导入 PKCS#12 证书
使用 pki_set_pkcs12 命令导入 PKCS#12 证书。
pki_set_pkcs12 name=Name password=Password certificate=Base64Data
[ services=<xcli [ ,cim ] [ ,ipsec ] ... | ALL | NONE> ]
参数
| 名称 | 类型 | 描述 | 必需 | 缺省值 |
|---|---|---|---|---|
| services | 不适用 | 使用此证书的服务的逗号分隔列表。 | N | none |
| password | 字符串 | PKCS#12 文件密码。 | Y | 不适用 |
| name | 字符串 | 证书的符号名称。 | Y | 不适用 |
| certificate | 不适用 | PKCS#12 内容采用单行 base64 格式。 例如,可以通过 base64 实用程序创建这样的输入:base64 -w0 myCert.pfx | Y | 不适用 |
作为一项安全预防措施,使用 pki_show_security 命令查看纯文本证书,并确保签名算法下的证书文本不包含字符串 MD5。 这将帮助您避免遭受“抄本冲突”攻击,此攻击会导致强制执行 MD5 散列构造降级并降低预期安全性。 有关漏洞摘要,请参阅美国国家漏洞数据库。
示例:
pki_set_pkcs12 name=myPki password=pkiPassword certificate=pkiCertificateBase64
输出:
Command completed successfully
访问控制
| 用户类别 | 许可权 |
|---|---|
| 存储管理员 | 已允许 |
| 存储集成管理员 | 已禁止 |
| 应用程序管理员 | 已禁止 |
| 安全性管理员 | 已允许 |
| 只读用户 | 已禁止 |
| 技术人员 | 已禁止 |
返回码
- SERVICE_IS_USING_OTHER_CERTIFICATE
服务“services”正在使用其他证书。
故障诊断:请编辑服务先前使用的证书。
- CANNOT_VALIDATE_PKCS12_FILE
无法验证 PKCS#12 文件。
故障诊断:请确保 PKCS#12 文件内容是否编码为 base64,以及密码是否正确。
- DEFAULT_CERTIFICATE_ALREADY_EXIST
已存在其他缺省证书。
故障诊断:移除缺省证书,或者使其不使用缺省值。
- CERTIFICATE_NAME_ALREADY_EXIST
具有指示名称的证书已存在。
故障诊断:请输入其他名称。
- BAD_BASE64_DATA
数据无法解码为 base-64 数据。
- FAILED_GETTING_PRIVATE_KEY_FINGERPRINT
无法检索专用密钥指纹。
- FAILED_ENCRYPTING_PRIVATE_KEY
无法加密专用密钥。
- CERTIFICATE_CONTAINER_FULL
无法添加更多证书,已达到最大数量。
故障诊断:请删除一个证书。