- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
25-可信计算命令
本章节下载: 25-可信计算命令 (297.27 KB)
目 录
1.1.5 devid-additional-information
1.1.6 display tcsm certificate list
1.1.7 display tcsm certificate name
1.1.10 display tcsm key-template
1.1.12 display tcsm trusted-computing-chip
2.1.1 display pts integrity measurement-log
2.1.2 display pts integrity selfverify
2.1.3 integrity periodic-selfverify enable
2.1.4 integrity periodic-selfverify interval
2.1.5 integrity report attestation-key
certificate destroy命令用来删除TCSM证书。
【命令】
(独立运行模式)
certificate destroy name certificate-name slot slot-number
(IRF模式)
certificate destroy name certificate-name chassis chassis-number slot slot-number
【视图】
TCSM视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
name certificate-name:TCSM证书名称,为1~31个字符的字符串,不区分大小写。
slot slot-number:删除指定单板上的TCSM证书。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:删除指定单板上的TCSM证书。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
【使用指导】
仅缺省MDC支持本命令。
TCSM证书只能被管理员和创建该证书的用户删除。系统预置的TCSM证书不能被删除。
【举例】
# 删除指定slot上名为cert-abc的TCSM证书。(独立运行模式)
<Sysname> system
[Sysname] tcsm
[Sysname-tcsm] certificate destroy name cert-abc slot 1
【相关命令】
· display tcsm certificate list
· display tcsm certificate name
certificate subject命令用来创建TCSM证书主题,并进入TCSM证书主题视图。如果指定的TCSM证书主题已存在,则直接进入该TCSM证书主题的视图。
undo certificate subject命令用来删除TCSM证书主题。
【命令】
certificate subject subject-name
undo certificate subject subject-name
【缺省情况】
不存在TCSM证书主题。
【视图】
TCSM视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
subject-name:TCSM证书主题名称,为1~31个字符的字符串,区分大小写,只能包含字母、数字和特殊字符“_ - @ # % $ + . ( ) & { } : ; ! = ~ `”。
【使用指导】
仅缺省MDC支持本命令。
目前仅支持配置一个TCSM证书主题。如果要修改TCSM证书主题名称,请先删除已配置的TCSM证书主题。
【举例】
# 创建TCSM证书主题entry1,并进入TCSM证书主题视图。
<Sysname> system-view
[Sysname] tcsm
[Sysname-tcsm] certificate subject entry1
[Sysname-tcsm-cert-subject-entry1]
common-name命令用来配置TCSM证书主题的通用名。
undo common-name命令用来恢复缺省情况。
【命令】
common-name string
undo common-name
【缺省情况】
未配置TCSM证书主题的通用名。
【视图】
TCSM证书主题视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
string:TCSM证书主题的通用名,为1~63个字符的字符串,区分大小写,只能包含字母、数字和特殊字符“_ - @ # % $ + . ( ) & { } : ; ! = ~ `”。
【使用指导】
仅缺省MDC支持本命令。
TCSM证书主题必须配置通用名,才能用于证书的签发。
【举例】
# 配置TCSM证书主题entry1的通用名为device。
<Sysname> system-view
[Sysname] tcsm
[Sysname-tcsm] certificate subject entry1
[Sysname-tcsm-cert-subject-entry1] common-name device
country命令用来配置TCSM证书主题所属的国家代码。
undo country命令用来恢复缺省情况。
【命令】
country string
undo country
【缺省情况】
未配置TCSM证书主题所属的国家代码。
【视图】
TCSM证书主题视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
string:TCSM证书主题所属的国家代码,区分大小写。
【使用指导】
国家代码用标准的两字符代码表示。例如,“CN”是中国的合法国家代码,“US”是美国的合法国家代码。
仅缺省MDC支持本命令。
【举例】
# 配置TCSM证书主题entry1所属的国家代码为CN。
<Sysname> system-view
[Sysname] tcsm
[Sysname-tcsm] certificate subject entry1
[Sysname-tcsm-cert-subject-entry1] country CN
devid-additional-information命令用来配置DevID证书主题的附加信息。
undo devid-additional-information命令用来恢复缺省情况。
【命令】
devid-additional-information string
undo devid-additional-information
【缺省情况】
未配置DevID证书主题的附加信息。
【视图】
TCSM证书主题视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
string:DevID证书主题的附加信息,为1~63个字符的字符串,区分大小写,只能包含字母、数字和特殊字符“_ - @ # % $ + . ( ) & { } : ; ! = ~ `”。
【使用指导】
通过本命令可以为DevID证书主题添加用户自定义的附加信息。
仅缺省MDC支持本命令。
【举例】
# 配置DevID证书主题entry1所属的附加信息为x00。
<Sysname> system-view
[Sysname] tcsm
[Sysname-tcsm] certificate subject entry1
[Sysname-tcsm-cert-subject-entry1] devid-additional-information x00
display tcsm certificate list命令用来显示TCSM证书列表。
【命令】
(独立运行模式)
display tcsm certificate list [ slot slot-number ]
(IRF模式)
display tcsm certificate list [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
slot slot-number:显示指定单板上的TCSM证书列表,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的TCSM证书列表。(独立运行模式)
