08-安全命令参考

attribute id { alt-subject-name { fqdn | ip } | { issuer-name | subject-name } { dn | fqdn | ip } } { ctn | equ | nctn | nequ } attribute-value

undo attribute id

【缺省情况】

不存在属性规则，即对证书的颁发者名、主题名以及备用主题名没有限制。

id：证书属性规则序号，取值范围为1～16。

alt-subject-name：表示证书备用主题名（Subject Alternative Name）。

fqdn：指定实体的FQDN。

ip：指定实体的IP地址。

dn：指定实体的DN。

issuer-name：表示证书颁发者名（Issuer Name）。

subject-name：表示证书主题名（Subject Name）。

ctn：表示包含操作。

equ：表示相等操作。

nctn：表示不包含操作。

nequ：表示不等操作。

attribute-value：指定证书属性值，为1～255个字符的字符串，不区分大小写。

不同类型的证书属性域与操作关键字的组合代表了不同的匹配条件，具体如下表所示：

各证书属性中可包含的属性域个数有所不同：

· 主题名和颁发者名中均只能包含一个DN，但是均可以同时包含多个FQDN和IP；

· 备用主题名中不能包含DN，但是可以同时包含多个FQDN和IP。

表1-1 对证书属性域的操作涵义

操作	DN	FQDN/IP
ctn	DN中包含指定的属性值	任意一个FQDN/IP中包含了指定的属性值
nctn	DN中不包含指定的属性值	所有FQDN/IP中均不包含指定的属性值
equ	DN等于指定的属性值	任意一个FQDN/IP等于指定的属性值
nequ	DN不等于指定的属性值	所有FQDN/IP均不等于指定的属性值

如果证书的相应属性中包含了属性规则里指定的属性域，且满足属性规则中定义的匹配条件，则认为该属性与属性规则相匹配。例如：属性规则2中定义，证书的主题名DN中包含字符串abc。如果某证书的主题名的DN中确实包含了字符串abc，则认为该证书的主题名与属性规则2匹配。

只有证书中的相应属性与某属性组中的所有属性规则都匹配上，才认为该证书与此属性组匹配。如果证书中的某属性中没有包含属性规则中指定的属性域，或者不满足属性规则中的匹配条件，则认为该证书与此属性组不匹配。

[Sysname-pki-cert-attribute-group-mygroup] attribute 1 subject-name dn ctn abc

[Sysname] pki certificate attribute-group mygroup

# 创建证书属性规则1，定义证书主题名中的DN包含字符串abc。

# 创建证书属性规则2，定义证书颁发者名中的FQDN不等于字符串abc。

[Sysname-pki-cert-attribute-group-mygroup] attribute 2 issuer-name fqdn nequ abc

# 创建证书属性规则3，定义证书主题备用名中的IP地址不等于10.0.0.1。

[Sysname-pki-cert-attribute-group-mygroup] attribute 3 alt-subject-name ip nequ 10.0.0.1

1.1.2 ca identifier

ca identifier命令用来指定设备信任的CA的名称。

undo ca identifier命令用来删除设备信任的CA。

ca identifier name

undo ca identifier

PKI视图

name：设备信任的CA的名称，为1～63个字符的字符串，区分大小写。

获取CA证书时，必须指定信任的CA的名称，这个名称会被作为SCEP消息的一部分发送给CA服务器。但是一般情况下，CA服务器会忽略收到的SCEP消息中的CA名称的具体内容。但是如果在同一台服务器上配置了两个CA，且它们的URL是相同的，则服务器将根据SCEP消息中的CA名称选择对应的CA。因此，使用此命令指定的CA名称必须与希望获取的CA证书对应的CA名称一致。

# 指定设备信任的CA的名称为new-ca。

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] ca identifier new-ca

1.1.3 certificate request entity

certificate request entity命令用来指定用于申请证书的PKI实体名称。

undo certificate request entity命令用来取消用于申请证书的PKI实体名称。

certificate request entity entity-name

undo certificate request entity

【缺省情况】

未指定设备申请证书所使用的PKI实体名称。

PKI域视图

entity-name：用于申请证书的PKI实体的名称，为1～31个字符的字符串，不区分大小写。

本命令用于在PKI域中指定申请证书的PKI实体。PKI实体描述了申请证书的实体的各种属性（通用名、组织部门、组织、地理区域、省、国家、FQDN、IP），这些属性用于描述PKI实体的身份信息。

一个PKI域中只能指定一个PKI实体名，新配置的PKI实体名会覆盖已有的PKI实体名。

# 指定申请证书的PKI实体的名称为en1。

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request entity en1

· pki entity

1.1.4 certificate request from

certificate request from命令用来配置证书申请的注册受理机构。

undo certificate request from命令用来删除指定的证书申请注册受理机构。

certificate request from { ca | ra }

undo certificate request from

PKI域视图

ca：表示实体从CA申请证书。

ra：表示实体从RA申请证书。

选择从CA还是RA申请证书，由CA服务器决定，需要了解CA服务器上由什么机构来受理证书申请。

推荐使用独立运行的RA作为注册受理机构。

# 指定实体从RA申请证书。

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request from ra

1.1.5 certificate request mode

certificate request mode命令用来配置证书申请方式。

undo certificate request mode命令用来恢复缺省情况。

certificate request mode { auto [ password { cipher | simple } password ] | manual }

undo certificate request mode

PKI域视图

auto：表示用自动方式申请证书。

password：指定吊销证书时使用的口令。

cipher：表示以密文方式设置口令。

simple：表示以明文方式设置口令。

password：设置的明文或密文口令，区分大小写。明文口令为1～31个字符的字符串，密文口令为1～73个字符的字符串。

manual：表示用手工方式申请证书。

以明文或密文方式设置的口令，均以密文的方式保存在配置文件中。

两种申请方式都属于在线申请，具体情况如下：

· 如果是自动方式，则设备会在与PKI域关联的应用（例如IKE）需要做身份认证时，自动向证书注册机构发起获取CA证书和申请本地证书的操作。自动方式下，可以指定吊销证书时使用的口令，是否需要指定口令是由CA服务器的策略决定的。

· 如果为手工方式，则需要手工完成获取CA证书、申请本地证书的操作。

# 指定证书申请方式为自动方式。

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request mode auto

# 指定证书申请方式为自动方式，并设置吊销证书时使用的口令为明文123456。

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request mode auto password simple 123456

· pki request-certificate

1.1.6 certificate request polling

certificate request polling命令用来配置证书申请状态的查询周期和最大次数。

undo certificate request polling命令用来恢复缺省情况。

certificate request polling { count count | interval minutes }

undo certificate request polling { count | interval }

【缺省情况】

证书申请状态的查询周期为20分钟，最多查询50次。

PKI域视图

count count：表示证书申请状态的查询次数，取值范围为1～100。

interval minutes：表示证书申请状态的查询周期，取值范围为5～168，单位为分钟。

设备发送证书申请后，如果CA服务器采用手工方式来签发证书申请，则不会立刻响应设备的申请。这种情况下，设备通过定期向CA服务器发送状态查询消息，能够及时获取到被CA签发的证书。CA签发证书后，设备将通过发送状态查询得到证书，之后停止发送状态查询消息。如果达到最大查询次数时，CA服务器仍未签发证书，则设备停止发送状态查询消息，本次证书申请失败。

如果CA服务器采用自动签发证书的方式，则设备可以立刻得到证书，这种情况下设备不会向CA服务器发送状态查询消息。

# 指定证书申请状态的查询周期为15分钟，最多查询40次。

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request polling interval 15

[Sysname-pki-domain-aaa] certificate request polling count 40

1.1.7 certificate request url

certificate request url命令用来配置实体通过SCEP进行证书申请的注册受理机构服务器的URL。

undo certificate request url命令用来删除指定的注册受理机构服务器的URL。

certificate request url url-string

undo certificate request url

PKI域视图

url-string：表示证书申请的注册受理机构服务器的URL，为1～511个字符的字符串，区分大小写。

本命令配置的URL内容包括注册受理机构服务器的位置及CGI命令接口脚本位置，格式为http://server_location/cgi_script_location。其中，server_location是服务器的地址，可以是IPv4地址、 IPv6地址和DNS域名，cgi_script_location是注册授权机构（CA或RA ）在服务器主机上的应用程序脚本的路径。

实际可输入的URL长度受命令行允许输入的最大字符数限制。

# 指定实体进行证书申请的注册受理机构服务器的URL为http://169.254.0.100/certsrv/mscep/mscep.dll。

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] certificate request url http://169.254.0.100/certsrv/mscep/mscep.dll

1.1.8 common-name

common-name命令用来配置PKI实体的通用名，比如用户名称。

undo common-name命令用来删除配置的PKI实体的通用名。

common-name common-name-sting

未配置PKI实体的通用名。

PKI实体视图

common-name-sting：PKI实体的通用名称，为1～63个字符的字符串，区分大小写，不能包含逗号。

# 配置PKI实体en的通用名为test。

[Sysname] pki entity en

[Sysname-pki-entity-en] common-name test

1.1.9 country

country命令用来配置PKI实体所属的国家代码。

undo country命令用来删除配置的PKI实体所属的国家代码。

country country-code-string

未配置PKI实体所属的国家代码。

PKI实体视图

country-code-string：PKI实体所属的国家代码，为标准的两字符代码，区分大小写，例如中国为CN。

# 配置PKI实体en所属的国家代码为CN。

[Sysname] pki entity en

[Sysname-pki-entity-en] country CN

1.1.10 crl check

crl check enable命令用来使能CRL检查。

undo crl check enable命令用来禁止CRL检查。

undo crl check enable

crl check enable

CRL检查处于使能状态。

PKI域视图

CRL（Certificate Revocation List，证书废除列表）是一个由CA签发的文件，该文件中包含被该CA吊销的所有证书的列表。一个证书有可能在有效期达到之前被CA吊销。使能CRL检查的目的是查看设备上的实体证书或者即将要导入、获取到设备上的实体证书是否已经被CA吊销，若检查结果表明实体证书已被吊销，那么该证书就不被设备信任。

# 禁止CRL检查。

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] undo crl check enable

· pki retrieve-certificate

· pki import

· pki validate-certificate

1.1.11 crl url

crl url命令用来设置CRL发布点的URL。

undo crl url命令用来删除CRL发布点的URL。

crl url url-string

未设置CRL发布点的URL。

PKI域视图

url-string：表示CRL发布点的URL，为1～511个字符的字符串，区分大小写。格式为ldap://server_location或http://server_location，其中server_location可以为IP地址和DNS域名。

如果CRL检查处于使能状态，则进行CRL检查之前，需要首先从PKI域指定的CRL发布点获取CRL。若PKI域中未配置CRL发布点的URL时，从该待验证的证书中获取发布点信息：优先获取待验证的证书中记录的发布点，如果待验证的证书中没有记录发布点，则获取CA证书中记录的发布点（若待验证的证书为CA证书，则获取上一级CA证书中记录的发布点）。如果无法通过任何途径得到发布点，则通过SCEP协议获取CRL。

若配置了LDAP格式的CRL发布点URL，则表示要通过LDAP协议获取CRL。若该URL中未携带主机名，则需要根据PKI域中配置的LDAP服务器地址信息来得到完整的LDAP发布点URL。

实际可输入的URL长度受命令行允许输入的最大字符数限制。

# 指定CRL发布点的URL为http://169.254.0.30。

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] crl url http://169.254.0.30

· ldap-server

· pki retrieve-crl

1.1.12 display pki certificate access-control-policy

display pki certificate access-control-policy命令用来显示证书访问控制策略的配置信息。

display pki certificate access-control-policy [ policy-name ]

policy-name：指定证书访问控制策略名称，为1～31个字符的字符串，不区分大小写。

若不指定证书访问控制策略的名称，则显示所有证书访问控制策略的配置信息。

<Sysname> display pki certificate access-control-policy mypolicy

# 显示证书访问控制策略mypolicy的配置信息。

Access control policy name: mypolicy

Rule 1 deny mygroup1

Rule 2 permit mygroup2

# 显示所有证书属性访问控制策略的配置信息。

<Sysname> display pki certificate access-control-policy

Total PKI certificate access control policies: 2

Access control policy name: mypolicy1

Rule 1 deny mygroup1

Rule 2 permit mygroup2

Access control policy name: mypolicy2

Rule 1 deny mygroup3

Rule 2 permit mygroup4

表1-2 display pki certificate access-control-policy命令显示信息描述表

字段	描述
Total PKI certificate access control policies	PKI证书访问控制策略的总数
Access control policy name	证书访问控制策略名
Rule number	访问控制规则编号
permit	当证书的属性与属性组里定义的属性匹配时，认为该证书有效，通过了访问控制策略的检测
deny	当证书的属性与属性组里定义的属性匹配时，认为该证书无效，未通过访问控制策略的检测

1.1.13 display pki certificate attribute-group

display pki certificate attribute-group命令用来显示证书属性组的配置信息。

display pki certificate attribute-group [ group-name ]

group-name：指定证书属性组名，为1～31个字符的字符串，不区分大小写。

若不指定证书属性组的名字，则显示所有证书属性组的配置信息。

<Sysname> display pki certificate attribute-group mygroup

# 显示证书属性组mygroup的信息。

Attribute group name: mygroup

Attribute 1 subject-name dn ctn abc

Attribute 2 issuer-name fqdn nctn app

# 显示所有证书属性组的信息。

<Sysname> display pki certificate attribute-group

Total PKI certificate attribute groups: 2.

