09-安全命令參考

07-PKI命令

1.1.3 certificate request entity

1.1.4 certificate request from

1.1.5 certificate request mode

1.1.6 certificate request polling

1.1.7 certificate request url

1.1.12 display pki certificate access-control-policy

1.1.13 display pki certificate attribute-group

1.1.14 display pki certificate domain

1.1.15 display pki certificate request-status

1.1.16 display pki crl

1.1.22 organization-unit

1.1.23 pki abort-certificate-request

1.1.24 pki certificate access-control-policy

1.1.25 pki certificate attribute-group

1.1.26 pki delete-certificate

1.1.31 pki request-certificate

1.1.32 pki retrieve-certificate

1.1.33 pki retrieve-crl

1.1.34 pki storage

1.1.35 pki validate-certificate

1.1.36 public-key dsa

1.1.37 public-key rsa

1.1.38 root-certificate fingerprint

1 PKI

設備運行於FIPS模式時，本特性的相關配置相對於非FIPS模式有所變化，具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。

1.1 PKI配置命令

1.1.1 attribute

attribute命令用來配置屬性規則，用於根據證書的頒發者名、主題名以及備用主題名來過濾證書。

undo attribute命令用來刪除證書屬性規則。

【命令】

attribute id { alt-subject-name { fqdn | ip } | { issuer-name | subject-name } { dn | fqdn | ip } } { ctn | equ | nctn | nequ } attribute-value

undo attribute id

【缺省情況】

不存在屬性規則，即對證書的頒發者名、主題名以及備用主題名沒有限製。

【視圖】

證書屬性組視圖

【缺省用戶角色】

network-admin

【參數】

id：證書屬性規則序號，取值範圍為1～16。

alt-subject-name：表示證書備用主題名（Subject Alternative Name）。

fqdn：指定實體的FQDN。

ip：指定實體的IP地址。

dn：指定實體的DN。

issuer-name：表示證書頒發者名（Issuer Name）。

subject-name：表示證書主題名（Subject Name）。

ctn：表示包含操作。

equ：表示相等操作。

nctn：表示不包含操作。

nequ：表示不等操作。

attribute-value：指定證書屬性值，為1～255個字符的字符串，不區分大小寫。

【使用指導】

各證書屬性中可包含的屬性域個數有所不同：

· 主題名和頒發者名中均隻能包含一個DN，但是均可以同時包含多個FQDN和IP；

· 備用主題名中不能包含DN，但是可以同時包含多個FQDN和IP。

不同類型的證書屬性域與操作關鍵字的組合代表了不同的匹配條件，具體如下表所示：

表1-1 對證書屬性域的操作涵義

操作	DN	FQDN/IP
ctn	DN中包含指定的屬性值	任意一個FQDN/IP中包含了指定的屬性值
nctn	DN中不包含指定的屬性值	所有FQDN/IP中均不包含指定的屬性值
equ	DN等於指定的屬性值	任意一個FQDN/IP等於指定的屬性值
nequ	DN不等於指定的屬性值	所有FQDN/IP均不等於指定的屬性值

如果證書的相應屬性中包含了屬性規則裏指定的屬性域，且滿足屬性規則中定義的匹配條件，則認為該屬性與屬性規則相匹配。例如：屬性規則2中定義，證書的主題名DN中包含字符串abc。如果某證書的主題名的DN中確實包含了字符串abc，則認為該證書的主題名與屬性規則2匹配。

隻有證書中的相應屬性與某屬性組中的所有屬性規則都匹配上，才認為該證書與此屬性組匹配。如果證書中的某屬性中沒有包含屬性規則中指定的屬性域，或者不滿足屬性規則中的匹配條件，則認為該證書與此屬性組不匹配。

【舉例】

<Sysname> system-view

[Sysname] pki certificate attribute-group mygroup

# 創建證書屬性規則1，定義證書主題名中的DN包含字符串abc。

[Sysname-pki-cert-attribute-group-mygroup] attribute 1 subject-name dn ctn abc

# 創建證書屬性規則2，定義證書頒發者名中的FQDN不等於字符串abc。

[Sysname-pki-cert-attribute-group-mygroup] attribute 2 issuer-name fqdn nequ abc

# 創建證書屬性規則3，定義證書主題備用名中的IP地址不等於10.0.0.1。

[Sysname-pki-cert-attribute-group-mygroup] attribute 3 alt-subject-name ip nequ 10.0.0.1

【相關命令】

· display pki certificate attribute-group

· rule

1.1.2 ca identifier

ca identifier命令用來指定設備信任的CA的名稱。

undo ca identifier命令用來刪除設備信任的CA。

【命令】

ca identifier name

undo ca identifier

【缺省情況】

未指定設備信任的CA。

【視圖】

PKI視圖

【缺省用戶角色】

network-admin

【參數】

name：設備信任的CA的名稱，為1～63個字符的字符串，區分大小寫。

【使用指導】

獲取CA證書時，必須指定信任的CA的名稱，這個名稱會被作為SCEP消息的一部分發送給CA服務器。但是一般情況下，CA服務器會忽略收到的SCEP消息中的CA名稱的具體內容。但是如果在同一台服務器上配置了兩個CA，且它們的URL是相同的，則服務器將根據SCEP消息中的CA名稱選擇對應的CA。因此，使用此命令指定的CA名稱必須與希望獲取的CA證書對應的CA名稱一致。

【舉例】

# 指定設備信任的CA的名稱為new-ca。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] ca identifier new-ca

1.1.3 certificate request entity

certificate request entity命令用來指定用於申請證書的PKI實體名稱。

undo certificate request entity命令用來取消用於申請證書的PKI實體名稱。

【命令】

certificate request entity entity-name

undo certificate request entity

【缺省情況】

未指定設備申請證書所使用的PKI實體名稱。

【視圖】

PKI域視圖

【缺省用戶角色】

network-admin

【參數】

entity-name：用於申請證書的PKI實體的名稱，為1～31個字符的字符串，不區分大小寫。

【使用指導】

本命令用於在PKI域中指定申請證書的PKI實體。PKI實體描述了申請證書的實體的各種屬性（通用名、組織部門、組織、地理區域、省、國家、FQDN、IP），這些屬性用於描述PKI實體的身份信息。

一個PKI域中隻能指定一個PKI實體名，新配置的PKI實體名會覆蓋已有的PKI實體名。

【舉例】

# 指定申請證書的PKI實體的名稱為en1。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request entity en1

【相關命令】

· pki entity

1.1.4 certificate request from

certificate request from命令用來配置證書申請的注冊受理機構。

undo certificate request from命令用來刪除指定的證書申請注冊受理機構。

【命令】

certificate request from { ca | ra }

undo certificate request from

【缺省情況】

未指定證書申請的注冊受理機構。

【視圖】

PKI域視圖

【缺省用戶角色】

network-admin

【參數】

ca：表示實體從CA申請證書。

ra：表示實體從RA申請證書。

【使用指導】

選擇從CA還是RA申請證書，由CA服務器決定，需要了解CA服務器上由什麼機構來受理證書申請。

推薦使用獨立運行的RA作為注冊受理機構。

【舉例】

# 指定實體從RA申請證書。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request from ra

1.1.5 certificate request mode

certificate request mode命令用來配置證書申請方式。

undo certificate request mode命令用來恢複缺省情況。

【命令】

certificate request mode { auto [ password { cipher | simple } password ] | manual }

undo certificate request mode

【缺省情況】

證書申請方式為手工方式。

【視圖】

PKI域視圖

【缺省用戶角色】

network-admin

【參數】

auto：表示用自動方式申請證書。

password：指定吊銷證書時使用的口令。

cipher：表示以密文方式設置口令。

simple：表示以明文方式設置口令。

password：設置的明文或密文口令，區分大小寫。明文口令為1～31個字符的字符串，密文口令為1～73個字符的字符串。

manual：表示用手工方式申請證書。

【使用指導】

兩種申請方式都屬於在線申請，具體情況如下：

· 如果是自動方式，則設備會在與PKI域關聯的應用需要做身份認證時，自動向證書注冊機構發起獲取CA證書和申請本地證書的操作。自動方式下，可以指定吊銷證書時使用的口令，是否需要指定口令是由CA服務器的策略決定的。

· 如果為手工方式，則需要手工完成獲取CA證書、申請本地證書的操作。

以明文或密文方式設置的口令，均以密文的方式保存在配置文件中。

【舉例】

# 指定證書申請方式為自動方式。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request mode auto

# 指定證書申請方式為自動方式，並設置吊銷證書時使用的口令為明文123456。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request mode auto password simple 123456

【相關命令】

· pki request-certificate

1.1.6 certificate request polling

certificate request polling命令用來配置證書申請狀態的查詢周期和最大次數。

undo certificate request polling命令用來恢複缺省情況。

【命令】

certificate request polling { count count | interval minutes }

undo certificate request polling { count | interval }

【缺省情況】

證書申請狀態的查詢周期為20分鍾，最多查詢50次。

【視圖】

PKI域視圖

【缺省用戶角色】

network-admin

【參數】

count count：表示證書申請狀態的查詢次數，取值範圍為1～100。

interval minutes：表示證書申請狀態的查詢周期，取值範圍為5～168，單位為分鍾。

【使用指導】

設備發送證書申請後，如果CA服務器采用手工方式來簽發證書申請，則不會立刻響應設備的申請。這種情況下，設備通過定期向CA服務器發送狀態查詢消息，能夠及時獲取到被CA簽發的證書。CA簽發證書後，設備將通過發送狀態查詢得到證書，之後停止發送狀態查詢消息。如果達到最大查詢次數時，CA服務器仍未簽發證書，則設備停止發送狀態查詢消息，本次證書申請失敗。

如果CA服務器采用自動簽發證書的方式，則設備可以立刻得到證書，這種情況下設備不會向CA服務器發送狀態查詢消息。

【舉例】

# 指定證書申請狀態的查詢周期為15分鍾，最多查詢40次。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request polling interval 15

[Sysname-pki-domain-aaa] certificate request polling count 40

【相關命令】

· display pki certificate request-status

1.1.7 certificate request url

certificate request url命令用來配置實體通過SCEP進行證書申請的注冊受理機構服務器的URL。

undo certificate request url命令用來刪除指定的注冊受理機構服務器的URL。

【命令】

certificate request url url-string [ vpn-instance vpn-instance-name ]

undo certificate request url

【缺省情況】

未指定注冊受理機構服務器的URL。

【視圖】

PKI域視圖

【缺省用戶角色】

network-admin

【參數】

url-string：表示證書申請的注冊受理機構服務器的URL，為1～511個字符的字符串，區分大小寫。

vpn-instance vpn-instance-name：指定注冊受理機構服務器所屬的VPN。vpn-instance-name表示MPLS L3VPN實例名稱，為1～31個字符的字符串，區分大小寫。若未指定本參數，則表示該注冊受理機構服務器屬於公網。

【使用指導】

本命令配置的URL內容包括注冊受理機構服務器的位置及CGI命令接口腳本位置，格式為http://server_location/cgi_script_location。其中，server_location是服務器的地址，可以是IPv4地址、 IPv6地址和DNS域名，cgi_script_location是注冊授權機構（CA或RA ）在服務器主機上的應用程序腳本的路徑。

實際可輸入的URL長度受命令行允許輸入的最大字符數限製。

【舉例】

# 指定實體進行證書申請的注冊受理機構服務器的URL為http://169.254.0.100/certsrv/mscep/mscep.dll。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request url http://169.254.0.100/certsrv/mscep/mscep.dll

# 指定實體向VPN中的注冊受理機構服務器申請證書，該服務器的URL為http://mytest.net/certsrv/mscep/mscep.dll，所在的MPLS L3VPN的實例名稱為vpn1。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request url http:// mytest.net /certsrv/mscep/mscep.dll vpn-instance vpn1

1.1.8 common-name

common-name命令用來配置PKI實體的通用名，比如用戶名稱。

undo common-name命令用來刪除配置的PKI實體的通用名。

【命令】

common-name common-name-sting

undo common-name

【缺省情況】

未配置PKI實體的通用名。

【視圖】

PKI實體視圖

【缺省用戶角色】

network-admin

【參數】

common-name-sting：PKI實體的通用名稱，為1～63個字符的字符串，區分大小寫，不能包含逗號。

【舉例】

# 配置PKI實體en的通用名為test。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] common-name test

1.1.9 country

country命令用來配置PKI實體所屬的國家代碼。

undo country命令用來刪除配置的PKI實體所屬的國家代碼。

【命令】

country country-code-string

undo country

【缺省情況】

未配置PKI實體所屬的國家代碼。

【視圖】

PKI實體視圖

【缺省用戶角色】

network-admin

【參數】

country-code-string：PKI實體所屬的國家代碼，為標準的兩字符代碼，區分大小寫，例如中國為CN。

【舉例】

# 配置PKI實體en所屬的國家代碼為CN。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] country CN

1.1.10 crl check

crl check enable命令用來使能CRL檢查。

undo crl check enable命令用來禁止CRL檢查。

【命令】

crl check enable

undo crl check enable

【缺省情況】

CRL檢查處於使能狀態。

【視圖】

PKI域視圖

【缺省用戶角色】

network-admin

【使用指導】

CRL（Certificate Revocation List，證書廢除列表）是一個由CA簽發的文件，該文件中包含被該CA吊銷的所有證書的列表。一個證書有可能在有效期達到之前被CA吊銷。使能CRL檢查的目的是查看設備上的實體證書或者即將要導入、獲取到設備上的實體證書是否已經被CA吊銷，若檢查結果表明實體證書已被吊銷，那麼該證書就不被設備信任。

【舉例】

# 禁止CRL檢查。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] undo crl check enable

【相關命令】

· pki import

· pki retrieve-certificate

· pki validate-certificate

1.1.11 crl url

crl url命令用來設置CRL發布點的URL。

undo crl url命令用來刪除CRL發布點的URL。

【命令】

crl url url-string [ vpn-instance vpn-instance-name ]

undo crl url

【缺省情況】

未設置CRL發布點的URL。

【視圖】

PKI域視圖

【缺省用戶角色】

network-admin

【參數】

url-string：表示CRL發布點的URL，為1～511個字符的字符串，區分大小寫。格式為ldap://server_location或http://server_location，其中server_location可以為IP地址和DNS域名。

vpn-instance vpn-instance-name：指定CRL發布點所屬的VPN。vpn-instance-name表示MPLS L3VPN實例名稱，為1～31個字符的字符串，區分大小寫。若未指定本參數，則表示該CRL發布點屬於公網。

