所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
SSL配置命令

SSL配置命令

certificate load

命令功能

certificate load命令用来为SSL策略加载证书。

undo certificate load命令用来卸载SSL策略证书。

缺省情况下,SSL策略未加载证书。

命令格式

# 为SSL策略加载PEM格式的证书。

certificate load pem-cert cert-filename key-pair { dsa | rsa } key-file key-filename auth-code cipher auth-code

# 为SSL策略加载PEM格式的证书链。

certificate load pem-chain cert-filename key-pair { dsa | rsa } key-file key-filename auth-code cipher auth-code

# 为SSL策略加载PFX格式的证书。

certificate load pfx-cert cert-filename key-pair { dsa | rsa } { mac cipher mac-code | key-file key-filename } auth-code cipher auth-code

# 卸载SSL策略证书。

undo certificate load

参数说明

参数 参数说明 取值
cert-filename

指定证书文件名称。

该文件必须在系统目录下名为security的子目录下。

字符串形式,长度范围是1~64。

该文件名由上传的文件决定,必须与上传文件的文件名称一致。
说明:

当输入的字符串两端使用引号时,可在字符串中输入空格。

key-pair { dsa | rsa } 指定密钥对类型。
  • dsa:指定密钥对类型是DSA。
  • rsa:指定密钥对类型是RSA。
    说明:

    为了保证更好的安全性,建议不要使用小于2048位的RSA密钥对。

-
key-file key-filename

指定密钥对文件。

该文件必须在系统目录下名为security的子目录下。

字符串形式,长度范围是1~64。

该文件名由上传的文件决定,必须与上传文件的文件名称一致。
说明:

当输入的字符串两端使用引号时,可在字符串中输入空格。

pem-cert

指定为SSL策略加载PEM格式的证书。

PEM格式的证书是最常用的一种数字证书格式,文件的扩展名是.pem。

PEM格式适用于系统之间的文本模式传输。

-
auth-code cipher auth-code

指定密钥对文件验证码。

密钥文件验证码用来验证密钥文件以获取密钥信息。

字符串形式,区分大小写,不支持空格。当输入的字符串两端使用双引号时,可在字符串中输入空格。 可以是长度范围为1~31的明文,也可以是32~168的密文。

pem-chain

指定PEM格式的证书链。

-
pfx-cert

指定为SSL策略加载PFX格式的证书。

PFX是通用的数字证书格式之一,文件的扩展名是.pfx。

-
mac cipher mac-code

指定消息验证码。

消息验证码用来检验消息的完整性,保证获取的密钥未被修改。

字符串形式,区分大小写,不支持空格。当输入的字符串两端使用双引号时,可在字符串中输入空格。 可以是长度范围为1~31的明文,也可以是32~168的密文。

视图

SSL策略视图

缺省级别

3:管理级

使用指南

应用场景

SSL基于数字证书利用数字签名方法对服务器和客户端进行身份验证。发送方需要将数字证书先加载到设备上,以便后续发送给接收方,完成接收方对发送方的身份验证。

数字证书由CA(Certificate Authority,证书机构)签发,包括证书申请者的名称及相关信息、申请者的公钥、签发数字证书的CA的数字签名及数字证书的有效期等内容。CA发送数字证书时,可同步发布证书链(证书链是指从终端实体证书到根证书的一系列可信任证书构成的证书序列)。这时,接收者拥有证书链上的每一个证书。

前置条件

执行本命令前,在系统视图下已经成功执行命令ssl policy创建SSL策略。

注意事项

一个SSL策略只能同时加载一个证书或者证书链。如果已经加载了证书或者证书链,加载新证书或者证书链之前必须先卸载旧证书或者证书链。

出于安全考虑,当证书加载成功后,对应的密钥对文件会被删除。

使用实例

# 为SSL策略加载PEM格式的证书。

<HUAWEI> system-view
[~HUAWEI] ssl policy users
[*HUAWEI-ssl-policy-users] certificate load pem-cert servercert.pem key-pair dsa key-file serverkey.pem auth-code cipher huawei-123456

# 为SSL策略加载PEM格式的证书链。

<HUAWEI> system-view
[~HUAWEI] ssl policy users
[*HUAWEI-ssl-policy-users] certificate load pem-chain chain-servercert.pem key-pair rsa key-file chain-servercertkey.pem auth-code cipher huawei-123456

# 为SSL策略加载PFX格式的证书。

<HUAWEI> system-view
[~HUAWEI] ssl policy users
[*HUAWEI-ssl-policy-users] certificate load pfx-cert servercert.pfx key-pair rsa key-file serverkey.pfx auth-code cipher huawei-123456

crl load

命令功能

crl load命令用来为SSL策略加载证书撤销列表CRL(Certificate Revocation List)。

undo crl load命令用来卸载SSL策略的CRL。

缺省情况下,SSL策略未加载CRL。

命令格式

crl load { asn1-crl | pem-crl } crl-filename

undo crl load { asn1-crl | pem-crl } crl-filename

参数说明

参数 参数说明 取值
asn1-crl

指定为SSL策略加载ASN1格式的载证书撤销列表。

-
pem-crl

指定为SSL策略加载PEM格式的载证书撤销列表。

-
crl-filename

指定证书撤销列表名称。

该文件必须在系统目录下名为security的子目录下。

字符串形式,不支持空格,不区分大小写,长度范围是1~64。

该文件名由上传的文件决定,必须与上传文件的文件名称一致。
说明:

当输入的字符串两端使用引号时,可在字符串中输入空格。

视图

SSL策略视图

缺省级别

3:管理级

使用指南

应用场景

证书的寿命是有限的,但不一定会延续到失效日期。当用户身份改变、私钥被泄露等情况发生时,证书应当及时撤销,防止继续使用该证书而造成损失。

CA通过发布CRL来缩短证书的寿命,CRL中列举着所有在有效期内但被撤销的无效的数字证书。设备加载了CRL后,会检查对端发送的证书是否在CRL中声明,以判断该证书是否有效。

在撤销的证书到期后,CRL中的有关数据被删除,以缩小CRL列表的大小。

前置条件

执行本命令前,在系统视图下已经成功执行命令ssl policy创建SSL策略。

注意事项

一个SSL策略最多只可以加载2个CRL文件。

使用实例

# 为SSL策略加载PEM格式的证书撤销列表。

<HUAWEI> system-view
[~HUAWEI] ssl policy users
[*HUAWEI-ssl-policy-users] crl load pem-crl server.pem

# 为SSL策略加载ASN1格式的证书撤销列表。

<HUAWEI> system-view
[~HUAWEI] ssl policy users
[*HUAWEI-ssl-policy-users] crl load asn1-crl server.der

display ssl policy

命令功能

display ssl policy命令用来查看SSL策略的配置信息。

命令格式

display ssl policy [ policy-name ]

参数说明

参数 参数说明 取值
policy-name

显示指定名称的SSL策略配置信息。

如果不指定具体的SSL策略,则显示所有SSL策略的配置信息。

已存在的SSL策略名称。

视图

所有视图

缺省级别

1:监控级

使用指南

SSL策略及证书加载配置成功后,可通过本命令查看SSL的策略名称、应用SSL策略的业务、各类证书的名称及证书类型等信息。

使用实例

# 查看SSL策略配置信息。

<HUAWEI> display ssl policy
       SSL Policy Name: aaa_bbb123
     Policy Applicants:
         Key-pair Type: RSA
 Certificate File Type: PFX
      Certificate Type: certificate
  Certificate Filename: 5_servercertkey_bind_pfx_rsa.pfx
     Key-file Filename: 
             Auth-code: ******
                   MAC: ******
           Issuer name: huawei
          Subject name: server
   Validity Not Before: 2008-08-04 08:24:16Z
    Validity Not After: 2018-08-02 08:24:16Z
              CRL File:
       Trusted-CA File:
表16-97  display ssl policy命令输出信息描述

项目

描述

SSL Policy Name

SSL策略名称。通过ssl policy命令配置。

Policy Applicants

应用SSL策略的业务。

当前支持应用SSL策略的业务有:SYSLOG。

Key-pair Type

密钥对类型:
  • RSA
  • DSA

Certificate File Type

证书格式类型:
  • PEM
  • ASN1
  • PFX

Certificate Type

证书类型:
  • certificate
  • certificate-chain

Certificate Filename

证书文件名称。通过certificate load命令配置。

Key-file Filename

密钥文件。

CRL File

CRL文件。通过crl load命令配置。

Trusted-CA File

信任证书机构文件。通过trusted-ca load命令配置。

Auth-code

密钥文件验证码。

MAC

消息验证码。

Issuer name

证书颁发者名称。

Subject name

证书主题名。

Validity Not Before

证书有效性开始时间。

Validity Not After

证书有效性结束时间。

ssl minimum version

命令功能

ssl minimum version命令用来设置当前SSL策略所采用的最低版本。

undo ssl minimum version命令恢复当前SSL策略所采用的版本为TLS1.1。

缺省情况下,SSL策略所采用的最低版本为TLS1.1

命令格式

ssl minimum version { tls1.0 | tls1.1 | tls1.2 }

undo ssl minimum version [ tls1.0 | tls1.1 | tls1.2 ]

参数说明

参数 参数说明 取值
tls1.0 指定当前SSL策略所采用的最低SSL版本为TLS1.0版本。 -
tls1.1 指定当前SSL策略所采用的最低SSL版本为TLS1.1版本。 -
tls1.2 指定当前SSL策略所采用的最低SSL版本为TLS1.2版本。 -

