TS H3C 负载平衡居品号召参考(V7)

发布日期：2024-12-19 05:01 点击次数：106

1 PKI 1.1 PKI建树号召 1.1.1 attribute

attribute号召用来建树属性章程TS，用于凭证文凭的颁发者名、主落款以及备用主落款来过滤文凭。

undo attribute号召用来删除文凭属性章程。

【号召】

attribute id { alt-subject-name { fqdn | ip } | { issuer-name | subject-name } { dn | fqdn | ip } } { ctn | equ | nctn | nequ } attribute-value

undo attribute id

【缺省情况】

不存在属性章程，即对文凭的颁发者名、主落款以及备用主落款莫得限制。

【视图】

文凭属性组视图

【缺省用户变装】

network-admin

context-admin

【参数】

id：文凭属性章门径号，取值范畴为1～16。

alt-subject-name：示意文凭备用主落款（Subject Alternative Name）。

fqdn：指定实体的FQDN。

ip：指定实体的IP地址。

dn：指定实体的DN。

issuer-name：示意文凭颁发者名（Issuer Name）。

subject-name：示意文凭主落款（Subject Name）。

ctn：示意包含操作。

equ：示意终点操作。

nctn：示意不包含操作。

nequ：示意不等操作。

attribute-value：指定文凭属性值，为1～255个字符的字符串，不分歧大小写。

【使用指引】

各文凭属性中可包含的属性域个数有所不同：

· 主落款和颁发者名中均只可包含一个DN，但是均不错同期包含多个FQDN和IP；

· 备用主落款中弗成包含DN，但是不错同期包含多个FQDN和IP。

不同类型的文凭属性域与操作重要字的组合代表了不同的匹配条款，具体如下表所示：

表1-1 对文凭属性域的操作涵义

操作

FQDN/IP

ctn

DN中包含指定的属性值

随心一个FQDN/IP中包含了指定的属性值

nctn

DN中不包含指定的属性值

所有这个词FQDN/IP中均不包含指定的属性值

equ

DN等于指定的属性值

随心一个FQDN/IP等于指定的属性值

nequ

DN不等于指定的属性值

所有这个词FQDN/IP均不等于指定的属性值

淌若文凭的相应属性中包含了属性章程里指定的属性域，且知足属性章程中界说的匹配条款，则合计该属性与属性章程相匹配。例如：属性章程2中界说，文凭的主落款DN中包含字符串abc。淌若某文凭的主落款的DN中如实包含了字符串abc，则合计该文凭的主落款与属性章程2匹配。

只好文凭中的相应属性与某属性组中的所有这个词属性章程齐匹配上，才合计该文凭与此属性组匹配。淌若文凭中的某属性中莫得包含属性章程中指定的属性域，或者不知足属性章程中的匹配条款，则合计该文凭与此属性组不匹配。

【例如】

# 创建文凭属性章程1，界说文凭主落款中的DN包含字符串abc。

<Sysname> system-view

[Sysname] pki certificate attribute-group mygroup

[Sysname-pki-cert-attribute-group-mygroup] attribute 1 subject-name dn ctn abc

# 创建文凭属性章程2，界说文凭颁发者名中的FQDN不等于字符串abc。

[Sysname-pki-cert-attribute-group-mygroup] attribute 2 issuer-name fqdn nequ abc

# 创建文凭属性章程3，界说文凭主题备用名中的IP地址不等于10.0.0.1。

[Sysname-pki-cert-attribute-group-mygroup] attribute 3 alt-subject-name ip nequ 10.0.0.1

【有关号召】

· display pki certificate attribute-group

· rule

1.1.2 ca identifier

ca identifier号召用来指定招引信任的CA称号。

undo ca identifier号召用来复原缺省情况。

【号召】

ca identifier name

undo ca identifier

【缺省情况】

未指定招引信任的CA。

【视图】

PKI域视图

【缺省用户变装】

network-admin

context-admin

【参数】

name：招引信任的CA称号，为1～63个字符的字符串，分歧大小写。

【使用指引】

获取CA文凭时，必须指定信任的CA称号，这个称号会被行为SCEP音书的一部分发送给CA劳动器。但是一般情况下，CA劳动器会忽略收到的SCEP音书中的CA称号的具体内容。但是淌若在磨灭台劳动器上建树了两个CA，且它们的URL是同样的，则劳动器将凭证SCEP音书中的CA称号遴荐对应的CA。因此，使用此号召指定的CA称号必须与但愿获取的CA文凭对应的CA称号一致。

【例如】

# 指定招引信任的CA称号为new-ca。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] ca identifier new-ca

1.1.3 certificate request entity

certificate request entity号召用来指定用于苦求文凭的PKI实体称号。

undo certificate request entity号召用来复原缺省情况。

【号召】

certificate request entity entity-name

undo certificate request entity

【缺省情况】

未指定招引苦求文凭所使用的PKI实体称号。

【视图】

PKI域视图

【缺省用户变装】

network-admin

context-admin

【参数】

entity-name：用于苦求文凭的PKI实体称号，为1～31个字符的字符串，不分歧大小写。

【使用指引】

本号召用于在PKI域中指定苦求文凭的PKI实体。PKI实体描摹了苦求文凭的实体的各式属性（通用名、组织部门、组织、地舆区域、省、国度、FQDN、IP），这些属性用于描摹PKI实体的身份信息。

一个PKI域中只可指定一个PKI实体称号，屡次实行本号召，临了一次实行的号召成效。

【例如】

# 指定苦求文凭的PKI实体称号为en1。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request entity en1

【有关号召】

· pki entity

1.1.4 certificate request from

certificate request from号召用来建树文凭苦求的注册受理机构。

undo certificate request from号召用来复原缺省情况。

【号召】

certificate request from { ca | ra }

undo certificate request from

【缺省情况】

未指定文凭苦求的注册受理机构。

【视图】

PKI域视图

【缺省用户变装】

network-admin

context-admin

【参数】

ca：示意实体从CA苦求文凭。

ra：示意实体从RA苦求文凭。

【使用指引】

遴荐从CA如故RA苦求文凭，由CA劳动器决定，需要了解CA劳动器上由什么机构来受理文凭苦求。

推选使用孤苦运行的RA行为注册受理机构。

【例如】

# 指定实体从RA苦求文凭。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request from ra

1.1.5 certificate request mode

certificate request mode号召用来建树文凭苦求方式。

undo certificate request mode号召用来复原缺省情况。

【号召】

certificate request mode { auto [ password { cipher | simple } string | renew-before-expire days [ reuse-public-key ] [ automatic-append common-name ] ] * | manual }

undo certificate request mode

【缺省情况】

文凭苦求方式为手工方式。

【视图】

PKI域视图

【缺省用户变装】

network-admin

context-admin

【参数】

auto：示意用自动方式苦求文凭。

password：指定撤销文凭时使用的密码。

cipher：以密文方式确立密码。

simple：以明文方式确立密码，该密码将以密文方式存储。

string：密码字符串，分歧大小写。明文密码为1～31个字符的字符串，密文密码为1～73个字符的字符串。

renew-before-expire days：示意文凭自动续签功能。days是文凭自动续签提前的技艺，取值范畴为0～365，单元为天。淌若取值为0则示意文凭到期时再自动续签，会出现暂时的业务中断。

reuse-public-key：示意文凭自动续签时使用原有密钥对。若不指定该参数，则示意文凭自动续签的经由中会自动生成新的密钥对，且文凭续签奏凯后原有密钥对被立即笼罩。

automatic-append common-name：示意文凭自动续签时在PKI实体的通用名后添加立时值。若不指定该参数，则文凭自动续签时在PKI实体的通用名后不添加立时值。

manual：示意用手工方式苦求文凭。

【使用指引】

两种苦求方式齐属于在线苦求，具体情况如下：

· 淌若是自动方式，则招引会在与PKI域关联的愚弄需要作念身份认证时，自动向文凭注册机构发起获取CA文凭和苦求土产货文凭的操作。自动方式下，不错指定撤销文凭时使用的密码，是否需要指定密码是由CA劳动器的计谋决定的。

· 淌若为手工方式，则需要手工完成获取CA文凭、苦求土产货文凭的操作。

为幸免由于文凭逾期形成业务中断，请在遴荐自动方式苦求文凭时建树文凭自动续签功能。文凭自动续签是指，系统在文凭灵验期到达之前自动苦求新的文凭，苦求奏凯后新文凭立即替换原有文凭。

由于某些CA劳动器不撑合手PKI实体使用同样的通用名屡次苦求文凭，为了保证自动续签文凭奏凯，请建树automatic-append common-name参数使招引每次齐使用新的通用名为PKI实体苦求新的文凭。

【例如】

# 指定文凭苦求方式为自动方式。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request mode auto

# 指定文凭苦求方式为自动方式，并确立撤销文凭时使用的密码为明文123456。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request mode auto password simple 123456

# 指定文凭苦求方式为自动方式，并确立撤销文凭时使用的口令为明文123456，确立文凭到期前60天自动苦求新文凭替换原有文凭，苦求新文凭时生成新密钥对。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request mode auto password simple 123456 renew-before-expire 60

【有关号召】

· pki request-certificate

1.1.6 certificate request polling

certificate request polling号召用来建树文凭苦求景色的查询周期和最大次数。

undo certificate request polling号召用来复原缺省情况。

【号召】

certificate request polling { count count | interval interval }

undo certificate request polling { count | interval }

【缺省情况】

文凭苦求景色的查询周期为20分钟，最多查询50次。

【视图】

PKI域视图

【缺省用户变装】

network-admin

context-admin

【参数】

count count：示意文凭苦求景色的查询次数，取值范畴为1～100。

interval interval：示意文凭苦求景色的查询周期，取值范畴为5～168，单元为分钟。

【使用指引】

招引发送文凭苦求后，淌若CA劳动器接受手工方式来签发文凭苦求，则不会坐窝反映招引的苦求。这种情况下，招引通过如期向CA劳动器发送景色查询音书，大要实时获取到被CA签发的文凭。CA签发文凭后，招引将通过发送景色查询得到文凭，之后住手发送景色查询音书。淌若达到最大查询次数时，CA劳动器仍未签发文凭，则招引住手发送景色查询音书，本次文凭苦求失败。

淌若CA劳动器接受自动签发文凭的方式，则招引不错坐窝得到文凭，这种情况下招引不会向CA劳动器发送景色查询音书。

【例如】

# 指定文凭苦求景色的查询周期为15分钟，最多查询40次。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request polling interval 15

[Sysname-pki-domain-aaa] certificate request polling count 40

【有关号召】

· display pki certificate request-status

1.1.7 certificate request url

certificate request url号召用来建树实体通过SCEP进行文凭苦求的注册受理机构劳动器的URL。

undo certificate request url号召用来复原缺省情况。

【号召】

certificate request url url-string [ vpn-instance vpn-instance-name ]

undo certificate request url

【缺省情况】

未指定注册受理机构劳动器的URL。

【视图】

PKI域视图

【缺省用户变装】

network-admin

context-admin

【参数】

url-string：示意文凭苦求的注册受理机构劳动器的URL，为1～511个字符的字符串，分歧大小写。

vpn-instance vpn-instance-name：指定注册受理机构劳动器所属的VPN。vpn-instance-name示意VPN实例称号，为1～31个字符的字符串，分歧大小写。若未指定本参数，则示意该注册受理机构劳动器属于公网。

【使用指引】

本号召建树的URL内容包括注册受理机构劳动器的位置及CGI号召接口剧本位置，花样为_location/cgi_script_location。其中，server_location是劳动器的地址，不错是IPv4地址、 IPv6地址和DNS域名，cgi_script_location是注册授权机构（CA或RA ）在劳动器主机上的愚弄门径剧本的旅途。

骨子可输入的URL长度除名令行允许输入的最大字符数限制。

【例如】

# 指定实体进行文凭苦求的注册受理机构劳动器的URL为。

<Sysname> system-view

[Sysname] pki domain a

[Sysname-pki-domain-a] certificate request url

# 指定实体向VPN中的注册受理机构劳动器苦求文凭，该劳动器的URL为，场所的VPN的实例称号为vpn1。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request url /certsrv/mscep/mscep.dll vpn-instance vpn1

1.1.8 common-name

common-name号召用来建树PKI实体的通用名，比如用户称号。

undo common-name号召用来复原缺省情况。

【号召】

common-name common-name-sting

undo common-name

【缺省情况】

未建树PKI实体的通用名。

【视图】

PKI实体视图

【缺省用户变装】

network-admin

context-admin

【参数】

common-name-sting：PKI实体的通用名，为1～63个字符的字符串，分歧大小写，弗成包含逗号。

【例如】

# 建树PKI实体en的通用名为test。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] common-name test

1.1.9 country

country号召用来建树PKI实体所属的国度代码。

undo country号召用来复原缺省情况。

【号召】

country country-code-string

undo country

【缺省情况】

未建树PKI实体所属的国度代码。

【视图】

PKI实体视图

【缺省用户变装】

network-admin

context-admin

【参数】

country-code-string：PKI实体所属的国度代码，为模范的两字符代码，分歧大小写，例如中国为CN。

【例如】

# 建树PKI实体en所属的国度代码为CN。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] country CN

1.1.10 crl check

crl check enable号召用来开启CRL查验。

undo crl check enable号召用来关闭CRL查验。

【号召】

crl check enable

undo crl check enable

【缺省情况】

CRL查验处于开启景色。

【视图】

PKI域视图

【缺省用户变装】

network-admin

context-admin

【使用指引】

CRL（Certificate Revocation List，文凭澌灭列表）是一个由CA签发的文献，该文献中包含被该CA撤销的所有这个词文凭的列表。一个文凭有可能在灵验期达到之前被CA撤销。使能CRL查验的盘算推算是稽查招引上的实体文凭或者行将要导入、获取到招引上的实体文凭是否依然被CA撤销，若查验成果标明实体文凭已被撤销，那么该文凭就不被招引信任。

【例如】

# 关闭CRL查验。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] undo crl check enable

【有关号召】

· pki import

· pki retrieve-certificate

· pki validate-certificate

1.1.11 crl url

crl url号召用来确立CRL发布点的URL。

undo crl url号召用来复原缺省情况。

【号召】

crl url url-string [ vpn-instance vpn-instance-name ]

undo crl url

【缺省情况】

未确立CRL发布点的URL。

【视图】

PKI域视图

【缺省用户变装】

network-admin

context-admin

【参数】

url-string：示意CRL发布点的URL，为1～511个字符的字符串，分歧大小写。花样为ldap://server_location或_location，其中server_location不错为IP地址和DNS域名。

vpn-instance vpn-instance-name：指定CRL发布点所属的VPN。vpn-instance-name示意VPN实例称号，为1～31个字符的字符串，分歧大小写。若未指定本参数，则示意该CRL发布点属于公网。

【使用指引】

淌若CRL查验处于使能景色，则进行CRL查验之前，需要最初从PKI域指定的CRL发布点获取CRL。若PKI域中未建树CRL发布点的URL时，从该待考据的文凭中获取发布点信息：优先获取待考据的文凭中纪录的发布点，淌若待考据的文凭中莫得纪录发布点，则获取CA文凭中纪录的发布点（若待考据的文凭为CA文凭，则获取上一级CA文凭中纪录的发布点）。淌若无法通过任何阶梯得到发布点，则通过SCEP条约获取CRL。

若建树了LDAP花样的CRL发布点URL，则示意要通过LDAP条约获取CRL。若该URL中未佩戴主机名，则需要凭证PKI域中建树的LDAP劳动器地址信息来得到齐备的LDAP发布点URL。

骨子可输入的URL长度除名令行允许输入的最大字符数限制。

【例如】

# 指定CRL发布点的URL为。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] crl url

# 指定CRL发布点的URL为ldap://169.254.0.30，场所的VPN的实例称号为vpn1。

<Sysname> system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] crl url ldap://169.254.0.30 vpn-instance vpn1

【有关号召】

· ldap-server

· pki retrieve-crl

1.1.12 display pki certificate access-control-policy

display pki certificate access-control-policy号召用来清楚文凭看望贬抑计谋的建树信息。

【号召】

display pki certificate access-control-policy [ policy-name ]

【视图】

随心视图

【缺省用户变装】

network-admin

network-operator

context-admin

context-operator

【参数】

policy-name：指定文凭看望贬抑计谋称号，为1～31个字符的字符串，不分歧大小写。

【使用指引】

若不指定文凭看望贬抑计谋的称号，则清楚所有这个词文凭看望贬抑计谋的建树信息。

【例如】

# 清楚文凭看望贬抑计谋mypolicy的建树信息。

<Sysname> display pki certificate access-control-policy mypolicy

Access control policy name: mypolicy

Rule 1 deny mygroup1

Rule 2 permit mygroup2

# 清楚所有这个词文凭属性看望贬抑计谋的建树信息。

<Sysname> display pki certificate access-control-policy

Total PKI certificate access control policies: 2

Access control policy name: mypolicy1

Rule 1 deny mygroup1

Rule 2 permit mygroup2

Access control policy name: mypolicy2

Rule 1 deny mygroup3

Rule 2 permit mygroup4

表1-2 display pki certificate access-control-policy号召清楚信息描摹表

字段

描摹

Total PKI certificate access control policies

PKI文凭看望贬抑计谋的总和

Access control policy name

文凭看望贬抑计谋名

Rule number

看望贬抑章程编号

permit

当文凭的属性与属性组里界说的属性匹配时，合计该文凭灵验，通过了看望贬抑计谋的检测

deny

当文凭的属性与属性组里界说的属性匹配时，合计该文凭无效，未通过看望贬抑计谋的检测

【有关号召】

· pki certificate access-control-policy

· rule

1.1.13 display pki certificate attribute-group

display pki certificate attribute-group号召用来清楚文凭属性组的建树信息。

【号召】

display pki certificate attribute-group [ group-name ]

【视图】

随心视图

【缺省用户变装】

network-admin

network-operator

context-admin

context-operator

【参数】

group-name：指定文凭属性组名，为1～31个字符的字符串，不分歧大小写。

【使用指引】

若不指定文凭属性组的称号，则清楚所有这个词文凭属性组的建树信息。

【例如】

# 清楚文凭属性组mygroup的信息。

<Sysname> display pki certificate attribute-group mygroup

Attribute group name: mygroup

Attribute 1 subject-name dn ctn abc

Attribute 2 issuer-name fqdn nctn app

# 清楚所有这个词文凭属性组的信息。

<Sysname> display pki certificate attribute-group

Total PKI certificate attribute groups: 2.

Attribute group name: mygroup1

Attribute 1 subject-name dn ctn abc

Attribute 2 issuer-name fqdn nctn app

Attribute group name: mygroup2

Attribute 1 subject-name dn ctn def

Attribute 2 issuer-name fqdn nctn fqd

表1-3 display pki certificate attribute-group号召清楚信息描摹表

字段

描摹

Total PKI certificate attribute groups

PKI文凭属性组的总和

Attribute group name

文凭属性组称号

Attribute number

属性章程编号

subject-name

文凭主落款

alt-subject-name

文凭备用主落款

issuer-name

文凭颁发者名

实体的DN

fqdn

实体的FQDN

实体的IP地址

ctn

示意包含操作

nctn

示意不包含操作

equ

示意等于操作

nequ

示意不等操作

Attribute 1 subject-name dn ctn abc

属性章程内容，包括以下参数：

· alt-subject-name：示意文凭备用主落款

· issuer-name：示意文凭颁发者名

· subject-name：示意文凭主落款

· fqdn：示意实体的FQDN

· ip：示意实体的IP地址

· dn：示意实体的DN

· ctn：示意包含操作

· equ：示意终点操作

· nctn：示意不包含操作

· nequ：示意不等操作

【有关号召】

· attribute

· pki certificate attribute-group

1.1.14 display pki certificate domain

display pki certificate domain号召用来清楚文凭的内容。

【号召】

display pki certificate domain domain-name { ca | local | peer [ serial serial-num ] }

【视图】

随心视图

【缺省用户变装】

network-admin

network-operator

context-admin

context-operator

【参数】

domain-name：清楚指定文凭场所的PKI域的称号，为1～31个字符的字符串，不分歧大小写，弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

ca：清楚CA文凭。

local：清楚土产货文凭。

peer：清楚对端文凭。

serial serial-num：指定要清楚的对端文凭的序列号。

【使用指引】

清楚CA文凭时，会清楚此PKI域中所有这个词CA文凭的详备信息，若PKI域中存在RA文凭，则同期清楚RA文凭的详备信息。

清楚土产货文凭时，会清楚此PKI域中所有这个词土产货文凭的详备信息。

清楚对端文凭时，淌若不指定序列号，将清楚所有这个词对端文凭的简要信息；淌若指定序列号，将清楚该序号对应的指定对端文凭的详备信息。

【例如】

# 清楚PKI域aaa中的CA文凭。

<Sysname> display pki certificate domain aaa ca

Certificate:

Data:

Version: 1 (0x0)

Serial Number:

5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6

Signature Algorithm: sha1WithRSAEncryption

Issuer: C=cn， O=docm， OU=rnd， CN=rootca

Validity

Not Before: Jan 6 02:51:41 2011 GMT

Not After : Dec 7 03:12:05 2013 GMT

Subject: C=cn， O=ccc， OU=ppp， CN=rootca

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

Public-Key: (1024 bit)

Modulus:

00:c4:fd:97:2c:51:36:df:4c:ea:e8:c8:70:66:f0:

28:98:ec:5a:ee:d7:35:af:86:c4:49:76:6e:dd:40:

4a:9e:8d:c0:cb:d9:10:9b:61:eb:0c:e0:22:ce:f6:

57:7c:bb:bb:1b:1d:b6:81:ad:90:77:3d:25:21:e6:

7e:11:0a:d8:1d:3c:8e:a4:17:1e:8c:38:da:97:f6:

6d:be:09:e3:5f:21:c5:a0:6f:27:4b:e3:fb:9f:cd:

c1:91:18:ff:16:ee:d8:cf:8c:e3:4c:a3:1b:08:5d:

84:7e:11:32:5f:1a:f8:35:25:c0:7e:10:bd:aa:0f:

52:db:7b:cd:5d:2b:66:5a:fb

Exponent: 65537 (0x10001)

Signature Algorithm: sha1WithRSAEncryption

6d:b1:4e:d7:ef:bb:1d:67:53:67:d0:8f:7c:96:1d:2a:03:98:

3b:48:41:08:a4:8f:a9:c1:98:e3:ac:7d:05:54:7c:34:d5:ee:

09:5a:11:e3:c8:7a:ab:3b:27:d7:62:a7:bb:bc:7e:12:5e:9e:

4c:1c:4a:9f:d7:89:ca:20:46:de:c5:b3:ce:36:ca:5e:6e:dc:

e7:c6:fe:3f:c5:38:dd:d5:a3:36:ad:f4:3d:e6:32:7f:48:df:

07:f0:a2:32:89:86:72:22:cd:ed:e5:0f:95:df:9c:75:71:e7:

fe:34:c5:a0:64:1c:f0:5c:e4:8f:d3:00:bd:fa:90:b6:64:d8:

88:a6

# 清楚PKI域aaa中的土产货文凭。

<Sysname> display pki certificate domain aaa local

Certificate:

Data:

Version: 3 (0x2)

Serial Number:

bc:05:70:1f:0e:da:0d:10:16:1e

Signature Algorithm: sha256WithRSAEncryption

Issuer: C=CN， O=sec， OU=software， CN=ipsec

Validity

Not Before: Jan 7 20:05:44 2011 GMT

Not After : Jan 7 20:05:44 2012 GMT

Subject: O=OpenCA Labs， OU=Users， CN=fips fips-sec

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

Public-Key: (1024 bit)

Modulus:

00:b2:38:ad:8c:7d:78:38:37:88:ce:cc:97:17:39:

52:e1:99:b3:de:73:8b:ad:a8:04:f9:a1:f9:0d:67:

d8:95:e2:26:a4:0b:c2:8c:63:32:5d:38:3e:fd:b7:

4a:83:69:0e:3e:24:e4:ab:91:6c:56:51:88:93:9e:

12:a4:30:ad:ae:72:57:a7:ba:fb:bc:ac:20:8a:21:

46:ea:e8:93:55:f3:41:49:e9:9d:cc:ec:76:13:fd:

a5:8d:cb:5b:45:08:b7:d1:c5:b5:58:89:47:ce:12:

bd:5c:ce:b6:17:2f:e0:fc:c0:3e:b7:c4:99:31:5b:

8a:f0:ea:02:fd:2d:44:7a:67

Exponent: 65537 (0x10001)

X509v3 extensions:

X509v3 Basic Constraints:

CA:FALSE

Netscape Cert Type:

SSL Client， S/MIME

X509v3 Key Usage:

Digital Signature， Non Repudiation， Key Encipherment

X509v3 Extended Key Usage:

TLS Web Client Authentication， E-mail Protection， Microsoft Smartcardlogin

Netscape Comment:

User Certificate of OpenCA Labs

X509v3 Subject Key Identifier:

91:95:51:DD:BF:4F:55:FA:E4:C4:D0:10:C2:A1:C2:99:AF:A5:CB:30

X509v3 Authority Key Identifier:

keyid:DF:D2:C9:1A:06:1F:BC:61:54:39:FE:12:C4:22:64:EB:57:3B:11:9F

X509v3 Subject Alternative Name:

email:[email protected]

X509v3 Issuer Alternative Name:

email:[email protected]

Authority Information Access:

CA Issuers - URI:

OCSP - URI::2560/

1.3.6.1.5.5.7.48.12 - URI::830/

X509v3 CRL Distribution Points:

Full Name:

URI:

Signature Algorithm: sha256WithRSAEncryption

94:ef:56:70:48:66:be:8f:9d:bb:77:0f:c9:f4:65:77:e3:bd:

ea:9a:b8:24:ae:a1:38:2d:f4:ab:e8:0e:93:c2:30:33:c8:ef:

f5:e9:eb:9d:37:04:6f:99:bd:b2:c0:e9:eb:b1:19:7e:e3:cb:

95:cd:6c:b8:47:e2:cf:18:8d:99:f4:11:74:b1:1b:86:92:98:

af:a2:34:f7:1b:15:ee:ea:91:ed:51:17:d0:76:ec:22:4c:56:

da:d6:d1:3c:f2:43:31:4f:1d:20:c8:c2:c3:4d:e5:92:29:ee:

43:c6:d7:72:92:e8:13:87:38:9a:9c:cd:54:38:b2:ad:ba:aa:

f9:a4:68:b5:2a:df:9a:31:2f:42:80:0c:0c:d9:6d:b3:ab:0f:

dd:a0:2c:c0:aa:16:81:aa:d9:33:ca:01:75:94:92:44:05:1a:

65:41:fa:1e:41:b5:8a:cc:2b:09:6e:67:70:c4:ed:b4:bc:28:

04:50:a6:33:65:6d:49:3c:fc:a8:93:88:53:94:4c:af:23:64:

cb:af:e3:02:d1:b6:59:5f:95:52:6d:00:00:a0:cb:75:cf:b4:

50:c5:50:00:65:f4:7d:69:cc:2d:68:a4:13:5c:ef:75:aa:8f:

3f:ca:fa:eb:4d:d5:5d:27:db:46:c7:f4:7d:3a:b2:fb:a7:c9:

de:18:9d:c1

# 清楚PKI域aaa中的所有这个词对端文凭的简要信息。

<Sysname> display pki certificate domain aaa peer

Total peer certificates: 1

Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7

Subject Name: CN=sldsslserver

# 清楚PKI域aaa中的一个特定序号的对端文凭的详备信息。

<Sysname> display pki certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7

Certificate:

Data:

Version: 3 (0x2)

Serial Number:

9a:03:37:eb:21:56:ba:1f:54:76:e4:d7:54:a5:a9:f7

Signature Algorithm: sha1WithRSAEncryption

Issuer: C=cn， O=ccc， OU=sec， CN=ssl

Validity

Not Before: Oct 15 01:23:06 2010 GMT

Not After : Jul 26 06:30:54 2012 GMT

Subject: CN=sldsslserver

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

Public-Key: (1024 bit)

Modulus:

00:c2:cf:37:76:93:29:5e:cd:0e:77:48:3a:4d:0f:

a6:28:a4:60:f8:31:56:28:7f:81:e3:17:47:78:98:

68:03:5b:72:f4:57:d3:bf:c5:30:32:0d:58:72:67:

04:06:61:08:3b:e9:ac:53:b9:e7:69:68:1a:23:f2:

97:4c:26:14:c2:b5:d9:34:8b:ee:c1:ef:af:1a:f4:

39:da:c5:ae:ab:56:95:b5:be:0e:c3:46:35:c1:52:

29:9c:b7:46:f2:27:80:2d:a4:65:9a:81:78:53:d4:

ca:d3:f5:f3:92:54:85:b3:ab:55:a5:03:96:2b:19:

8b:a3:4d:b2:17:08:8d:dd:81

Exponent: 65537 (0x10001)

X509v3 extensions:

X509v3 Authority Key Identifier:

keyid:9A:83:29:13:29:D9:62:83:CB:41:D4:75:2E:52:A1:66:38:3C:90:11

X509v3 Key Usage: critical

Digital Signature， Non Repudiation， Key Encipherment， Data Encipherment， Key Agreement

Netscape Cert Type:

SSL Server

X509v3 Subject Alternative Name:

DNS:docm.com

X509v3 Subject Key Identifier:

3C:76:95:9B:DD:C2:7F:5F:98:83:B7:C7:A0:F8:99:1E:4B:D7:2F:26

X509v3 CRL Distribution Points:

Full Name:

URI::447/ssl.crl

Signature Algorithm: sha1WithRSAEncryption

61:2d:79:c7:49:16:e3:be:25:bb:8b:70:37:31:32:e5:d3:e3:

31:2c:2d:c1:f9:bf:50:ad:35:4b:c1:90:8c:65:79:b6:5f:59:

36:24:c7:14:63:44:17:1e:e4:cf:10:69:fc:93:e9:70:53:3c:

85:aa:40:7e:b5:47:75:0f:f0:b2:da:b4:a5:50:dd:06:4a:d5:

17:a5:ca:20:19:2c:e9:78:02:bd:19:77:da:07:1a:42:df:72:

ad:07:7d:e5:16:d6:75:eb:6e:06:58:ee:76:31:63:db:96:a2:

ad:83:b6:bb:ba:4b:79:59:9d:59:6c:77:59:5b:d9:07:33:a8:

f0:a5

表1-4 display pki certificate号召清楚信息描摹表

字段

描摹

Version

文凭版块号

Serial Number

文凭序列号

Signature Algorithm

签名算法

Issuer

文凭颁发者

Validity

文凭灵验期

Subject

文凭所属的实体信息

Subject Public Key Info

文凭所属的实体的公钥信息

X509v3 extensions

X.509版块3花样的文凭推广属性

【有关号召】

· pki domain

· pki retrieve-certificate

1.1.15 display pki certificate renew-status

display pki certificate renew-status号召用来清楚PKI域的文凭续签景色。

【号召】

display pki certificate renew-status [ domain domain-name ]

【视图】

随心视图

【缺省用户变装】

network-admin

network-operator

context-admin

context-operator

【参数】

domain domain-name：指定PKI域的称号，为1～31个字符的字符串，不分歧大小写，弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。若未指定PKI域的称号，则清楚所有这个词PKI域的文凭续签景色。

【例如】

# 清楚所有这个词PKI域的文凭续签景色，其中PKI域domain1的文凭苦求方式建树中未指定reuse-public-key，续签时生成了新的密钥对。

<Sysname> display pki certificate renew-status

Domain name: domain1

Renew time: 03:12:05 2015/12/07

Renew public key:

Key type: RSA

Time when key pair created: 15:40:48 2015/05/12

Key code:

30819F300D06092A864886F70D010101050003818D0030818902818100DAA4AAFEFE04C2C9

667269BB8226E26331E30F41A8FF922C7338208097E84332610632B49F75DABF6D871B80CE

C1BA2B75020077C74745C933E2F390DC0B39D35B88283D700A163BB309B19F8F87216A44AB

FBF6A3D64DEB33E5CEBF2BCF26296778A26A84F4F4C5DBF8B656ACFA62CD96863474899BC1

2DA4C04EF5AE0835090203010001

# 清楚指定PKI域的文凭续签景色。

<Sysname> display pki certificate renew-status domain domain1

Domain name: domain1

Renew time: 03:12:05 2013/12/07

Renew public key:

Key type: RSA

Time when key pair created: 15:40:48 2013/05/12

Key code:

30819F300D06092A864886F70D010101050003818D0030818902818100DAA4AAFEFE04C2C9

667269BB8226E26331E30F41A8FF922C7338208097E84332610632B49F75DABF6D871B80CE

C1BA2B75020077C74745C933E2F390DC0B39D35B88283D700A163BB309B19F8F87216A44AB

FBF6A3D64DEB33E5CEBF2BCF26296778A26A84F4F4C5DBF8B656ACFA62CD96863474899BC1

2DA4C04EF5AE0835090203010001

表1-5 display pki certificate renew-status号召清楚信息描摹表

字段

描摹

Domain name

PKI域名

Renew time

瞻望文凭续签发生的时刻

Renew public key

文凭续签时使用的新密钥对的信息

Key type

密钥对的类型，取值包括： RSA、DSA和ECDSA

Time when key pair created

密钥对的创建技艺和日历

Key code

密钥对的密钥信息

【有关号召】

· certificate request mode

· pki domain

1.1.16 display pki certificate request-status

display pki certificate request-status号召用来清楚文凭的苦求景色。

【号召】

display pki certificate request-status [ domain domain-name ]

【视图】

随心视图

【缺省用户变装】

network-admin

network-operator

context-admin

context-operator

【参数】

domain domain-name：指定文凭场所的PKI域的称号，为1～31个字符的字符串，不分歧大小写，弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

【使用指引】

若不指定PKI域的称号，则清楚所有这个词PKI域的文凭苦求景色。

【例如】

# 清楚PKI域aaa的文凭苦求景色。

<Sysname> display pki certificate request-status domain aaa

Certificate Request Transaction 1

Domain name: aaa

Status: Pending

Key usage: General

Remain polling attempts: 10

Next polling attempt after : 1191 seconds

# 清楚所有这个词PKI域的文凭苦求景色。

<Sysname> display pki certificate request-status

Certificate Request Transaction 1

Domain name: domain1

Status: Pending

Key usage: General

Remain polling attempts: 10

Next polling attempt after : 1191 seconds

Certificate Request Transaction 2

Domain name: domain2

Status: Pending

Key usage: Signature

Remain polling attempts: 10

Next polling attempt after : 188 seconds

表1-6 display pki certificate request号召清楚信息描摹表

字段

描摹

Certificate Request Transaction number

文凭苦求任务的编号，从1运转限定编号

Domain name

PKI域名

Status

文凭苦求景色。当今，仅有一种取值Pending，示意恭候

Key usage

文凭用途，包括以下取值：

· General：示意通用，既不错用于加密也不错用于签名

· Signature：示意用于签名

· Encryption：示意用于加密

Remain polling attempts

剩余的文凭苦求景色的查询次数

Next polling attempt after

现时到下次查询文凭苦求景色的技艺阻隔，单元为秒

【有关号召】

· certificate request polling

· pki domain

· pki retrieve-certificate

1.1.17 display pki crl domain

display pki crl domain号召用来清楚存储在土产货的CRL。

【号召】

display pki crl domain domain-name

【视图】

随心视图

【缺省用户变装】

network-admin

network-operator

context-admin

context-operator

【参数】

domain domain-name：指定CRL场所的PKI域的称号，为1～31个字符的字符串，不分歧大小写，弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

【使用指引】

用户不错通过该号召稽查文凭撤销列表，看所需的文凭是否依然被撤销。

【例如】

# 清楚存储在土产货的CRL。

<Sysname> display pki crl domain aaa

Certificate Revocation List (CRL):

Version 2 (0x1)

Signature Algorithm: sha1WithRSAEncryption

Issuer: /C=cn/O=docm/OU=sec/CN=therootca

Last Update: Apr 28 01:42:13 2011 GMT

Next Update: NONE

CRL extensions:

X509v3 CRL Number:

X509v3 Authority Key Identifier:

keyid:49:25:DB:07:3A:C4:8A:C2:B5:A0:64:A5:F1:54:93:69:14:51:11:EF

Revoked Certificates:

Serial Number: CDE626BF7A44A727B25F9CD81475C004

Revocation Date: Apr 28 01:37:52 2011 GMT

CRL entry extensions:

Invalidity Date:

Apr 28 01:37:49 2011 GMT

Serial Number: FCADFA81E1F56F43D3F2D3EF7EB56DE5

Revocation Date: Apr 28 01:33:28 2011 GMT

CRL entry extensions:

Invalidity Date:

Apr 28 01:33:09 2011 GMT

Signature Algorithm: sha1WithRSAEncryption

57:ac:00:3e:1e:e2:5f:59:62:04:05:9b:c7:61:58:2a:df:a4:

5c:e5:c0:14:af:c8:e7:de:cf:2a:0a:31:7d:32:da:be:cd:6a:

36:b5:83:e8:95:06:bd:b4:c0:36:fe:91:7c:77:d9:00:0f:9e:

99:03:65:9e:0c:9c:16:22:ef:4a:40:ec:59:40:60:53:4a:fc:

8e:47:57:23:e0:75:0a:a4:1c:0e:2f:3d:e0:b2:87:4d:61:8a:

4a:cb:cb:37:af:51:bd:53:78:76:a1:16:3d:0b:89:01:91:61:

52:d0:6f:5c:09:59:15:be:b8:68:65:0c:5d:1b:a1:f8:42:04:

ba:aa

表1-7 display pki crl domain清楚信息描摹表

字段

描摹

Version

CRL版块号

Signature Algorithm

CA签名该CRL接受的签名算法

Issuer

颁发该CRL的CA文凭称号

Last Update

前次更新CRL的技艺

Next Update

下次更新CRL的技艺

CRL extensions

CRL推广属性

X509v3 CRL Number

X509版块3花样的CRL序号

X509v3 Authority Key Identifier

X509版块3花样的签发该CRL的CA的标识符

keyid

公钥标识符

一个CA可能有多个密钥对，该字段用于标识CA用哪个密钥对对该CRL进行签名

Revoked Certificates

取销的文凭信息

Serial Number

被撤销文凭的序列号

Revocation Date

文凭被撤销的日历

CRL entry extensions:

CRL神志推广属性

Signature Algorithm:

签名算法以及签名数据

【有关号召】

· pki retrieve-crl

1.1.18 fqdn

fqdn号召用来建树PKI实体的FQDN。

undo fqdn号召用来复原缺省情况。

【号召】

fqdn fqdn-name-string

undo fqdn

【缺省情况】

未建树PKI实体的FQDN。

【视图】

PKI实体视图

【缺省用户变装】

network-admin

context-admin

【参数】

fqdn-name-string：PKI实体的FQDN，为1～255个字符的字符串，分歧大小写。

【使用指引】

FQDN是实体在采聚会的惟一标识，由一个主机名和一个域名构成，方式为hostname@domainname。

【例如】

# 建树PKI实体en的FQDN为[email protected]。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] fqdn [email protected]

1.1.19 ip

ip号召用来建树PKI实体的IP地址。

undo ip号召用来复原缺省情况。

【号召】

ip { ip-address | interface interface-type interface-number }

undo ip

【缺省情况】

未建树PKI实体的IP地址。

【视图】

PKI实体视图

【缺省用户变装】

network-admin

context-admin

【参数】

ip-address：指定PKI实体的IP地址。

interface interface-type interface-numbe：指定接口的主IP地址行为PKI实体的IP地址。interface-type interface-number示意接口类型及接口编号。

【使用指引】

通过本号召，不错径直指定PKI实体的IP地址，也不错指定招引上某接口的主IP地址行为PKI实体的IP地址。淌若指定使用某接口的IP地址，则不要求本建树实行时该接口上依然建树了IP地址，只消招引苦求文凭时，该接口上建树了IP地址，就不错径直使用该地址行为PKI实体身份的一部分。

【例如】

# 建树PKI实体en的IP地址为192.168.0.2。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] ip 192.168.0.2

1.1.20 ldap-server

ldap-server号召用来指定LDAP劳动器。

undo ldap-server号召用来复原缺省情况。

【号召】

ldap-server host hostname [ port port-number ] [ vpn-instance vpn-instance-name ]

undo ldap-server

【缺省情况】

未指定LDAP劳动器。

【视图】

PKI域视图

【缺省用户变装】

network-admin

context-admin

【参数】

host hostname：LDAP劳动器的主机名，为1～255个字符的字符串，分歧大小写，撑合手IPv4与IPv6地址的示意方法以及DNS域名的示意方法。

port port-number：LDAP劳动器的端标语，取值范畴为1～65535，缺省值为389。

vpn-instance vpn-instance-name：指定LDAP劳动器所属的VPN。vpn-instance-name示意VPN实例称号，为1～31个字符的字符串，分歧大小写。若未指定本参数，则示意该LDAP劳动器属于公网。

【使用指引】

以下两种情况下，需要建树LDAP劳动器：

· 通过LDAP条约获取土产货文凭或对端文凭时，需要指定LDAP劳动器。

· 通过LDAP条约获取CRL时，若PKI域中建树的LDAP花样的CRL发布点URL中未佩戴主机名，则需要凭证此处建树的LDAP劳动器地址来得到齐备的LDAP发布点URL。

在一个PKI域中，只可指定一个LDAP劳动器，屡次实行本号召，临了一次实行的号召成效。

【例如】

# 指定LDAP劳动器的IP地址为10.0.0.1。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] ldap-server host 10.0.0.1

# 指定LDAP劳动器，IP地址为10.0.0.11，端标语为333，场所的VPN的实例称号为vpn1。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] ldap-server host 10.0.0.11 port 333 vpn-instance vpn1

【有关号召】

· pki retrieve-certificate

· pki retrieve-crl

1.1.21 locality

locality号召用来建树PKI实体场所的地舆区域称号，比如城市称号。

undo locality号召用来复原缺省情况。

【号召】

locality locality-name

undo locality

【缺省情况】

未建树PKI实体场所的地舆区域称号。

【视图】

PKI实体视图

【缺省用户变装】

network-admin

context-admin

【参数】

locality-name：PKI实体场所的地舆区域的称号，为1～63个字符的字符串，分歧大小写，弗成包含逗号。

【例如】

# 建树PKI实体en场所地舆区域的称号为pukras。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] locality pukras

1.1.22 organization

organization号召用来建树PKI实体所属组织的称号。

undo organization号召用来复原缺省情况。

【号召】

organization org-name

undo organization

【缺省情况】

未建树PKI实体所属组织称号。

【视图】

PKI实体视图

【缺省用户变装】

network-admin

context-admin

【参数】

org-name：PKI实体所属的组织称号，为1～63个字符的字符串，分歧大小写，弗成包含逗号。

【例如】

# 建树PKI实体en所属的组织称号为abc。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] organization abc

1.1.23 organization-unit

organization-unit号召用来指定实体所属的组织部门的称号。

undo organization-unit号召用来复原缺省情况。

【号召】

organization-unit org-unit-name

undo organization-unit

【缺省情况】

未建树PKI实体所属组织部门的称号。

【视图】

PKI实体视图

【缺省用户变装】

network-admin

context-admin

【参数】

org-unit-name：PKI实体所属组织部门的称号，为1～63个字符的字符串，分歧大小写，弗成包含逗号。使用该参数可在磨灭个组织内分歧不同部门的PKI实体。

【例如】

# 建树PKI实体en所属组织部门的称号为rdtest。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] organization-unit rdtest

1.1.24 pki abort-certificate-request

pki abort-certificate-request号召用来住手文凭苦求经由。

【号召】

pki abort-certificate-request domain domain-name

【视图】

系统视图

【缺省用户变装】

network-admin

context-admin

【参数】

【使用指引】

用户在文凭苦求时，可能由于某种原因需要转变文凭苦求的一些参数，比如通用名、国度代码、FQDN等，而此时文凭苦求正在运行，为了新的苦求不与之前的苦求发生冲破，忽视先住手之前的苦求门径，再进行新的苦求。

【例如】

# 住手文凭苦求经由。

<Sysname> system-view

[Sysname] pki abort-certificate- request domain 1

The certificate request is in process.

Confirm to abort it? [Y/N]:y

【有关号召】

· display pki certificate request-status

· pki request-certificate domain

1.1.25 pki certificate access-control-policy

pki certificate access-control-policy号召用来创建文凭看望贬抑计谋，并插足文凭看望贬抑计谋视图。淌若指定的文凭看望贬抑计谋已存在，则径直插足其视图。

undo pki certificate access-control-policy号召用来删除指定的文凭看望贬抑计谋。

【号召】

pki certificate access-control-policy policy-name

undo pki certificate access-control-policy policy-name

【缺省情况】

不存在文凭看望贬抑计谋。

【视图】

系统视图

【缺省用户变装】

network-admin

context-admin

【参数】

policy-name：示意文凭看望贬抑计谋称号，为1～31个字符的字符串，不分歧大小写。

【使用指引】

一个文凭看望贬抑计谋中不错界说多个文凭属性的看望贬抑章程。

【例如】

# 建树一个称号为mypolicy的文凭看望贬抑计谋，并插足文凭看望贬抑计谋视图。

<Sysname> system-view

[Sysname] pki certificate access-control-policy mypolicy

[Sysname-pki-cert-acp-mypolicy]

【有关号召】

· display pki certificate access-control-policy

· rule

1.1.26 pki certificate attribute-group

pki certificate attribute-group号召用来创建文凭属性组并插足文凭属性组视图。淌若指定的文凭属性组已存在，则径直插足其视图。

undo pki certificate attribute-group号召用来删除指定的文凭属性组。

【号召】

pki certificate attribute-group group-name

undo pki certificate attribute-group group-name

【缺省情况】

不存在文凭属性组。

【视图】

系统视图

【缺省用户变装】

network-admin

context-admin

【参数】

group-name：文凭属性组称号，为1～31个字符的字符串，不分歧大小写。

【使用指引】

一个文凭属性组便是一系列文凭属性章程（通过attribute号召建树）的集中，这些属性章程界说了对文凭的颁发者名、主落款以及备用主落款进行过滤的匹配条款。当文凭属性组下莫得任何属性章程时，则合计对文凭的属性莫得任何限制。

【例如】

# 创建一个名为mygroup的文凭属性组，并插足文凭属性组视图。

<Sysname> system-view

[Sysname] pki certificate attribute-group mygroup

[Sysname-pki-cert-attribute-group-mygroup]

【有关号召】

· attribute

· display pki certificate attribute-group

· rule

1.1.27 pki delete-certificate

pki delete-certificate号召用来删除PKI域中的文凭。

【号召】

pki delete-certificate domain domain-name { ca | local | peer [ serial serial-num ] }

【视图】

系统视图

【缺省用户变装】

network-admin

context-admin

【参数】

domain domain-name：文凭场所的PKI域的称号，为1～31个字符的字符串，不分歧大小写，弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

ca：示意删除CA文凭。

local：示意删除土产货文凭。

peer：示意删除对端文凭。

serial serial-num：示意通过指定序列号删除一个指定的对端文凭。serial-num为对端文凭的序列号，为1～127个字符的字符串，不分歧大小写。在每个CA签发的文凭范畴内，序列号不错惟一标识一个文凭。淌若不指定本参数，则示意删除本PKI域中的所有这个词对端文凭。

【使用指引】

删除CA文凭时将同期删除场所PKI域中的土产货文凭和所有这个词对端文凭，以及CRL。

淌若需要删除指定的对端文凭，则需要最初通过display pki certificate号召稽查本域中已有的对端文凭的序列号，然后再通过指定序列号的方式删除该对端文凭。

【例如】

# 删除PKI域aaa中的CA文凭。

<Sysname> system-view

[Sysname] pki delete-certificate domain aaa ca

Local certificates， peer certificates and CRL will also be deleted while deleting the CA certificate.

Confirm to delete the CA certificate? [Y/N]:y

[Sysname]

# 删除PKI域aaa中的土产货文凭。

<Sysname> system-view

[Sysname] pki delete-certificate domain aaa local

[Sysname]

# 删除PKI域aaa中的所有这个词对端文凭。

<Sysname> system-view

[Sysname] pki delete-certificate domain aaa peer

[Sysname]

# 最初稽查PKI域aaa中的对端文凭，然后通过指定序列号的方式删除对端文凭。

<Sysname> system-view

[Sysname] display pki certificate domain aaa peer

Total peer certificates: 1

Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7

Subject Name: CN=abc

[Sysname] pki delete-certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7

【有关号召】

· display pki certificate

1.1.28 pki domain

pki domain号召用来创建PKI域，并插足PKI域视图。淌若指定的PKI域已存在，则径直插足PKI域视图。

undo pki domain号召用来删除指定的PKI域。

【号召】

pki domain domain-name

undo pki domain domain-name

【缺省情况】

不存在PKI域。

【视图】

系统视图

【缺省用户变装】

network-admin

context-admin

【参数】

domain-name：PKI域名，为1～31个字符的字符串，不分歧大小写，弗成包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

【使用指引】

删除PKI域的同期，会将该域有关的文凭和CRL齐删裁撤，因此请选藏操作。

【例如】

# 创建PKI域aaa并插足PKI域视图。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa]

1.1.29 pki entity

pki entity号召用来创建PKI实体，并插足PKI实体视图。淌若指定的PKI实体已存在，则径直插足PKI实体视图。

undo pki entity号召用来删除指定的PKI实体。

【号召】

pki entity entity-name

undo pki entity entity-name

【缺省情况】

不存在PKI实体。

【视图】

系统视图

【缺省用户变装】

network-admin

context-admin

【参数】

entity-name：PKI实体的称号，为1～31个字符的字符串，不分歧大小写。

【使用指引】

在PKI实体视图下可建树PKI实体的各式属性（通用名、组织部门、组织、地舆区域、省、国度、FQDN、IP），这些属性用于描摹PKI实体的身份信息。当苦求文凭时，PKI实体的信息将行为文凭中主题（Subjuct）部分的内容。

【例如】

# 创建称号为en的PKI实体，并插足该实体视图。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en]

【有关号召】

· pki domain

1.1.30 pki export

pki export号召用来将PKI域中的CA文凭、土产货文凭导出到文献中或末端上。

【号召】

pki export domain domain-name der { all | ca | local } filename filename

pki export domain domain-name p12 { all | local } passphrase p12-key filename filename

pki export domain domain-name pem { { all | local } [ { 3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc } pem-key ] | ca } [ filename filename ]

【视图】

系统视图

【缺省用户变装】

network-admin

context-admin

【参数】

der：指定文凭文献花样为DER编码（包括PKCS#7花样的文凭）。

p12：指定文凭文献花样为PKCS#12编码。

pem：指定文凭文献花样为PEM编码。

all：示意导出所有这个词文凭，包括PKI域中所有这个词的CA文凭和土产货文凭，但不包括RA文凭。

ca：示意导出CA文凭。

local：示意导出土产货文凭或者土产货文凭和其对应私钥。

passphrase p12-key：指定对PKCS12编码花样的土产货文凭对应的私钥进行加密所接受的口令。

3des-cbc：对土产货文凭对应的私钥数据接受3DES_CBC算法进行加密。

aes-128-cbc：对土产货文凭对应的私钥数据接受128位AES_CBC算法进行加密。

aes-192-cbc：对土产货文凭对应的私钥数据接受192位AES_CBC算法进行加密。

aes-256-cbc：对土产货文凭对应的私钥数据接受256位AES_CBC算法进行加密。

des-cbc：对土产货文凭对应的私钥数据接受DES_CBC算法进行加密。

pem-key：指定对PEM编码花样的土产货文凭对应的私钥进行加密所接受的口令。

filename filename：指定保存文凭的文献名，不分歧大小写。淌若不指定本参数，则示意要将文凭径直导出到末端上清楚，这种方式仅PEM编码花样的文凭才撑合手。

【使用指引】

导出CA文凭时，淌若PKI域中只好一个CA文凭则导出单个CA文凭到用户指定的一个文献或末端，淌若是一个CA文凭链则导出所有这个词这个词CA文凭链到用户指定的一个文献或末端。

导出土产货文凭时，招引上骨子保存文凭的文凭文献称号并不一定是用户指定的称号，它与土产货文凭的密钥对用途有关，具体的定名章程如下（假定用户指定的文献名为filename）：

· 淌若土产货文凭的密钥对用途为签名，则文凭文献称号为filename-signature；

· 淌若土产货文凭的密钥对用途为加密，则文凭文献称号为filename-encryption；

· 淌若土产货文凭的密钥对用途为通用（RSA/ECDSA/DSA），则文凭文献称号为用户输入的filename。

导出土产货文凭时，淌若PKI域中有两个土产货文凭，则导出成果如下：

· 若指定文献名，则将每个土产货文凭分别导出到一个单独的文献中；

· 若不指定文献名，则将所有这个词土产货文凭一次性一齐导出到末端上，并由不同的提醒信息进行分割清楚。

导出所有这个词文凭时，淌若PKI域中只好土产货文凭或者只好CA文凭，则导出成果与单独导出同样。淌若PKI域中存在土产货文凭和CA文凭，则具体导出成果如下：

· 若指定文献名，则将每个土产货文凭分别导出到一个单独的文献，该土产货文凭对应的齐备CA文凭链也会同期导出到该文献中。

· 若不指定文献名，则将所有这个词的土产货文凭及域中的CA文凭或者CA文凭链一次性一齐导出到末端上，并由不同的提醒信息进行分割清楚。

以PKCS12花样导出所有这个词文凭时，PKI域中必须有土产货文凭，不然会导出失败。

以PEM花样导出土产货文凭或者所有这个词文凭时，若不指定私钥的加密算法和私钥加密口令，则不会导出土产货文凭对应的私钥信息。

以PEM花样导出土产货文凭或者所有这个词文凭时，若指定私钥加密算法和私钥加密口令，且此时土产货文凭有匹配的私钥，则同期导出土产货文凭的私钥信息；淌若此时土产货文凭莫得匹配的私钥，则导出该土产货文凭失败。

导出土产货文凭时，若现时PKI域中的密钥对建树已被修改，导致土产货文凭的公钥与该密钥对的公钥部分不匹配，则导出该土产货文凭失败。

导出土产货文凭或者所有这个词文凭时，淌若PKI域中有两个土产货文凭，则导出某种密钥用途的土产货文凭失败并不会影响导出另外一个土产货文凭。

指定的文献名中不错带齐备旅途，当系统中不存在用户所指定旅途时，则会导出失败。

【例如】

# 导出PKI域中的CA文凭到DER编码的文献，文献称号为cert-ca.der。

<Sysname> system-view

[Sysname] pki export domain domain1 der ca filename cert-ca.der

# 导出PKI域中的土产货文凭到DER编码的文献，文献称号为cert-lo.der。

<Sysname> system-view

[Sysname] pki export domain domain1 der local filename cert-lo.der

# 导出PKI域中的所有这个词文凭到DER编码的文献，文献称号为cert-all.p7b。

<Sysname> system-view

[Sysname] pki export domain domain1 der all filename cert-all.p7b

# 导出PKI域中的CA文凭到PEM编码的文献，文献称号为cacert。

<Sysname> system-view

[Sysname] pki export domain domain1 pem ca filename cacert

# 导出PKI域中的土产货文凭过甚对应的私钥到PEM编码的文献，指定保护私钥信息的加密算法为DES_CBC、加密口令为111，文献称号为local.pem。

<Sysname> system-view

[Sysname] pki export domain domain1 pem local des-cbc 111 filename local.pem

# 导出PKI域中所有这个词文凭到PEM编码的文献，不指定加密算法和加密口令，不导出土产货文凭对应的私钥信息，文献称号为all.pem。

<Sysname> system-view

[Sysname] pki export domain domain1 pem all filename all.pem

# 以PEM花样导出PKI域中土产货文凭过甚对应的私钥到末端，指定保护私钥信息的加密算法为DES_CBC、加密口令为111。

<Sysname> system-view

[Sysname] pki export domain domain1 pem local des-cbc 111

%The signature usage local certificate:

Bag Attributes

friendlyName:

localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D

subject=/C=CN/O=OpenCA Labs/OU=Users/CN=chktest chktest

香蕉在线精品视频在线

issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd

-----BEGIN CERTIFICATE-----

MIIEqjCCA5KgAwIBAgILAOhID4rI04kBfYgwDQYJKoZIhvcNAQELBQAwRTELMAkG

A1UEBhMCQ04xFDASBgNVBAoMC09wZW5DQSBMYWJzMREwDwYDVQQLDAhzb2Z0d2Fy

ZTENMAsGA1UEAwwEYWJjZDAeFw0xMTA0MjYxMzMxMjlaFw0xMjA0MjUxMzMxMjla

ME0xCzAJBgNVBAYTAkNOMRQwEgYDVQQKDAtPcGVuQ0EgTGFiczEOMAwGA1UECwwF

VXNlcnMxGDAWBgNVBAMMD2Noa3Rlc3QgY2hrdGVzdDCBnzANBgkqhkiG9w0BAQEF

AAOBjQAwgYkCgYEA54rUZ0Ux2kApceE4ATpQ437CU6ovuHS5eJKZyky8fhMoTHhE

jE2KfBQIzOZSgo2mdgpkccjr9Ek6IUC03ed1lPn0IG/YaAl4Tjgkiv+w1NrlSvAy

cnPaSUko2QbO9sg3ycye1zqpbbqj775ulGpcXyXYD9OY63/Cp5+DRQ92zGsCAwEA

AaOCAhUwggIRMAkGA1UdEwQCMAAwUAYDVR0gBEkwRzAGBgQqAwMEMAYGBCoDAwUw

NQYEKgMDBjAtMCsGCCsGAQUFBwIBFh9odHRwczovL3RpdGFuL3BraS9wdWIvY3Bz

L2Jhc2ljMBEGCWCGSAGG+EIBAQQEAwIFoDALBgNVHQ8EBAMCBsAwKQYDVR0lBCIw

IAYIKwYBBQUHAwIGCCsGAQUFBwMEBgorBgEEAYI3FAICMC4GCWCGSAGG+EIBDQQh

Fh9Vc2VyIENlcnRpZmljYXRlIG9mIE9wZW5DQSBMYWJzMB0GA1UdDgQWBBTPw8FY

ut7Xr2Ct/23zU/ybgU9dQjAfBgNVHSMEGDAWgBQzEQ58yIC54wxodp6JzZvn/gx0

CDAaBgNVHREEEzARgQ9jaGt0ZXN0QGgzYy5jb20wGQYDVR0SBBIwEIEOcGtpQG9w

ZW5jYS5vcmcwgYEGCCsGAQUFBwEBBHUwczAyBggrBgEFBQcwAoYmaHR0cDovL3Rp

dGFuL3BraS9wdWIvY2FjZXJ0L2NhY2VydC5jcnQwHgYIKwYBBQUHMAGGEmh0dHA6

Ly90aXRhbjoyNTYwLzAdBggrBgEFBQcwDIYRaHR0cDovL3RpdGFuOjgzMC8wPAYD

VR0fBDUwMzAxoC+gLYYraHR0cDovLzE5Mi4xNjguNDAuMTI4L3BraS9wdWIvY3Js

L2NhY3JsLmNybDANBgkqhkiG9w0BAQsFAAOCAQEAGcMeSpBJiuRmsJW0iZK5nygB

tgD8c0b+n4v/F36sJjY1fRFSr4gPLIxZhPWhTrqsCd+QMELRCDNHDxvt3/1NEG12

X6BVjLcKXKH/EQe0fnwK+7PegAJ15P56xDeACHz2oysvNQ0Ot6hGylMqaZ8pKUKv

UDS8c+HgIBrhmxvXztI08N1imYHq27Wy9j6NpSS60mMFmI5whzCWfTSHzqlT2DNd

no0id18SZidApfCZL8zoMWEFI163JZSarv+H5Kbb063dxXfbsqX9Noxggh0gD8dK

7X7/rTJuuhTWVof5gxSUJp+aCCdvSKg0lvJY+tJeXoaznrINVw3SuXJ+Ax8GEw==

-----END CERTIFICATE-----

Bag Attributes

friendlyName:

localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D

Key Attributes: <No Attributes>

-----BEGIN ENCRYPTED PRIVATE KEY-----

MIICwzA9BgkqhkiG9w0BBQ0wMDAbBgkqhkiG9w0BBQwwDgQIAbfcE+KoYYoCAggA

MBEGBSsOAwIHBAjB+UsJM07JRQSCAoABqtASbjGTQbdxL3n4wNHmyWLxbvL9v27C

Uu6MjYJDCipVzxHU0rExgn+6cQsK5uK99FPBmy4q9/nnyrooTX8BVlXAjenvgyii

WQLwnIg1IuM8j2aPkQ3wbae1+0RACjSLy1u/PCl5sp6CDxI0b9xz6cxIGxKvUOCc

/gxdgk97XZSW/0qnOSZkhgeqBZuxq6Va8iRyho7RCStVxQaeiAZpq/WoZbcS5CKI

/WXEBQd4AX2UxN0Ld/On7Wc6KFToixROTxWTtf8SEsKGPDfrEKq3fSTW1xokB8nM

bkRtU+fUiY27V/mr1RHO6+yEr+/wGGClBy5YDoD4I9xPkGUkmqx+kfYbMo4yxkSi

JdL+X3uEjHnQ/rvnPSKBEU/URwXHxMX9CdCTSqh/SajnrGuB/E4JhOEnS/H9dIM+

DN6iz1IwPFklbcK9KMGwV1bosymXmuEbYCYmSmhZb5FnR/RIyE804Jz9ifin3g0Q

ZrykfG7LHL7Ga4nh0hpEeEDiHGEMcQU+g0EtfpOLTI8cMJf7kdNWDnI0AYCvBAAM

3CY3BElDVjJq3ioyHSJca8C+3lzcueuAF+lO7Y4Zluq3dqWeuJjE+/1BZJbMmaQA

X6NmXKNzmtTPcMtojf+n3+uju0le0d0QYXQz/wPsV+9IYRYasjzoXE5dhZ5sIPOd

u9x9hhp5Ns23bwyNP135qTNjx9i/CZMKvLKywm3Yg+Bgg8Df4bBrFrsH1U0ifmmp

ir2+OuhlC+GbHOxWNeBCa8iAq91k6FGFJ0OLA2oIvhCnh45tM7BjjKTHk+RZdMiA

0TKSWuOyihrwxdUEWh999GKUpkwDHLZJFd21z/kWspqThodEx8ea

-----END ENCRYPTED PRIVATE KEY-----

# 以PEM花样导出PKI域中所有这个词文凭到末端，指定保护土产货文凭对应私钥的加密算法为DES_CBC、加密口令为111。

<Sysname> system-view

[Sysname] pki export domain domain1 pem all des-cbc 111