法为DES_CBC、加密口令为111。
<Sysname> system-view
[Sysname] pki export domain domain1 pem local des-cbc 111
%The signature usage local certificate:
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
subject=/C=CN/O=OpenCA Labs/OU=Users/CN=chktest chktest
issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----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-----END ENCRYPTED PRIVATE KEY-----
# 以PEM神志导出PKI域中所有文凭到末端,指定保护腹地文凭对应私钥的加密算法为DES_CBC、加密口令为111。
<Sysname> system-view
[Sysname] pki export domain domain1 pem all des-cbc 111
%The signature usage local certificate:
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
subject=/C=CN/O=OpenCA Labs/OU=Users/CN=chktest chktest
issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
Bag Attributes: <No Attributes>
subject=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Bag Attributes
friendlyName:
localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D
Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----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好大夫在线gKgqwYnxVfRSvt8d6GBYrpF2tMFS9LEyngPKXExd+m4mAryuT5PhdFTkb1B190Lp
UIBjk3IXnr7AdrhvyLkH0UuQE95emXBD/K0HlD73cMrtmogL8F4yS5B2hpIr/v5/
eW35+1QMnJ9FtHFnVsLx9wl9lX8iNfsoBhg6FQ/hNSioN7rNBe7wwIRzxPVfEhO8
5ajQxWlidRn5RkzfUo6HuAcq02QTpSXI6wf2bzsVmr5sk+fRaELD/cwL6VjtXO6x
ZBLJcUyAwvScrOtTEK7Q5n0I34gQd4qcF0D1x9yQ4sqvTeU/7Jkm6XCPV05/5uiF
RLCfFAwaJMBdIQ6jDQHnpWT67uNDwdEzaPmuTVMme5Woc5zsqE5DY3hWu4oqFdDz
kPLnbX74IZ0gOLki9eIJkVswnF5HkBCKS50ejlW6TgbMNZ+JPk2w
-----END ENCRYPTED PRIVATE KEY-----
# 以PEM神志导出PKI域中CA文凭到末端。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# 导出PKI域中CA文凭到PEM编码的文献,指定文献称呼为cacert。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca filename cacert
# 导出PKI域中CA文凭(文凭链)到末端。
<Sysname> system-view
[Sysname] pki export domain domain1 pem ca
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# 导出PKI域中的腹地文凭偏持对应的私钥到PKCS12编码的文献,指定保护私钥信息的加密口令为123,文献称呼为cert-lo.der。
<Sysname> system-view
[Sysname] pki export domain domain1 p12 local passphrase 123 filename cert-lo.der
# 导出PKI域中的所有文凭到PKCS12编码的文献,指定文献称呼为cert-all.p7b。
<Sysname> system-view
[Sysname] pki export domain domain1 p12 all passphrase 123 filename cert-all.p7b
【联系号令】
· pki domain
1.1.31 pki importpki import号令用来将CA文凭、腹地文凭或对端文凭导入到指定的PKI域中保存。
【号令】
pki import domain domain-name { der { ca | local | peer } filename filename | p12 local filename filename | pem { ca | local | peer } [ filename filename ] }
【视图】
系统视图
【缺省用户脚色】
network-admin
【参数】
domain domain-name:保存文凭的PKI域的称呼,为1~31个字符的字符串,不隔离大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
der:指定文凭文献神志为DER编码(包括PKCS#7神志的文凭)。
p12:指定文凭文献神志为PKCS#12编码。
pem:指定文凭文献神志为PEM编码。
ca:暗示CA文凭。
local:暗示腹地文凭。
peer:暗示对端文凭。
filename filename:要导入的文凭地方的文献名,不隔离大小写。如若不指定本参数,则暗示要通过径直在末端上粘贴文凭内容的阵势导入文凭,这种阵势仅PEM编码神志的文凭才复古。
【使用引导】
如若确立所处的环境中,莫得文凭的发布点,或者CA劳动器不复古通过SCEP左券与确立交互,则可通过此号令将文凭导入到确立。另外,当文凭对应的密钥对由CA劳动器生成时,CA劳动器会将文凭和对应的密钥对打包成一个文献,使用这么的文凭前也需要通过此号令将其导入到确立。惟有PKCS#12神志或PEM神志的文凭文献中可能包含密钥对。
文凭导入之前:
· 需要通过FTP、TFTP等左券将文凭文献传送到确立的存储介质中。如若确立所处的环境不允许使用FTP、TFTP等左券,则不错径直在末端上粘贴文凭的内容,但是粘贴的文凭必须是PEM神志的,因为惟有PEM编码的文凭内容为可打印字符。
· 必须存在签发腹地文凭(或对端文凭)的CA文凭链能力成功导入腹地文凭(或对端文凭),这里的CA文凭链不错是保存在确立上的PKI域中的,也不错是腹地文凭(或对端文凭)中捎带的。因此,若确立和腹地文凭(或对端文凭)中都莫得CA文凭链,则需要最初实施导入CA文凭的号令。
导入腹地文凭或对端文凭时:
· 如若用户要导入的腹地文凭(或对端文凭)中含有CA文凭链,则不错通过导入腹地文凭(或对端文凭)的号令一次性将CA文凭和腹地文凭(或对端文凭)均导入到确立。导入的历程中,如若发现签发此腹地文凭(或对端文凭)的CA文凭一经存在于确立上的任一PKI域中,则系统会指示用户是否将其进行掩饰。
· 如若要导入的腹地文凭(或对端文凭)中不含有CA文凭链,但签发此腹地文凭(或对端文凭)的CA文凭一经存在于确立上的任一PKI域中,则不错径直导入腹地文凭(或对端文凭)。
导入CA文凭时:
· 若要导入的CA文凭为根CA或者包含了好意思满的文凭链(即含有根文凭),则不错导入到确立。
· 若要导入的CA文凭莫得包含好意思满的文凭链(即不含有根文凭),但大要与确立上已有的CA文凭拼接成好意思满的文凭链,则也不错导入到确立;如若不成与确立上已有的CA文凭拼接成完成的文凭链,则不成导入到确立。
一些情况下,在文凭导入的历程中,需要用户阐述或输入联系信息:
· 若要导入的文凭文献中包含了根文凭,且确立上圈套今还莫得任何PKI域中有此根文凭,且要导入的PKI域中莫得成就root-certificate fingerprint,则在导入历程中还需要阐述该根文凭的指纹信息是否与用户的预期一致。用户需要通过沟通CA劳动器处罚员来获取预期的根文凭指纹信息。
· 当导入含有密钥对的腹地文凭时,需要输进口令。用户需要沟通CA劳动器处罚员取得口令的内容。
导入含有密钥对的腹地文凭时,系统最初会凭据查找到的PKI域中已有的密钥对成就来保存该密钥对。若PKI域中已保存了对应的密钥对,则确立会指示用户遴荐是否掩饰已有的密钥对。若PKI域中莫得任何密钥对的成就,则凭据密钥对的算法及文凭的密钥用途,生成相应的密钥对成就。密钥对的具体保存端正如下:
· 如若腹地文凭捎带的密钥对的用途为通用,则轮番查找指定PKI域中通用用途、签名用途、加密用途的密钥对成就,并以找到成就中的密钥对称呼保存该密钥对;若以上用途的密钥对成就均不存在,则指示用户输入密钥对称呼(缺省的密钥对称呼为PKI域的称呼),并生成相应的密钥对成就。
· 如若腹地文凭捎带的密钥对的用途为签名,则轮番查找指定PKI域中通用用途、签名用途的密钥对成就,并以找到成就中的密钥对称呼保存该密钥对;若以上两种用途的密钥对成就均不存在,则指示用户输入密钥对称呼(缺省的密钥对称呼为PKI域的称呼),并生成相应的密钥对成就。
· 如若腹地文凭捎带的密钥对的用途为加密,则查找指定PKI域中加密用途的密钥对成就,并以该成就中的密钥对称呼保存密钥对;若加密用途密钥对的成就不存在,则指示用户输入密钥对称呼(缺省的密钥对称呼为PKI域的称呼),并生成相应的密钥对成就。
由于以上历程中系统会自动更新或生成密钥对成就,因此冷漠用户在进行此类导入操作后,保存成就文献。
【例如】
# 向PKI域aaa中导入CA文凭,文凭文献神志为PEM编码,文凭文献称呼为rootca_pem.cer,文凭文献中包含根文凭。
<Sysname> system-view
[Sysname] pki import domain aaa pem ca filename rootca_pem.cer
The trusted CA's finger print is:
MD5 fingerprint:FFFF 3EFF FFFF 37FF FFFF 137B FFFF 7535
SHA1 fingerprint:FFFF FF7F FF2B FFFF 7618 FF4C FFFF 0A7D FFFF FF69
Is the finger print correct?(Y/N):y
[Sysname]
# 向PKI域bbb中导入CA文凭,文凭文献神志为PEM编码,文凭文献称呼为aca_pem.cer,文凭文献中不包含根文凭。
<Sysname> system-view
[Sysname] pki import domain bbb pem ca filename aca_pem.cer
[Sysname]
# 向PKI域bbb中导入腹地文凭,文凭文献神志为PKCS#12编码,文凭文献称呼为local-ca.p12,文凭文献中包含了密钥对。
<Sysname> system-view
[Sysname] pki import domain bbb p12 local filename local-ca.p12
Please input challenge password:
******
[Sysname]
# 向PKI域bbb中通过粘贴文凭内容的阵势导入PEM编码的腹地文凭。文凭中含有密钥对和CA文凭链。
<Sysname> system-view
[Sysname] pki import domain bbb pem local
Enter PEM-formatted certificate.
