Команды управления PKI#
Команды настройки#
Команда | Описание команды |
---|---|
pki ca <имя> | Определение удостоверяющего центра |
pki ca <имя> city <город> | Указание названия города, которое входит в идентификатор УЦ |
pki ca <имя> cn <общее_имя> | Указание общего имени (сommon name), в качестве одного из атрибутов идентификатора УЦ |
pki ca <имя> country <страна> | Указание названия страны, в качестве одного из атрибутов идентификатора УЦ |
pki ca <имя> crldp <адрес> | Указание адреса точки распространения списка отзывов сертификатов УЦ |
pki ca <имя> email <email> | Указание адреса электронной почты, в качестве одного из атрибутов идентификатора УЦ |
pki ca <имя> expiration <количество_дней> | Указание количества дней, в течение которого будет действителен сертификат УЦ |
pki ca <имя> expires-on <окончание_периода_действия> | Указывает дату и время окончания периода действия сертификата удостоверяющего центра |
pki ca <имя> key-curve <название_кривой> | Указание названия ECDSA-кривой |
pki ca <имя> key-size <длина_ключа> | Указание длины используемого ключа |
pki ca <имя> key-type <тип_ключа> | Указание используемого для защиты данных криптографического алгоритма |
pki ca <имя> last-update <последнее_обновление_CRL> | Указывает дату и время последнего обновления CRL для данного УЦ. |
pki ca <имя> next-update <окончание_срока_действия_CRL> | Указывает дату и время окончания периода действия CRL для данного УЦ. |
pki ca <имя> organization <организация> | Указание названия организации, в качестве одного из атрибутов идентификатора УЦ |
pki ca <имя> organization-unit <подразделение> | Указание названия подразделения, в качестве одного из атрибутов идентификатора УЦ |
pki ca <имя> province <регион> | Указание названия региона, в качестве одного из атрибутов идентификатора УЦ |
pki ca <имя> certificate <имя_сертификата> | Определение сертификата, подписанного указанным удостоверяющим центром |
pki ca <имя> certificate <имя_сертификата> alternative-name email <email> | Указание адреса электронной почты в качестве атрибута расширения альтернативного имени субъекта |
pki ca <имя> certificate <имя_сертификата> alternative-name idn <доменное_имя> | Указание международного доменного имени в качестве атрибута расширения альтернативного имени субъекта |
pki ca <имя> certificate <имя_сертификата> alternative-name ip-address |
Указание IP-адреса в качестве атрибута расширения альтернативного имени субъекта |
pki ca <имя> certificate <имя_сертификата> city <город> | Указание названия города, в качестве одного из атрибутов идентификатора субъекта |
pki ca <имя> certificate <имя_сертификата> cn <общее_имя> | Указание общего имени, которое входит в идентификатор субъекта |
pki ca <имя> certificate <имя_сертификата> country <страна> | Указание названия страны, в качестве одного из атрибутов идентификатора субъекта |
pki ca <имя> certificate <имя_сертификата> email <email> | Указание адреса электронной почты, в качестве одного из атрибутов идентификатора субъекта |
pki ca <имя> certificate <имя_сертификата> expiration <количество_дней> | Указание количества дней, в течение которого будет действителен указанный сертификат |
pki ca <имя> certificate <имя_сертификата> expires-on <окончание_периода_действия> | Указание даты и времени окончания периода действия данного сертификата |
pki ca <имя> certificate <имя_сертификата> organization <подразделение> | Указание названия организации, в качестве одного из атрибутов идентификатора субъекта |
pki ca <имя> certificate <имя_сертификата> organization-unit <подразделение> | Указание названия подразделения, в качестве одного из атрибутов идентификатора субъекта |
pki ca <имя> certificate <имя_сертификата> province <регион> | Указание названия региона, в качестве одного из атрибутов идентификатора субъекта |
pki ca <имя> certificate <имя_сертификата> usage <сторона> <состояние> | Указание ограничений по использованию сертификата в расширении X509v3 |
Эксплуатационные команды#
Команда | Описание команды |
---|---|
pki export ca <имя> crl <формат> | Экспорт файла со списком отозванных сертификатов в указанном формате |
pki export certificate <имя_сертификата> | Экспорт сертификата субъекта, ключевой пары субъекта, сертификата УЦ, списка отозванных сертификатов |
pki export-pkcs12 certificate <имя_сертификата> password <пароль> | Экспорт сертификата субъекта, ключевой пары субъекта, сертификата УЦ, списка отозванных сертификатов в формате PKCS12 |
pki import | Импорт сертификата/сертификатов УЦ, сертификата субъекта, ключевой пары субъекта, сертификата УЦ, списка отозванных сертификатов. |
pki import-pkcs12 password <пароль> | Импорт сертификата субъекта, ключевой пары субъекта, сертификата УЦ в формате PKCS12 и списка отозванных сертификатов |
pki revoke ca <имя> certificate <имя_сертификата> | Команда для отзыва сертификата |
pki update-crl | Обновление списка отозванных сертификатов для УЦ, в сертификате которых присутствует расширение CRLDistributionPoints |
pki ca <имя>#
Определение удостоверяющего центра.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Множественный. Название узла конфигурации определяемого удостоверяющего центра. Можно определить несколько удостоверяющих центров, создав соответствующее количество узлов конфигурации.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для создания удостоверяющего центра и указания названия его узла конфигурации.
Форма set
данной команды используется для создания удостоверяющего центра.
Форма delete
данной команды используется для удаления настройки удостоверяющего центра.
Форма show
данной команды используется для отображения настройки удостоверяющего центра.
pki ca <имя> city <город>#
Указание названия города, в качестве одного из атрибутов идентификатора УЦ.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
город
Название города. В том случае если название содержит пробелы, его необходимо заключить в двойные кавычки.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать название города, которое входит в идентификатор удостоверяющего центра. Идентификатор удостоверяющего центра представляет собой отличительное имя удостоверяющего центра в формате X.500, и состоит из набора иерархических атрибутов, в состав которых могут входить общее имя УЦ, адрес электронной почты, название организации и подразделения организации, атрибутов месторасположения таких как название страны, региона, города.
Указание названия города не является обязательным.
Примечание
Значения параметров УЦ, в том числе атрибутов идентификатора УЦ, не могут быть изменены после фиксации настройки. Для того чтобы изменить значения параметров УЦ, необходимо удалить настройку УЦ и создать ее заново, при этом для УЦ будет создана новая ключевая пара, соответственно с точки зрения системы, вновь созданный УЦ, даже при полном соответствии значений параметров, будет являться новым УЦ, отличным от предыдущего. Таким образом, сертификаты выпущенные до этого будут являться недействительными.
Форма set
данной команды используется для указания названия города.
Форма delete
данной команды используется для удаления настройки города.
Форма show
данной команды используется для отображения настройки города.
pki ca <имя> cn <общее_имя>#
Указание общего имени (Common name), в качестве одного из атрибутов идентификатора УЦ.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
общее_имя
Обязательный. Общее имя (common name) удостоверяющего центра. В том случае если общее имя содержит пробелы, его необходимо заключить в двойные кавычки.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать общее имя, которое входит в идентификатор удостоверяющего центра. Идентификатор удостоверяющего центра представляет собой отличительное имя удостоверяющего центра в формате X.500, и состоит из набора иерархических атрибутов, в состав которых могут входить общее имя УЦ, адрес электронной почты, название организации и подразделения организации, атрибутов месторасположения таких как название страны, региона, города. Атрибут CN является обязательным атрибутом, указание его значения является обязательным при создании УЦ.
Примечание
Значения параметров УЦ, в том числе атрибутов идентификатора УЦ, не могут быть изменены после фиксации настройки. Для того чтобы изменить значения параметров УЦ, необходимо удалить настройку УЦ и создать ее заново, при этом для УЦ будет создана новая ключевая пара, соответственно с точки зрения системы, вновь созданный УЦ, даже при полном соответствии значений параметров, будет являться новым УЦ, отличным от предыдущего. Таким образом, сертификаты выпущенные до этого будут являться недействительными.
Форма set
данной команды используется для указания общего имени удостоверяющего центра.
Форма delete
данной команды используется для удаления настройки общего имени удостоверяющего центра.
Форма show
данной команды используется для отображения настройки общего имени удостоверяющего центра.
pki ca <имя> country <страна>#
Указание названия страны, в качестве одного из атрибутов идентификатора УЦ.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
страна
Двухбуквенный код страны.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать название страны, которое входит в идентификатор удостоверяющего центра. Идентификатор удостоверяющего центра представляет собой отличительное имя удостоверяющего центра в формате X.500, и состоит из набора иерархических атрибутов, в состав которых могут входить общее имя УЦ, адрес электронной почты, название организации и подразделения организации, атрибутов месторасположения таких как название страны, региона, города. Указание двухбуквенного кода страны не является обязательным.
Примечание
Значения параметров УЦ, в том числе атрибутов идентификатора УЦ, не могут быть изменены после фиксации настройки. Для того чтобы изменить значения параметров УЦ, необходимо удалить настройку УЦ и создать ее заново, при этом для УЦ будет создана новая ключевая пара, соответственно с точки зрения системы, вновь созданный УЦ, даже при полном соответствии значений параметров, будет являться новым УЦ, отличным от предыдущего. Таким образом, сертификаты выпущенные до этого будут являться недействительными.
Форма set
данной команды используется для указания страны удостоверяющего центра.
Форма delete
данной команды используется для удаления настройки страны удостоверяющего центра.
Форма show
данной команды используется для отображения настройки страны удостоверяющего центра.
pki ca <имя> crldp <адрес>#
Указание адреса точки распространения списка отзывов сертификатов УЦ.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
адрес
Множественный. Адрес точки распространения списка отзывов сертификатов (CRL Distribution Point). Можно определить несколько удостоверяющих центров, создав соответствующее количество узлов конфигурации.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать адрес точки распространения списка отзывов сертификатов (CRL distribution point). Точка распространения списка отзывов сертификатов содержит список отзыва сертификатов (CRL), подписанный определённым удостоверяющим центром (CA).
Примечание
Значения параметров УЦ, в том числе атрибутов идентификатора УЦ, не могут быть изменены после фиксации настройки. Для того чтобы изменить значения параметров УЦ, необходимо удалить настройку УЦ и создать ее заново, при этом для УЦ будет создана новая ключевая пара, соответственно с точки зрения системы, вновь созданный УЦ, даже при полном соответствии значений параметров, будет являться новым УЦ, отличным от предыдущего. Таким образом, сертификаты выпущенные до этого будут являться недействительными.
Форма set
данной команды используется для указания адреса точки распространения списка отзывов сертификатов данного УЦ.
Форма delete
данной команды используется для удаления адреса точки распространения списка отзывов сертификатов.
Форма show
данной команды используется для отображения адреса точки распространения списка отзывов сертификатов.
pki ca <имя> email <email>#
Указание адреса электронной почты, в качестве одного из атрибутов идентификатора УЦ.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
email
Адрес электронной почты.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать адрес электронной почты, который входит в идентификатор удостоверяющего центра. Идентификатор удостоверяющего центра представляет собой отличительное имя удостоверяющего центра в формате X.500, и состоит из набора иерархических атрибутов, в состав которых могут входить общее имя УЦ, адрес электронной почты, название организации и подразделения организации, атрибутов месторасположения таких как название страны, региона, города. Указание адреса электронной почты не является обязательным.
Примечание
Значения параметров УЦ, в том числе атрибутов идентификатора УЦ, не могут быть изменены после фиксации настройки. Для того чтобы изменить значения параметров УЦ, необходимо удалить настройку УЦ и создать ее заново, при этом для УЦ будет создана новая ключевая пара, соответственно с точки зрения системы, вновь созданный УЦ, даже при полном соответствии значений параметров, будет являться новым УЦ, отличным от предыдущего. Таким образом, сертификаты выпущенные до этого будут являться недействительными.
Форма set
данной команды используется для указания адреса электронной почты.
Форма delete
данной команды используется для удаления настройки адреса электронной почты.
Форма show
данной команды используется для отображения настройки адреса электронной почты.
pki ca <имя> expiration <количество_дней>#
Указание количества дней, в течение которого будет действителен сертификат УЦ.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
количество_дней
Количество дней, в течение которого сертификат удостоверяющего центра будет действителен. Сертификат удостоверяющего центра действителен с момента создания в течение указанного количества дней. По умолчанию сертификат удостоверяющего центра действителен в течение 1 года (365 дней). Этот параметр может принимать значение от 1 до 40000.
Значение по умолчанию#
По умолчанию установлено значение 365.
Указания по использованию#
Данная команда используется для указания периода действия сертификата удостоверяющего центра. Период действия сертификата удостоверяющего центра начинается с момента создания удостоверяющего центра. Сертификат является действительным в течение указанного количества дней. После истечения срока действия сертификата удостоверяющего центра сертификаты, выпущенные данным удостоверяющим центром, становятся недействительными.
Примечание
Значения параметров УЦ, в том числе атрибутов идентификатора УЦ, не могут быть изменены после фиксации настройки. Для того чтобы изменить значения параметров УЦ, необходимо удалить настройку УЦ и создать ее заново, при этом для УЦ будет создана новая ключевая пара, соответственно с точки зрения системы, вновь созданный УЦ, даже при полном соответствии значений параметров, будет являться новым УЦ, отличным от предыдущего. Таким образом, сертификаты выпущенные до этого будут являться недействительными.
Узел конфигурации expiration действителен только на этапе создания сертификата УЦ, на основе этого узла автоматически устанавливается дата окончания периода действия сертификата УЦ в качестве значения для узла expires-on. В дальнейшем для просмотра периода действия сертификата УЦ используется команда show pki ca <имя> expires-on
.
Форма set
данной команды используется для указания периода действия сертификата удостоверяющего центра.
Форма delete
данной команды используется для удаления настройки периода действия сертификата удостоверяющего центра.
Форма show
данной команды используется для отображения настройки периода действия сертификата удостоверяющего центра.
pki ca <имя> expires-on <окончание_периода_действия>#
Указание даты окончания периода действия сертификата удостоверяющего центра.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
окончание_периода_действия
Дата и время окончания периода действия сертификата удостоверяющего центра. Значение для этого параметра создается автоматически при создании сертификата УЦ на основе значения, указанного при помощи команды pki ca <имя> expiration <количество_дней>
. Изменение этого параметра невозможно.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Дата и время окончания периода действия сертификата удостоверяющего центра указывается автоматически на основе заданного периода действия сертификата УЦ. Период действия указывается при создании сертификата УЦ при помощи команды pki ca <имя> expiration <количество_дней>
. Период действия начинается с момента создания удостоверяющего центра. После истечения срока действия сертификата удостоверяющего центра сертификаты, выпущенные данным удостоверяющим центром, становятся недействительными.
Форма show
данной команды используется для отображения даты окончания периода действия сертификата удостоверяющего центра.
pki ca <имя> key-curve <название_кривой>#
Указание названия ECDSA-кривой.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
название_кривой
Название эллиптической кривой в терминологии openssl. Для использования доступны все типы эллиптических кривых, поддерживаемые актуальной версией openssl для алгоритма ECDSA.
Значение по умолчанию#
По умолчанию используется эллиптическая кривая prime256v1.
Указания по использованию#
Данная команда позволяет указать тип эллиптической кривой, используемой для сертификатов с алгоритмом ECDSA. Размер ключа для каждой эллиптической кривой вычисляется автоматически и задания не требует.
Форма set
данной команды используется для указания длины используемого ключа.
Форма delete
данной команды используется для удаления настройки длины используемого ключа.
Форма show
данной команды используется для отображения настройки длины используемого ключа.
pki ca <имя> key-size <длина_ключа>#
Указание длины используемого ключа.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
длина_ключа
Длина используемого ключа в битах. Допустимые значения представлены в таблице ниже.
Значение | Описание |
---|---|
256 | Если используется алгоритм ГОСТ 34.10-2001 или алгоритм ГОСТ 34.10-2012 |
512 | Если используется алгоритм ГОСТ 34.10-2012 |
1024-8192 | Если используется алгоритм RSA |
Значение по умолчанию#
При использовании алгоритмов ГОСТ 34.10-2001 и ГОСТ 34.10-2012 устанавливается длина ключа 256 бит. При использовании алгоритма RSA устанавливается длина ключа 1024 бит. При использовании алгоритма ECDSA длинна ключа вычисляется автоматически для каждой эллиптической кривой.
Указания по использованию#
Данная команда позволяет указать длину используемого ключа. Допустимые значения зависит от типа используемого криптографического алгоритма: при использовании ГОСТ 34.10-2001 допустимая длина ключа 256 бит, при использовании ГОСТ 34.10-2012 допустимая длина ключа 256 и 512 бит, при использовании RSA допустимая длина ключа должна лежать в диапазоне от 1024 до 8192 бит.
Если указан алгоритм ECDSA и заданный размер ключа отличается от вычисленного автоматически, такая конфигурация применена не будет с соответствующим сообщением об ошибке.
Форма set
данной команды используется для указания длины используемого ключа.
Форма delete
данной команды используется для удаления настройки длины используемого ключа.
Форма show
данной команды используется для отображения настройки длины используемого ключа.
pki ca <имя> key-type <тип_ключа>#
Указание криптографического алгоритма, используемого для защиты данных.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
тип_ключа
Используемый криптографический алгоритм. Допустимые значения представлены в таблице ниже.
Значение | Описание |
---|---|
gost2001 | Алгоритм ГОСТ 34.10-2001 |
gost2012 | Алгоритм ГОСТ 34.10-2012 |
rsa | Алгоритм RSA |
Значение по умолчанию#
По умолчанию установлено значение gost2012.
Указания по использованию#
Данная команда позволяет указать тип используемого для защиты данных криптографического алгоритма. По умолчанию используется алгоритм ГОСТ 34.10-2012.
Примечание
Значения параметров УЦ, в том числе атрибутов идентификатора УЦ, не могут быть изменены после фиксации настройки. Для того чтобы изменить значения параметров УЦ, необходимо удалить настройку УЦ и создать ее заново, при этом для УЦ будет создана новая ключевая пара, соответственно с точки зрения системы, вновь созданный УЦ, даже при полном соответствии значений параметров, будет являться новым УЦ, отличным от предыдущего. Таким образом, сертификаты выпущенные до этого будут являться недействительными.
Форма set
данной команды используется для указания типа используемого криптографического алгоритма.
Форма delete
данной команды используется для удаления настройки типа используемого криптографического алгоритма.
Форма show
данной команды используется для отображения настройки типа используемого криптографического алгоритма.
pki ca <имя> last-update <последнее_обновление_CRL>#
Дата и время последнего обновления CRL для данного УЦ.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
последнее_обновление_CRL
Дата и время последнего обновления списка отзыва сертификатов.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
На этапе создания УЦ последним обновлением CRL считается дата и время этого УЦ. В последующей эксплуатации – это значение может изменяться после генерации нового CRL либо после отзыва конечного сертификата. Изменение этого параметра вручную через систему конфигурации невозможно.
Форма show
данной команды используется для отображения даты и времени последнего обновления CRL.
pki ca <имя> next-update <окончание_срока_действия_CRL>#
Указание даты и времени окончания периода действия CRL для данного удостоверяющего центра.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
окончание_периода_действия
Дата и время окончания периода действия CRL для данного удостоверяющего центра. Значение для этого параметра создается автоматически при создании сертификата УЦ на основе значения, указанного при помощи команды pki ca <имя> expiration <количество_дней>
. Изменение этого параметра невозможно.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Дата и время окончания периода действия CRL для данного удостоверяющего центра.
При генерации УЦ на Numa Edge, данное значение задается автоматически на основе значения, указанного при помощи команды pki ca <имя> expiration <количество_дней>
, т.е равно сроку действия самого УЦ.
При импорте CRL для стороннего УЦ, устанавливается указанное им значение. Обновление CRL осуществляется с помощью команды pki update-crl
.
После истечения срока действия CRL сертификаты перестают проходить проверку подлинности и считаются недействительными.
Форма show
данной команды используется для отображения даты и времени окончания периода действия CRL для данного удостоверяющего центра.
pki ca <имя> organization <организация>#
Указание названия организации, в качестве одного из атрибутов идентификатора УЦ.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
организация
Название организации. В том случае если название организации содержит пробелы, его необходимо заключить в двойные кавычки.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать название организации, которое входит в идентификатор удостоверяющего центра. Идентификатор удостоверяющего центра представляет собой отличительное имя удостоверяющего центра в формате X.500, и состоит из набора иерархических атрибутов, в состав которых могут входить общее имя УЦ, адрес электронной почты, название организации и подразделения организации, атрибутов месторасположения таких как название страны, региона, города. Указание названия организации не является обязательным.
Примечание
Значения параметров УЦ, в том числе атрибутов идентификатора УЦ, не могут быть изменены после фиксации настройки. Для того чтобы изменить значения параметров УЦ, необходимо удалить настройку УЦ и создать ее заново, при этом для УЦ будет создана новая ключевая пара, соответственно с точки зрения системы, вновь созданный УЦ, даже при полном соответствии значений параметров, будет являться новым УЦ, отличным от предыдущего. Таким образом, сертификаты выпущенные до этого будут являться недействительными.
Форма set
данной команды используется для указания названия организации.
Форма delete
данной команды используется для удаления настройки названия организации.
Форма show
данной команды используется для отображения настройки названия организации.
pki ca <имя> organization-unit <подразделение>#
Указание названия подразделения организации, в качестве одного из атрибутов идентификатора УЦ.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
подразделение
Название подразделения организации. В том случае если название подразделения организации содержит пробелы, его необходимо заключить в двойные кавычки.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать название подразделения организации, которое входит в идентификатор удостоверяющего центра. Идентификатор удостоверяющего центра представляет собой отличительное имя удостоверяющего центра в формате X.500, и состоит из набора иерархических атрибутов, в состав которых могут входить общее имя УЦ, адрес электронной почты, название организации и подразделения организации, атрибутов месторасположения таких как название страны, региона, города. Указание названия подразделения организации не является обязательным.
Примечание
Значения параметров УЦ, в том числе атрибутов идентификатора УЦ, не могут быть изменены после фиксации настройки. Для того чтобы изменить значения параметров УЦ, необходимо удалить настройку УЦ и создать ее заново, при этом для УЦ будет создана новая ключевая пара, соответственно с точки зрения системы, вновь созданный УЦ, даже при полном соответствии значений параметров, будет являться новым УЦ, отличным от предыдущего. Таким образом, сертификаты выпущенные до этого будут являться недействительными.
Форма set
данной команды используется для указания названия подразделения организации.
Форма delete
данной команды используется для удаления настройки названия подразделения организации.
Форма show
данной команды используется для отображения настройки названия подразделения организации.
pki ca <имя> province <регион>#
Указание названия региона, в качестве одного из атрибутов идентификатора УЦ.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
регион
Название региона. В том случае если название региона содержит пробелы, его необходимо заключить в двойные кавычки.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать название региона, которое входит в идентификатор удостоверяющего центра. Идентификатор удостоверяющего центра представляет собой отличительное имя удостоверяющего центра в формате X.500, и состоит из набора иерархических атрибутов, в состав которых могут входить общее имя УЦ, адрес электронной почты, название организации и подразделения организации, атрибутов месторасположения таких как название страны, региона, города. Указание названия региона не является обязательным.
Примечание
Значения параметров УЦ, в том числе атрибутов идентификатора УЦ, не могут быть изменены после фиксации настройки. Для того чтобы изменить значения параметров УЦ, необходимо удалить настройку УЦ и создать ее заново, при этом для УЦ будет создана новая ключевая пара, соответственно с точки зрения системы, вновь созданный УЦ, даже при полном соответствии значений параметров, будет являться новым УЦ, отличным от предыдущего. Таким образом, сертификаты выпущенные до этого будут являться недействительными.
Форма set
данной команды используется для указания названия региона.
Форма delete
данной команды используется для удаления настройки названия региона.
Форма show
данной команды используется для отображения настройки названия региона.
pki ca <имя> certificate <имя_сертификата>#
Определение сертификата субъекта, подписанного указанным удостоверяющим центром.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
имя_сертификата
Название узла конфигурации сертификата.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для создания сертификата субъекта, который будет заверен электронной цифровой подписью указанного удостоверяющего центра. Непосредственное использование открытых ключей требует дополнительной их защиты и идентификации для определения связи с секретным ключом. Электронный сертификат представляет собой цифровой документ, который связывает открытый ключ с его владельцем, субъектом сертификата. Для заверения электронного сертификата используется электронная цифровая подпись удостоверяющего центра (УЦ). УЦ включает свое имя в каждый выпущенный им сертификат и подписывает их при помощи собственного секретного ключа. Для проверки подлинности сертификата субъекта используется сертификат удостоверяющего центра, включающий открытый ключ УЦ. Под субъектом понимается сторона, контролирующая секретный ключ, соответствующий открытому ключу, указанному в сертификате.
Форма set
данной команды используется для создания сертификата субъекта.
Форма delete
данной команды используется для удаления настройки сертификата.
Форма show
данной команды используется для отображения настройки сертификата.
pki ca <имя> certificate <имя_сертификата> alternative-name email <email>#
Указание адреса электронной почты в качестве атрибута расширения альтернативного имени субъекта.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
имя_сертификата
Название узла конфигурации сертификата.
email
Адрес электронной почты.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать адрес электронной почты в качестве атрибута расширения X.509v3 альтернативного имени субъекта сертификата (Subject Alternative Name). Под субъектом понимается сторона, контролирующая секретный ключ, соответствующий открытому ключу, указанному в сертификате. Использование данного расширения позволяет указать дополнительные домены в рамках одного сертификата.
Указание атрибутов данного расширения не является обязательным.
Примечание
Значения атрибутов идентификатора субъекта сертификата, не могут быть изменены после фиксации настройки. При необходимости их изменения необходимо удалить настройку сертификата и создать заново.
Форма set
данной команды используется для указания адреса электронной почты расширения альтернативного имени субъекта.
Форма delete
данной команды используется для удаления адреса электронной почты расширения альтернативного имени субъекта.
Форма show
данной команды используется для отображения адреса электронной почты расширения альтернативного имени субъекта.
pki ca <имя> certificate <имя_сертификата> alternative-name idn <доменное_имя>#
Указание доменного имени в качестве атрибута расширения альтернативного имени субъекта.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
имя_сертификата
Название узла конфигурации сертификата.
idn
Международное доменное имя субъекта.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать доменное имя в качестве атрибута расширения X.509v3 альтернативного имени субъекта сертификата (Subject Alternative Name). Под субъектом понимается сторона, контролирующая секретный ключ, соответствующий открытому ключу, указанному в сертификате. Использование данного расширения позволяет указать дополнительные домены в рамках одного сертификата.
Указание атрибутов данного расширения не является обязательным.
Примечание
Значения атрибутов идентификатора субъекта сертификата, не могут быть изменены после фиксации настройки. При необходимости их изменения необходимо удалить настройку сертификата и создать заново.
Форма set
данной команды используется для указания доменного имени расширения альтернативного имени субъекта.
Форма delete
данной команды используется для удаления доменного имени расширения альтернативного имени субъекта.
Форма show
данной команды используется для отображения доменного имени расширения альтернативного имени субъекта.
pki ca <имя> certificate <имя_сертификата> alternative-name ip-address #
Указание IP-адреса в качестве атрибута расширения альтернативного имени субъекта.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
имя_сертификата
Название узла конфигурации сертификата.
ip-адрес
IP-адрес субъекта. Допустимые значения представлены в таблице ниже.
Значение | Описание |
---|---|
<x.x.x.x> | IPv4 адрес |
<h:h:h:h:h:h:h:h> | IPv6 адрес |
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать IP адрес в качестве атрибута расширения X.509v3 альтернативного имени субъекта сертификата (Subject Alternative Name). Под субъектом понимается сторона, контролирующая секретный ключ, соответствующий открытому ключу, указанному в сертификате. Использование данного расширения позволяет указать дополнительные домены в рамках одного сертификата.
Указание атрибутов данного расширения не является обязательным.
Примечание
Значения атрибутов идентификатора субъекта сертификата, не могут быть изменены после фиксации настройки. При необходимости их изменения необходимо удалить настройку сертификата и создать заново.
Форма set
данной команды используется для указания IP-адреса расширения альтернативного имени субъекта.
Форма delete
данной команды используется для удаления IP-адреса расширения альтернативного имени субъекта.
Форма show
данной команды используется для отображения IP-адреса расширения альтернативного имени субъекта.
pki ca <имя> certificate <имя_сертификата> city <город>#
Указание названия города, в качестве одного из атрибутов идентификатора субъекта сертификата.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
имя_сертификата
Название узла конфигурации сертификата.
город
Название города. В том случае если название содержит пробелы, его необходимо заключить в двойные кавычки.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать название города, которое входит в идентификатор субъекта сертификата. Под субъектом понимается сторона, контролирующая секретный ключ, соответствующий открытому ключу, указанному в сертификате. Идентификатор субъекта представляет собой отличительное имя субъекта в формате X.500, и состоит из набора иерархических атрибутов, в состав которых могут входить общее имя, адрес электронной почты, название организации и подразделения организации, атрибутов месторасположения таких как название страны, региона, города.
Указание названия города не является обязательным.
Примечание
Значения атрибутов идентификатора субъекта сертификата, не могут быть изменены после фиксации настройки. При необходимости их изменения необходимо удалить настройку сертификата и создать заново.
Форма set
данной команды используется для указания названия города.
Форма delete
данной команды используется для удаления настройки города.
Форма show
данной команды используется для отображения настройки города.
pki ca <имя> certificate <имя_сертификата> cn <общее_имя>#
Указание общего имени, в качестве одного из атрибутов идентификатора субъекта.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
имя_сертификата
Название узла конфигурации сертификата.
общее_имя
Обязательный. Общее имя (common name) субъекта сертификата. В том случае если общее имя содержит пробелы, его необходимо заключить в двойные кавычки.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать общее имя (common name), которое входит в идентификатор субъекта сертификата. Под субъектом понимается сторона, контролирующая секретный ключ, соответствующий открытому ключу, указанному в сертификате. Идентификатор субъекта представляет собой отличительное имя субъекта в формате X.500, и состоит из набора иерархических атрибутов, в состав которых могут входить общее имя, адрес электронной почты, название организации и подразделения организации, атрибутов месторасположения таких как название страны, региона, города.
Указание общего имени субъекта сертификата является обязательным.
Примечание
Значения атрибутов идентификатора субъекта сертификата, не могут быть изменены после фиксации настройки. При необходимости их изменения необходимо удалить настройку сертификата и создать заново.
Форма set
данной команды используется для указания общего имени субъекта сертификата.
Форма delete
данной команды используется для удаления настройки общего имени субъекта сертификата.
Форма show
данной команды используется для отображения настройки общего имени субъекта сертификата.
pki ca <имя> certificate <имя_сертификата> country <страна>#
Указание названия страны, в качестве одного из атрибутов идентификатора субъекта сертификата.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
имя_сертификата
Название узла конфигурации сертификата.
страна
Двухбуквенный код страны.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать двухбуквенный код страны, который входит в идентификатор субъекта сертификата. Под субъектом понимается сторона, контролирующая секретный ключ, соответствующий открытому ключу, указанному в сертификате. Идентификатор субъекта представляет собой отличительное имя субъекта в формате X.500, и состоит из набора иерархических атрибутов, в состав которых могут входить общее имя, адрес электронной почты, название организации и подразделения организации, атрибутов месторасположения таких как название страны, региона, города.
Указание страны не является обязательным.
Примечание
Значения атрибутов идентификатора субъекта сертификата, не могут быть изменены после фиксации настройки. При необходимости их изменения необходимо удалить настройку сертификата и создать заново.
Форма set
данной команды используется для указания кода страны.
Форма delete
данной команды используется для удаления настройки страны.
Форма show
данной команды используется для отображения настройки страны.
pki ca <имя> certificate <имя_сертификата> expiration <количество_дней>#
Указание количества дней, в течение которого будет действителен указанный сертификат.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
имя_сертификата
Название узла конфигурации сертификата.
количество_дней
Количество дней, в течение которого сертификат будет действителен. Сертификат действителен с момента создания в течение указанного количества дней. По умолчанию сертификат субъекта действителен в течение 1 года (365 дней).
Значение по умолчанию#
По умолчанию сертификат субъекта действителен в течение 1 года (365 дней).
Указания по использованию#
Данная команда используется для указания периода действия сертификата субъекта. Под субъектом понимается сторона, контролирующая секретный ключ, соответствующий открытому ключу, указанному в сертификате. Период действия сертификата начинается с момента создания сертификата (при фиксации настройки сертификата). Сертификат является действительным в течение указанного количества дней. После истечения срока действия сертификата он становится недействительным.
Узел конфигурации expiration
действителен только на этапе создания сертификата, на основе этого узла автоматически устанавливается дата окончания периода действия сертификата в качестве значения для узла expires-on. В дальнейшем для просмотра периода действия сертификата используется команда show pki ca <имя> certificate <имя_сертификата> expires-on <окончание_периода_действия>
.
Форма set
данной команды используется для указания периода действия сертификата субъекта.
Форма delete
данной команды используется для удаления настройки периода действия сертификата субъекта.
Форма show
данной команды используется для отображения настройки периода действия сертификата субъекта.
pki ca <имя> certificate <имя_сертификата> expires-on <окончание_периода_действия>#
Указание даты и времени окончания периода действия данного сертификата.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
имя_сертификата
Название узла конфигурации сертификата.
окончание_периода_действия
Дата и время окончания периода действия сертификата. Значение для этого параметра создается автоматически при создании сертификата на основе значения, указанного при помощи команды pki ca <имя> certificate <имя_сертификата> expiration <количество_дней>
. Изменение этого параметра невозможно.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Дата и время окончания периода действия сертификата субъекта указывается автоматически на основе заданного периода действия сертификата. Период действия указывается при создании сертификата при помощи команды pki ca <имя> certificate <имя_сертификата> expiration <количество_дней>
. Период действия начинается с момента создания сертификата.
Форма show
данной команды используется для отображения даты и времени окончания периода действия сертификата субъекта.
pki ca <имя> certificate <имя_сертификата> organization <подразделение>#
Указание названия организации, в качестве одного из атрибутов идентификатора субъекта.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
имя_сертификата
Название узла конфигурации сертификата.
организация
Название организации. В том случае если название организации содержит пробелы, его необходимо заключить в двойные кавычки.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать название организации, которое входит в идентификатор субъекта сертификата. Под субъектом понимается сторона, контролирующая секретный ключ, соответствующий открытому ключу, указанному в сертификате. Идентификатор субъекта представляет собой отличительное имя субъекта в формате X.500, и состоит из набора иерархических атрибутов, в состав которых могут входить общее имя, адрес электронной почты, название организации и подразделения организации, атрибутов месторасположения таких как название страны, региона, города.
Указание организации не является обязательным.
Примечание
Значения атрибутов идентификатора субъекта сертификата, не могут быть изменены после фиксации настройки. При необходимости их изменения необходимо удалить настройку сертификата и создать заново.
Форма set
данной команды используется для указания организации.
Форма delete
данной команды используется для удаления настройки организации.
Форма show
данной команды используется для отображения настройки организации.
pki ca <имя> certificate <имя_сертификата> organization-unit <подразделение>#
Указание названия подразделения, в качестве одного из атрибутов идентификатора субъекта.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
имя_сертификата
Название узла конфигурации сертификата.
подразделение
Название подразделения организации. В том случае если название подразделения организации содержит пробелы, его необходимо заключить в двойные кавычки.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать название подразделения организации, которое входит в идентификатор субъекта сертификата. Под субъектом понимается сторона, контролирующая секретный ключ, соответствующий открытому ключу, указанному в сертификате. Идентификатор субъекта представляет собой отличительное имя субъекта в формате X.500, и состоит из набора иерархических атрибутов, в состав которых могут входить общее имя, адрес электронной почты, название организации и подразделения организации, атрибутов месторасположения таких как название страны, региона, города.
Указание подразделения организации не является обязательным.
Примечание
Значения атрибутов идентификатора субъекта сертификата, не могут быть изменены после фиксации настройки. При необходимости их изменения необходимо удалить настройку сертификата и создать заново.
Форма set
данной команды используется для указания подразделения организации.
Форма delete
данной команды используется для удаления настройки подразделения организации.
Форма show
данной команды используется для отображения настройки подразделения организации.
pki ca <имя> certificate <имя_сертификата> email <email>#
Указание адреса электронной почты, в качестве одного из атрибутов идентификатора субъекта.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
имя_сертификата
Название узла конфигурации сертификата.
email
Адрес электронной почты.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать адрес электронной почты, который входит в идентификатор субъекта сертификата. Под субъектом понимается сторона, контролирующая секретный ключ, соответствующий открытому ключу, указанному в сертификате. Идентификатор субъекта представляет собой отличительное имя субъекта в формате X.500, и состоит из набора иерархических атрибутов, в состав которых могут входить общее имя, адрес электронной почты, название организации и подразделения организации, атрибутов месторасположения таких как название страны, региона, города.
Указание адреса электронной почты субъекта сертификата не является обязательным.
Примечание
Значения атрибутов идентификатора субъекта сертификата, не могут быть изменены после фиксации настройки. При необходимости их изменения необходимо удалить настройку сертификата и создать заново.
Форма set
данной команды используется для указания адреса электронной почты субъекта сертификата.
Форма delete
данной команды используется для удаления настройки адреса электронной почты субъекта сертификата.
Форма show
данной команды используется для отображения настройки адреса электронной почты субъекта сертификата.
pki ca <имя> certificate <имя_сертификата> province <регион>#
Указание адреса региона, в качестве одного из атрибутов идентификатора субъекта.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
имя_сертификата
Название узла конфигурации сертификата.
регион
Название региона. В том случае если название региона содержит пробелы, его необходимо заключить в двойные кавычки.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать регион, который входит в идентификатор субъекта сертификата. Под субъектом понимается сторона, контролирующая секретный ключ, соответствующий открытому ключу, указанному в сертификате. Идентификатор субъекта представляет собой отличительное имя субъекта в формате X.500, и состоит из набора иерархических атрибутов, в состав которых могут входить общее имя, адрес электронной почты, название организации и подразделения организации, атрибутов месторасположения таких как название страны, региона, города.
Указание региона для субъекта сертификата не является обязательным.
Примечание
Значения атрибутов идентификатора субъекта сертификата, не могут быть изменены после фиксации настройки. При необходимости их изменения необходимо удалить настройку сертификата и создать заново.
Форма set
данной команды используется для указания региона.
Форма delete
данной команды используется для удаления настройки региона.
Форма show
данной команды используется для отображения настройки региона.
pki ca <имя> certificate <имя_сертификата> usage <сторона> <состояние>#
Указание ограничений по использованию сертификата в расширении X509v3.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
имя_сертификата
Название узла конфигурации сертификата.
сторона
Сторона, на которой используется TLS. Допустимые значения параметра представлены в таблице ниже.
Значение | Описание |
---|---|
client | Использование сертификата для аутентификации клиента по протоколу TLS. |
server | Использование сертификата для аутентификации сервера по протоколу TLS. |
состояние
Указывает возможность использование данного сертификата для выбранной стороны. Допустимые значения представлены в таблице ниже.
Значение | Описание |
---|---|
true | Разрешается использовать сертификат для указанной стороны |
false | Запрещается использовать сертификат для указанной стороны |
Значение по умолчанию#
Отсутствует
Указания по использованию#
Данная команда позволяет установить ограничения по использованию для сертификата, используемого соединении TLS на стороне сервера или клиента.
Если ветка usage отсутствует, или если параметры client и server имеют значение false, то запись ограничивающих дополнений «область применения ключа» (KeyUsage) и «расширенная область применения ключа» (extendedKeyUsage) расширения X509v3 в указанный сертификат не производится.
При установке любого из параметров в состояние true, для полей KeyUsage и extendedKeyUsage устанавливается бит critical, означающий, что данное поле должно быть обработано, а в случае невозможности обработки - сертификат должен быть отклонен. Таким образом ПО, работающее с сертификатами - должно обрабатывать указанные биты.
При установке параметра client true значение поля extendedKeyUsage устанавливается в TLS Web Client Authentication.
При установке параметра server true значение поля extendedKeyUsage устанавливается в TLS Web Server Authentication.
Согласно RFC 5280 при установке значения TLS Web Client Authentication или TLS Web Server Authentication могут быть установлены следующие биты KeyUsage:
- digitalSignature - используется для проверки цифровых подписей;
- keyAgreement - используется для согласования ключевой информации, например при использовании обмена методом Диффи-Хеллмана;
- keyEncipherment - используется для ассиметричного шифрования других криптографических объектов, например закрытого ключа при обмене ключевой информацией.
Таким образом, система Numa Edge для обеспечения совместимости с различными реализациями УЦ устанавливает следующие значения расширений X509v3:
-
Если параметр
client
имеет значение true, то в указанный сертификат дописываются два ограничивающих дополнения:- область применения ключа (KeyUsage) с битами critical, digitalSignature, keyAgreement;
- расширенная область применения ключа (extendedKeyUsage) с битами critical, TLS Web Client Authentication.
-
Если параметр
server
имеет значение true, то в указанный сертификат дописываются два ограничивающих дополнения:- область применения ключа (KeyUsage) с битами critical, digitalSignature, keyEncipherment, keyAgreement;
- расширенная область применения ключа (extendedKeyUsage) с битами critical, TLS Web Client Authentication.
-
Если параметры
client
иserver
имеют значение true, то в этом случае в указанный сертификат дописываются два ограничивающих дополнения:- область применения ключа (KeyUsage) с битами critical, digitalSignature, keyEncipherment, keyAgreement;
- расширенная область применения ключа (extendedKeyUsage) с битами critical, clientAuth, TLS Web Client Authentication, TLS Web Server Authentication.
Форма set
данной команды используется для разрешения или запрета использования сертификата в качестве клиента или сервера за счет расширений X509v3.
Форма delete
данной команды используется для восстановления значения по умолчанию.
Форма show
данной команды используется для отображения установленного значения.
pki export ca <имя> crl <формат>#
Экспорт файла со списком отозванных сертификатов в указанном формате.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя
Название узла конфигурации удостоверяющего центра.
формат
Формат списка отозванных сертификатов. Допустимые значения представлены в таблице ниже.
Значение | Описание |
---|---|
der | Список отозванных сертификатов в формате DER |
pem | Список отозванных сертификатов в формате PEM |
имя_файла
Имя файла, содержащего список отозванных сертификатов и его местоположение.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет экспортировать список отозванных сертификатов в формате DER или PEM. По умолчанию экспорт производится на подключенный флэш-накопитель. При выполнении данной команды к устройству должен быть подключен флэш-накопитель. Монтирование и размонтирование флэш-накопителя осуществляется автоматически. Экспортируемый файл будет помещен в корневую директорию флэш-накопителя.
При указании параметра «to» производится экспорт по указанному адресу, который может быть локальным или находиться на сервере TFTP, FTP или SCP. В приведенной ниже таблице показан cинтаксис указания файла для различных местоположений файла.
Местоположение | Способ указания |
---|---|
Абсолютный путь | Используется стандартный способ указания файла в UNIX. |
Относительный путь | Указывается имя файла с путем относительно каталога конфигурации по умолчанию. |
Сервер FTP | Используется следующий синтаксис для имя_файла: ftp://пользователь@узел/файл_конфигурации, где пользователь – это имя пользователя на узле, узел – это имя узла или IP-адрес сервера FTP, а файл_конфигурации – это файл конфигурации, включая путь. Если пользователь не указан, будет выдан запрос на его ввод. Если аутентификация производится по паролю, далее будет запрошен пароль. |
Сервер SCP | Используется следующий синтаксис для имя_файла: scp://пользователь@узел/файл_конфигурации, где пользователь – это имя пользователя на узле, узел это имя узла или IP-адрес сервера SCP, а файл_конфигурации – это файл конфигурации, включая путь. Если пользователь не указан, будет выдан запрос на его ввод. Если аутентификация производится по паролю, далее будет запрошен пароль. |
Сервер TFTP | Используется следующий синтаксис для имя_файла: tftp://узел/файл_конфигурации, где узел – это имя узла или IP-адрес сервера TFTP, а файл_конфигурации – это файл конфигурации, включая путь относительно корневого каталога TFTP. |
pki export certificate <имя_сертификата>#
Экспорт сертификата субъекта, ключевой пары субъекта, сертификата УЦ, списка отозванных сертификатов.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_сертификата
Имя сертификата, который требуется экспортировать.
имя_файла
Имя архива, содержащего сертификат субъекта, ключевую пару субъекта, сертификат УЦ, список отозванных сертификатов.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет экспортировать сертификат субъекта, сертификат УЦ, секретный ключ субъекта, а также список отозванных сертификатов. По умолчанию экспорт производится на подключенный флэш-накопитель. При выполнении данной команды к устройству должен быть подключен флэш-накопитель. Монтирование и размонтирование флэш-накопителя осуществляется автоматически. Экспортируемые файлы будут помещены в корневую директорию флэш-накопителя. К экспортируемым файлам относятся: сертификат удостоверяющего центра, сертификат клиента, подписанный указанным удостоверяющим центром, секретный ключ клиента и файл, содержащий список отозванных сертификатов.
Если в качестве объекта для экспорта указывается сертификат УЦ, а не сертификат субъекта, то список отозванных сертификатов и закрытый ключ УЦ не экспортируются, т.е. производится экспорт только сертификата УЦ.
При указании параметра «to» производится экспорт в архив формата tar.gz по указанному адресу, который может быть локальным или находиться на сервере TFTP, FTP или SCP. В приведенной ниже таблице показан cинтаксис указания файла для различных местоположений файла.
Местоположение | Способ указания |
---|---|
Путь в локальной системе | Может быть указан абсолютный или относительный путь в локальной системе. В том случае если путь явно не указан, экспортируемые файлы будут помещены в текущую директорию. Используется стандартный способ указания файла в UNIX |
Сервер FTP | Используется следующий синтаксис для имя_файла: ftp://пользователь@узел/файл_конфигурации, где пользователь – это имя пользователя на узле, узел – это имя узла или IP-адрес сервера FTP, а файл_конфигурации – это файл конфигурации, включая путь. Если пользователь не указан, будет выдан запрос на его ввод. Если аутентификация производится по паролю, далее будет запрошен пароль. |
Сервер SCP | Используется следующий синтаксис для имя_файла: scp://пользователь@узел/файл_конфигурации, где пользователь – это имя пользователя на узле, узел – это имя узла или IP-адрес сервера SCP, а файл_конфигурации – это файл конфигурации, включая путь. Если пользователь не указан, будет выдан запрос на его ввод. Если аутентификация производится по паролю, далее будет запрошен пароль. |
Сервер TFTP | Используется следующий синтаксис для параметра имя_файла: tftp://узел/архив, где узел – это имя узла или IP-адрес сервера TFTP, а архив – это архив, содержащий сертификат субъекта, секретный ключ, сертификат УЦ, а также список отозванных сертификатов, включая путь относительно корневого каталога TFTP |
Примечание
При использовании команды pki export certificate <имя_сертификата>
экспортируется секретный ключ, связанный с открытым ключом, указанным в сертификате. Секретный ключ должен храниться в тайне, и не должен передаваться третьим лицам.
pki export-pkcs12 certificate <имя_сертификата> password <пароль>#
Экспорт сертификата субъекта, ключевой пары субъекта, сертификата УЦ, списка отозванных сертификатов в формате PKCS12.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_сертификата
Имя сертификата, который требуется экспортировать.
пароль
Пароль, который будет использоваться для защиты секретного ключа.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет экспортировать сертификат субъекта, сертификат УЦ, секретный ключ субъекта, а также список отозванных сертификатов на флэш-накопитель в формате PKCS12. Если в качестве объекта для экспорта указывается сертификат УЦ, а не сертификат субъекта, то список отозванных сертификатов и закрытый ключ УЦ не экспортируются, т.е. производится экспорт только сертификата УЦ.
PKCS#12 представляет собой стандарт семейства Public-Key Cryptography Standards (PKCS). Он определяет файловый формат, используемый для хранения секретных ключей в сопровождении с сертификатами, защищенный при помощи основанного на пароле симметричного ключа.
При выполнении данной команды к устройству должен быть подключен флэш-накопитель. Монтирование и размонтирование флэш-накопителя осуществляется автоматически. Экспортируемые файлы будут помещены в корневую директорию флэш-накопителя. К экспортируемым файлам относятся: сертификат формата PKCS#12 и список отзыва сертификатов (CRL) в отдельном файле.
Примечание
При использовании команды pki export-pkcs12 certificate <имя>
экспортируется секретный ключ, связанный с открытым ключом, указанным в сертификате. Секретный ключ должен храниться в тайне, и не должен передаваться третьим лицам.
pki import#
Импорт сертификата/сертификатов УЦ, сертификата субъекта, ключевой пары субъекта, сертификата УЦ, списка отозванных сертификатов.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_файла
Имя архива, содержащего сертификат субъекта, ключевую пару субъекта, сертификат УЦ и список отозванных сертификатов, если он необходим.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет импортировать сертификат субъекта, сертификат УЦ и секретный ключ субъекта, также при необходимости может быть импортирован список отозванных сертификатов. Поддерживается импорт сертификатов формата v3. При выполнении команды pki import
без параметров к устройству должен быть подключен флэш-накопитель, в корневой директории которого должны размещаться следующие файлы:
- сертификат удостоверяющего центра;
- сертификат субъекта;
- секретный ключ субъекта.
При наличии в корневом разделе файла со списком отозванных сертификатов, для него осуществляется проверка подписи. В том случае если проверка подписи для данного списка отозванных сертификатов прошла успешно, а также этот список новее имеющегося в системе, он будет импортирован.
Если для сертификата субъекта отсутствует секретный ключ, сертификат будет импортирован, но выведется предупреждение об отсутствии данного ключа.
В том случае если в импортируемом сертификате УЦ присутствует расширение CRL Distribution Points, автоматически будет произведена попытка получить актуальный список отзыва сертификатов.
Монтирование и размонтирование флэш-накопителя осуществляется автоматически. В результате выполнения указанной команды в систему будут добавлены сертификат удостоверяющего центра, сертификат субъекта, подписанный указанным удостоверяющим центром, секретный ключ и список отозванных сертификатов (при его наличии). Могут быть импортированы иерархические цепочки сертификатов. При импорте цепочки из более 2 сертификатов в конфигурационном файле будет отображен только корневой УЦ и конечные сертификаты субъектов.
При указании параметра from производится импорт сертификата из файла архива по указанному адресу, который может быть локальным или находиться на сервере TFTP, FTP или SCP. Поддерживаются архивы в формате tar.gz, tar.bz2 и zip.
В приведенной ниже таблице показан cинтаксис указания файла для различных местоположений файла.
Местоположение | Способ указания |
---|---|
Путь в локальной системе | Может быть указан абсолютный или относительный путь в локальной системе. Используется стандартный способ указания файла в UNIX |
Сервер FTP | Используется следующий синтаксис для параметра имя_файла: ftp://пользователь@узел/архив, где пользователь – это имя пользователя на узле, узел – это имя узла или IP-адрес сервера FTP, а архив - это название архива, содержащего сертификат субъекта, секретный ключ, сертификат УЦ, а также при необходимости файл, содержащий список отозванных сертификатов. Название должно включать путь к файлу. Если пользователь не указан, будет выдан запрос на его ввод. Если аутентификация производится по паролю, далее будет запрошен пароль. |
Сервер SCP | Используется следующий синтаксис для имя_файла: scp://пользователь@узел/архив, где пользователь - это имя пользователя на узле, узел это имя узла или IP-адрес сервера SCP, а архив - это архив, содержащий сертификат субъекта, секретный ключ, сертификат УЦ, а также при необходимости файл, содержащий список отозванных сертификатов. Название должно включать путь к файлу. Если пользователь не указан, будет выдан запрос на их ввод. Если аутентификация производится по паролю, далее будет запрошен пароль. |
Сервер TFTP | Используется следующий синтаксис для параметра имя_файла: tftp://узел/архив, где узел - это имя узла или IP-адрес сервера TFTP, а архив - это архив, содержащий сертификат субъекта, секретный ключ, сертификат УЦ, а также при необходимости файл, содержащий список отозванных сертификатов. Название должно включать путь относительно корневого каталога TFTP |
pki import-pkcs12 password <пароль>#
Импорт сертификата субъекта, ключевой пары субъекта, сертификата УЦ в формате PKCS12 и списка отозванных сертификатов.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
пароль
Пароль, который был указан при импорте сертификата в формате PKCS12.
имя_файла
Имя файла PKCS12, либо (при необходимости импорта списка отозванных сертификатов) имя архива, содержащего файл PKCS12 и файл со списком отозванных сертификатов. Поддерживаются архивы следующих форматов: zip, tar.bz2, tar.gz.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет импортировать с флэш-накопителя сертификат субъекта, сертификат УЦ, секретный ключ субъекта в формате PKCS12, а также список отозванных сертификатов. Поддерживается импорт сертификатов формата v3.
При выполнении команды pki import-pkcs12 password <пароль>
к устройству должен быть подключен флэш-накопитель, в корне которого размещается файл в формате PKCS12 (имеющий расширение p12). Файл в формате PKCS12 содержит:
- сертификат удостоверяющего центра;
- сертификат субъекта;
- секретный ключ субъекта.
При наличии в корневом разделе файла со списком отозванных сертификатов, для него осуществляется проверка подписи. В том случае если проверка подписи для данного списка отозванных сертификатов прошла успешно, а также этот список новее имеющегося в системе, он будет импортирован.
Если для сертификата субъекта отсутствует секретный ключ, сертификат будет импортирован, но выведется предупреждение об отсутствии ключа.
В том случае если в импортируемом сертификате УЦ присутствует расширение CRL Distribution Points, автоматически будет произведена попытка получить актуальный список отзыва сертификатов.
Монтирование и размонтирование флэш-накопителя осуществляется автоматически. В результате выполнения указанной команды в систему будет добавлен сертификат удостоверяющего центра, сертификат субъекта, подписанный указанным удостоверяющим центром, секретный ключ, также может быть добавлен список отозванных сертификатов.
При указании параметра from производится импорт сертификата из файла по указанному адресу, который может быть локальным или находиться на сервере TFTP, FTP или SCP. В приведенной ниже таблице показан cинтаксис указания файла для различных местоположений файла.
Примечание
Сертификат в формате PKCS12 включает в себя секретный ключ субъекта, в связи с этим канал связи, по которому передается такой сертификат должен быть безопасным.
Местоположение | Способ указания |
---|---|
Путь в локальной системе | Может быть указан абсолютный или относительный путь в локальной системе. Используется стандартный способ указания файла в UNIX |
Сервер FTP | Используется следующий синтаксис для параметра имя_файла: ftp://пользователь@узел/имя_файла, где пользователь – это имя пользователя на узле, узел – это имя узла или IP-адрес сервера FTP, а имя_файла - это: - название файла в формате PKCS12, содержащего сертификат субъекта, секретный ключ, сертификат УЦ; - название архива в формате zip/tar.bz2/tar.gz, содержащего файл PKCS12 и при необходимости файл со списком отозванных сертификатов. Если пользователь и пароль не указаны, будет выдан запрос на их ввод |
Сервер SCP | Используется следующий синтаксис для имя_файла:scp://пользователь@узел/имя_файла, где пользователь это имя пользователя на узле, узел это имя узла или IP-адрес сервера SCP, а имя_файла - это: - название файла в формате PKCS12, содержащего сертификат субъекта, секретный ключ, сертификат УЦ; - название архива в формате zip/tar.bz2/tar.gz, содержащего файл PKCS12 и при необходимости файл со списком отозванных сертификатов. Если пользователь не указан, будет выдан запрос на его ввод. Если аутентификация производится по паролю, далее будет запрошен пароль. |
Сервер TFTP | Используется следующий синтаксис для параметра имя_файла: tftp://узел/имя_файла где узел это имя узла или IP-адрес сервера TFTP, а имя_файла - это: - название файла в формате PKCS12, содержащего сертификат субъекта, секретный ключ, сертификат УЦ; - название архива в формате zip/tar.bz2/tar.gz, содержащего файл PKCS12 и при необходимости файл со списком отозванных сертификатов. Название указывается включая путь относительно корневого каталога TFTP |
pki revoke ca <имя> certificate <имя_сертификата>#
Команда для отзыва сертификата.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя
Имя удостоверяющего центра, который выпустил отзываемый сертификат.
имя_сертификата
Имя отзываемого сертификата.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Сертификат может быть отозван только в том случае, если на устройстве присутствует закрытый ключ удостоверяющего центра, подписавшего данный сертификат. При выполнении команды, указанный сертификат помечается как отозванный:
- в конфигурационном режиме для указанного сертификата добавляется параметр
status
со значением revoked; - для удостоверяющего центра обновляется список отзыва сертификатов (CRL).
Примечание
В конфигурационном режиме запрещено изменять параметр status для сертификатов. При попытке изменения параметра будет возвращено сообщение об ошибке:
pki update-crl#
Обновление списка отозванных сертификатов для УЦ, в сертификате которых присутствует расширение CRLDistributionPoints.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_УЦ
Имя удостоверяющего центра, для которого требуется обновить CRL.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет обновить список отзыва сертификатов для УЦ, в котором присутствует расширение CRLDistributionPoints.
В том случае если в импортируемом сертификате УЦ присутствует расширение CRLDistributionPoints, автоматически будет произведена попытка получить актуальный список отзыва сертификатов. Впоследствии обновить список отзыва сертификатов можно при помощи данной команды.
В том случае если имя УЦ, для которого требуется обновить список отозванных сертификатов, явно не указано, обновление будет осуществляться для всех сертификатов УЦ, известных модулю PKI, в которых присутствует расширение CRLDistributionPoints.