03-PKI 命令目 錄1.1.26 pki domain 1.1.30 pki retrieval-certificate ,1 PKI 配置命令1.1 PKI

03-PKI 命令

目 錄

1.1.26 pki domain 1.1.30 pki retrieval-certificate

1 PKI 配置命令

1.1 PKI 配置命令

1.1.1 attribute

【命令】

attribute id { alt-subject-name { fqdn | ip } | { issuer-name | subject-name } { dn | fqdn | ip } } { ctn | equ | nctn | nequ } attribute-value

undo attribute { id | all }

【視圖】

證書屬性組視圖

【缺省級(jí)別】

2：系統(tǒng)級(jí)

【參數(shù)】

id ：證書屬性規(guī)則序號(hào)，取值范圍為1～16。

alt-subject-name ：表示證書備用主題名。

fqdn ：指定實(shí)體的FQDN 。

ip ：指定實(shí)體的IP 地址。

issuer-name ：表示證書頒發(fā)者名。

subject-name ：表示證書主題名。

dn ：指定實(shí)體的DN 。

ctn ：表示包含操作。

equ ：表示相等操作。

nctn ：表示不包含操作。

nequ ：表示不等操作。

attribute-value ：表示證書屬性值，為1～128個(gè)字符的字符串，不區(qū)分大小寫。 all ：表示所有證書屬性規(guī)則。

【描述】

attribute 命令用來配置證書頒發(fā)者名、證書主題名以及備用主題名的屬性規(guī)則。undo attribute 命令用來刪除一個(gè)或者所有證書的屬性規(guī)則。

缺省情況下，對(duì)證書的頒發(fā)者名、主題名以及備用主題名沒有限制。

需要注意的是，證書備用主題名屬性不會(huì)以域名的方式出現(xiàn)，所以在證書備用主題名屬性的規(guī)則配置中沒有出現(xiàn)dn 。

【舉例】

# 創(chuàng)建一個(gè)證書屬性規(guī)則。該規(guī)則定義，主題名的DN 包含字符串a(chǎn)bc 。 system-view

[Sysname] pki certificate attribute-group mygroup

[Sysname-pki-cert-attribute-group-mygroup] attribute 1 subject-name dn ctn abc # 創(chuàng)建一個(gè)證書屬性規(guī)則。該規(guī)則定義，頒發(fā)者名稱中的FQDN 不等于字符串a(chǎn)bc 。

[Sysname-pki-cert-attribute-group-mygroup] attribute 2 issuer-name fqdn nequ abc

# 創(chuàng)建一個(gè)證書屬性規(guī)則。該規(guī)則定義，主題備用名稱中的IP 地址不等于10.0.0.1。

[Sysname-pki-cert-attribute-group-mygroup] attribute 3 alt-subject-name ip nequ 10.0.0.1

1.1.2 ca identifier

【命令】

ca identifier name

undo ca identifier

【視圖】

PKI 域視圖

【缺省級(jí)別】

2：系統(tǒng)級(jí)

【參數(shù)】

name ：設(shè)備信任的CA 標(biāo)識(shí)符，為1～63個(gè)字符的字符串，不區(qū)分大小寫。

【描述】

ca identifier命令用來指定設(shè)備信任的CA ，將設(shè)備與名稱為name 的CA 進(jìn)行綁定。undo ca identifier命令用來刪除設(shè)備信任的CA 。

缺省情況下，未指定設(shè)備信任的CA 。

該設(shè)備證書的申請(qǐng)、獲取、廢除及查詢均通過該CA 執(zhí)行。

【舉例】

# 指定設(shè)備信任的CA 的名稱為new-ca 。

system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] ca identifier new-ca

1.1.3 certificate request entity

【命令】

certificate request entity entity-name

undo certificate request entity

【視圖】

PKI 域視圖

【缺省級(jí)別】

2：系統(tǒng)級(jí)

【參數(shù)】

entity-name ：申請(qǐng)證書的實(shí)體所用名稱，為1～15個(gè)字符的字符串，不區(qū)分大小寫。

【描述】

certificate request entity 命令用來指定申請(qǐng)證書的實(shí)體名稱。undo certificate request entity命令用來取消申請(qǐng)證書所用的實(shí)體名稱。

缺省情況下，未指定設(shè)備申請(qǐng)證書所使用的實(shí)體名稱。

相關(guān)配置可參考命令pki entity。

【舉例】

# 指定設(shè)備申請(qǐng)證書時(shí)使用實(shí)體entity1。

system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] certificate request entity entity1

1.1.4 certificate request from

【命令】

certificate request from { ca | ra }

undo certificate request from

【視圖】

PKI 域視圖

【缺省級(jí)別】

2：系統(tǒng)級(jí)

