H3C 华为 03-PKI命令

03-PKI 命令目 录1.1.26 pki domain 1.1.30 pki retrieval-certificate ,1 PKI 配置命令1.1 PKI

03-PKI 命令

目 录

1.1.26 pki domain 1.1.30 pki retrieval-certificate

1 PKI 配置命令

1.1 PKI 配置命令

1.1.1 attribute

【命令】

attribute id { alt-subject-name { fqdn | ip } | { issuer-name | subject-name } { dn | fqdn | ip } } { ctn | equ | nctn | nequ } attribute-value

undo attribute { id | all }

【视图】

证书属性组视图

【缺省级别】

2：系统级

【参数】

id ：证书属性规则序号，取值范围为1～16。

alt-subject-name ：表示证书备用主题名。

fqdn ：指定实体的FQDN 。

ip ：指定实体的IP 地址。

issuer-name ：表示证书颁发者名。

subject-name ：表示证书主题名。

dn ：指定实体的DN 。

ctn ：表示包含操作。

equ ：表示相等操作。

nctn ：表示不包含操作。

nequ ：表示不等操作。

attribute-value ：表示证书属性值，为1～128个字符的字符串，不区分大小写。 all ：表示所有证书属性规则。

【描述】

attribute 命令用来配置证书颁发者名、证书主题名以及备用主题名的属性规则。undo attribute 命令用来删除一个或者所有证书的属性规则。

缺省情况下，对证书的颁发者名、主题名以及备用主题名没有限制。

需要注意的是，证书备用主题名属性不会以域名的方式出现，所以在证书备用主题名属性的规则配置中没有出现dn 。

【举例】

# 创建一个证书属性规则。该规则定义，主题名的DN 包含字符串abc 。 system-view

[Sysname] pki certificate attribute-group mygroup

[Sysname-pki-cert-attribute-group-mygroup] attribute 1 subject-name dn ctn abc # 创建一个证书属性规则。该规则定义，颁发者名称中的FQDN 不等于字符串abc 。

[Sysname-pki-cert-attribute-group-mygroup] attribute 2 issuer-name fqdn nequ abc

# 创建一个证书属性规则。该规则定义，主题备用名称中的IP 地址不等于10.0.0.1。

[Sysname-pki-cert-attribute-group-mygroup] attribute 3 alt-subject-name ip nequ 10.0.0.1

1.1.2 ca identifier

【命令】

ca identifier name

undo ca identifier

【视图】

PKI 域视图

【缺省级别】

2：系统级

【参数】

name ：设备信任的CA 标识符，为1～63个字符的字符串，不区分大小写。

【描述】

ca identifier命令用来指定设备信任的CA ，将设备与名称为name 的CA 进行绑定。undo ca identifier命令用来删除设备信任的CA 。

缺省情况下，未指定设备信任的CA 。

该设备证书的申请、获取、废除及查询均通过该CA 执行。

【举例】

# 指定设备信任的CA 的名称为new-ca 。

system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] ca identifier new-ca

1.1.3 certificate request entity

【命令】

certificate request entity entity-name

undo certificate request entity

【视图】

PKI 域视图

【缺省级别】

2：系统级

【参数】

entity-name ：申请证书的实体所用名称，为1～15个字符的字符串，不区分大小写。

【描述】

certificate request entity 命令用来指定申请证书的实体名称。undo certificate request entity命令用来取消申请证书所用的实体名称。

缺省情况下，未指定设备申请证书所使用的实体名称。

相关配置可参考命令pki entity。

【举例】

# 指定设备申请证书时使用实体entity1。

system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] certificate request entity entity1

1.1.4 certificate request from

【命令】

certificate request from { ca | ra }

undo certificate request from

【视图】

PKI 域视图

【缺省级别】

2：系统级

【参数】

ca ：表示实体从CA 注册申请证书。

ra ：表示实体从RA 注册申请证书。

【描述】

certificate request from 命令用来为实体配置证书申请的注册受理机构。undo certificate request from命令用来取消指定的证书申请注册受理机构。

缺省情况下，未指定证书申请的注册受理机构。

【举例】

# 指定实体从CA 注册申请证书。

system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] certificate request from ca

1.1.5 certificate request mode

【命令】

certificate request mode { auto [ key-length key -length | password { cipher | simple } password ] * | manual }

undo certificate request mode

【视图】

PKI 域视图

【缺省级别】

2：系统级

【参数】

auto ：表示用自动方式申请证书。

key -length ：指定RSA 密钥长度，取值范围为512～2048，单位为bit ，缺省值为1024bit 。

cipher ：表示密码为密文显示。

simple ：表示密码为明文显示。

password ：指定吊销证书时使用的密码，为1～31个字符的字符串，区分大小写。 manual ：表示用手工方式申请证书。

【描述】

certificate request mode命令用来配置证书申请方式。undo certificate request mode 命令用来恢复缺省情况。

缺省情况下，证书申请为手工方式。

如果是自动方式，则在本地没有自己的证书时自动向注册机构进行申请，并在证书快要过期时自动申请新的证书。如果为手工方式，则需要手工完成各项证书申请工作。 相关配置可参考命令pki request-certificate。

【举例】

# 指定证书申请为自动方式。

system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] certificate request mode auto

1.1.6 certificate request polling

【命令】

certificate request polling { count count | interval minutes }

undo certificate request polling { count | interval }

【视图】

PKI 域视图

【缺省级别】

2：系统级

【参数】

count count：表示证书申请状态的查询次数。count 表示查询次数，取值范围为1～100。

interval minutes ：表示证书申请状态的查询周期。minutes 表示查询周期，取值范围为5～168，单位为分钟。

【描述】

certificate request polling 命令用来配置证书申请状态的查询周期和次数。undo certificate request polling命令用来恢复缺省情况。

缺省情况下，证书申请状态的查询周期为20分钟、每一个周期查询50次。

实体在发送证书申请后，如果CA 采用手工验证申请，证书的发布会需要很长时间。实体需要定期发送状态查询，以便在证书签发后能及时获取到证书。

相关配置可参考命令display pki certificate。

【举例】

# 指定状态查询周期为15分钟、每一个周期查询40次。

system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] certificate request polling interval 15

[Sysname-pki-domain-1] certificate request polling count 40

1.1.7 certificate request url

【命令】

certificate request url url-string

undo certificate request url

【视图】

PKI 域视图

【缺省级别】

2：系统级

【参数】

url-string ：表示证书申请的注册机构服务器的URL ，为1～127个字符的字符串，不区分大小写。内容包括服务器位置及CA 的CGI 命令接口脚本位置，格式为http://server_location/ca_script_location。其中，server_location目前仅支持IP 地址

的表示方式，不支持域名解析，ca_script_location是CA 在服务器主机上的应用程序脚本的路径。

【描述】

certificate request url命令用来配置设备通过SCEP 进行证书申请的注册机构服务器的URL 。undo certificate request url命令用来删除证书申请服务器的URL 。 缺省情况下，未指定注册服务器的URL 。

【举例】

# 指定注册服务器的URL 。

system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] certificate request url

1.1.8 common-name

【命令】

common-name name

undo common-name

【视图】

PKI 实体视图

【缺省级别】

2：系统级

【参数】

name ：实体的通用名称，为1～31个字符的字符串，不区分大小写，不能包含逗号。

【描述】

common-name 命令用来配置实体的通用名，比如用户名称。undo common-name命令用来删除实体的通用名。

缺省情况下，未指定实体通用名。

【举例】

# 配置实体的通用名为test 。

system-view

[Sysname] pki entity 1

[Sysname-pki-entity-1] common-name test

1.1.9 country

【命令】

country country-code-str

undo country

【视图】

PKI 实体视图

【缺省级别】

2：系统级

【参数】

country-code-str ：2字符国家代码，不区分大小写。

【描述】

country 命令用来指定实体所属的国家代码，代码用标准的2字符代码，例如中国为“CN ”。undo country命令用来删除实体所属的国家代码。

缺省情况下，未指定实体所属国家代码。

【举例】

# 配置实体所属的国家代码为CN 。

system-view

[Sysname] pki entity 1

[Sysname-pki-entity-1] country CN

1.1.10 crl check

【命令】

crl check { disable | enable }

【视图】

PKI 域视图

【缺省级别】

2：系统级

【参数】

disable ：禁止CRL 检查。

enable ：使能CRL 检查。

【描述】

crl check命令用来使能或者禁止CRL 检查。

缺省情况下，CRL 检查处于开启状态。

CRL 是由CA 签发的文件，其中包含所有被CA 废除的证书列表，表明某些证书已被废除。废除有可能发生在证书有效期结束之前。CRL 检查的目的是查看实体的证书是否被CA 废除，若检查结果表明实体证书已被废除，那么该证书就不再被其它实体信任。

【举例】

# 禁止CRL 检查。

system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] crl check disable

1.1.11 crl update-period

【命令】

crl update-period hours

undo crl update-period

【视图】

PKI 域视图

【缺省级别】

2：系统级

【参数】

hours ：指定更新周期，取值范围为1～720，单位为小时。

【描述】

crl update-period命令用来指定CRL 的更新周期。undo crl update-period命令用来恢复缺省情况。

缺省情况下，CRL 的更新周期由CRL 文件中的下次更新域决定。

CRL 的更新周期是指使用证书的PKI 实体从CRL 存储服务器下载CRL 的时间间隔。

【举例】

# 指定CRL 的更新周期为20小时。

system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] crl update-period 20

1.1.12 crl url

【命令】

crl url url-string

undo crl url

【视图】

PKI 域视图

【缺省级别】

2：系统级

【参数】

url-string ：表示CRL 的发布点URL ，为1～127个字符的字符串，不区分大小写。格式为ldap://server_location，或http://server_location，其中，server_location目前仅支持IP 地址的表示方式，不支持域名解析。

【描述】

crl url命令用来设置CRL 发布点的URL 。undo crl url命令用来删除该URL 。 缺省情况下，未指定CRL 发布点的URL 。

需要注意的是，未配置CRL 发布点的URL 时，通过SCEP 协议获取CRL ，该操作在获取CA 证书和本地证书之后进行。

【举例】

# 指定CRL 发布点的URL 。

system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] crl url ldap://169.254.0.30

1.1.13 display pki certificate

【命令】

display pki certificate { { ca | local } domain domain-name | request-status }

【视图】

任意视图

【缺省级别】

2：系统级

【参数】

ca ：显示CA 的证书。

local ：显示本地的证书。

domain-name ：指定证书所在的PKI 域，为1～15个字符的字符串。

request-status ：显示证书申请后的状态。

【描述】

display pki certificate命令用来显示证书的内容或申请状态。

相关配置可参考命令pki retrieval-certificate、pki domain和certificate request polling 。

【举例】

# 显示本地证书。

display pki certificate local domain 1

Certificate:

Data:

Version: 3 (0x2)

Serial Number: