所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
PKI配置命令

PKI配置命令

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

auto-enroll

命令功能

auto-enroll命令用来开启证书自动注册和更新功能。

undo auto-enroll命令用来关闭证书自动注册和更新功能。

缺省情况下,证书自动注册和更新功能处于关闭状态。

命令格式

auto-enroll [ percent ] [ regenerate [ key-bit ] ] [ updated-effective ]

undo auto-enroll [ updated-effective ]

参数说明

参数

参数说明

取值

percent 表示在证书有效期的百分比处自动重新申请新的证书。 整数形式,取值范围为10~100。缺省值为100,即老的证书即将过期时自动重新申请新证书。
regenerate 表示证书更新时会同时更新RSA密钥对。 -
key-bit 表示证书更新时新生成的RSA密钥对的位数。

整数形式,取值范围为2048~4096,缺省值是2048。

updated-effective 表示更新后的证书立即生效。缺省情况下,更新后的证书等原来的证书过期时才会生效。 -

视图

PKI域视图

缺省级别

2:配置级

使用指南

应用场景

配置证书自动注册功能后,当证书即将过期、已经过期、已到达指定百分比时,会自动触发设备通过SCEP协议申请并更新证书。

缺省情况下,未开启证书自动注册和更新功能,当证书过期后,必须手工申请新证书。开启了证书自动注册和更新功能,用户仍然可以在需要的时候手工申请和更新证书。

注意事项

  • 如果未指定regenerate参数,则证书自动更新时,系统会继续使用原来的RSA密钥对。
  • 如果指定了regenerate参数,则证书自动更新时,系统会生成新的RSA密钥对去申请新证书,并且用新的证书和RSA密钥对替换原有的证书和RSA密钥对。

使用实例

# 配置一个PKI域abc,开启证书自动注册和更新功能。

<HUAWEI> system-view
[HUAWEI] pki realm abc
[HUAWEI-pki-realm-abc] auto-enroll 50 regenerate

ca id

命令功能

ca id命令用来配置PKI域信任的CA。

undo ca id命令用来取消配置PKI域信任的CA。

缺省情况下,系统未配置PKI域信任的CA。

命令格式

ca id ca-name

undo ca id

参数说明

参数

参数说明

取值

ca-name

指定PKI域信任的CA。

字符串形式,区分大小写,长度范围是1~64。

视图

PKI域视图

缺省级别

2:配置级

使用指南

本命令用来指定设备信任的CA,之后本地证书的申请、获取、废除及查询均通过该CA执行。

使用实例

# 配置一个PKI域abc,信任的CA为root_ca。

<HUAWEI> system-view
[HUAWEI] pki realm abc
[HUAWEI-pki-realm-abc] ca id root_ca

cdp-url

命令功能

cdp-url命令用来配置CRL发布点的URL。

undo cdp-url命令用来删除CRL发布点的URL。

缺省情况下,系统未配置CRL发布点的URL。

命令格式

cdp-url [ esc ] url-addr

cdp-url from-ca

undo cdp-url

参数说明

参数 参数说明 取值
esc 指定以ASCII码形式输入URL。 -
url-addr 指定CRL发布点CDP(CRL Distribution Point)的URL。 字符串形式,不支持空格,区分大小写,必须以“http://”开头,长度范围是1~128。
from-ca 指定从CA证书中获取CDP URL。 -

视图

PKI域视图

缺省级别

2:配置级

使用指南

应用场景

PKI实体通过HTTP方式自动更新CRL来检查证书有效性时,必须根据CDP URL与HTTP服务器建立连接,然后从HTTP服务器中获取CRL。缺省情况下,PKI实体利用本地证书的CDP信息中指定的机制(HTTP方式)和URL来定位和下载CRL。如果用户不想根据本地证书中的CDP URL来下载CRL,则可以配置本命令指定从CA证书中获取CDP URL或者手工指定CDP URL。

当使用SCEP方式自动更新CRL时,也可以通过本命令指定CRL的URL。

注意事项

本地配置的CRL发布点的URL会覆盖证书中携带的CDP。如果证书中没有CDP信息并且本地也没有配置CDP URL,则设备通过SCEP方式向CA请求证书的CRL。

关键字esc作用是支持以ASCII码形式输入包含“?”的URL地址,格式必须为“\x3f”,3f为字符“?”的16进制ASCII码。例如,如果用户想输入“http://abc.com?page1”,则对应的URL为“http://abc.com\x3fpage1”;如果用户想同时输入“?”和“\x3f”(http://www.abc.com?page1\x3f),则对应的URL为“http://www.abc.com\x3fpage1\\x3f”。

使用实例

# 配置CRL发布点的URL为http://10.1.1.1/certenroll/ca_root.crl。

<HUAWEI> system-view
[HUAWEI] pki realm d1
[HUAWEI-pki-realm-d1] crl scep 
[HUAWEI-pki-realm-d1] cdp-url http://10.1.1.1/certenroll/ca_root.crl

# 配置CRL发布点的URL为http://www.abc.com/certenroll/ca_root.crl。

<HUAWEI> system-view
[HUAWEI] pki realm d1
[HUAWEI-pki-realm-d1] crl scep
[HUAWEI-pki-realm-d1] cdp-url http://www.abc.com/certenroll/ca_root.crl

certificate-check

命令功能

certificate-check命令用来配置PKI域中证书吊销状态的检查方式。

undo certificate-check命令用来取消PKI域中配置的证书吊销状态的检查方式。

缺省情况下,PKI域中证书吊销状态的检查方式为CRL。

命令格式

certificate-check { crl [ none ] | none }

undo certificate-check

参数说明

参数 参数说明 取值
crl

指定检查方式为证书废除列表CRL(Certificate Revocation List)。

-
none

指定不对证书吊销状态进行检查。

-

视图

PKI域视图

缺省级别

2:配置级

使用指南

当PKI实体验证对端证书时,经常需要检查对端证书是否有效,例如对端证书是否过期、是否被加入CRL。此时,可以配置本命令来检查对端证书状态。

PKI域中证书吊销状态的检查有以下几种方式:

  • CRL方式

    • 如果CA支持作为CRL发布点CDP,当CA签发证书时,在证书中会包含CDP信息,用以描述获取该证书CRL的途径和方式。PKI实体利用CDP中指定的机制(HTTP方式)和地址来定位和下载CRL。如果PKI域下配置了CDP的URL地址,该地址将覆盖证书中携带的CDP信息,PKI实体使用配置的URL来获取CRL。

    • 如果CA不支持CDP,本地又没有配置CDP的URL地址,PKI实体可以使用SCEP协议获取CRL。
  • None方式

    如果PKI实体没有可用的CRL服务器,或者不需要检查对端证书状态,可以采用None方式,即不检查证书是否被撤销。

用户可以根据实际需求选择以下配置:

  • 配置certificate-check crl命令,则只使用CRL方式。
  • 配置certificate-check crl none命令,先使用CRL方式,如果CRL方式不可用,则认为证书有效。
  • 配置certificate-check none命令,不对证书吊销状态进行检查。

注意事项

执行命令certificate-check crl后,设备上没有CRL文件时,证书校验失败,证书无效。

使用实例

# 为PKI域test配置证书吊销状态的检查方式为CRL方式,如果CRL方式不可用,则认为证书有效。

<HUAWEI> system-view
[HUAWEI] pki realm test 
[HUAWEI-pki-realm-test] certificate-check crl none

common-name

命令功能

common-name命令用来配置PKI实体的通用名称。

undo common-name命令用来删除PKI实体的通用名称。

缺省情况下,系统未配置PKI实体的通用名称。

命令格式

common-name common-name

undo common-name

参数说明

参数 参数说明 取值
common-name 指定PKI实体的通用名称。 字符串形式,区分大小写,长度范围为1~64。支持的字符为英文字母、数字、撇号(')、等号(=)、小括号(( ))、加号(+)、逗号(,)、减号(-)、句号(.)、斜杠(/)、冒号(:)以及空格。

视图

PKI实体视图

缺省级别

2:配置级

使用指南

PKI实体创建后,需要配置PKI实体的通用名来唯一标识一个PKI实体。

执行本命令配置PKI实体的通用名后,设备进行证书申请时,发送给CA服务器的证书请求消息中会携带该信息。CA服务器接收到证书请求报文后,验证该请求的有效性。如果请求有效,则生成PKI实体的数字证书,该数字证书中会包含PKI实体的通用名信息。

使用实例

# 配置实体的通用名称为test。

<HUAWEI> system-view
[HUAWEI] pki entity entity1
[HUAWEI-pki-entity-entity1] common-name test
相关主题

country(PKI实体视图)

命令功能

country命令用来配置PKI实体所属的国家代码。

undo country命令用来删除PKI实体所属的国家代码。

缺省情况下,系统未配置PKI实体的国家代码。

命令格式

country country-code

undo country

参数说明

参数 参数说明 取值
country-code 指定PKI实体所属的国家代码。 用标准的两字母代码表示。如果输入的国家代码包含小写字母,创建证书请求文件时系统自动将小写字母转换为对应的大写字母。可以在ISO3166中查询国家代码。例如,“CN”是中国的合法国家代码,“US” 是美国的合法国家代码。

视图

PKI实体视图

缺省级别

2:配置级

使用指南

PKI实体的参数是PKI实体的身份信息,CA根据PKI实体提供的身份信息来唯一标识证书申请者。为了更好的标识证书所有者的身份,可以配置PKI实体的国家代码,作为PKI实体的一种别名。

执行本命令配置PKI实体的国家代码后,设备进行证书申请时,发送给CA服务器的证书请求消息中会携带该信息。CA服务器接收到证书请求报文后,验证该请求的有效性。如果请求有效,则生成实体的数字证书,该数字证书中会包含PKI实体的国家代码信息。

使用实例

# 配置PKI实体所属的国家代码为CN。

<HUAWEI> system-view
[HUAWEI] pki entity entity1
[HUAWEI-pki-entity-entity1] country CN
相关主题

crl auto-update enable

命令功能

crl auto-update enable命令用来开启CRL自动更新功能。

undo crl auto-update enable命令用来关闭CRL自动更新功能。

缺省情况下,CRL自动更新功能处于开启状态。

命令格式

crl auto-update enable

undo crl auto-update enable

参数说明

视图

PKI域视图

缺省级别

2:配置级

使用指南

当需要配置设备自动更新CRL功能时,请先开启CRL自动更新功能。

使用实例

# 开启CRL自动更新功能。

<HUAWEI> system-view
[HUAWEI] pki realm d1
[HUAWEI-pki-realm-d1] crl auto-update enable

crl cache

命令功能

crl cache命令用来配置允许PKI域使用缓存中的CRL。

undo crl cache命令用来配置不允许PKI域使用缓存中的CRL,即每次都需要重新获取最新的CRL。

缺省情况下,系统允许PKI域使用缓存中的CRL。

命令格式

crl cache

undo crl cache

参数说明

视图

PKI域视图

缺省级别

2:配置级

使用指南

使用CRL验证证书时,会将缓存中的CRL覆盖内存中的CRL并用来验证证书。如果不允许PKI域使用缓存中的CRL,则每次需要时都将重新下载最新的CRL,覆盖内存中老的CRL。

使用实例

# 配置一个PKI域abc,允许PKI域使用缓存中的CRL。

<HUAWEI> system-view
[HUAWEI] pki realm abc
[HUAWEI-pki-realm-abc] crl cache

crl http

命令功能

crl http命令用来配置使用HTTP方式自动更新CRL。

缺省情况下,使用HTTP方式自动更新CRL。

命令格式

crl http

参数说明

视图

PKI域视图

缺省级别

2:配置级

使用指南

使用HTTP方式自动更新CRL时,需配置本命令,并确保设备的存储介质中有足够的剩余空间容纳CRL文件,避免更新失败

使用实例

# 配置使用HTTP方式自动更新CRL。

<HUAWEI> system-view
[HUAWEI] pki realm d1
[HUAWEI-pki-realm-d1] crl http

crl scep

命令功能

crl scep命令用来配置使用SCEP方式自动更新CRL。

缺省情况下,使用HTTP方式自动更新CRL。

命令格式

crl scep

参数说明

视图

PKI域视图

缺省级别

2:配置级

使用指南

使用SCEP方式自动更新CRL时,需配置本命令,并确保设备的存储介质中有足够的剩余空间容纳CRL文件,避免更新失败

使用实例

# 配置使用SCEP方式自动更新CRL。

<HUAWEI> system-view
[HUAWEI] pki realm d1
[HUAWEI-pki-realm-d1] crl scep

crl update-period

命令功能

crl update-period命令用来配置CRL自动更新的时间间隔。

undo crl update-period命令用来恢复CRL自动更新的时间间隔为缺省值。

缺省情况下,CRL自动更新的时间间隔为8小时。

命令格式

crl update-period interval

undo crl update-period

参数说明

参数 参数说明 取值
interval 指定CRL自动更新的时间间隔。 整数形式,取值范围为1~720,单位为小时。

视图

PKI域视图

缺省级别

2:配置级

使用指南

CRL的更新周期是指使用证书的终端实体从CRL存储服务器下载CRL的时间间隔。CA/RA不会主动把CRL发布给终端实体,而是由终端实体主动发起CRL查询,本命令配置的即为终端实体主动下载CRL的时间间隔。

使用实例

# 配置CRL自动更新的时间间隔为21小时。

<HUAWEI> system-view
[HUAWEI] pki realm d1
[HUAWEI-pki-realm-d1] crl update-period 21

display pki ca-capability

命令功能

display pki ca-capability命令用来显示PKI域相对应的CA能力。

命令格式

display pki ca-capability realm realm-name

参数说明

参数

参数说明

取值

realm realm-name

指定PKI域名称。

必须是已存在的PKI域名称。

视图

所有视图

缺省级别

3:管理级

使用指南

通过该命令可显示PKI域相对应的CA能力。

使用实例

# 显示PKI域“asdf”相对应的CA能力。

<HUAWEI> display pki ca-capability realm asdf
PKI CA Capabilities :
  GetNextCACert      :  ---- 
  POSTPKIOperation   :  ---- 
  Renewal            :  ----
  SHA-512            :  ----
  SHA-256            :  ----
  SHA-1              :  ----
  DES3               :  ---- 
表14-95  display pki ca-capability命令输出信息描述

项目

描述

PKI CA Capabilities

PKI域的CA能力。

GetNextCACert

获取下一个CA证书。

POSTPKIOperation

发送PKI操作信息。

Renewal

证书更新。

SHA-512

SHA-512算法。

SHA-256

SHA-256算法。

SHA-1 SHA-1算法。
DES3 DES3算法。

display pki cert-req

命令功能

display pki cert-req命令用来查看证书请求文件的内容。

命令格式

display pki cert-req filename file-name

参数说明

参数 参数说明 取值
filename file-name 指定证书请求文件的名称。 必须是已存在的证书请求文件名称。

视图

所有视图

缺省级别

3:管理级

使用指南

用户需要查看证书请求文件的内容时,执行本命令查看证书主题、公钥算法、公钥模数、属性和签名算法等信息。

使用实例

# 查看名称为test.req的证书请求文件的内容。

<HUAWEI> display pki cert-req filename test.req
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=CN, ST=Jiangsu, L=Beijing, O=org1, OU=Group1,Sale, CN=huawei
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c4:01:cf:95:bb:fb:35:f0:3e:cd:1d:10:9e:11:
                    08:2e:77:48:ba:1b:e6:00:1b:43:30:56:f9:9a:6b:
                    ed:8b:fe:3e:03:57:38:02:48:88:e3:9b:39:d0:1c:
                    2b:8f:6a:9b:91:17:9b:ce:cb:fc:87:40:78:39:08:
                    1c:53:c3:71:cc:db:64:6f:ec:5a:cd:33:a5:68:5e:
                    e6:52:61:ad:a1:58:55:f0:a0:0f:db:ab:05:eb:a4:
                    fe:e1:68:61:8c:af:2c:3a:34:95:d2:41:ee:09:e7:
                    b0:fc:59:d9:f4:12:00:de:ab:14:b6:a3:fe:29:75:
                    f7:dd:7b:aa:03:81:fc:ae:41:8c:e4:ad:e3:d9:65:
                    d4:be:a0:c1:e0:43:8a:91:ad:20:7b:6f:12:25:6e:
                    0d:67:7d:4c:fe:8d:1b:6d:f3:96:07:31:ed:73:d3:
                    71:6b:51:18:64:bd:41:d6:18:2d:2d:86:b7:fa:26:
                    eb:cc:cb:a3:0f:0b:61:22:fd:dd:5f:b4:4d:9b:7d:
                    bc:fa:af:e6:95:d7:27:f1:60:31:56:83:58:2c:40:
                    1a:5e:6a:94:63:aa:70:2f:9b:00:e0:a3:9e:fb:73:
                    62:5e:1c:3c:5f:48:42:7c:26:8f:5f:cf:39:b9:5d:
                    25:90:8e:6c:e0:04:ec:e2:1b:1f:a8:0d:d2:ef:20:
                    41:79
                Exponent: 65537 (0x10001)
        Attributes:
            challengePassword        :******
        Requested Extensions:
            X509v3 Subject Alternative Name:
                IP Address:10.1.1.1, DNS:example.com, email:test@example.com
    Signature Algorithm: sha256WithRSAEncryption
         71:e7:c0:5f:36:c9:16:eb:fc:0c:8e:d1:4f:3d:ee:25:6b:47:
         65:86:4b:89:ec:22:01:42:a5:0e:5c:aa:01:0a:57:a9:25:ba:
         1b:59:6d:77:5f:74:80:3b:af:f9:37:75:97:9a:ca:80:73:8b:
         36:14:2c:4b:9a:2f:53:5c:5b:4a:93:31:88:94:0f:4d:58:84:
         36:41:e8:a8:6c:cd:f0:bb:9f:51:50:b2:a4:40:f4:ec:37:c5:
         42:08:69:b5:c5:fd:af:3d:8a:aa:47:53:d3:ce:bc:76:ec:47:
         ca:36:90:0b:49:2b:2f:04:c4:1f:f1:12:b6:99:d0:f8:33:d8:
         08:d0:32:ac:ee:34:0f:07:ef:72:9f:6b:71:80:3e:8d:37:cc:
         ca:b5:c1:56:3d:65:c7:e6:99:1b:2b:53:01:69:f5:8a:18:05:
         d1:b1:48:3e:50:e0:4c:7f:db:dc:b7:cd:a2:37:f9:96:cd:0d:
         ee:61:c2:80:61:6b:99:c0:76:0d:ab:2c:46:ce:b7:aa:6a:12:
         72:b7:6f:64:cc:78:b7:16:bd:c5:32:45:79:42:cf:4c:28:91:
         ce:cd:7d:da:eb:2b:3a:cf:90:1f:61:5e:02:25:fe:3c:82:66:
         d4:e8:c7:f8:5e:84:2c:f6:b2:f0:ba:ee:7a:c1:9b:d4:68:02:
         a4:e3:27:89
表14-96  display pki cert-req命令输出信息描述

项目

描述

Certificate Request 证书请求文件的信息。
Data 证书请求文件的数据。
Version 证书请求文件的版本。
Subject

证书请求文件的主题。包含如下属性:

Subject Public Key Info 证书请求文件的主体公钥信息。
Public Key Algorithm 公钥算法。
Public-Key RSA公钥。可通过rsa local-key-pair命令配置。
Modulus 密钥模数。
Exponent 密钥指数。
Attributes 证书请求文件的属性。
challengePassword 证书申请时使用的挑战密码。可通过pki enroll-certificate命令配置。
Requested Extensions

证书请求的扩展。

X509v3 Subject Alternative Name

X.509v3主题的备用名称。

IP Address

PKI实体的IP地址。可通过ip-address命令配置。

DNS

PKI实体的DNS名。可通过fqdn命令配置。

email

PKI实体的电子邮箱地址。可通过email命令配置。

Signature Algorithm 签名算法。可通过enrollment-request signature message-digest-method命令配置。

display pki certificate

命令功能

display pki certificate命令用来查看设备上已加载的CA证书或本地证书的内容。

命令格式

display pki certificate { ca | local } realm realm-name

display pki certificate filename file-name

参数说明

参数 参数说明 取值
ca 指定查看CA证书内容。 -
local 指定查看本地证书内容。 -
realm realm-name 指定待查看的证书所在的域名。 必须是已存在的PKI域名。
filename file-name 指定证书文件的名称。 必须是已存在的证书文件名称。

视图

所有视图

缺省级别

命令display pki certificate filename file-name缺省级别为3:管理级。其他命令缺省级别为2:配置级。

使用指南

用户需要查看CA证书、本地证书的详细内容时,执行本命令查看证书的签名算法、证书的颁发者、证书的有效期、证书的主题和证书的主体公钥信息等。

使用实例

# 查看CA证书。

<HUAWEI> display pki certificate ca realm abc
 The x509 object type is certificate:
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            0c:f0:1a:f3:67:21:44:9a:4a:eb:ec:63:75:5d:d7:5f
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: CN=ca_root
        Validity
            Not Before: Jun  4 14:58:17 2015 GMT
            Not After : Jun  4 15:07:10 2020 GMT
        Subject: CN=ca_root
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:d9:5f:2a:93:cb:66:18:59:8c:26:80:db:cd:73:
                    d5:68:92:1b:04:9d:cf:33:a2:73:64:3e:5f:fe:1a:
                    53:78:0e:3d:e1:99:14:aa:86:9b:c3:b8:33:ab:bb:
                    76:e9:82:f6:8f:05:cf:f6:83:8e:76:ca:ff:7d:f1:
                    bc:22:74:5e:8f:4c:22:05:78:d5:d6:48:8d:82:a7:
                    5d:e1:4c:a4:a9:98:ec:26:a1:21:07:42:e4:32:43:
                    ff:b6:a4:bd:5e:4d:df:8d:02:49:5d:aa:cc:62:6c:
                    34:ab:14:b0:f1:58:4a:40:20:ce:be:a5:7b:77:ce:
                    a4:1d:52:14:11:fe:2a:d0:ac:ac:16:95:78:34:34:
                    21:36:f2:c7:66:2a:14:31:28:dc:7f:7e:10:12:e5:
                    6b:29:9a:e8:fb:73:b1:62:aa:7e:bd:05:e5:c6:78:
                    6d:3c:08:4c:9c:3f:3b:e0:e9:f2:fd:cb:9a:d1:b7:
                    de:1e:84:f4:4a:7d:e2:ac:08:15:09:cb:ee:82:4b:
                    6b:bd:c6:68:da:7e:c8:29:78:13:26:e0:3c:6c:72:
                    39:c5:f8:ad:99:e4:c3:dd:16:b5:2d:7f:17:e4:fd:
                    e4:51:7a:e6:86:f0:e7:82:2f:55:d1:6f:08:cb:de:
                    84:da:ce:ef:b3:b1:d6:b3:c0:56:50:d5:76:4d:c7:
                    fb:75
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            1.3.6.1.4.1.311.20.2:
                ...C.A
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier:
                B8:63:72:A4:5E:19:F3:B1:1D:71:E1:37:26:E1:46:39:01:B6:82:C5
            X509v3 CRL Distribution Points:

                Full Name:
                  URI:http://vasp-e6000-127.china.huawei.com/CertEnroll/ca_root.
crl
                  URI:file://\\vasp-e6000-127.china.huawei.com\CertEnroll\ca_roo
t.crl

            1.3.6.1.4.1.311.21.1:
                ...
    Signature Algorithm: sha1WithRSAEncryption
         52:21:46:b8:67:c8:c3:4a:e7:f8:cd:e1:02:d4:24:a7:ce:50:
         be:33:af:8a:49:47:67:43:f9:7f:79:88:9c:99:f5:87:c9:ff:
         08:0f:f3:3b:de:f9:19:48:e5:43:0e:73:c7:0f:ef:96:ef:5a:
         5f:44:76:02:43:83:95:c4:4e:06:5e:11:27:69:65:97:90:4f:
         04:4a:1e:12:37:30:95:24:75:c6:a4:73:ee:9d:c2:de:ea:e9:
         05:c0:a4:fb:39:ec:5c:13:29:69:78:33:ed:d0:18:37:6e:99:
         bc:45:0e:a3:95:e9:2c:d8:50:fd:ca:c2:b3:5a:d8:45:82:6e:
         ec:cc:12:a2:35:f2:43:a5:ca:48:61:93:b9:6e:fe:7c:ac:41:
         bf:88:70:57:fc:bb:66:29:ae:73:9c:95:b9:bb:1d:16:f7:b4:
         6a:da:03:df:56:cf:c7:c7:8c:a9:19:23:61:5b:66:22:6f:7e:
         1d:26:92:69:53:c8:c6:0e:b3:00:ff:54:77:5e:8a:b5:07:54:
         fd:18:39:0a:03:ac:1d:9f:1f:a1:eb:b9:f8:0d:21:25:36:d5:
         06:de:33:fa:7b:c8:e9:60:f3:76:83:bf:63:c6:dc:c1:2c:e4:
         58:b9:cb:48:15:d2:a8:fa:42:72:15:43:ef:55:63:39:58:77:
         e8:ae:0f:34

Pki realm name: abc
Certificate file name: abc_ca.cer
Certificate peer name: -
表14-97  display pki certificate命令输出信息描述

项目

描述

The x509 object type is certificate

x509对象类型为证书。

Certificate 证书的信息。
Data 证书的数据。
Version 证书的版本。
Serial Number 证书的序列号。
Signature Algorithm 证书的签名算法。可通过enrollment-request signature message-digest-method命令配置。
Issuer 证书的颁发者。
Validity 证书的有效期。
Subject 证书的主题。包含如下属性:
Subject Public Key Info 证书的主体公钥信息。
Public Key Algorithm 公钥算法。

Public-Key

RSA公钥。可通过rsa local-key-pair命令配置。
Modulus 密钥模数。
Exponent 密钥指数。
X509v3 extensions X.509v3证书扩展项。
X509v3 Key Usage 密钥用途。
X509v3 Basic Constraints 基本限制。
CA CA是否可以信任。
X509v3 Subject Key Identifier 主体密钥标识符。
X509v3 CRL Distribution Points CRL分发点。
Full Name CRL发布点全名。
Pki realm name PKI域名。可通过pki realm(系统视图)命令配置。
Certificate file name 证书文件名。可通过pki import-certificate命令配置。
Certificate peer name 对端证书名称。

display pki certificate enroll-status

命令功能

display pki certificate enroll-status命令用来查看证书的注册状态。

命令格式

display pki certificate enroll-status [ realm realm-name ]

参数说明

参数 参数说明 取值
realm realm-name 指定待查看的证书所在的域名。 必须是已存在的PKI域的名称。

视图

所有视图

缺省级别

1:监控级

使用指南

用户需要查看证书注册状态时,可以执行本命令。

使用实例

# 查看证书的注册状态。

<HUAWEI> display pki certificate enroll-status realm abc
 Certificate Request Transaction 1 
    Status: Pending
    Key Usage: ENC&SIG
    Entity name: test
    Remain polling count: 1
    Next polling after : 35 seconds
<HUAWEI> display pki certificate enroll-status realm abc
 info: No certificate request transaction in realm abc.
表14-98  display pki certificate enroll-status命令输出信息描述