视图

SSL策略视图

缺省级别

3:管理级

使用指南

SSL策略所支持的SSL版本包括TLS1.0、TLS1.1、TLS1.2,其安全性依次升高,建议用户使用TLS1.1和TLS1.2。

使用实例

# 配置SSL策略所采用的最低版本为tls1.2。

<HUAWEI> system-view
[~HUAWEI] ssl policy hw
[*HUAWEI-ssl-policy-hw] ssl minimum version tls1.2

ssl policy

命令功能

ssl policy命令用来创建一个SSL策略并进入SSL策略视图,或者直接进入一个已创建的SSL策略视图。

undo ssl policy命令用来删除一个SSL策略。

缺省情况下,未创建SSL策略。

命令格式

ssl policy policy-name

undo ssl policy policy-name

参数说明

参数

参数说明

取值

policy-name

指定SSL策略的名称。

字符串形式,不支持空格,不区分大小写,长度范围是1~23,可以设定为包含数字、字母和下划线“_”的组合。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

安全套接层SSL(Secure Sockets Layer)协议是在Internet基础上提供的一种保证私密性的安全协议,它能使SSL客户端与SSL服务器之间的通信不被攻击者窃听。

本命令用于创建SSL策略,管理员可以在SSL策略视图下对SSL功能进行具体配置。

注意事项

设备最多支持创建4个SSL策略。

使用实例

# 创建名称为users的SSL策略。

<HUAWEI> system-view
[~HUAWEI] ssl policy users
相关主题

trusted-ca load

命令功能

trusted-ca load命令用来为SSL(Secure Sockets Layer)策略加载信任证书机构文件。

undo trusted-ca load命令用来卸载SSL策略的信任证书机构文件。

缺省情况下,SSL策略未加载信任证书机构文件。

命令格式

# 为SSL策略加载ASN1格式信任证书机构文件。

trusted-ca load asn1-ca ca-filename

# 为SSL策略加载PEM格式信任证书机构文件。

trusted-ca load pem-ca ca-filename

# 为SSL策略加载PFX格式信任证书机构文件。

trusted-ca load pfx-ca ca-filename auth-code cipher auth-code

# 卸载SSL策略的信任证书机构文件。

undo trusted-ca load { asn1-ca | pem-ca | pfx-ca } ca-filename

参数说明

参数 参数说明 取值
asn1-ca

指定为SSL策略加载ASN1格式的信任证书机构文件。

-
pem-ca

指定为SSL策略加载PEM格式的信任证书机构文件。

-
pfx-ca

指定为SSL策略加载PFX格式的信任证书机构文件。

-
ca-filename

指定信任证书机构文件名称。

该文件必须在系统目录下名为security的子目录下。

字符串形式,长度范围是1~64。

该文件名由上传的文件决定,必须与上传文件的文件名称一致。
说明:

当输入的字符串两端使用引号时,可在字符串中输入空格。

auth-code cipher auth-code

指定PFX格式信任证书机构文件的验证码。

该验证码用来验证证书机构文件,验证通过后才能打开证书机构文件。

字符串形式,区分大小写,不支持空格。当输入的字符串两端使用双引号时,可在字符串中输入空格。 可以是长度范围为1~31的明文,也可以是32~168的密文。

视图

SSL策略视图

缺省级别

3:管理级

使用指南

应用场景

CA是签发数字证书的机构,国际上被广泛信任的CA,被称之为根CA。根CA可授权给其它CA,被授权的CA将成为根CA的下级CA。CA的身份也需要证明,而证明信息在信任证书机构文件中描述。CA颁发证书的同时会提供证书机构文件,证明CA的身份,也证明了所颁发证书的真实性。

为确保安全通信,接收端必须执行本命令加载信任证书机构文件。信任证书机构文件加载成功后,用户如果因为信任证书而导致了损失,证书可以作为有效的证据用于追究CA的法律责任。

前置条件

执行本命令前,在系统视图下已经成功执行命令ssl policy创建SSL策略。

注意事项

一个SSL策略最多可以同时加载4个信任证书机构文件。

使用实例

# 为SSL策略加载ASN1格式的信任证书机构文件。

<HUAWEI> system-view
[~HUAWEI] ssl policy users
[*HUAWEI-ssl-policy-users] trusted-ca load asn1-ca servercert.der

# 为SSL策略加载PEM格式的信任证书机构文件。

<HUAWEI> system-view
[~HUAWEI] ssl policy users
[*HUAWEI-ssl-policy-users] trusted-ca load pem-ca servercert.pem

# 为SSL策略加载PFX格式的信任证书机构文件。

<HUAWEI> system-view
[~HUAWEI] ssl policy users
[*HUAWEI-ssl-policy-users] trusted-ca load pfx-ca servercert.pfx auth-code cipher huawei-123456
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:20432

下载量:434

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页