chassis chassis-number slot slot-number:显示指定单板上的TCSM证书列表,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的TCSM证书列表。(IRF模式)
【使用指导】
通过本命令可以查看设备上存在的所有TCSM系统预置证书和用户证书的名称和用途。
仅缺省MDC支持本命令。
【举例】
# 显示所有slot上的TCSM证书列表。(独立运行模式)
<Sysname> display tcsm certificate list
Slot 1:
System-defined certificates:
default-rsa-akcert: For attestation key
default-ecc-akcert: For attestation key
rsa-idevid-cert: For DevID
ecc-idevid-cert: For DevID
default_rsa_ekcert: For endorsement key
default_ecc_ekcert: For endorsement key
User-defined certificates:
test_ak_cert: For attestation key
表1-1 display tcsm certificate list命令显示信息描述表
|
字段 |
描述 |
|
System-defined certificates |
系统预置证书 |
|
User-defined certificates |
用户证书 |
|
cert-name: For usage |
显示证书列表时,以“证书名: For 用途”的格式显示,用途可以为一到多种密钥类型,包括: · attestation key:认证密钥 · DevID:设备ID密钥 · endorsement key:背书密钥 |
display tcsm certificate name命令用来显示TCSM证书的详细信息。
【命令】
(独立运行模式)
display tcsm certificate name certificate-name slot slot-number
(IRF模式)
display tcsm certificate name certificate-name chassis chassis-number slot slot-number
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
certificate-name:设备上存在的TCSM证书名称,不区分大小写。
slot slot-number:显示指定单板上的指定TCSM证书的详细信息,slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定单板上的指定TCSM证书的详细信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
【使用指导】
通过本命令可以查看指定TCSM证书的内容,确认该证书的有效性。
仅缺省MDC支持本命令。
【举例】
# 显示指定slot上的指定TCSM证书的详细信息。(独立运行模式)
<Sysname> display tcsm certificate name default_rsa_ekcert slot 1
Status: Enabled
Key name: default_rsa_ek
User name:
Usage: EK
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
89:0e:cf:1f:e2:78:10:5d:31:80:4f:e2:b8:c2:b1:33:e9:6b:01:9f
Signature Algorithm: ecdsa-with-SHA256
Issuer: C=CN, O=Nationz Technologies Inc, OU=Nationz TPM Device, CN=Nationz TPM Manufacturing CA 001
Validity
Not Before: Jul 25 00:00:00 2018 GMT
Not After : Jul 25 00:00:00 2033 GMT
Subject:
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c0:22:ff:61:e0:e2:e4:fe:cf:df:c0:23:32:4b:
58:7b:25:b5:b3:da:0c:cf:bc:ae:81:0c:8f:98:32:
67:43:4a:6b:93:68:a5:1d:59:36:65:50:c0:d7:61:
55:dc:22:6f:17:da:f0:9a:97:6a:7b:a9:b0:e3:1a:
58:15:18:37:1b:c5:49:7a:30:f2:bc:84:1b:fb:67:
77:ed:a4:66:cc:df:24:3a:83:a7:d6:b5:c7:66:61:
aa:f6:41:94:99:92:cf:a7:2d:85:57:88:63:13:bf:
b4:b1:74:23:a6:77:40:f7:ed:a8:12:92:d0:d9:9d:
3d:b2:33:f3:55:91:7f:89:7c:93:ce:0c:19:23:47:
59:ec:08:7b:74:27:26:4f:43:24:3b:1f:51:9d:9f:
0e:4f:49:18:48:f6:d2:0a:e9:02:b9:35:93:9a:32:
af:6a:e3:47:d6:95:aa:b6:5d:56:01:c0:13:db:23:
c4:60:2a:4b:9a:c6:f3:b8:ae:a0:6b:49:59:c5:bd:
d8:9a:61:8d:67:c7:58:cd:95:ca:6e:ea:e6:36:8c:
e4:29:25:86:d3:21:c0:fb:14:ba:35:47:3e:3f:bd:
c7:94:3f:37:7d:83:4f:d3:62:2b:6a:db:9a:27:11:
bd:56:0e:97:bb:bc:11:09:e8:0f:f6:df:c0:8a:2d:
39:ad
Exponent: 65537 (0x10001)
X509v3 extensions:
Authority Information Access:
CA Issuers - URI:http://pki.nationz.com.cn/EkMfrCA001/EkMfrCA001.crt
X509v3 CRL Distribution Points:
Full Name:
URI:http://pki.nationz.com.cn/EkMfrCA001/EkMfrCA001.crl
X509v3 Authority Key Identifier:
keyid:02:2C:BE:ED:5D:77:06:0F:28:33:E9:D5:37:6B:A8:BC:30:8C:D9:BA
X509v3 Certificate Policies:
Policy: 1.2.156.100001.1.5.1
X509v3 Extended Key Usage:
2.23.133.8.1
X509v3 Subject Directory Attributes:
0...2.0.....t 0.0...g....1
X509v3 Key Usage: critical
Key Encipherment
X509v3 Subject Alternative Name: critical
DirName:/2.23.133.2.1=id:4E545A00/2.23.133.2.2=Z32H330TC/2.23.133.2.3=id:0726
X509v3 Basic Constraints: critical
CA:FALSE
表1-2 display tcsm certificate name命令显示信息描述表
|
字段 |
描述 |
|
Status |
TCSM证书状态,取值为Enabled,表示证书处于激活状态 |
|
Key name |
TCSM密钥名称 |
|
User name |
H3C可信计算管理系统上,添加设备时填写的用户名 |
|
Certificate |
证书信息 |
|
Data |
证书数据 |
|
Usage |
证书用途,取值包括: · AK · DevID · EK |
|
Version |
证书版本号 |
|
Serial number |
证书序列号 |
|
Signature algorithm |
签名算法 |
|
Issuer |
证书颁发者 |
|
Validity |
证书有效期 |
|
Subject |
证书所属的实体信息 |
|
Subject public key info |
证书所属的实体的公钥信息 |
|
Public key algorithm |
证书主题公钥算法 |
|
X509v3 extensions |
X.509版本3格式的证书扩展属性 |
display tcsm key list命令用来显示TCSM密钥列表。
【命令】
(独立运行模式)
display tcsm key list [ endorsement | storage ] [ loaded ] [ ak | devid ] [ slot slot-number ]
(IRF模式)
display tcsm key list [ endorsement | storage ] [ loaded ] [ ak | devid ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
endorsement:显示背书域的TCSM密钥列表。
storage:显示存储域的TCSM密钥列表。
loaded:显示已加载的TCSM密钥列表。不指定本参数时,同时显示未加载和已加载的TCSM密钥列表。
ak:显示用途为AK的TCSM密钥列表。
devid:显示用途为DevID的TCSM密钥列表。
slot slot-number:显示指定单板上的TCSM密钥列表,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的TCSM密钥列表。(独立运行模式)
chassis chassis-number slot slot-number:显示指定单板上的TCSM密钥列表,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的TCSM密钥列表。(IRF模式)
【使用指导】
仅缺省MDC支持本命令。
不指定[ endorsement | storage ]参数时,显示所有域的TCSM密钥列表。
不指定[ ak | devid ]参数时,显示所有用途的TCSM密钥列表(包括EK密钥和普通密钥)。
【举例】
# 显示所有slot上的TCSM密钥列表。(独立运行模式)
<System> display tcsm key list
Slot 1:
Endorsement hierarchy:
default_rsa_ek: Primary key
default_ecc_ek: Primary key
default-rsa-sk: Primary key
default-ecc-sk: Primary key
rsa-idevid-key: Primary key
ecc-idevid-key: Primary key
default-rsa-ak: Primary key
default-ecc-ak: Primary key
test_ak: Primary key
Storage hierarchy:
test_ak10: Primary key
表1-3 display tcsm key list命令显示信息描述表
|
字段 |
描述 |
|
Endorsement hierarchy |
背书域 |
|
Storage hierarchy |
存储域 |
|
keyname: Primary key |
表示keyname为主密钥 |
|
keyname2: Parent key name keyname1 |
表示keyname2为子密钥,其父密钥为keyname1 |
display tcsm key name命令用来显示TCSM密钥的详细信息。
【命令】
(独立运行模式)
display tcsm key name key-name slot slot-number
(IRF模式)
display tcsm key name key-name chassis chassis-number slot slot-number
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
key-name:已创建的TCSM密钥名称,不区分大小写。
slot slot-number:显示指定单板上的指定TCSM密钥的详细信息,slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定单板上的指定TCSM密钥的详细信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
【使用指导】
通过本命令可以查看指定TCSM密钥的属性以及是否有对应的证书。
仅缺省MDC支持本命令。
【举例】
# 显示指定slot上的密钥default-rsa-ak的详细信息。(独立运行模式)
<System> display tcsm key name default-rsa-ak slot 1
Key name: default-rsa-ak
Certificate name: default-rsa-akcert
Usage: AK
Parent key name: N/A
Hierarchy: endorsement
User name: xcf
Status: Loaded/Enabled
Type: RSA
Name algorithm: SHA256
Key attribute: fixedTPM, fixedParent, restricted, sign
RSA parameters:
Scheme: RSASSA
Digest algorithm: SHA256
KeyBits: 2048
Exponent: 65537
Modulus: b0 5b 80 78 29 1c 2c 18 2c e0 5e 81 e5 d4 dc 94
27 b0 d6 24 ea 55 87 55 5e f1 e0 dc ce c1 64 7a
69 a6 58 11 ef 8d ac 1f 21 d1 b5 cd a8 34 9f a7
67 5a c9 df 57 b0 08 43 49 d3 c3 88 46 a9 31 e6
35 15 bf 43 4e c2 f3 ca c5 24 6b 32 c3 cf 0f 40
f3 ab c7 10 cd 27 f6 7b ac d7 93 c6 b7 36 22 64
c0 fb 5f a0 ed a4 76 ed 53 d0 55 87 fa 0e e3 c0
7a 09 e0 39 49 32 7d 46 89 84 e4 00 67 c0 1e b9
72 7c 10 bb cd f5 5b bc 45 fd 0f ae 3c cb 23 50
e0 14 0f bf 5e b2 09 19 92 23 00 9c 3d fb 13 ad
a5 f7 e3 3b f2 3d 6c 48 63 f2 0e f9 77 10 5a 34
70 f8 27 52 17 83 18 b7 96 a9 70 5f b7 99 48 f7
c0 69 e1 cd 8b 6d 4d d2 34 9d a7 a7 f8 94 33 c3
23 0c ea 3a 40 82 d8 52 53 fc 42 57 c4 3c 1d e6
35 f3 ee bf 19 2d 7d d8 2e 1a e3 aa de 9c a3 99
5c 89 fb b7 90 39 78 28 50 e3 15 10 e1 80 89 57
表1-4 display tcsm key name命令显示信息描述表
|
字段 |
描述 |
|
Key name |
TCSM密钥名称 |
|
Certificate name |
密钥对应的证书名称 N/A表示该密钥没有证书 |
|
Usage |
密钥用途,取值包括: · AK · DevID · EK · General(普通密钥) |
|
Parent key name |
父密钥名称 N/A表示没有父密钥 |
|
Hierarchy |
密钥所在域,取值包括: · storage:存储域 · endorsement:背书域 |
|
User name |
H3C可信计算管理系统上,添加设备时填写的用户名 |
|
Status |
密钥的状态,取值包括: · Loaded:已加载 · Unloaded:未加载 · Enabled:使能 · Disabled:禁用 |
|
Type |
密钥类型 |
|
Name algorithm |
密钥名称摘要算法 |
|
Key attribute |
密钥属性 |
|
RSA parameters |
RSA密钥参数 |
|
RSA parameters |
RSA密钥参数 |
|
Scheme |
密钥的加密或签名模式 NULL表示该密钥未指定加密或签名模式 |
|
Digest algorithm |
密钥在签名时使用的摘要算法 |
|
KeyBits |
RSA密钥的长度,单位为比特 |
|
Exponent |
RSA密钥Exponet值 |
|
Modulus |
RSA密钥公钥值 |
|
ECC parameters |
ECC密钥参数 |
|
Symmetric algorithm |
对称加密算法 |
|
Symmetric bits |
对称密钥长度,单位为比特 |
|
Symmetric mode |
对称加密模式 |
|
CurveID |
ECC密钥的曲线ID |
|
Xpoint |
ECC密钥的公钥(x点值) |
|
Ypoint |
ECC密钥的公钥(y点值) |
display tcsm key-template命令用来显示TCSM密钥模板信息。
【命令】
display tcsm key-template [ { preset | user } template-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
preset:显示系统预置密钥模板的详细信息。
user:显示用户密钥模板的详细信息。用户密钥模板即通过管理端给设备下发的全局密钥模板。
template-name:设备上存在的TCSM密钥模板名称,不区分大小写。
【使用指导】
仅缺省MDC支持本命令。
不指定任何参数时,显示所有TCSM密钥模板的概要信息。
【举例】
# 显示所有TCSM密钥模板的概要信息。
<System> display tcsm key-template
System-defined key template files:
default-rsa-sk: rsa storage key
default-rsa-devid: rsa signature key
default-rsa-ak: rsa attestation key
default-ecc-sk: ecc storage key
default-ecc-devid: ecc signature key
default-ecc-ak: ecc attestation key
User-defined key template files:
Directory: /mnt/flash:/safeinfo/template/
template22: this key template may be used to create aka storage key
# 显示系统预置密钥模板default-rsa-ak的详细信息。
<System> display tcsm key-template preset default-rsa-ak
Version: 1.0.0
Description: rsa attestation key
Type: RSA
Name algorithm: SHA256
Key attribute: fixedTPM, fixedParent, restricted, sign
RSA parameters:
Scheme: RSASSA
Digest algorithm: SHA256
Exponent: 65537
KeyBits: 2048
表1-5 display tcsm key-template命令显示信息描述表
|
字段 |
描述 |
|
System-defined key template files |
系统预置密钥模板文件,以“文件名: 描述信息”的格式显示 文件名的格式为default-alg-type: · alg表示密钥使用的算法,例如ecc(Elliptic Curve Cryptosystem) · type表示密钥类型,例如sk(Storage Key,存储密钥) |
|
User-defined key template files |
用户密钥模板文件 |
|
None |
表示不存在密钥模板文件 |
|
Directory |
密钥模板文件所在目录和文件列表 显示文件列表时,以“文件名: 描述信息”的格式显示 |
|
Version |
密钥模板文件的版本 |
|
Description |
密钥模板文件的描述信息 |
|
Type |
密钥类型 |
|
Name algorithm |
计算密钥名称使用的摘要算法 |
|
Key attribute |
密钥属性,取值包括: · fixedParent、fixedTPM:为密钥的复制属性,根据不同组合有不同含义: ¡ 这两个字段都存在时,表示该密钥被当前的父密钥保护且只能在当前的TPM芯片中,该密钥不能被复制 ¡ 这两个字段都不存在时,表示该密钥以及其子密钥可以被复制 ¡ 仅存在fixedParent字段时,表示该密钥可以随其父密钥一起被复制,但不能直接复制该密钥本身 · decrypt:表示密钥可用于加密和解密。存储密钥必须含有该属性 · sign:表示密钥可用于签名和验证签名。AK密钥和DevID密钥必须含有该属性 · restricted:表示密钥功能受限,例如只能使用TPM芯片生成的数据进行签名。AK密钥和存储密钥必须含有该属性 |
|
RSA parameters |
RSA密钥参数 |
|
Scheme |
密钥的加密或签名模式 |
|
Digest algorithm |
密钥在签名时使用的摘要算法 |
|
Exponent |
RSA密钥的Exponet值 |
|
Key bits |
RSA密钥的长度,单位为比特 |
|
ECC parameters |
ECC密钥参数 |
|
Symmetric algorithm |
用来加密子密钥或其他隐秘信息所使用的对称加密算法 |
|
Symmetric bits |
对称密钥长度,单位为比特 |
|
Symmetric mode |
对称加密模式,取值包括: · CFB:Cipher Feedback mode · CBC:Cipher Block Chaining mode · CTR:Counter mode · OFB:Output Feedback mode · ECB:Electronic Codebook mode |
|
Curve ID |
ECC密钥的曲线ID |
display tcsm pcr命令用来显示可信计算芯片的PCR值。
【命令】
(独立运行模式)
display tcsm pcr [ algorithm algorithm ] [ index index ] [ slot slot-number ]
(IRF模式)
display tcsm pcr [ algorithm algorithm ] [ index index ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
algorithm algorithm:显示指定Hash算法的PCR值。取值为display tcsm trusted-computing-chip命令显示的Active PCR bank字段值,不区分大小写。如果不指定该参数,将显示所有Hash算法的PCR值。
index index:显示指定PCR索引的PCR值,取值范围为0~23。如果不指定该参数,将显示所有PCR索引的PCR值。
slot slot-number:显示指定单板上的PCR值,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的PCR值。(独立运行模式)
chassis chassis-number slot slot-number:显示指定单板上的PCR值,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的PCR值。(IRF模式)
【使用指导】
仅缺省MDC支持本命令。
不指定任何参数时,将显示设备上所有Hash算法和所有PCR索引的PCR值。
【举例】
# 显示指定slot上的PCR值。(独立运行模式)
<Sysname> display tcsm pcr slot 1
PCR information:
SHA1 (index 0): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
SHA1 (index 1): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
SHA1 (index 2): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
...
SHA1 (index 23): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
SHA256 (index 0): a8 c0 ee a2 32 27 73 bb 92 7d f2 b2 95 c0 7c de 8a 0c 9d 9a 11 cf 56 1d 07 68 98 ac ea a0 ff 28
SHA256 (index 1): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
SHA256 (index 2): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
...
SHA256 (index 23): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
# 显示所有slot上索引为0的PCR值。(独立运行模式)
<Sysname> display tcsm pcr index 0
Slot 1:
PCR information:
SHA1 (index 0): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
SHA256 (index 0): a8 c0 ee a2 32 27 73 bb 92 7d f2 b2 95 c0 7c de 8a 0c 9d 9a 11 cf 56 1d 07 68 98 ac ea a0 ff 28
表1-6 display tcsm certificate list命令显示信息描述表
|
字段 |
描述 |
|
algorithm (index pcr-index): value |
algorithm:PCR值对应的Hash算法 pcr-index:PCR值对应的PCR索引 value:PCR值 |
【相关命令】
· display tcsm trusted-computing-chip
display tcsm trusted-computing-chip命令用来显示可信计算芯片信息。
【命令】
(独立运行模式)
display tcsm trusted-computing-chip [ slot slot-number ]
(IRF模式)
display tcsm trusted-computing-chip [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
slot slot-number:显示指定单板上的可信计算芯片信息,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的可信计算芯片信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定单板上的可信计算芯片信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的可信计算芯片信息。(IRF模式)
【使用指导】
仅缺省MDC支持本命令。
仅当设备安装了可信计算芯片时,才能显示芯片信息。
【举例】
# 显示指定slot上的可信计算芯片信息。(独立运行模式)
<Sysname> display tcsm trusted-computing-chip slot 1
Chip information:
Specifications version: Family:2.0 Level:00 Revision:01.16
Firmware version: 7.26
Current mode: TPM2.0
Supported modes: TPM2.0 TCM
Supported algorithms: RSA, SHA1, HMAC, AES, MGF1, KEYEDHASH, XOR,
SHA256, RSASSA, RSAES, RSAPSS, OAEP, ECDSA,
ECDH, ECDAA, ECSCHNORR, KDF1-SP800-56A,
KDF1-SP800-108, ECC, SYMCIPHER, CBC, CFB,
ECB
Available PCR bank: SHA1, SHA256
Owner state: No
Chip configuration:
Chip status: Enabled
Active PCR bank: SHA1, SHA256
Measurement algorithm: SHA256
Endorsement hierarchy: Enabled
Storage hierarchy: Enabled
Clear operation: Disabled
表1-7 display tcsm trusted-computing-chip命令显示信息描述表
|
字段 |
描述 |
|
Chip information |
芯片信息 |
|
Specifications version |
芯片支持的规格版本 |
|
Firmware version |
芯片的固件版本号 |
|
Current mode |
芯片当前的工作模式,取值为TPM2.0或TCM(Trusted Cryptography Module) |
|
Supported modes |
芯片支持的工作模式,包括TPM2.0和TCM |
|
Supported algorithms |
芯片支持的算法 |
|
Available PCR bank |
可用的PCR组 PCR组指使用同一种Hash算法的PCR |
|
Owner state |
是否已建立芯片用户 本字段暂不支持,只能显示为No |
|
Chip configuration |
芯片的配置 |
|
Chip status |
芯片的工作状态,取值包括: · Enabled:芯片已使能 · Disabled:芯片被禁用 |
|
Active PCR bank |
当前激活的PCR组 |
|
Measurement algorithm |
当前配置的度量算法 |
|
Endorsement hierarchy |
背书域的使能状态: · Enabled:表示使能 · Disabled:表示禁用 |
|
Storage hierarchy |
存储域的使能状态: · Enabled:表示使能 · Disabled:表示禁用 |
|
Clear operation |
清除操作的状态: · Enabled:表示可执行清除操作 · Disabled:表示不可执行清除操作 |
key create命令用来创建TCSM密钥。
【命令】
(独立运行模式)
key create name key-name [ authorization authorization-string ] { endorsement | storage | parent-key parent-name [ parent-authorization parent-authorization ] } { preset-template | user-template } template-name [ ak | devid ] slot slot-number
(IRF模式)
key create name key-name [ authorization authorization-string ] { endorsement | storage | parent-key parent-name [ parent-authorization parent-authorization ] } { preset-template | user-template } template-name [ ak | devid ] chassis chassis-number slot slot-number
【视图】
TCSM视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
name key-name:密钥名称,为1~31个字符的字符串,不区分大小写,只能包含字母、数字和特殊字符“_ - @ # % $ + , . ( ) & { } : ; ! = ~ `”。
authorization authorization-string:密钥授权数据,为1~31个字符的字符串,区分大小写,只能包含字母、数字和特殊字符“_ - @ # % $ + , . ( ) & { } : ; ! = ~ `”。如果不指定该参数,表示该密钥的授权数据为空。
endorsement:背书域的主密钥。
storage:存储域的主密钥。
parent-key parent-name:为子密钥指定的父密钥名称,不区分大小写,必须是已创建的密钥名称。
parent-authorization parent-authorization:为子密钥指定的父密钥授权数据,区分大小写。本参数值必须与父密钥配置的授权数据一致。如果父密钥未指定authorization参数,则其子密钥也不能指定parent-authorization参数。
preset-template template-name:用于创建密钥的系统预置密钥模版名称,为1~31个字符的字符串,不区分大小写。
user-template template-name:用于创建密钥的用户密钥模版名称,为1~31个字符的字符串,不区分大小写。
ak:表示密钥用途为AK。
devid:表示密钥用途为DevID。
slot slot-number:在指定单板上创建密钥。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:在指定单板上创建密钥。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
【使用指导】
仅缺省MDC支持本命令。
不指定ak和devid参数时,表示创建的是普通密钥。
一个主密钥下最多可以创建4个层级的子密钥。
创建子密钥时,请确保其父密钥已通过key load命令加载到可信计算芯片。
【举例】
# 在指定slot上使用系统预置密钥模版default-rsa-ak创建背书域的AK主密钥pk1,授权数据为pk1。(独立运行模式)
<Sysname> system-view
[Sysname] tcsm
[System-tcsm] key create name pk1 authorization pk1 endorsement preset-template default-rsa-ak ak slot 1
【相关命令】
· display tcsm key list
· display tcsm key name
· key destroy
· key load
key destroy命令用来删除TCSM密钥。
【命令】
(独立运行模式)
key destroy name key-name slot slot-number
(IRF模式)
key destroy name key-name chassis chassis-number slot slot-number
【视图】
TCSM视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
name key-name:密钥名称,不区分大小写,必须是已创建的密钥名称。
slot slot-number:删除指定单板上的密钥。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:删除指定单板上的密钥。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
【使用指导】
仅缺省MDC支持本命令。
要成功删除TCSM密钥,需要满足如下条件:
· 当前用户是管理员或创建该密钥的用户。
· 该密钥未加载到可信计算芯片,否则需要通过undo key load命令卸载该密钥。
· 该密钥没有子密钥;否则需要先删除其子密钥。
可以通过display tcsm key list命令来查看子密钥。
【举例】
# 删除指定slot上的密钥pKey。(独立运行模式)
<Sysname> system-view
[Sysname] tcsm
[System-tcsm] key destroy name pKey slot 1
【相关命令】
· display tcsm key list
· display tcsm key name
· key create
· key load
key load命令用来将创建的TCSM密钥加载到可信计算芯片。
undo key load命令用来将TCSM密钥从可信计算芯片中卸载。
【命令】
(独立运行模式)
key load name key-name [ parent-authorization { cipher | simple } parent-authorization ] slot slot-number
undo key load name key-name slot slot-number
(IRF模式)
key load name key-name [ parent-authorization { cipher | simple } parent-authorization ] chassis chassis-number slot slot-number
undo key load name key-name chassis chassis-number slot slot-number
【缺省情况】
创建的TCSM密钥未加载到可信计算芯片。
【视图】
TCSM视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
name key-name:密钥名称,不区分大小写,必须是已创建的密钥名称。
parent-authorization:指定父密钥授权数据。不指定本参数时,表示父密钥授权数据为空。加载主密钥时,不支持指定本参数。
cipher:以密文方式输入父密钥的授权数据。
simple:以明文方式输入父密钥的授权数据,该数据将以密文形式存储。
parent-authorization:父密钥授权数据,区分大小写,明文为1~31个字符的字符串,密文为1~73个字符的字符串。
slot slot-number:加载/卸载指定单板上的密钥。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:加载/卸载指定单板上的密钥。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
【使用指导】
仅缺省MDC支持本命令。
要成功加载TCSM密钥,需要满足如下条件:
· 该密钥已通过key create命令创建。
· 如果该密钥有父密钥,需要先加载其父密钥。
卸载TCSM密钥时,如果该密钥有子密钥,需要先卸载其所有的子密钥。
【举例】
# 将指定slot上的密钥default_rsa_ek加载到可信计算芯片。(独立运行模式)
<Sysname> system-view
[Sysname] tcsm
[System-tcsm] key load name default_rsa_ek slot 1
【相关命令】
· display tcsm key list
· display tcsm key name
· key create
organization命令用来配置TCSM证书主题所属的组织名称。
undo organization命令用来恢复缺省情况。
【命令】
organization string
undo organization
【缺省情况】
未配置TCSM证书主题所属的组织名称。
【视图】
TCSM证书主题视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
string:TCSM证书主题所属的组织名称,为1~63个字符的字符串,区分大小写,只能包含字母、数字和特殊字符“_ - @ # % $ + . ( ) & { } : ; ! = ~ `”。
【使用指导】
通过配置本命令,可以区分不同组织的TCSM证书主题。
仅缺省MDC支持本命令。
【举例】
# 配置TCSM证书主题entry1所属的组织名称为abc。
<Sysname> system-view
[Sysname] tcsm
[Sysname-tcsm] certificate subject entry1
[Sysname-tcsm-cert-subject-entry1] organization abc
organization-unit命令用来配置TCSM证书主题所属的组织部门名称。
undo organization-unit命令用来恢复缺省情况。
【命令】
organization-unit string
undo organization-unit
【缺省情况】
未配置TCSM证书主题所属的组织部门名称。
【视图】
TCSM证书主题视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
string:TCSM证书主题所属的组织部门名称,为1~63个字符的字符串,区分大小写,只能包含字母、数字和特殊字符“_ - @ # % $ + . ( ) & { } : ; ! = ~ `”。
【使用指导】
通过配置本命令,可在同一组织内区分不同部门的TCSM证书主题。
仅缺省MDC支持本命令。
【举例】
# 配置TCSM证书主题entry1所属的组织部门名称为rd。
<Sysname> system-view
[Sysname] tcsm
[Sysname-tcsm] certificate subject entry1
[Sysname-tcsm-cert-subject-entry1] organization-unit rd
state命令用来配置TCSM证书主题所属的州或省的名称。
undo state命令用来恢复缺省情况。
【命令】
state string
undo state
【缺省情况】
未配置TCSM证书主题所属的州或省的名称。
【视图】
TCSM证书主题视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
string:TCSM证书主题所属的州或省的名称,为1~63个字符的字符串,区分大小写,只能包含字母、数字和特殊字符“_ - @ # % $ + . ( ) & { } : ; ! = ~ `”。
【使用指导】
通过配置本命令,可以区分不同州或省的TCSM证书主题。
仅缺省MDC支持本命令。
【举例】
# 配置TCSM证书主题entry1所属的州或省的名称为StateA。
<Sysname> system-view
[Sysname] tcsm
[Sysname-tcsm] certificate subject entry1
[Sysname-tcsm-cert-subject-entry1] state StateA
tcsm命令用来进入TCSM视图。
undo tcsm命令用来删除TCSM视图下的所有配置。
【命令】
tcsm
undo tcsm
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
进入TCSM(Trusted Computing Services Management,可信计算服务管理)视图后,可以对TCSM密钥、TCSM证书和可信计算芯片进行管理。
仅缺省MDC支持本命令。
【举例】
# 进入TCSM视图
<Sysname> system-view
[Sysname] tcsm
[System-tcsm]
display pts integrity measurement-log命令用来显示可信度量日志。
【命令】
(独立运行模式)
display pts integrity measurement-log [ bootware | runtime | package ] [ slot slot-number ]
(IRF模式)
display pts integrity measurement-log [ bootware | runtime | package ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
bootware:显示BootWare程序的可信度量日志。
runtime:显示设备运行时的可信度量日志。
package:显示Comware软件包的可信度量日志。
slot slot-number:显示指定单板上的可信度量日志,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的可信度量日志。(独立运行模式)
chassis chassis-number slot slot-number:显示指定单板上的可信度量日志,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的可信度量日志。(IRF模式)
【使用指导】
仅缺省MDC支持本命令。
仅当设备支持可信计算芯片,并且开启了PTS服务时,才能显示可信度量日志。
如果不指定[ bootware | runtime | package ]参数,则显示所有类型的可信度量日志。
【举例】
# 显示指定slot上的可信度量日志。(独立运行模式)
<Sysname> display pts integrity measurement-log slot 1
BootWare:
Total IMLs: 9
Object file: !/Bootware/Basic/Version
RM file: BOOTWARE_BASIC_2F00.rm
Measurement time (seconds.nanoseconds): 12.32000000
PCR index: 0
Template hash algorithm: SHA256
Template hash value: 927908c6a5e93d221afa93d7f936631166addcabf48f7b0719bcefde2b691695
File hash algorithm: SHA256
File hash value: 1e80e1e3912c9d30fb9db697be3f2fe5128fccc97672412556868cef723f8813
Object file: !/Bootware/Basic/Code
RM file: BOOTWARE_BASIC_2F00.rm
Measurement time (seconds.nanoseconds): 12.42000000
PCR index: 0
Template hash algorithm: SHA256
Template hash value: 06c89f99da10c12864ab23ecd0a8760a5a87092d969ed7ebfab8b81b3eb0db4f
File hash algorithm: SHA256
File hash value: 847d6e8b9ce157d7a3569b1bbd473ecdb4c52b6dcf5926d2fa94282c107c9fac
...
表2-1 display pts integrity measurement-log命令显示信息描述表
|
字段 |
描述 |
|
BootWare |
BootWare程序的可信度量日志 |
|
Runtime |
设备运行时的可信度量日志 |
|
Package |
Comware软件包的可信度量日志 |
|
Total IMLs |
IML(Integrity Measurement Log,可信度量日志)的总数 |
|
Object file |
被度量的目标文件 |
|
RM file |
度量参考值文件名 |
|
Measurement time (seconds.nanoseconds) |
度量时间,格式为:秒.纳秒 |
|
PCR index |
PCR的索引,取值为0、4、8、10、12 |
|
Template hash algorithm |
模板Hash算法 |
|
Template hash value |
模板Hash值,通过文件Hash值、日志度量时间、Hash算法等参数计算出来 |
|
File hash algorithm |
文件Hash算法 |
|
File hash value |
文件Hash值 |
【相关命令】
· pts
display pts integrity selfverify命令用来显示可信自检信息。
【命令】
(独立运行模式)
display pts integrity selfverify [ slot slot-number ]
(IRF模式)
display pts integrity selfverify [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
slot slot-number:显示指定单板上的可信自检信息,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的可信自检信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定单板上的可信自检信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的可信自检信息。(IRF模式)
【使用指导】
仅缺省MDC支持本命令。
仅当设备支持可信计算芯片,并且进行过可信自检时,才能显示可信自检信息。
当配置了周期可信自检时,只显示最后一次可信自检信息。
【举例】
# 显示可信自检信息。(独立运行模式)
<Sysname> display pts integrity selfverify
Slot 1:
Latest self-verification: 2019-07-01 10:55:16
Integrity self-verification passed.
表2-2 display pts integrity selfverify命令显示信息描述表
|
字段 |
描述 |
|
Latest self-verification |
上一次进行自检的时间 “-”表示没有执行过自检 |
|
Self-verification is not scheduled. |
未执行过自检 |
|
Integrity self-verification passed. |
可信自检通过 |
|
Integrity self-verification is in progress. |
可信自检正在执行 |
|
Integrity self-verification failed. |
可信自检未通过 |
|
xxx failed the self-verification. |
目标文件自检未通过 |
|
Object file hash value in IML is different from that in RM file. |
可信度量日志中目标文件的Hash值与度量参考值不匹配 |
|
Object file hash value in RM file |
度量参考值 |
|
Object file hash value in IML |
可信度量日志中目标文件的Hash值 |
|
Calculated template hash value is different from that in IML |
计算的模板Hash值与可信度量日志中的模板Hash值不同 |
|
Template hash value in IML |
可信度量日志中的模板Hash值 |
|
Calculated template hash value |
使用可信度量日志中数据计算的模板Hash值 |
|
Hash value calculated by using BootWare IML is different from that in PCR |
使用BootWare可信度量日志计算出来的Hash值与保存在PCR中的Hash值不同 |
|
Hash value calculated by using runtime IML is different from that in PCR |
使用Runtime可信度量日志计算出来的Hash值与保存在PCR中的Hash值不同 |
|
Hash value calculated by using package IML is different from that in PCR |
使用Package可信度量日志计算出来的Hash值与保存在PCR中的Hash值不同 |
|
PCR index |
PCR的索引 |
|
TPM PCR |
TPM芯片PCR中保存的Hash值 |
|
Calculated PCR |
PTS进程计算出来的Hash值 |
【相关命令】
· integrity periodic-selfverify enable
· integrity selfverify
integrity periodic-selfverify enable命令用来开启周期可信自检功能。
undo integrity periodic-selfverify enable命令用来关闭周期可信自检功能。
【命令】
integrity periodic-selfverify enable
undo integrity periodic-selfverify enable
【缺省情况】
周期可信自检功能处于关闭状态。
【视图】
PTS视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
仅缺省MDC支持本命令。
仅当设备支持可信计算芯片时,才支持可信自检。
开启周期可信自检功能后,系统会立即执行一次可信自检,然后按自检周期自动执行可信自检。自检周期可通过integrity periodic-selfverify interval命令配置。
【举例】
# 开启周期可信自检功能。
<Sysname> system-view
[Sysname] pts
[Sysname-pts] integrity periodic-selfverify enable
【相关命令】
· integrity periodic-selfverify interval
integrity periodic-selfverify interval命令用来配置可信自检周期。
undo integrity periodic-selfverify interval命令用来恢复缺省情况。
【命令】
integrity periodic-selfverify interval interval
undo integrity periodic-selfverify interval
【缺省情况】
可信自检周期为7天。
【视图】
PTS视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interval:自检周期,取值范围为1~30,单位为天。
【使用指导】
仅缺省MDC支持本命令。
自检周期从执行integrity periodic-selfverify enable命令时开始计时。如果配置的自检周期小于等于已计时的天数,则立即执行一次可信自检。
【举例】
# 配置可信自检周期为15天。
<Sysname> system-view
[Sysname] pts
[Sysname-pts] integrity periodic-selfverify interval 15
【相关命令】
· integrity periodic-selfverify enable
integrity report attestation-key命令用来配置可信报告使用的AK密钥。
undo integrity report attestation-key命令用来恢复缺省情况。
【命令】
(独立运行模式)
integrity report attestation-key key-name [ authorization { cipher | simple } authorization-string ] slot slot-number
(IRF模式)
integrity report attestation-key key-name [ authorization { cipher | simple } authorization-string ] chassis chassis-number slot slot-number
【缺省情况】
未配置可信报告使用的AK密钥。
【视图】
PTS视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
key-name:AK密钥名称。为1~31个字符的字符串,不区分大小写。
authorization:指定密钥授权数据。如果不指定该参数,表示授权数据为空。
cipher:以密文方式输入密钥授权数据。
simple:以明文方式输入密钥授权数据,该数据将以密文形式存储。
authorization-string:密钥授权数据,区分大小写。明文方式为1~31个字符的字符串,密文方式为1~73个字符的字符串。
slot slot-number:指定单板。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:指定成员设备上的指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
【使用指导】
仅缺省MDC支持本命令。
本命令使用的密钥授权数据需要和key create命令中的密钥授权数据一致。
配置可信报告使用的AK密钥时,需要满足如下条件:
· 该密钥已创建,且密钥用途为AK(相关配置命令为key create)
· 该密钥已加载到可信计算芯片(相关配置命令为key load)
· 该密钥有对应的证书(相关显示命令为display tcsm key name)
【举例】
# 配置指定slot上可信报告使用的密钥名称为h3c.dat,授权数据为明文123456。(独立运行模式)
<Sysname> system-view
[Sysname] pts
[Sysname-pts] integrity report attestation-key h3c.dat authorization simple 123456 slot 1
【相关命令】
· display tcsm key name(安全命令参考/可信计算基础)
· key create(安全命令参考/可信计算基础)
· key load(安全命令参考/可信计算基础)
integrity selfverify命令用来执行一次可信自检。
【命令】
(独立运行模式)
integrity selfverify [ slot slot-number ]
(IRF模式)
integrity selfverify [ chassis chassis-number slot slot-number ]
【视图】
PTS视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
slot slot-number:对指定单板进行可信自检。slot-number表示单板所在的槽位号。如果不指定该参数,将对所有单板进行可信自检。(独立运行模式)
chassis chassis-number slot slot-number:对指定单板进行可信自检。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,将对所有单板进行可信自检。(IRF模式)
【使用指导】
仅缺省MDC支持本命令。
仅当设备支持可信计算芯片时,才支持可信自检。
【举例】
# 执行一次可信自检。
<Sysname> system-view
[Sysname] pts
[Sysname-pts] integrity selfverify
pts命令用来开启PTS服务,并进入PTS视图。
undo pts命令用来关闭PTS服务并删除PTS视图下的配置。
【命令】
pts
undo pts
【缺省情况】
PTS服务处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启PTS(Platform Trust Services,平台可信服务)后,可以为管理端提供可信度量日志和度量参考值。
仅缺省MDC支持本命令。
【举例】
# 开启PTS服务,并进入PTS视图。
<Sysname> system
[Sysname] pts
[Sysname-pts]
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
