导入签名证书
使用 pki_set_pem 命令可导入 PEM 格式的签名证书。
pki_set_pem certificate=SignedCertificate [ services=<xcli [ ,cim ]
[ ,ipsec ] ... | ALL | NONE> ]
参数
| 名称 | 描述 | 必需 | 缺省值 |
|---|---|---|---|
| services | 使用此证书的服务的逗号分隔列表。 | N | none |
| certificate | 文件格式为 .pem 的签名证书的内容。 可以使用星号 (*) 来代替换行符。 在 Windows 中,将 .pem 文件从 Windows 资源管理器拖放至 XCLI 会话窗口中的相应位置;将自动添加内容。 | Y | 不适用 |
作为一项安全预防措施,使用 pki_show_security 命令查看纯文本证书,并确保签名算法下的证书文本不包含字符串 MD5。 这将帮助您避免遭受“抄本冲突”攻击,此攻击会导致强制执行 MD5 散列构造降级并降低预期安全性。 有关漏洞摘要,请参阅美国国家漏洞数据库。
示例:
pki_set_pem certificate=validCertificateChain
输出:
Command completed successfully
访问控制
| 用户类别 | 许可权 |
|---|---|
| 存储管理员 | 允许 |
| 存储集成管理员 | 不允许 |
| 应用程序管理员 | 不允许 |
| 安全性管理员 | 允许 |
| 只读用户 | 不允许 |
| 技术人员 | 不允许 |
返回码
- SERVICE_IS_USING_OTHER_CERTIFICATE
服务“services”正在使用另一个证书。
故障诊断:请编辑服务之前使用的证书。
- PRIVATE_KEY_ALREADY_HAS_OTHER_CERTIFICATE
与此证书匹配的专用密钥已具有另一个证书。
故障诊断:要替换该证书,请使用 pki_update 命令。
- CERTIFICATE_KEY_WAS_NOT_FOUND
无法设置此证书。
故障诊断:请确保证书参数正确。
- SSL_CERTIFICATE_CHAIN_EMPTY
未在输入中找到任何证书。
- SSL_CERTIFICATE_HAS_EXPIRED
SSL 证书已到期。
- SSL_CERTIFICATE_INVALID_FORMAT
SSL 证书格式无效或已损坏。
- SSL_CERTIFICATE_ISSUER_NOT_FOUND
未在证书链中找到 SSL 证书颁发者。
- SSL_CERTIFICATE_NOT_YET_VALID
SSL 证书尚未生效。
- SSL_CERTIFICATE_VERIFICATION_FAILED
SSL 证书链验证失败。
- SSL_CERTIFICATE_VERIFICATION_INTERNAL_ERROR
由于内部系统错误,SSL 证书验证失败。