伪娘 H3C WBC560多业务无线适度器敕令参考(E5406P02)

发布日期：2024-12-19 05:30 点击次数：60

1 PKI 1.1 PKI竖立敕令 1.1.1 attribute

attribute敕令用来竖立属性章程伪娘，用于证据文凭的颁发者名、主落款以及备用主落款来过滤文凭。

undo attribute敕令用来删除文凭属性章程。

【敕令】

attribute id { alt-subject-name { fqdn | ip } | { issuer-name | subject-name } { dn | fqdn | ip } } { ctn | equ | nctn | nequ } attribute-value

undo attribute id

【缺省情况】

不存在属性章程，即对文凭的颁发者名、主落款以及备用主落款莫得限制。

【视图】

文凭属性组视图

【缺省用户变装】

network-admin

【参数】

id：文凭属性章行径号，取值限度为1～16。

alt-subject-name：默示文凭备用主落款（Subject Alternative Name）。

fqdn：指定实体的FQDN。

ip：指定实体的IP地址。

dn：指定实体的DN。

issuer-name：默示文凭颁发者名（Issuer Name）。

subject-name：默示文凭主落款（Subject Name）。

ctn：默示包含操作。

equ：默示十分操作。

nctn：默示不包含操作。

nequ：默示不等操作。

attribute-value：指定文凭属性值，为1～255个字符的字符串，不分别大小写。

【使用教授】

各文凭属性中可包含的属性域个数有所不同：

· 主落款和颁发者名中均只可包含一个DN，但是均不错同期包含多个FQDN和IP；

· 备用主落款中不成包含DN，但是不错同期包含多个FQDN和IP。

不同类型的文凭属性域与操作关节字的组合代表了不同的匹配条款，具体如下表所示：

表1-1 对文凭属性域的操作涵义

操作

FQDN/IP

ctn

DN中包含指定的属性值

任性一个FQDN/IP中包含了指定的属性值

nctn

DN中不包含指定的属性值

系数FQDN/IP中均不包含指定的属性值

equ

DN等于指定的属性值

任性一个FQDN/IP等于指定的属性值

nequ

DN不等于指定的属性值

系数FQDN/IP均不等于指定的属性值

要是文凭的相应属性中包含了属性章程里指定的属性域，且知足属性章程中界说的匹配条款，则觉得该属性与属性章程相匹配。例如：属性章程2中界说，文凭的主落款DN中包含字符串abc。要是某文凭的主落款的DN中如实包含了字符串abc，则觉得该文凭的主落款与属性章程2匹配。

只消文凭中的相应属性与某属性组中的系数属性章程齐匹配上，才觉得该文凭与此属性组匹配。要是文凭中的某属性中莫得包含属性章程中指定的属性域，或者不知足属性章程中的匹配条款，则觉得该文凭与此属性组不匹配。

【例如】

# 创建文凭属性章程1，界说文凭主落款中的DN包含字符串abc。

<Sysname> system-view

[Sysname] pki certificate attribute-group mygroup

[Sysname-pki-cert-attribute-group-mygroup] attribute 1 subject-name dn ctn abc

# 创建文凭属性章程2，界说文凭颁发者名中的FQDN不等于字符串abc。

[Sysname-pki-cert-attribute-group-mygroup] attribute 2 issuer-name fqdn nequ abc

# 创建文凭属性章程3，界说文凭主题备用名中的IP地址不等于10.0.0.1。

[Sysname-pki-cert-attribute-group-mygroup] attribute 3 alt-subject-name ip nequ 10.0.0.1

【相关敕令】

· display pki certificate attribute-group

· rule

1.1.2 ca identifier

ca identifier敕令用来指定成立信任的CA称呼。

undo ca identifier敕令用来规复缺省情况。

【敕令】

ca identifier name

undo ca identifier

【缺省情况】

未指定成立信任的CA。

【视图】

PKI域视图

【缺省用户变装】

network-admin

【参数】

name：成立信任的CA称呼，为1～63个字符的字符串，分别大小写。

【使用教授】

获取CA文凭时，必须指定信任的CA称呼，这个称呼会被当作SCEP音信的一部分发送给CA做事器。但是一般情况下，CA做事器会忽略收到的SCEP音信中的CA称呼的具体内容。但是要是在并吞台做事器上竖立了两个CA，且它们的URL是换取的，则做事器将证据SCEP音信中的CA称呼遴荐对应的CA。因此，使用此敕令指定的CA称呼必须与但愿获取的CA文凭对应的CA称呼一致。

【例如】

# 指定成立信任的CA称呼为new-ca。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] ca identifier new-ca

1.1.3 certificate request entity

certificate request entity敕令用来指定用于肯求文凭的PKI实体称呼。

undo certificate request entity敕令用来规复缺省情况。

【敕令】

certificate request entity entity-name

undo certificate request entity

【缺省情况】

未指定成立肯求文凭所使用的PKI实体称呼。

【视图】

PKI域视图

【缺省用户变装】

network-admin

【参数】

entity-name：用于肯求文凭的PKI实体称呼，为1～31个字符的字符串，不分别大小写。

【使用教授】

本敕令用于在PKI域中指定肯求文凭的PKI实体。PKI实体描画了肯求文凭的实体的多样属性（通用名、组织部门、组织、地舆区域、省、国度、FQDN、IP），这些属性用于描画PKI实体的身份信息。

一个PKI域中只可指定一个PKI实体名，新竖立的PKI实体名会隐敝已有的PKI实体名。

【例如】

# 指定肯求文凭的PKI实体称呼为en1。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request entity en1

【相关敕令】

· pki entity

1.1.4 certificate request from

certificate request from敕令用来竖立文凭肯求的注册受理机构。

undo certificate request from敕令用来规复缺省情况。

【敕令】

certificate request from { ca | ra }

undo certificate request from

【缺省情况】

未指定文凭肯求的注册受理机构。

【视图】

PKI域视图

【缺省用户变装】

network-admin

【参数】

ca：默示实体从CA肯求文凭。

ra：默示实体从RA肯求文凭。

【使用教授】

遴荐从CA照旧RA肯求文凭，由CA做事器决定，需要了解CA做事器上由什么机构来受理文凭肯求。

推选使用零丁运行的RA当作注册受理机构。

【例如】

# 指定实体从RA肯求文凭。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request from ra

1.1.5 certificate request mode

certificate request mode敕令用来竖立文凭肯求方式。

undo certificate request mode敕令用来规复缺省情况。

【敕令】

certificate request mode { auto [ password { cipher | simple } string | renew-before-expire days [ reuse-public-key ] [ automatic-append common-name ] ] * | manual }

undo certificate request mode

【缺省情况】

文凭肯求方式为手工方式。

【视图】

PKI域视图

【缺省用户变装】

network-admin

【参数】

auto：默示用自动方式肯求文凭。

password：指定铲除文凭时使用的密码。

cipher：以密文方式成立密码。

simple：以明文方式成立密码，该密码将以密文形势存储。

string：密码字符串，分别大小写。明文密码为1～31个字符的字符串，密文密码为1～73个字符的字符串。

renew-before-expire days：默示文凭自动续签功能。days是文凭自动续签提前的时候，取值限度为0～365，单元为天。要是取值为0则默示文凭到期时再自动续签，会出现暂时的业务中断。

reuse-public-key：默示文凭自动续签时使用原有密钥对。若不指定该参数，则默示文凭自动续签的经由中会自动生成新的密钥对，且文凭续签班师后原有密钥对被立即隐敝。

automatic-append common-name：默示文凭自动续签时在PKI实体的通用名后添加立时值。若不指定该参数，则文凭自动续签时在PKI实体的通用名后不添加立时值。

manual：默示用手工方式肯求文凭。

【使用教授】

两种肯求方式齐属于在线肯求，具体情况如下：

· 要是是自动方式，则成立会在与PKI域关联的愚弄（例如IKE）需要作念身份认证时，自动向文凭注册机构发起获取CA文凭和肯求腹地文凭的操作。自动方式下，不错指定铲除文凭时使用的口令，是否需要指定口令是由CA做事器的计谋决定的。