Attribute group name: mygroup1

Attribute 1 subject-name dn ctn abc

Attribute 2 issuer-name fqdn nctn app

Attribute group name: mygroup2

Attribute 1 subject-name dn ctn def

Attribute 2 issuer-name fqdn nctn fqd

表1-3 display pki certificate attribute-group命令显示信息描述表

字段	描述
Total PKI certificate attribute groups	PKI证书属性组的总数
Attribute group name	证书属性组名称
Attribute number	属性规则编号
subject-name	证书主题名
alt-subject-name	证书备用主题名
issuer-name	证书颁发者名
dn	实体的DN
fqdn	实体的FQDN
ip	实体的IP地址
ctn	表示包含操作
nctn	表示不包含操作
equ	表示等于操作
nequ	表示不等操作
Attribute 1 subject-name dn ctn abc	属性规则1中定义，证书主题名中的DN包含字符串abc

· pki certificate attribute-group

· attribute

1.1.14 display pki certificate domain

display pki certificate domain命令用来显示证书的内容。

display pki certificate domain domain-name { ca | local | peer [ serial serial-num ] }

domain-name：显示指定证书所在的PKI域的名称，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

ca：显示CA证书。

local：显示本地证书。

peer：显示对端证书。

serial serial-num：指定要显示的对端证书的序列号。

· 显示对端证书时，如果不指定序列号，将显示所有对端证书的简要信息；如果指定序列号，将显示该序号对应的指定对端证书的详细信息。

· 显示CA证书时，会显示此PKI域中所有CA证书、RA证书的详细信息。

· 显示本地证书时，会显示此PKI域中所有本地证书的详细信息。

<Sysname> display pki certificate domain aaa ca

# 显示PKI域aaa中的CA证书。

Certificate:

Data:

Version: 1 (0x0)

Serial Number:

5c:72:dc:c4:a5:43:cd:f9:32:b9:c1:90:8f:dd:50:f6

Signature Algorithm: sha1WithRSAEncryption

Issuer: C=cn, O=docm, OU=rnd, CN=rootca

Validity

Not Before: Jan 6 02:51:41 2011 GMT

Not After : Dec 7 03:12:05 2013 GMT

Subject: C=cn, O=ccc, OU=ppp, CN=rootca

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

Public-Key: (1024 bit)

Modulus:

00:c4:fd:97:2c:51:36:df:4c:ea:e8:c8:70:66:f0:

28:98:ec:5a:ee:d7:35:af:86:c4:49:76:6e:dd:40:

4a:9e:8d:c0:cb:d9:10:9b:61:eb:0c:e0:22:ce:f6:

57:7c:bb:bb:1b:1d:b6:81:ad:90:77:3d:25:21:e6:

7e:11:0a:d8:1d:3c:8e:a4:17:1e:8c:38:da:97:f6:

6d:be:09:e3:5f:21:c5:a0:6f:27:4b:e3:fb:9f:cd:

c1:91:18:ff:16:ee:d8:cf:8c:e3:4c:a3:1b:08:5d:

84:7e:11:32:5f:1a:f8:35:25:c0:7e:10:bd:aa:0f:

52:db:7b:cd:5d:2b:66:5a:fb

Exponent: 65537 (0x10001)

Signature Algorithm: sha1WithRSAEncryption

6d:b1:4e:d7:ef:bb:1d:67:53:67:d0:8f:7c:96:1d:2a:03:98:

3b:48:41:08:a4:8f:a9:c1:98:e3:ac:7d:05:54:7c:34:d5:ee:

09:5a:11:e3:c8:7a:ab:3b:27:d7:62:a7:bb:bc:7e:12:5e:9e:

4c:1c:4a:9f:d7:89:ca:20:46:de:c5:b3:ce:36:ca:5e:6e:dc:

e7:c6:fe:3f:c5:38:dd:d5:a3:36:ad:f4:3d:e6:32:7f:48:df:

07:f0:a2:32:89:86:72:22:cd:ed:e5:0f:95:df:9c:75:71:e7:

fe:34:c5:a0:64:1c:f0:5c:e4:8f:d3:00:bd:fa:90:b6:64:d8:

88:a6

# 显示PKI域aaa中的本地证书。

<Sysname> display pki certificate domain aaa local

Certificate:

Data:

Version: 3 (0x2)

Serial Number:

bc:05:70:1f:0e:da:0d:10:16:1e

Signature Algorithm: sha256WithRSAEncryption

Issuer: C=CN, O=sec, OU=software, CN=ipsec

Validity

Not Before: Jan 7 20:05:44 2011 GMT

Not After : Jan 7 20:05:44 2012 GMT

Subject: O=OpenCA Labs, OU=Users, CN=fips fips-sec

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

Public-Key: (1024 bit)

Modulus:

00:b2:38:ad:8c:7d:78:38:37:88:ce:cc:97:17:39:

52:e1:99:b3:de:73:8b:ad:a8:04:f9:a1:f9:0d:67:

d8:95:e2:26:a4:0b:c2:8c:63:32:5d:38:3e:fd:b7:

4a:83:69:0e:3e:24:e4:ab:91:6c:56:51:88:93:9e:

12:a4:30:ad:ae:72:57:a7:ba:fb:bc:ac:20:8a:21:

46:ea:e8:93:55:f3:41:49:e9:9d:cc:ec:76:13:fd:

a5:8d:cb:5b:45:08:b7:d1:c5:b5:58:89:47:ce:12:

bd:5c:ce:b6:17:2f:e0:fc:c0:3e:b7:c4:99:31:5b:

8a:f0:ea:02:fd:2d:44:7a:67

Exponent: 65537 (0x10001)

X509v3 extensions:

X509v3 Basic Constraints:

CA:FALSE

Netscape Cert Type:

SSL Client, S/MIME

X509v3 Key Usage:

Digital Signature, Non Repudiation, Key Encipherment

X509v3 Extended Key Usage:

TLS Web Client Authentication, E-mail Protection, Microsoft Smartcardlogin

Netscape Comment:

User Certificate of OpenCA Labs

X509v3 Subject Key Identifier:

91:95:51:DD:BF:4F:55:FA:E4:C4:D0:10:C2:A1:C2:99:AF:A5:CB:30

X509v3 Authority Key Identifier:

keyid:DF:D2:C9:1A:06:1F:BC:61:54:39:FE:12:C4:22:64:EB:57:3B:11:9F

X509v3 Subject Alternative Name:

email:fips@ccc.com

X509v3 Issuer Alternative Name:

email:pki@openca.org

Authority Information Access:

CA Issuers - URI:http://titan/pki/pub/cacert/cacert.crt

OCSP - URI:http://titan:2560/

1.3.6.1.5.5.7.48.12 - URI:http://titan:830/

X509v3 CRL Distribution Points:

Full Name:

URI:http://titan/pki/pub/crl/cacrl.crl

Signature Algorithm: sha256WithRSAEncryption

94:ef:56:70:48:66:be:8f:9d:bb:77:0f:c9:f4:65:77:e3:bd:

ea:9a:b8:24:ae:a1:38:2d:f4:ab:e8:0e:93:c2:30:33:c8:ef:

f5:e9:eb:9d:37:04:6f:99:bd:b2:c0:e9:eb:b1:19:7e:e3:cb:

95:cd:6c:b8:47:e2:cf:18:8d:99:f4:11:74:b1:1b:86:92:98:

af:a2:34:f7:1b:15:ee:ea:91:ed:51:17:d0:76:ec:22:4c:56:

da:d6:d1:3c:f2:43:31:4f:1d:20:c8:c2:c3:4d:e5:92:29:ee:

43:c6:d7:72:92:e8:13:87:38:9a:9c:cd:54:38:b2:ad:ba:aa:

f9:a4:68:b5:2a:df:9a:31:2f:42:80:0c:0c:d9:6d:b3:ab:0f:

dd:a0:2c:c0:aa:16:81:aa:d9:33:ca:01:75:94:92:44:05:1a:

65:41:fa:1e:41:b5:8a:cc:2b:09:6e:67:70:c4:ed:b4:bc:28:

04:50:a6:33:65:6d:49:3c:fc:a8:93:88:53:94:4c:af:23:64:

cb:af:e3:02:d1:b6:59:5f:95:52:6d:00:00:a0:cb:75:cf:b4:

50:c5:50:00:65:f4:7d:69:cc:2d:68:a4:13:5c:ef:75:aa:8f:

3f:ca:fa:eb:4d:d5:5d:27:db:46:c7:f4:7d:3a:b2:fb:a7:c9:

de:18:9d:c1

# 显示PKI域aaa中的所有对端证书的简要信息。

<Sysname> display pki certificate domain aaa peer

Total peer certificates: 1

Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7

Subject Name: CN=sldsslserver

# 显示PKI域aaa中的一个特定序号的对端证书的详细信息。

<Sysname> display pki certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7

Certificate:

Data:

Version: 3 (0x2)

Serial Number:

9a:03:37:eb:21:56:ba:1f:54:76:e4:d7:54:a5:a9:f7

Signature Algorithm: sha1WithRSAEncryption

Issuer: C=cn, O=ccc, OU=sec, CN=ssl

Validity

Not Before: Oct 15 01:23:06 2010 GMT

Not After : Jul 26 06:30:54 2012 GMT

Subject: CN=sldsslserver

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

Public-Key: (1024 bit)

Modulus:

00:c2:cf:37:76:93:29:5e:cd:0e:77:48:3a:4d:0f:

a6:28:a4:60:f8:31:56:28:7f:81:e3:17:47:78:98:

68:03:5b:72:f4:57:d3:bf:c5:30:32:0d:58:72:67:

04:06:61:08:3b:e9:ac:53:b9:e7:69:68:1a:23:f2:

97:4c:26:14:c2:b5:d9:34:8b:ee:c1:ef:af:1a:f4:

39:da:c5:ae:ab:56:95:b5:be:0e:c3:46:35:c1:52:

29:9c:b7:46:f2:27:80:2d:a4:65:9a:81:78:53:d4:

ca:d3:f5:f3:92:54:85:b3:ab:55:a5:03:96:2b:19:

8b:a3:4d:b2:17:08:8d:dd:81

Exponent: 65537 (0x10001)

X509v3 extensions:

X509v3 Authority Key Identifier:

keyid:9A:83:29:13:29:D9:62:83:CB:41:D4:75:2E:52:A1:66:38:3C:90:11

X509v3 Key Usage: critical

Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Key Agreement

Netscape Cert Type:

SSL Server

X509v3 Subject Alternative Name:

DNS:docm.com

X509v3 Subject Key Identifier:

3C:76:95:9B:DD:C2:7F:5F:98:83:B7:C7:A0:F8:99:1E:4B:D7:2F:26

X509v3 CRL Distribution Points:

Full Name:

URI:http://s03130.ccc.sec.com:447/ssl.crl

Signature Algorithm: sha1WithRSAEncryption

61:2d:79:c7:49:16:e3:be:25:bb:8b:70:37:31:32:e5:d3:e3:

31:2c:2d:c1:f9:bf:50:ad:35:4b:c1:90:8c:65:79:b6:5f:59:

36:24:c7:14:63:44:17:1e:e4:cf:10:69:fc:93:e9:70:53:3c:

85:aa:40:7e:b5:47:75:0f:f0:b2:da:b4:a5:50:dd:06:4a:d5:

17:a5:ca:20:19:2c:e9:78:02:bd:19:77:da:07:1a:42:df:72:

ad:07:7d:e5:16:d6:75:eb:6e:06:58:ee:76:31:63:db:96:a2:

ad:83:b6:bb:ba:4b:79:59:9d:59:6c:77:59:5b:d9:07:33:a8:

f0:a5

表1-4 display pki certificate命令显示信息描述表

字段	描述
Version	证书版本号
Serial Number	证书序列号
Signature Algorithm	签名算法
Issuer	证书颁发者
Validity	证书有效期
Subject	证书所属的实体信息
Subject Public Key Info	证书所属的实体的公钥信息
X509v3 extensions	X.509版本3格式的证书扩展属性

· pki retrieve-certificate

· pki domain

1.1.15 display pki certificate request-status

display pki certificate request-status命令用来显示证书的申请状态。

display pki certificate request-status [ domain domain-name ]

domain domain-name：指定证书所在的PKI域的名称，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

若不指定PKI域的名称，则显示所有PKI域的证书申请状态。

<Sysname> display pki certificate request-status domain aaa

# 显示PKI域aaa的证书申请状态。

Certificate Request Transaction 1

Domain name: aaa

Status: Pending

Key usage: General

Remain polling attempts: 10

Next polling attempt after : 1191 seconds

# 显示所有PKI域的证书申请状态。

<Sysname> display pki certificate request-status

Certificate Request Transaction 1

Domain name: domain1

Status: Pending

Key usage: General

Remain polling attempts: 10

Next polling attempt after : 1191 seconds

Certificate Request Transaction 2

Domain name: domain2

Status: Pending

Key usage: Signature

Remain polling attempts: 10

Next polling attempt after : 188 seconds

表1-1 display pki certificate request命令显示信息描述表

字段	描述
Certificate Request Transaction number	证书申请任务的编号，从1开始顺序编号
Domain name	PKI域名
Status	证书申请状态。目前，仅有一种取值Pending，表示等待
Key usage	证书用途，包括以下取值： · General：表示通用，既可以用于加密也可以用于签名 · Signature：表示用于签名 · Encryption：表示用于加密
Remain polling attempts	剩余的证书申请状态的查询次数
Next polling attempt after	当前到下次查询证书申请状态的时间间隔，单位为秒

l certificate request polling

l pki domain

l pki retrieve-certificate

1.1.16 display pki crl

display pki crl domain命令用来显示存储在本地的CRL。

display pki crl domain domain-name

domain domain-name：指定CRL所在的PKI域的名称，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

用户可以通过该命令查看证书吊销列表，看所需的证书是否已经被吊销。

<Sysname> display pki crl domain aaa

# 显示存储在本地的CRL。

Certificate Revocation List (CRL):

Version 2 (0x1)

Signature Algorithm: sha1WithRSAEncryption

Issuer: /C=cn/O=docm/OU=sec/CN=therootca

Last Update: Apr 28 01:42:13 2011 GMT

Next Update: NONE

CRL extensions:

X509v3 CRL Number:

X509v3 Authority Key Identifier:

keyid:49:25:DB:07:3A:C4:8A:C2:B5:A0:64:A5:F1:54:93:69:14:51:11:EF

Revoked Certificates:

Serial Number: CDE626BF7A44A727B25F9CD81475C004

Revocation Date: Apr 28 01:37:52 2011 GMT

CRL entry extensions:

Invalidity Date:

Apr 28 01:37:49 2011 GMT

Serial Number: FCADFA81E1F56F43D3F2D3EF7EB56DE5

Revocation Date: Apr 28 01:33:28 2011 GMT

CRL entry extensions:

Invalidity Date:

Apr 28 01:33:09 2011 GMT

Signature Algorithm: sha1WithRSAEncryption

57:ac:00:3e:1e:e2:5f:59:62:04:05:9b:c7:61:58:2a:df:a4:

5c:e5:c0:14:af:c8:e7:de:cf:2a:0a:31:7d:32:da:be:cd:6a:

36:b5:83:e8:95:06:bd:b4:c0:36:fe:91:7c:77:d9:00:0f:9e:

99:03:65:9e:0c:9c:16:22:ef:4a:40:ec:59:40:60:53:4a:fc:

8e:47:57:23:e0:75:0a:a4:1c:0e:2f:3d:e0:b2:87:4d:61:8a:

4a:cb:cb:37:af:51:bd:53:78:76:a1:16:3d:0b:89:01:91:61:

52:d0:6f:5c:09:59:15:be:b8:68:65:0c:5d:1b:a1:f8:42:04:

ba:aa

表1-5 display pki crl domain显示信息描述表

字段	描述
Version	CRL版本号
Signature Algorithm	CA签名该CRL采用的签名算法
Issuer	颁发该CRL的CA证书名称
Last Update	上次更新CRL的时间
Next Update	下次更新CRL的时间
CRL extensions	CRL扩展属性
X509v3 CRL Number	X509版本3格式的CRL序号
X509v3 Authority Key Identifier	X509版本3格式的签发该CRL的CA的标识符
keyid	公钥标识符一个CA可能有多个密钥对，该字段用于标识CA用哪个密钥对对该CRL进行签名
Revoked Certificates	撤销的证书信息
Serial Number	被吊销证书的序列号
Revocation Date	证书被吊销的日期
CRL entry extensions:	CRL项目扩展属性
Signature Algorithm:	签名算法以及签名数据

· pki retrieve-crl

1.1.17 fqdn

fqdn命令用来配置PKI实体的FQDN。

undo fqdn命令用来删除配置的PKI实体的FQDN。

fqdn fqdn-name-string

未配置PKI实体的FQDN。

PKI实体视图

fqdn-name-string：PKI实体的FQDN，为1～255个字符的字符串，区分大小写。

FQDN是实体在网络中的唯一标识，由一个主机名和一个域名组成，形式为hostname@domainname。

# 配置PKI实体en的FQDN为abc@pki.domain.com。

[Sysname] pki entity en

[Sysname-pki-entity-en] fqdn abc@pki.domain.com

1.1.18 ip

ip命令用来配置PKI实体的IP地址。

undo ip命令用来删除配置的PKI实体的IP地址。

ip { ip-address | interface interface-type interface-number }

未配置PKI实体的IP地址。

PKI实体视图

ip-address：指定PKI实体的IPv4地址。

interface interface-type interface-numbe：指定接口的主IPv4地址作为PKI实体的IPv4地址。interface-type interface-number表示接口类型及接口编号。

通过本命令，可以直接指定PKI实体的IP地址，也可以指定设备上某接口的主IPv4地址作为PKI实体的IP地址。如果指定使用某接口的IP地址，则不要求本配置执行时该接口上已经配置了IP地址，只要设备申请证书时，该接口上配置了IP地址，就可以直接使用该地址作为PKI实体身份的一部分。

# 配置PKI实体en的IP地址为192.168.0.2。

[Sysname] pki entity en

[Sysname-pki-entity-en] ip 192.168.0.2

1.1.19 ldap-server

ldap-server命令用来指定LDAP服务器。

undo ldap-server命令用来删除指定的LDAP服务器。

ldap-server host hostname [ port port-number ]

未指定LDAP服务器。

PKI域视图

host host-name：LDAP服务器的主机名，为1～255个字符的字符串，区分大小写，支持IPv4与IPv6地址的表示方法以及DNS域名的表示方法。

port port-number：LDAP服务器的端口号，取值范围为1～65535，缺省值为389。

以下两种情况下，需要配置LDAP服务器：

· 通过LDAP协议获取本地证书或对端证书时，需要指定LDAP服务器。

· 通过LDAP协议获取CRL时，若PKI域中配置的LDAP格式的CRL发布点URL中未携带主机名，则需要根据此处配置的LDAP服务器地址来得到完整的LDAP发布点URL。

在一个PKI域中，只能指定一个LDAP服务器，若重复执行本命令，最新的配置生效。

# 指定LDAP服务器的IP地址为10.0.0.1。

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] ldap-server host 10.0.0.1

· pki retrieve-certificate

· pki retrieve-crl

1.1.20 locality

locality命令用来配置PKI实体所在的地理区域名称，比如城市名称。

undo locality命令用来删除配置的PKI实体所在的地理区域名称。

locality locality-name

未配置PKI实体所在的地理区域名称。

PKI实体视图

locality-name：PKI实体所在的地理区域的名称，为1～63个字符的字符串，区分大小写，不能包含逗号。

# 配置PKI实体en所在地理区域的名称为pukras。

[Sysname] pki entity en

[Sysname-pki-entity-en] locality pukras

1.1.21 organization

organization命令用来配置PKI实体所属组织的名称。

undo organization命令用来删除配置的PKI实体所属组织的名称。

organization org-name

undo organization

未配置PKI实体所属组织名称。

PKI实体视图

org-name：PKI实体所属的组织名称，为1～63个字符的字符串，区分大小写，不能包含逗号。

# 配置PKI实体en所属的组织名称为abc。

[Sysname-pki-entity-en] organization abc

[Sysname] pki entity en

1.1.22 organization-unit

organization-unit命令用来指定实体所属的组织部门的名称。

undo organization-unit命令用来删除实体所属的组织部门的名称。

organization-unit org-unit-name

undo organization-unit

未配置PKI实体所属组织部门的名称。

PKI实体视图

org-unit-name：PKI实体所属组织部门的名称，为1～63个字符的字符串，区分大小写，不能包含逗号。使用该参数可在同一个单位内区分不同部门的PKI实体。

# 配置PKI实体en所属组织部门的名称为rdtest。

[Sysname-pki-entity-en] organization-unit rdtest

[Sysname] pki entity en

1.1.23 pki abort-certificate-request

pki abort-certificate-request命令用来停止证书申请过程。

pki abort-certificate-request domain domain-name

用户在证书申请时，可能由于某种原因需要改变证书申请的一些参数，比如通用名、国家代码、FQDN等，而此时证书申请正在运行，为了新的申请不与之前的申请发生冲突，建议先停止之前的申请程序，再进行新的申请。

# 停止证书申请过程。

· pki request-certificate domain

[Sysname] pki abort-certificate- request domain 1

The certificate request is in process.

Confirm to abort it? [Y/N]:y

1.1.24 pki certificate access-control-policy

pki certificate access-control-policy命令用来创建证书访问控制策略，并进入证书访问控制策略视图。如果指定的证书访问控制策略已存在，则直接进入其视图。

undo pki certificate access-control-policy命令用来删除指定的证书访问控制策略。

pki certificate access-control-policy policy-name

undo pki certificate access-control-policy policy-name

policy-name：表示证书访问控制策略名称，为1～31个字符的字符串，不区分大小写。

一个证书访问控制策略中可以定义多个证书属性的访问控制规则。

# 配置一个名称为mypolicy的证书访问控制策略，并进入证书访问控制策略视图。

[Sysname] pki certificate access-control-policy mypolicy

[Sysname-pki-cert-acp-mypolicy]

1.1.25 pki certificate attribute-group

pki certificate attribute-group命令用来创建证书属性组并进入证书属性组视图。如果指定的证书属性组已存在，则直接进入其视图。

undo pki certificate attribute-group命令用来删除指定的证书属性组。

pki certificate attribute-group group-name

undo pki certificate attribute-group group-name

group-name：证书属性组名称，为1～31个字符的字符串，不区分大小写。

一个证书属性组就是一系列证书属性规则（通过attribute命令配置）的集合，这些属性规则定义了对证书的颁发者名、主题名以及备用主题名进行过滤的匹配条件。当证书属性组下没有任何属性规则时，则认为对证书的属性没有任何限制。

# 创建一个名为mygroup的证书属性组，并进入证书属性组视图。

[Sysname] pki certificate attribute-group mygroup

[Sysname-pki-cert-attribute-group-mygroup]

· display pki certificate attribute-group

· attribute

1.1.26 pki delete-certificate

pki delete-certificate命令用来删除PKI域中的证书。

pki delete-certificate domain domain-name { ca | local | peer [ serial serial-num ] }

domain domain-name：证书所在的PKI域的名称，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

ca：表示删除CA证书。

local：表示删除本地证书。

peer：表示删除对端证书。

serial serial-num：表示通过指定序列号删除一个指定的对端证书。serial-num为对端证书的序列号，为1～127个字符的字符串，不区分大小写。在每个CA签发的证书范围内，序列号可以唯一标识一个证书。如果不指定本参数，则表示删除本PKI域中的所有对端证书。

删除CA证书时将同时删除所在PKI域中的本地证书和所有对端证书，以及CRL。

如果需要删除指定的对端证书，则需要首先通过display pki certificate命令查看本域中已有的对端证书的序列号，然后再通过指定序列号的方式删除该对端证书。

# 删除PKI域aaa中的CA证书。

[Sysname] pki delete-certificate domain aaa ca

Local certificates, peer certificates and CRL will also be deleted while deleting the CA certificate.

Confirm to delete the CA certificate? [Y/N]:y

[Sysname]

# 删除PKI域aaa中的本地证书。

[Sysname] pki delete-certificate domain aaa local

[Sysname]

# 删除PKI域aaa中的所有对端证书。

[Sysname] pki delete-certificate domain aaa peer

[Sysname]

# 首先查看PKI域aaa中的对端证书，然后通过指定序列号的方式删除对端证书。

[Sysname] display pki certificate domain aaa peer

Total peer certificates: 1

Serial Number: 9a0337eb2156ba1f5476e4d754a5a9f7

Subject Name: CN=abc

[Sysname] pki delete-certificate domain aaa peer serial 9a0337eb2156ba1f5476e4d754a5a9f7

· display pki certificate

1.1.27 pki domain

pki domain命令用来创建PKI域，并进入PKI域视图。如果指定的PKI域已存在，则直接进入其视图。

undo pki domain命令用来删除指定的PKI域。

pki domain domain-name

undo pki domain domain-name

不存在PKI域。

domain-name：PKI域名，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

删除PKI域的同时，会将该域相关的证书和CRL都删除掉，因此请慎重操作。

# 创建PKI域aaa并进入其视图。

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa]

1.1.28 pki entity

pki entity命令用来创建PKI实体，并进入PKI实体视图。如果指定的PKI实体已存在，则直接进入其视图。

undo pki entity命令用来删除指定的PKI实体。

pki entity entity-name

undo pki entity entity-name

无PKI实体存在。

entity-name：PKI实体的名称，为1～31个字符的字符串，不区分大小写。

在PKI实体视图下可配置PKI实体的各种属性（通用名、组织部门、组织、地理区域、省、国家、FQDN、IP），这些属性用于描述PKI实体的身份信息。当申请证书时，PKI实体的信息将作为证书中主题（Subjuct）部分的内容。

# 创建名称为en的PKI实体，并进入该实体视图。

[Sysname] pki entity en

[Sysname-pki-entity-en]

· pki domain

1.1.29 pki export

pki export命令用来将PKI域中的CA证书、本地证书导出到文件中或终端上。

pki export domain domain-name der { all | ca | local } filename filename

pki export domain domain-name p12 { all | local } passphrase p12passwordstring filename filename

pki export domain domain-name pem { { all | local } [ { 3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc } pempasswordstring ] | ca } [ filename filename ]

der：指定证书文件格式为DER编码。

p12：指定证书文件格式为PKCS12编码。

pem：指定证书文件格式为PEM编码。

all：表示导出所有证书，包括PKI域中所有的CA证书和本地证书，但不包括RA证书。

ca：表示导出CA证书。

local：表示导出本地证书或者本地证书和其对应私钥。

passphrase p12passwordstring：指定对PKCS12编码格式的本地证书对应的私钥进行加密所采用的口令。

3des-cbc：对本地证书对应的私钥数据采用3DES_CBC算法进行加密。

aes-128-cbc：对本地证书对应的私钥数据采用128位AES_CBC算法进行加密。

aes-192-cbc：对本地证书对应的私钥数据采用192位AES_CBC算法进行加密。

aes-256-cbc：对本地证书对应的私钥数据采用256位AES_CBC算法进行加密。

des-cbc：对本地证书对应的私钥数据采用DES_CBC算法进行加密。

pempasswordstring：指定对PEM编码格式的本地证书对应的私钥进行加密所采用的口令。

filename filename：指定保存证书的文件名，不区分大小写。如果不指定本参数，则表示要将证书直接导出到终端上显示，这种方式仅PEM编码格式的证书才支持。

导出本地证书时，设备上实际保存证书的证书文件名称并不一定是用户指定的名称，它与本地证书的密钥对用途相关，具体的命名规则如下（假设用户指定的文件名为filename）：

导出CA证书时，如果PKI域中只有一个CA证书则导出单个CA证书到用户指定的一个文件或终端，如果是一个CA证书链则导出整个CA证书链到用户指定的一个文件或终端。

· 如果本地证书的密钥对用途为签名，则证书文件名称为filename-sign；

· 如果本地证书的密钥对用途为加密，则证书文件名称为filename-encr；

· 如果本地证书的密钥对用途为通用（RSA/DSA），则证书文件名称为用户输入的filename。

导出本地证书时，如果PKI域中有两个本地证书，则导出结果如下：

· 若指定文件名，则将每个本地证书分别导出到一个单独的文件中；

· 若不指定文件名，则将所有本地证书一次性全部导出到终端上，并由不同的提示信息进行分割显示。

导出所有证书时，如果PKI域中只有本地证书或者只有CA证书，则导出结果与单独导出相同。如果PKI域中存在本地证书和CA证书，则具体导出结果如下：

· 若指定文件名，则将每个本地证书分别导出到一个单独的文件，该本地证书对应的完整CA证书链也会同时导出到该文件中。

· 若不指定文件名，则将所有的本地证书及域中的CA证书或者CA证书链一次性全部导出到终端上，并由不同的提示信息进行分割显示。

需要注意的是：

· 以PKCS12格式导出所有证书时，PKI域中必须有本地证书，否则会导出失败。

· 以PEM格式导出本地证书或者所有证书时，若不指定私钥的加密算法和私钥加密口令，则不会导出本地证书对应的私钥信息。

· 以PEM格式导出本地证书或者所有证书时，若指定私钥加密算法和私钥加密口令，且此时本地证书有匹配的私钥，则同时导出本地证书的私钥信息；如果此时本地证书没有匹配的私钥，则导出该本地证书失败。

· 导出本地证书时，若当前PKI域中的密钥对配置已被修改，导致本地证书的公钥与该密钥对的公钥部分不匹配，则导出该本地证书失败。

· 导出本地证书或者所有证书时，如果PKI域中有两个本地证书，则导出某种密钥用途的本地证书失败并不会影响导出另外一个本地证书。

· 指定的文件名中可以带完整路径，当系统中不存在用户所指定路径时，则会导出失败。

# 导出PKI域中的CA证书到DER编码的文件，文件名称为cert-ca.der。

[Sysname] pki export domain domain1 der ca filename cert-ca.der

# 导出PKI域中的本地证书到DER编码的文件，文件名称为cert-lo.der。

[Sysname] pki export domain domain1 der local filename cert-lo.der

# 导出PKI域中的所有证书到DER编码的文件，文件名称为cert-all.p7b。

[Sysname] pki export domain domain1 der all filename cert-all.p7b

# 导出PKI域中的CA证书到PEM编码的文件，文件名称为cacert。

[Sysname] pki export domain domain1 pem ca filename cacert

# 导出PKI域中的本地证书及其对应的私钥到PEM编码的文件，指定保护私钥信息的加密算法为DES_CBC、加密口令为111，文件名称为local.pem。

[Sysname] pki export domain domain1 pem local des-cbc 111 filename local.pem

# 导出PKI域中所有证书到PEM编码的文件，不指定加密算法和加密口令，不导出本地证书对应的私钥信息，文件名称为all.pem。

[Sysname] pki export domain domain1 pem all filename all.pem

# 以PEM格式导出PKI域中本地证书及其对应的私钥到终端，指定保护私钥信息的加密算法为DES_CBC、加密口令为111。

[Sysname] pki export domain domain1 pem local des-cbc 111

%The signature usage local certificate:

Bag Attributes

friendlyName:

localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D

subject=/C=CN/O=OpenCA Labs/OU=Users/CN=chktest chktest

issuer=/C=CN/O=OpenCA Labs/OU=software/CN=abcd

-----BEGIN CERTIFICATE-----

MIIEqjCCA5KgAwIBAgILAOhID4rI04kBfYgwDQYJKoZIhvcNAQELBQAwRTELMAkG

A1UEBhMCQ04xFDASBgNVBAoMC09wZW5DQSBMYWJzMREwDwYDVQQLDAhzb2Z0d2Fy

ZTENMAsGA1UEAwwEYWJjZDAeFw0xMTA0MjYxMzMxMjlaFw0xMjA0MjUxMzMxMjla

ME0xCzAJBgNVBAYTAkNOMRQwEgYDVQQKDAtPcGVuQ0EgTGFiczEOMAwGA1UECwwF

VXNlcnMxGDAWBgNVBAMMD2Noa3Rlc3QgY2hrdGVzdDCBnzANBgkqhkiG9w0BAQEF

AAOBjQAwgYkCgYEA54rUZ0Ux2kApceE4ATpQ437CU6ovuHS5eJKZyky8fhMoTHhE

jE2KfBQIzOZSgo2mdgpkccjr9Ek6IUC03ed1lPn0IG/YaAl4Tjgkiv+w1NrlSvAy

cnPaSUko2QbO9sg3ycye1zqpbbqj775ulGpcXyXYD9OY63/Cp5+DRQ92zGsCAwEA

AaOCAhUwggIRMAkGA1UdEwQCMAAwUAYDVR0gBEkwRzAGBgQqAwMEMAYGBCoDAwUw

NQYEKgMDBjAtMCsGCCsGAQUFBwIBFh9odHRwczovL3RpdGFuL3BraS9wdWIvY3Bz

L2Jhc2ljMBEGCWCGSAGG+EIBAQQEAwIFoDALBgNVHQ8EBAMCBsAwKQYDVR0lBCIw

IAYIKwYBBQUHAwIGCCsGAQUFBwMEBgorBgEEAYI3FAICMC4GCWCGSAGG+EIBDQQh

Fh9Vc2VyIENlcnRpZmljYXRlIG9mIE9wZW5DQSBMYWJzMB0GA1UdDgQWBBTPw8FY

ut7Xr2Ct/23zU/ybgU9dQjAfBgNVHSMEGDAWgBQzEQ58yIC54wxodp6JzZvn/gx0

CDAaBgNVHREEEzARgQ9jaGt0ZXN0QGgzYy5jb20wGQYDVR0SBBIwEIEOcGtpQG9w

ZW5jYS5vcmcwgYEGCCsGAQUFBwEBBHUwczAyBggrBgEFBQcwAoYmaHR0cDovL3Rp

dGFuL3BraS9wdWIvY2FjZXJ0L2NhY2VydC5jcnQwHgYIKwYBBQUHMAGGEmh0dHA6

Ly90aXRhbjoyNTYwLzAdBggrBgEFBQcwDIYRaHR0cDovL3RpdGFuOjgzMC8wPAYD

VR0fBDUwMzAxoC+gLYYraHR0cDovLzE5Mi4xNjguNDAuMTI4L3BraS9wdWIvY3Js

L2NhY3JsLmNybDANBgkqhkiG9w0BAQsFAAOCAQEAGcMeSpBJiuRmsJW0iZK5nygB

tgD8c0b+n4v/F36sJjY1fRFSr4gPLIxZhPWhTrqsCd+QMELRCDNHDxvt3/1NEG12

X6BVjLcKXKH/EQe0fnwK+7PegAJ15P56xDeACHz2oysvNQ0Ot6hGylMqaZ8pKUKv

UDS8c+HgIBrhmxvXztI08N1imYHq27Wy9j6NpSS60mMFmI5whzCWfTSHzqlT2DNd

no0id18SZidApfCZL8zoMWEFI163JZSarv+H5Kbb063dxXfbsqX9Noxggh0gD8dK

7X7/rTJuuhTWVof5gxSUJp+aCCdvSKg0lvJY+tJeXoaznrINVw3SuXJ+Ax8GEw==

-----END CERTIFICATE-----

Bag Attributes

friendlyName:

localKeyID: 99 0B C2 3B 8B D1 E4 33 42 2B 31 C3 37 C0 1D DF 0D 79 09 1D

Key Attributes: <No Attributes>

-----BEGIN ENCRYPTED PRIVATE KEY-----

MIICwzA9BgkqhkiG9w0BBQ0wMDAbBgkqhkiG9w0BBQwwDgQIAbfcE+KoYYoCAggA

MBEGBSsOAwIHBAjB+UsJM07JRQSCAoABqtASbjGTQbdxL3n4wNHmyWLxbvL9v27C

Uu6MjYJDCipVzxHU0rExgn+6cQsK5uK99FPBmy4q9/nnyrooTX8BVlXAjenvgyii

WQLwnIg1IuM8j2aPkQ3wbae1+0RACjSLy1u/PCl5sp6CDxI0b9xz6cxIGxKvUOCc

/gxdgk97XZSW/0qnOSZkhgeqBZuxq6Va8iRyho7RCStVxQaeiAZpq/WoZbcS5CKI

/WXEBQd4AX2UxN0Ld/On7Wc6KFToixROTxWTtf8SEsKGPDfrEKq3fSTW1xokB8nM

bkRtU+fUiY27V/mr1RHO6+yEr+/wGGClBy5YDoD4I9xPkGUkmqx+kfYbMo4yxkSi

JdL+X3uEjHnQ/rvnPSKBEU/URwXHxMX9CdCTSqh/SajnrGuB/E4JhOEnS/H9dIM+

DN6iz1IwPFklbcK9KMGwV1bosymXmuEbYCYmSmhZb5FnR/RIyE804Jz9ifin3g0Q

ZrykfG7LHL7Ga4nh0hpEeEDiHGEMcQU+g0EtfpOLTI8cMJf7kdNWDnI0AYCvBAAM

3CY3BElDVjJq3ioyHSJca8C+3lzcueuAF+lO7Y4Zluq3dqWeuJjE+/1BZJbMmaQA

X6NmXKNzmtTPcMtojf+n3+uju0le0d0QYXQz/wPsV+9IYRYasjzoXE5dhZ5sIPOd

u9x9hhp5Ns23bwyNP135qTNjx9i/CZMKvLKywm3Yg+Bgg8Df4bBrFrsH1U0ifmmp

ir2+OuhlC+GbHOxWNeBCa8iAq91k6FGFJ0OLA2oIvhCnh45tM7BjjKTHk+RZdMiA

0TKSWuOyihrwxdUEWh999GKUpkwDHLZJFd21z/kWspqThodEx8ea

-----END ENCRYPTED PRIVATE KEY-----

# 以PEM格式导出PKI域中所有证书到终端，指定保护本地证书对应私钥的加密算法为DES_CBC、加密口令为111。