CLI¶

Обзор¶

Сертификаты используются в Access points для соединений SSL и HTTPS, а также в Health Monitoring при проверке HTTPS-сервисов.

Кроме того, можно добавлять цепочки сертификатов (RFC 5280#3.2).

Настройка¶

Для начала настройки войдите в режим конфигурации, затем перейдите в раздел vlb pki:

vlb pki¶

Загрузка и обновление через путь к файлу¶

Следующие команды позволяют загружать и обновлять сертификаты и цепочки доверия (CA-chain) из файлов, расположенных на файловой системе устройства:

import certificate NAME path NAME pkey-path NAME¶: Загрузить сертификат и закрытый ключ из указанных файлов. Первый параметр NAME задаёт имя сертификата. Путь к файлу сертификата указывается через path, путь к файлу закрытого ключа — через pkey-path.

update certificate NAME path NAME pkey-path NAME¶: Обновить существующий сертификат и закрытый ключ из указанных файлов. Параметры аналогичны команде import.

import ca-chain NAME path NAME¶: Загрузить цепочку доверия (CA-chain) из указанного файла. Первый параметр NAME задаёт имя цепочки. Путь к файлу указывается через path.

update ca-chain NAME path NAME¶: Обновить существующую цепочку доверия (CA-chain) из указанного файла. Параметры аналогичны команде import.

Изменение параметров¶

change certificate NAME {description DESCR|ocsp-responder-refresh NUM|ocsp-responder-timeout NUM|ocsp-responder-url URL}¶

Изменить параметры сертификата:

description DESCR — задать описание сертификата.
ocsp-responder-url URL — задать URL OCSP-ответчика.
ocsp-responder-refresh NUM — задать интервал обновления OCSP-ответчика (в секундах).
ocsp-responder-timeout NUM — задать таймаут OCSP-ответчика (в секундах).

change certificate NAME reset {description|ocsp-responder-refresh|ocsp-responder-timeout|ocsp-responder-url}¶: Сбросить указанный параметр сертификата до значения по умолчанию.

change ca-chain NAME description DESCR¶: Задать описание для указанной цепочки доверия (CA-chain).

change ca-chain NAME reset description¶: Сбросить описание цепочки доверия (CA-chain) до значения по умолчанию.

Экспорт¶

Следующие команды доступны из режима enable:

export certificate NAME as NAME¶: Экспортировать сертификат и закрытый ключ в каталог /var/lib/mgmtd/export/<имя_пользователя>/ как пару файлов NAME.crt и NAME.key. Первый параметр NAME задаёт имя сертификата, второй — имя выходных файлов.

export ca-chain NAME as NAME¶: Экспортировать цепочку доверия (CA-chain) в файл /var/lib/mgmtd/export/<имя_пользователя>/NAME.crt. Первый параметр NAME задаёт имя цепочки, второй — имя выходного файла.

Удаление¶

no certificate NAME¶: Удалить сертификат из конфигурации.

no ca-chain NAME¶: Удалить цепочку доверия (CA-chain) из конфигурации.

Сертификаты¶

certificate NAME¶: Войти в подрежим конфигурации сертификата с указанным именем. Если сертификат не существует, он будет создан.

Внутри подрежима Certificate доступны следующие команды:

import file NAME¶: Импортировать значение сертификата из файла. В качестве NAME необходимо указать путь до файла (обычно /home/admin/). Значение должно начинаться с -----BEGIN CERTIFICATE----- и заканчиваться -----END CERTIFICATE-----.

import terminal¶: Импортировать значение сертификата через терминал. После ввода команды нажмите Enter и затем введите сертификат в формате PEM (для завершения нажмите Enter дважды).

value VALUE¶: Задать значение сертификата в формате Base64.

private-key value VALUE¶: Задать значение закрытого ключа в формате Base64.

private-key import file NAME¶: Импортировать закрытый ключ из файла. В качестве NAME необходимо указать путь до файла (обычно /home/admin/). Ключ должен начинаться с -----BEGIN PRIVATE KEY----- и заканчиваться -----END PRIVATE KEY-----.

private-key import terminal¶: Импортировать закрытый ключ через терминал. После ввода команды нажмите Enter и затем введите ключ в формате PEM (для завершения нажмите Enter дважды).

extra-certs value VALUE¶: Задать значение дополнительного сертификата, используемого в цепочке сертификатов, в формате Base64.

Цепочки сертификатов¶

ca-chain NAME¶: Войти в подрежим конфигурации цепочки сертификатов с указанным именем. Если цепочка не существует, она будет создана.

Внутри подрежима CA-chain доступны следующие команды:

value VALUE¶: Задать значение сертификата из цепочки сертификатов в формате Base64.

import file NAME¶: Импортировать значение сертификата из файла. В качестве NAME необходимо указать путь до файла (обычно /home/admin/). Значение должно начинаться с -----BEGIN CERTIFICATE----- и заканчиваться -----END CERTIFICATE-----.

import terminal¶: Импортировать значение сертификата через терминал. После ввода команды нажмите Enter и затем введите сертификат в формате PEM (для завершения нажмите Enter дважды).

Show-команды¶

show vlb pki [certificate|ca-chain] [NAME]¶: Показать информацию обо всех сертификатах и цепочках сертификатов. Можно указать тип (certificate или ca-chain) и имя для фильтрации вывода.

show vlb pki info [certificate|ca-chain] NAME¶: Показать общую информацию об указанном сертификате или цепочке доверия (Subject, Issuer, срок действия и т.д.).

show vlb pki detail [certificate|ca-chain] NAME¶: Показать подробную информацию об указанном сертификате или цепочке доверия (включая расширения, алгоритмы подписи и т.д.).

show vlb pki verify certificate NAME¶: Проверить целостность и валидность указанного сертификата (цепочка доверия, срок действия, соответствие ключа).