· 要是为手工方式，则需要手工完成获取CA文凭、肯求腹地文凭的操作。

为幸免由于文凭逾期变成业务中断，请在遴荐自动方式肯求文凭时竖立文凭自动续签功能。文凭自动续签是指，系统在文凭有用期到达之前自动肯求新的文凭，肯求班师后新文凭立即替换原有文凭。

由于某些CA做事器不撑执PKI实体使用换取的通用名屡次肯求文凭，为了保证自动续签文凭班师，请竖立automatic-append common-name参数使成立每次齐使用新的通用名为PKI实体肯求新的文凭。

【例如】

# 指定文凭肯求方式为自动方式。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request mode auto

# 指定文凭肯求方式为自动方式，并成立铲除文凭时使用的口令为明文123456。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request mode auto password simple 123456

# 指定文凭肯求方式为自动方式，并成立铲除文凭时使用的口令为明文123456，成立文凭到期前60天自动肯求新文凭替换原有文凭，肯求新文凭时生成新密钥对。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request mode auto password simple 123456 renew-before-expire 60

【相关敕令】

· pki request-certificate

1.1.6 certificate request polling

certificate request polling敕令用来竖立文凭肯求景色的查询周期和最大次数。

undo certificate request polling敕令用来规复缺省情况。

【敕令】

certificate request polling { count count | interval interval }

undo certificate request polling { count | interval }

【缺省情况】

文凭肯求景色的查询周期为20分钟，最多查询50次。

【视图】

PKI域视图

【缺省用户变装】

network-admin

【参数】

count count：默示文凭肯求景色的查询次数，取值限度为1～100。

Interval interval：默示文凭肯求景色的查询周期，取值限度为5～168，单元为分钟。

【使用教授】

成立发送文凭肯求后，要是CA做事器采纳手工方式来签发文凭肯求，则不会坐窝反应成立的肯求。这种情况下，成立通过如期向CA做事器发送景色查询音信，大概实时获取到被CA签发的文凭。CA签发文凭后，成立将通过发送景色查询得到文凭，之后住手发送景色查询音信。要是达到最大查询次数时，CA做事器仍未签发文凭，则成立住手发送景色查询音信，本次文凭肯求失败。

要是CA做事器采纳自动签发文凭的方式，则成立不错坐窝得到文凭，这种情况下成立不会向CA做事器发送景色查询音信。

【例如】

# 指定文凭肯求景色的查询周期为15分钟，最多查询40次。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request polling interval 15

[Sysname-pki-domain-aaa] certificate request polling count 40

【相关敕令】

· display pki certificate request-status

1.1.7 certificate request url

certificate request url敕令用来竖立实体通过SCEP进行文凭肯求的注册受理机构做事器的URL。

undo certificate request url敕令用来规复缺省情况。

【敕令】

certificate request url url-string

undo certificate request url

【缺省情况】

未指定注册受理机构做事器的URL。

【视图】

PKI域视图

【缺省用户变装】

network-admin

【参数】

url-string：默示文凭肯求的注册受理机构做事器的URL，为1～511个字符的字符串，分别大小写。

【使用教授】

本敕令竖立的URL内容包括注册受理机构做事器的位置及CGI敕令接口剧本位置，形式为_location/cgi_script_location。其中，server_location是做事器的地址，不错是IPv4地址、 IPv6地址和DNS域名，cgi_script_location是注册授权机构（CA或RA ）在做事器主机上的愚弄能力剧本的旅途。

内容可输入的URL长度免除令行允许输入的最大字符数限制。

【例如】

# 指定实体进行文凭肯求的注册受理机构做事器的URL为。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request url

1.1.8 common-name

common-name敕令用来竖立PKI实体的通用名，比如用户称呼。

undo common-name敕令用来规复颓势情况。

【敕令】

common-name common-name-sting

undo common-name

【缺省情况】

未竖立PKI实体的通用名。

【视图】

PKI实体视图

【缺省用户变装】

network-admin

【参数】

common-name-sting：PKI实体的通用名，为1～63个字符的字符串，分别大小写，不成包含逗号。

【例如】

# 竖立PKI实体en的通用名为test。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] common-name test

1.1.9 country

country敕令用来竖立PKI实体所属的国度代码。

undo country敕令用来删除竖立的PKI实体所属的国度代码。

【敕令】

country country-code-string

undo country

【缺省情况】

未竖立PKI实体所属的国度代码。

【视图】

PKI实体视图

【缺省用户变装】

network-admin

【参数】

country-code-string：PKI实体所属的国度代码，为圭表的两字符代码，分别大小写，例如中国为CN。

【例如】

# 竖立PKI实体en所属的国度代码为CN。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] country CN

1.1.10 crl check

crl check enable敕令用来开启CRL查验。

undo crl check enable敕令用来关闭CRL查验。

【敕令】

crl check enable

undo crl check enable

【缺省情况】

CRL查验处于开启景色。

【视图】

PKI域视图

【缺省用户变装】

network-admin

【使用教授】

CRL（Certificate Revocation List，文凭烧毁列表）是一个由CA签发的文献，该文献中包含被该CA铲除的系数文凭的列表。一个文凭有可能在有用期达到之前被CA铲除。使能CRL查验的料想打算是检察成立上的实体文凭或者行将要导入、获取到成立上的实体文凭是否也曾被CA铲除，若查验成果标明实体文凭已被铲除，那么该文凭就不被成立信任。

【例如】

# 关闭CRL查验。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] undo crl check enable

【相关敕令】

· pki import

· pki retrieve-certificate

· pki validate-certificate

1.1.11 crl url

crl url敕令用来成立CRL发布点的URL。

undo crl url敕令用来规复缺省情况。

【敕令】

crl url url-string

undo crl url

【缺省情况】

未成立CRL发布点的URL。

【视图】

PKI域视图

【缺省用户变装】

network-admin

【参数】

url-string：默示CRL发布点的URL，为1～511个字符的字符串，分别大小写。形式为ldap://server_location或_location，其中server_location不错为IP地址和DNS域名。

【使用教授】

要是CRL查验处于使能景色，则进行CRL查验之前，需要最初从PKI域指定的CRL发布点获取CRL。若PKI域中未竖立CRL发布点的URL时，从该待考据的文凭中获取发布点信息：优先获取待考据的文凭中纪录的发布点，要是待考据的文凭中莫得纪录发布点，则获取CA文凭中纪录的发布点（若待考据的文凭为CA文凭，则获取上一级CA文凭中纪录的发布点）。要是无法通过任何路线得到发布点，则通过SCEP条约获取CRL。

若竖立了LDAP形式的CRL发布点URL，则默示要通过LDAP条约获取CRL。若该URL中未佩戴主机名，则需要证据PKI域中竖立的LDAP做事器地址信息来得到齐全的LDAP发布点URL。

内容可输入的URL长度免除令行允许输入的最大字符数限制。

【例如】

# 指定CRL发布点的URL为。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] crl url

【相关敕令】

· ldap-server

· pki retrieve-crl

1.1.12 display pki certificate access-control-policy

display pki certificate access-control-policy敕令用来披露文凭考察适度计谋的竖立信息。

【敕令】

display pki certificate access-control-policy [ policy-name ]

【视图】

任性视图

【缺省用户变装】

network-admin

network-operator

【参数】

policy-name：指定文凭考察适度计谋称呼，为1～31个字符的字符串，不分别大小写。

【使用教授】

若不指定文凭考察适度计谋的称呼，则披露系数文凭考察适度计谋的竖立信息。

【例如】

# 披露文凭考察适度计谋mypolicy的竖立信息。

<Sysname> display pki certificate access-control-policy mypolicy

Access control policy name: mypolicy

Rule 1 deny mygroup1

Rule 2 permit mygroup2

# 披露系数文凭属性考察适度计谋的竖立信息。

<Sysname> display pki certificate access-control-policy

Total PKI certificate access control policies: 2

Access control policy name: mypolicy1

Rule 1 deny mygroup1

Rule 2 permit mygroup2

Access control policy name: mypolicy2

Rule 1 deny mygroup3

Rule 2 permit mygroup4

表1-2 display pki certificate access-control-policy敕令披露信息描画表

字段

描画

Total PKI certificate access control policies

PKI文凭考察适度计谋的总额

Access control policy name

文凭考察适度计谋名

Rule number

考察适度章程编号

Permit

当文凭的属性与属性组里界说的属性匹配时，觉得该文凭有用，通过了考察适度计谋的检测

Deny

当文凭的属性与属性组里界说的属性匹配时，觉得该文凭无效，未通过考察适度计谋的检测

【相关敕令】

· pki certificate access-control-policy

· rule

1.1.13 display pki certificate attribute-group

display pki certificate attribute-group敕令用来披露文凭属性组的竖立信息。

【敕令】

display pki certificate attribute-group [ group-name ]

【视图】

任性视图

【缺省用户变装】

network-admin

network-operator

【参数】

group-name：指定文凭属性组名，为1～31个字符的字符串，不分别大小写。

【使用教授】

若不指定文凭属性组的称呼，则披露系数文凭属性组的竖立信息。

【例如】

# 披露文凭属性组mygroup的信息。

<Sysname> display pki certificate attribute-group mygroup

Attribute group name: mygroup

Attribute 1 subject-name dn ctn abc

Attribute 2 issuer-name fqdn nctn app

# 披露系数文凭属性组的信息。

<Sysname> display pki certificate attribute-group

Total PKI certificate attribute groups: 2.

Attribute group name: mygroup1

Attribute 1 subject-name dn ctn abc

Attribute 2 issuer-name fqdn nctn app

Attribute group name: mygroup2

Attribute 1 subject-name dn ctn def

Attribute 2 issuer-name fqdn nctn fqd

表1-3 display pki certificate attribute-group敕令披露信息描画表

字段

描画

Total PKI certificate attribute groups

PKI文凭属性组的总额

Attribute group name

文凭属性组称呼

Attribute number

属性章程编号

subject-name

文凭主落款

alt-subject-name

文凭备用主落款

issuer-name

文凭颁发者名

实体的DN

Fqdn

实体的FQDN

实体的IP地址

Ctn

默示包含操作

Nctn

默示不包含操作

Equ

默示等于操作

Nequ

默示不等操作

Attribute 1 subject-name dn ctn abc

属性章程内容，包括以下参数：

· alt-subject-name：默示文凭备用主落款

· issuer-name：默示文凭颁发者名

· subject-name：默示文凭主落款

· fqdn：默示实体的FQDN

· ip：默示实体的IP地址

· dn：默示实体的DN

· ctn：默示包含操作

· equ：默示十分操作

· nctn：默示不包含操作

· nequ：默示不等操作

【相关敕令】

· attribute

· pki certificate attribute-group

1.1.14 display pki certificate domain

display pki certificate domain敕令用来披露文凭的内容。

【敕令】

display pki certificate domain domain-name { ca | local | peer [ serial serial-num ] }

【视图】

任性视图

【缺省用户变装】

network-admin

network-operator

【参数】

domain-name：披露指定文凭地点的PKI域的称呼，为1～31个字符的字符串，不分别大小写，不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

ca：披露CA文凭。

local：披露腹地文凭。

peer：披露对端文凭。

serial serial-num：指定要披露的对端文凭的序列号。

【使用教授】

披露CA文凭时，会披露此PKI域中系数CA文凭的明慧信息，若PKI域中存在RA文凭，则同期披露RA文凭的明慧信息。

披露腹地文凭时，会披露此PKI域中系数腹地文凭的明慧信息。

披露对端文凭时，要是不指定序列号，将披露系数对端文凭的简要信息；要是指定序列号，将披露该序号对应的指定对端文凭的明慧信息。

【例如】

# 披露PKI域aaa中的CA文凭。

<Sysname> display pki certificate domain aaa ca

Certificate:

Data:

Version: 1 (0x0)

Serial Number:

5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6

Signature Algorithm: sha1WithRSAEncryption

Issuer: C=cn， O=docm， OU=rnd， CN=rootca

Validity

Not Before: Jan 6 02:51:41 2011 GMT

Not After : Dec 7 03:12:05 2013 GMT

Subject: C=cn， O=ccc， OU=ppp， CN=rootca

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

Public-Key: (1024 bit)

Modulus:

00:c4:fd:97:2c:51:36:df:4c:ea:e8:c8:70:66:f0:

28:98:ec:5a:ee:d7:35:af:86:c4:49:76:6e:dd:40:

4a:9e:8d:c0:cb:d9:10:9b:61:eb:0c:e0:22:ce:f6:

57:7c:bb:bb:1b:1d:b6:81:ad:90:77:3d:25:21:e6:

7e:11:0a:d8:1d:3c:8e:a4:17:1e:8c:38:da:97:f6:

6d:be:09:e3:5f:21:c5:a0:6f:27:4b:e3:fb:9f:cd:

c1:91:18:ff:16:ee:d8:cf:8c:e3:4c:a3:1b:08:5d:

84:7e:11:32:5f:1a:f8:35:25:c0:7e:10:bd:aa:0f:

52:db:7b:cd:5d:2b:66:5a:fb

Exponent: 65537 (0x10001)

家店装休在线

Signature Algorithm: sha1WithRSAEncryption

6d:b1:4e:d7:ef:bb:1d:67:53:67:d0:8f:7c:96:1d:2a:03:98:

3b:48:41:08:a4:8f:a9:c1:98:e3:ac:7d:05:54:7c:34:d5:ee:

09:5a:11:e3:c8:7a:ab:3b:27:d7:62:a7:bb:bc:7e:12:5e:9e:

4c:1c:4a:9f:d7:89:ca:20:46:de:c5:b3:ce:36:ca:5e:6e:dc:

e7:c6:fe:3f:c5:38:dd:d5:a3:36:ad:f4:3d:e6:32:7f:48:df:

07:f0:a2:32:89:86:72:22:cd:ed:e5:0f:95:df:9c:75:71:e7:

fe:34:c5:a0:64:1c:f0:5c:e4:8f:d3:00:bd:fa:90:b6:64:d8:

88:a6

# 披露PKI域aaa中的腹地文凭。

<Sysname> display pki certificate domain aaa local

Certificate:

Data:

Version: 3 (0x2)

Serial Number:

bc:05:70:1f:0e:da:0d:10:16:1e

Signature Algorithm: sha256WithRSAEncryption

Issuer: C=CN， O=sec， OU=software， CN=ipsec

Validity

Not Before: Jan 7 20:05:44 2011 GMT

Not After : Jan 7 20:05:44 2012 GMT

Subject: O=OpenCA Labs， OU=Users， CN=fips fips-sec

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

Public-Key: (1024 bit)

Modulus:

00:b2:38:ad:8c:7d:78:38:37:88:ce:cc:97:17:39:

52:e1:99:b3:de:73:8b:ad:a8:04:f9:a1:f9:0d:67:

d8:95:e2:26:a4:0b:c2:8c:63:32:5d:38:3e:fd:b7:

4a:83:69:0e:3e:24:e4:ab:91:6c:56:51:88:93:9e:

12:a4:30:ad:ae:72:57:a7:ba:fb:bc:ac:20:8a:21:

46:ea:e8:93:55:f3:41:49:e9:9d:cc:ec:76:13:fd:

a5:8d:cb:5b:45:08:b7:d1:c5:b5:58:89:47:ce:12:

bd:5c:ce:b6:17:2f:e0:fc:c0:3e:b7:c4:99:31:5b:

8a:f0:ea:02:fd:2d:44:7a:67

Exponent: 65537 (0x10001)

X509v3 extensions:

X509v3 Basic Constraints:

CA:FALSE

Netscape Cert Type:

SSL Client， S/MIME

X509v3 Key Usage:

Digital Signature， Non Repudiation， Key Encipherment

X509v3 Extended Key Usage:

TLS Web Client Authentication， E-mail Protection， Microsoft Smartcardlogin

Netscape Comment:

User Certificate of OpenCA Labs

X509v3 Subject Key Identifier:

91:95:51:DD:BF:4F:55:FA:E4:C4:D0:10:C2:A1:C2:99:AF:A5:CB:30

X509v3 Authority Key Identifier:

keyid:DF:D2:C9:1A:06:1F:BC:61:54:39:FE:12:C4:22:64:EB:57:3B:11:9F

X509v3 Subject Alternative Name:

email:[email protected]

X509v3 Issuer Alternative Name:

email:[email protected]

Authority Information Access:

CA Issuers - URI:

OCSP - URI::2560/

1.3.6.1.5.5.7.48.12 - URI::830/

X509v3 CRL Distribution Points:

Full Name:

URI:

Signature Algorithm: sha256WithRSAEncryption

94:ef:56:70:48:66:be:8f:9d:bb:77:0f:c9:f4:65:77:e3:bd:

ea:9a:b8:24:ae:a1:38:2d:f4:ab:e8:0e:93:c2:30:33:c8:ef:

f5:e9:eb:9d:37:04:6f:99:bd:b2:c0:e9:eb:b1:19:7e:e3:cb:

95:cd:6c:b8:47:e2:cf:18:8d:99:f4:11:74:b1:1b:86:92:98:

af:a2:34:f7:1b:15:ee:ea:91:ed:51:17:d0:76:ec:22:4c:56:

da:d6:d1:3c:f2:43:31:4f:1d:20:c8:c2:c3:4d:e5:92:29:ee:

43:c6:d7:72:92:e8:13:87:38:9a:9c:cd:54:38:b2:ad:ba:aa:

f9:a4:68:b5:2a:df:9a:31:2f:42:80:0c:0c:d9:6d:b3:ab:0f:

dd:a0:2c:c0:aa:16:81:aa:d9:33:ca:01:75:94:92:44:05:1a:

65:41:fa:1e:41:b5:8a:cc:2b:09:6e:67:70:c4:ed:b4:bc:28:

04:50:a6:33:65:6d:49:3c:fc:a8:93:88:53:94:4c:af:23:64:

cb:af:e3:02:d1:b6:59:5f:95:52:6d:00:00:a0:cb:75:cf:b4:

50:c5:50:00:65:f4:7d:69:cc:2d:68:a4:13:5c:ef:75:aa:8f:

3f:ca:fa:eb:4d:d5:5d:27:db:46:c7:f4:7d:3a:b2:fb:a7:c9:

de:18:9d:c1

# 披露PKI域aaa中的系数对端文凭的简要信息。

<Sysname> display pki certificate domain aaa peer

Total peer certificates: 1

Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7

Subject Name: CN=sldsslserver

# 披露PKI域aaa中的一个特定序号的对端文凭的明慧信息。

<Sysname> display pki certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7

Certificate:

Data:

Version: 3 (0x2)

Serial Number:

9a:03:37:eb:21:56:ba:1f:54:76:e4:d7:54:a5:a9:f7

Signature Algorithm: sha1WithRSAEncryption

Issuer: C=cn， O=ccc， OU=sec， CN=ssl

Validity

Not Before: Oct 15 01:23:06 2010 GMT

Not After : Jul 26 06:30:54 2012 GMT

Subject: CN=sldsslserver

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

Public-Key: (1024 bit)

Modulus:

00:c2:cf:37:76:93:29:5e:cd:0e:77:48:3a:4d:0f:

a6:28:a4:60:f8:31:56:28:7f:81:e3:17:47:78:98:

68:03:5b:72:f4:57:d3:bf:c5:30:32:0d:58:72:67:

04:06:61:08:3b:e9:ac:53:b9:e7:69:68:1a:23:f2:

97:4c:26:14:c2:b5:d9:34:8b:ee:c1:ef:af:1a:f4:

39:da:c5:ae:ab:56:95:b5:be:0e:c3:46:35:c1:52:

29:9c:b7:46:f2:27:80:2d:a4:65:9a:81:78:53:d4:

ca:d3:f5:f3:92:54:85:b3:ab:55:a5:03:96:2b:19:

8b:a3:4d:b2:17:08:8d:dd:81

Exponent: 65537 (0x10001)

X509v3 extensions:

X509v3 Authority Key Identifier:

keyid:9A:83:29:13:29:D9:62:83:CB:41:D4:75:2E:52:A1:66:38:3C:90:11

X509v3 Key Usage: critical

Digital Signature， Non Repudiation， Key Encipherment， Data Encipherment， Key Agreement

Netscape Cert Type:

SSL Server

X509v3 Subject Alternative Name:

DNS:docm.com

X509v3 Subject Key Identifier:

3C:76:95:9B:DD:C2:7F:5F:98:83:B7:C7:A0:F8:99:1E:4B:D7:2F:26

X509v3 CRL Distribution Points:

Full Name:

URI::447/ssl.crl

Signature Algorithm: sha1WithRSAEncryption

61:2d:79:c7:49:16:e3:be:25:bb:8b:70:37:31:32:e5:d3:e3:

31:2c:2d:c1:f9:bf:50:ad:35:4b:c1:90:8c:65:79:b6:5f:59:

36:24:c7:14:63:44:17:1e:e4:cf:10:69:fc:93:e9:70:53:3c:

85:aa:40:7e:b5:47:75:0f:f0:b2:da:b4:a5:50:dd:06:4a:d5:

17:a5:ca:20:19:2c:e9:78:02:bd:19:77:da:07:1a:42:df:72:

ad:07:7d:e5:16:d6:75:eb:6e:06:58:ee:76:31:63:db:96:a2:

ad:83:b6:bb:ba:4b:79:59:9d:59:6c:77:59:5b:d9:07:33:a8:

f0:a5

表1-4 display pki certificate敕令披露信息描画表

字段

描画

Version

文凭版块号

Serial Number

文凭序列号

Signature Algorithm

签名算法

Issuer

文凭颁发者

Validity

文凭有用期

Subject

文凭所属的实体信息

Subject Public Key Info

文凭所属的实体的公钥信息

X509v3 extensions

X.509版块3形式的文凭扩张属性

【相关敕令】

· pki domain

· pki retrieve-certificate

1.1.15 display pki certificate renew-status

display pki certificate renew-status敕令用来披露PKI域的文凭续签景色。

【敕令】

display pki certificate renew-status [ domain domain-name ]

【视图】

任性视图

【缺省用户变装】

network-admin

network-operator

【参数】

domain domain-name：指定PKI域的称呼，为1～31个字符的字符串，不分别大小写，不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。若未指定PKI域的称呼，则披露系数PKI域的文凭续签景色。

【例如】

# 披露系数PKI域的文凭续签景色，其中PKI域domain1的文凭肯求方式竖立中未指定reuse-public-key，续签时生成了新的密钥对。

<Sysname> display pki certificate renew-status

Domain Name: domain1

Renew Time : 03:12:05 2016-06-13

Renew public key:

Key type: RSA

Time when key pair created: 15:40:48 2015/05/12

Key code:

30819F300D06092A864886F70D010101050003818D0030818902818100DAA4AAFEFE04C2C9

667269BB8226E26331E30F41A8FF922C7338208097E84332610632B49F75DABF6D871B80CE

C1BA2B75020077C74745C933E2F390DC0B39D35B88283D700A163BB309B19F8F87216A44AB

FBF6A3D64DEB33E5CEBF2BCF26296778A26A84F4F4C5DBF8B656ACFA62CD96863474899BC1

2DA4C04EF5AE0835090203010001

# 披露指定PKI域的文凭续签景色。

<Sysname> display pki certificate renew-status domain domain1

Domain Name: domain1

Renew Time : 03:12:05 2016-06-13

Renew public key:

Key type: RSA

Time when key pair created: 15:40:48 2016-06-13

Key code:

30819F300D06092A864886F70D010101050003818D0030818902818100DAA4AAFEFE04C2C9

667269BB8226E26331E30F41A8FF922C7338208097E84332610632B49F75DABF6D871B80CE

C1BA2B75020077C74745C933E2F390DC0B39D35B88283D700A163BB309B19F8F87216A44AB

FBF6A3D64DEB33E5CEBF2BCF26296778A26A84F4F4C5DBF8B656ACFA62CD96863474899BC1

2DA4C04EF5AE0835090203010001

表1-5 display pki certificate renew-status敕令披露信息描画表

字段

描画

Domain Name

PKI域名

Renew Time

瞻望文凭续签发生的时候

Renew public key

文凭续签时使用的新密钥对的信息，只消在文凭续签经由相比慢或续签失败的情况下才会披泄漏此密钥对信息

Key type

密钥对的类型，取值包括： RSA、DSA和ECDSA

Time when key pair created

密钥对的创建时候和日历

Key code

密钥对的密钥信息

【相关敕令】

· certificate request mode

· pki domain

1.1.16 display pki certificate request-status

display pki certificate request-status敕令用来披露文凭的肯求景色。

【敕令】

display pki certificate request-status [ domain domain-name ]

【视图】

任性视图

【缺省用户变装】

network-admin

network-operator

【参数】

domain domain-name：指定文凭地点的PKI域的称呼，为1～31个字符的字符串，不分别大小写，不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

【使用教授】

若不指定PKI域的称呼，则披露系数PKI域的文凭肯求景色。

【例如】

# 披露PKI域aaa的文凭肯求景色。

<Sysname> display pki certificate request-status domain aaa

Certificate Request Transaction 1

Domain name: aaa

Status: Pending

Key usage: General

Remain polling attempts: 10

Next polling attempt after : 1191 seconds

# 披露系数PKI域的文凭肯求景色。

<Sysname> display pki certificate request-status

Certificate Request Transaction 1

Domain name: domain1

Status: Pending

Key usage: General

Remain polling attempts: 10

Next polling attempt after : 1191 seconds

Certificate Request Transaction 2

Domain name: domain2

Status: Pending

Key usage: Signature

Remain polling attempts: 10

Next polling attempt after : 188 seconds

表1-6 display pki certificate request敕令披露信息描画表

字段

描画

Certificate Request Transaction number

文凭肯求任务的编号，从1启动法例编号

Domain name

PKI域名

Status

文凭肯求景色。现在，仅有一种取值Pending，默示恭候

Key usage

文凭用途，包括以下取值：

· General：默示通用，既不错用于加密也不错用于签名

· Signature：默示用于签名

· Encryption：默示用于加密

Remain polling attempts

剩余的文凭肯求景色的查询次数

Next polling attempt after

刻下到下次查询文凭肯求景色的时候褪色，单元为秒

【相关敕令】

· certificate request polling

· pki domain

· pki retrieve-certificate

1.1.17 display pki crl domain

display pki crl domain敕令用来披露存储在腹地的CRL。

【敕令】

display pki crl domain domain-name

【视图】

任性视图

【缺省用户变装】

network-admin

network-operator

【参数】

domain domain-name：指定CRL地点的PKI域的称呼，为1～31个字符的字符串，不分别大小写，不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

【使用教授】

用户不错通过该敕令检察文凭铲除列表，看所需的文凭是否也曾被铲除。

【例如】

# 披露存储在腹地的CRL。

<Sysname> display pki crl domain aaa

Certificate Revocation List (CRL):

Version 2 (0x1)

Signature Algorithm: sha1WithRSAEncryption

Issuer: /C=cn/O=docm/OU=sec/CN=therootca

Last Update: Apr 28 01:42:13 2011 GMT

Next Update: NONE

CRL extensions:

X509v3 CRL Number:

X509v3 Authority Key Identifier:

keyid:49:25:DB:07:3A:C4:8A:C2:B5:A0:64:A5:F1:54:93:69:14:51:11:EF

Revoked Certificates:

Serial Number: CDE626BF7A44A727B25F9CD81475C004

Revocation Date: Apr 28 01:37:52 2011 GMT

CRL entry extensions:

Invalidity Date:

Apr 28 01:37:49 2011 GMT

Serial Number: FCADFA81E1F56F43D3F2D3EF7EB56DE5

Revocation Date: Apr 28 01:33:28 2011 GMT

CRL entry extensions:

Invalidity Date:

Apr 28 01:33:09 2011 GMT

Signature Algorithm: sha1WithRSAEncryption

57:ac:00:3e:1e:e2:5f:59:62:04:05:9b:c7:61:58:2a:df:a4:

5c:e5:c0:14:af:c8:e7:de:cf:2a:0a:31:7d:32:da:be:cd:6a:

36:b5:83:e8:95:06:bd:b4:c0:36:fe:91:7c:77:d9:00:0f:9e:

99:03:65:9e:0c:9c:16:22:ef:4a:40:ec:59:40:60:53:4a:fc:

8e:47:57:23:e0:75:0a:a4:1c:0e:2f:3d:e0:b2:87:4d:61:8a:

4a:cb:cb:37:af:51:bd:53:78:76:a1:16:3d:0b:89:01:91:61:

52:d0:6f:5c:09:59:15:be:b8:68:65:0c:5d:1b:a1:f8:42:04:

ba:aa

表1-7 display pki crl domain披露信息描画表

字段

描画

Version

CRL版块号

Signature Algorithm

CA签名该CRL采纳的签名算法

Issuer

颁发该CRL的CA文凭称呼

Last Update

前次更新CRL的时候

Next Update

下次更新CRL的时候

CRL extensions

CRL扩张属性

X509v3 CRL Number

X509版块3形式的CRL序号

X509v3 Authority Key Identifier

X509版块3形式的签发该CRL的CA的秀丽符

Keyid

公钥秀丽符

一个CA可能有多个密钥对，该字段用于秀丽CA用哪个密钥对对该CRL进行签名

Revoked Certificates

烧毁的文凭信息

Serial Number

被铲除文凭的序列号

Revocation Date

文凭被铲除的日历

CRL entry extensions:

CRL技俩扩张属性

Signature Algorithm:

签名算法以及签名数据

【相关敕令】

· pki retrieve-crl

1.1.18 fqdn

fqdn敕令用来竖立PKI实体的FQDN。

undo fqdn敕令用来规复缺省情况。

【敕令】

fqdn fqdn-name-string

undo fqdn

【缺省情况】

未竖立PKI实体的FQDN。

【视图】

PKI实体视图

【缺省用户变装】

network-admin

【参数】

fqdn-name-string：PKI实体的FQDN，为1～255个字符的字符串，分别大小写。

【使用教授】

FQDN是实体在集结结的惟一秀丽，由一个主机名和一个域名构成，形势为hostname@domainname。

【例如】

# 竖立PKI实体en的FQDN为[email protected]。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] fqdn [email protected]

1.1.19 ip

ip敕令用来竖立PKI实体的IP地址。

undo ip敕令用来规复缺省情况。

【敕令】

ip { ip-address | interface interface-type interface-number }

undo ip

【缺省情况】

未竖立PKI实体的IP地址。

【视图】

PKI实体视图

【缺省用户变装】

network-admin

【参数】

ip-address：指定PKI实体的IP地址。

interface interface-type interface-numbe：指定接口的主IP地址当作PKI实体的IP地址。interface-type interface-number默示接口类型及接口编号。

【使用教授】

通过本敕令，不错径直指定PKI实体的IP地址，也不错指定成立上某接口的主IP地址当作PKI实体的IP地址。要是指定使用某接口的IP地址，则不要求本竖立实践时该接口上也曾竖立了IP地址，只消成立肯求文凭时，该接口上竖立了IP地址，就不错径直使用该地址当作PKI实体身份的一部分。

【例如】

# 竖立PKI实体en的IP地址为192.168.0.2。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] ip 192.168.0.2

1.1.20 ldap-server

ldap-server敕令用来指定LDAP做事器。

undo ldap-server敕令用来规复缺省情况。

【敕令】

ldap-server host hostname [ port port-number ]

undo ldap-server

【缺省情况】

未指定LDAP做事器。

【视图】

PKI域视图

【缺省用户变装】

network-admin

【参数】

host host-name：LDAP做事器的主机名，为1～255个字符的字符串，分别大小写，撑执IPv4与IPv6地址的默示方法以及DNS域名的默示方法。

port port-number：LDAP做事器的端标语，取值限度为1～65535，缺省值为389。

【使用教授】

以下两种情况下，需要竖立LDAP做事器：

· 通过LDAP条约获取腹地文凭或对端文凭时，需要指定LDAP做事器。

· 通过LDAP条约获取CRL时，若PKI域中竖立的LDAP形式的CRL发布点URL中未佩戴主机名，则需要证据此处竖立的LDAP做事器地址来得到齐全的LDAP发布点URL。

在一个PKI域中，只可指定一个LDAP做事器，屡次实践本敕令，终末一次实践的敕令顺利。

【例如】

# 指定LDAP做事器的IP地址为10.0.0.1。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] ldap-server host 10.0.0.1

# 指定LDAP做事器，IP地址为10.0.0.11，端标语为333。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] ldap-server host 10.0.0.11 port 333

【相关敕令】

· pki retrieve-certificate

· pki retrieve-crl

1.1.21 locality

locality敕令用来竖立PKI实体地点的地舆区域称呼，比如城市称呼。

undo locality敕令用来规复缺省情况。

【敕令】

locality locality-name

undo locality

【缺省情况】

未竖立PKI实体地点的地舆区域称呼。

【视图】

PKI实体视图

【缺省用户变装】

network-admin

【参数】

locality-name：PKI实体地点的地舆区域的称呼，为1～63个字符的字符串，分别大小写，不成包含逗号。

【例如】

# 竖立PKI实体en地点地舆区域的称呼为pukras。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] locality pukras

1.1.22 organization

organization敕令用来竖立PKI实体所属组织的称呼。

undo organization敕令用来规复缺省情况。

【敕令】

organization org-name

undo organization

【缺省情况】

未竖立PKI实体所属组织称呼。

【视图】

PKI实体视图

【缺省用户变装】

network-admin

【参数】

org-name：PKI实体所属的组织称呼，为1～63个字符的字符串，分别大小写，不成包含逗号。

【例如】

# 竖立PKI实体en所属的组织称呼为abc。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] organization abc

1.1.23 organization-unit

organization-unit敕令用来指定实体所属的组织部门的称呼。

undo organization-unit敕令用来规复缺省情况。

【敕令】

organization-unit org-unit-name

undo organization-unit

【缺省情况】

未竖立PKI实体所属组织部门的称呼。

【视图】

PKI实体视图

【缺省用户变装】

network-admin

【参数】

org-unit-name：PKI实体所属组织部门的称呼，为1～63个字符的字符串，分别大小写，不成包含逗号。使用该参数可在并吞个组织内分别不同部门的PKI实体。

【例如】

# 竖立PKI实体en所属组织部门的称呼为rdtest。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] organization-unit rdtest

1.1.24 pkcs7-encryption-algorithm

pkcs7-encryption-algorithm敕令用来指定PKCS#7文凭使用的加密算法。

undo pkcs7-encryption-algorithm敕令用来规复缺省情况。

【敕令】

pkcs7-encryption-algorithm { 3des-cbc | aes-cbc-128 | des-cbc }

undo pkcs7-encryption-algorithm

【缺省情况】

PKCS#7文凭使用的加密算法为dec-cbc。

【视图】

PKI域视图

【缺省用户变装】

network-admin

【参数】

3des-cbc：指定文凭使用的加密算法为CBC模式的3DES算法，3DES算法采纳168比特的密钥进行加密。

des-cbc：指定文凭使用的加密算法为CBC模式的DES算法，DES算法采纳56比特的密钥进行加密。

aes-cbc-128：指定文凭使用的加密算法为CBC模式的AES算法，AES算法采纳128比特的密钥进行加密。

【使用教授】

在线肯求文凭经由中需要生成PKCS#7文凭。本敕令指定PKCS#7文凭封装与解封经由中需要使用的加密算法类型。加密算法类型需要与CA做事器撑执的对称加密算法类型保执一致。

【例如】

# 指定PKCS#7文凭使用的加密算法为CBC模式的3DES算法。

<Sysname> system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] pkcs7-encryption-algorithm 3des-cbc

1.1.25 pki abort-certificate-request

pki abort-certificate-request敕令用来住手文凭肯求经由。

【敕令】

pki abort-certificate-request domain domain-name

【视图】

系统视图

【缺省用户变装】

network-admin

【参数】

【使用教授】

用户在文凭肯求时，可能由于某种原因需要篡改文凭肯求的一些参数，比如通用名、国度代码、FQDN等，而此时文凭肯求正在运行，为了新的肯求不与之前的肯求发生突破，冷漠先住手之前的肯求能力，再进行新的肯求。

【例如】

# 住手文凭肯求经由。

<Sysname> system-view

[Sysname] pki abort-certificate- request domain 1

The certificate request is in process.

Confirm to abort it? [Y/N]:y

【相关敕令】

· display pki certificate request-status

· pki request-certificate domain

1.1.26 pki certificate access-control-policy

pki certificate access-control-policy敕令用来创建文凭考察适度计谋，并参加文凭考察适度计谋视图。要是指定的文凭考察适度计谋已存在，则径直参加其视图。

undo pki certificate access-control-policy敕令用来删除指定的文凭考察适度计谋。

【敕令】

pki certificate access-control-policy policy-name

undo pki certificate access-control-policy policy-name

【缺省情况】

不存在文凭考察适度计谋。

【视图】

系统视图

【缺省用户变装】

network-admin

【参数】

policy-name：默示文凭考察适度计谋称呼，为1～31个字符的字符串，不分别大小写。

【使用教授】

一个文凭考察适度计谋中不错界说多个文凭属性的考察适度章程。

【例如】

# 竖立一个称呼为mypolicy的文凭考察适度计谋，并参加文凭考察适度计谋视图。

<Sysname> system-view

[Sysname] pki certificate access-control-policy mypolicy

[Sysname-pki-cert-acp-mypolicy]

【相关敕令】

· display pki certificate access-control-policy

· rule

1.1.27 pki certificate attribute-group

pki certificate attribute-group敕令用来创建文凭属性组并参加文凭属性组视图。要是指定的文凭属性组已存在，则径直参加其视图。

undo pki certificate attribute-group敕令用来删除指定的文凭属性组。

【敕令】

pki certificate attribute-group group-name

undo pki certificate attribute-group group-name

【缺省情况】

不存在文凭属性组。

【视图】

系统视图

【缺省用户变装】

network-admin

【参数】

group-name：文凭属性组称呼，为1～31个字符的字符串，不分别大小写。

【使用教授】

一个文凭属性组即是一系列文凭属性章程（通过attribute敕令竖立）的赓续，这些属性章程界说了对文凭的颁发者名、主落款以及备用主落款进行过滤的匹配条款。当文凭属性组下莫得任何属性章程时，则觉得对文凭的属性莫得任何限制。

【例如】

# 创建一个名为mygroup的文凭属性组，并参加文凭属性组视图。

<Sysname> system-view

[Sysname] pki certificate attribute-group mygroup

[Sysname-pki-cert-attribute-group-mygroup]

【相关敕令】

· attribute

· display pki certificate attribute-group

· rule

1.1.28 pki delete-certificate

pki delete-certificate敕令用来删除PKI域中的文凭。

【敕令】

pki delete-certificate domain domain-name { ca | local | peer [ serial serial-num ] }

【视图】

系统视图

【缺省用户变装】

network-admin

【参数】

domain domain-name：文凭地点的PKI域的称呼，为1～31个字符的字符串，不分别大小写，不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

ca：默示删除CA文凭。

local：默示删除腹地文凭。

peer：默示删除对端文凭。

serial serial-num：默示通过指定序列号删除一个指定的对端文凭。serial-num为对端文凭的序列号，为1～127个字符的字符串，不分别大小写。在每个CA签发的文凭限度内，序列号不错惟一秀丽一个文凭。要是不指定本参数，则默示删除本PKI域中的系数对端文凭。

【使用教授】

删除CA文凭时将同期删除地点PKI域中的腹地文凭和系数对端文凭，以及CRL。

要是需要删除指定的对端文凭，则需要最初通过display pki certificate敕令检察本域中已有的对端文凭的序列号，然后再通过指定序列号的方式删除该对端文凭。

【例如】

# 删除PKI域aaa中的CA文凭。

<Sysname> system-view

[Sysname] pki delete-certificate domain aaa ca

Local certificates， peer certificates and CRL will also be deleted while deleting the CA certificate.