项目

描述

Certificate Request Transaction

证书注册请求进程。

Status

证书注册状态。

Pending:表示证书正在注册中。

Key Usage

证书公钥用途:
  • ENC:表示证书公钥用于加密。
  • SIG:表示证书公钥用于签名。

Entity name

实体名。

Remain polling count

剩余发起证书注册请求的次数。

Next polling after

下次启动证书注册请求的时间。

No certificate request transaction

没有证书注册请求进程。

display pki credential-storage-path

命令功能

display pki credential-storage-path命令用来查看证书的缺省保存路径。

缺省情况下,证书的缺省保存路径为“flash:/”目录下。

命令格式

display pki credential-storage-path

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

用户需要查看证书的缺省保存路径时,可以执行本命令。

使用实例

# 查看证书的缺省保存目录。

<HUAWEI> display pki credential-storage-path
 The pki credential-storage-path is flash:/ .

display pki crl

命令功能

display pki crl命令用来查看设备中的CRL内容。

命令格式

display pki crl { realm realm-name | filename filename }

参数说明

参数 参数说明 取值
realm realm-name 指定证书所在PKI的域名称。 必须是已存在的PKI域名称。
filename filename 指定要导入的证书文件名称。 必须是已存在的证书文件名称。

视图

所有视图

缺省级别

3:管理级

使用指南

用户需要查看CRL详细内容时,执行本命令查看签名算法、颁发者信息、更新时间、被吊销的证书、CRL的序列号和吊销时间等信息。

使用实例

# 查看PKI域abc下的CRL内容。

<HUAWEI> display pki crl realm abc
 The x509 object type is CRL:   
Certificate Revocation List (CRL):                                              
        Version 2 (0x1)                                                         
    Signature Algorithm: sha1WithRSAEncryption                                  
        Issuer: /CN=ca_root                                                     
        Last Update: Dec 15 08:24:28 2015 GMT                                   
        Next Update: Dec 22 20:44:28 2015 GMT                                   
        CRL extensions:                                                         
            X509v3 Authority Key Identifier:                                    
                keyid:B8:63:72:A4:5E:19:F3:B1:1D:71:E1:37:26:E1:46:39:01:B6:82:C
5                         
            1.3.6.1.4.1.311.21.1:                                               
                ...                                                             
            X509v3 CRL Number:                                                  
                365                                                             
            1.3.6.1.4.1.311.21.4:                                               
151222083428Z   .                                                               
Revoked Certificates:                                                           
    Serial Number: 28C63371000000003E04                                         
        Revocation Date: Dec 15 08:34:27 2015 GMT                               
        CRL entry extensions:                                                   
            X509v3 CRL Reason Code:                                             
                Key Compromise                                                  
    Serial Number: 28C2AB44000000003E01                                         
        Revocation Date: Dec 15 08:30:35 2015 GMT                               
        CRL entry extensions:                                                   
            X509v3 CRL Reason Code:                                             
                Key Compromise                                                  
    Serial Number: 2364247C000000003D48                                         
        Revocation Date: Dec 14 07:29:05 2015 GMT                               
        CRL entry extensions:                                                   
            X509v3 CRL Reason Code:                                             
                Key Compromise                                                  
    Serial Number: 23627E0F000000003D47                                         
        Revocation Date: Dec 14 07:27:29 2015 GMT                               
        CRL entry extensions:                                                   
            X509v3 CRL Reason Code:                                             
                Key Compromise                                                  
    Serial Number: 2360F397000000003D46                                         
        Revocation Date: Dec 14 07:25:48 2015 GMT                               
        CRL entry extensions:                                                   
            X509v3 CRL Reason Code:                                             
                Key Compromise                                                        
    Signature Algorithm: sha1WithRSAEncryption                                  
         7a:71:54:d1:66:13:6f:9f:62:03:ac:9a:5f:42:10:15:87:46:                 
         e2:a1:49:0f:44:19:ce:ed:6f:c3:0e:9f:31:fe:62:d5:08:0b:                 
         a4:a7:7e:80:4d:9a:5b:a9:55:5c:1a:73:30:62:48:e1:28:0e:                 
         5b:bd:ae:04:7e:83:36:43:62:fc:f7:12:0d:f9:f6:ac:2b:be:                 
         9c:50:6c:67:19:43:12:31:67:c2:06:31:97:e1:34:75:1c:87:                 
         53:5f:e6:15:a1:33:ad:00:e7:14:68:59:05:67:28:78:a0:91:                 
         49:7b:ab:87:9f:9e:53:18:4b:54:53:1c:b7:1c:2d:3e:b3:57:                 
         63:95:1d:01:29:9e:6c:41:07:40:2d:28:d8:82:7b:d6:22:e6:                 
         0d:0c:4c:af:84:96:8e:f1:29:28:d4:9e:1c:37:3b:1b:2e:34:                 
         a7:15:e3:29:d1:c0:69:0a:7f:24:b1:ce:00:f1:b3:da:ef:8a:                 
         1b:14:36:f9:14:6c:b0:66:86:a8:92:95:fc:e3:78:aa:d6:d0:                 
         cb:4d:26:b4:bc:41:c4:47:19:d0:2a:0c:ac:c6:aa:95:c2:03:                 
         33:8a:39:45:3e:c3:ad:46:7d:8a:03:4d:08:e2:d0:9a:ae:39:                 
         fa:8d:61:d0:1c:6c:03:d4:48:2e:4d:37:60:a1:06:a4:ea:c8:                 
         0d:20:59:c2                                                            
                                                                                
Pki realm name: abc                                                             
CRL file name: abc.crl 
表14-99  display pki crl命令输出信息描述

项目

描述

The x509 object type is CRL

x509对象类型为CRL。

Certificate Revocation List (CRL)

CRL的信息。

Signature Algorithm 签名算法。
Issuer 颁发者信息。

Last Update

上一次更新时间。

Next Update

下一次更新时间。

CRL extensions

CRL扩展。

X509v3 Authority Key Identifier X509v3机构密钥标识符。

X509v3 CRL Number

X509v3 CRL编号。

Revoked Certificates

被吊销的证书。

Serial Number

CRL的序列号。

Revocation Date

吊销时间。

CRL entry extensions CRL条目扩展。
X509v3 CRL Reason Code CRL吊销原因代码。
Signature Algorithm 签名算法。可通过enrollment-request signature message-digest-method命令配置。
Pki realm name PKI域名。可通过pki realm(系统视图)命令配置。
CRL file name CRL文件名。可通过pki import-crl命令配置。

display pki entity

命令功能

display pki entity命令用来查看PKI实体信息。

命令格式

display pki entity [ entity-name ]

参数说明

参数 参数说明 取值
entity-name 指定PKI实体的名称。不指定entity-name参数时查看所有实体的信息。 必须是已存在的PKI实体名称。

视图

所有视图

缺省级别

1:监控级

使用指南

用户需要查看PKI实体信息时,执行本命令查看实体名称、实体通用名称、实体所在国家、实体所在省、实体所在位置和实体所属组织等信息。

使用实例

# 查看所有PKI实体的信息。

<HUAWEI> display pki entity
PKI Entity Information:

  Entity Name      : a                                                          
  Common name      : chi                                                        
  Country          : -                                                          
  State            : A                                                          
  Locality         : -                                                          
  Organization     : A                                                          
  Organization unit: -                                                          
  FQDN             : www. e                                                     
  IP address       : -                                                          
  Email            : - 
  Serial-number    : - 
 Total Number: 1                         
表14-100  display pki entity命令输出信息描述

项目

描述

PKI Entity Information

PKI实体信息。

Entity Name

实体名称。可通过pki entity命令配置。

Common name

实体通用名称。可通过common-name命令配置。

Country

实体所在国家。可通过country(PKI实体视图)命令配置。

State

实体所在省。可通过state(PKI实体视图)命令配置。

Locality

实体所在位置。可通过locality命令配置。

Organization

实体所属组织。可通过organization命令配置。

Organization unit

实体所属组织单元。可通过organization-unit命令配置。

FQDN

实体的FQDN名称。可通过fqdn命令配置。

IP address

实体的IP地址。可通过ip-address命令配置。

Email

电子邮箱。可通过email命令配置。

Serial-number

实体的序列号。可通过serial-number命令配置。

display pki peer-certificate

命令功能

display pki peer-certificate命令用来查看已导入的对端实体证书。

命令格式

display pki peer-certificate { name peer-name | all }

参数说明

参数

参数说明

取值

name peer-name

指定对端实体证书的名称。

必须是已存在的对端实体证书名称。

all

显示所有的对端实体证书的概要信息。

-

视图

所有视图

缺省级别

2:配置级

使用指南

用户需要查看已导入的对端实体证书的内容时,可以执行本命令查看证书的签名算法、证书签发者、证书有效期、证书的主题、证书公钥信息和PKI域名等信息。

使用实例

# 查看设备上所有的对端实体证书。

<HUAWEI> display pki peer-certificate all
  Peer certificate name :abcd
  Serial Number:
    12 19 3c d3 00 00 00 00 04 9a
  Subject:
    CN=a

Total Number: 1

# 查看设备上名为“abcd”的对端实体证书。

<HUAWEI> display pki peer-certificate name abcd
The x509 object type is certificate:                                           
Certificate:                                                                    
    Data:                                                                       
        Version: 3 (0x2)                                                        
        Serial Number:                                                          
            12:19:3c:d3:00:00:00:00:04:9a                                       
    Signature Algorithm: sha1WithRSAEncryption                                  
        Issuer: CN=CA_ROOT                                                      
        Validity                                                                
            Not Before: Feb 19 13:00:22 2013 GMT                                
            Not After : Feb 19 13:10:22 2014 GMT                                
        Subject: CN=a                                                           
        Subject Public Key Info:                                                
            Public Key Algorithm: rsaEncryption                                 
                Public-Key: (512 bit)                                           
                Modulus:                                                        
                    00:b9:8b:47:65:a9:99:ed:58:b2:63:74:65:56:d1:               
                    08:bb:1d:8f:4e:ed:72:a2:4a:ef:d8:45:3d:53:db:               
                    c8:eb:df:53:9e:5f:c7:96:46:65:14:1a:ab:72:e9:               
                    a2:71:c8:7a:f0:51:0c:cc:39:bb:14:75:7d:f1:bc:               
                    88:2c:a7:2e:e9                                              
                Exponent: 65537 (0x10001)                                       
        X509v3 extensions:                                                      
            X509v3 Subject Key Identifier:                                      
                E2:5B:8A:03:58:01:C8:E3:14:BC:18:5B:F9:BD:00:68:5B:D1:90:4E     
            X509v3 Authority Key Identifier:                                    
                keyid:CE:BA:CA:39:C7:AD:6A:CB:85:17:D0:8A:8E:28:02:0B:52:D4:D9:2
B                                                                               
                                                                                
            X509v3 CRL Distribution Points:                                     
                                                                                
                Full Name:                                                      
                  URI:http://10.136.55.76:8080/CertEnroll/CA_ROOT.crl           
                                                                                
            Authority Information Access:                                       
                CA Issuers - URI:ldap:///CN=CA_ROOT,CN=AIA,CN=Public%20Key%20Ser
vices,CN=Services,CN=Configuration,DC=esap,DC=com?cACertificate?base?objectClass
=certificationAuthority                                                         
                CA Issuers - URI:http://huawei-nzm5gw2g.esap.com/CertEnroll/huaw
ei-nzm5gw2g.esap.com_CA_ROOT.crt                                                
                                                                                
            1.3.6.1.4.1.311.20.2:                                               
                .0.I.P.S.E.C.I.n.t.e.r.m.e.d.i.a.t.e.O.f.f.l.i.n.e              
    Signature Algorithm: sha1WithRSAEncryption                                  
         bb:8b:77:af:ae:df:2e:0c:bd:7a:29:6e:76:23:ad:7d:69:6d:                 
         0d:16:d9:18:82:ad:4f:52:b3:cd:1c:1a:fc:34:00:33:36:8d:                 
         47:2a:20:24:52:b7:02:75:cc:ab:3b:4c:f8:2a:a9:a9:4f:46:                 
         fb:c2:21:00:c1:b5:c2:67:0c:b1:99:2a:62:7b:71:4d:e7:c2:                 
         93:29:bb:ec:b1:e9:28:82:2f:77:61:ec:28:66:35:cb:5f:15:                 
         04:73:77:d8:26:91:7b:a2:56:74:51:33:0b:f1:04:28:24:b2:                 
         71:58:ad:5c:f8:96:17:0d:f7:b7:5f:4b:b9:ed:09:79:bc:54:                 
         21:c5:9b:90:f7:7b:21:aa:5a:aa:6f:51:e4:79:ce:b8:35:8b:                 
         19:90:51:94:e6:c2:61:f8:24:46:85:4c:a9:69:bd:8a:ef:c2:                 
         64:b8:19:ab:0b:6b:ec:34:41:8d:43:43:44:d1:1b:4c:4a:23:                 
         cd:40:52:7a:2e:8c:5d:b6:62:55:93:45:c8:3e:de:b1:51:82:                 
         d0:bb:7c:b8:09:7b:97:08:7b:93:17:40:a8:6f:2d:ed:f4:3e:                 
         36:10:2a:20:e3:47:e1:fb:ad:fe:97:73:a7:53:d0:f8:52:ca:                 
         b6:0e:e8:f1:df:6c:7a:37:39:bb:82:f9:03:c9:4a:71:65:df:                 
         6f:37:e6:b7                                                            
                                                                                
Pki realm name: -                                                               
Certificate file name: -                                                        
Certificate peer name: abcd  
表14-101  display pki peer-certificate命令显示信息说明

项目

描述

Peer certificate name 对端证书名称。
The x509 object type is certificate x509对象类型为证书。
Certificate 证书的信息。
Data 证书的数据。
Version 证书的版本。
Serial Number 证书的序列号。
Signature Algorithm 证书的签名算法。

Issuer

证书签发者。

Validity

证书有效期。

Subject 证书的主题。

Subject Public Key Info

证书公钥信息。

Public Key Algorithm

公钥算法。

Public-Key

RSA公钥信息。

Modulus 密钥模数。
Exponent 密钥指数。
X509v3 extensions X509v3证书扩展项。
X509v3 Subject Key Identifier 主体密钥标识符。

X509v3 CRL Distribution Points

CRL发布点信息。

Full Name CRL发布点全名。
Authority Information Access 机构信息访问。
Pki realm name PKI域名。
Certificate file name 证书文件名。
Certificate peer name 对端证书名称。

display pki realm

命令功能

display pki realm命令用来查看PKI域的信息。

命令格式

display pki realm [ realm-name ]

参数说明

参数 参数说明 取值
realm-name 显示指定PKI域的详细信息。若不指定该参数,则查看所有PKI域的详细信息。 必须是已存在的PKI域名称。

视图

所有视图

缺省级别

1:监控级

使用指南

用户需要查看PKI域详细内容时,执行本命令查看PKI域名、PKI域关联的CA、CA证书主题名、通过SCEP注册证书的URL、PKI实体名、CA证书数字指纹算法和CA证书数字指纹等信息。

使用实例

# 查看所有PKI域的信息。

<HUAWEI> display pki realm abc
 Realm Name : abc                                                               
 CA ID: CA_ROOT                                                                 
 CA Name: "/CN=ca_root"                                                         
 Enrollment URL: http://10.136.7.196:8080/certsrv/mscep/mscep.dll               
 Certificate Request Interval(Minutes): 1                                       
 Certificate Request Times: 5                                                   
 Enrollment Mode: RA                                                            
 Enrollment Method: SCEP                                                        
 Entity Name: abc                                                               
 CA Certificate Fingerprint Arithmetic: sha256                                  
 CA Certificate Fingerprint: e71add0744360e91186b828412d279e06dcc15a4ab4bb3d1384
2820396b526a0
 Method for Getting CRL: HTTP                                                   
 CDP URL: -                                                                     
 Certificate Revocation Check Method: -                                         
 RSA Key Name: abc                                                              
 Auto-enroll: Enable 
 Auto-enroll Percent: 100% 
 Auto-enroll Regenerate: Enable
 Auto-enroll Regenerate Key-size: 2048 
 Auto-enroll Updated-effective: Disable 
 Password Cipher: Enable 
 Password: %^%#:,3/YY@~[@(`1DBbZ&o$s`B\@S+3:UT0tF9EzSM:%^%# 
 Crl Update-period(Hours): 8                                                    
 Crl Cache: Enable                                                              
 Key-usage: -                                                                   
 Vpn-instance: -                                                                
 Source IP: -                                                            
 Enrollment-request Signature Message-digest-method: SHA256
                                                                                
 Total Number: 1 
表14-102  display pki realm命令显示信息说明

项目

描述

Realm Name

PKI域名。可通过pki realm(系统视图)命令配置。

CA ID

PKI域关联的CA。

CA Name

CA证书主题名。

Enrollment URL

通过SCEP注册证书的URL。可通过enrollment-url命令配置。

Certificate Request Interval(Minutes)

两次证书注册状态查询之间的时间间隔。

Certificate Request Times

两次证书注册状态查询之间的最大查询次数。

Enrollment Mode

证书注册模式,即是否经过RA注册。可通过enrollment-url命令配置。

Enrollment Method

证书注册方法,可以分为:

  • SCEP:通过SCEP协议从CA发布中心获取证书。

  • Self-Signed:通过自签名方式获取证书。

Entity Name

PKI实体名。可通过entity命令配置。

CA Certificate Fingerprint Arithmetic

CA证书数字指纹算法。可通过fingerprint命令配置。

CA Certificate Fingerprint

CA证书数字指纹。可通过fingerprint命令配置。

Method for Getting CRL

获取CRL的方式:
  • SCEP:指定SCEP方式自动更新CRL。可通过crl scep命令配置。

  • HTTP:指定HTTP方式自动更新CRL。可通过crl http命令配置。

CDP URL

CDP URL地址。可通过cdp-url命令配置。

Crl Cache

是否允许PKI域使用缓存中的CRL。
  • Enable:表示允许。
  • Disable:表示不允许。

可通过crl cache命令配置。

Certificate Revocation Check Method

证书状态检查方式。可通过certificate-check命令配置。

RSA Key Name

RSA密钥名称。可通过rsa local-key-pair命令配置。

Auto-enroll

是否开启证书自动注册功能:
  • Enable:表示开启。
  • Disable:表示不开启。

可通过auto-enroll命令配置。

Auto-enroll Percent

证书有效期的百分比。可通过auto-enroll命令配置。

Auto-enroll Regenerate

证书更新时是否会同时更新RSA密钥对:
  • Enable:表示同时更新。
  • Disable:表示不同时更新。

可通过auto-enroll命令配置。

Auto-enroll Regenerate Key-size

RSA密钥长度。可通过auto-enroll命令配置。

Auto-enroll Updated-effective

是否更新后的证书立即生效:
  • Enable:表示立即生效。
  • Disable:表示不立即生效。

可通过auto-enroll命令配置。

Password Cipher

是否使用挑战密码:
  • Enable:表示使用。
  • Disable:表示不使用。

Password

证书申请或撤销时使用的密码。可通过password(PKI域视图)命令配置。

Crl Update-period(Hours)

CRL自动更新的周期。可通过crl update-period命令配置。

Key-usage

证书请求中携带的证书用途提示信息。可通过key-usage命令配置。

Vpn-instance

PKI域加入的VPN。可通过vpn-instance命令配置。

Source IP

与PKI服务器通信使用的源IP地址。可通过source命令配置。

Enrollment-request Signature Message-digest-method

签名证书注册请求消息使用的摘要算法。可通过enrollment-request signature message-digest-method命令配置。

display pki rsa local-key-pair

命令功能

display pki rsa local-key-pair命令用来查看RSA密钥对及公钥信息。

命令格式

display pki rsa local-key-pair { pem | pkcs12 } filename [ password password ]

display pki rsa local-key-pair [ name key-name ] public [ temporary ]

参数说明

参数 参数说明 取值
pem 指定文件格式为PEM。 -
pkcs12 指定文件格式为PKCS12。 -
filename 指定RSA密钥对的文件名称。 必须是已存在的文件名称。
password password 指定RSA密钥对文件的解密口令。必须与pki export rsa-key-pair命令设置的密码一致。 必须是已存在的RSA密钥对文件的解密口令。
name key-name 指定RSA密钥对名称。 必须是已经存在的RSA密钥对名称。
temporary 查看暂存区域的RSA密钥对信息。 -

视图

所有视图

缺省级别

3:管理级

使用指南

用户需要查看RSA密钥对公钥部分及其相关证书时,可以执行本命令查看密钥对被创建时的时间、密钥对的名称、密钥是否可被导出和密钥对的公钥等信息。

如果没有配置key-name,系统会显示所有的RSA密钥对以及公钥信息。如果配置了key-name,系统只显示指定的RSA密钥对以及公钥信息。

使用实例

# 查看所有的RSA密钥对信息。

<HUAWEI> display pki rsa local-key-pair public 

=====================================================                           
Time of Key pair created: 17:43:42  2016/4/18                                   
Key Name: abc                                                                   
Key Index: 0                                                                    
Key Modules: 2048 bit                                                           
Key Exportable: Yes                                                             
Key Type: RSA signature key                                                     
=====================================================                           
Key code:                                                                       
30820109                                                                        
  02820100                                                                      
    C23344E1 B2C2D653 EB134011 9266C6CC 7C18C45F                                
    440AF31F 98B29D4C D436757B F6785BB5 09EFA2A1                                
    09FDBB24 62F1914D 4F10678F 3BE8E3C0 E6F02FC9                                
    AFE2ADDE 98E07D2C A5732288 A5280D2B 6A785F59                                
    A8D19D37 9B80F7EF 1B15FB77 BD9C54D0 01AF270F                                
    90258F65 1A631282 50002C4F 23EF0482 1F62E356                                
    AC700041 B31AB3B4 5C7EB4C0 AFF2E5AF 3DDA4F4E                                
    F5B86502 08BA7AFE 37204C67 7149AE52 1462F25E                                
    16B777E8 E71BCFBE 0E9E02A7 C5FE6120 304BE6C3                                
    CEB2575A EA24EBB6 BA420994 C50F3662 D8F24F25                                
    0D833865 5A127754 2E954F7F 16292DAA AF9D2371                                
    E669ADFF 4EA9FFF8 CE8488D7 344EBCEB AAA74116                                
    B30EF506 C64A726E B1013CB4 E8FA6707                                         
  0203                                                                          
    010001                                                                      
表14-103  display pki rsa local-key-pair命令输出信息描述

项目

描述

Time of Key pair created

密钥对被创建时的时间。

Key Name

密钥对的名称。可通过pki rsa local-key-pair create命令配置。

Key Index

密钥的索引。

Key Modules

密钥的模数。

Key Exportable

密钥是否可被导出。

Key Type

密钥的类型。

Key code

密钥对的公钥信息。

email

命令功能

email命令用来配置PKI实体的电子邮箱地址。

undo email命令用来删除PKI实体的电子邮箱地址。

缺省情况下,系统未配置PKI实体的电子邮箱地址。

命令格式

email email-address

undo email

参数说明

参数 参数说明 取值
email-address 指定PKI实体的电子邮箱地址。 字符串形式,长度范围为1~128,区分大小写。支持的字符为英文字母、数字、撇号(')、等号(=)、小括号(( ))、加号(+)、减号(-)、句号(.)、斜杠(/)、冒号(:)、@、下划线(_)以及空格。

视图

PKI实体视图

缺省级别

2:配置级

使用指南

PKI实体的参数是PKI实体的身份信息,CA根据PKI实体提供的身份信息来唯一标识证书申请者。为了更好的标识证书所有者的身份,可以配置PKI实体的电子邮箱地址,作为PKI实体的一种别名。

执行本命令配置PKI实体的电子邮箱地址后,设备进行证书申请时,发送给CA服务器的证书请求消息中会携带该信息。CA服务器接收到证书请求报文后,验证该请求的有效性。如果请求有效,则生成PKI实体的数字证书,该数字证书中会包含PKI实体的电子邮箱地址信息。

使用实例

# 配置实体的电子邮箱地址为test@example.com。

<HUAWEI> system-view
[HUAWEI] pki entity entity1
[HUAWEI-pki-entity-entity1] email test@example.com
相关主题

enrollment self-signed

命令功能

enrollment self-signed命令用来配置PKI域的证书获取方式为自签名方式。

undo enrollment self-signed命令用来恢复PKI域的证书获取方式为缺省情况。

缺省情况下,PKI域(不包括缺省PKI域default)的证书获取方式为SCEP方式。

命令格式

enrollment self-signed

undo enrollment self-signed

参数说明

视图

PKI域视图

缺省级别

2:配置级

使用指南

应用场景

配置PKI域的证书获取方式为自签名方式后,设备即可通过default域下产生的自签名证书来支持默认HTTPS功能的实现或用户临时接入网络的需求。

注意事项

设备不支持对内置的自签名证书进行生命周期管理(如证书注册、证书更新、证书撤销等),为了确保设备和证书的安全,建议用户替换为自己的证书。

配置PKI域的证书获取方式为自签名方式时,需要首先清除该PKI域下通过SCEP方式获取的证书。

设备上名称为default的缺省PKI域,其下的证书获取方式为自签名方式。

执行命令enrollment self-signed后,设备自己生成的自签名证书过期时,不会生成证书过期日志。

使用实例

# 配置PKI域abc的证书获取方式为自签名方式。

<HUAWEI> system-view
[HUAWEI] pki realm abc
[HUAWEI-pki-realm-abc] enrollment self-signed

enrollment-request signature message-digest-method

命令功能

enrollment-request signature message-digest-method命令用来配置签名证书注册请求消息使用的摘要算法。

undo enrollment-request signature message-digest-method命令用来恢复签名证书注册请求消息使用的摘要算法为缺省配置。

缺省情况下,签名证书注册请求消息使用的摘要算法为sha-256

命令格式

enrollment-request signature message-digest-method { md5 | sha1 | sha-256 | sha-384 | sha-512 }

undo enrollment-request signature message-digest-method

参数说明

参数 参数说明 取值
md5 指定签名证书注册请求消息使用的摘要算法为MD5。 -
sha1 指定签名证书注册请求消息使用的摘要算法为SHA1。 -
sha-256 指定签名证书注册请求消息使用的摘要算法为SHA2-256。 -
sha-384 指定签名证书注册请求消息使用的摘要算法为SHA2-384。 -
sha-512 指定签名证书注册请求消息使用的摘要算法为SHA2-512。 -

视图

PKI域视图

缺省级别

2:配置级

使用指南

SCEP协议在线申请本地证书时,CA收到PKI实体的证书注册请求消息后,需进行签名认证,认证通过后,才会生成本地证书。

出于安全性要求,推荐使用SHA2算法,不推荐使用MD5和SHA1算法。

使用实例

# 配置签名证书注册请求消息使用的摘要算法为sha-384

<HUAWEI> system-view
[HUAWEI] pki realm e
[HUAWEI-pki-realm-e] enrollment-request signature message-digest-method sha-384

enrollment-url

命令功能

enrollment-url命令用来配置CA服务器的URL。

undo enrollment-url命令用来删除配置的CA服务器的URL。

缺省情况下,系统未配置CA服务器的URL。

命令格式

enrollment-url [ esc ] url [ interval minutes ] [ times count ] [ ra ]

undo enrollment-url

参数说明

参数 参数说明 取值
esc 指定以ASCII码形式输入URL地址。 -
url 指定CA服务器的URL。URL地址格式为http://server_location/ca_script_location。其中,server_location目前支持IP地址和域名解析。ca_script_location是CA在服务器主机上的应用程序脚本的路径。比如:http://10.137.145.158:8080/certsrv/mscep/mscep.dll 字符串形式,不支持空格,区分大小写,必须以“http://”开头,长度范围是1~128。
interval minutes 指定两次证书注册状态查询之间的时间间隔。 整数形式,取值范围为1~1440,单位为分钟。缺省值是1分钟。
times count 指定证书注册状态查询的最大查询次数。 整数形式,取值范围为1~100,单位为次数,缺省为5次。
ra 指定RA审核PKI实体申请本地证书时的身份信息。缺省情况下,CA审核PKI实体申请本地证书时的身份信息。 -