【參數(shù)】

ca ：表示實(shí)體從CA 注冊(cè)申請(qǐng)證書。

ra ：表示實(shí)體從RA 注冊(cè)申請(qǐng)證書。

【描述】

certificate request from 命令用來為實(shí)體配置證書申請(qǐng)的注冊(cè)受理機(jī)構(gòu)。undo certificate request from命令用來取消指定的證書申請(qǐng)注冊(cè)受理機(jī)構(gòu)。

缺省情況下，未指定證書申請(qǐng)的注冊(cè)受理機(jī)構(gòu)。

【舉例】

# 指定實(shí)體從CA 注冊(cè)申請(qǐng)證書。

system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] certificate request from ca

1.1.5 certificate request mode

【命令】

certificate request mode { auto [ key-length key -length | password { cipher | simple } password ] * | manual }

undo certificate request mode

【視圖】

PKI 域視圖

【缺省級(jí)別】

2：系統(tǒng)級(jí)

【參數(shù)】

auto ：表示用自動(dòng)方式申請(qǐng)證書。

key -length ：指定RSA 密鑰長(zhǎng)度，取值范圍為512～2048，單位為bit ，缺省值為1024bit 。

cipher ：表示密碼為密文顯示。

simple ：表示密碼為明文顯示。

password ：指定吊銷證書時(shí)使用的密碼，為1～31個(gè)字符的字符串，區(qū)分大小寫。 manual ：表示用手工方式申請(qǐng)證書。

【描述】

certificate request mode命令用來配置證書申請(qǐng)方式。undo certificate request mode 命令用來恢復(fù)缺省情況。

缺省情況下，證書申請(qǐng)為手工方式。

如果是自動(dòng)方式，則在本地沒有自己的證書時(shí)自動(dòng)向注冊(cè)機(jī)構(gòu)進(jìn)行申請(qǐng)，并在證書快要過期時(shí)自動(dòng)申請(qǐng)新的證書。如果為手工方式，則需要手工完成各項(xiàng)證書申請(qǐng)工作。 相關(guān)配置可參考命令pki request-certificate。

【舉例】

# 指定證書申請(qǐng)為自動(dòng)方式。

system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] certificate request mode auto

1.1.6 certificate request polling

【命令】

certificate request polling { count count | interval minutes }

undo certificate request polling { count | interval }

【視圖】

PKI 域視圖

【缺省級(jí)別】

2：系統(tǒng)級(jí)

【參數(shù)】

count count：表示證書申請(qǐng)狀態(tài)的查詢次數(shù)。count 表示查詢次數(shù)，取值范圍為1～100。

interval minutes ：表示證書申請(qǐng)狀態(tài)的查詢周期。minutes 表示查詢周期，取值范圍為5～168，單位為分鐘。

【描述】

certificate request polling 命令用來配置證書申請(qǐng)狀態(tài)的查詢周期和次數(shù)。undo certificate request polling命令用來恢復(fù)缺省情況。

缺省情況下，證書申請(qǐng)狀態(tài)的查詢周期為20分鐘、每一個(gè)周期查詢50次。

實(shí)體在發(fā)送證書申請(qǐng)后，如果CA 采用手工驗(yàn)證申請(qǐng)，證書的發(fā)布會(huì)需要很長(zhǎng)時(shí)間。實(shí)體需要定期發(fā)送狀態(tài)查詢，以便在證書簽發(fā)后能及時(shí)獲取到證書。

相關(guān)配置可參考命令display pki certificate。

【舉例】

# 指定狀態(tài)查詢周期為15分鐘、每一個(gè)周期查詢40次。

system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] certificate request polling interval 15

[Sysname-pki-domain-1] certificate request polling count 40

1.1.7 certificate request url

【命令】

certificate request url url-string

undo certificate request url

【視圖】

PKI 域視圖

【缺省級(jí)別】

2：系統(tǒng)級(jí)

【參數(shù)】

url-string ：表示證書申請(qǐng)的注冊(cè)機(jī)構(gòu)服務(wù)器的URL ，為1～127個(gè)字符的字符串，不區(qū)分大小寫。內(nèi)容包括服務(wù)器位置及CA 的CGI 命令接口腳本位置，格式為http://server_location/ca_script_location。其中，server_location目前僅支持IP 地址

的表示方式，不支持域名解析，ca_script_location是CA 在服務(wù)器主機(jī)上的應(yīng)用程序腳本的路徑。

【描述】

certificate request url命令用來配置設(shè)備通過SCEP 進(jìn)行證書申請(qǐng)的注冊(cè)機(jī)構(gòu)服務(wù)器的URL 。undo certificate request url命令用來刪除證書申請(qǐng)服務(wù)器的URL 。 缺省情況下，未指定注冊(cè)服務(wù)器的URL 。

【舉例】

# 指定注冊(cè)服務(wù)器的URL 。

system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] certificate request url

1.1.8 common-name

【命令】

common-name name

undo common-name

【視圖】

PKI 實(shí)體視圖

【缺省級(jí)別】

2：系統(tǒng)級(jí)