Confirm to delete the CA certificate? [Y/N]:y

[Sysname]

# 删除PKI域aaa中的腹地文凭。

<Sysname> system-view

[Sysname] pki delete-certificate domain aaa local

[Sysname]

# 删除PKI域aaa中的系数对端文凭。

<Sysname> system-view

[Sysname] pki delete-certificate domain aaa peer

[Sysname]

# 最初检察PKI域aaa中的对端文凭，然后通过指定序列号的方式删除对端文凭。

<Sysname> system-view

[Sysname] display pki certificate domain aaa peer

Total peer certificates: 1

Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7

Subject Name: CN=abc

[Sysname] pki delete-certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7

【相关敕令】

· display pki certificate

1.1.29 pki domain

pki domain敕令用来创建PKI域，并参加PKI域视图。要是指定的PKI域已存在，则径直参加PKI域视图。

undo pki domain敕令用来删除指定的PKI域。

【敕令】

pki domain domain-name

undo pki domain domain-name

【缺省情况】

不存在PKI域。

【视图】

系统视图

【缺省用户变装】

network-admin

【参数】

domain-name：PKI域名，为1～31个字符的字符串，不分别大小写，不成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

【使用教授】

删除PKI域的同期，会将该域相关的文凭和CRL齐删惧怕，因此请把稳操作。

【例如】

# 创建PKI域aaa并参加PKI域视图。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa]

1.1.30 pki entity

pki entity敕令用来创建PKI实体，并参加PKI实体视图。要是指定的PKI实体已存在，则径直参加PKI实体视图。

undo pki entity敕令用来删除指定的PKI实体。

【敕令】

pki entity entity-name

undo pki entity entity-name

【缺省情况】

不存在PKI实体。

【视图】

系统视图

【缺省用户变装】

network-admin

【参数】

entity-name：PKI实体的称呼，为1～31个字符的字符串，不分别大小写。

【使用教授】

在PKI实体视图下可竖立PKI实体的多样属性（通用名、组织部门、组织、地舆区域、省、国度、FQDN、IP），这些属性用于描画PKI实体的身份信息。当肯求文凭时，PKI实体的信息将当作文凭中主题（Subjuct）部分的内容。

【例如】

# 创建称呼为en的PKI实体，并参加该实体视图。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en]

【相关敕令】

· pki domain

1.1.31 pki export

pki export敕令用来将PKI域中的CA文凭、腹地文凭导出到文献中或结尾上。

【敕令】

pki export domain domain-name der { all | ca | local } filename filename

pki export domain domain-name p12 { all | local } passphrase p12-key filename filename

pki export domain domain-name pem { { all | local } [ { 3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc } pem-key ] | ca } [ filename filename ]

【视图】

系统视图

【缺省用户变装】

network-admin

【参数】

der：指定文凭文献形式为DER编码。

p12：指定文凭文献形式为PKCS12编码。

pem：指定文凭文献形式为PEM编码。

all：默示导出系数文凭，包括PKI域中系数的CA文凭和腹地文凭，但不包括RA文凭。

ca：默示导出CA文凭。

local：默示导出腹地文凭或者腹地文凭和其对应私钥。

passphrase p12-key：指定对PKCS12编码形式的腹地文凭对应的私钥进行加密所采纳的口令。

3des-cbc：对腹地文凭对应的私钥数据采纳3DES_CBC算法进行加密。

aes-128-cbc：对腹地文凭对应的私钥数据采纳128位AES_CBC算法进行加密。

aes-192-cbc：对腹地文凭对应的私钥数据采纳192位AES_CBC算法进行加密。

aes-256-cbc：对腹地文凭对应的私钥数据采纳256位AES_CBC算法进行加密。

des-cbc：对腹地文凭对应的私钥数据采纳DES_CBC算法进行加密。

pem-key：指定对PEM编码形式的腹地文凭对应的私钥进行加密所采纳的口令。

filename filename：指定保存文凭的文献名，不分别大小写。要是不指定本参数，则默示要将文凭径直导出到结尾上披露，这种方式仅PEM编码形式的文凭才撑执。

【使用教授】

导出CA文凭时，要是PKI域中只消一个CA文凭则导出单个CA文凭到用户指定的一个文献或结尾，要是是一个CA文凭链则导出通盘CA文凭链到用户指定的一个文献或结尾。

导出腹地文凭时，成立上内容保存文凭的文凭文献称呼并不一定是用户指定的称呼，它与腹地文凭的密钥对用途相关，具体的定名章程如下（假定用户指定的文献名为filename）：

· 要是腹地文凭的密钥对用途为签名，则文凭文献称呼为filename-signature；

· 要是腹地文凭的密钥对用途为加密，则文凭文献称呼为filename-encryption；

· 要是腹地文凭的密钥对用途为通用（RSA/ECDSA/DSA），则文凭文献称呼为用户输入的filename。

导出腹地文凭时，要是PKI域中有两个腹地文凭，则导出成果如下：

· 若指定文献名，则将每个腹地文凭分别导出到一个单独的文献中；

· 若不指定文献名，则将系数腹地文凭一次性一齐导出到结尾上，并由不同的请示信息进行分割披露。

导出系数文凭时，要是PKI域中只消腹地文凭或者只消CA文凭，则导出成果与单独导出换取。要是PKI域中存在腹地文凭和CA文凭，则具体导出成果如下：

· 若指定文献名，则将每个腹地文凭分别导出到一个单独的文献，该腹地文凭对应的齐全CA文凭链也会同期导出到该文献中。

· 若不指定文献名，则将系数的腹地文凭及域中的CA文凭或者CA文凭链一次性一齐导出到结尾上，并由不同的请示信息进行分割披露。

以PKCS12形式导出系数文凭时，PKI域中必须有腹地文凭，不然会导出失败。

以PEM形式导出腹地文凭或者系数文凭时，若不指定私钥的加密算法和私钥加密口令，则不会导出腹地文凭对应的私钥信息。

以PEM形式导出腹地文凭或者系数文凭时，若指定私钥加密算法和私钥加密口令，且此时腹地文凭有匹配的私钥，则同期导出腹地文凭的私钥信息；要是此时腹地文凭莫得匹配的私钥，则导出该腹地文凭失败。

导出腹地文凭时，若刻下PKI域中的密钥对竖立已被修改，导致腹地文凭的公钥与该密钥对的公钥部分不匹配，则导出该腹地文凭失败。

导出腹地文凭或者系数文凭时，要是PKI域中有两个腹地文凭，则导出某种密钥用途的腹地文凭失败并不会影响导出另外一个腹地文凭。

指定的文献名中不错带齐全旅途，当系统中不存在用户所指定旅途时，则会导出失败。

【例如】

# 导出PKI域中的CA文凭到DER编码的文献，文献称呼为cert-ca.der。

<Sysname> system-view

[Sysname] pki export domain domain1 der ca filename cert-ca.der

# 导出PKI域中的腹地文凭到DER编码的文献，文献称呼为cert-lo.der。

<Sysname> system-view

[Sysname] pki export domain domain1 der local filename cert-lo.der

# 导出PKI域中的系数文凭到DER编码的文献，文献称呼为cert-all.p7b。

<Sysname> system-view

[Sysname] pki export domain domain1 der all filename cert-all.p7b

# 导出PKI域中的CA文凭到PEM编码的文献，文献称呼为cacert。

<Sysname> system-view

[Sysname] pki export domain domain1 pem ca filename cacert

# 导出PKI域中的腹地文凭偏激对应的私钥到PEM编码的文献，指定保护私钥信息的加密算法为DES_CBC、加密口令为111，文献称呼为local.pem。

<Sysname> system-view

[Sysname] pki export domain domain1 pem local des-cbc 111 filename local.pem

# 导出PKI域中系数文凭到PEM编码的文献，不指定加密算法和加密口令，不导出腹地文凭对应的私钥信息，文献称呼为all.pem。

<Sysname> system-view

[Sysname] pki export domain domain1 pem all filename all.pem

# 以PEM形式导出PKI域中腹地文凭偏激对应的私钥到结尾，指定保护私钥信息的加密算法为DES_CBC、加密口令为111。

<Sysname> system-view

[Sysname] pki export domain domain1 pem local des-cbc 111

*** The general usage local certificate: ***

Bag Attributes

friendlyName:

localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D

subject=/C=CN/O=OpenCA Labs/OU=Users/CN=chktest chktest

issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd

-----BEGIN CERTIFICATE-----

MIIEqjCCA5KgAwIBAgILAOhID4rI04kBfYgwDQYJKoZIhvcNAQELBQAwRTELMAkG

A1UEBhMCQ04xFDASBgNVBAoMC09wZW5DQSBMYWJzMREwDwYDVQQLDAhzb2Z0d2Fy

ZTENMAsGA1UEAwwEYWJjZDAeFw0xMTA0MjYxMzMxMjlaFw0xMjA0MjUxMzMxMjla

ME0xCzAJBgNVBAYTAkNOMRQwEgYDVQQKDAtPcGVuQ0EgTGFiczEOMAwGA1UECwwF

VXNlcnMxGDAWBgNVBAMMD2Noa3Rlc3QgY2hrdGVzdDCBnzANBgkqhkiG9w0BAQEF

AAOBjQAwgYkCgYEA54rUZ0Ux2kApceE4ATpQ437CU6ovuHS5eJKZyky8fhMoTHhE

jE2KfBQIzOZSgo2mdgpkccjr9Ek6IUC03ed1lPn0IG/YaAl4Tjgkiv+w1NrlSvAy

cnPaSUko2QbO9sg3ycye1zqpbbqj775ulGpcXyXYD9OY63/Cp5+DRQ92zGsCAwEA

AaOCAhUwggIRMAkGA1UdEwQCMAAwUAYDVR0gBEkwRzAGBgQqAwMEMAYGBCoDAwUw

NQYEKgMDBjAtMCsGCCsGAQUFBwIBFh9odHRwczovL3RpdGFuL3BraS9wdWIvY3Bz

L2Jhc2ljMBEGCWCGSAGG+EIBAQQEAwIFoDALBgNVHQ8EBAMCBsAwKQYDVR0lBCIw

IAYIKwYBBQUHAwIGCCsGAQUFBwMEBgorBgEEAYI3FAICMC4GCWCGSAGG+EIBDQQh

Fh9Vc2VyIENlcnRpZmljYXRlIG9mIE9wZW5DQSBMYWJzMB0GA1UdDgQWBBTPw8FY

ut7Xr2Ct/23zU/ybgU9dQjAfBgNVHSMEGDAWgBQzEQ58yIC54wxodp6JzZvn/gx0

CDAaBgNVHREEEzARgQ9jaGt0ZXN0QGgzYy5jb20wGQYDVR0SBBIwEIEOcGtpQG9w

ZW5jYS5vcmcwgYEGCCsGAQUFBwEBBHUwczAyBggrBgEFBQcwAoYmaHR0cDovL3Rp

dGFuL3BraS9wdWIvY2FjZXJ0L2NhY2VydC5jcnQwHgYIKwYBBQUHMAGGEmh0dHA6

Ly90aXRhbjoyNTYwLzAdBggrBgEFBQcwDIYRaHR0cDovL3RpdGFuOjgzMC8wPAYD

VR0fBDUwMzAxoC+gLYYraHR0cDovLzE5Mi4xNjguNDAuMTI4L3BraS9wdWIvY3Js

L2NhY3JsLmNybDANBgkqhkiG9w0BAQsFAAOCAQEAGcMeSpBJiuRmsJW0iZK5nygB

tgD8c0b+n4v/F36sJjY1fRFSr4gPLIxZhPWhTrqsCd+QMELRCDNHDxvt3/1NEG12

X6BVjLcKXKH/EQe0fnwK+7PegAJ15P56xDeACHz2oysvNQ0Ot6hGylMqaZ8pKUKv

UDS8c+HgIBrhmxvXztI08N1imYHq27Wy9j6NpSS60mMFmI5whzCWfTSHzqlT2DNd

no0id18SZidApfCZL8zoMWEFI163JZSarv+H5Kbb063dxXfbsqX9Noxggh0gD8dK

7X7/rTJuuhTWVof5gxSUJp+aCCdvSKg0lvJY+tJeXoaznrINVw3SuXJ+Ax8GEw==

-----END CERTIFICATE-----

Bag Attributes

friendlyName:

localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D

Key Attributes: <No Attributes>

-----BEGIN ENCRYPTED PRIVATE KEY-----

MIICwzA9BgkqhkiG9w0BBQ0wMDAbBgkqhkiG9w0BBQwwDgQIAbfcE+KoYYoCAggA

MBEGBSsOAwIHBAjB+UsJM07JRQSCAoABqtASbjGTQbdxL3n4wNHmyWLxbvL9v27C

Uu6MjYJDCipVzxHU0rExgn+6cQsK5uK99FPBmy4q9/nnyrooTX8BVlXAjenvgyii

WQLwnIg1IuM8j2aPkQ3wbae1+0RACjSLy1u/PCl5sp6CDxI0b9xz6cxIGxKvUOCc

/gxdgk97XZSW/0qnOSZkhgeqBZuxq6Va8iRyho7RCStVxQaeiAZpq/WoZbcS5CKI

/WXEBQd4AX2UxN0Ld/On7Wc6KFToixROTxWTtf8SEsKGPDfrEKq3fSTW1xokB8nM

bkRtU+fUiY27V/mr1RHO6+yEr+/wGGClBy5YDoD4I9xPkGUkmqx+kfYbMo4yxkSi

JdL+X3uEjHnQ/rvnPSKBEU/URwXHxMX9CdCTSqh/SajnrGuB/E4JhOEnS/H9dIM+

DN6iz1IwPFklbcK9KMGwV1bosymXmuEbYCYmSmhZb5FnR/RIyE804Jz9ifin3g0Q

ZrykfG7LHL7Ga4nh0hpEeEDiHGEMcQU+g0EtfpOLTI8cMJf7kdNWDnI0AYCvBAAM

3CY3BElDVjJq3ioyHSJca8C+3lzcueuAF+lO7Y4Zluq3dqWeuJjE+/1BZJbMmaQA

X6NmXKNzmtTPcMtojf+n3+uju0le0d0QYXQz/wPsV+9IYRYasjzoXE5dhZ5sIPOd

u9x9hhp5Ns23bwyNP135qTNjx9i/CZMKvLKywm3Yg+Bgg8Df4bBrFrsH1U0ifmmp

ir2+OuhlC+GbHOxWNeBCa8iAq91k6FGFJ0OLA2oIvhCnh45tM7BjjKTHk+RZdMiA

0TKSWuOyihrwxdUEWh999GKUpkwDHLZJFd21z/kWspqThodEx8ea

-----END ENCRYPTED PRIVATE KEY-----

# 以PEM形式导出PKI域中系数文凭到结尾，指定保护腹地文凭对应私钥的加密算法为DES_CBC、加密口令为111。

<Sysname> system-view

[Sysname] pki export domain domain1 pem all des-cbc 111

%The signature usage local certificate: