11-PKI命令
本章节下载: 11-PKI命令 (397.46 KB)
目 录
1.1.2 certificate request entity
1.1.3 certificate request from
1.1.4 certificate request mode
1.1.5 certificate request polling
1.1.11 display pki certificate domain
1.1.12 display pki certificate request-status
1.1.20 pki abort-certificate-request
1.1.26 pki request-certificate
1.1.27 pki retrieve-certificate
1.1.30 pki validate-certificate
1.1.34 root-certificate fingerprint
设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
ca identifier命令用来指定设备信任的CA名称。
undo ca identifier命令用来恢复缺省情况。
【命令】
ca identifier name
undo ca identifier
【缺省情况】
未指定设备信任的CA。
【视图】
PKI域视图
【缺省用户角色】
network-admin
【参数】
name:设备信任的CA名称,为1~63个字符的字符串,区分大小写。
【使用指导】
获取CA证书时,必须指定信任的CA名称,这个名称会被作为SCEP消息的一部分发送给CA服务器。但是一般情况下,CA服务器会忽略收到的SCEP消息中的CA名称的具体内容。但是如果在同一台服务器上配置了两个CA,且它们的URL是相同的,则服务器将根据SCEP消息中的CA名称选择对应的CA。因此,使用此命令指定的CA名称必须与希望获取的CA证书对应的CA名称一致。
【举例】
# 指定设备信任的CA名称为new-ca。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] ca identifier new-ca
certificate request entity命令用来指定用于申请证书的PKI实体名称。
undo certificate request entity命令用来恢复缺省情况。
【命令】
certificate request entity entity-name
undo certificate request entity
【缺省情况】
未指定设备申请证书所使用的PKI实体名称。
【视图】
PKI域视图
【缺省用户角色】
network-admin
【参数】
entity-name:用于申请证书的PKI实体名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
本命令用于在PKI域中指定申请证书的PKI实体。PKI实体描述了申请证书的实体的各种属性(通用名、组织部门、组织、地理区域、省、国家、FQDN、IP),这些属性用于描述PKI实体的身份信息。
一个PKI域中只能指定一个PKI实体名称,多次执行本命令,最后一次执行的命令生效。
【举例】
# 指定申请证书的PKI实体名称为en1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request entity en1
【相关命令】
· pki entity
certificate request from命令用来配置证书申请的注册受理机构。
undo certificate request from命令用来恢复缺省情况。
【命令】
certificate request from { ca | ra }
undo certificate request from
【缺省情况】
未指定证书申请的注册受理机构。
【视图】
PKI域视图
【缺省用户角色】
network-admin
【参数】
ca:表示实体从CA申请证书。
ra:表示实体从RA申请证书。
【使用指导】
选择从CA还是RA申请证书,由CA服务器决定,需要了解CA服务器上由什么机构来受理证书申请。
推荐使用独立运行的RA作为注册受理机构。
【举例】
# 指定实体从RA申请证书。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request from ra
certificate request mode命令用来配置证书申请方式。
undo certificate request mode命令用来恢复缺省情况。
【命令】
certificate request mode { auto [ password { cipher | simple } string ] | manual }
undo certificate request mode
【缺省情况】
证书申请方式为手工方式。
【视图】
PKI域视图
【缺省用户角色】
network-admin
【参数】
auto:表示用自动方式申请证书。
password:指定吊销证书时使用的密码。
cipher:以密文方式设置密码。
simple:以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~31个字符的字符串,密文密码为1~73个字符的字符串。
manual:表示用手工方式申请证书。
【使用指导】
两种申请方式都属于在线申请,具体情况如下:
· 如果是自动方式,则设备会在与PKI域关联的应用(例如IKE)需要做身份认证时,自动向证书注册机构发起获取CA证书和申请本地证书的操作。自动方式下,可以指定吊销证书时使用的密码,是否需要指定密码是由CA服务器的策略决定的。
· 如果为手工方式,则需要手工完成获取CA证书、申请本地证书的操作。
【举例】
# 指定证书申请方式为自动方式。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request mode auto
# 指定证书申请方式为自动方式,并设置吊销证书时使用的密码为明文123456。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request mode auto password simple 123456
【相关命令】
· pki request-certificate
certificate request polling命令用来配置证书申请状态的查询周期和最大次数。
undo certificate request polling命令用来恢复缺省情况。
【命令】
certificate request polling { count count | interval interval }
undo certificate request polling { count | interval }
【缺省情况】
证书申请状态的查询周期为20分钟,最多查询50次。
【视图】
PKI域视图
【缺省用户角色】
network-admin
【参数】
count count:表示证书申请状态的查询次数,取值范围为1~100。
interval interval:表示证书申请状态的查询周期,取值范围为5~168,单位为分钟。
【使用指导】
设备发送证书申请后,如果CA服务器采用手工方式来签发证书申请,则不会立刻响应设备的申请。这种情况下,设备通过定期向CA服务器发送状态查询消息,能够及时获取到被CA签发的证书。CA签发证书后,设备将通过发送状态查询得到证书,之后停止发送状态查询消息。如果达到最大查询次数时,CA服务器仍未签发证书,则设备停止发送状态查询消息,本次证书申请失败。
如果CA服务器采用自动签发证书的方式,则设备可以立刻得到证书,这种情况下设备不会向CA服务器发送状态查询消息。
【举例】
# 指定证书申请状态的查询周期为15分钟,最多查询40次。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request polling interval 15
[Sysname-pki-domain-aaa] certificate request polling count 40
【相关命令】
· display pki certificate request-status
certificate request url命令用来配置实体通过SCEP进行证书申请的注册受理机构服务器的URL。
undo certificate request url命令用来恢复缺省情况。
【命令】
certificate request url url-string [ vpn-instance vpn-instance-name ]
undo certificate request url
【缺省情况】
未指定注册受理机构服务器的URL。
【视图】
PKI域视图
【缺省用户角色】
network-admin
【参数】
url-string:表示证书申请的注册受理机构服务器的URL,为1~511个字符的字符串,区分大小写。实际可输入的URL长度受命令行允许输入的最大字符数限制。
vpn-instance vpn-instance-name:指定注册受理机构服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该注册受理机构服务器属于公网。
【使用指导】
本命令配置的URL内容包括注册受理机构服务器的位置及CGI命令接口脚本位置,格式为http://server_location/cgi_script_location。
【举例】
# 指定实体进行证书申请的注册受理机构服务器的URL为http://169.254.0.1/certsrv/mscep/mscep.dll。
<Sysname> system-view
[Sysname] pki domain a
[Sysname-pki-domain-a] certificate request url http://169.254.0.1/certsrv/mscep/mscep.dll
# 指定实体向VPN中的注册受理机构服务器申请证书,该服务器的URL为http://mytest.net/certsrv/mscep/mscep.dll,所在的MPLS L3VPN的实例名称为vpn1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] certificate request url http://mytest.net /certsrv/mscep/mscep.dll vpn-instance vpn1
common-name命令用来配置PKI实体的通用名,比如用户名称。
undo common-name命令用来恢复缺省情况。
【命令】
common-name common-name-sting
undo common-name
【缺省情况】
未配置PKI实体的通用名。
【视图】
PKI实体视图
【缺省用户角色】
network-admin
【参数】
common-name-sting:PKI实体的通用名,为1~63个字符的字符串,区分大小写,不能包含逗号。
【举例】
# 配置PKI实体en的通用名为test。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] common-name test
country命令用来配置PKI实体所属的国家代码。
undo country命令用来恢复缺省情况。
【命令】
country country-code-string
undo country
【缺省情况】
未配置PKI实体所属的国家代码。
【视图】
PKI实体视图
【缺省用户角色】
network-admin
【参数】
country-code-string:PKI实体所属的国家代码,为标准的两字符代码,区分大小写,例如中国为CN。
【举例】
# 配置PKI实体en所属的国家代码为CN。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] country CN
crl check enable命令用来开启CRL检查。
undo crl check enable命令用来关闭CRL检查。
【命令】
crl check enable
undo crl check enable
【缺省情况】
CRL检查处于开启状态。
【视图】
PKI域视图
【缺省用户角色】
network-admin
【使用指导】
CRL(Certificate Revocation List,证书废除列表)是一个由CA签发的文件,该文件中包含被该CA吊销的所有证书的列表。一个证书有可能在有效期达到之前被CA吊销。使能CRL检查的目的是查看设备上的实体证书或者即将要导入、获取到设备上的实体证书是否已经被CA吊销,若检查结果表明实体证书已被吊销,那么该证书就不被设备信任。
【举例】
# 禁止CRL检查。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] undo crl check enable
【相关命令】
· pki import
· pki retrieve-certificate
· pki validate-certificate
crl url命令用来设置CRL发布点的URL。
undo crl url命令用来恢复缺省情况。
【命令】
crl url url-string [ vpn-instance vpn-instance-name ]
undo crl url
【缺省情况】
未设置CRL发布点的URL。
【视图】
PKI域视图
【缺省用户角色】
network-admin
【参数】
url-string:表示CRL发布点的URL,为1~511个字符的字符串,区分大小写。格式为ldap://server_location或http://server_location。实际可输入的URL长度受命令行允许输入的最大字符数限制。
vpn-instance vpn-instance-name:指定CRL发布点所属的VPN实例。vpn-instance-name表示MPLS L3VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该CRL发布点属于公网。
【使用指导】
如果CRL检查处于使能状态,则进行CRL检查之前,需要首先从PKI域指定的CRL发布点获取CRL。若PKI域中未配置CRL发布点的URL时,从该待验证的证书中获取发布点信息:优先获取待验证的证书中记录的发布点,如果待验证的证书中没有记录发布点,则获取CA证书中记录的发布点(若待验证的证书为CA证书,则获取上一级CA证书中记录的发布点)。如果无法通过任何途径得到发布点,则通过SCEP协议获取CRL。
若配置了LDAP格式的CRL发布点URL,则表示要通过LDAP协议获取CRL。若该URL中未携带主机名,则需要根据PKI域中配置的LDAP服务器地址信息来得到完整的LDAP发布点URL。
【举例】
# 指定CRL发布点的URL为http://169.254.0.30。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] crl url http://169.254.0.30
# 指定CRL发布点的URL为ldap://169.254.0.30,所在的MPLS L3VPN的实例名称为vpn1。
<Sysname> system-view
[Sysname] pki domain 1
[Sysname-pki-domain-1] crl url ldap://169.254.0.30 vpn-instance vpn1
· ldap-server
· pki retrieve-crl
display pki certificate domain命令用来显示证书的内容。
【命令】
display pki certificate domain domain-name { ca | local | peer [ serial serial-num ] }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
domain-name:显示指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:显示CA证书。
local:显示本地证书。
peer:显示对端证书。
serial serial-num:指定要显示的对端证书的序列号。
【使用指导】
显示CA证书时,会显示此PKI域中所有CA证书的详细信息,若PKI域中存在RA证书,则同时显示RA证书的详细信息。
显示本地证书时,会显示此PKI域中所有本地证书的详细信息。
显示对端证书时,如果不指定序列号,将显示所有对端证书的简要信息;如果指定序列号,将显示该序号对应的指定对端证书的详细信息。
【举例】
# 显示PKI域aaa中的CA证书。
<Sysname> display pki certificate domain aaa ca
Certificate:
Data:
Version: 1 (0x0)
Serial Number:
5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=cn, O=docm, OU=rnd, CN=rootca
Validity
Not Before: Jan 6 02:51:41 2011 GMT
Not After : Dec 7 03:12:05 2013 GMT
Subject: C=cn, O=ccc, OU=ppp, CN=rootca
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c4:fd:97:2c:51:36:df:4c:ea:e8:c8:70:66:f0:
28:98:ec:5a:ee:d7:35:af:86:c4:49:76:6e:dd:40:
4a:9e:8d:c0:cb:d9:10:9b:61:eb:0c:e0:22:ce:f6:
57:7c:bb:bb:1b:1d:b6:81:ad:90:77:3d:25:21:e6:
7e:11:0a:d8:1d:3c:8e:a4:17:1e:8c:38:da:97:f6:
6d:be:09:e3:5f:21:c5:a0:6f:27:4b:e3:fb:9f:cd:
c1:91:18:ff:16:ee:d8:cf:8c:e3:4c:a3:1b:08:5d:
84:7e:11:32:5f:1a:f8:35:25:c0:7e:10:bd:aa:0f:
52:db:7b:cd:5d:2b:66:5a:fb
Exponent: 65537 (0x10001)
Signature Algorithm: sha1WithRSAEncryption
6d:b1:4e:d7:ef:bb:1d:67:53:67:d0:8f:7c:96:1d:2a:03:98:
3b:48:41:08:a4:8f:a9:c1:98:e3:ac:7d:05:54:7c:34:d5:ee:
09:5a:11:e3:c8:7a:ab:3b:27:d7:62:a7:bb:bc:7e:12:5e:9e:
4c:1c:4a:9f:d7:89:ca:20:46:de:c5:b3:ce:36:ca:5e:6e:dc:
e7:c6:fe:3f:c5:38:dd:d5:a3:36:ad:f4:3d:e6:32:7f:48:df:
07:f0:a2:32:89:86:72:22:cd:ed:e5:0f:95:df:9c:75:71:e7:
fe:34:c5:a0:64:1c:f0:5c:e4:8f:d3:00:bd:fa:90:b6:64:d8:
88:a6
# 显示PKI域aaa中的本地证书。
<Sysname> display pki certificate domain aaa local
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
bc:05:70:1f:0e:da:0d:10:16:1e
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=CN, O=sec, OU=software, CN=abdfdc
Validity
Not Before: Jan 7 20:05:44 2011 GMT
Not After : Jan 7 20:05:44 2012 GMT
Subject: O=OpenCA Labs, OU=Users, CN=fips fips-sec
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:b2:38:ad:8c:7d:78:38:37:88:ce:cc:97:17:39:
52:e1:99:b3:de:73:8b:ad:a8:04:f9:a1:f9:0d:67:
d8:95:e2:26:a4:0b:c2:8c:63:32:5d:38:3e:fd:b7:
4a:83:69:0e:3e:24:e4:ab:91:6c:56:51:88:93:9e:
12:a4:30:ad:ae:72:57:a7:ba:fb:bc:ac:20:8a:21:
46:ea:e8:93:55:f3:41:49:e9:9d:cc:ec:76:13:fd:
a5:8d:cb:5b:45:08:b7:d1:c5:b5:58:89:47:ce:12:
bd:5c:ce:b6:17:2f:e0:fc:c0:3e:b7:c4:99:31:5b:
8a:f0:ea:02:fd:2d:44:7a:67
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Cert Type:
SSL Client, S/MIME
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Client Authentication, E-mail Protection, Microsoft Smartcardlogin
Netscape Comment:
User Certificate of OpenCA Labs
X509v3 Subject Key Identifier:
91:95:51:DD:BF:4F:55:FA:E4:C4:D0:10:C2:A1:C2:99:AF:A5:CB:30
X509v3 Authority Key Identifier:
keyid:DF:D2:C9:1A:06:1F:BC:61:54:39:FE:12:C4:22:64:EB:57:3B:11:9F
X509v3 Subject Alternative Name:
email:[email protected]
X509v3 Issuer Alternative Name:
email:[email protected]
Authority Information Access:
CA Issuers - URI:http://titan/pki/pub/cacert/cacert.crt
OCSP - URI:http://titan:2560/
1.3.6.1.5.5.7.48.12 - URI:http://titan:830/
X509v3 CRL Distribution Points:
Full Name:
URI:http://titan/pki/pub/crl/cacrl.crl
Signature Algorithm: sha256WithRSAEncryption
94:ef:56:70:48:66:be:8f:9d:bb:77:0f:c9:f4:65:77:e3:bd:
ea:9a:b8:24:ae:a1:38:2d:f4:ab:e8:0e:93:c2:30:33:c8:ef:
f5:e9:eb:9d:37:04:6f:99:bd:b2:c0:e9:eb:b1:19:7e:e3:cb:
95:cd:6c:b8:47:e2:cf:18:8d:99:f4:11:74:b1:1b:86:92:98:
af:a2:34:f7:1b:15:ee:ea:91:ed:51:17:d0:76:ec:22:4c:56:
da:d6:d1:3c:f2:43:31:4f:1d:20:c8:c2:c3:4d:e5:92:29:ee:
43:c6:d7:72:92:e8:13:87:38:9a:9c:cd:54:38:b2:ad:ba:aa:
f9:a4:68:b5:2a:df:9a:31:2f:42:80:0c:0c:d9:6d:b3:ab:0f:
dd:a0:2c:c0:aa:16:81:aa:d9:33:ca:01:75:94:92:44:05:1a:
65:41:fa:1e:41:b5:8a:cc:2b:09:6e:67:70:c4:ed:b4:bc:28:
04:50:a6:33:65:6d:49:3c:fc:a8:93:88:53:94:4c:af:23:64:
cb:af:e3:02:d1:b6:59:5f:95:52:6d:00:00:a0:cb:75:cf:b4:
50:c5:50:00:65:f4:7d:69:cc:2d:68:a4:13:5c:ef:75:aa:8f:
3f:ca:fa:eb:4d:d5:5d:27:db:46:c7:f4:7d:3a:b2:fb:a7:c9:
de:18:9d:c1
# 显示PKI域aaa中的所有对端证书的简要信息。
<Sysname> display pki certificate domain aaa peer
Total peer certificates: 1
Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7
Subject Name: CN=sldsslserver
# 显示PKI域aaa中的一个特定序号的对端证书的详细信息。
<Sysname> display pki certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
9a:03:37:eb:21:56:ba:1f:54:76:e4:d7:54:a5:a9:f7
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=cn, O=ccc, OU=sec, CN=ssl
Validity
Not Before: Oct 15 01:23:06 2010 GMT
Not After : Jul 26 06:30:54 2012 GMT
Subject: CN=sldsslserver
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c2:cf:37:76:93:29:5e:cd:0e:77:48:3a:4d:0f:
a6:28:a4:60:f8:31:56:28:7f:81:e3:17:47:78:98:
68:03:5b:72:f4:57:d3:bf:c5:30:32:0d:58:72:67:
04:06:61:08:3b:e9:ac:53:b9:e7:69:68:1a:23:f2:
97:4c:26:14:c2:b5:d9:34:8b:ee:c1:ef:af:1a:f4:
39:da:c5:ae:ab:56:95:b5:be:0e:c3:46:35:c1:52:
29:9c:b7:46:f2:27:80:2d:a4:65:9a:81:78:53:d4:
ca:d3:f5:f3:92:54:85:b3:ab:55:a5:03:96:2b:19:
8b:a3:4d:b2:17:08:8d:dd:81
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Authority Key Identifier:
keyid:9A:83:29:13:29:D9:62:83:CB:41:D4:75:2E:52:A1:66:38:3C:90:11
X509v3 Key Usage: critical
Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Key Agreement
Netscape Cert Type:
SSL Server
X509v3 Subject Alternative Name:
DNS:docm.com
X509v3 Subject Key Identifier:
3C:76:95:9B:DD:C2:7F:5F:98:83:B7:C7:A0:F8:99:1E:4B:D7:2F:26
X509v3 CRL Distribution Points:
Full Name:
URI:http://s03130.ccc.sec.com:447/ssl.crl
Signature Algorithm: sha1WithRSAEncryption
61:2d:79:c7:49:16:e3:be:25:bb:8b:70:37:31:32:e5:d3:e3:
31:2c:2d:c1:f9:bf:50:ad:35:4b:c1:90:8c:65:79:b6:5f:59:
36:24:c7:14:63:44:17:1e:e4:cf:10:69:fc:93:e9:70:53:3c:
85:aa:40:7e:b5:47:75:0f:f0:b2:da:b4:a5:50:dd:06:4a:d5:
17:a5:ca:20:19:2c:e9:78:02:bd:19:77:da:07:1a:42:df:72:
ad:07:7d:e5:16:d6:75:eb:6e:06:58:ee:76:31:63:db:96:a2:
ad:83:b6:bb:ba:4b:79:59:9d:59:6c:77:59:5b:d9:07:33:a8:
f0:a5
表1-1 display pki certificate命令显示信息描述表
|
字段 |
描述 |
|
Version |
证书版本号 |
|
Serial Number |
证书序列号 |
|
Signature Algorithm |
签名算法 |
|
Issuer |
证书颁发者 |
|
Validity |
证书有效期 |
|
Subject |
证书所属的实体信息 |
|
Subject Public Key Info |
证书所属的实体的公钥信息 |
|
X509v3 extensions |
X.509版本3格式的证书扩展属性 |
【相关命令】
· pki domain
· pki retrieve-certificate
display pki certificate request-status命令用来显示证书的申请状态。
【命令】
display pki certificate request-status [ domain domain-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
domain domain-name:指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用指导】
若不指定PKI域的名称,则显示所有PKI域的证书申请状态。
【举例】
# 显示PKI域aaa的证书申请状态。
<Sysname> display pki certificate request-status domain aaa
Certificate Request Transaction 1
Domain name: aaa
Status: Pending
Key usage: General
Remain polling attempts: 10
Next polling attempt after : 1191 seconds
# 显示所有PKI域的证书申请状态。
<Sysname> display pki certificate request-status
Certificate Request Transaction 1
Domain name: domain1
Status: Pending
Key usage: General
Remain polling attempts: 10
Next polling attempt after : 1191 seconds
Certificate Request Transaction 2
Domain name: domain2
Status: Pending
Key usage: Signature
Remain polling attempts: 10
Next polling attempt after : 188 seconds
表1-2 display pki certificate request命令显示信息描述表
|
字段 |
描述 |
|
Certificate Request Transaction number |
证书申请任务的编号,从1开始顺序编号 |
|
Domain name |
PKI域名 |
|
Status |
证书申请状态。目前,仅有一种取值Pending,表示等待 |
|
Key usage |
证书用途,包括以下取值: · General:表示通用,既可以用于加密也可以用于签名 · Signature:表示用于签名 · Encryption:表示用于加密 |
|
Remain polling attempts |
剩余的证书申请状态的查询次数 |
|
Next polling attempt after |
当前到下次查询证书申请状态的时间间隔,单位为秒 |
【相关命令】
· certificate request polling
· pki domain
· pki retrieve-certificate
display pki crl domain命令用来显示存储在本地的CRL。
【命令】
display pki crl domain domain-name
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
domain domain-name:指定CRL所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用指导】
用户可以通过该命令查看证书吊销列表,看所需的证书是否已经被吊销。
【举例】
# 显示PKI域aaa存储在本地的CRL。
<Sysname> display pki crl domain aaa
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: /C=cn/O=docm/OU=sec/CN=therootca
Last Update: Apr 28 01:42:13 2011 GMT
Next Update: NONE
CRL extensions:
X509v3 CRL Number:
6
X509v3 Authority Key Identifier:
keyid:49:25:DB:07:3A:C4:8A:C2:B5:A0:64:A5:F1:54:93:69:14:51:11:EF
Revoked Certificates:
Serial Number: CDE626BF7A44A727B25F9CD81475C004
Revocation Date: Apr 28 01:37:52 2011 GMT
CRL entry extensions:
Invalidity Date:
Apr 28 01:37:49 2011 GMT
Serial Number: FCADFA81E1F56F43D3F2D3EF7EB56DE5
Revocation Date: Apr 28 01:33:28 2011 GMT
CRL entry extensions:
Invalidity Date:
Apr 28 01:33:09 2011 GMT
Signature Algorithm: sha1WithRSAEncryption
57:ac:00:3e:1e:e2:5f:59:62:04:05:9b:c7:61:58:2a:df:a4:
5c:e5:c0:14:af:c8:e7:de:cf:2a:0a:31:7d:32:da:be:cd:6a:
36:b5:83:e8:95:06:bd:b4:c0:36:fe:91:7c:77:d9:00:0f:9e:
99:03:65:9e:0c:9c:16:22:ef:4a:40:ec:59:40:60:53:4a:fc:
8e:47:57:23:e0:75:0a:a4:1c:0e:2f:3d:e0:b2:87:4d:61:8a:
4a:cb:cb:37:af:51:bd:53:78:76:a1:16:3d:0b:89:01:91:61:
52:d0:6f:5c:09:59:15:be:b8:68:65:0c:5d:1b:a1:f8:42:04:
ba:aa
表1-3 display pki crl domain显示信息描述表
|
字段 |
描述 |
|
Version |
CRL版本号 |
|
Signature Algorithm |
CA签名该CRL采用的签名算法 |
|
Issuer |
颁发该CRL的CA证书名称 |
|
Last Update |
上次更新CRL的时间 |
|
Next Update |
下次更新CRL的时间 |
|
CRL extensions |
CRL扩展属性 |
|
X509v3 CRL Number |
X509版本3格式的CRL序号 |
|
X509v3 Authority Key Identifier |
X509版本3格式的签发该CRL的CA的标识符 |
|
keyid |
公钥标识符 一个CA可能有多个密钥对,该字段用于标识CA用哪个密钥对对该CRL进行签名 |
|
Revoked Certificates |
撤销的证书信息 |
|
Serial Number |
被吊销证书的序列号 |
|
Revocation Date |
证书被吊销的日期 |
|
CRL entry extensions: |
CRL项目扩展属性 |
|
Signature Algorithm: |
签名算法以及签名数据 |
【相关命令】
· pki retrieve-crl
fqdn命令用来配置PKI实体的FQDN。
undo fqdn命令用来恢复缺省情况。
【命令】
fqdn fqdn-name-string
undo fqdn
【缺省情况】
未配置PKI实体的FQDN。
【视图】
PKI实体视图
【缺省用户角色】
network-admin
【参数】
fqdn-name-string:PKI实体的FQDN,为1~255个字符的字符串,区分大小写。形式为hostname@domainname
【使用指导】
FQDN是实体在网络中的唯一标识,由一个主机名和一个域名组成。
【举例】
# 配置PKI实体en的FQDN为[email protected]。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] fqdn [email protected]
ip命令用来配置PKI实体的IP地址。
undo ip命令用来恢复缺省情况。
【命令】
ip { ip-address | interface interface-type interface-number }
undo ip
【缺省情况】
未配置PKI实体的IP地址。
【视图】
PKI实体视图
【缺省用户角色】
network-admin
【参数】
ip-address:指定PKI实体的IP地址。
interface interface-type interface-numbe:指定接口的主IP地址作为PKI实体的IP地址。interface-type interface-number表示接口类型及接口编号。
【使用指导】
通过本命令,可以直接指定PKI实体的IP地址,也可以指定设备上某接口的主IP地址作为PKI实体的IP地址。如果指定使用某接口的IP地址,则不要求本配置执行时该接口上已经配置了IP地址,只要设备申请证书时,该接口上配置了IP地址,就可以直接使用该地址作为PKI实体身份的一部分。
【举例】
# 配置PKI实体en的IP地址为192.168.0.2。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] ip 192.168.0.2
ldap-server命令用来指定LDAP服务器。
undo ldap-server命令用来恢复缺省情况。
【命令】
ldap-server host hostname [ port port-number ] [ vpn-instance vpn-instance-name ]
undo ldap-server
【缺省情况】
未指定LDAP服务器。
【视图】
PKI域视图
【缺省用户角色】
network-admin
【参数】
host hostname:LDAP服务器的主机名,为1~255个字符的字符串,区分大小写,支持IPv4与IPv6地址的表示方法以及DNS域名的表示方法。
port port-number:LDAP服务器的端口号,取值范围为1~65535,缺省值为389。
vpn-instance vpn-instance-name:指定LDAP服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该LDAP服务器属于公网。
【使用指导】
以下两种情况下,需要配置LDAP服务器:
· 通过LDAP协议获取本地证书或对端证书时,需要指定LDAP服务器。
· 通过LDAP协议获取CRL时,若PKI域中配置的LDAP格式的CRL发布点URL中未携带主机名或IP地址,则需要根据此处配置的LDAP服务器地址来得到完整的LDAP发布点URL。
在一个PKI域中,只能指定一个LDAP服务器,多次执行本命令,最后一次执行的命令生效。
【举例】
# 指定LDAP服务器的IP地址为10.0.0.1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] ldap-server host 10.0.0.1
# 指定LDAP服务器,IP地址为10.0.0.11,端口号为333,所在的MPLS L3VPN的实例名称为vpn1。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] ldap-server host 10.0.0.11 port 333 vpn-instance vpn1
【相关命令】
· pki retrieve-certificate
· pki retrieve-crl
locality命令用来配置PKI实体所在的地理区域名称,比如城市名称。
undo locality命令用来恢复缺省情况。
【命令】
locality locality-name
undo locality
【缺省情况】
未配置PKI实体所在的地理区域名称。
【视图】
PKI实体视图
【缺省用户角色】
network-admin
【参数】
locality-name:PKI实体所在的地理区域的名称,为1~63个字符的字符串,区分大小写,不能包含逗号。
【举例】
# 配置PKI实体en所在地理区域的名称为pukras。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] locality pukras
organization命令用来配置PKI实体所属组织的名称。
undo organization命令用来恢复缺省情况。
【命令】
organization org-name
undo organization
【缺省情况】
未配置PKI实体所属组织名称。
【视图】
PKI实体视图
【缺省用户角色】
network-admin
【参数】
org-name:PKI实体所属的组织名称,为1~63个字符的字符串,区分大小写,不能包含逗号。
【举例】
# 配置PKI实体en所属的组织名称为abc。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] organization abc
organization-unit命令用来指定实体所属的组织部门的名称。
undo organization-unit命令用来恢复缺省情况。
【命令】
organization-unit org-unit-name
undo organization-unit
【缺省情况】
未配置PKI实体所属组织部门的名称。
【视图】
PKI实体视图
【缺省用户角色】
network-admin
【参数】
org-unit-name:PKI实体所属组织部门的名称,为1~63个字符的字符串,区分大小写,不能包含逗号。使用该参数可在同一个组织内区分不同部门的PKI实体。
【举例】
# 配置PKI实体en所属组织部门的名称为rdtest。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] organization-unit rdtest
pki abort-certificate-request命令用来停止证书申请过程。
【命令】
pki abort-certificate-request domain domain-name
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
domain domain-name:指定证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用指导】
用户在证书申请时,可能由于某种原因需要改变证书申请的一些参数,比如通用名、国家代码、FQDN等,而此时证书申请正在运行,为了新的申请不与之前的申请发生冲突,建议先停止之前的申请程序,再进行新的申请。
【举例】
# 停止证书申请过程。
<Sysname> system-view
[Sysname] pki abort-certificate-request domain 1
The certificate request is in process.
Confirm to abort it? [Y/N]:y
【相关命令】
· display pki certificate request-status
· pki request-certificate domain
pki delete-certificate命令用来删除PKI域中的证书。
【命令】
pki delete-certificate domain domain-name { ca | local | peer [ serial serial-num ] }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
domain domain-name:证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
ca:表示删除CA证书。
local:表示删除本地证书。
peer:表示删除对端证书。
serial serial-num:表示通过指定序列号删除一个指定的对端证书。serial-num为对端证书的序列号,为1~127个字符的字符串,不区分大小写。在每个CA签发的证书范围内,序列号可以唯一标识一个证书。如果不指定本参数,则表示删除本PKI域中的所有对端证书。
【使用指导】
删除CA证书时将同时删除所在PKI域中的本地证书和所有对端证书,以及CRL。
如果需要删除指定的对端证书,则需要首先通过display pki certificate命令查看本域中已有的对端证书的序列号,然后再通过指定序列号的方式删除该对端证书。
【举例】
# 删除PKI域aaa中的CA证书。
<Sysname> system-view
[Sysname] pki delete-certificate domain aaa ca
Local certificates, peer certificates and CRL will also be deleted while deleting the CA certificate.
Confirm to delete the CA certificate? [Y/N]:y
[Sysname]
# 删除PKI域aaa中的本地证书。
<Sysname> system-view
[Sysname] pki delete-certificate domain aaa local
[Sysname]
# 删除PKI域aaa中的所有对端证书。
<Sysname> system-view
[Sysname] pki delete-certificate domain aaa peer
[Sysname]
# 首先查看PKI域aaa中的对端证书,然后通过指定序列号的方式删除对端证书。
<Sysname> system-view
[Sysname] display pki certificate domain aaa peer
Total peer certificates: 1
Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7
Subject Name: CN=abc
[Sysname] pki delete-certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7
【相关命令】
· display pki certificate
pki domain命令用来创建PKI域,并进入PKI域视图。如果指定的PKI域已存在,则直接进入PKI域视图。
undo pki domain命令用来删除指定的PKI域。
【命令】
pki domain domain-name
undo pki domain domain-name
【缺省情况】
不存在PKI域。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
domain-name:PKI域名,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用指导】
删除PKI域的同时,会将该域相关的证书和CRL都删除掉,因此请慎重操作。
【举例】
# 创建PKI域aaa并进入PKI域视图。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa]
pki entity命令用来创建PKI实体,并进入PKI实体视图。如果指定的PKI实体已存在,则直接进入PKI实体视图。
undo pki entity命令用来删除指定的PKI实体。
【命令】
pki entity entity-name
undo pki entity entity-name
【缺省情况】
不存在PKI实体。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
entity-name:PKI实体的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
在PKI实体视图下可配置PKI实体的各种属性(通用名、组织部门、组织、地理区域、省、国家、FQDN、IP),这些属性用于描述PKI实体的身份信息。当申请证书时,PKI实体的信息将作为证书中主题(Subjuct)部分的内容。
【举例】
# 创建名称为en的PKI实体,并进入该实体视图。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en]
【相关命令】
· pki domain
pki export命令用来将PKI域中的CA证书、本地证书导出到文件中或终端上。
【命令】
pki export domain domain-name der { all | ca | local } filename filename
pki export domain domain-name p12 { all | local } passphrase p12-key filename filename
pki export domain domain-name pem { { all | local } [ { 3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc } pem-key ] | ca } [ filename filename ]
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
domain domain-name:证书所在的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
der:指定证书文件格式为DER编码(包括PKCS#7格式的证书)。
p12:指定证书文件格式为PKCS#12编码。
pem:指定证书文件格式为PEM编码。
all:表示导出所有证书,包括PKI域中所有的CA证书和本地证书,但不包括RA证书。
ca:表示导出CA证书。
local:表示导出本地证书或者本地证书和其对应私钥。
passphrase p12-key:指定对PKCS12编码格式的本地证书对应的私钥进行加密所采用的口令。
3des-cbc:对本地证书对应的私钥数据采用3DES_CBC算法进行加密。
aes-128-cbc:对本地证书对应的私钥数据采用128位AES_CBC算法进行加密。
aes-192-cbc:对本地证书对应的私钥数据采用192位AES_CBC算法进行加密。
aes-256-cbc:对本地证书对应的私钥数据采用256位AES_CBC算法进行加密。
des-cbc:对本地证书对应的私钥数据采用DES_CBC算法进行加密。
pem-key:指定对PEM编码格式的本地证书对应的私钥进行加密所采用的口令。
filename filename:指定保存证书的文件名,不区分大小写。如果不指定本参数,则表示要将证书直接导出到终端上显示,这种方式仅PEM编码格式的证书才支持。
【使用指导】
导出CA证书时,如果PKI域中只有一个CA证书则导出单个CA证书到用户指定的一个文件或终端,如果是一个CA证书链则导出整个CA证书链到用户指定的一个文件或终端。
导出本地证书时,设备上实际保存证书的证书文件名称并不一定是用户指定的名称,它与本地证书的密钥对用途相关,具体的命名规则如下(假设用户指定的文件名为certificate):
· 如果本地证书的密钥对用途为签名,则证书文件名称为certificate-signature;
· 如果本地证书的密钥对用途为加密,则证书文件名称为certificate-encryption;
· 如果本地证书的密钥对用途为通用(RSA/ECDSA/DSA),则证书文件名称为用户输入的certificate。
导出本地证书时,如果PKI域中有两个本地证书,则导出结果如下:
· 若指定文件名,则将每个本地证书分别导出到一个单独的文件中;
· 若不指定文件名,则将所有本地证书一次性全部导出到终端上,并由不同的提示信息进行
支持