视图

PKI域视图

缺省级别

2:配置级

使用指南

此处的URL指的是CA服务器提供的用于申请证书的路径。例如,当Windows Server 2008作为CA服务器时,URL的格式为http://host:port/certsrv/mscep/mscep.dll,其中host为CA服务器的IP地址,port为CA服务器的端口号。

关键字esc作用是支持以ASCII码形式输入包含“?”的URL地址,格式必须为“\x3f”,3f为字符“?”的16进制ASCII码。例如,如果用户想输入“http://abc.com?page1”,则对应的URL为“http://abc.com\x3fpage1”;如果用户想同时输入“?”和“\x3f”(http://www.abc.com?page1\x3f),则对应的URL为“http://www.abc.com\x3fpage1\\x3f”。

使用实例

# 创建一个PKI域test,并配置CA服务器的URL。

<HUAWEI> system-view
[HUAWEI] pki realm test
[HUAWEI-pki-realm-test] enrollment-url http://10.13.14.15:8080/certsrv/mscep/mscep.dll ra

entity

命令功能

entity命令用来指定申请证书的PKI实体。

undo entity命令用来取消指定的申请证书的PKI实体。

缺省情况下,系统未指定申请证书的PKI实体。

命令格式

entity entity-name

undo entity

参数说明

参数 参数说明 取值
entity-name 指定申请证书的PKI实体名。 必须是已存在的PKI实体名称。

视图

PKI域视图

缺省级别

2:配置级

使用指南

应用场景

配置PKI域下申请证书的PKI实体,PKI域申请本地证书时,将使用PKI实体的配置信息设置证书请求的相关内容。

前置条件

  1. 已执行命令pki entity创建PKI实体。
  2. 已执行命令common-name配置PKI实体的通用名称。

注意事项

一个PKI域下只能绑定一个PKI实体。

使用实例

# 指定申请证书的PKI实体。

<HUAWEI> system-view
[HUAWEI] pki entity a
[HUAWEI-pki-entity-a] common-name test
[HUAWEI-pki-entity-a] quit
[HUAWEI] pki realm abc
[HUAWEI-pki-realm-abc] entity a

fingerprint

命令功能

fingerprint命令用来配置对CA证书进行认证时使用的CA证书数字指纹。

undo fingerprint命令用来删除对CA证书进行认证时使用的CA证书数字指纹。

缺省情况下,系统未配置对CA证书进行认证时使用的CA证书数字指纹。

命令格式

fingerprint { md5 | sha1 | sha256 } fingerprint

undo fingerprint

参数说明

参数 参数说明 取值
md5

指定数字指纹的验证算法为MD5。

-
sha1 指定数字指纹的验证算法为SHA1。 -
sha256 指定数字指纹的验证算法为SHA256。 -
fingerprint

指定数字指纹值。

此处配置的数字指纹值需要通过离线的方式从CA上获取。例如,当Windows Server 2008作为CA时,可以通过登录网页http://host:port/certsrv/mscep_admin/获得CA证书数字指纹信息,其中host为服务器的IP地址,port为CA服务器的端口号。

数字指纹为16进制形式输入的字符串,不区分大小写。
  • MD5指纹必须是32个字符(16个字节)
  • SHA1指纹必须为40个字符(20个字节)
  • SHA256指纹必须为64个字符(32个字节)

视图

PKI域视图

缺省级别

3:管理级

使用指南

应用场景

在获取CA证书的时候,设备本地用算法计算CA证书的数字指纹,然后和本地配置的数字指纹进行比较,如果一致就接收。在验证证书的时候,用CA证书的公钥去验证数字签名,公钥能够解开签名就验证通过。

注意事项

数字指纹只能配置一种算法,新的配置会覆盖之前的配置。

MD5和SHA1算法安全性低,存在安全风险,建议使用SHA256算法。

使用实例

# 配置对CA证书进行认证时使用的CA证书数字指纹。

<HUAWEI> system-view
[HUAWEI] pki realm test
[HUAWEI-pki-realm-test] fingerprint sha256 e71add0744360e91186b828412d279e06dcc15a4ab4bb3d13842820396b526a0

fqdn

命令功能

fqdn命令用来配置PKI实体的FQDN(Fully Qualified Domain Name)名称。

undo fqdn命令用来删除PKI实体的FQDN名称。

缺省情况下,系统未配置PKI实体的FQDN名称。

命令格式

fqdn fqdn-name

undo fqdn

参数说明

参数 参数说明 取值
fqdn-name 指定PKI实体的FQDN名称。 字符串形式,区分大小写,长度范围为1~255。支持的字符为英文字母、数字、撇号(')、等号(=)、小括号(( ))、加号(+)、减号(-)、句号(.)、斜杠(/)、冒号(:)、@、下划线(_)以及空格。

视图

PKI实体视图

缺省级别

2:配置级

使用指南

PKI实体的参数是PKI实体的身份信息,CA根据PKI实体提供的身份信息来唯一标识证书申请者。为了更好的标识证书所有者的身份,可以配置PKI实体的FQDN,作为PKI实体的一种别名。

FQDN是PKI实体在网络中的唯一标识,由一个主机名和域名组成,可以被解析为IP地址,例如www.example.com。

执行本命令配置PKI实体的FQDN后,设备进行证书申请时,发送给CA服务器的证书请求消息中会携带该信息。CA服务器接收到证书请求报文后,验证该请求的有效性。如果请求有效,则生成PKI实体的数字证书,该数字证书中会包含PKI实体的FQDN信息。

使用实例

# 配置实体的FQDN为example.com。

<HUAWEI> system-view
[HUAWEI] pki entity entity1
[HUAWEI-pki-entity-entity1] fqdn example.com
相关主题

ip-address

命令功能

ip-address命令用来配置PKI实体的IP地址。

undo ip-address命令用来删除PKI实体的IP地址。

缺省情况下,系统未配置PKI实体的IP地址。

命令格式

ip-address { ipv4-address | interface-type interface-number }

undo ip-address

参数说明

参数

参数说明

取值

ipv4-address 指定PKI实体的IPv4地址。 点分十进制格式。
interface-type interface-number

指定PKI实体的接口IP地址。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。
-

视图

PKI实体视图

缺省级别

2:配置级

使用指南

PKI实体的参数是PKI实体的身份信息,CA根据PKI实体提供的身份信息来唯一标识证书申请者。为了更好的标识证书所有者的身份,可以配置PKI实体的IP地址,作为PKI实体的一种别名。

执行本命令配置PKI实体的IP地址信息后,设备进行证书申请时,发送给CA服务器的证书请求消息中会携带该信息。CA服务器接收到证书请求报文后,验证该请求的有效性。如果请求有效,则生成实体的数字证书,该数字证书中会包含设备的IP地址信息。

使用实例

# 配置实体的IP地址为10.1.1.1。

<HUAWEI> system-view
[HUAWEI] pki entity entity1
[HUAWEI-pki-entity-entity1] ip-address 10.1.1.1
相关主题

key-usage

命令功能

key-usage命令用来配置证书公钥用途属性。

undo key-usage命令用来删除证书公钥用途属性。

缺省情况下,系统未配置证书公钥用途属性。

命令格式

key-usage { ike | ssl-client | ssl-server } *

undo key-usage { ike | ssl-client | ssl-server } *

参数说明

参数

参数说明

取值

ike

指定证书密钥用途提示信息为ike,即申请的证书中的密钥用于建立IPSec隧道。

-

ssl-client

指定证书密钥用途提示信息为ssl-client,即申请的证书中的密钥是用于SSL客户端建立SSL会话。

-

ssl-server

指定证书密钥用途提示信息为ssl-server,即申请的证书中的密钥用于SSL服务器建立SSL会话。

-

视图

PKI域视图

缺省级别

2:配置级

使用指南

设备在进行证书申请时,为了提高证书的安全性,可以在发送给CA服务器的证书请求消息中携带申请证书中密钥的用途。

CA服务器接收到证书请求报文后,验证该请求的有效性,如果请求有效,则生成实体的数字证书,该数字证书中会包含证书中密钥的用途。

例如,在建立SSL会话的过程中,SSL客户端主要通过证书进行数字签名和密钥加密。通过命令key-usage ssl-client配置在证书请求中携带证书用途提示信息为ssl-client后,则CA生成证书时会包含证书中密钥的用途,包括数字签名和密钥加密。如果用户利用此密钥进行数据加密,则密钥失效。

使用实例

# 配置在证书请求中携带证书密钥用途提示信息为ssl-client。
<HUAWEI> system-view
[HUAWEI] pki realm abc
[HUAWEI-pki-realm-abc] key-usage ssl-client

locality

命令功能

locality命令用来配置PKI实体所在的地理区域名称。

undo locality命令用来删除PKI实体所在的地理区域名称。

缺省情况下,系统未配置PKI实体的地理区域名称。

命令格式

locality locality-name

undo locality

参数说明

参数 参数说明 取值
locality-name 指定实体所在的地理区域名称。 字符串形式,区分大小写,长度范围为1~32。支持的字符为英文字母、数字、撇号(')、等号(=)、小括号(( ))、加号(+)、逗号(,)、减号(-)、句号(.)、斜杠(/)、冒号(:)以及空格。

视图

PKI实体视图

缺省级别

2:配置级

使用指南

PKI实体的参数是PKI实体的身份信息,CA根据PKI实体提供的身份信息来唯一标识证书申请者。为了更好的标识证书所有者的身份,可以配置PKI实体的地理区域,作为PKI实体的一种别名。

执行本命令配置PKI实体的地理区域后,设备进行证书申请时,发送给CA服务器的证书请求消息中会携带该信息。CA服务器接收到证书请求报文后,验证该请求的有效性。如果请求有效,则生成实体的数字证书,该数字证书中会包含PKI实体的地理区域信息。

使用实例

# 配置PKI实体所在的地理区域为Beijing。

<HUAWEI> system-view
[HUAWEI] pki entity entity1
[HUAWEI-pki-entity-entity1] locality Beijing
相关主题

organization-unit

命令功能

organization-unit命令用来配置PKI实体所属的部门名称。

undo organization-unit命令用来删除PKI实体所属的部门名称。

缺省情况下,系统未配置PKI实体所在的部门名称。

命令格式

organization-unit organization-unit-name

undo organization-unit

参数说明

参数 参数说明 取值
organization-unit-name

指定PKI实体所属的部门名称。

字符串形式,区分大小写,每个部门长度范围是1~31。各个部门之间通过英文逗号隔开,即所有部门的总长度范围是1~191。

支持的字符为英文、数字、撇号(')、等号(=)、小括号(( ))、加号(+)、逗号(,)、减号(-)、句号(.)、斜杠(/)、冒号(:)以及空格。

视图

PKI实体视图

缺省级别

2:配置级

使用指南

PKI实体的参数是PKI实体的身份信息,CA根据PKI实体提供的身份信息来唯一标识证书申请者。为了更好的标识证书所有者的身份,可以配置PKI实体的部门,作为PKI实体的一种别名。

执行本命令配置PKI实体的部门后,设备进行证书申请时,发送给CA服务器的证书请求消息中会携带该信息。CA服务器接收到证书请求报文后,验证该请求的有效性。如果请求有效,则生成实体的数字证书,该数字证书中会包含PKI实体的部门信息。

使用实例

# 配置PKI实体所属的部门名称为“Group1,Sale”。

<HUAWEI> system-view
[HUAWEI] pki entity entity1
[HUAWEI-pki-entity-entity1] organization-unit Group1,Sale
相关主题

organization

命令功能

organization命令用来配置PKI实体所属的组织名称。

undo organization命令用来删除PKI实体所属的组织名称。

缺省情况下,系统未配置PKI实体的组织名称。

命令格式

organization organization-name

undo organization

参数说明

参数 参数说明 取值
organization-name 指定PKI实体所属的组织名称。 字符串形式,区分大小写,长度范围为1~32。支持的字符为英文字母、数字、撇号(')、等号(=)、小括号(( ))、加号(+)、逗号(,)、减号(-)、句号(.)、斜杠(/)、冒号(:)以及空格。

视图

PKI实体视图

缺省级别

2:配置级

使用指南

PKI实体的参数是PKI实体的身份信息,CA根据PKI实体提供的身份信息来唯一标识证书申请者。为了更好的标识证书所有者的身份,可以配置PKI实体的组织,作为PKI实体的一种别名。

执行本命令配置PKI实体的组织后,设备进行证书申请时,发送给CA服务器的证书请求消息中会携带该信息。CA服务器接收到证书请求报文后,验证该请求的有效性。如果请求有效,则生成实体的数字证书,该数字证书中会包含PKI实体的组织信息。

使用实例

# 配置PKI实体所属的组织名称为org1。

<HUAWEI> system-view
[HUAWEI] pki entity entity1
[HUAWEI-pki-entity-entity1] organization org1
相关主题

password(PKI域视图)

命令功能

password命令用来配置SCEP证书申请时使用的挑战密码,也是证书撤销密码。

undo password命令用来删除SCEP证书申请时使用的挑战密码。

缺省情况下,系统未配置SCEP证书申请时使用的挑战密码。

命令格式

password cipher password

undo password

参数说明

参数 参数说明 取值
cipher password 指定SCEP证书申请时使用的挑战密码,以密文形式显示用户密码。

字符串形式,区分大小写,字符串中不能包含 “?”。password可以是长度范围是1~64的显式密码,也可以是长度范围是48~108位的密文密码。

说明:

为提高安全性,建议密码至少包含小写字母、大写字母、数字、特殊字符这四种形式中的3种,同时密码长度不小于6个字符。

视图

PKI域视图

缺省级别

3:管理级

使用指南

当PKI实体使用SCEP协议向CA申请证书时,CA要求验证PKI实体的挑战密码,如果密码一致,CA才会处理申请证书请求。此时,设备可以执行本命令配置挑战密码。

本命令也是配置证书撤销时使用的密码,防止用户误撤销证书,提高了用户操作的安全性。

使用实例

# 配置SCEP证书申请时使用的挑战密码。

<HUAWEI> system-view
[HUAWEI] pki realm abc
[HUAWEI-pki-realm-abc] password cipher 6AE73F21E6D3571D

pki create-certificate

命令功能

pki create-certificate命令用来创建自签名证书。

命令格式

pki create-certificate self-signed filename file-name

参数说明

参数

参数说明

取值

self-signed

指定创建自签名证书。

-

filename file-name

指定证书文件名称。

字符串形式,不支持空格和问号,不区分大小写,长度范围是1~64。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

用户通过设备生成自签名证书或设备本地证书后,生成的证书以PEM格式的文件形式保存在存储器中。用户可以将其导出供其他设备使用,实现简单的证书颁发功能。

本命令执行过程中会提示用户输入证书的一些信息,比如PKI实体属性、证书文件名称、证书有效期和RSA密钥长度等。

注意事项

设备不支持对其生成的自签名证书进行生命周期管理(如证书更新、证书撤销等),为了确保设备和证书的安全,建议用户替换为自己的本地证书。

使用实例

# 创建自签名证书huawei。

<HUAWEI> system-view
[HUAWEI] pki create-certificate self-signed filename huawei

pki delete-certificate

命令功能

pki delete-certificate命令用来从内存中删除证书。

命令格式

pki delete-certificate { ca | local } realm realm-name

参数说明

参数 参数说明 取值
ca 指定删除CA证书。 -
local 指定删除本地证书。 -
realm realm-name 指定证书所属PKI域名。 必须是已存在的PKI域名。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

证书过期或者用户想重新申请新的证书时,可以执行本命令删除内存中的CA证书或本地证书。

前置条件

已执行命令pki realm(系统视图)创建PKI域。

使用实例

# 从内存中删除本地证书。

<HUAWEI> system-view
[HUAWEI] pki delete-certificate local realm abc

pki delete-crl

命令功能

pki delete-crl命令用来从内存中删除CRL。

命令格式

pki delete-crl realm realm-name

参数说明

参数

参数说明

取值

realm realm-name

指定证书所在PKI的域名称。

必须是已存在的PKI域名称。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

CRL过期时,可以执行本命令从内存中删除当前的CRL文件,不会删除设备存储卡中的CRL文件。

前置条件

已执行命令pki realm(系统视图)已配置一个PKI域。

使用实例

# 从内存中删除PKI域abc的CRL。

<HUAWEI> system-view
[HUAWEI] pki realm abc
[HUAWEI-pki-realm-abc] quit
[HUAWEI] pki delete-crl realm abc

pki enroll-certificate

命令功能

pki enroll-certificate命令用来配置手工触发设备申请证书。

命令格式

pki enroll-certificate realm realm-name [ pkcs10 [ filename filename ] ] [ password password ]

参数说明

参数 参数说明 取值
realm realm-name 指定申请证书的域名。 必须是已存在的PKI域的名称。
pkcs10 指定使用PKCS#10格式打印出本地证书申请信息,可用于离线方式申请证书。 -
filename filename 指定证书申请信息保存的文件名称。用户以PKCS#10格式保存证书申请信息到文件中,并通过带外方式发送给CA进行证书申请。 字符串形式,取值范围为长度1~64。
password password 表示挑战密码,用于在线方式申请证书。当CA服务器采用挑战密码(Challenge Password)方式处理证书申请时,实体在申请证书时需要指定挑战密码,并且密码必须与CA服务器上设置的密码一致。

字符串形式,区分大小写,不支持“?”和空格,长度范围可以是1~64的显式密码,也可以是48~108位的密文密码。

说明:

为提高安全性,建议密码至少包含小写字母、大写字母、数字、特殊字符这四种形式中的两种,同时密码长度不小于6个字符。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

手工向CA申请证书分为在线和离线两种方式:

  • 在线方式(带内方式)

    设备使用SCEP(Simple Certification Enrollment Protocol)协议与CA服务器通信,在线申请证书,然后将获取到的证书保存在设备的flash中。

  • 离线方式(带外方式)

    设备生成证书请求文件,管理员通过磁盘、电子邮件等方式将证书申请文件发送给CA,向CA申请证书。

前置条件

已执行命令pki realm(系统视图)配置一个PKI域。

注意事项

  • 配置pkcs10表示离线方式下的证书申请,即用户以PKCS#10格式保存证书申请信息到文件中,并通过带外方式发送给CA进行证书申请。
  • 不配置pkcs10表示在线申请证书。
  • 在线申请证书时,PKI实体先获取CA证书保存到设备存储介质中并自动将CA证书自动导入内存中,然后再获取本地证书并自动将本地证书导入内存中。

  • 在PKI域下执行命令enrollment self-signed配置PKI域的证书获取方式为自签名方式之后,则不允许使用命令pki enroll-certificate配置手工触发设备向证书服务器申请证书。

使用实例

# 使用在线方式为PKI域abc申请本地证书。

<HUAWEI> system-view
[HUAWEI] pki realm abc
[HUAWEI-pki-realm-abc] quit
[HUAWEI] pki enroll-certificate realm abc

pki entity

命令功能

pki entity命令用来创建PKI实体并进入PKI实体视图,或者直接进入PKI实体视图。

undo pki entity命令用来删除PKI实体。

缺省情况下,系统未配置PKI实体。

命令格式

pki entity entity-name

undo pki entity entity-name

参数说明

参数 参数说明 取值
entity-name 指定PKI实体的名称。 字符串形式,不支持空格,区分大小写,长度范围为1~64。

视图

系统视图

缺省级别

2:配置级

使用指南

公钥基础设施PKI(Public Key Infrastructure)实体指数字证书请求者和使用者,当用户使用PKI特性时,需要配置一个PKI实体。后续可以在PKI实体视图下配置PKI实体的各种属性(通用名、国家代码、电子邮箱、FQDN、IP、地理区域、组织、部门、州省),这些属性用于描述PKI实体的身份信息。当申请证书时,PKI实体的信息将作为证书中主题(Subject)部分的内容。

说明:

由于Windows Server 2003服务器处理能力有限,与该型号服务器对接时,设备上不能配置过多实体信息或携带密钥对位数过大的密钥对,否则可能导致设备与服务器对接失败。

使用实例

# 创建PKI实体entity1,并进入PKI实体视图。

<HUAWEI> system-view
[HUAWEI] pki entity entity1
[HUAWEI-pki-entity-entity1]

pki export-certificate

命令功能

pki export-certificate命令用来将证书导出到设备存储介质中。

命令格式

pki export-certificate { ca | local } realm realm-name { pem | pkcs12 }

参数说明

参数

参数说明

取值

ca

指定导出CA证书。

-

local

指定导出本地证书。

-

realm realm-name

指定导出证书所在的域名。

必须是已存在的PKI域名称。

pem

指定导出证书的格式为PEM格式。

pkcs12

指定导出证书的格式为P12格式。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

用户如果需要把证书拷贝到其他设备上使用时,需先执行本命令将证书导出到设备flash上,然后可以通过文件传输协议取出证书。

执行本命令前,可以先执行命令display pki certificate查看设备上的证书信息。

前提条件

已执行命令pki realm(系统视图)创建PKI域。

注意事项

导出证书文件中不包含私钥时,设备不会对该文件进行加密。

需要导出私钥时,会提示输入私钥文件的名称,如果私钥文件名称与证书文件名称相同,表示私钥和证书存在同一个文件中;如果私钥文件与证书文件名称不同,表示私钥和证书存在两个文件中。

导出私钥时还会提示输入私钥文件的格式,同时还需指定私钥文件的密码,此密码后期在使用命令pki import-certificate导入证书时系统会提示输入,此时需要和这里配置的密码一致才可成功导入证书。

配置私钥文件的密码时,为了防止密码过于简单导致的安全隐患,用户输入的密码必须包括大写字母、小写字母、数字和特殊字符中至少两种。

在PKI域下执行命令enrollment self-signed配置PKI域的证书获取方式为自签名方式之后,则不允许使用命令pki export-certificate导出PKI域下的自签名证书。

使用实例

# 导出PKI域abc的本地证书。

<HUAWEI> system-view
[HUAWEI] pki realm abc
[HUAWEI-pki-realm-abc] quit
[HUAWEI] pki export-certificate local realm abc pem
 Please enter the name of certificate file <length 1-127>: aa  
 If you only export the certificate, do not export the private key.   
 You can directly enter empty of private key file.
 Please enter the name of private key file <length 1-127>:     
 Info: Succeeded in exporting the certificate.

pki export rsa-key-pair

命令功能

pki export rsa-key-pair命令用来将RSA密钥对导出到设备flash上,同时支持导出与其关联的证书。

命令格式

pki export rsa-key-pair key-name [ and-certificate certificate-name ] { pem file-name [ 3des | aes | des ] | pkcs12 file-name } password password

参数说明

参数 参数说明 取值
key-name 指定RSA密钥对在设备上的名称。 必须是已存在的RSA密钥对名称。
and-certificate certificate-name 指定同时导出RSA密钥对关联的证书。 必须是已存在的证书文件名称。
pem file-name 指定RSA密钥对以PEM格式文件导出,并且指定导出文件的名称。

字符串形式,不区分大小写,不支持空格和问号,文件名长度范围为1~64,包含路径时长度范围为1~127,例如flash:/8ab3/ab3.pem。

pkcs12 file-name 指定RSA密钥对以PKCS12格式文件导出,并且指定导出文件的名称。

字符串形式,不区分大小写,不支持空格和问号,文件名长度范围为1~64,包含路径时长度范围为1~127,例如flash:/8ab3/ab3.pem。

3des | aes | des 以PEM格式文件导出时,需要指定加密算法为DES、3DES或AES。缺省情况下,加密算法为AES
说明:
出于安全考虑,不建议采用DES、3DES算法。
-
password password 指定RSA密钥对文件的加密密码。该密码用来保护导出的RSA密钥对文件,请牢记该密码便于后续导入使用。

字符串形式,区分大小写,不支持问号,长度范围为6~32。

提高安全性,密码必须满足最小复杂度要求,即包含英文大写字母、英文小写字母、数字、特殊字符(如!、@、#、$、%等)中的两种。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当需要转移或备份RSA密钥对时,可执行此本命令在flash上生成包含此RSA密钥对(可以包含证书)的PEM或PKCS12文件。

执行本命令前,可以先执行命令display pki rsa local-key-pair查看设备上的RSA密钥对信息。

前提条件

已执行命令pki rsa local-key-pair create创建RSA密钥对并可被导出,或者已执行pki import rsa-key-pair将RSA密钥对导入设备内存中并可被导出。

注意事项

RSA密钥对是安全敏感数据,导出的数据在使用后请尽快从设备以及其他存储介质删除并销毁。

使用实例

# 将RSA密钥对key1按PEM格式导出到文件aaa.pem,加密方式为AES。

<HUAWEI> system-view
[HUAWEI] pki rsa local-key-pair create key1 exportable
 Info: The name of the new key-pair will be: key1
 The size of the public key ranges from 512 to 4096.
 Input the bits in the modules:2048
 Generating key-pairs...
......+++               
....................+++ 
[HUAWEI] pki export rsa-key-pair key1 pem aaa.pem aes password Admin@1234
 Warning: Exporting the key pair impose security risks, are you sure you want to
 export it? [y/n]:y                                                             
 Info: Succeeded in exporting the RSA key pair in PEM format.

pki file-format

命令功能

pki file-format命令用来配置设备保存证书请求、证书和CRL时的文件格式。

缺省情况下,设备保存证书请求、证书和CRL时的文件格式为PEM。

命令格式

pki file-format { der | pem }

参数说明

参数 参数说明 取值
der 指定文件的格式为DER。 -
pem 指定文件的格式为PEM。 -

视图

系统视图

缺省级别

2:配置级

使用指南

如果需要更改设备证书请求、保存证书和CRL时的文件格式,例如使用SCEP方式获取的证书和CRL等,请执行本命令。

但是,使用HTTP方式获取的证书和CRL是直接下载原文件内容,不会按照本命令设置的格式保存。且创建的自签名证书或设备本地证书只以PEM格式的文件形式保存。

使用实例

# 配置设备证书请求、保存证书和CRL时的文件格式为DER。

<HUAWEI> system-view
[HUAWEI] pki file-format der

pki get-certificate

命令功能

pki get-certificate命令用来获取证书至设备的存储介质中。

命令格式

pki get-certificate ca realm realm-name

参数说明

参数 参数说明 取值
ca 指定获取CA和RA证书。 -
realm realm-name 指定获取证书的PKI域名。 必须是已存在的PKI域的名称。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

PKI实体通过SCEP协议申请本地证书时,需先获取CA证书至设备的存储介质中,然后通过CA证书的公钥加密申请本地证书的消息,此时需配置本命令。

前置条件

已执行命令pki realm(系统视图)创建PKI域。

注意事项

获取CA证书时,设备会自动将CA证书导入到设备内存中。

如果设备中存在相同的证书,则需要删除设备中的证书,否则会导致获取证书失败。

使用实例

# 配置获取CA证书到本地,PKI域为abc。

<HUAWEI> system-view
[HUAWEI] pki realm abc
[HUAWEI-pki-realm-abc] quit
[HUAWEI] pki get-certificate ca realm abc

pki get-crl

命令功能

pki get-crl命令用来立即更新CRL。

命令格式

pki get-crl realm realm-name

参数说明

参数 参数说明 取值
realm realm-name 指定PKI域的名称。 必须是已存在的PKI域名称。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

使用自动方式更新CRL时,会周期性地检查CRL的状态,如果用户怀疑本地的CRL内容过期,可以配置本命令立即更新CRL,无需等周期时间超期。

立即更新CRL后,新的CRL会替换设备存储介质中原来的CRL,同时新的CRL也会被自动导入设备内存中替换原来的CRL。

前置条件

已执行命令pki realm(系统视图)创建PKI域。

使用实例

# 配置立即更新CRL。

<HUAWEI> system-view
[HUAWEI] pki realm test
[HUAWEI-pki-realm-test] quit
[HUAWEI] pki get-crl realm test

pki http

命令功能

pki http命令用来配置通过HTTP方式下载CA证书、本地证书或CRL。

命令格式

pki http [ esc ] url-address save-name

参数说明

参数 参数说明 取值
esc 指定以ASCII码形式输入URL地址。 -
url-address 指定CA证书、本地证书或CRL的URL地址。 字符串形式,区分大小写,长度范围为1~128。
save-name 指定CA证书、本地证书或CRL保存到设备的flash中的名称。 字符串形式,不区分大小写,长度范围为1~64。

视图

系统视图

缺省级别

3:管理级

使用指南

通过HTTP方式下载CA证书、本地证书或CRL时,请确保设备的flash中有足够的剩余空间容纳CA证书、本地证书或CRL文件,避免下载失败。

关键字esc的作用是支持以ASCII码形式输入包含“?”的URL地址,格式必须为“\x3f”“3f”为字符“?”的16进制ASCII码。例如,管理员需要配置的真实URL为“http://www.example.com?page1”,则实际需要输入的URL为“http://www.example.com\x3fpage1”;若管理员需要同时配置“?”“\x3f”(http://www.example.com?page1\x3f),则需要使用转义字符“\”,即实际需要输入的URL为“http://www.example.com\x3fpage1\\x3f”

使用实例

# 配置通过HTTP方式下载本地证书。

<HUAWEI> system-view
[HUAWEI] pki http http://10.1.1.1/test.cer local.cer

# 配置通过HTTP方式下载本地证书。

<HUAWEI> system-view
[HUAWEI] pki http esc http://www.abc.com\x3fpage1\\x3f local.cer

pki import-certificate

命令功能

pki import-certificate命令用来将证书导入到设备的内存中。

命令格式

pki import-certificate { ca | local } realm realm-name { der | pkcs12 | pem } [ filename filename ] [ replace ] [ no-check-validate ] [ no-check-hash-alg ]

pki import-certificate { ca | local } realm realm-name pkcs12 filename filename [ no-check-validate ] [ no-check-hash-alg ] password password

参数说明

参数

参数说明

取值

ca

指定导入CA证书。例如设备作为SSL代理时,可以导入SSL代理CA证书,用该证书对应的私钥重新签名SSL客户端证书。

-

local

指定导入本地证书。

-

realm realm-name

指定导入证书所在的域名。

必须是已存在的PKI域名称。

说明:

该域名称中不能包含空格,否则证书导入失败。

der

指定导入证书的格式为DER格式。

-

pkcs12

指定导入证书的格式为PKCS12格式。

-

pem

指定导入证书的格式为PEM格式。

-

filename filename 指定导入证书的文件名称。 必须是已经存在的文件名称。
replace

域下有相同证书时,删除原有证书及对应的RSA密钥对,导入新的证书。

说明:

当原有证书对应的RSA密钥对没有被非当前域引用时,则删除证书和密钥对;当原有证书对应的RSA密钥对被非当前域所引用时,只删除原有证书,不删除密钥对。

-

no-check-validate

指定导入证书是否检查证书合法性。

-

no-check-hash-alg

指定导入证书是否检查证书签名HASH算法。

-

password password 指定证书文件的解密口令。该解密口令与命令pki export-certificate设置的密码相同。 必须是已存在证书文件的解密口令。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

下载证书保存到设备的存储介质中时,要使证书生效,需执行本命令将证书导入到设备的内存中。

设备支持的导入方式为:
  • terminal:通过手工输入或拷贝粘贴的方式导入对端实体的证书,即设备支持通过文本工具打开格式为PEM的证书文件后,将证书内容拷贝后粘贴到设备上。
  • file:指定filename参数从证书文件中导入的方式导入对端实体的证书。

设备支持导入多个证书。导入的证书可以是CA证书、本地证书及其私钥等。

说明:

若用户无法辨别待导入证书的格式,可依次配置不同格式并检查是否成功导入证书。

前提条件

已执行命令pki realm(系统视图)创建PKI域,且设备存储介质中已存在证书文件。

注意事项

若证书文件包含密钥对文件时,执行命令pki import-certificate只能导入证书文件,密钥对文件不会被导入。如果需要导入密钥对文件,可执行命令pki import rsa-key-pair将密钥对继续导入,或不执行本命令,直接执行命令pki import rsa-key-pair一次导入证书文件和密钥对文件。

导入pkcs12格式的证书时,PKI会将原证书文件名后缀删除后,加上"_localx.cer"生成新的文件名保存在设备存储器上。所以导入的证书文件名应少于50个字符,否则证书文件整体的字符将超过64,导致无法将证书保存在存储器上。

设备支持导入通过RSA加密算法或SM2密钥杂凑算法生成的对端实体证书。

使用实例

# 通过文件方式为PKI域abc导入一个本地证书。
<HUAWEI> system-view
[HUAWEI] pki realm abc 
[HUAWEI-pki-realm-abc] quit
[HUAWEI] pki import-certificate local realm abc pem filename local.cer
 Info: Succeeded in importing the certificate.

pki import-certificate peer

命令功能

pki import-certificate peer命令用来将对端实体的证书导入到设备的内存中。

命令格式

pki import-certificate peer peer-name { der | pem | pkcs12 } filename [ filename ]

pki import-certificate peer peer-name pkcs12 filename filename password password

参数说明

参数

参数说明

取值

peer-name

指定对端实体证书的名称。

同一个证书不能导入多个Peer下。

字符串形式,不区分大小写,不支持空格,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

der

指定导入的对端实体证书的格式为DER格式。

-

pem

指定导入的对端实体证书的格式为PEM格式。

-

pkcs12

指定导入的对端实体证书的格式为P12格式。

-

filename filename

指定导入对端实体证书的文件名。

必须是已经存在的对端实体证书的文件名。
password password 指定证书文件的解密口令。该解密口令与命令pki export-certificate设置的密码相同。 必须是已存在证书文件的解密口令。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

如果采用数字信封认证方法,则需要配置对端实体的公钥以供数字信封认证时使用,该公钥可以从公私钥管理模块或对端实体证书中获取。

前提条件

设备存储介质中已存在对端实体证书文件。

注意事项

导入pkcs12格式的证书时,PKI会将原证书文件名后缀删除后,加上“_localx.cer”生成新的文件名保存在设备存储器上。所以导入的证书文件名不能超过50个字符,否则证书文件整体的字符将超过64,导致无法将证书保存在存储器上。

设备支持导入通过RSA加密算法或SM2密钥杂凑算法生成的对端实体证书。

使用实例

# 通过file方式导入对端实体的证书aa.pem。

<HUAWEI> system-view
[HUAWEI] pki import-certificate peer abcd pem file aa.pem
 Info: Succeeded in importing the peer certificate.

pki import-crl

命令功能

pki import-crl命令用来将CRL导入设备的内存中。

命令格式

pki import-crl realm realm-name filename file-name

参数说明

参数 参数说明 取值
realm realm-name 指定导入证书所在的域名称。 必须是已存在的PKI域名称。
filename file-name 指定导入证书的文件名称。只支持PEM和DER格式。 必须是已存在的证书文件名称。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

用户通过带外方式获取CRL或手动更新CRL时,要使CRL生效,必须将CRL导入到设备的内存中,此时可以执行本命令。

前置条件

设备存储介质中已存在CRL文件,可以通过pki realm(系统视图)命令创建PKI域并通过HTTP方式下载CRL。

使用实例

# 将PKI域中的CRL导入设备的内存中。

<HUAWEI> system-view
[HUAWEI] pki realm abc
[HUAWEI-pki-realm-abc] quit
[HUAWEI] pki http esc http://www.abc.com\x3fpage1\\x3f abc.crl
[HUAWEI] pki import-crl realm abc filename abc.crl

pki import rsa-key-pair

命令功能

pki import rsa-key-pair命令用来将RSA密钥对导入设备的内存中。

命令格式

pki import rsa-key-pair key-name [ include-cert realm realm-name ] { pem | pkcs12 } file-name [ exportable ] [ password password ]

pki import rsa-key-pair key-name der file-name [ exportable ]

参数说明

参数 参数说明 取值
key-name 指定RSA密钥对在设备上的名称。

字符串形式,长度范围为1~64,区分大小写,不支持空格和问号。当输入的字符串两端使用双引号时,可在字符串中输入空格。

include-cert 指定导入文件中存在的证书。 -
realm realm-name 指定导入证书所在的域名。

必须是已存在的PKI域名称。

pem file-name 指定要导入的RSA密钥对的文件格式为PEM,并指定导入的存储RSA密钥对的文件名。 必须是已存在的存储RSA密钥对(和证书)的文件名称。
pkcs12 file-name 指定要导入的RSA密钥对的文件格式为PKCS12,并指定导入的存储RSA密钥对的文件名。 必须是已存在的存储RSA密钥对(和证书)的文件名称。
der file-name 指定要导入的RSA密钥对的文件格式为DER,并指定导入的存储RSA密钥对的文件名。 必须是已存在的存储RSA密钥对(和证书)的文件名称。
exportable 指定导入的RSA密钥对是可导出的。 -
password password 指定RSA密钥对文件的解密口令。该解密口令与命令pki export rsa-key-pair设置的密码相同。 必须是已存在RSA密钥对文件的解密口令。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当需要使用其他实体产生的RSA密钥时,可执行此命令。配置后,导入的RSA密钥对可以被PKI模块引用,用于签名等相关操作。

说明:

由于Windows Server 2003服务器处理能力有限,与该型号服务器对接时,设备上不能配置过多实体信息或携带密钥对位数过大的密钥对,否则可能导致设备与服务器对接失败。

若用户无法辨别待导入密钥对的格式,可依次配置不同格式并检查是否成功导入密钥对。

前提条件

设备存储介质中已存在RSA密钥对文件。

使用实例

# 导入PEM格式的RSA密钥对文件“aaa.pem”,RSA密钥对在系统中的名称为key-1,解密口令为Test!123456,且标记为可导出。

<HUAWEI> system-view
[HUAWEI] pki import rsa-key-pair key-1 pem aaa.pem exportable password Test!123456
 Info: Succeeded in importing the RSA key pair in PEM format.

pki match-rsa-key

命令功能

pki match-rsa-key命令用来查找证书所对应的RSA密钥对。

命令格式

pki match-rsa-key certificate-filename file-name

参数说明

参数 参数说明 取值
certificate-filename file-name 指定证书的文件名称。 必须是已存在的证书文件名称。

视图

系统视图

缺省级别

3:管理级

使用指南

用户不知道证书所对应的RSA密钥对时,可以执行本命令查找证书所对应的RSA密钥对。配置后,系统将查找本地所有的RSA密钥对,并与指定的证书进行比较,找到匹配的RSA密钥对后给出其名称。

使用实例

# 查看与证书文件local.cer匹配的密钥对。

<HUAWEI> system-view
[HUAWEI] pki match-rsa-key certificate-filename local.cer
 Info: The file local.cer contains certificates 1. 
 Info: Certificate 1 from file local.cer matches RSA key rsa2.key. 

pki realm(系统视图)

命令功能

pki realm命令用来创建PKI域并进入PKI域视图,或者直接进入PKI域视图。

undo pki realm命令用来取消创建的PKI域。

缺省情况下,设备存在名称为default的PKI域,且该域只能修改不能删除。

命令格式

pki realm realm-name

undo pki realm realm-name

参数说明

参数 参数说明 取值
realm-name 指定PKI域名。

字符串形式,不支持空格,不区分大小写,长度范围是1~64。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

PKI域是PKI实体完成证书注册过程需要的配置信息集合,通过PKI域的形式,把PKI实体进行证书注册需要配置的一些注册信息组织起来。

注意事项

PKI域只在本设备上有效,即一个设备上配置的PKI域对CA和其它设备是不可见的。

通过域申请的证书,证书名称会加上“_local.cer”。所以创建的PKI域的名称不能超过50个字符,若超过50个字符,可能会导致证书文件名称超过64而无法保存在存储器上。

使用实例

# 创建PKI域abc。
<HUAWEI> system-view
[HUAWEI] pki realm abc
[HUAWEI-pki-realm-abc] 
相关主题

pki release-certificate peer

命令功能

pki release-certificate peer命令用来释放对端实体的证书。

命令格式

pki release-certificate peer { name peer-name | all }

参数说明

参数

参数说明

取值

name peer-name

指定释放对端实体的证书的名称。

必须是已存在的对端实体的证书名称。

all

指定释放全部的对端实体的证书。

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当不需要使用指定的对端证书时,可以通过本命令将已在内存中加载的对端证书释放。

执行本命令前,可以先执行命令display pki peer-certificate查看设备上的对端实体的证书信息。

前提条件

已执行命令pki import-certificate peer导入对端的实体的证书。

使用实例

# 释放名为“huawei”的对端实体的证书。

<HUAWEI> system-view
[HUAWEI] pki release-certificate peer name huawei
 Info: Succeeded in releasing the peer certificate. 

pki rsa local-key-pair create

命令功能

pki rsa local-key-pair create命令用来创建证书申请时使用的RSA密钥对。

命令格式

pki rsa local-key-pair create key-name [ modulus modulus-size ] [ exportable ]

参数说明

参数 参数说明 取值
key-name 指定创建的RSA密钥对的名称。

字符串形式,区分大小写,不支持空格和问号,长度范围为1~64。当输入的字符串两端使用双引号时,可在字符串中输入空格。

modulus modulus-size 指定密钥对位数。

整数形式,取值范围为2048~4096,缺省值是2048。

exportable 指定创建的RSA密钥对可以从设备上导出。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

PKI实体向CA申请证书时,发送的证书注册请求会携带公钥等信息,可以通过本命令创建证书申请时使用的RSA密钥对。

说明:

由于Windows Server 2003服务器处理能力有限,与该型号服务器对接时,设备上不能配置过多实体信息或携带密钥对位数过大的密钥对,否则可能导致设备与服务器对接失败。

注意事项

创建密钥对时系统会给出提示信息,提示用户输入创建的RSA密钥对的位数。密钥对位数越大,破解的难度越高,算法安全强度更高,但计算速度越慢。建议RSA密钥对的位数大于2048,否则会存在不安全性风险。

创建的RSA密钥对名称不能超过50个字符。因为导入RSA密钥对时,如果文件中包含证书,PKI会在RSA密钥对的名称后面加上“_localx.cer”生成新的证书文件名保存在设备存储器上。若RSA密钥对的名称超过50个字符,会导致导入后新的证书的名称超过64而无法保存在存储器上。

被PKI域所引用的RSA密钥对不能被覆盖,只有取消引用之后才能覆盖。

如果新创建的RSA密钥对与设备上已经存在的RSA密钥对重名,系统会提示用户是否覆盖。

使用实例

# 创建以“test”命名的RSA密钥对,位数为2048。

<HUAWEI> system-view
[HUAWEI] pki rsa local-key-pair create test
 Info: The name of the new key-pair will be: test                               
 The size of the public key ranges from 2048 to 4096.                                   
 Input the bits in the modules:2048                              
 Generating key-pairs...                                                             
......+++                                                              
.......+++

pki rsa local-key-pair destroy

命令功能

pki rsa local-key-pair destroy命令用来销毁指定的RSA密钥对。

命令格式

pki rsa local-key-pair destroy key-name

参数说明

参数 参数说明 取值
key-name 指定要销毁的RSA密钥对的名称。 必须已经存在的密钥对名称。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

RSA密钥对泄露、损坏、不用或丢失时,建议执行本命令销毁指定的RSA密钥对。

系统会销毁设备中对应名称的RSA密钥对,以及备设备中对应名称的RSA密钥对。

前提条件

执行命令pki rsa local-key-pair create创建RSA密钥对,或者已执行命令pki import rsa-key-pair将RSA密钥对导入设备的内存中。

注意事项

正在创建的RSA密钥对不能被销毁。

被PKI域所引用的RSA密钥对不能被销毁,只有取消引用之后才能销毁。

使用实例

# 销毁RSA密钥对“test”。

<HUAWEI> system-view
[HUAWEI] pki rsa local-key-pair create test
 Info: The name of the new key-pair will be: test
 The size of the public key ranges from 512 to 4096.
 Input the bits in the modules:2048
 Generating key-pairs...
.....+++
..........................+++ 
[HUAWEI] pki rsa local-key-pair destroy test
 Warning: The name of the key pair to be deleted is test.                   
 Are you sure you want to delete the key pair? [y/n]:y                          
 Info: Delete RSA key pair success. 

pki set-certificate expire-prewarning

命令功能

pki set-certificate expire-prewarning命令用来配置内存中的本地证书和CA证书的过期预告警时间。

undo pki set-certificate expire-prewarning命令用来恢复内存中的本地证书和CA证书的过期预告警时间为缺省值。

缺省情况下,内存中的本地证书和CA证书的过期预告警时间为7天。

命令格式

pki set-certificate expire-prewarning day

undo pki set-certificate expire-prewarning

参数说明

参数 参数说明 取值
day 指定过期预告警时间。 整数形式,取值范围为7~180,缺省值为7。

视图

系统视图

缺省级别

3:管理级

使用指南

用户想要提前预知证书即将过期时,可以配置本命令。当系统检测到内存中的某个证书还有小于day天就会过期时,设备会发出告警提示用户。

使用实例

# 配置内存中的本地证书和CA证书的过期预告警时间为30天。

<HUAWEI> system-view
[HUAWEI] pki set-certificate expire-prewarning 30

pki validate ocsp-server-certificate enable

命令功能

pki validate ocsp-server-certificate enable命令用来开启OCSP证书校验OCSP服务器报文的功能。

undo pki validate ocsp-server-certificate enable命令用来关闭OCSP证书校验OCSP服务器报文的功能。

缺省情况下,OCSP证书校验OCSP服务器报文的功能处于开启状态。

命令格式

pki validate ocsp-server-certificate enable

undo pki validate ocsp-server-certificate enable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

为了提高安全性,建议开启OCSP证书校验OCSP服务器报文的功能。OCSP证书校验OCSP服务器报文不通过时,设备会丢弃OCSP服务器报文。

注意事项

用户导入的OCSP证书不是OCSP服务器对应的证书时,OCSP证书校验OCSP服务器报文失败,会导致本地证书一直不可用,此时建议导入正确的OCSP证书。如果用户无法获取OCSP证书,则可以执行命令undo pki validate ocsp-server-certificate enable关闭OCSP证书校验OCSP服务器报文的功能。

使用实例

# 开启OCSP证书校验OCSP服务器报文的功能。

<HUAWEI> system-view
[HUAWEI] pki validate ocsp-server-certificate enable

pki validate-certificate

命令功能

pki validate-certificate命令用来检查CA证书或本地证书的有效性。

命令格式

pki validate-certificate { ca | local } realm realm-name

参数说明

参数 参数说明 取值
ca 指定对CA证书的有效性进行验证。 -
local 指定对本地证书的有效性进行验证。 -
realm realm-name 指定待验证证书所在的域名。

必须是已经存在的PKI域名称。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

在使用每一个证书之前,必须对证书进行验证,例如对端证书是否过期、是否被加入证书黑名单中,即检查证书的状态。

配置证书状态的检查方式后,需使用本命令对CA证书或者本地证书进行相应的有效性检查。

前提条件

执行命令pki realm(系统视图)已配置一个PKI域。

注意事项

pki validate-certificate ca命令只能验证根CA的CA证书有效性,不能验证从属CA的CA证书有效性。在多级CA的环境中,当设备上导入了多个CA证书时,只能使用pki validate-certificate local命令来验证从属CA的CA证书有效性。

使用实例

# 配置证书状态检查方式为CRL,检查本地证书的有效性。
<HUAWEI> system-view
[HUAWEI] pki realm abc
[HUAWEI-pki-realm-abc] certificate-check crl
[HUAWEI-pki-realm-abc] quit
[HUAWEI] pki validate-certificate local realm abc

rsa local-key-pair

命令功能

rsa local-key-pair命令用来配置使用SCEP方式或离线方式申请证书时使用的RSA密钥对。

undo rsa local-key-pair命令用来删除使用SCEP方式或离线方式申请证书时使用的RSA密钥对。

缺省情况下,系统未配置使用SCEP方式或离线方式申请证书时使用的RSA密钥对。

命令格式

rsa local-key-pair key-name

undo rsa local-key-pair

参数说明

参数 参数说明 取值
key-name 指定RSA密钥对的名称。 必须是已存在的RSA密钥对名称。

视图

PKI域视图

缺省级别

2:配置级

使用指南

应用场景

使用SCEP方式或使用离线的PKCS#10方式申请证书时,PKI实体向CA申请证书需携带公钥信息,可以执行本命令配置使用的RSA密钥对。

前置条件

已执行命令pki rsa local-key-pair create创建证书申请时使用的RSA密钥对,或者已执行命令pki import rsa-key-pair将RSA密钥对导入设备的内存中。

注意事项

一个RSA密钥对只能被一个PKI所引用。

使用实例

# 配置PKI域test引用的RSA密钥对。

<HUAWEI> system-view
[HUAWEI] pki rsa local-key-pair create test
 Info: The name of the new key-pair will be: test                                
 The size of the public key ranges from 512 to 4096.                            
 Input the bits in the modules:2048                                             
 Generating key-pairs...                                                        
.........................+++                                                    
................................................................................
........+++  
[HUAWEI] pki realm test
[HUAWEI-pki-realm-test] rsa local-key-pair test

serial-number

命令功能

serial-number命令用来将设备的序列号添加到PKI实体。

undo serial-number命令用来恢复缺省配置。

缺省情况下,系统未将设备的序列号添加到PKI实体。

命令格式

serial-number

undo serial-number

参数说明

视图

PKI实体视图

缺省级别

2:配置级

使用指南

PKI实体的参数是PKI实体的身份信息,CA根据PKI实体提供的身份信息来唯一标识证书申请者。为了更好的标识证书所有者的身份,可以将设备的序列号添加到PKI实体中。

执行本命令将设备的序列号添加到PKI实体后,设备进行证书申请时,发送给CA服务器的证书请求消息中会携带该信息。CA服务器接收到证书请求报文后,验证该请求的有效性。如果请求有效,则生成PKI实体的数字证书,该数字证书中会包含设备序列号信息。

使用实例

# 将设备的序列号添加到PKI实体。

<HUAWEI> system-view
[HUAWEI] pki entity entity1
[HUAWEI-pki-entity-entity1] serial-number
相关主题

source

命令功能

source命令用来配置建立TCP连接使用的源地址。

undo source命令用来恢复为缺省情况。

缺省情况下,设备使用出接口的地址作为建立TCP连接的源地址。

命令格式

source { interface interface-type interface-number | ip-address }

undo source

参数说明

参数 参数说明 取值
interface interface-type interface-number

指定直接使用接口的IP地址为源地址。其中:

  • interface-type表示接口类型
  • interface-number表示接口编号
-
ip-address

指定建立TCP连接的源地址。

点分十进制格式。

视图

PKI域视图

缺省级别

2:配置级

使用指南

应用场景

设备与SCEP服务器建立TCP连接时,必须执行命令source指定建立TCP连接使用的源地址。

在多出接口场景中,设备发送和接收的TCP报文的接口不一致时,接收的TCP报文的IP地址与接收接口的IP地址不一致,设备丢弃接收的TCP报文,导致TCP连接中断。此时,可以执行本命令指定Loopback接口地址。

注意事项

如果指定接口,请确保该接口为三层接口,且接口下已经配置了IP地址。

使用实例

# 配置接口VLANIF100的地址作为建立TCP连接使用的源地址。
<HUAWEI> system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 10.136.2.25 24
[HUAWEI-Vlanif100] quit
[HUAWEI] pki realm abc
[HUAWEI-pki-realm-abc] source interface vlanif 100

state(PKI实体视图)

命令功能

state命令用来配置PKI实体所属的州或省。

undo state命令用来删除PKI实体所属的州或省。

缺省情况下,系统未配置PKI实体所属的州或者省。

命令格式

state state-name

undo state

参数说明

参数 参数说明 取值
state-name 指定PKI实体所属的州或省的名称。 字符串形式,长度范围为1~32。区分大小写。支持的字符为英文字母、数字、撇号(')、等号(=)、小括号(( ))、加号(+)、逗号(,)、减号(-)、句号(.)、斜杠(/)、冒号(:)以及空格。

视图

PKI实体视图

缺省级别

2:配置级

使用指南

PKI实体的参数是PKI实体的身份信息,CA根据PKI实体提供的身份信息来唯一标识证书申请者。为了更好的标识证书所有者的身份,可以配置PKI实体的州或省,作为PKI实体的一种别名。

执行本命令配置PKI实体的州或省后,设备进行证书申请时,发送给CA服务器的证书请求消息中会携带该信息。CA服务器接收到证书请求报文后,验证该请求的有效性。如果请求有效,则生成实体的数字证书,该数字证书中会包含PKI实体的州或省信息。

使用实例

# 配置PKI实体所属的省为Jiangsu。

<HUAWEI> system-view
[HUAWEI] pki entity entity1
[HUAWEI-pki-entity-entity1] state Jiangsu
相关主题

vpn-instance

命令功能

vpn-instance命令用来将PKI加入到指定的VPN内。

undo vpn-instance命令用来取消PKI加入到指定的VPN内。

缺省情况下,系统未将PKI加入到任何VPN内。

命令格式

vpn-instance vpn-instance-name

undo vpn-instance

参数说明

参数

参数说明

取值

vpn-instance-name

指定VPN实例的名称。

必须是已存在的VPN实例名称。

视图

PKI域视图

缺省级别

2:配置级

使用指南

应用场景

当CA或SCEP服务器位于某个VPN内时,为了让设备可以与这些服务器进行通信以实现证书的获取或有效性校验等功能,可通过本命令将PKI加入到指定的VPN内。

前提条件

  1. 已执行命令ip vpn-instance创建VPN实例。

  2. 已执行命令route-distinguisher配置路由标识RD。

使用实例

# 将PKI加入到名为vrf1的VPN内。

<HUAWEI> system-view
[HUAWEI] ip vpn-instance vrf1
[HUAWEI-vpn-instance-vrf1] route-distinguisher 22:1
[HUAWEI-vpn-instance-vrf1-af-ipv4] quit
[HUAWEI-vpn-instance-vrf1] quit
[HUAWEI] pki realm abc
[HUAWEI-pki-realm-abc] vpn-instance vrf1
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:10752

下载量:201

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页