【使用指導】

如果CRL檢查處於使能狀態，則進行CRL檢查之前，需要首先從本命令指定的CRL發布點獲取CRL。若PKI域中未配置CRL發布點的URL，則依次從本地證書、CA證書中獲取CRL發布點。如果證書中也沒有CRL發布點，則通過SCEP協議獲取CRL，該操作在獲取CA證書和本地證書之後進行。

若配置了LDAP格式的CRL發布點URL，則表示要通過LDAP協議獲取CRL。若該URL中未攜帶主機名，則需要根據PKI域中配置的LDAP服務器地址信息來得到完整的LDAP發布點URL。

實際可輸入的URL長度受命令行允許輸入的最大字符數限製。

【舉例】

# 指定CRL發布點的URL為http://169.254.0.30。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] crl url http://169.254.0.30

# 指定CRL發布點的URL為ldap://169.254.0.30，所在的MPLS L3VPN的實例名稱為vpn1。

<Sysname> system-view

[Sysname] pki domain 1

[Sysname-pki-domain-1] crl url ldap://169.254.0.30 vpn-instance vpn1

【相關命令】

· ldap-server

· pki retrieve-crl

1.1.12 display pki certificate access-control-policy

display pki certificate access-control-policy命令用來顯示證書訪問控製策略的配置信息。

【命令】

display pki certificate access-control-policy [ policy-name ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

policy-name：指定證書訪問控製策略名稱，為1～31個字符的字符串，不區分大小寫。

【使用指導】

若不指定證書訪問控製策略的名稱，則顯示所有證書訪問控製策略的配置信息。

【舉例】

# 顯示證書訪問控製策略mypolicy的配置信息。

<Sysname> display pki certificate access-control-policy mypolicy

Access control policy name: mypolicy

Rule 1 deny mygroup1

Rule 2 permit mygroup2

# 顯示所有證書屬性訪問控製策略的配置信息。

<Sysname> display pki certificate access-control-policy

Total PKI certificate access control policies: 2

Access control policy name: mypolicy1

Rule 1 deny mygroup1

Rule 2 permit mygroup2

Access control policy name: mypolicy2

Rule 1 deny mygroup3

Rule 2 permit mygroup4

表1-2 display pki certificate access-control-policy命令顯示信息描述表

字段	描述
Total PKI certificate access control policies	PKI證書訪問控製策略的總數
Access control policy name	證書訪問控製策略名
Rule number	訪問控製規則編號
permit	當證書的屬性與屬性組裏定義的屬性匹配時，認為該證書有效，通過了訪問控製策略的檢測
deny	當證書的屬性與屬性組裏定義的屬性匹配時，認為該證書無效，未通過訪問控製策略的檢測

【相關命令】

· pki certificate access-control-policy

· rule

1.1.13 display pki certificate attribute-group

display pki certificate attribute-group命令用來顯示證書屬性組的配置信息。

【命令】

display pki certificate attribute-group [ group-name ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

group-name：指定證書屬性組名，為1～31個字符的字符串，不區分大小寫。

【使用指導】

若不指定證書屬性組的名字，則顯示所有證書屬性組的配置信息。

【舉例】

# 顯示證書屬性組mygroup的信息。

<Sysname> display pki certificate attribute-group mygroup

Attribute group name: mygroup

Attribute 1 subject-name dn ctn abc

Attribute 2 issuer-name fqdn nctn app

# 顯示所有證書屬性組的信息。

<Sysname> display pki certificate attribute-group

Total PKI certificate attribute groups: 2.

Attribute group name: mygroup1

Attribute 1 subject-name dn ctn abc

Attribute 2 issuer-name fqdn nctn app

Attribute group name: mygroup2

Attribute 1 subject-name dn ctn def

Attribute 2 issuer-name fqdn nctn fqd

表1-3 display pki certificate attribute-group命令顯示信息描述表

字段	描述
Total PKI certificate attribute groups	PKI證書屬性組的總數
Attribute group name	證書屬性組名稱
Attribute number	屬性規則編號
subject-name	證書主題名
alt-subject-name	證書備用主題名
issuer-name	證書頒發者名
dn	實體的DN
fqdn	實體的FQDN
ip	實體的IP地址
ctn	表示包含操作
nctn	表示不包含操作
equ	表示等於操作
nequ	表示不等操作
Attribute 1 subject-name dn ctn abc	屬性規則1中定義，證書主題名中的DN包含字符串abc

【相關命令】

· attribute

· pki certificate attribute-group

1.1.14 display pki certificate domain

display pki certificate domain命令用來顯示證書的內容。

【命令】

display pki certificate domain domain-name { ca | local | peer [ serial serial-num ] }

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

domain-name：顯示指定證書所在的PKI域的名稱，為1～31個字符的字符串，不區分大小寫，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

ca：顯示CA證書。

local：顯示本地證書。

peer：顯示對端證書。

serial serial-num：指定要顯示的對端證書的序列號。

【使用指導】

· 顯示CA證書時，會顯示此PKI域中所有CA證書、RA證書的詳細信息。

· 顯示本地證書時，會顯示此PKI域中所有本地證書的詳細信息。

· 顯示對端證書時，如果不指定序列號，將顯示所有對端證書的簡要信息；如果指定序列號，將顯示該序號對應的指定對端證書的詳細信息。

【舉例】

# 顯示PKI域aaa中的CA證書。

<Sysname> display pki certificate domain aaa ca

Certificate:

Data:

Version: 1 (0x0)

Serial Number:

5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6

Signature Algorithm: sha1WithRSAEncryption

Issuer: C=cn, O=docm, OU=rnd, CN=rootca

Validity

Not Before: Jan 6 02:51:41 2011 GMT

Not After : Dec 7 03:12:05 2013 GMT

Subject: C=cn, O=ccc, OU=ppp, CN=rootca

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

Public-Key: (1024 bit)

Modulus:

00:c4:fd:97:2c:51:36:df:4c:ea:e8:c8:70:66:f0:

28:98:ec:5a:ee:d7:35:af:86:c4:49:76:6e:dd:40:

4a:9e:8d:c0:cb:d9:10:9b:61:eb:0c:e0:22:ce:f6:

57:7c:bb:bb:1b:1d:b6:81:ad:90:77:3d:25:21:e6:

7e:11:0a:d8:1d:3c:8e:a4:17:1e:8c:38:da:97:f6:

6d:be:09:e3:5f:21:c5:a0:6f:27:4b:e3:fb:9f:cd:

c1:91:18:ff:16:ee:d8:cf:8c:e3:4c:a3:1b:08:5d:

84:7e:11:32:5f:1a:f8:35:25:c0:7e:10:bd:aa:0f:

52:db:7b:cd:5d:2b:66:5a:fb

Exponent: 65537 (0x10001)

Signature Algorithm: sha1WithRSAEncryption

6d:b1:4e:d7:ef:bb:1d:67:53:67:d0:8f:7c:96:1d:2a:03:98:

3b:48:41:08:a4:8f:a9:c1:98:e3:ac:7d:05:54:7c:34:d5:ee:

09:5a:11:e3:c8:7a:ab:3b:27:d7:62:a7:bb:bc:7e:12:5e:9e:

4c:1c:4a:9f:d7:89:ca:20:46:de:c5:b3:ce:36:ca:5e:6e:dc:

e7:c6:fe:3f:c5:38:dd:d5:a3:36:ad:f4:3d:e6:32:7f:48:df:

07:f0:a2:32:89:86:72:22:cd:ed:e5:0f:95:df:9c:75:71:e7:

fe:34:c5:a0:64:1c:f0:5c:e4:8f:d3:00:bd:fa:90:b6:64:d8:

88:a6

# 顯示PKI域aaa中的本地證書。

<Sysname> display pki certificate domain aaa local

Certificate:

Data:

Version: 3 (0x2)

Serial Number:

bc:05:70:1f:0e:da:0d:10:16:1e

Signature Algorithm: sha256WithRSAEncryption

Issuer: C=CN, O=sec, OU=software, CN=ipsec

Validity

Not Before: Jan 7 20:05:44 2011 GMT

Not After : Jan 7 20:05:44 2012 GMT

Subject: O=OpenCA Labs, OU=Users, CN=fips fips-sec

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

Public-Key: (1024 bit)

Modulus:

00:b2:38:ad:8c:7d:78:38:37:88:ce:cc:97:17:39:

52:e1:99:b3:de:73:8b:ad:a8:04:f9:a1:f9:0d:67:

d8:95:e2:26:a4:0b:c2:8c:63:32:5d:38:3e:fd:b7:

4a:83:69:0e:3e:24:e4:ab:91:6c:56:51:88:93:9e:

12:a4:30:ad:ae:72:57:a7:ba:fb:bc:ac:20:8a:21:

46:ea:e8:93:55:f3:41:49:e9:9d:cc:ec:76:13:fd:

a5:8d:cb:5b:45:08:b7:d1:c5:b5:58:89:47:ce:12:

bd:5c:ce:b6:17:2f:e0:fc:c0:3e:b7:c4:99:31:5b:

8a:f0:ea:02:fd:2d:44:7a:67

Exponent: 65537 (0x10001)

X509v3 extensions:

X509v3 Basic Constraints:

CA:FALSE

Netscape Cert Type:

SSL Client, S/MIME

X509v3 Key Usage:

Digital Signature, Non Repudiation, Key Encipherment

X509v3 Extended Key Usage:

TLS Web Client Authentication, E-mail Protection, Microsoft Smartcardlogin

Netscape Comment:

User Certificate of OpenCA Labs

X509v3 Subject Key Identifier:

91:95:51:DD:BF:4F:55:FA:E4:C4:D0:10:C2:A1:C2:99:AF:A5:CB:30

X509v3 Authority Key Identifier:

keyid:DF:D2:C9:1A:06:1F:BC:61:54:39:FE:12:C4:22:64:EB:57:3B:11:9F

X509v3 Subject Alternative Name:

email:[email protected]

X509v3 Issuer Alternative Name:

email:[email protected]

Authority Information Access:

CA Issuers - URI:http://titan/pki/pub/cacert/cacert.crt

OCSP - URI:http://titan:2560/

1.3.6.1.5.5.7.48.12 - URI:http://titan:830/

X509v3 CRL Distribution Points:

Full Name:

URI:http://titan/pki/pub/crl/cacrl.crl

Signature Algorithm: sha256WithRSAEncryption

94:ef:56:70:48:66:be:8f:9d:bb:77:0f:c9:f4:65:77:e3:bd:

ea:9a:b8:24:ae:a1:38:2d:f4:ab:e8:0e:93:c2:30:33:c8:ef:

f5:e9:eb:9d:37:04:6f:99:bd:b2:c0:e9:eb:b1:19:7e:e3:cb:

95:cd:6c:b8:47:e2:cf:18:8d:99:f4:11:74:b1:1b:86:92:98:

af:a2:34:f7:1b:15:ee:ea:91:ed:51:17:d0:76:ec:22:4c:56:

da:d6:d1:3c:f2:43:31:4f:1d:20:c8:c2:c3:4d:e5:92:29:ee:

43:c6:d7:72:92:e8:13:87:38:9a:9c:cd:54:38:b2:ad:ba:aa:

f9:a4:68:b5:2a:df:9a:31:2f:42:80:0c:0c:d9:6d:b3:ab:0f:

dd:a0:2c:c0:aa:16:81:aa:d9:33:ca:01:75:94:92:44:05:1a:

65:41:fa:1e:41:b5:8a:cc:2b:09:6e:67:70:c4:ed:b4:bc:28:

04:50:a6:33:65:6d:49:3c:fc:a8:93:88:53:94:4c:af:23:64:

cb:af:e3:02:d1:b6:59:5f:95:52:6d:00:00:a0:cb:75:cf:b4:

50:c5:50:00:65:f4:7d:69:cc:2d:68:a4:13:5c:ef:75:aa:8f:

3f:ca:fa:eb:4d:d5:5d:27:db:46:c7:f4:7d:3a:b2:fb:a7:c9:

de:18:9d:c1

# 顯示PKI域aaa中的所有對端證書的簡要信息。

<Sysname> display pki certificate domain aaa peer

Total peer certificates: 1

Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7

Subject Name: CN=sldsslserver

# 顯示PKI域aaa中的一個特定序號的對端證書的詳細信息。

<Sysname> display pki certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7

Certificate:

Data:

Version: 3 (0x2)

Serial Number:

9a:03:37:eb:21:56:ba:1f:54:76:e4:d7:54:a5:a9:f7

Signature Algorithm: sha1WithRSAEncryption

Issuer: C=cn, O=ccc, OU=sec, CN=ssl

Validity

Not Before: Oct 15 01:23:06 2010 GMT

Not After : Jul 26 06:30:54 2012 GMT

Subject: CN=sldsslserver

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

Public-Key: (1024 bit)

Modulus:

00:c2:cf:37:76:93:29:5e:cd:0e:77:48:3a:4d:0f:

a6:28:a4:60:f8:31:56:28:7f:81:e3:17:47:78:98:

68:03:5b:72:f4:57:d3:bf:c5:30:32:0d:58:72:67:

04:06:61:08:3b:e9:ac:53:b9:e7:69:68:1a:23:f2:

97:4c:26:14:c2:b5:d9:34:8b:ee:c1:ef:af:1a:f4:

39:da:c5:ae:ab:56:95:b5:be:0e:c3:46:35:c1:52:

29:9c:b7:46:f2:27:80:2d:a4:65:9a:81:78:53:d4:

ca:d3:f5:f3:92:54:85:b3:ab:55:a5:03:96:2b:19:

8b:a3:4d:b2:17:08:8d:dd:81

Exponent: 65537 (0x10001)

X509v3 extensions:

X509v3 Authority Key Identifier:

keyid:9A:83:29:13:29:D9:62:83:CB:41:D4:75:2E:52:A1:66:38:3C:90:11

X509v3 Key Usage: critical

Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Key Agreement

Netscape Cert Type:

SSL Server

X509v3 Subject Alternative Name:

DNS:docm.com

X509v3 Subject Key Identifier:

3C:76:95:9B:DD:C2:7F:5F:98:83:B7:C7:A0:F8:99:1E:4B:D7:2F:26

X509v3 CRL Distribution Points:

Full Name:

URI:http://s03130.ccc.huawei-3com.com:447/ssl.crl

Signature Algorithm: sha1WithRSAEncryption

61:2d:79:c7:49:16:e3:be:25:bb:8b:70:37:31:32:e5:d3:e3:

31:2c:2d:c1:f9:bf:50:ad:35:4b:c1:90:8c:65:79:b6:5f:59:

36:24:c7:14:63:44:17:1e:e4:cf:10:69:fc:93:e9:70:53:3c:

85:aa:40:7e:b5:47:75:0f:f0:b2:da:b4:a5:50:dd:06:4a:d5:

17:a5:ca:20:19:2c:e9:78:02:bd:19:77:da:07:1a:42:df:72:

ad:07:7d:e5:16:d6:75:eb:6e:06:58:ee:76:31:63:db:96:a2:

ad:83:b6:bb:ba:4b:79:59:9d:59:6c:77:59:5b:d9:07:33:a8:

f0:a5

表1-4 display pki certificate命令顯示信息描述表

字段	描述
Version	證書版本號
Serial Number	證書序列號
Signature Algorithm	簽名算法
Issuer	證書頒發者
Validity	證書有效期
Subject	證書所屬的實體信息
Subject Public Key Info	證書所屬的實體的公鑰信息
X509v3 extensions	X.509版本3格式的證書擴展屬性

【相關命令】

· pki domain

· pki retrieve-certificate

1.1.15 display pki certificate request-status

display pki certificate request-status命令用來顯示證書的申請狀態。

【命令】

display pki certificate request-status [ domain domain-name ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

domain domain-name：指定證書所在的PKI域的名稱，為1～31個字符的字符串，不區分大小寫，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

【使用指導】

若不指定PKI域的名稱，則顯示所有PKI域的證書申請狀態。

【舉例】

# 顯示PKI域aaa的證書申請狀態。

<Sysname> display pki certificate request-status domain aaa

Certificate Request Transaction 1

Domain name: aaa

Status: Pending

Key usage: General

Remain polling attempts: 10

Next polling attempt after : 1191 seconds

# 顯示所有PKI域的證書申請狀態。

<Sysname> display pki certificate request-status

Certificate Request Transaction 1

Domain name: domain1

Status: Pending

Key usage: General

Remain polling attempts: 10

Next polling attempt after : 1191 seconds

Certificate Request Transaction 2

Domain name: domain2

Status: Pending

Key usage: Signature

Remain polling attempts: 10

Next polling attempt after : 188 seconds

表1-1 display pki certificate request命令顯示信息描述表

字段	描述
Certificate Request Transaction number	證書申請任務的編號，從1開始順序編號
Domain name	PKI域名
Status	證書申請狀態。目前，僅有一種取值Pending，表示等待
Key usage	證書用途，包括以下取值： · General：表示通用，既可以用於加密也可以用於簽名 · Signature：表示用於簽名 · Encryption：表示用於加密
Remain polling attempts	剩餘的證書申請狀態的查詢次數
Next polling attempt after	當前到下次查詢證書申請狀態的時間間隔，單位為秒

【相關命令】

l certificate request polling

l pki domain

l pki retrieve-certificate

字段	描述
Version	CRL版本號
Signature Algorithm	CA簽名該CRL采用的簽名算法
Issuer	頒發該CRL的CA證書名稱
Last Update	上次更新CRL的時間
Next Update	下次更新CRL的時間
CRL extensions	CRL擴展屬性
X509v3 CRL Number	X509版本3格式的CRL序號
X509v3 Authority Key Identifier	X509版本3格式的簽發該CRL的CA的標識符
keyid	公鑰標識符一個CA可能有多個密鑰對，該字段用於標識CA用哪個密鑰對對該CRL進行簽名
Revoked Certificates	撤銷的證書信息
Serial Number	被吊銷證書的序列號
Revocation Date	證書被吊銷的日期
CRL entry extensions:	CRL項目擴展屬性
Signature Algorithm:	簽名算法以及簽名數據

1.1.17 fqdn

fqdn命令用來配置PKI實體的FQDN。

undo fqdn命令用來刪除配置的PKI實體的FQDN。

【命令】

fqdn fqdn-name-string

undo fqdn

【缺省情況】

未配置PKI實體的FQDN。

【視圖】

PKI實體視圖

【缺省用戶角色】

network-admin

【參數】

fqdn-name-string：PKI實體的FQDN，為1～255個字符的字符串，區分大小寫。

【使用指導】

FQDN是實體在網絡中的唯一標識，由一個主機名和一個域名組成，形式為hostname@domainname。

【舉例】

# 配置PKI實體en的FQDN為[email protected]。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] fqdn [email protected]

1.1.18 ip

ip命令用來配置PKI實體的IP地址。

undo ip命令用來刪除配置的PKI實體的IP地址。

【命令】

ip { ip-address | interface interface-type interface-number }

undo ip

【缺省情況】

未配置PKI實體的IP地址。

【視圖】

PKI實體視圖

【缺省用戶角色】

network-admin

【參數】

ip-address：指定PKI實體的IPv4地址。

interface interface-type interface-numbe：指定接口的主IPv4地址作為PKI實體的IPv4地址。interface-type interface-number表示接口類型及接口編號。

【使用指導】

通過本命令，可以直接指定PKI實體的IP地址，也可以指定設備上某接口的主IPv4地址作為PKI實體的IP地址。如果指定使用某接口的IP地址，則不要求本配置執行時該接口上已經配置了IP地址，隻要設備申請證書時，該接口上配置了IP地址，就可以直接使用該地址作為PKI實體身份的一部分。

【舉例】

# 配置PKI實體en的IP地址為192.168.0.2。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] ip 192.168.0.2

1.1.19 ldap-server

ldap-server命令用來指定LDAP服務器。

undo ldap-server命令用來刪除指定的LDAP服務器。

【命令】

ldap-server host hostname [ port port-number ] [ vpn-instance vpn-instance-name ]

undo ldap-server

【缺省情況】

未指定LDAP服務器。

【視圖】

PKI域視圖

【缺省用戶角色】

network-admin

【參數】

host host-name：LDAP服務器的主機名，為1～255個字符的字符串，區分大小寫，支持IPv4與IPv6地址的表示方法以及DNS域名的表示方法。

port port-number：LDAP服務器的端口號，取值範圍為1～65535，缺省值為389。

vpn-instance vpn-instance-name：指定LDAP服務器所屬的VPN。vpn-instance-name表示MPLS L3VPN實例名稱，為1～31個字符的字符串，區分大小寫。若未指定本參數，則表示該LDAP服務器屬於公網。

【使用指導】

以下兩種情況下，需要配置LDAP服務器：

· 通過LDAP協議獲取本地證書或對端證書時，需要指定LDAP服務器。

· 通過LDAP協議獲取CRL時，若PKI域中配置的LDAP格式的CRL發布點URL中未攜帶主機名，則需要根據此處配置的LDAP服務器地址來得到完整的LDAP發布點URL。

在一個PKI域中，隻能指定一個LDAP服務器，若重複執行本命令，最新的配置生效。

【舉例】

# 指定LDAP服務器的IP地址為10.0.0.1。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] ldap-server host 10.0.0.1

# 指定LDAP服務器，IP地址為10.0.0.11，端口號為333，所在的MPLS L3VPN的實例名稱為vpn1。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] ldap-server host 10.0.0.11 port 333 vpn-instance vpn1

【相關命令】

· pki retrieve-certificate

· pki retrieve-crl

1.1.20 locality

locality命令用來配置PKI實體所在的地理區域名稱，比如城市名稱。

undo locality命令用來刪除配置的PKI實體所在的地理區域名稱。

【命令】

locality locality-name

undo locality

【缺省情況】

未配置PKI實體所在的地理區域名稱。

【視圖】

PKI實體視圖

【缺省用戶角色】

network-admin

【參數】

locality-name：PKI實體所在的地理區域的名稱，為1～63個字符的字符串，區分大小寫，不能包含逗號。

【舉例】

# 配置PKI實體en所在地理區域的名稱為BeiJing。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] locality BeiJing

1.1.21 organization

organization命令用來配置PKI實體所屬組織的名稱。

undo organization命令用來刪除配置的PKI實體所屬組織的名稱。

【命令】

organization org-name

undo organization

【缺省情況】

未配置PKI實體所屬組織名稱。

【視圖】

PKI實體視圖

【缺省用戶角色】

network-admin

【參數】

org-name：PKI實體所屬的組織名稱，為1～63個字符的字符串，區分大小寫，不能包含逗號。

【舉例】

# 配置PKI實體en所屬的組織名稱為abc。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] organization abc

1.1.22 organization-unit

organization-unit命令用來指定實體所屬的組織部門的名稱。

undo organization-unit命令用來刪除實體所屬的組織部門的名稱。

【命令】

organization-unit org-unit-name

undo organization-unit

【缺省情況】

未配置PKI實體所屬組織部門的名稱。

【視圖】

PKI實體視圖

【缺省用戶角色】

network-admin

【參數】

org-unit-name：PKI實體所屬組織部門的名稱，為1～63個字符的字符串，區分大小寫，不能包含逗號。使用該參數可在同一個單位內區分不同部門的PKI實體。

【舉例】

# 配置PKI實體en所屬組織部門的名稱為rdtest。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] organization-unit rdtest

1.1.23 pki abort-certificate-request

pki abort-certificate-request命令用來停止證書申請過程。

【命令】

pki abort-certificate-request domain domain-name

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

【使用指導】

用戶在證書申請時，可能由於某種原因需要改變證書申請的一些參數，比如通用名、國家代碼、FQDN等，而此時證書申請正在運行，為了新的申請不與之前的申請發生衝突，建議先停止之前的申請程序，再進行新的申請。

【舉例】

# 停止證書申請過程。

<Sysname> system-view

[Sysname] pki abort-certificate- request domain 1

The certificate request is in process.

Confirm to abort it? [Y/N]:y

【相關命令】

· display pki certificate request-status

· pki request-certificate domain

1.1.24 pki certificate access-control-policy

pki certificate access-control-policy命令用來創建證書訪問控製策略，並進入證書訪問控製策略視圖。如果指定的證書訪問控製策略已存在，則直接進入其視圖。

undo pki certificate access-control-policy命令用來刪除指定的證書訪問控製策略。

【命令】

pki certificate access-control-policy policy-name

undo pki certificate access-control-policy policy-name

【缺省情況】

不存在證書訪問控製策略。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

policy-name：表示證書訪問控製策略名稱，為1～31個字符的字符串，不區分大小寫。

【使用指導】

一個證書訪問控製策略中可以定義多個證書屬性的訪問控製規則。

【舉例】

# 配置一個名稱為mypolicy的證書訪問控製策略，並進入證書訪問控製策略視圖。

<Sysname> system-view

[Sysname] pki certificate access-control-policy mypolicy

[Sysname-pki-cert-acp-mypolicy]

【相關命令】

· display pki certificate access-control-policy

· rule

1.1.25 pki certificate attribute-group

pki certificate attribute-group命令用來創建證書屬性組並進入證書屬性組視圖。如果指定的證書屬性組已存在，則直接進入其視圖。

undo pki certificate attribute-group命令用來刪除指定的證書屬性組。

【命令】

pki certificate attribute-group group-name

undo pki certificate attribute-group group-name

【缺省情況】

不存在證書屬性組。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

group-name：證書屬性組名稱，為1～31個字符的字符串，不區分大小寫。

【使用指導】

一個證書屬性組就是一係列證書屬性規則（通過attribute命令配置）的集合，這些屬性規則定義了對證書的頒發者名、主題名以及備用主題名進行過濾的匹配條件。當證書屬性組下沒有任何屬性規則時，則認為對證書的屬性沒有任何限製。

【舉例】

# 創建一個名為mygroup的證書屬性組，並進入證書屬性組視圖。

<Sysname> system-view

[Sysname] pki certificate attribute-group mygroup

[Sysname-pki-cert-attribute-group-mygroup]

【相關命令】

· attribute

· display pki certificate attribute-group

· rule

1.1.26 pki delete-certificate

pki delete-certificate命令用來刪除PKI域中的證書。

【命令】

pki delete-certificate domain domain-name { ca | local | peer [ serial serial-num ] }

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

domain domain-name：證書所在的PKI域的名稱，為1～31個字符的字符串，不區分大小寫，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

ca：表示刪除CA證書。

local：表示刪除本地證書。

peer：表示刪除對端證書。

serial serial-num：表示通過指定序列號刪除一個指定的對端證書。serial-num為對端證書的序列號，為1～127個字符的字符串，不區分大小寫。在每個CA簽發的證書範圍內，序列號可以唯一標識一個證書。如果不指定本參數，則表示刪除本PKI域中的所有對端證書。

【使用指導】

刪除CA證書時將同時刪除所在PKI域中的本地證書和所有對端證書，以及CRL。

如果需要刪除指定的對端證書，則需要首先通過display pki certificate命令查看本域中已有的對端證書的序列號，然後再通過指定序列號的方式刪除該對端證書。

【舉例】

# 刪除PKI域aaa中的CA證書。

<Sysname> system-view

[Sysname] pki delete-certificate domain aaa ca

Local certificates, peer certificates and CRL will also be deleted while deleting the CA certificate.

Confirm to delete the CA certificate? [Y/N]:y

[Sysname]

# 刪除PKI域aaa中的本地證書。

<Sysname> system-view

[Sysname] pki delete-certificate domain aaa local

[Sysname]

# 刪除PKI域aaa中的所有對端證書。

<Sysname> system-view

[Sysname] pki delete-certificate domain aaa peer

[Sysname]

# 首先查看PKI域aaa中的對端證書，然後通過指定序列號的方式刪除對端證書。

<Sysname> system-view

[Sysname] display pki certificate domain aaa peer

Total peer certificates: 1

Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7

Subject Name: CN=abc

[Sysname] pki delete-certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7

【相關命令】

· display pki certificate

1.1.27 pki domain

pki domain命令用來創建PKI域，並進入PKI域視圖。如果指定的PKI域已存在，則直接進入其視圖。

undo pki domain命令用來刪除指定的PKI域。

【命令】

pki domain domain-name

undo pki domain domain-name

【缺省情況】

不存在PKI域。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

domain-name：PKI域名，為1～31個字符的字符串，不區分大小寫，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

【使用指導】

刪除PKI域的同時，會將該域相關的證書和CRL都刪除掉，因此請慎重操作。

【舉例】

# 創建PKI域aaa並進入其視圖。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa]

1.1.28 pki entity

pki entity命令用來創建PKI實體，並進入PKI實體視圖。如果指定的PKI實體已存在，則直接進入其視圖。

undo pki entity命令用來刪除指定的PKI實體。

【命令】

pki entity entity-name

undo pki entity entity-name

【缺省情況】

無PKI實體存在。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

entity-name：PKI實體的名稱，為1～31個字符的字符串，不區分大小寫。

【使用指導】

在PKI實體視圖下可配置PKI實體的各種屬性（通用名、組織部門、組織、地理區域、省、國家、FQDN、IP），這些屬性用於描述PKI實體的身份信息。當申請證書時，PKI實體的信息將作為證書中主題（Subjuct）部分的內容。

【舉例】

# 創建名稱為en的PKI實體，並進入該實體視圖。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en]

【相關命令】

· pki domain

1.1.29 pki export

pki export命令用來將PKI域中的CA證書、本地證書導出到文件中或終端上。

【命令】

pki export domain domain-name der { all | ca | local } filename filename

pki export domain domain-name p12 { all | local } passphrase p12passwordstring filename filename

pki export domain domain-name pem { { all | local } [ { 3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc } pempasswordstring ] | ca } [ filename filename ]

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

der：指定證書文件格式為DER編碼。

p12：指定證書文件格式為PKCS12編碼。

pem：指定證書文件格式為PEM編碼。

all：表示導出所有證書，包括PKI域中所有的CA證書和本地證書，但不包括RA證書。

ca：表示導出CA證書。

local：表示導出本地證書或者本地證書和其對應私鑰。

passphrase p12passwordstring：指定對PKCS12編碼格式的本地證書對應的私鑰進行加密所采用的口令。

3des-cbc：對本地證書對應的私鑰數據采用3DES_CBC算法進行加密。

aes-128-cbc：對本地證書對應的私鑰數據采用128位AES_CBC算法進行加密。

aes-192-cbc：對本地證書對應的私鑰數據采用192位AES_CBC算法進行加密。

aes-256-cbc：對本地證書對應的私鑰數據采用256位AES_CBC算法進行加密。

des-cbc：對本地證書對應的私鑰數據采用DES_CBC算法進行加密。

pempasswordstring：指定對PEM編碼格式的本地證書對應的私鑰進行加密所采用的口令。

filename filename：指定保存證書的文件名，不區分大小寫。如果不指定本參數，則表示要將證書直接導出到終端上顯示，這種方式僅PEM編碼格式的證書才支持。

【使用指導】

導出CA證書時，如果PKI域中隻有一個CA證書則導出單個CA證書到用戶指定的一個文件或終端，如果是一個CA證書鏈則導出整個CA證書鏈到用戶指定的一個文件或終端。

導出本地證書時，設備上實際保存證書的證書文件名稱並不一定是用戶指定的名稱，它與本地證書的密鑰對用途相關，具體的命名規則如下（假設用戶指定的文件名為filename）：

· 如果本地證書的密鑰對用途為簽名，則證書文件名稱為filename-sign；

· 如果本地證書的密鑰對用途為加密，則證書文件名稱為filename-encr；

· 如果本地證書的密鑰對用途為通用（RSA/DSA），則證書文件名稱為用戶輸入的filename。

導出本地證書時，如果PKI域中有兩個本地證書，則導出結果如下：

· 若指定文件名，則將每個本地證書分別導出到一個單獨的文件中；

· 若不指定文件名，則將所有本地證書一次性全部導出到終端上，並由不同的提示信息進行分割顯示。

導出所有證書時，如果PKI域中隻有本地證書或者隻有CA證書，則導出結果與單獨導出相同。如果PKI域中存在本地證書和CA證書，則具體導出結果如下：

· 若指定文件名，則將每個本地證書分別導出到一個單獨的文件，該本地證書對應的完整CA證書鏈也會同時導出到該文件中。

· 若不指定文件名，則將所有的本地證書及域中的CA證書或者CA證書鏈一次性全部導出到終端上，並由不同的提示信息進行分割顯示。

需要注意的是：

· 以PKCS12格式導出所有證書時，PKI域中必須有本地證書，否則會導出失敗。

· 以PEM格式導出本地證書或者所有證書時，若不指定私鑰的加密算法和私鑰加密口令，則不會導出本地證書對應的私鑰信息。

· 以PEM格式導出本地證書或者所有證書時，若指定私鑰加密算法和私鑰加密口令，且此時本地證書有匹配的私鑰，則同時導出本地證書的私鑰信息；如果此時本地證書沒有匹配的私鑰，則導出該本地證書失敗。

· 導出本地證書時，若當前PKI域中的密鑰對配置已被修改，導致本地證書的公鑰與該密鑰對的公鑰部分不匹配，則導出該本地證書失敗。

· 導出本地證書或者所有證書時，如果PKI域中有兩個本地證書，則導出某種密鑰用途的本地證書失敗並不會影響導出另外一個本地證書。

· 指定的文件名中可以帶完整路徑，當係統中不存在用戶所指定路徑時，則會導出失敗。

【舉例】

# 導出PKI域中的CA證書到DER編碼的文件，文件名稱為cert-ca.der。

<Sysname> system-view

[Sysname] pki export domain domain1 der ca filename cert-ca.der

# 導出PKI域中的本地證書到DER編碼的文件，文件名稱為cert-lo.der。

<Sysname> system-view

[Sysname] pki export domain domain1 der local filename cert-lo.der

# 導出PKI域中的所有證書到DER編碼的文件，文件名稱為cert-all.p7b。

<Sysname> system-view

[Sysname] pki export domain domain1 der all filename cert-all.p7b

# 導出PKI域中的CA證書到PEM編碼的文件，文件名稱為cacert。

<Sysname> system-view

[Sysname] pki export domain domain1 pem ca filename cacert

# 導出PKI域中的本地證書及其對應的私鑰到PEM編碼的文件，指定保護私鑰信息的加密算法為DES_CBC、加密口令為111，文件名稱為local.pem。

<Sysname> system-view

[Sysname] pki export domain domain1 pem local des-cbc 111 filename local.pem

# 導出PKI域中所有證書到PEM編碼的文件，不指定加密算法和加密口令，不導出本地證書對應的私鑰信息，文件名稱為all.pem。

<Sysname> system-view

[Sysname] pki export domain domain1 pem all filename all.pem

# 以PEM格式導出PKI域中本地證書及其對應的私鑰到終端，指定保護私鑰信息的加密算法為DES_CBC、加密口令為111。

<Sysname> system-view

[Sysname] pki export domain domain1 pem local des-cbc 111

%The signature usage local certificate:

Bag Attributes

friendlyName:

localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D

subject=/C=CN/O=OpenCA Labs/OU=Users/CN=chktest chktest

issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd

-----BEGIN CERTIFICATE-----

MIIEqjCCA5KgAwIBAgILAOhID4rI04kBfYgwDQYJKoZIhvcNAQELBQAwRTELMAkG

A1UEBhMCQ04xFDASBgNVBAoMC09wZW5DQSBMYWJzMREwDwYDVQQLDAhzb2Z0d2Fy

ZTENMAsGA1UEAwwEYWJjZDAeFw0xMTA0MjYxMzMxMjlaFw0xMjA0MjUxMzMxMjla

ME0xCzAJBgNVBAYTAkNOMRQwEgYDVQQKDAtPcGVuQ0EgTGFiczEOMAwGA1UECwwF

VXNlcnMxGDAWBgNVBAMMD2Noa3Rlc3QgY2hrdGVzdDCBnzANBgkqhkiG9w0BAQEF

AAOBjQAwgYkCgYEA54rUZ0Ux2kApceE4ATpQ437CU6ovuHS5eJKZyky8fhMoTHhE

jE2KfBQIzOZSgo2mdgpkccjr9Ek6IUC03ed1lPn0IG/YaAl4Tjgkiv+w1NrlSvAy

cnPaSUko2QbO9sg3ycye1zqpbbqj775ulGpcXyXYD9OY63/Cp5+DRQ92zGsCAwEA

AaOCAhUwggIRMAkGA1UdEwQCMAAwUAYDVR0gBEkwRzAGBgQqAwMEMAYGBCoDAwUw

NQYEKgMDBjAtMCsGCCsGAQUFBwIBFh9odHRwczovL3RpdGFuL3BraS9wdWIvY3Bz

L2Jhc2ljMBEGCWCGSAGG+EIBAQQEAwIFoDALBgNVHQ8EBAMCBsAwKQYDVR0lBCIw

IAYIKwYBBQUHAwIGCCsGAQUFBwMEBgorBgEEAYI3FAICMC4GCWCGSAGG+EIBDQQh

Fh9Vc2VyIENlcnRpZmljYXRlIG9mIE9wZW5DQSBMYWJzMB0GA1UdDgQWBBTPw8FY

ut7Xr2Ct/23zU/ybgU9dQjAfBgNVHSMEGDAWgBQzEQ58yIC54wxodp6JzZvn/gx0

CDAaBgNVHREEEzARgQ9jaGt0ZXN0QGgzYy5jb20wGQYDVR0SBBIwEIEOcGtpQG9w

ZW5jYS5vcmcwgYEGCCsGAQUFBwEBBHUwczAyBggrBgEFBQcwAoYmaHR0cDovL3Rp

dGFuL3BraS9wdWIvY2FjZXJ0L2NhY2VydC5jcnQwHgYIKwYBBQUHMAGGEmh0dHA6

Ly90aXRhbjoyNTYwLzAdBggrBgEFBQcwDIYRaHR0cDovL3RpdGFuOjgzMC8wPAYD

VR0fBDUwMzAxoC+gLYYraHR0cDovLzE5Mi4xNjguNDAuMTI4L3BraS9wdWIvY3Js

L2NhY3JsLmNybDANBgkqhkiG9w0BAQsFAAOCAQEAGcMeSpBJiuRmsJW0iZK5nygB

tgD8c0b+n4v/F36sJjY1fRFSr4gPLIxZhPWhTrqsCd+QMELRCDNHDxvt3/1NEG12

X6BVjLcKXKH/EQe0fnwK+7PegAJ15P56xDeACHz2oysvNQ0Ot6hGylMqaZ8pKUKv

UDS8c+HgIBrhmxvXztI08N1imYHq27Wy9j6NpSS60mMFmI5whzCWfTSHzqlT2DNd

no0id18SZidApfCZL8zoMWEFI163JZSarv+H5Kbb063dxXfbsqX9Noxggh0gD8dK

7X7/rTJuuhTWVof5gxSUJp+aCCdvSKg0lvJY+tJeXoaznrINVw3SuXJ+Ax8GEw==

-----END CERTIFICATE-----

Bag Attributes

friendlyName:

localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D

Key Attributes: <No Attributes>

-----BEGIN ENCRYPTED PRIVATE KEY-----

MIICwzA9BgkqhkiG9w0BBQ0wMDAbBgkqhkiG9w0BBQwwDgQIAbfcE+KoYYoCAggA

MBEGBSsOAwIHBAjB+UsJM07JRQSCAoABqtASbjGTQbdxL3n4wNHmyWLxbvL9v27C

Uu6MjYJDCipVzxHU0rExgn+6cQsK5uK99FPBmy4q9/nnyrooTX8BVlXAjenvgyii

WQLwnIg1IuM8j2aPkQ3wbae1+0RACjSLy1u/PCl5sp6CDxI0b9xz6cxIGxKvUOCc

/gxdgk97XZSW/0qnOSZkhgeqBZuxq6Va8iRyho7RCStVxQaeiAZpq/WoZbcS5CKI

/WXEBQd4AX2UxN0Ld/On7Wc6KFToixROTxWTtf8SEsKGPDfrEKq3fSTW1xokB8nM

bkRtU+fUiY27V/mr1RHO6+yEr+/wGGClBy5YDoD4I9xPkGUkmqx+kfYbMo4yxkSi

JdL+X3uEjHnQ/rvnPSKBEU/URwXHxMX9CdCTSqh/SajnrGuB/E4JhOEnS/H9dIM+

DN6iz1IwPFklbcK9KMGwV1bosymXmuEbYCYmSmhZb5FnR/RIyE804Jz9ifin3g0Q

ZrykfG7LHL7Ga4nh0hpEeEDiHGEMcQU+g0EtfpOLTI8cMJf7kdNWDnI0AYCvBAAM

3CY3BElDVjJq3ioyHSJca8C+3lzcueuAF+lO7Y4Zluq3dqWeuJjE+/1BZJbMmaQA

X6NmXKNzmtTPcMtojf+n3+uju0le0d0QYXQz/wPsV+9IYRYasjzoXE5dhZ5sIPOd

u9x9hhp5Ns23bwyNP135qTNjx9i/CZMKvLKywm3Yg+Bgg8Df4bBrFrsH1U0ifmmp

ir2+OuhlC+GbHOxWNeBCa8iAq91k6FGFJ0OLA2oIvhCnh45tM7BjjKTHk+RZdMiA

0TKSWuOyihrwxdUEWh999GKUpkwDHLZJFd21z/kWspqThodEx8ea

-----END ENCRYPTED PRIVATE KEY-----

# 以PEM格式導出PKI域中所有證書到終端，指定保護本地證書對應私鑰的加密算法為DES_CBC、加密口令為111。

<Sysname> system-view

[Sysname] pki export domain domain1 pem all des-cbc 111