【參數(shù)】

name ：實(shí)體的通用名稱，為1～31個(gè)字符的字符串，不區(qū)分大小寫，不能包含逗號(hào)。

【描述】

common-name 命令用來配置實(shí)體的通用名，比如用戶名稱。undo common-name命令用來刪除實(shí)體的通用名。

缺省情況下，未指定實(shí)體通用名。

【舉例】

# 配置實(shí)體的通用名為test 。

system-view

[Sysname] pki entity 1

[Sysname-pki-entity-1] common-name test

1.1.9 country

【命令】

country country-code-str

undo country

【視圖】

PKI 實(shí)體視圖

【缺省級(jí)別】

2：系統(tǒng)級(jí)

【參數(shù)】

country-code-str ：2字符國(guó)家代碼，不區(qū)分大小寫。

【描述】

country 命令用來指定實(shí)體所屬的國(guó)家代碼，代碼用標(biāo)準(zhǔn)的2字符代碼，例如中國(guó)為“CN ”。undo country命令用來刪除實(shí)體所屬的國(guó)家代碼。

缺省情況下，未指定實(shí)體所屬國(guó)家代碼。

【舉例】

# 配置實(shí)體所屬的國(guó)家代碼為CN 。

system-view

[Sysname] pki entity 1

[Sysname-pki-entity-1] country CN

1.1.10 crl check

【命令】

crl check { disable | enable }

【視圖】

PKI 域視圖

【缺省級(jí)別】

2：系統(tǒng)級(jí)

【參數(shù)】

disable ：禁止CRL 檢查。

enable ：使能CRL 檢查。

【描述】

crl check命令用來使能或者禁止CRL 檢查。

缺省情況下，CRL 檢查處于開啟狀態(tài)。

CRL 是由CA 簽發(fā)的文件，其中包含所有被CA 廢除的證書列表，表明某些證書已被廢除。廢除有可能發(fā)生在證書有效期結(jié)束之前。CRL 檢查的目的是查看實(shí)體的證書是否被CA 廢除，若檢查結(jié)果表明實(shí)體證書已被廢除，那么該證書就不再被其它實(shí)體信任。

【舉例】

# 禁止CRL 檢查。

system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] crl check disable

1.1.11 crl update-period

【命令】

crl update-period hours

undo crl update-period

【視圖】

PKI 域視圖

【缺省級(jí)別】

2：系統(tǒng)級(jí)

【參數(shù)】

hours ：指定更新周期，取值范圍為1～720，單位為小時(shí)。

【描述】

crl update-period命令用來指定CRL 的更新周期。undo crl update-period命令用來恢復(fù)缺省情況。

缺省情況下，CRL 的更新周期由CRL 文件中的下次更新域決定。

CRL 的更新周期是指使用證書的PKI 實(shí)體從CRL 存儲(chǔ)服務(wù)器下載CRL 的時(shí)間間隔。

【舉例】

# 指定CRL 的更新周期為20小時(shí)。

system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] crl update-period 20

1.1.12 crl url

【命令】

crl url url-string

undo crl url

【視圖】

PKI 域視圖

【缺省級(jí)別】

2：系統(tǒng)級(jí)

【參數(shù)】

url-string ：表示CRL 的發(fā)布點(diǎn)URL ，為1～127個(gè)字符的字符串，不區(qū)分大小寫。格式為ldap://server_location，或http://server_location，其中，server_location目前僅支持IP 地址的表示方式，不支持域名解析。

【描述】

crl url命令用來設(shè)置CRL 發(fā)布點(diǎn)的URL 。undo crl url命令用來刪除該URL 。 缺省情況下，未指定CRL 發(fā)布點(diǎn)的URL 。

需要注意的是，未配置CRL 發(fā)布點(diǎn)的URL 時(shí)，通過SCEP 協(xié)議獲取CRL ，該操作在獲取CA 證書和本地證書之后進(jìn)行。

【舉例】

# 指定CRL 發(fā)布點(diǎn)的URL 。

system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] crl url ldap://169.254.0.30

1.1.13 display pki certificate

【命令】

display pki certificate { { ca | local } domain domain-name | request-status }

【視圖】

任意視圖

【缺省級(jí)別】

2：系統(tǒng)級(jí)

【參數(shù)】

ca ：顯示CA 的證書。

local ：顯示本地的證書。

domain-name ：指定證書所在的PKI 域，為1～15個(gè)字符的字符串。

request-status ：顯示證書申請(qǐng)后的狀態(tài)。

【描述】

display pki certificate命令用來顯示證書的內(nèi)容或申請(qǐng)狀態(tài)。

相關(guān)配置可參考命令pki retrieval-certificate、pki domain和certificate request polling 。

【舉例】

# 顯示本地證書。

display pki certificate local domain 1

Certificate:

Data:

Version: 3 (0x2)

Serial Number: