attribute命令用来配置属性规则，用于根据证书的颁发者名、主题名以及备用主题名来过滤证书。

不存在属性规则，即对证书的颁发者名、主题名以及备用主题名没有限制。

id：证书属性规则序号，取值范围为1～16。

ip：指定实体的IP地址。

dn：指定实体的DN。

ctn：表示包含操作。

equ：表示相等操作。

nctn：表示不包含操作。

nequ：表示不等操作。

attribute-value：指定证书属性值，为1～255个字符的字符串，不区分大小写。

各证书属性中可包含的属性域个数有所不同：

不同类型的证书属性域与操作关键字的组合代表了不同的匹配条件，具体如下表所示：

表1-1 对证书属性域的操作涵义

如果证书的相应属性中包含了属性规则里指定的属性域，且满足属性规则中定义的匹配条件，则认为该属性与属性规则相匹配。例如：属性规则2中定义，证书的主题名DN中包含字符串abc。如果某证书的主题名的DN中确实包含了字符串abc，则认为该证书的主题名与属性规则2匹配。

只有证书中的相应属性与某属性组中的所有属性规则都匹配上，才认为该证书与此属性组匹配。如果证书中的某属性中没有包含属性规则中指定的属性域，或者不满足属性规则中的匹配条件，则认为该证书与此属性组不匹配。

# 创建证书属性规则1，定义证书主题名中的DN包含字符串abc。

# 创建证书属性规则2，定义证书颁发者名中的FQDN不等于字符串abc。

# 创建证书属性规则3，定义证书主题备用名中的IP地址不等于

ip命令用来配置PKI实体的IP地址。

undo ip命令用来恢复缺省情况。

未配置PKI实体的IP地址。

通过本命令，可以直接指定PKI实体的IP地址，也可以指定设备上某接口的主IP地址作为PKI实体的IP地址。如果指定使用某接口的IP地址，则不要求本配置执行时该接口上已经配置了IP地址，只要设备申请证书时，该接口上配置了IP地址，就可以直接使用该地址作为PKI实体身份的一部分。

未指定LDAP服务器。

host hostname：LDAP服务器的主机名，为1～255个字符的字符串，区分大小写，支持IPv4与IPv6地址的表示方法以及DNS域名的表示方法。

以下两种情况下，需要配置LDAP服务器：

在一个PKI域中，只能指定一个LDAP服务器，多次执行本命令，最后一次执行的命令生效。

locality命令用来配置PKI实体所在的地理区域名称，比如城市名称。

未配置PKI实体所在的地理区域名称。

locality-name：PKI实体所在的地理区域的名称，为1～63个字符的字符串，区分大小写，不能包含逗号。

# 配置PKI实体en所在地理区域的名称为pukras。

organization命令用来配置PKI实体所属组织的名称。

未配置PKI实体所属组织名称。

org-name：PKI实体所属的组织名称，为1～63个字符的字符串，区分大小写，不能包含逗号。

# 配置PKI实体en所属的组织名称为abc。

organization-unit命令用来指定实体所属的组织部门的名称。

未配置PKI实体所属组织部门的名称。

org-unit-name：PKI实体所属组织部门的名称，为1～63个字符的字符串，区分大小写，不能包含逗号。使用该参数可在同一个组织内区分不同部门的PKI实体。

# 配置PKI实体en所属组织部门的名称为rdtest。

domain domain-name：指定证书所在的PKI域的名称，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

用户在证书申请时，可能由于某种原因需要改变证书申请的一些参数，比如通用名、国家代码、FQDN等，而此时证书申请正在运行，为了新的申请不与之前的申请发生冲突，建议先停止之前的申请程序，再进行新的申请。

# 停止证书申请过程。

pki certificate access-control-policy命令用来创建证书访问控制策略，并进入证书访问控制策略视图。如果指定的证书访问控制策略已存在，则直接进入其视图。

不存在证书访问控制策略。

policy-name：表示证书访问控制策略名称，为1～31个字符的字符串，不区分大小写。

一个证书访问控制策略中可以定义多个证书属性的访问控制规则。

# 配置一个名称为mypolicy的证书访问控制策略，并进入证书访问控制策略视图。

pki certificate attribute-group命令用来创建证书属性组并进入证书属性组视图。如果指定的证书属性组已存在，则直接进入其视图。

group-name：证书属性组名称，为1～31个字符的字符串，不区分大小写。

一个证书属性组就是一系列证书属性规则（通过attribute命令配置）的集合，这些属性规则定义了对证书的颁发者名、主题名以及备用主题名进行过滤的匹配条件。当证书属性组下没有任何属性规则时，则认为对证书的属性没有任何限制。

# 创建一个名为mygroup的证书属性组，并进入证书属性组视图。

domain domain-name：证书所在的PKI域的名称，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

ca：表示删除CA证书。

local：表示删除本地证书。

peer：表示删除对端证书。

serial serial-num：表示通过指定序列号删除一个指定的对端证书。serial-num为对端证书的序列号，为1～127个字符的字符串，不区分大小写。在每个CA签发的证书范围内，序列号可以唯一标识一个证书。如果不指定本参数，则表示删除本PKI域中的所有对端证书。

删除CA证书时将同时删除所在PKI域中的本地证书和所有对端证书，以及CRL。

如果需要删除指定的对端证书，则需要首先通过display pki certificate命令查看本域中已有的对端证书的序列号，然后再通过指定序列号的方式删除该对端证书。

# 删除PKI域aaa中的本地证书。

# 删除PKI域aaa中的所有对端证书。

# 首先查看PKI域aaa中的对端证书，然后通过指定序列号的方式删除对端证书。

pki domain命令用来创建PKI域，并进入PKI域视图。如果指定的PKI域已存在，则直接进入PKI域视图。

domain-name：PKI域名，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

删除PKI域的同时，会将该域相关的证书和CRL都删除掉，因此请慎重操作。

pki entity命令用来创建PKI实体，并进入PKI实体视图。如果指定的PKI实体已存在，则直接进入PKI实体视图。

entity-name：PKI实体的名称，为1～31个字符的字符串，不区分大小写。

在PKI实体视图下可配置PKI实体的各种属性（通用名、组织部门、组织、地理区域、省、国家、FQDN、IP），这些属性用于描述PKI实体的身份信息。当申请证书时，PKI实体的信息将作为证书中主题（Subjuct）部分的内容。

# 创建名称为en的PKI实体，并进入该实体视图。

pki export命令用来将PKI域中的CA证书、本地证书导出到文件中或终端上。

domain domain-name：证书所在的PKI域的名称，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

der：指定证书文件格式为DER编码（包括PKCS#7格式的证书）。

p12：指定证书文件格式为PKCS#12编码。

pem：指定证书文件格式为PEM编码。

all：表示导出所有证书，包括PKI域中所有的CA证书和本地证书，但不包括RA证书。

ca：表示导出CA证书。

local：表示导出本地证书或者本地证书和其对应私钥。

passphrase p12-key：指定对PKCS12编码格式的本地证书对应的私钥进行加密所采用的口令。

3des-cbc：对本地证书对应的私钥数据采用3DES_CBC算法进行加密。

aes-128-cbc：对本地证书对应的私钥数据采用128位AES_CBC算法进行加密。

aes-192-cbc：对本地证书对应的私钥数据采用192位AES_CBC算法进行加密。

aes-256-cbc：对本地证书对应的私钥数据采用256位AES_CBC算法进行加密。

des-cbc：对本地证书对应的私钥数据采用DES_CBC算法进行加密。

pem-key：指定对PEM编码格式的本地证书对应的私钥进行加密所采用的口令。

filename filename：指定保存证书的文件名，不区分大小写。如果不指定本参数，则表示要将证书直接导出到终端上显示，这种方式仅PEM编码格式的证书才支持。

导出CA证书时，如果PKI域中只有一个CA证书则导出单个CA证书到用户指定的一个文件或终端，如果是一个CA证书链则导出整个CA证书链到用户指定的一个文件或终端。

导出本地证书时，设备上实际保存证书的证书文件名称并不一定是用户指定的名称，它与本地证书的密钥对用途相关，具体的命名规则如下（假设用户指定的文件名为filename）：

导出本地证书时，如果PKI域中有两个本地证书，则导出结果如下：

·     若不指定文件名，则将所有本地证书一次性全部导出到终端上，并由不同的提示信息进行分割显示。

导出所有证书时，如果PKI域中只有本地证书或者只有CA证书，则导出结果与单独导出相同。如果PKI域中存在本地证书和CA证书，则具体导出结果如下：

·     若指定文件名，则将每个本地证书分别导出到一个单独的文件，该本地证书对应的完整CA证书链也会同时导出到该文件中。

·     若不指定文件名，则将所有的本地证书及域中的CA证书或者CA证书链一次性全部导出到终端上，并由不同的提示信息进行分割显示。

以PKCS12格式导出所有证书时，PKI域中必须有本地证书，否则会导出失败。

以PEM格式导出本地证书或者所有证书时，若不指定私钥的加密算法和私钥加密口令，则不会导出本地证书对应的私钥信息。

以PEM格式导出本地证书或者所有证书时，若指定私钥加密算法和私钥加密口令，且此时本地证书有匹配的私钥，则同时导出本地证书的私钥信息；如果此时本地证书没有匹配的私钥，则导出该本地证书失败。

导出本地证书时，若当前PKI域中的密钥对配置已被修改，导致本地证书的公钥与该密钥对的公钥部分不匹配，则导出该本地证书失败。

导出本地证书或者所有证书时，如果PKI域中有两个本地证书，则导出某种密钥用途的本地证书失败并不会影响导出另外一个本地证书。

指定的文件名中可以带完整路径，当系统中不存在用户所指定路径时，则会导出失败。

# 导出PKI域中的本地证书到DER编码的文件，文件名称为cert-lo.der。

# 导出PKI域中的所有证书到DER编码的文件，文件名称为cert-all.p7b。

# 导出PKI域中的CA证书到PEM编码的文件，文件名称为cacert。

# 导出PKI域中的本地证书及其对应的私钥到PEM编码的文件，指定保护私钥信息的加密算法为DES_CBC、加密口令为111，文件名称为local.pem。

# 导出PKI域中所有证书到PEM编码的文件，不指定加密算法和加密口令，不导出本地证书对应的私钥信息，文件名称为all.pem。

# 以PEM格式导出PKI域中本地证书及其对应的私钥到终端，指定保护私钥信息的加密算法为DES_CBC、加密口令为111。

# 以PEM格式导出PKI域中所有证书到终端，指定保护本地证书对应私钥的加密算法为DES_CBC、加密口令为111。

# 以PEM格式导出PKI域中CA证书到终端。

# 导出PKI域中CA证书到PEM编码的文件，指定文件名称为cacert。

# 导出PKI域中CA证书（证书链）到终端。

# 导出PKI域中的本地证书及其对应的私钥到PKCS12编码的文件，指定保护私钥信息的加密口令为123，文件名称为cert-lo.der。

# 导出PKI域中的所有证书到PKCS12编码的文件，指定文件名称为cert-all.p7b。

pki import命令用来将CA证书、本地证书或对端证书导入到指定的PKI域中保存。

domain domain-name：保存证书的PKI域的名称，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

der：指定证书文件格式为DER编码（包括PKCS#7格式的证书）。

p12：指定证书文件格式为PKCS#12编码。

pem：指定证书文件格式为PEM编码。

local：表示本地证书。

peer：表示对端证书。

filename filename：要导入的证书所在的文件名，不区分大小写。如果不指定本参数，则表示要通过直接在终端上粘贴证书内容的方式导入证书，这种方式仅PEM编码格式的证书才支持。

如果设备所处的环境中，没有证书的发布点，或者CA服务器不支持通过SCEP协议与设备交互，则可通过此命令将证书导入到设备。另外，当证书对应的密钥对由CA服务器生成时，CA服务器会将证书和对应的密钥对打包成一个文件，使用这样的证书前也需要通过此命令将其导入到设备。只有PKCS#12格式或PEM格式的证书文件中可能包含密钥对。

·     需要通过FTP、TFTP等协议将证书文件传送到设备的存储介质中。如果设备所处的环境不允许使用FTP、TFTP等协议，则可以直接在终端上粘贴证书的内容，但是粘贴的证书必须是PEM格式的，因为只有PEM编码的证书内容为可打印字符。

·     必须存在签发本地证书（或对端证书）的CA证书链才能成功导入本地证书（或对端证书），这里的CA证书链可以是保存在设备上的PKI域中的，也可以是本地证书（或对端证书）中携带的。因此，若设备和本地证书（或对端证书）中都没有CA证书链，则需要首先执行导入CA证书的命令。

导入本地证书或对端证书时：

·     如果用户要导入的本地证书（或对端证书）中含有CA证书链，则可以通过导入本地证书（或对端证书）的命令一次性将CA证书和本地证书（或对端证书）均导入到设备。导入的过程中，如果发现签发此本地证书（或对端证书）的CA证书已经存在于设备上的任一PKI域中，则系统会提示用户是否将其进行覆盖。

·     如果要导入的本地证书（或对端证书）中不含有CA证书链，但签发此本地证书（或对端证书）的CA证书已经存在于设备上的任一PKI域中，则可以直接导入本地证书（或对端证书）。

·     若要导入的CA证书为根CA或者包含了完整的证书链（即含有根证书），则可以导入到设备。

·     若要导入的CA证书没有包含完整的证书链（即不含有根证书），但能够与设备上已有的CA证书拼接成完整的证书链，则也可以导入到设备；如果不能与设备上已有的CA证书拼接成完成的证书链，则不能导入到设备。

一些情况下，在证书导入的过程中，需要用户确认或输入相关信息：

fingerprint，则在导入过程中还需要确认该根证书的指纹信息是否与用户的预期一致。用户需要通过联系CA服务器管理员来获取预期的根证书指纹信息。

·     当导入含有密钥对的本地证书时，需要输入口令。用户需要联系CA服务器管理员取得口令的内容。

导入含有密钥对的本地证书时，系统首先会根据查找到的PKI域中已有的密钥对配置来保存该密钥对。若PKI域中已保存了对应的密钥对，则设备会提示用户选择是否覆盖已有的密钥对。若PKI域中没有任何密钥对的配置，则根据密钥对的算法及证书的密钥用途，生成相应的密钥对配置。密钥对的具体保存规则如下：

·     如果本地证书携带的密钥对的用途为通用，则依次查找指定PKI域中通用用途、签名用途、加密用途的密钥对配置，并以找到配置中的密钥对名称保存该密钥对；若以上用途的密钥对配置均不存在，则提示用户输入密钥对名称（缺省的密钥对名称为PKI域的名称），并生成相应的密钥对配置。

·     如果本地证书携带的密钥对的用途为签名，则依次查找指定PKI域中通用用途、签名用途的密钥对配置，并以找到配置中的密钥对名称保存该密钥对；若以上两种用途的密钥对配置均不存在，则提示用户输入密钥对名称（缺省的密钥对名称为PKI域的名称），并生成相应的密钥对配置。

·     如果本地证书携带的密钥对的用途为加密，则查找指定PKI域中加密用途的密钥对配置，并以该配置中的密钥对名称保存密钥对；若加密用途密钥对的配置不存在，则提示用户输入密钥对名称（缺省的密钥对名称为PKI域的名称），并生成相应的密钥对配置。

由于以上过程中系统会自动更新或生成密钥对配置，因此建议用户在进行此类导入操作后，保存配置文件。

# 向PKI域aaa中导入CA证书，证书文件格式为PEM编码，证书文件名称为rootca_pem.cer，证书文件中包含根证书。

# 向PKI域bbb中导入CA证书，证书文件格式为PEM编码，证书文件名称为aca_pem.cer，证书文件中不包含根证书。

# 向PKI域bbb中导入本地证书，证书文件格式为PKCS#12编码，证书文件名称为local-ca.p12，证书文件中包含了密钥对。

# 向PKI域bbb中通过粘贴证书内容的方式导入PEM编码的本地证书。证书中含有密钥对和CA证书链。

domain domain-name：指定证书申请所属的 PKI域名，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

password password：在证书撤销时需要提供的口令，为1～31个字符的字符串，区分大小写。该口令包含在提交给CA的证书申请中，在吊销该证书时，需要提供该口令。

pkcs10：在终端上显示出BASE64格式的PKCS#10证书申请信息，该信息可用于带外方式（如电话、磁盘、电子邮件等）的证书请求。

filename filename：将PKCS#10格式的证书申请信息保存到本地的文件中。其中，filename表示保存证书申请信息的文件名，不区分大小写。

当SCEP协议不能正常通信时，可以通过执行指定参数pkcs10的本命令打印出本地的证书申请信息（BASE64格式），或者通过执行指定pkcs10 filename filename参数的本命令将证书申请信息直接保存到本地的指定文件中，然后通过带外方式将这些本地证书申请信息发送给CA进行证书申请。指定的文件名中可以带完整路径，当系统中不存在用户所指定路径时，则会保存失败。

此命令不会被保存在配置文件中。

# 在终端上显示PKCS#10格式的证书申请信息。

# 手工申请本地证书。

pki retrieve-certificate命令用来从证书发布服务器上在线获取证书并下载至本地。

domain domain-name：指定证书所在的PKI域的名称，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

ca：表示获取CA证书。

local：表示获取本地证书。

peer entity-name：表示获取对端的证书。其中entity-name为对端的实体名，为1～31个字符的字符串，不区分大小写。

获取CA证书是通过SCEP协议进行的。获取CA证书时，如果本地已有CA证书存在，则该操作将不被允许。这种情况下，若要重新获取CA证书，请先使用pki delete-certificate命令删除已有的CA证书与对应的本地证书后，再执行此命令。

获取本地证书和对端证书是通过LDAP协议进行的。获取本地证书或对端证书时，如果本地已有本地证书或对端证书，则该操作是被允许进行的。最终，属于一个PKI实体的同一种公钥算法的本地证书只能存在一个，后者直接覆盖已有的，但对于RSA算法的证书而言，可以存在一个签名用途的证书和一个加密用途的证书。

所有获取到的CA证书、本地证书或对端证书只有通过验证之后才会被保存到本地证书库中。

此命令不会被保存在配置文件中。

# 从证书发布服务器上获取CA证书。（需要用户确认CA根证书的指纹）

# 从证书发布服务器上获取本地证书。

# 从证书发布服务器上获取对端证书。

domain-name：指定CRL所属的PKI域的名称，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

获取CRL的目的是为了验证PKI域中的本地证书和对端证书的合法性。若要成功获取CRL，PKI域中必须存在CA证书。

设备支持通过HTTP、LDAP或SCEP协议从CRL发布点上获取CRL，具体采用那种协议，由PKI域中CRL发布点的配置决定：

·     若PKI域中没有配置CRL发布点，则设备会依次从本地证书、CA证书中查找CRL的发布点，如果从中查找到了CRL发布点，则通过该发布点获取CRL；否则，通过SCEP协议获取CRL。

pki storage命令用来配置证书和CRL的存储路径。

证书和CRL的存储路径为设备存储介质上的PKI目录，此PKI目录在设备首次成功申请、获取或导入证书时自动创建。

crls：指定CRL的存储目录。

dir-path：存储目录的路径名称，区分大小写，不能以‘/’开头，不能包含“../”。dir-path可以是绝对路径也可以是相对路径，但必须已经存在。

dir-path只能是当前主控板上的路径，不能是其它主控板上的路径。

设备缺省的PKI目录在设备首次成功申请、获取或导入证书时自动创建。

如果需要指定的目录还不存在，需要先使用mkdir命令创建这个目录，再使用此命令配存储路径。若修改了证书或CRL的存储目录，则原存储路径下的证书文件（以.cer和.p12为后缀的文件）和CRL文件（以.crl为后缀的文件）将被移动到该路径下保存，且原存储路径下的其它文件不受影响。

domain domain-name：指定证书所在的PKI域的名称，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

ca：表示验证CA证书。

local：表示验证本地证书。

证书验证的内容包括：证书是否由用户信任的CA签发；证书是否仍在有效期内；如果使能了CRL检查功能，还会验证证书是否被吊销。如果验证证书的时候，PKI域中没有CRL，则会先从本地证书库中查找是否存在CRL，如果找到CRL，则把证书库中保存的CRL加载到该PKI域中，否则，就从CA服务器上获取并保存到本地。

导入证书、申请证书、获取证书以及应用程序使用PKI功能时，都会自动对证书进行验证，因此一般不需要使用此命令进行额外的验证。如果用户希望在没有任何前述操作的情况下单独执行证书的验证，可以使用此命令。

验证CA证书时，会对从当前CA到根CA的整条CA证书链进行CRL检查。

# 验证PKI域aaa中的CA证书的有效性。

# 验证PKI域aaa中的本地证书的有效性。

未指定申请证书使用的密钥对。

name key-name：密钥对的名称，为1～64个字符的字符串，不区分大小写，只能包含字母、数字和连字符“-”。

length key-length：密钥的长度。key-length的取值范围为512～2048，单位为比特，缺省值为1024。密钥越长，密钥安全性越高，但相关的公钥运算越耗时。

本命令中引用的密钥对并不要求已经存在，可以通过以下任意一种途径获得：

·     通过应用程序认证过程触发生成。例如IKE协商过程中，如果使用数字签名认证方式，则可能会触发生成密钥对。

一个PKI域中只能同时存在一种算法（RSA、DSA或ECDSA）的密钥对。对于RSA密钥对来说，一个PKI域中只允许单独存在一种用途的RSA密钥对，或同时存在一个用于签名的和一个用于加密的RSA密钥对。因此，在一个PKI域中，除RSA签名密钥对和RSA加密密钥对的配置不会互相覆盖之外，其它类型的新的密钥对配置均会覆盖已有的密钥对配置。

本命令中指定的密钥长度仅对将要由设备生成的密钥对有效。如果执行本命令时，设备上已经存在指定名称的密钥对，则后续通过此命令指定的该密钥对的密钥长度没有意义。如果指定名称的密钥对是通过导入证书的方式获得，则通过本命令指定的密钥长度也没有意义。

# 指定证书申请所使用的DSA密钥对为abc，密钥的长度为2048比特。

未指定申请证书使用的密钥对。

name key-name：密钥对的名称，为1～64个字符的字符串，不区分大小写，只能包含字母、数字和连字符“-”。

secp192r1：密钥对使用的椭圆曲线算法的名称为secp192r1，密钥长度为192比特。

secp256r1：密钥对使用的椭圆曲线算法的名称为secp256r1，密钥长度为256比特。

secp384r1：密钥对使用的椭圆曲线算法的名称为secp384r1，密钥长度为384比特。

本命令中引用的密钥对并不要求已经存在，可以通过以下任意一种途径获得：

·     通过应用程序认证过程触发生成。例如IKE协商过程中，如果使用数字签名认证方式，则可能会触发生成密钥对。

若未指定任何参数，则缺省使用密钥对secp192r1。

一个PKI域中只能同时存在一种算法（RSA、DSA或ECDSA）的密钥对。对于RSA密钥对来说，一个PKI域中只允许单独存在一种用途的RSA密钥对，或同时存在一个用于签名的和一个用于加密的RSA密钥对。因此，在一个PKI域中，除RSA签名密钥对和RSA加密密钥对的配置不会互相覆盖之外，其它类型的新的密钥对配置均会覆盖已有的密钥对配置。

本命令中指定的密钥长度仅对将要由设备生成的密钥对有效。如果执行本命令时，设备上已经存在指定名称的密钥对，则后续通过此命令指定的该密钥对的密钥长度没有意义。如果指定名称的密钥对是通过导入证书的方式获得，则通过本命令指定的密钥长度也没有意义。

# 指定证书申请所使用的ECDSA密钥对为abc，椭圆曲线算法的名称为secp384r1。

未指定申请证书使用的密钥对。

encryption：指定密钥对的用途为加密。

name encryption-key-name：加密密钥对的名称，为1～64个字符的字符串，不区分大小写，只能包含字母、数字和连字符“-”。

signature：指定密钥对的用途为签名。

name signature-key-name：签名密钥对的名称，为1～64个字符的字符串，不区分大小写，只能包含字母、数字和连字符“-”。

general：指定密钥对的用途为通用，既可以用于签名也可以用于加密。

name key-name：通用密钥对的名称，为1～64个字符的字符串，不区分大小写，只能包含字母、数字和连字符“-”。

length key-length：密钥的长度。key-length的取值范围为512～2048，单位为比特，缺省为1024。密钥越长，密钥安全性越高，但相关的公钥运算越耗时。

本命令中引用的密钥对并不要求已经存在，可以通过以下任意一种途径获得：

·     通过应用程序认证过程触发生成。例如IKE协商过程中，如果使用数字签名认证方式，则可能会触发生成密钥对。

一个PKI域中只能同时存在一种算法（RSA、DSA或ECDSA）的密钥对。对于RSA密钥对来说，一个PKI域中只允许单独存在一种用途的RSA密钥对，或同时存在一个用于签名的和一个用于加密的RSA密钥对。因此，在一个PKI域中，除RSA签名密钥对和RSA加密密钥对的配置不会互相覆盖之外，其它类型的新的密钥对配置均会覆盖已有的密钥对配置。

分别指定RSA签名密钥对和RSA加密密钥对时，它们的密钥长度可以不相同。

本命令中指定的密钥长度仅对将要由设备生成的密钥对有效。如果执行本命令时，设备上已经存在指定名称的密钥对，则后续通过此命令指定的该密钥对的密钥长度没有意义。如果指定名称的密钥对是通过导入证书的方式获得，则通过本命令指定的密钥长度也没有意义。

# 指定证书申请所使用的RSA密钥对为abc，密钥用途为通用，密钥的长度为2048比特。

# 指定证书申请所使用的加密RSA密钥对为rsa1（密钥的长度为2048比特），签名RSA密钥对为sig1（密钥的长度为2048比特）。

未指定验证CA根证书时使用的指纹。

string：指定所使用的指纹信息。当选择MD5指纹时，string必须为32个字符的字符串，并且以16进制的形式输入；当选择SHA1指纹时，string必须为40个字符的字符串，并且以16进制的形式输入。

当本地证书申请模式为自动方式且PKI域中没有CA证书时，必须通过本命令配置验证CA证书时所使用的指纹。当IKE协商等应用触发设备进行本地证书申请时，设备会自动从CA服务器上获取CA证书，如果获取的CA证书中包含了本地不存在的CA根证书，则设备会验证该CA根证书的指纹。此时，如果设备上没有配置CA根证书指纹或者配置了错误的CA根证书指纹，则本地证书申请失败。

retrieval命令获取CA证书时，可以选择是否配置验证CA根证书使用的指纹：如果PKI域中配置了验证CA根证书使用的指纹，则当导入的CA证书文件或者获取的CA证书中包含本地不存在的CA根证书时，直接使用配置的CA根证书指纹进行验证。如果配置了错误的CA根证书指纹，则CA证书导入和CA证书获取均会失败；否则，需要用户来确认该CA证书的CA根证书指纹是否可信。

# 配置验证CA根证书时使用的MD5指纹。

# 配置验证CA根证书时使用的SHA1指纹。

rule命令用来配置证书属性的访问控制规则。

undo rule命令用来删除指定的证书属性访问控制规则。

不存在证书属性的访问控制规则。

id：证书属性访问控制规则编号，取值范围为1～16，缺省值为当前还未被使用的且合法的最小编号，取值越小优先级越高。

deny：当证书的属性与所关联的属性组匹配时，认为该证书无效，未通过访问控制策略的检测。

permit：当证书的属性与所关联的属性组匹配时，认为该证书有效，通过了访问控制策略的检测。

group-name：规则所关联的证书属性组名称，为1～31个字符的字符串，不区分大小写。

配置证书属性访问控制规则时，可以关联一个当前并不存在的证书属性组，后续可以通过命令pki certificate attribute-group完成相应的配置。

若规则所关联的证书属性组中没有定义任何属性规则（通过命令attribute配置），或关联的证书属性组不存在，则认为被检测的证书属性与该属性组匹配。

如果一个访问控制策略中有多个规则，则按照规则编号从小到大的顺序遍历所有规则，一旦证书与某一个规则匹配，则立即结束检测，不再继续匹配其它规则；若遍历完所有规则后，证书没有与任何规则匹配，则认为该证书不能通过访问控制策略的检测。

# 配置一个访问控制规则，要求当证书与证书属性组mygroup匹配时，认为该证书有效，通过了访问控制策略的检测。

source命令用来指定PKI操作产生的协议报文使用的源IP地址。

PKI操作产生的协议报文的源IP地址为系统根据路由表项查找到的出接口的地址。

如果希望PKI操作产生的协议报文的源IP地址是一个特定的地址，则需要配置此命令，例如CA服务器上的策略要求仅接受来自指定地址或网段的证书申请。如果该IP地址是动态获取的，则可以指定一个接口，使用该接口上的IP地址作为源地址。

此处指定的源IP地址，必须与CA服务器之间路由可达。

一个PKI域中只能存在一个源IP地址，后配置的生效。

# 指定PKI操作产生的协议报文的源IP地址为111.1.1.8。

# 指定PKI操作产生的协议报文的源IPv6地址为1::8。

state命令用来配置PKI实体所属的州或省的名称。

undo state命令用来恢复缺省情况。

未配置PKI实体所属的州或省的名称。

state-name：PKI实体所属的州或省的名称，为1～63个字符的字符串，区分大小写，不能包含逗号。

subject-dn命令用来配置PKI实体的识别名，包括通用名、国家代码、地理区域名称、组织名称、组织部门名称和省份名称参数。

未配置PKI实体的识别名。

dn-string：PKI实体的识别名，长度为1～255个字符的字符串，不区分大小写。

PKI实体识别名的参数格式为：参数=参数值，多个参数之间以逗号分隔，且可以对同一个参数多次赋值。例如CN=aaa，CN=bbb，C=cn。PKI实体识别名支持的参数包括：

多次执行本命令，最后一次执行的命令生效。

# 配置PKI实体en的通用名为test，所属的国家代码为CN，所属的组织名称为abc，所属组织部门的名称为rdtest，所属组织部门的名称为rstest，所在省为countryA，所在地理区域的名称为pukras。

usage命令用来指定证书的扩展用途。

undo usage命令用来删除指定证书的扩展用途。

未指定证书的扩展用途，表示可用于所有用途。

ike：指定证书扩展用途为IKE，即IKE对等体使用的证书。

ssl-client：指定证书扩展用途为SSL客户端，即SSL客户端使用的证书。

ssl-server：指定证书扩展用途为SSL服务器端，即SSL服务器端使用的证书。

若不指定任何参数，则undo usage命令表示删除所有指定的证书扩展用途，证书的用途由证书的使用者决定，PKI不做任何限定。

证书中携带的扩展用途与CA服务器的策略相关，申请到的证书中的扩展用途可能与此处指定的不完全一致，最终请以CA服务器的实际情况为准。

# 指定证书扩展用途为IKE。