End with a Ctrl+c on a line by itself.
Bag Attributes
localKeyID: 01 00 00 00
friendlyName: {F7619D96-3AC2-40D4-B6F3-4EAB73DEED73}
Microsoft CSP Name: Microsoft Enhanced Cryptographic Provider v1.0
Key Attributes
X509v3 Key Usage: 10
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,8DCE37F0A61A4B8C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-----END RSA PRIVATE KEY-----
Bag Attributes
localKeyID: 01 00 00 00
subject=/CN=sldsslserver
issuer=/C=cn/O=ccc/OU=sec/CN=ssl
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Bag Attributes: <Empty Attributes>
subject=/C=cn/O=ccc/OU=sec/CN=ssl
issuer=/C=cn/O=ccc/OU=sec/CN=ssl
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Please input the password:********
Local certificate already exist, confirm to overwrite it? [Y/N]:y
The PKI domain already has a CA certificate. If it is overwritten, local certificates, peer certificates and CRL of this domain will also be deleted.
Overwrite it? [Y/N]:y
The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).
Please enter the key pair name [default name: bbb]:
The key pair already exists.
Please enter the key pair name:
import-key
【联系号令】
· display pki certificate
· public-key dsa
· public-key ecdsa
· public-key rsa
1.1.32 pki request-certificatepki request-certificate号令用来手工肯求腹地文凭或生成PKCS#10文凭肯求。
【号令】
pki request-certificate domain domain-name [ password password ] [ pkcs10 [ filename filename ] ]
【视图】
系统视图
【缺省用户脚色】
network-admin
【参数】
domain domain-name:指定文凭肯求所属的 PKI域名,为1~31个字符的字符串,不隔离大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
password password:在文凭破除时需要提供的口令,为1~31个字符的字符串,隔离大小写。该口令包含在提交给CA的文凭肯求中,在肃清该文凭时,需要提供该口令。
pkcs10:在末端上清爽出BASE64神志的PKCS#10文凭肯求信息,该信息可用于带外阵势(如电话、磁盘、电子邮件等)的文凭请求。
filename filename:将PKCS#10神志的文凭肯求信息保存到腹地的文献中。其中,filename暗示保存文凭肯求信息的文献名,不隔离大小写。
【使用引导】
当SCEP左券不成平常通讯时,不错通过实施指定参数pkcs10的本号令打印出腹地的文凭肯求信息(BASE64神志),或者通过实施指定pkcs10 filename filename参数的本号令将文凭肯求信息径直保存到腹地的指定文献中,然后通过带外阵势将这些腹地文凭肯求信息发送给CA进行文凭肯求。指定的文献名中不错带好意思满旅途,当系统中不存在用户所指定旅途时,则会保存失败。
此号令不会被保存在成就文献中。
【例如】
# 在末端上清爽PKCS#10神志的文凭肯求信息。
<Sysname> system-view
[Sysname] pki request-certificate domain aaa pkcs10
*** Request for general certificate ***
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIBTDCBtgIBADANMQswCQYDVQQDEwJqajCBnzANBgkqhkiG9w0BAQEFAAOBjQAw
gYkCgYEAw5Drj8ofs9THA4ezkDcQPBy8pvH1kumampPsJmx8sGG52NFtbrDTnTT5
ALx3LJijB3d/ndKpcHT/DfbJVDCn5gdw32tBZyCkEwMHZN3ol2z7Nmdcu5TED6iN8
4m+hfp1QWoV6lty3o9pxAXuQl8peUDcfN6WV3LBXYyl1WCtkLkECAwEAAaAAMA0G
CSqGSIb3DQEBBAUAA4GBAA8E7BaIdmT6NVCZgv/I/1tqZH3TS4e4H9Qo5NiCKiEw
R8owVmA0XVtGMbyqBNcDTG0f5NbHrXZQT5+MbFJOnm5K/mn1ro5TJKMTKV46PlCZ
JUjsugaY02GBY0BVcylpC9iIXLuXNIqjh1MBIqVsa1lQOHS7YMvnop6hXAQlkM4c
-----END NEW CERTIFICATE REQUEST-----
# 手工肯求腹地文凭。
[Sysname] pki request-certificate domain openca
Start to request the general certificate ...
……
Certificate requested successfully.
【联系号令】
· display pki certificate
1.1.33 pki retrieve-certificatepki retrieve-certificate号令用来从文凭发布劳动器上在线获取文凭并下载至腹地。
【号令】
pki retrieve-certificate domain domain-name { ca | local | peer entity-name }
【视图】
系统视图
【缺省用户脚色】
network-admin
【参数】
domain domain-name:指定文凭地方的PKI域的称呼,为1~31个字符的字符串,不隔离大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:暗示获取CA文凭。
local:暗示获取腹地文凭。
peer entity-name:暗示获取对端的文凭。其中entity-name为对端的实体名,为1~31个字符的字符串,不隔离大小写。
【使用引导】
获取CA文凭是通过SCEP左券进行的。获取CA文凭时,如若腹地已有CA文凭存在,则该操作将不被允许。这种情况下,若要再行获取CA文凭,请先使用pki delete-certificate号令删除已有的CA文凭与对应的腹地文凭后,再实施此号令。
获取腹地文凭和对端文凭是通过LDAP左券进行的。获取腹地文凭或对端文凭时,如若腹地已有腹地文凭或对端文凭,则该操作是被允许进行的。最终,属于一个PKI实体的统一种公钥算法的腹地文凭只可存在一个,后者径直掩饰已有的,但关于RSA算法的文凭而言,不错存在一个签名用途的文凭和一个加密用途的文凭。
所有获取到的CA文凭、腹地文凭或对端文凭惟有通过考证之后才会被保存到腹地文凭库中。
此号令不会被保存在成就文献中。
【例如】
# 从文凭发布劳动器上获取CA文凭。(需要用户阐述CA根文凭的指纹)
<Sysname> system-view
[Sysname] pki retrieve-certificate domain aaa ca
The trusted CA's finger print is:
MD5 fingerprint:5C41 E657 A0D6 ECB4 6BD6 1823 7473 AABC
SHA1 fingerprint:1616 E7A5 D89A 2A99 9419 1C12 D696 8228 87BC C266
Is the finger print correct?(Y/N):y
Retrieved the certificates successfully.
# 从文凭发布劳动器上获取腹地文凭。
<Sysname> system-view
[Sysname] pki retrieve-certificate domain aaa local
Retrieved the certificates successfully.
# 从文凭发布劳动器上获取对端文凭。
<Sysname> system-view
[Sysname] pki retrieve-certificate domain aaa peer en1
Retrieved the certificates successfully.
【联系号令】
· display pki certificate
· pki delete-certificate
1.1.34 pki retrieve-crlpki retrieve-crl号令用来获取CRL并下载至腹地。
【号令】
pki retrieve-crl domain domain-name
【视图】
系统视图
【缺省用户脚色】
network-admin
【参数】
domain-name:指定CRL所属的PKI域的称呼,为1~31个字符的字符串,不隔离大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用引导】
获取CRL的方向是为了考证PKI域中的腹地文凭和对端文凭的正当性。若要成功获取CRL,PKI域中必须存在CA文凭。
确立复古通过HTTP、LDAP或SCEP左券从CRL发布点上获取CRL,具体接收那种左券,由PKI域中CRL发布点的成就决定:
· 若成就的CRL发布点URL神志为HTTP神志,则通过HTTP左券获取CRL。
· 若成就的CRL发布点URL神志为LDAP神志,则通过LDAP左券获取CRL。若成就的CRL发布点URL(通过号令crl url)中短缺主机名,例如ldap:///CN=8088,OU=test,U=rd,C=cn,则还需要在PKI域中成就LDAP劳动器的URL(通过号令ldap server)。此时,确立会将成就的LDAP劳动器URL和成就的CRL发布点URL中的不好意思满的LDAP发布点组装成好意思满的LDAP发布点,再通过LDAP左券获取CRL。
· 若PKI域中莫得成就CRL发布点,则确立会轮番从腹地文凭、CA文凭中查找CRL的发布点,如若从中查找到了CRL发布点,则通过该发布点获取CRL;不然,通过SCEP左券获取CRL。
【例如】
# 从CRL发布点上获取CRL。
<Sysname> system-view
[Sysname] pki retrieve-crl domain aaa
Retrieve CRL of the domain aaa successfully.
【联系号令】
· crl url
· ldap server
1.1.35 pki storagepki storage号令用来成就文凭和CRL的存储旅途。
undo pki storage号令用来归附缺省情况。
【号令】
pki storage { certificates | crls } dir-path
undo pki storage { certificates | crls }
【缺省情况】
文凭和CRL的存储旅途为确立存储介质上的PKI目次,此PKI目次在确立初度成功肯求、获取或导入文凭时自动创建。
【视图】
系统视图
【缺省用户脚色】
network-admin
【参数】
certificates:指定文凭的存储目次。
crls:指定CRL的存储目次。
dir-path:存储目次的旅途称呼,隔离大小写,不成以‘/’伊始,不成包含“../”。dir-path不错是十足旅途也不错是相对旅途,但必须一经存在。
【使用引导】
dir-path只关联词现时主控板上的旅途,不成是其它主控板上的旅途。
确立缺省的PKI目次在确立初度成功肯求、获取或导入文凭时自动创建。
如若需要指定的目次还不存在,需要先使用mkdir号令创建这个目次,再使用此号令配存储旅途。若修改了文凭或CRL的存储目次,则原存储旅途下的文凭文献(以.cer和.p12为后缀的文献)和CRL文献(以.crl为后缀的文献)将被出动到该旅途下保存,且原存储旅途下的其它文献不受影响。
【例如】
# 竖立文凭的存储旅途为cfa0:/pki-new。
<Sysname> system-view
[Sysname] pki storage certificates cfa0:/pki-new
# 竖立CRL存储旅途为pki-new。
<Sysname> system-view
[Sysname] pki storage crls pki-new
1.1.36 pki validate-certificatepki validate-certificate号令用来考证文凭的有用性。
【号令】
pki validate-certificate domain domain-name { ca | local }
【视图】
系统视图
【缺省用户脚色】
network-admin
【参数】
domain domain-name:指定文凭地方的PKI域的称呼,为1~31个字符的字符串,不隔离大小写,不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:暗示考证CA文凭。
local:暗示考证腹地文凭。
【使用引导】
文凭考证的内容包括:文凭是否由用户信任的CA签发;文凭是否仍在有用期内;如若使能了CRL查验功能,还会考证文凭是否被肃清。如若考证文凭的时候,PKI域中莫得CRL,则会先从腹地文凭库中查找是否存在CRL,如若找到CRL,则把文凭库中保存的CRL加载到该PKI域中,不然,就从CA劳动器上获取并保存到腹地。
导入文凭、肯求文凭、获取文凭以及诈骗门径使用PKI功能时,都会自动对文凭进行考证,因此一般不需要使用此号令进行非凡的考证。如若用户但愿在莫得任何前述操作的情况下单独实施文凭的考证,不错使用此号令。
考证CA文凭时,会对从现时CA到根CA的整条CA文凭链进行CRL查验。
【例如】
# 考证PKI域aaa中的CA文凭的有用性。
<Sysname> system-view
[Sysname] pki validate-certificate domain aaa ca
Verifying certificates......
Serial Number:
f6:3c:15:31:fe:bb:ec:94:dc:3d:b9:3a:d9:07:70:e5
Issuer:
C=cn
O=ccc
OU=ppp
CN=rootca
Subject:
C=cn
O=abc
OU=test
CN=aca
Verify result: OK
Verifying certificates......
Serial Number:
5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6
Issuer:
C=cn
O=ccc
OU=ppp
CN=rootca
Subject:
C=cn
O=ccc
OU=ppp
CN=rootca
Verify result: OK
# 考证PKI域aaa中的腹地文凭的有用性。
<Sysname> system-view
[Sysname] pki validate-certificate domain aaa local
Verifying certificate......
Serial Number:
bc:05:70:1f:0e:da:0d:10:16:1e
Issuer:
C=CN
O=sec
OU=software
CN=bca
Subject:
O=OpenCA Labs
OU=Users
CN=fips fips-sec
Verify result: OK
【联系号令】
· crl check
· pki domain
1.1.37 public-key dsapublic-key dsa号令用来指定文凭肯求使用的DSA密钥对。
undo public-key号令用来归附缺省情况。
【号令】
public-key dsa name key-name [ length key-length ]
undo public-key
【缺省情况】
未指定肯求文凭使用的密钥对。
【视图】
PKI域视图
【缺省用户脚色】
network-admin
【参数】
name key-name:密钥对的称呼,为1~64个字符的字符串,不隔离大小写,只可包含字母、数字和连字符“-”。
length key-length:密钥的长度。key-length的取值界限为512~2048,单元为比特,缺省值为1024。密钥越长,密钥安全性越高,但联系的公钥运算越耗时。
【使用引导】
本号令中援用的密钥对并不要求一经存在,不错通过以下恣意一种途径取得:
· 通过实施public-key local create号令生成。
· 通过诈骗门径认证历程触发生成。例如协商历程中,如若使用数字签名认证阵势,则可能会触发生成密钥对。
· 通过导入文凭(使用pki import号令)的阵势从外界取得。
一个PKI域中只可同期存在一种算法(RSA、DSA或ECDSA)的密钥对。关于RSA密钥对来说,一个PKI域中只允许单独存在一种用途的RSA密钥对,或同期存在一个用于签名的和一个用于加密的RSA密钥对。因此,在一个PKI域中,除RSA签名密钥对和RSA加密密钥对的成就不会彼此掩饰以外,其它类型的新的密钥对成就均会掩饰已有的密钥对成就。
本号令中指定的密钥长度仅对将要由确立生成的密钥对有用。如若实施本号令时,确立上一经存在指定称呼的密钥对,则后续通过此号令指定的该密钥对的密钥长度没特意旨。如若指定称呼的密钥对是通过导入文凭的阵势取得,则通过本号令指定的密钥长度也没特意旨。
【例如】
# 指定文凭肯求所使用的DSA密钥对为abc,密钥的长度为2048比特。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key dsa name abc length 2048
【联系号令】
· pki import
· public-key local create(安全号令参考/公钥处罚)
1.1.38 public-key ecdsapublic-key ecdsa号令用来指定文凭肯求使用的ECDSA密钥对。
undo public-key号令用来归附缺省情况。
【号令】
public-key ecdsa name key-name [ secp192r1 | secp256r1 | secp384r1 ]
undo public-key
【缺省情况】
未指定肯求文凭使用的密钥对。
【视图】
PKI域视图
【缺省用户脚色】
network-admin
【参数】
name key-name:密钥对的称呼,为1~64个字符的字符串,不隔离大小写,只可包含字母、数字和连字符“-”。
secp192r1:密钥对使用的椭圆弧线算法的称呼为secp192r1,密钥长度为192比特。
secp256r1:密钥对使用的椭圆弧线算法的称呼为secp256r1,密钥长度为256比特。
secp384r1:密钥对使用的椭圆弧线算法的称呼为secp384r1,密钥长度为384比特。
【使用引导】
本号令中援用的密钥对并不要求一经存在,不错通过以下恣意一种途径取得:
· 通过实施public-key local create号令生成。
· 通过诈骗门径认证历程触发生成。例如协商历程中,如若使用数字签名认证阵势,则可能会触发生成密钥对。
· 通过导入文凭(使用pki import号令)的阵势从外界取得。
若未指定任何参数,则缺省使用密钥对secp192r1。
一个PKI域中只可同期存在一种算法(RSA、DSA或ECDSA)的密钥对。关于RSA密钥对来说,一个PKI域中只允许单独存在一种用途的RSA密钥对,或同期存在一个用于签名的和一个用于加密的RSA密钥对。因此,在一个PKI域中,除RSA签名密钥对和RSA加密密钥对的成就不会彼此掩饰以外,其它类型的新的密钥对成就均会掩饰已有的密钥对成就。
本号令中指定的密钥长度仅对将要由确立生成的密钥对有用。如若实施本号令时,确立上一经存在指定称呼的密钥对,则后续通过此号令指定的该密钥对的密钥长度没特意旨。如若指定称呼的密钥对是通过导入文凭的阵势取得,则通过本号令指定的密钥长度也没特意旨。
【例如】
# 指定文凭肯求所使用的ECDSA密钥对为abc,椭圆弧线算法的称呼为secp384r1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key ecdsa name abc secp384r1
【联系号令】
· pki import
· public-key local create(安全号令参考/公钥处罚)
1.1.39 public-key rsapublic-key rsa号令用来指定文凭肯求使用的RSA密钥对。
undo public-key号令用来归附缺省情况。
【号令】
public-key rsa { { encryption name encryption-key-name [ length key-length ] | signature name signature-key-name [ length key-length ] } * | general name key-name [ length key-length ] }
undo public-key
【缺省情况】
未指定肯求文凭使用的密钥对。
【视图】
PKI域视图
【缺省用户脚色】
network-admin
【参数】
encryption:指定密钥对的用途为加密。
name encryption-key-name:加密密钥对的称呼,为1~64个字符的字符串,不隔离大小写,只可包含字母、数字和连字符“-”。
signature:指定密钥对的用途为签名。
name signature-key-name:签名密钥对的称呼,为1~64个字符的字符串,不隔离大小写,只可包含字母、数字和连字符“-”。
general:指定密钥对的用途为通用,既不错用于签名也不错用于加密。
name key-name:通用密钥对的称呼,为1~64个字符的字符串,不隔离大小写,只可包含字母、数字和连字符“-”。
length key-length:密钥的长度。key-length的取值界限为512~2048,单元为比特,缺省为1024。密钥越长,密钥安全性越高,但联系的公钥运算越耗时。
【使用引导】
本号令中援用的密钥对并不要求一经存在,不错通过以下恣意一种途径取得:
· 通过实施public-key local create号令生成。
· 通过诈骗门径认证历程触发生成。例如协商历程中,如若使用数字签名认证阵势,则可能会触发生成密钥对。
· 通过导入文凭(使用pki import号令)的阵势从外界取得。
一个PKI域中只可同期存在一种算法(RSA、DSA或ECDSA)的密钥对。关于RSA密钥对来说,一个PKI域中只允许单独存在一种用途的RSA密钥对,或同期存在一个用于签名的和一个用于加密的RSA密钥对。因此,在一个PKI域中,除RSA签名密钥对和RSA加密密钥对的成就不会彼此掩饰以外,其它类型的新的密钥对成就均会掩饰已有的密钥对成就。
分别指定RSA签名密钥对和RSA加密密钥对时,它们的密钥长度不错不交流。
本号令中指定的密钥长度仅对将要由确立生成的密钥对有用。如若实施本号令时,确立上一经存在指定称呼的密钥对,则后续通过此号令指定的该密钥对的密钥长度没特意旨。如若指定称呼的密钥对是通过导入文凭的阵势取得,则通过本号令指定的密钥长度也没特意旨。
【例如】
# 指定文凭肯求所使用的RSA密钥对为abc,密钥用途为通用,密钥的长度为2048比特。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key rsa general name abc length 2048
# 指定文凭肯求所使用的加密RSA密钥对为rsa1(密钥的长度为2048比特),签名RSA密钥对为sig1(密钥的长度为2048比特)。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key rsa encryption name rsa1 length 2048
[Sysname-pki-domain-aaa] public-key rsa signature name sig1 length 2048
【联系号令】
· pki import
· public-key local create(安全号令参考/公钥处罚)
1.1.40 root-certificate fingerprintroot-certificate fingerprint号令用来成就考证CA根文凭时所使用的指纹。
undo root-certificate fingerprint号令用来归附缺省情况。
【号令】
root-certificate fingerprint { md5 | sha1 } string
undo root-certificate fingerprint
【缺省情况】
未指定考证CA根文凭时使用的指纹。
【视图】
PKI域视图
【缺省用户脚色】
network-admin
【参数】
md5:使用MD5指纹。
sha1:使用SHA1指纹。
string:指定所使用的指纹信息。当遴荐MD5指纹时,string必须为32个字符的字符串,况且以16进制的神志输入;当遴荐SHA1指纹时,string必须为40个字符的字符串,况且以16进制的神志输入。
【使用引导】
当腹地文凭肯求模式为自动阵势且PKI域中莫得CA文凭时,必须通过本号令成就考证CA文凭时所使用的指纹。当诈骗触发确立进行腹地文凭肯求时,确立会自动从CA劳动器上获取CA文凭,如若获取的CA文凭中包含了腹地不存在的CA根文凭,则确立会考证该CA根文凭的指纹。此时,如若确立上莫得成就CA根文凭指纹或者成就了造作的CA根文凭指纹,则腹地文凭肯求失败。
通过pki import号令导入CA文凭或者通过pki retrieval号令获取CA文凭时,不错遴荐是否成就考证CA根文凭使用的指纹:如若PKI域中成就了考证CA根文凭使用的指纹,则当导入的CA文凭文献或者获取的CA文凭中包含腹地不存在的CA根文凭时,径直使用成就的CA根文凭指纹进行考证。如若成就了造作的CA根文凭指纹,则CA文凭导入和CA文凭获取均会失败;不然,需要用户来阐述该CA文凭的CA根文凭指纹是否信得过。
【例如】
# 成就考证CA根文凭时使用的MD5指纹。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] root-certificate fingerprint md5 12EF53FA355CD23E12EF53FA355CD23E
# 成就考证CA根文凭时使用的SHA1指纹。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] root-certificate fingerprint sha1 D1526110AAD7527FB093ED7FC037B0B3CDDDAD93
【联系号令】
· certificate request mode
· pki import
· pki retrieve-certificate
1.1.41 rulerule号令用来成就文凭属性的打听抑止端正。
undo rule号令用来删除指定的文凭属性打听抑止端正。
【号令】
rule [ id ] { deny | permit } group-name
undo rule id
【缺省情况】
不存在文凭属性的打听抑止端正。
【视图】
文凭打听抑止战略视图
【缺省用户脚色】
network-admin
【参数】
id:文凭属性打听抑止端正编号,取值界限为1~16,缺省值为现时还未被使用的且正当的最小编号,取值越小优先级越高。
deny:当文凭的属性与所关联的属性组匹配时,以为该文凭无效,未通过打听抑止战略的检测。
permit:当文凭的属性与所关联的属性组匹配时,以为该文凭有用,通过了打听抑止战略的检测。
group-name:端正所关联的文凭属性组称呼,为1~31个字符的字符串,不隔离大小写。
【使用引导】
成就文凭属性打听抑止端正时,不错关联一个现时并不存在的文凭属性组,后续不错通过号令pki certificate attribute-group完成相应的成就。
若端正所关联的文凭属性组中莫得界说任何属性端正(通过号令attribute成就),或关联的文凭属性组不存在,则以为被检测的文凭属性与该属性组匹配。
如若一个打听抑止战略中有多个端正,则按照端正编号从小到大的法规遍历所有端正,一朝文凭与某一个端正匹配,则立即实现检测,不再接续匹配其它端正;若遍历完所有端正后,文凭莫得与任何端正匹配,则以为该文凭不成通过打听抑止战略的检测。
【例如】
# 成就一个打听抑止端正,要求当文凭与文凭属性组mygroup匹配时,以为该文凭有用,通过了打听抑止战略的检测。
<Sysname> system-view
[Sysname] pki certificate access-control-policy mypolicy
[Sysname-pki-cert-acp-mypolicy] rule 1 permit mygroup
【联系号令】
· attribute
· display pki certificate access-control-policy
· pki certificate attribute-group
1.1.42 sourcesource号令用来指定PKI操作产生的左券报文使用的源IP地址。
undo source号令用来归附缺省情况。
【号令】
source { ip | ipv6 } { ip-address | interface interface-type interface-number }
undo source
【缺省情况】
PKI操作产生的左券报文的源IP地址为系统凭据路由表项查找到的出接口的地址。
【视图】
PKI域视图
【缺省用户脚色】
network-admin
【参数】
ip ip-address:指定源IPv4地址。
ipv6 ip-address:指定源IPv6地址。
interface interface-type interface-number:指定该接口的主IPv4地址或接口上最小的IPv6地址为源IP地址。interface-type interface-number暗示接口类型和接口编号。
【使用引导】
如若但愿PKI操作产生的左券报文的源IP地址是一个特定的地址,则需要成就此号令,例如CA劳动器上的战略要求仅接收来自指定地址或网段的文凭肯求。如若该IP地址是动态获取的,则不错指定一个接口,使用该接口上的IP地址看成源地址。
此处指定的源IP地址,必须与CA劳动器之间路由可达。
一个PKI域中只可存在一个源IP地址,后成就的见效。
【例如】
# 指定PKI操作产生的左券报文的源IP地址为111.1.1.8。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] source ip 111.1.1.8
# 指定PKI操作产生的左券报文的源IPv6地址为1::8。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] source ipv6 1::8
# 指定PKI操作产生的左券报文的源IP地址为接口Vlan-interface100的IP地址。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] source ip interface vlan-interface 100
# 指定PKI操作产生的左券报文的源IPv6地址为接口Vlan-interface100的IPv6地址。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] source ipv6 interface vlan-interface 100
1.1.43 statestate号令用来成就PKI实体所属的州或省的称呼。
undo state号令用来归附缺省情况。
【号令】
state state-name
undo state
【缺省情况】
未成就PKI实体所属的州或省的称呼。
【视图】
PKI实体视图
【缺省用户脚色】
network-admin
【参数】
state-name:PKI实体所属的州或省的称呼,为1~63个字符的字符串,隔离大小写,不成包含逗号。
【例如】
# 成就PKI实体en地方省为countryA。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] state countryA
1.1.44 subject-dnsubject-dn号令用来成就PKI实体的识笔名,包括通用名、国度代码、地舆区域称呼、组织称呼、组织部门称呼和省份称呼参数。
undo subject-dn号令用来归附缺省情况。
【号令】
subject-dn dn-string
undo subject-dn
【缺省情况】
未成就PKI实体的识笔名。
【视图】
PKI实体视图
【缺省用户脚色】
network-admin
【参数】
dn-string:PKI实体的识笔名,长度为1~255个字符的字符串,不隔离大小写。
【使用引导】
PKI实体识笔名的参数神志为:参数=参数值,多个参数之间以逗号分隔,且不错对统一个参数屡次赋值。例如CN=aaa,CN=bbb,C=cn。PKI实体识笔名复古的参数包括:
· CN:通用名
· C:所属国度代码
· L:地方地舆区域称呼
· O:所属组织称呼
· OU:所属组织部门称呼
· ST:所属州省
本号令成就的识笔名优先级高于通过common-name、country、locality、organization、organization-unit和state号令单独成就的识笔名。
屡次实施本号令,终末一次实施的号令见效。
【例如】
# 成就PKI实体en的通用名为test,所属的国度代码为CN,所属的组织称呼为abc,所属组织部门的称呼为rdtest,所属组织部门的称呼为rstest,地方省为countryA,地方地舆区域的称呼为pukras。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] subject-dn CN=test,C=CN,O=abc,OU=rdtest,OU=rstest,ST=countryA,L=pukras
【联系号令】
· common-name
· country
· locality
· organization
· organization-unit
· state
1.1.45 usageusage号令用来指定文凭的扩张用途。
undo usage号令用来删除指定文凭的扩张用途。
【号令】
usage { ssl-client | ssl-server } *
undo usage [ ssl-client | ssl-server ] *
【缺省情况】
未指定文凭的扩张用途,暗示可用于所有用途。
【视图】
PKI域视图
【缺省用户脚色】
network-admin
【参数】
ssl-client:指定文凭扩张用途为SSL客户端,即SSL客户端使用的文凭。
ssl-server:指定文凭扩张用途为SSL劳动器端,即SSL劳动器端使用的文凭。
【使用引导】
若不指定任何参数,则undo usage号令暗示删除所有指定的文凭扩张用途,文凭的用途由文凭的使用者决定,PKI不作念任何舍弃。
文凭中捎带的扩张用途与CA劳动器的战略联系,肯求到的文凭中的扩张用途可能与此处指定的不完全一致,最终请以CA劳动器的内容情况为准。
【例如】
# 指定文凭扩张用途为ssl-client。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] usage ssl-client探花 白虎