H3C網(wǎng)絡安全PKI配置指導手冊2020PAGE\*romanPAGE\*romanii目錄1PKI 1-1PKI簡介 1-11.1.1概述 1-1相關術語 1-1體系結構 1-2PKI實體申請證書的工作過程 1-3主要應用 1-3證書申請支持MPLSL3VPN 1-4PKI配置任務簡介 1-4配置PKI實體 1-5配置PKI域 1-6申請證書 1-9自動申請證書 1-9手工申請證書 1-10停止證書申請過程 1-11手工獲取證書 1-11配置證書驗證 1-12配置使能CRL檢查的證書驗證 1-13配置不使能CRL檢查的證書驗證 1-14配置證書和CRL的存儲路徑 1-141.10導出證書 1-151.11刪除證書 1-15配置證書訪問控制策略 1-16PKI顯示和維護 1-17PKI典型配置舉例 1-17PKI實體向CA申請證書（采用RSAKeonCA服務器） 1-17PKI實體向CA申請證書（采用Windows2003serverCA服務器） 1-20PKI實體向CA申請證書（采用OpenCA服務器） 1-24NAT-PT組網(wǎng)中PKI實體向CA申請證書（采用RSAKeonCA服務器） 1-27使用RSA數(shù)字簽名方法進行IKE協(xié)商認證（采用Windows2003serverCA服務器） 1-30證書屬性的訪問控制策略應用舉例 1-33導出、導入證書應用舉例 1-35常見配置錯誤舉例 1-40獲取CA證書失敗 1-40獲取本地證書失敗 1-41本地證書申請失敗 1-41CRL獲取失敗 1-42導入CA證書失敗 1-43導入本地證書失敗 1-43導出證書失敗 1-44設置存儲路徑失敗 1-441-1-PAGE101PKIFIPSFIPSIS模式的詳細介紹請參見“安全配置指導”中的“Ilicense將設備從低加密版本升級為高加密版本，也可以通過卸載相l(xiāng)icense將升級為高加密版本的設備恢復為低加密版本。PKI簡介概述PKI（PublicKeyInfrastructure，公鑰基礎設施）是一個利用公鑰理論和技術來實現(xiàn)并提供信息安全服務的具有通用性的安全基礎設施。（公鑰（私鑰可以應用于安全協(xié)議，實現(xiàn)數(shù)據(jù)源認證、完整性和不可抵賴性。PKIPKI（例如電子政務和電子商務提供各種安全服務。PKI安全SocketsLayer，安全套接字層）提供證書管理機制。相關術語數(shù)字證書CAITU-TX.509X.509V3標準。數(shù)字證書中包含多（或者稱為主題CA對證書的數(shù)字簽名、證書的有效期等。本手冊中涉及四類證書：CA證書、RA（RegistrationAuthority，證書注冊機構）證書、本地證書和對端證書。CACAPKICACA層次結構，最上AA（AA證書CACA每一條路徑稱為一個證書鏈。RARACARACACARAPKI系統(tǒng)中是可選的。CA簽發(fā)。CA簽發(fā)。CRL（CertificateRevocationList，證書吊銷列表）PKICRLCRL中會列出所有被吊銷的證書的序列號。因此，CRL提供了一種檢驗證書有效性的方式。CA策略CA策略是指CA在受理證書請求、頒發(fā)證書、吊銷證書和發(fā)布CRL時所采用的一套標準。通常，CA以一種叫做CPS（CertificationPracticeStatement，證書慣例聲明）的文檔發(fā)布其策略。CA策略可以通過帶外（如電話、磁盤、電子郵件等）或其它方式獲取。由于不同的CA使用不同的策略，所以在選擇信任的CA進行證書申請之前，必須理解CA策略。體系結構一個PKI體系由終端PKI實體、CA、RA和證書/CRL發(fā)布點四類實體共同組成，如下圖1-1。圖1-1PKI體系結構圖終端PKI實體PKIPKI（或計算機PKI實體。CA（CertificateAuthority，證書頒發(fā)機構）CA是一個用于簽發(fā)并管理數(shù)字證書的可信PKI實體。其作用包括：簽發(fā)證書、規(guī)定證書的有效期和發(fā)布CRL。RA（RegistrationAuthority，證書注冊機構）RACAPKICACAPKICACACA的私鑰。證書/CRL發(fā)布點證書/CRLCRL進行存儲和管理，并提供查詢功能。通常，證書/CRL發(fā)LDAP（LightweightDirectoryAccessProtocol，輕量級目錄訪問協(xié)議）協(xié)議、HTTPLDAP協(xié)議，它提供了一種訪問發(fā)布點的方式。LDAPCA/RACRL進行存儲，并LDAPCRL。PKI實體申請證書的工作過程下面是一個PKI實體向CA申請本地證書的典型工作過程，其中由RA來完成PKI實體的注冊：PKIRA提出證書申請；RAPKIPKICA；CAPKI實體的申請，并頒發(fā)證書；RACALDAP（或其它形式的發(fā)布點上以提供目錄瀏PKI實體證書發(fā)布成功；PKISCEP（SimpleCertificateEnrollmentProtocol，簡單證書注冊協(xié)議）RA處PKI實體使用加密、數(shù)字簽名進行安全通信。主要應用PKIPKI下面給出幾個應用實例。VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡）VPN（PKI上的加密與數(shù)字簽名技術來獲得完整性保護。安全電子郵件S/MIME（Secure/MultipurposeInternetMailExtensions，安全/Internet郵件擴充協(xié)議)，PKI技術。Web安全WebSSLPKI證。證書申請支持MPLSL3VPNVPNVPN之間的業(yè)務相互隔離。如果各分支機構的用戶要通過位于總部VPNPKI證書申請支持MPLSL3VPN。如1-2PKIentity的PEMPLSL3VPN將私網(wǎng)客戶端PKIentity的證書申請報文透傳給網(wǎng)絡另一端的CAserver，CAserverPE設備將CAserver簽發(fā)的證書也通過MPLSL3VPN透傳回PKIentity，滿足了私網(wǎng)VPN業(yè)務隔離情況下的證書申請。MPLSVPN的相關介紹請參見“SMPLSVP圖1-2MPLSL3VPNPKI配置任務簡介表1-1PKI配置任務簡介配置任務說明詳細配置配置PKI實體必選1.3配置PKI域必選1.4申請證書自動申請證書二者必選其一1.5.1手工申請證書1.5.2停止證書申請過程可選1.6手工獲取證書可選1.7配置證書驗證可選1.8配置證書和CRL的存儲路徑可選1.9導出證書可選1.10刪除證書可選1.11配置證書屬性的訪問控制策略可選1.12配置PKI實體一份證書是一個公鑰與一個實體身份信息的綁定。PKI實體的參數(shù)是PKI實體的身份信息，CA根據(jù)PKI實體提供的身份信息來唯一標識證書申請者。一個有效的PKI實體參數(shù)中必須至少包括以下參數(shù)之一：DN（DistinguishedName，識別名），包含以下參數(shù)：DN參數(shù)，實體的通用名必須配置。CNUS”是美國的合法國家代碼實體所在地理區(qū)域名稱實體所屬組織名稱實體所屬組織部門名稱實體所屬州省FQDN（FullyQualifiedDomainName，完全合格域名），PKI實體在網(wǎng)絡中的唯一標識IP地址配置PKI實體時，需要注意的是：PKICACAPKIPKICA證書頒發(fā)策略，否則證書申請可能會失敗。Windows2000CASCEP插件對證書申請的數(shù)據(jù)長度有一定的限制。PKI實體配置PKI2000CACA服務器（RSA服務器和OpenCA服務器）目前沒有這種限制。表1-2PKI實體操作命令說明進入系統(tǒng)視圖system-view-創(chuàng)建一個PKI實體，并進入該PKI實體視圖pkientityentity-name缺省情況下，無PKI實體存在設備支持創(chuàng)建多個PKI實體配置PKI實體的通用名common-namecommon-name-sting缺省情況下，未配置PKI實體的通用名配置PKI實體所屬國家代碼countrycountry-code-string缺省情況下，未配置PKI實體所屬國家代碼配置PKI實體所在地理區(qū)域名稱localitylocality-name缺省情況下，未配置PKI實體所在地理區(qū)域名稱配置PKI實體所屬組織名稱organizationorg-name缺省情況下，未配置PKI實體所屬組織名稱配置PKI實體所屬組織部門名稱organization-unitorg-unit-name缺省情況下，未配置PKI實體所屬組織部門名稱配置PKI實體所屬州或省的名稱statestate-name缺省情況下，未配置PKI實體所屬州或省的名稱操作命令說明配置PKI實體的FQDNfqdnfqdn-name-string缺省情況下，未配置PKI實體的FQDN配置PKI實體的IP地址ip{ip-address|interfaceinterface-typeinterface-number}缺省情況下，未配置PKI實體的IP地址配置PKI域PKIPKIPKI域。PKI域是一個本地概念，創(chuàng)建PKI域的目的是便于其它應用（比如IKE、SSL）引用PKI的配置。PKI域中包括以下參數(shù)：CA名稱PKICAPKICACACACASCEPCA服務器。一般情況下，CACACAURL是PKICACACA證書時使用，申請本地證書時不會用到。PKI實體名稱向CA發(fā)送證書申請請求時，必須指定所使用的PKI實體名，以向CA表明自己的身份。證書申請的注冊受理機構證書申請的受理一般由一個獨立的注冊機構（即RA）PKICARA，但這并PKICARA冊受理機構。URL證書申請之前必須指定注冊受理機構服務器的URL，PKI實體通過SCEP（SimpleCertificateEnrollmentURLSCEP是專門用于與認證機構進行通信的協(xié)議。證書申請狀態(tài)的查詢周期和最大次數(shù)PKICA查詢周期和最大次數(shù)。LDAP服務器主機名PKILDAPCRLLDAP服務器的位置。CA根證書時使用的指紋CA根證書的指紋，即根證書內(nèi)容的散列值，該值對于每一個證書都是唯一的。PKI域中可以指定驗證CA根證書時使用的指紋，缺省情況下未指定該指紋。當設備從CA獲得根證書時，可能需要驗證CA根證書的指紋，具體包括以下兩種情況：CACACA證書鏈中包含了設備上沒有的CACA根證書的指紋。如果PKICAPKICACACAPKIIKE協(xié)商等應用觸發(fā)設備進行本地證書申請時，如果配置的證書申請方式為自動方式，且CACACACA證書鏈中包CACAPKI域中指定了驗證根證CAPKICAPKI域中未指定驗證根證書的指紋，則本地證書申請的操作會失敗。證書申請使用的密鑰對CAPKI域中可以引用三種算法的DSAECDSARSADSAECDSARSA密鑰對法和密鑰模數(shù)長度生成相應的密鑰對。證書的擴展用途設備支持的證書擴展用途包括以下幾種：IKE使用SSL客戶端使用SSL服務器端使用CAPKI域中指定的配置不完全一致。應用程序（IKE，SSL）使用這些用途，由應用程序的策略決定。PKIIP地址PKIPKIIPCA服務器上的策略要求僅接受來自指定地址或網(wǎng)段的證書申請時，則需要通過配置指定該地址。表1-3PKI域配置任務命令說明進入系統(tǒng)視圖system-view-創(chuàng)建一個PKI域，并進入PKI域視圖pkidomaindomain-name缺省情況下，不存在PKI域配置設備信任的CA名稱caidentifiername域中沒有CA取CACA須配置信任的CA名稱缺省情況下，未配置信任的CA名稱配置任務命令說明指定用于申請證書的PKI實體名稱certificaterequestentityentity-name缺省情況下，未指定用于申請證書的PKI實體名稱配置證書申請的注冊受理機構certificaterequestfrom{ca|ra}缺省情況下，未指定證書申請的注冊受理機構配置注冊受理機構服務器的URLcertificaterequesturlurl-string[vpn-instancevpn-instance-name]缺省情況下，未指定注冊受理機構服務器的URL（可選）配置證書申請狀態(tài)查詢的周期和最大次數(shù)certificaterequestpolling{countcount|intervalminutes}缺省情況下，證書申請查詢間隔為20分鐘，最多查詢50次需要通過LDAP協(xié)議獲取證書時，指定LDAP服務器ldap-serverhosthostname[portport-number][vpn-instancevpn-instance-name]此配置必選；需要通過LDAP協(xié)議獲取CRL時，如果CRL的URL中未包含發(fā)布點地址信息，則此配置必選缺省情況下，未指定LDAP服務器配置驗證CA根證書時使用的指紋非FIPS模式下：root-certificatefingerprint{md5|sha1}stringFIPS模式下：當證書申請方式為自動方式時，此配置必選；當證書申請方式為手工方式時，此配置可選，若不配置，需要用戶自行驗證根證書指紋root-certificatefingerprintsha1string缺省情況下，未指定驗證根證書時使用的指紋（三者選其一定證書申請時使用的密鑰對指定RSA密鑰對public-keyrsa{{encryptionnameencryption-key-name[lengthkey-length]|signaturenamesignature-key-name[lengthkey-length]}*|generalnamekey-name[lengthkey-length]}缺省情況下，未指定所使用的密鑰對指定ECDSA密鑰對public-keyecdsanamekey-name指定DSA密鑰對public-keydsanamekey-name[lengthkey-length]（可選）指定證書的擴展用途usage{ike|ssl-client|ssl-server}*缺省情況下，證書可用于所有用途（二者可選其一指定PKI協(xié)議報文使用的源IP地址sourceip{ip-address|interface{interface-typeinterface-number}缺省情況下，PKI操作產(chǎn)生的協(xié)議報文的源IP地址為系統(tǒng)根據(jù)路由查找到的出接口的地址sourceipv6{ipv6-address|interface{interface-typeinterface-number}}申請證書PKICA自我介紹的過程。PKICA提供身份信息，以及相應的PKI實體證書的主要組成部分。PKICA離線和在線兩種方式。離線申請方式下，CA允許申請方通過帶外方式（如電話、磁盤、電子郵件等）CA請信息。SCEPCA請兩種方式。下文將詳細介紹這兩種方式的具體配置。自動申請證書CACA請。這種情況下，可能會由于證書過期造成應用協(xié)議的業(yè)務中斷。PKIPKI實體無本地證書（例如，IE協(xié)商采用數(shù)字簽名方法進行身份認證，但在協(xié)商過程中沒有發(fā)現(xiàn)本地證書，則PKISCEPCA發(fā)起證書申請，并在申請成功后將本地證書獲取到本地保存。PKICACA證書。在申請過程中，PKIPKI域中指定的名字、算法和長度生成相應的密鑰對。需要注意的是，本地證書已存在的情況下，為保證密鑰對與現(xiàn)存證書的一致性，不建議執(zhí)行命令public-keylocalcreatepublic-keylocaldestroy創(chuàng)建或刪除與現(xiàn)存證書使用的密鑰對相同名public-keylocalcreatepublic-keylocaldestroy刪除表1-4自動申請證書操作命令說明進入系統(tǒng)視圖system-view-進入PKI域視圖pkidomaindomain-name-缺省情況下，證書申請為手工方式配置證書申請為自動方式certificaterequestmodeauto[password{cipher|simple}password]指定吊銷證書時使用的口令令是由CA服務器的策略決定的手工申請證書申請證書之前必須保證設備的系統(tǒng)時鐘與CA的時鐘同步，否則設備可能會錯誤地認為證書不在有效期內(nèi)，導致申請證書失敗。調(diào)整系統(tǒng)時鐘的方法請參見“基礎配置指導”中的“設備管理”。配置證書申請方式為手工方式后，需要手工執(zhí)行申請本地證書的操作。手工申請成功后，設備將把申請到的本地證書自動獲取到本地保存。配置限制和指導PKIDSAECDSARSADSAECDSAPKIRSA算法時，一個PKIRSARSA算法本地證書。PKI域中已存在一個本地證書，為保證密鑰對與現(xiàn)存證書的一致性，不建議執(zhí)行命public-keylocalcreatepublic-keylocaldestroy創(chuàng)建或刪除與現(xiàn)存證書使用的密鑰對相同名稱的密鑰對，否則會導致現(xiàn)存證書不可用。若要重新申請本地證書，必須首先刪除public-keylocalcreatepublic-keylocaldestroy刪除舊的密鑰對。有關該命令的詳細介紹，請參見“安全命令參考”中的“公鑰管理”。PKI域中已存在一個本地證書，則不允許再手工執(zhí)行在線證書申請操作申請一個與其互斥的證書，以避免因相關配置的修改使得證書與注冊信息不匹配。若想重新申請，請先pkidelete-certificatepkirequest-certificatedomain命令。SCEPCApkirequest-certificatedomainpkcs10打印出證書申請信息到終端上，或者通過執(zhí)行指定pkirequest-certificatedomainpkcs10filename將證書申請信息保存到指定的文件中，然后再通過帶外方式將這些本地證書申請信息發(fā)送給CA進行證書申請。配置準備PKICA證書且指定了證書申請時使用的密鑰對。PKICAPKI域中沒有CA證書，則需要手工獲取CA證書。PKIPKICA進行簽名，從而產(chǎn)生本地證書。配置步驟表1-5手工申請證書操作命令說明進入系統(tǒng)視圖system-view-操作命令說明進入PKI域視圖pkidomaindomain-name-配置證書申請為手工方式certificaterequestmodemanual缺省情況下，證書申請為手工方式退回系統(tǒng)視圖quit-手工獲取CA證書請參見1.7-此命令不會被保存在配置文件中手工申請本地證書或生成PKCS#10證書申請pkirequest-certificatedomaindomain-name[passwordpassword][pkcs10[filenamefilename]]執(zhí)行本命令時，如果本地不存在PKI長度自動生成對應的密鑰對停止證書申請過程FQDNpkicertificaterequest-status命令查詢正在進行中的證書申請過程。另外，刪除PKI域也可以停止對應的證書申請過程。表1-6停止證書申請過程操作命令說明進入系統(tǒng)視圖system-view-停止證書申請過程pkiabort-certificate-requestdomaindomain-name此命令不會被保存在配置文件中手工獲取證書CAPKIPKIPKI證書發(fā)布點查詢的次數(shù)。CAPKI證書有兩種方式：離線導入方式和在線方式。離線導入方式：通過帶外方式（FTP、磁盤、電子郵件等）取得證書，然后將其導入至本CA服務器不支持通過SCEPCA服務器生成，則可采用此方式獲取證書。SCEPCA證書和通過LDAP協(xié)議獲取本地或對端證書。配置限制和指導CACApkidelete-certificateCACA證書的命令。如果PKIRSAPKI簽名用途的證書和一個加密用途的證書，不同用途的證書不會相互覆蓋。CRLCRLCRL檢查時發(fā)現(xiàn)待獲取的證書已經(jīng)吊銷，則獲取證書失敗。因此請確保設備系統(tǒng)時間的準確性。配置準備獲取本地證書或對端證書之前必須完成以下操作：LDAPPKILDAP服務器的配置。FTPTFTPFTPTFTPPEM（PrivacyEnhancedMail，增強保密郵件）格式的，因PEM格式的證書內(nèi)容為可打印字符。CACAPKICACA證書鏈。導入對端證書時，需要滿足的條件與導入本地證書相同。CA員取得該口令。配置步驟表1-7手工獲取證書操作命令說明進入系統(tǒng)視圖system-view-手工獲取證書離線導入方式pkiimportdomaindomain-name{der{ca|local|peer}filenamefilename|p12localfilenamefilename|pem{ca|local|peer}[filenamefilename]}pkiretrieve-certificate命令不會被保存在配置文件中在線方式pkiretrieve-certificatedomaindomain-name{ca|local|peerentity-name}配置證書驗證CACAPKI功能有任何前述操作的情況下單獨執(zhí)行證書的驗證，可以手工執(zhí)行證書驗證。CRL檢查。CRLPKI實體的證書是否被CAPKIPKI實體信任。CRLCRLCRL。PKICRL發(fā)布URLCA證書中記錄的發(fā)布點（若待驗證的證書為CACA證書中記錄的發(fā)布點SCEPCRLSCEPCRLCA證書和本地證書之后CACRL檢查的情況PKICRL、CRLCRL檢查時發(fā)現(xiàn)待獲取的證書已經(jīng)吊銷，則手動申請證書、獲取證書的操作將會失敗。CRLCRL。PKICACACA證CACAPKI域。驗證某CACA證書的簽發(fā)者名（IssuerName）CA證書，CA證書所屬的（一個或多個）PKIPKIPKI域中使能CRLPKICA證書進行吊銷檢查，否則不檢查待驗證的CACACA除外CACA證書鏈的簽發(fā)關系。配置使能CRL檢查的證書驗證表1-8CRL檢查的證書驗證操作命令說明進入系統(tǒng)視圖system-view-進入PKI域視圖pkidomaindomain-name-（可選）配置CRL發(fā)布點的URLcrlurlurl-string[vpn-instancevpn-instance-name]缺省情況下，未指定CRL發(fā)布點的URL使能CRL檢查crlcheckenable缺省情況下，CRL檢查處于開啟狀態(tài)退回系統(tǒng)視圖quit-獲取CA證書請參見1.7在進行本地證書驗證操作之前必須首先獲取CA證書驗證非根CA證書和本地證書時，如果PKI域中沒有CRL，系統(tǒng)會自動獲取CRL再進行驗證；如果PKI域已經(jīng)存在（可選）獲取CRL并下載至本地pkiretrieve-crldomaindomain-nameCRL，則可以繼續(xù)獲取CRL，獲取到的新CRL會覆蓋已有CRL獲取到的CRL不一定是本域CA簽發(fā)的，但肯定是本域CA證書鏈上的一個CA證書簽發(fā)的驗證證書的有效性驗證證書的有效性pkivalidate-certificatedomaindomain-name{ca|local} -操作 命令 說明配置不使能CRL檢查的證書驗證表1-9CRL檢查的證書驗證操作命令說明進入系統(tǒng)視圖system-view-進入PKI域視圖pkidomaindomain-name-禁止CRL檢查undocrlcheckenable缺省情況下，CRL檢查處于開啟狀態(tài)退回系統(tǒng)視圖quit-獲取CA證書請參見1.7在進行本地證書驗證操作之前必須首先獲取CA證書驗證證書的有效性pkivalidate-certificatedomaindomain-name{ca|local}此命令不會被保存在配置文件中配置證書和CRL的存儲路徑CRLCRL保存配置。獲取到本地的證書和CRL有默認存儲路徑，但同時也允許用戶根據(jù)自己的需要修改證書文件和CRL文件的存儲路徑。證書和CRL的存儲路徑可以指定為不同的路徑。CRL（以.cer和.p12為后綴的文件CRL文件（以.crl為后綴的文件）將被移動到新路徑下保存。表1-10CRL的存儲路徑操作命令說明進入系統(tǒng)視圖system-view-缺省情況下，證書和CRL的存儲路徑為配置證書和CRL的存儲路徑pkistorage{certificates|crls}dir-path設備存儲介質(zhì)上的PKI目錄對于分布式設備，dir-path只能是當前主控板上的路徑，不能是其它主控板上的路徑導出證書以PKCS12格式導出所有證書時，PKI域中必須有本地證書，否則會導出失敗。PKI域中已存在的CA證書、本地證書可以導出到文件中保存或導出到終端上顯示，導出的證書可以用于證書備份或供其它設備使用。PEM書才支持。RSA證書時，設備上實際保存證書的證書文件名稱并不一定是用戶指定的名稱，它與本地證書的密鑰對用途相關，具體的命名規(guī)則請參見命令手冊。表1-11導出證書操作命令說明進入系統(tǒng)視圖system-view-導出DER格式的證書pkiexportdomaindomain-nameder{all|ca|local}filenamefilename根據(jù)需要選擇其中一個或多個導出PKCS12格式的證書pkiexportdomaindomain-namep12{all|local}passphrasep12passwordstringfilenamefilename導出PEM格式的證書低加密版本中：pkiexportdomaindomain-namepem{{all|local}[des-cbcpempasswordstring]|ca}[filenamefilename]高加密版本中：pkiexportdomaindomain-namepem{{all|local}[{3des-cbc|aes-128-cbc|aes-192-cbc|aes-256-cbc|des-cbc}pempasswordstring]|ca}[filenamefilename]刪除證書刪除CA證書時將同時刪除所在PKI域中的本地證書、所有對端證書以及CRL。CACA過此配置刪除已經(jīng)存在的本地證書、CA證書或對端證書。public-keylocaldestroypublic-keylocalcreate表1-12配置刪除證書操作命令說明進入系統(tǒng)視圖system-view-配置刪除證書pkidelete-certificatedomaindomain-name{ca|local|peer[serialserial-num]}如果沒有指定序列號，則刪除所有對端證書配置證書訪問控制策略HTTPS（HypertextTransferProtocolSecure，超文本傳輸協(xié)議的安全版本）應用中，HTTPS服務器可以通過引用證書訪問控制策略，根據(jù)自身的安全需要對客戶端的證書合法性進行檢測。一個證書訪問控制策略中可以定義多個證書屬性的訪問控制規(guī)則（rule命令配置問控制規(guī)則都與一個證書屬性組關聯(lián)。一個證書屬性組是一系列屬性規(guī)則（attribute命令配置）的集合，這些屬性規(guī)則是對證書的頒發(fā)者名、主題名以及備用主題名進行過濾的匹配條件。如果一個證書中的相應屬性能夠滿足一條訪問控制規(guī)則所關聯(lián)的證書屬性組中所有屬性規(guī)則的要規(guī)則的匹配結果決定了證書的有效性，具體如下：permit測且有效。deny且無效。測而被認為無效。置任何屬性，則認為被檢測的證書都能夠與此規(guī)則匹配。（HTTPS）效。表1-13配置證書訪問控制策略操作命令說明進入系統(tǒng)視圖system-view-創(chuàng)建證書屬性組，并進入證書屬性組視圖pkicertificateattribute-groupgroup-name缺省情況下，不存在證書屬性組（可選）證書主題名及備用主題名的屬性規(guī)則attributeid{alt-subject-name{fqdn|ip}|{issuer-name|subject-name}{dn|fqdn|ip}}{ctn|equ|nctn|nequ}attribute-value缺省情況下，對證書頒發(fā)者名、證書主題名及備用主題名沒有限制退回系統(tǒng)視圖quit-操作命令說明創(chuàng)建證書訪問控制策略，并進入證書訪問控制策略視圖pkicertificateaccess-control-policypolicy-name缺省情況下，不存在證書訪問控制策略配置證書屬性的訪問控制規(guī)則rule[id]{deny|permit}group-name通過該控制策略的過濾一個證書訪問控制策略中可配置多個訪問控制規(guī)則PKI顯示和維護displayPKI表1-14PKI顯示和維護操作命令顯示證書內(nèi)容displaypkicertificatedomaindomain-name{ca|local|peer[serialserial-num]}顯示證書申請狀態(tài)displaypkicertificaterequest-status[domaindomain-name]顯示存儲在本地的CRLdisplaypkicrldomaindomain-name顯示證書屬性組的配置信息displaypkicertificateattribute-group[group-name]顯示證書訪問控制策略的配置信息displaypkicertificateaccess-control-policy[policy-name]PKI典型配置舉例WindowsServerCA時，需要安裝SCEPPKI域時，需certificaterequestfromraPKIRA注冊申請證書。RSAKeonSCEPPKI域時，需要使用certificaterequestfromca命令指定PKI實體從CA注冊申請證書。OpenCASCEPPKI域時，需要使用certificaterequesetfromra命令指定PKI實體從RA注冊申請證書。PKI實體向CA申請證書（采用RSAKeonCA服務器）組網(wǎng)需求配置PKI實體Device向CA服務器申請本地證書。組網(wǎng)圖圖1-3PKI實體向CA申請證書組網(wǎng)圖配置步驟CA服務器CAmycaNicknameSubjectDNA名稱（myc，tNANCN、OU、OC。配置擴展屬性CAJurisdictionConfiguration發(fā)證書的地址范圍。CACRL。DevicePKI實體#配置PKI實體名稱為aaa，通用名為Device。<Device>system-view[Device]pkientityaaa[Device-pki-entity-aaa]common-nameDevice[Device-pki-entity-aaa]quitPKI域#創(chuàng)建并進入PKI域torsa。[Device]pkidomaintorsa#配置設備信任的CA的名稱為myca。[Device-pki-domain-torsa]caidentifiermycaURLhttp://host:port/IssuingJurisdictionIDIssuingJurisdictionIDCA16進制字符串。[Device-pki-domain-torsa]certificaterequesturl2:446/80f6214aa8865301d07929ae481c7ceed99f95bd#配置證書申請的注冊受理機構為CA。[Device-pki-domain-torsa]certificaterequestfromca#指定PKI實體名稱為aaa。[Device-pki-domain-torsa]certificaterequestentityaaa#配置CRL發(fā)布點位置。[Device-pki-domain-torsa]crlurlldap://2:389/CN=mycaabc1024[Device-pki-domain-torsa]public-keyrsageneralnameabclength1024[Device-pki-domain-torsaquitRSA算法的本地密鑰對[Device]public-keylocalcreatersanameabcTherangeofpublickeysizeis(512~2048).Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.PressCTRL+Ctoabort.Inputthemoduluslength[default=1024]:GeneratingKeys++++++++++++Createthekeypairsuccessfully.證書申請#獲取CA證書并下載至本地。[Device]pkiretrieve-certificatedomaintorsacaThetrustedCA'sfingerprintis:MD5fingerprint:EDE90394A273B61AF1B30072A0B1F9ABSHA1fingerprint:77F9A0772FB8088C550BA33C2410D35423B273A8Isthefingerprintcorrect?(Y/N):yRetrievedthecertificatessuccessfully.#手工申請本地證書。（采用RSAKeonCA服務器申請證書時，必須指定password參數(shù)）[Device]pkirequest-certificatedomaintorsapassword1111Starttorequestthegeneralcertificate...……Certificaterequestedsuccessfully.驗證配置#通過以下顯示命令可以查看申請到的本地證書信息。[Device]displaypkicertificatedomaintorsalocalCertificate:Data:Version:3(0x2)SerialNumber:15:79:75:ec:d2:33:af:5e:46:35:83:bc:bd:6e:e3:b8SignatureAlgorithm:sha1WithRSAEncryptionIssuer:CN=mycaValidityNotBefore:Jan603:10:582013GMTNotAfter:Jan603:10:582014GMTSubject:CN=DeviceSubjectPublicKeyInfo:PublicKeyAlgorithm:rsaEncryptionPublic-Key:(1024bit)Modulus:00:ab:45:64:a8:6c:10:70:3b:b9:46:34:8d:eb:1a:a1:b3:64:b2:37:27:37:9d:15:bd:1a:69:1d:22:0f:3a:5a:64:0c:8f:93:e5:f0:70:67:dc:cd:c1:6f:7a:0c:b1:57:48:55:81:35:d7:36:d5:3c:37:1f:ce:16:7e:f8:18:30:f6:6b:00:d6:50:48:23:5c:8c:05:30:6f:35:04:37:1a:95:56:96:21:95:85:53:6f:f2:5a:dc:f8:ec:42:4a:6d:5c:c8:43:08:bb:f1:f7:46:d5:f1:9c:22:be:f3:1b:37:73:44:f5:2d:2c:5e:8f:40:3e:36:36:0d:c8:33:90:f3:9bExponent:65537(0x10001)X509v3extensions:X509v3CRLDistributionPoints:FullName:DirName:CN=mycaSignatureAlgorithm:sha1WithRSAEncryption73:54:61:4b:a2:4c:09:bb:9f:f9:70:c7:f8:81:82:f5:6c:af:25:64:a5:99:d1:f6:ec:4f:22:e8:6a:96:58:6c:c9:47:46:8c:f1:ba:89:b8:af:fa:63:c6:c9:77:10:45:0d:8f:a6:7f:b9:e8:25:90:4a:8e:c6:cc:b8:1a:f8:e0:bc:17:e0:6a:11:ae:e7:36:87:c4:b0:49:83:1c:79:ce:e2:a3:4b:15:40:dd:fe:e0:35:52:ed:6d:83:31:2c:c2:de:7c:e0:a7:92:61:bc:03:ab:40:bd:69:1b:f5關于獲取到的CA證書的詳細信息可以通過相應的顯示命令來查看，此處略。具體內(nèi)容請參考命令displaypkicertificatedomain。PKI實體向CA申請證書（采用Windows2003serverCA服務器）組網(wǎng)需求配置PKI實體Device向CA服務器申請本地證書。組網(wǎng)圖圖1-4PKI實體向CA申請證書組網(wǎng)圖配置步驟CA服務器安裝證書服務器組件打開[控制面板]/[添加/刪除程序[添加/Windows組件]AA（myc。SCEP插件Windows2003serverCASCEP插地址即為設備上配置的注冊服務器地址。修改證書服務的屬性完成上述配置后，打開[控制面板/管理工具]中的[證書頒發(fā)機構]，如果安裝成功，在[頒發(fā)的證書]CARA的證書。選擇[CAserver屬性]中的“策略模塊”的屬性為“如果可以的話，按照證書模板中的設置。否則，將自動頒發(fā)證書(F)IIS服務的屬性打開[控制面板/管理工具]中的[Internet信息服務(IIS)管理器]，將[]中“主目錄”的本端口號為未使用的端口號（。以上配置完成之后，還需要保證設備的系統(tǒng)時鐘與CA的時鐘同步才可以正常使用設備來申請證書。DevicePKI實體#配置PKI實體名稱為aaa，通用名為test。<Device>system-view[Device]pkientityaaa[Device-pki-entity-aaa]common-nametest[Device-pki-entity-aaa]quitPKI域#創(chuàng)建并進入PKI域winserver。[Device]pkidomainwinserver#配置設備信任的CA的名稱為myca。[Device-pki-domain-winserver]caidentifiermyca#http:/host:portcersv/mscep/mscep.dl為CA服務器的主機地址和端口號。[Device-pki-domain-winserver]certificaterequesturl:8080/certsrv/mscep/mscep.dll#配置證書申請的注冊受理機構為RA。[Device-pki-domain-winserver]certificaterequestfromra#指定PKI實體名稱為aaa。[Device-pki-domain-winserver]certificaterequestentityaaaabc1024[Device-pki-domain-winserver]public-keyrsageneralnameabclength1024[Device-pki-domain-winserverquitRSA算法的本地密鑰對[Device]public-keylocalcreatersanameabcTherangeofpublickeysizeis(512~2048).Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.PressCTRL+Ctoabort.Inputthemoduluslength[default=1024]:GeneratingKeys++++++++++++Createthekeypairsuccessfully.證書申請#獲取CA證書并下載至本地。[Device]pkiretrieve-certificatedomainwinservercaThetrustedCA'sfingerprintis:MD5fingerprint:766CD2C89E46845B4DCE439C1C1F83ABSHA1fingerprint:97E5DDEDAB39314175FBDB5CE7F8D7D77C9B97B4Isthefingerprintcorrect?(Y/N):yRetrievedthecertificatessuccessfully.#手工申請本地證書。[Device]pkirequest-certificatedomainwinserverStarttorequestthegeneralcertificate...……Certificaterequestedsuccessfully.驗證配置#通過以下顯示命令可以查看申請到的本地證書信息。[Device]displaypkicertificatedomainwinserverlocalCertificate:Data:Version:3(0x2)SerialNumber:(Negative)01:03:99:ff:ff:ff:ff:fd:11SignatureAlgorithm:sha1WithRSAEncryptionIssuer:CN=secValidityNotBefore:Dec2407:09:422012GMTNotAfter:Dec2407:19:422013GMTSubject:CN=testSubjectPublicKeyInfo:PublicKeyAlgorithm:rsaEncryptionPublic-Key:(2048bit)Modulus:00:c3:b5:23:a0:2d:46:0b:68:2f:71:d2:14:e1:5a:55:6e:c5:5e:26:86:c1:5a:d6:24:68:02:bf:29:ac:dc:31:41:3f:5d:5b:36:9e:53:dc:3a:bc:0d:11:fb:d6:7d:4f:94:3c:c1:90:4a:50:ce:db:54:e0:b3:27:a9:6a:8e:97:fb:20:c7:44:70:8f:f0:b9:ca:5b:94:f0:56:a5:2b:87:ac:80:c5:cc:04:07:65:02:39:fc:db:61:f7:07:c6:65:4c:e4:5c:57:30:35:b4:2e:ed:9c:ca:0b:c1:5e:8d:2e:91:89:2f:11:e3:1e:12:8a:f8:dd:f8:a7:2a:94:58:d9:c7:f8:1a:78:bd:f5:42:51:3b:31:5d:ac:3e:c3:af:fa:33:2c:fc:c2:ed:b9:ee:60:83:b3:d3:e5:8e:e5:02:cf:b0:c8:f0:3a:a4:b7:ac:a0:2c:4d:47:5f:39:4b:2c:87:f2:ee:ea:d0:c3:d0:8e:2c:80:83:6f:39:86:92:98:1f:d2:56:3b:d7:94:d2:22:f4:df:e3:f8:d1:b8:92:27:9c:50:57:B

f3:a1:18:8b:1c:41:ba:db:69:07:52:c1:9a:3d:b1:2d:78:ab:e3:97:47:e2:70:14:30:88:af:f8:8e:cb:68:f9:6f:07:6e:34:b6:38:6a:a2:a8:29:47:91:0e:25:39Exponent:65537(0x10001)X509v3extensions:X509v3KeyUsage:DigitalSignature,NonRepudiation,KeyEncipherment,DataEncipX509v3SubjectKeyIdentifier:C9:BB:D5:8B:02:1D:20:5B:40:94:15:EC:9C:16:E8:9D:6D:FD:9F:34X509v3AuthorityKeyIdentifier:keyid:32:F1:40:BA:9E:F1:09:81:BD:A8:49:66:FF:F8:AB:99:4A:30:21:9X509v3CRLDistributionPoints:FullName:URI:file://\\g07904c\CertEnroll\sec.crlAuthorityInformationAccess:CAIssuers-\hURI:http://gc/CertEnroll/gc_sec.crtCAIssuers-URI:file://\\gc\CertEnroll\gc_sec.crt.4.1.311.20.2:.0.I.P.S.E.C.I.n.t.e.r.m.e.d.i.a.t.e.O.f.f.l.i.n.eSignatureAlgorithm:sha1WithRSAEncryption76:f0:6c:2c:4d:bc:22:59:a7:39:88:0b:5c:50:2e:7a:5c:9d:6c:28:3c:c0:32:07:5a:9c:4c:b6:31:32:62:a9:45:51:d5:f5:36:8f:47:3d:47:ae:74:6c:54:92:f2:54:9f:1a:80:8a:3f:b2:14:47:fa:dc:1e:4d:03:d5:d3:f5:9d:ad:9b:8d:03:7f:be:1e:29:28:87:f7:ad:88:1c:8f:98:41:9a:db:59:ba:0a:eb:33:ec:cf:aa:9b:fc:0f:69:3a:70:f2:fa:73:ab:c1:3e:4d:12:fb:99:31:51:ab:c2:84:c0:2f:e5:f6:a7:c3:20:3c:9a:b0:ce:5a:bc:0f:d9:34:56:bc:1e:6f:ee:11:3f:7c:b2:52:f9:45:77:52:fb:46:8a:ca:b7:9d:02:0d:4e:c3:19:8f:81:46:4e:03:1f:58:03:bf:53:c6:c4:85:95:fb:32:70:e6:1b:f3:e4:10:ed:7f:93:27:90:6b:30:e7:81:36:bb:e2:ec:f2:dd:2b:bb:b9:03:1c:54:0a:00:3f:14:88:de:b8:92:63:1e:f5:b3:c2:cf:0a:d5:f4:80:47:6f:fa:7e:2d:e3:a7:38:46:f6:9e:c7:57:9d:7f:82:c7:46:06:7d:7c:39:c4:94:41:bd:9e:5c:97:86:c8:48:de:35:1e:80:14:02:09:ad:08關于獲取到的CA證書的詳細信息可以通過相應的顯示命令來查看，此處略。具體內(nèi)容請參考命令displaypkicertificatedomain。PKI實體向CA申請證書（采用OpenCA服務器）組網(wǎng)需求配置PKI實體Device向CA服務器申請本地證書。組網(wǎng)圖圖1-5PKI實體向CA申請證書組網(wǎng)圖配置步驟CA服務器配置過程略，具體請參考OpenCA服務器的相關手冊。需要注意的是：OpenCArpm包進行安裝，OpenCA0.9.2以后的版本SCEP0.9.2以后的版本。OpenCACA的時鐘同步才可以正常使用設備來申請證書。DevicePKI實體PKIaaarndCNtestsoftware。<Device>system-view[Device]pkientityaaa[Device-pki-entity-aaa]common-namernd[Device-pki-entity-aaa]countryCN[Device-pki-entity-aaa]organizationtest[Device-pki-entity-aaa]organization-unitsoftware[Device-pki-entity-aaa]quitPKI域PKIopenca。[Device]pkidomainopenca#配置設備信任的CA的名稱為myca。[Device-pki-domain-openca]caidentifiermyca#\hpt服務器的主機地址。[Device-pki-domain-openca]certificaterequesturl\h18/cgi-bin/pki/scep#配置證書申請的注冊受理機構為RA。[Device-pki-domain-openca]certificaterequestfromra#指定PKI實體名稱為aaa。[Device-pki-domain-openca]certificaterequestentityaaa#指定證書申請使用的RSA密鑰對，用途為通用，名稱為abc，密鑰長度為1024比特。[Device-pki-domain-openca]public-keyrsageneralnameabclength1024[Device-pki-domain-openca]quitRSA算法的本地密鑰對[Device]public-keylocalcreatersanameabcTherangeofpublickeysizeis(512~2048).Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.PressCTRL+Ctoabort.Inputthemoduluslength[default=1024]:GeneratingKeys++++++++++++Createthekeypairsuccessfully.證書申請#獲取CA證書并下載至本地。[Device]pkiretrieve-certificatedomainopencacaThetrustedCA'sfingerprintis:MD5fingerprint:5AA3DEFD7B232A2516A314F4C81CC0FASHA1fingerprint:96684E63D7424B0990E04C78E213F15FDC8E9122Isthefingerprintcorrect?(Y/N):yRetrievedthecertificatessuccessfully.#手工申請本地證書。[Device]pkirequest-certificatedomainopencaStarttorequestthegeneralcertificate...……Certificaterequestedsuccessfully.驗證配置#通過以下顯示命令可以查看申請到的本地證書信息。[Device]displaypkicertificatedomainopencalocalCertificate:Data:Version:3(0x2)SerialNumber:21:1d:b8:d2:e4:a9:21:28:e4:deSignatureAlgorithm:sha256WithRSAEncryptionIssuer:C=CN,L=shangdi,ST=pukras,O=OpenCALabs,OU=mysubUnit,CN=sub-ca,DC=pki-subdomain,DC=mydomain-sub,DC=comValidityNotBefore:Jun3009:09:092011GMTNotAfter:May109:09:092012GMTSubject:CN=rnd,O=test,OU=software,C=CNSubjectPublicKeyInfo:PublicKeyAlgorithm:rsaEncryptionPublic-Key:(1024bit)Modulus:00:b8:7a:9a:b8:59:eb:fc:70:3e:bf:19:54:0c:7e:c3:90:a5:d3:fd:ee:ff:c6:28:c6:32:fb:04:6e:9c:d6:5a:4f:aa:bb:50:c4:10:5c:eb:97:1d:a7:9e:7d:53:d5:31:ff:99:ab:b6:41:f7:6d:71:61:58:97:84:37:98:c7:7c:79:02:ac:a6:85:f3:21:4d:3c:8e:63:8d:f8:71:7d:28:a1:15:23:99:ed:f9:a1:c3:be:74:0d:f7:64:cf:0a:dd:39:49:d7:3f:25:35:18:f4:1c:59:46:2b:ec:0d:21:1d:00:05:8a:bf:ee:ac:61:03:6c:1f:35:b5:b4:cd:86:9f:45Exponent:65537(0x10001)X509v3extensions:X509v3BasicConstraints:CA:FALSENetscapeCertType:SSLClient,S/MIMEX509v3KeyUsage:DigitalSignature,NonRepudiation,KeyEnciphermentX509v3ExtendedKeyUsage:TLSWebClientAuthentication,E-mailProtection,MicrosoftSmartcardloginNetscapeComment:UserCertificateofOpenCALabsX509v3SubjectKeyIdentifier:24:71:C9:B8:AD:E1:FE:54:9A:EA:E9:14:1B:CD:D9:45:F4:B2:7A:1BX509v3AuthorityKeyIdentifier:keyid:85:EB:D5:F7:C9:97:2F:4B:7A:6D:DD:1B:4D:DD:00:EE:53:CF:FD:5BX509v3IssuerAlternativeName:\hDNS:root@,DNS:,IPAddress:45,IPAddress:38AuthorityInformationAccess:CAIssuers-\hURI:18/pki/pub/cacert/cacert.crtOCSP-URI:18:2560/.8.12-URI:18:830/X509v3CRLDistributionPoints:FullName:\hURI:18/pki/pub/crl/cacrl.crlSignatureAlgorithm:sha256WithRSAEncryption0e:80:de:79:45:b9:d9:12:5e:13:28:17:36:42:d5:ae:fc:4e:ba:b9:61:f1:0a:76:42:e7:a6:34:43:3e:2d:02:5e:c7:32:f7:6b:64:bb:2d:f5:10:6c:68:4d:e7:69:f7:47:25:f5:dc:97:af:ae:33:40:44:f3:ab:e4:5a:a0:06:8f:af:22:a9:05:74:43:b6:e4:96:a5:d4:52:32:c2:a8:53:37:58:c7:2f:75:cf:3e:8e:ed:46:c9:5a:24:b1:f5:51:1d:0f:5a:07:e6:15:7a:02:31:05:8c:03:72:52:7c:ff:28:37:1e:7e:14:97:80:0b:4e:b9:51:2d:50:98:f2:e4:5a:60:be:25:06:f6:ea:7c:aa:df:7b:8d:59:79:57:8f:d4:3e:4f:51:c1:34:e6:c1:1e:71:b5:0d:85:86:a5:ed:63:1e:08:7f:d2:50:ac:a0:a3:9e:88:48:10:0b:4a:7d:ed:c1:03:9f:87:97:a3:5e:7d:75:1d:ac:7b:6f:bb:43:4d:12:17:9a:76:b0:bf:2f:6a:cc:4b:cd:3d:a1:dd:e0:dc:5a:f3:7c:fb:c3:29:b0:12:49:5c:12:4c:51:6e:62:43:8b:73:b9:26:2a:f9:3d:a4:81:99:31:89關于獲取到的CA證書的詳細信息可以通過相應的顯示命令來查看，此處略。具體內(nèi)容請參考命令displaypkicertificatedomain。NAT-PT組網(wǎng)中PKI實體向CA申請證書（采用RSAKeonCA服務器）組網(wǎng)需求IPv6PKIDeviceAIPv4/24CA服務器通信，以實現(xiàn)以下需求：CACRL，用于驗證本地證書CA服務器申請本地證書IPv4IPv6DeviceBDeviceB上配置IPv4側報文靜態(tài)映射和IPv6IPv4網(wǎng)絡和IPv6網(wǎng)絡之間可以互相訪問。組網(wǎng)圖圖1-6NAT-PT組網(wǎng)中PKI實體向CA申請證書配置步驟CA服務器本例Asrvr采用AnA服務器，A服務器配置參看“1 .)，并使能LclCertificatePublishing。IPv4CA/24網(wǎng)段的靜態(tài)路由（WindowsXP主機上的配置為例。C:\DocumentsandSettings\username\routeaddmaskDeviceB#使能IPv6，配置接口地址，并使能接口的NAT-PT功能。<DeviceB>system-view[DeviceB]ipv6[DeviceB]interfacegigabitethernet2/0/1[DeviceB-GigabitEthernet2/0/1]ipv6address2001::9/64[DeviceB-GigabitEthernet2/0/1]natptenable[DeviceB-GigabitEthernet2/0/1]quit[DeviceB]interfacegigabitethernet2/0/2[DeviceB-GigabitEthernet2/0/2]ipaddress[DeviceB-GigabitEthernet2/0/2]natptenable[DeviceB-GigabitEthernet2/0/2]quit#配置NAT-PT前綴。[DeviceB]natptprefix3001::#配置IPv4側報文的靜態(tài)映射。[DeviceB]natptv4boundstatic3001::5#配置IPv6側報文的靜態(tài)映射。[DeviceB]natptv6boundstatic2001::511DeviceA#配置到達NAT-PT前綴對應網(wǎng)段的靜態(tài)路由。<DeviceA>system-view[DeviceA]ipv6route-static3001::162001::9PKI實體#配置PKI實體名稱為aaa，通用名為test。[DeviceA]pkientityaaa[DeviceA-pki-entity-aaa]common-nametest[DeviceA-pki-entity-aaa]quitPKI域PKItorsa。[DeviceA]pkidomaintorsa#配置設備信任的CA的名稱為myca。[DeviceA-pki-domain-torsa]caidentifiermycaURLhttp://host:port/IssuingJurisdictionIssuingJurisdictionIDCA16進制字符串。[DeviceA-pki-domain-torsa]certificaterequesturlhttp://[3001::5]:446/c95e970f632d27be5e8cbf80e971d9c4a9a93337#配置證書申請的注冊受理機構為CA。[DeviceA-pki-domain-torsa]certificaterequestfromca#指定PKI實體名稱為aaa。[DeviceA-pki-domain-torsa]certificaterequestentityaaa#CRL（HTTPCRL發(fā)布點。雖然在此組網(wǎng)下，DeviceAIPv6DeviceBIPv4HTTPIPv6的相關OpenCACA）[DeviceA-pki-domain-torsa]crlurlldap://[3001::5]:389/CN=sslrsa,OU=sec,O=docm,C=cnabc1024[DeviceA-pki-domain-torsa]public-keyrsageneralnameabclength1024[DeviceA-pki-domain-torsaquitRSA算法的本地密鑰對[DeviceA]public-keylocalcreatersanameabcTherangeofpublickeysizeis(512~2048).Ifthekeymodulusisgreaterthan51