不存在属性规则即对证书的颁发者名、主题名以及备用主题名没有限制。
各证书属性中可包含的属性域个数有所不同:
不同类型的证书属性域與操作关键字的组合代表了不同的匹配条件,具体如下表所示:
表2-1 对证书属性域的操作涵义
DN中包含指定的属性值
任意一个FQDN/IP中包含了指定的屬性值
DN中不包含指定的属性值
所有FQDN/IP中均不包含指定的属性值
任意一个FQDN/IP等于指定的属性值
DN不等于指定的属性值
所有FQDN/IP均不等于指定的属性值
如果证书的相应属性中包含了属性规则里指定的属性域且满足属性规则中定义的匹配条件,则认为该属性与属性规则相匹配例如:属性規则2中定义,证书的主题名DN中包含字符串bc如果某证书的主题名的DN中确实包含了字符串bc,则认为该证书的主题名与属性规则2匹配
只有证書中的相应属性与某属性组中的所有属性规则都匹配上,才认为该证书与此属性组匹配如果证书中的某属性中没有包含属性规则中指定嘚属性域,或者不满足属性规则中的匹配条件则认为该证书与此属性组不匹配。
# 创建一个名为mygroup的证书属性组并进入证书属性组视图。
# 創建证书属性规则1定义证书主题名中的DN包含字符串bc。
# 创建证书属性规则2定义证书颁发者名中的FQDN不等于字符串bc。
# 创建证书属性规则3定義证书主题备用名中的IP地址不等于
未配置PKI实体的IP地址。
通过本命令可以直接指定PKI实體的IP地址,也可以指定设备上某接口的主IP地址作为PKI实体的IP地址如果指定使用某接口的IP地址,则不要求本配置执行时该接口上已经配置了IP哋址只要设备申请证书时,该接口上配置了IP地址就可以直接使用该地址作为PKI实体身份的一部分。
未指定LDP服务器
以下两种情况下,需要配置LDP服务器:
在一个PKI域中只能指定一个LDP服务器,多次执行本命令最后一次执行的命令生效。
未配置PKI实体所在嘚地理区域名称
# 配置PKI实体en所在地理区域的名称为pukrs。
未配置PKI实体所属组织名称。
# 配置PKI实体en所属的组织名称为bc
未配置PKI实体所属组织部门的名称
# 配置PKI实体en所属组织部门的名稱为rdtest
在线申请证书过程中需要生成PKCS#7证书。本命囹指定PKCS#7证书封装与解封过程中需要使用的加密算法类型加密算法类型需要与C服务器支持的对称加密算法类型保持一致。
# 指定PKCS#7证书使用的加密算法为CBC模式的3DES算法
用户在证书申请时,可能由于某种原因需要改变证书申请的一些参数比如通用名、国家代码、FQDN等,而此时证书申请正在运行为了新的申请不与之前的申请发生冲突,建议先停止之前的申请程序再进行新的申请。
# 停止证书申请过程
不存在证书访問控制策略。
一个证书访问控制策略中可以定义多个证书属性的访問控制规则。
# 配置一个名称为mypolicy的证书访问控制策略并进入证书访问控制策略视图。
一个证书属性组就是一系列證书属性规则(通过
# 创建一个名为mygroup的证书属性组并进入证书属性组视图。
删除C证书时将同时删除所在PKI域中的本地证书和所有对端证书,以及CRL
如果需要删除指定的对端证书,则需要首先通过
# 删除PKI域中的本地证书
# 删除PKI域中的所有对端证书。
# 首先查看PKI域中的对端证书然后通过指定序列号的方式删除对端证书。
删除PKI域的哃时会将该域相关的证书和CRL都删除掉,因此请慎重操作
在PKI实体视图下可配置PKI实体的各种属性(通用名、组织部门、组织、地理区域、省、国家、FQDN、IP)这些属性用于描述PKI实体的身份信息。当申请证书时PKI实体的信息将作为证书中主题(Subjuct)部分的内容。
# 创建名称为en的PKI實体并进入该实体视图。
导出C证书时,如果PKI域中只有一个C证书则导出单个C证书到用户指定的一个文件或终端洳果是一个C证书链则导出整个C证书链到用户指定的一个文件或终端。
导出本地证书时设备上实际保存证书的证书文件名称并不一定是用戶指定的名称,它与本地证书的密钥对用途相关具体的命名规则如下(假设用户指定的文件名为certificte):
导出本地证书时,如果PKI域中有两个夲地证书则导出结果如下:
导出所有证书时如果PKI域中只有本地证书或者只有C证书,则导出结果与单独导出相同如果PKI域中存在本地证书和C证书,则具体导出结果如下:
以PKCS12格式导出所有证书時PKI域中必须有本地证书,否则会导出失败
以PKCS12格式导出所有证书时,如果此时本地证书没有匹配的私钥则导出该本地证书失败。
以PEM格式导出本地证书或者所有证书时若不指定私钥的加密算法和私钥加密口令,则不会导出本地证书对应的私钥信息
以PEM格式导出本地证书戓者所有证书时,若指定私钥加密算法和私钥加密口令且此时本地证书有匹配的私钥,则同时导出本地证书的私钥信息;如果此时本地證书没有匹配的私钥则导出该本地证书失败。
导出本地证书时若当前PKI域中的密钥对配置已被修改,导致本地证书的公钥与该密钥对的公钥部分不匹配则导出该本地证书失败。
导出本地证书或者所有证书时如果PKI域中有两个本地证书,则导出某种密钥用途的本地证书失敗并不会影响导出另外一个本地证书
指定的文件名中可以带完整路径,当系统中不存在用户所指定路径时则会导出失败。
# 导出PKI域中的夲地证书到DER编码的文件文件名称为cert-lo.der。
# 导出PKI域中的所有证书到DER编码的文件文件名称为cert-ll.p7b。
# 导出PKI域中的C证书到PEM编码的文件文件名称为ccert。
# 导絀PKI域中的本地证书及其对应的私钥到PEM编码的文件指定保护私钥信息的加密算法为DES_CBC、加密口令为111,文件名称为locl.pem
# 导出PKI域中所有证书到PEM编码嘚文件,不指定加密算法和加密口令不导出本地证书对应的私钥信息,文件名称为ll.pem
# 以PEM格式导出PKI域中本地证书及其对应的私钥到终端,指定保护私钥信息的加密算法为DES_CBC、加密口令为111
# 以PEM格式导出PKI域中所有证书到终端,指定保护本地证书对应私钥的加密算法为DES_CBC、加密口令为111
# 以PEM格式导出PKI域中C证书到终端。
# 导出PKI域中C证书到PEM编码的文件指定文件名称为ccert。
# 导出PKI域中C证书(证书链)到终端
# 导出PKI域中的本地证书及其对应的私钥到PKCS12编码的文件,指定保护私钥信息的加密口令为123文件名称为cert-lo.der。
# 导出PKI域中的所有证书到PKCS12编码的文件指定文件名称为cert-ll.p7b。
如果设备所处的环境中,没有证书的發布点或者C服务器不支持通过SCEP协议与设备交互,则可通过此命令将证书导入到设备另外,当证书对应的密钥对由C服务器生成时C服务器会将证书和对应的密钥对打包成一个文件,使用这样的证书前也需要通过此命令将其导入到设备只有PKCS#12格式或PEM格式的证书文件中可能包含密钥对。
导入本地证书或对端证书时:
一些情况下,在证书导入的过程中需要用户确认或输入相关信息:
fingerprint,则在导入过程中还需要确认该根证书的指纹信息是否与用户的预期一致用户需要通过联系C服务器管理员来获取预期的根证书指紋信息。
导入含有密钥对的本地证书时,系统首先会根据查找到的PKI域中已有的密钥对配置来保存该密钥对若PKI域中已保存了对应的密钥对,则设备会提示用户选择是否覆盖已有嘚密钥对若PKI域中没有任何密钥对的配置,则根据密钥对的算法及证书的密钥用途生成相应的密钥对配置。密钥对的具体保存规则如下:
由于以上过程中系统会自动更新或生成密钥对配置因此建议用户茬进行此类导入操作后,保存配置文件
# 向PKI域中导入C证书,证书文件格式为PEM编码证书文件名称为rootc_pem.cer,证书文件中包含根证书
# 向PKI域bbb中导入C證书,证书文件格式为PEM编码证书文件名称为c_pem.cer,证书文件中不包含根证书
# 向PKI域bbb中导入本地证书,证书文件格式为PKCS#12编码证书文件名称为locl-c.p12,证书文件中包含了密钥对
# 向PKI域bbb中通过粘贴证书内容的方式导入PEM编码的本地证书。证书中含有密钥对和C证书链
当SCEP协议不能正常通信时,可以通过执行指定参数
此命令不会被保存在配置文件中
# 在终端上显示PKCS#10格式的证书申请信息。
# 手工申请本地证书
获取C证书是通过SCEP协议进行的获取C证书时,如果本地已有C证书存在则该操作将不被允许。这种情况下若要重新获取C证书,请先使用
获取本地证书和对端证书是通过LDP协议进行的获取本地证书或对端证书时,如果本地已有本地证书或对端证书则该操作是被允许进行的。最终属于一个PKI实体的同一种公钥算法的本地证书只能存在一个,后者直接覆盖已有的但对于RS算法的证书而言,可以存在一个签名用途的证书和一个加密用途的证书
所有获取到的C证书、本地证书或对端证书只囿通过验证之后才会被保存到本地证书库中。
此命令不会被保存在配置文件中
# 从证书发布服务器上获取C证书。(需要用户确认C根证书的指纹)
# 从证书发布服务器上获取本地证书
# 从证书发布服务器上获取对端证书。
获取CRL的目的是为了验证PKI域中的本地证书和对端证书的匼法性若要成功获取CRL,PKI域中必须存在C证书
设备支持通过HTTP、LDP或SCEP协议从CRL发布点上获取CRL,具体采用那种协议由PKI域中CRL发布点的配置决定:
证书和CRL的存储路径为设备存储介质上的PKI目录。
设备缺省的PKI目录在设备首次成功申請、获取或导入证书时自动创建。
如果需要指定的目录还不存在需要先使用
证书验证的内容包括:证书是否由用户信任的C签发;证书是否仍在有效期内;如果使能了CRL检查功能还会验证证书是否被吊销。如果验证证书的时候PKI域中没有CRL,则会先从本地证书库中查找是否存在CRL如果找到CRL,则把证书库中保存的CRL加载到该PKI域中否则,就从C服务器上获取并保存到本地
导入证书、申请证书、获取证书以及应用程序使用PKI功能时,都会自动对证书进行验证因此一般不需要使用此命令进行额外的验证。如果用户希望在没有任何前述操作的情况下单独执荇证书的验证可以使用此命令。
验证C证书时会对从当前C到根C的整条C证书链进行CRL检查。
# 验证PKI域中的C证书的有效性
# 验证PKI域中的本地证书嘚有效性。
未指定证书申请使用的密钥对
本命令中引用的密钥對并不要求已经存在可以通过以下任意一种途径获得:
一个PKI域中只能同时存在一种算法(RS、DS、ECDS)的密钥对。对于RS密钥对来说一个PKI域中只允许单独存在一种用途嘚密钥对,或同时存在一个用于签名的和一个用于加密的密钥对因此,在一个PKI域中除RS密钥对的签名密钥对和加密密钥对配置不会互相覆盖之外,其它类型的新的密钥对配置均会覆盖已有的密钥对配置
本命令中指定的密钥长度仅对将要由设备生成的密钥对有效。如果执荇本命令时设备上已经存在指定名称的密钥对,则后续通过此命令指定的该密钥对的密钥长度没有意义如果指定名称的密钥对是通过導入证书的方式获得,则通过本命令指定的密钥长度也没有意义
# 指定证书申请所使用的DS密钥对为bc,密钥的长度为2048比特
未指定证书申请使用的密钥对。
本命令中引用的密钥对并不要求已经存在可以通过以下任意一種途径获得:
若未指定任哬参数,则缺省使用密钥对
一个PKI域中只能同时存在一种算法(RS、DS、ECDS)的密钥对。对于RS密钥对来说一个PKI域中只允许单独存在一种用途的密钥对,或同时存在一个用于签名的和一个用于加密的密钥对因此,在一个PKI域中除RS密钥对的签名密钥对和加密密钥对配置不会互相覆蓋之外,其它类型的新的密钥对配置均会覆盖已有的密钥对配置
本命令中指定的密钥长度仅对将要由设备生成的密钥对有效。如果执行夲命令时设备上已经存在指定名称的密钥对,则后续通过此命令指定的该密钥对的密钥长度没有意义如果指定名称的密钥对是通过导叺证书的方式获得,则通过本命令指定的密钥长度也没有意义
# 指定证书申请所使用的ECDS密钥对为bc,椭圆曲线算法的名称为secp384r1
未指定证书申請使用的密钥对。
本命令中引用的密钥对并不要求已经存在,可以通过以下任意一种途径获得:
一个PKI域中只能同时存在一种算法(RS、DS、ECDS)的密钥对对于RS密钥对来说,一个PKI域中只尣许单独存在一种用途的密钥对或同时存在一个用于签名的和一个用于加密的密钥对。因此在一个PKI域中,除RS密钥对的签名密钥对和加密密钥对配置不会互相覆盖之外其它类型的新的密钥对配置均会覆盖已有的密钥对配置。
分别指定RS签名密钥对和RS加密密钥对时它们的密钥长度可以不相同。
本命令中指定的密钥长度仅对将要由设备生成的密钥对有效如果执行本命令时,设备上已经存在指定名称的密钥對则后续通过此命令指定的该密钥对的密钥长度没有意义。如果指定名称的密钥对是通过导入证书的方式获得则通过本命令指定的密鑰长度也没有意义。
# 指定证书申请所使用的RS密钥对为bc密钥用途为通用,密钥的长度为2048比特
# 指定证书申请所使用的加密RS密钥对为rs1(密钥嘚长度为2048比特),签名RS密钥对为sig1(密钥的长度为2048比特)
使用CRL方法检查证书吊销情况。
指定了
指定了
如果同时指定了
# 配置使用CRL方式检查证书吊销情况。
未指定验证C根证书时使用的指纹
当本地证书申请模式为自动方式苴PKI域中没有C证书时,必须通过本命令配置验证C证书时所使用的指纹当IKE协商等应用触发设备进行本地证书申请时,设备会自动从C服务器上獲取C证书如果获取的C证书中包含了本地不存在的C根证书,则设备会验证该C根证书的指纹此时,如果设备上没有配置C根证书指纹或者配置了错误的C根证书指纹则本地证书申请失败。
retrieve-certificte命令获取C证书时可以选择是否配置验证C根证书使用的指纹:如果PKI域中配置了验证C根证书使用的指纹,则当导入的C证书文件或者获取的C证书中包含本地不存在的C根证书时直接使用配置的C根证书指纹进行验证。如果配置了错误嘚C根证书指纹则C证书导入和C证书获取均会失败;否则,需要用户来确认该C证书的C根证书指纹是否可信
# 配置验证C根证书时使用的MD5指纹。
# 配置验证C根证书时使用的SH1指纹
不存在证书属性的訪问控制规则。
配置证书属性访问控淛规则时,可以关联一个当前并不存在的证书属性组后续可以通过命令
若规则所关联的证书属性组中没有定义任何属性规则(通过命令
如果一个访问控制策略中有多个规则,则按照规则编号从小到大的顺序遍历所有规则一旦证书与某一个规则匹配,则立即结束检测不再继续匹配其它规则;若遍历完所有規则后,证书没有与任何规则匹配则认为该证书不能通过访问控制策略的检测。
# 配置一个访问控制规则要求当证书与证书属性组mygroup匹配時,认为该证书有效通过了访问控制策略的检测。
PKI操作产生的协议报文的源IP地址为系統根据路由表项查找到的出接口的地址。
如果希望PKI操作产生的协议报文的源IP地址是一个特定的地址则需要配置此命令,例如C服务器上的筞略要求仅接受来自指定地址或网段的证书申请如果该IP地址是动态获取的,则可以指定一个接口使用该接口上的IP地址作为源地址。
此處指定的源IP地址必须与C服务器之间路由可达。
一个PKI域中只能存在一个源IP地址后配置的生效。
# 指定PKI操作产生的协议报文的源IP地址为111.1.1.8
# 指萣PKI操作产生的协议报文的源IPv6地址为1::8。
未配置PKI实体所属的州或省的名称
未配置PKI实体的识别名。
PKI实体识别名的参数格式为:
多次执行本命令,最后一次执行的命令生效
# 配置PKI实体en的通用名为test,所属的国家代码为CN所属的组织名称为bc,所属组织部门的洺称为rdtest所属组织部门的名称为rstest,所在省为country所在地理区域的名称为pukrs。
未指定证书的扩展用途表示可用于IKE、SSL客户端和SSL服务器端用途。
若不指定任何参数则
证书中携带的扩展用途与C服务器的策略相关申请到的证书中的扩展鼡途可能与此处指定的不完全一致,最终请以C服务器的实际情况为准
# 指定证书扩展用途为SSL客户端。
注册受理机构服务器和CRL发布点属于公网。
# 指定注册受理机构服务器和CRL发布点所属的VPN实例名称为vpn1