导入签名证书

使用 pki_set_pem 命令可导入 PEM 格式的签名证书。

pki_set_pem certificate=SignedCertificate  [ services=<xcli [ ,cim ]
[ ,ipsec ] ... | ALL | NONE> ]

参数

名称 描述 必需 缺省值
services 使用此证书的服务的逗号分隔列表。 N none
certificate 文件格式为 .pem 的签名证书的内容。 可以使用星号 (*) 来代替换行符。 在 Windows 中,将 .pem 文件从 Windows 资源管理器拖放至 XCLI 会话窗口中的相应位置;将自动添加内容。 Y 不适用

作为一项安全预防措施,使用 pki_show_security 命令查看纯文本证书,并确保签名算法下的证书文本不包含字符串 MD5。 这将帮助您避免遭受“抄本冲突”攻击,此攻击会导致强制执行 MD5 散列构造降级并降低预期安全性。 有关漏洞摘要,请参阅美国国家漏洞数据库

示例:

pki_set_pem certificate=validCertificateChain

输出:

Command completed successfully

访问控制

用户类别 许可权
存储管理员 允许
存储集成管理员 不允许
应用程序管理员 不允许
安全性管理员 允许
只读用户 不允许
技术人员 不允许

返回码

  • SERVICE_IS_USING_OTHER_CERTIFICATE

    服务“services”正在使用另一个证书。

    故障诊断:请编辑服务之前使用的证书。

  • PRIVATE_KEY_ALREADY_HAS_OTHER_CERTIFICATE

    与此证书匹配的专用密钥已具有另一个证书。

    故障诊断:要替换该证书,请使用 pki_update 命令。

  • CERTIFICATE_KEY_WAS_NOT_FOUND

    无法设置此证书。

    故障诊断:请确保证书参数正确。

  • SSL_CERTIFICATE_CHAIN_EMPTY

    未在输入中找到任何证书。

  • SSL_CERTIFICATE_HAS_EXPIRED

    SSL 证书已到期。

  • SSL_CERTIFICATE_INVALID_FORMAT

    SSL 证书格式无效或已损坏。

  • SSL_CERTIFICATE_ISSUER_NOT_FOUND

    未在证书链中找到 SSL 证书颁发者。

  • SSL_CERTIFICATE_NOT_YET_VALID

    SSL 证书尚未生效。

  • SSL_CERTIFICATE_VERIFICATION_FAILED

    SSL 证书链验证失败。

  • SSL_CERTIFICATE_VERIFICATION_INTERNAL_ERROR

    由于内部系统错误,SSL 证书验证失败。