Инфраструктура открытых ключей
challenge-password
Данной командой задаётся пароль, который используется для аутентификации PKI-клиентов на PKI-сервере.
Использование отрицательной формы команды (no) удаляет пароль из конфигурации.
Синтаксис
challenge-password { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }
no challenge-passwordПараметры
<CLEAR-TEXT> – пароль, задаётся строкой от 8 до 32 символов;
<ENCRYPTED-TEXT> – зашифрованный пароль размером от 8 байт до 32 байт (от 16 до 64 символов) в шестнадцатеричном формате (0xYYYY...) или (YYYY...).
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PKI-SERVER
CONFIG-TRUSTPOINT-ENROLLMENT-SCEP
Пример
esr(config-pki-server)# challenge-password StR0nnGP+ss
common-name
Данной командой задается общее имя сертификата.
Использование отрицательной формы команды (no) удаляет общее имя сертификата.
Синтаксис
common-name <COMMON-NAME>
no common-name
Параметры
<COMMON-NAME> – общее имя, задаётся строкой от 1 до 64 символов.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-TRUSTPOINT-SUBJECT-NAME
Пример
esr(config-trustpoint-subject-name)# common-name ca.company.loc
country
Данной командой задается код страны как часть отличительного имени сертификата.
Использование отрицательной формы команды (no) удаляет значение кода страны.
Синтаксис
country <COUNTRY>
no country
Параметры
<COUNTRY> – код страны, задаётся строкой длиной 2 символа. Рекомендуется использовать двухбуквенные обозначения стран "alpha-2" из стандарта ISO 3166-1.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-TRUSTPOINT-SUBJECT-NAME
Пример
esr(config-trustpoint-subject-name)# country RU
crypto pki server
Данной командой осуществляется переход в режим настройки PKI-сервера.
Использование отрицательной формы команды (no) удаляет настройки PKI-сервера из системы.
Синтаксис
[no] crypto pki server
Параметры
Отсутствуют.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# crypto pki server
crypto pki server revoke
Данной командой осуществляется отзыв выданного сертификата PKI-сервером.
Синтаксис
crypto pki server revoke <SERIAL>
Параметры
<SERIAL> – Серийный номер сертификата в HEX-формате.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# crypto pki server revoke EF:68:AA:BA:F3:06:47:2E:FF:FF:FF:FF:AA:AA:AA:AA
crypto pki server unrevoke
Данной командой осуществляется отмена отзыва выданного сертификата PKI-сервером.
Синтаксис
crypto pki server unrevoke <SERIAL>
Параметры
<SERIAL> – Серийный номер сертификата в HEX-формате.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# crypto pki server unrevoke EF:68:AA:BA:F3:06:47:2E:FF:FF:FF:FF:AA:AA:AA:AA
crypto pki trustpoint
Данной командой добавляется PKI-клиент в систему и осуществляется переход в режим настройки созданного PKI-клиента.
Использование отрицательной формы команды (no) удаляет настройки PKI-клиента из системы.
Синтаксис
[no] crypto pki trustpoint <TRUSTPOINT>
Параметры
<TRUSTPOINT> – имя PKI-клиента, задаётся строкой от 1 до 31 символа.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# crypto pki trustpoint TP_R1
crypto pki trustpoint enroll
Данной командой осуществляется запуск ручной процедуры перевыпуска PKI-клиентом сертификата от вышестоящего удостоверяющего центра.
Синтаксис
crypto pki trustpoint <TRUSTPOINT> enroll
Параметры
<TRUSTPOINT> – имя PKI-клиента, задаётся строкой от 1 до 31 символа.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# crypto pki trustpoint TP_R1 enroll
dns
Данной командой задается полное доменное имя хоста в качестве альтернативного имени сертификата.
Использование отрицательной формы команды (no) удаляет доменное имя.
Синтаксис
dns <NAME>
no dns <NAME>
Параметры
<NAME> – полное доменное имя хоста (FQDN), задается строкой от 1 до 235 символов. Пример записи доменного имени – router.example.loc.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-TRUSTPOINT-SAN
Пример
esr(config-trustpoint-san)# dns r1.company.loc
Данной командой задается адрес электронной почты в качестве альтернативного имени сертификата.
Использование отрицательной формы команды (no) удаляет адрес электронной почты.
Синтаксис
email <EMAIL>
no email <EMAIL>
Параметры
<EMAIL> – адрес электронной почты, задается строкой от 6 до 254 символов. Пример записи электронной почты – router@example.loc.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-TRUSTPOINT-SAN
Пример
esr(config-trustpoint-san)# email r1@company.loc
enable
Данной командой активируется PKI-сервер и PKI-клиент.
Использование отрицательной формы команды (no) деактивирует PKI-сервер и PKI-клиент.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Выключено
Необходимый уровень привилегий
10
Командный режим
CONFIG-PKI-SERVER
CONFIG-TRUSTPOINT
Пример
esr(config-pki-server)# enable
enrollment
Данной командой осуществляется переход в режим настройки механизма выпуска сертификата PKI-клиентом.
Использование отрицательной формы команды (no) удаляет все раннее добавленные настройки механизма выпуска сертификата.
Синтаксис
enrollment { scep | selfsigned }
no enrollmentПараметры
scep – PKI-клиент запрашивает сертификат у вышестоящего удостоверяющего центра по протоколу SCEP;
selfsigned – PKI-клиент генерирует самоподписанный сертификат.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-TRUSTPOINT
Пример
esr(config-trustpoint)# enrollment selfsigned
fingerprint
Данной командой задаётся цифровой отпечаток сертификата PKI-сервера, к которому выполняет подключение PKI-клиент. В случае несовпадения настроенного отпечатка сертификата с тем, что предоставит PKI-сервер операция PKI будет прервана.
Использование отрицательной формы команды (no) удаляет отпечаток сертификата из конфигурации.
Синтаксис
fingerprint <FINGERPRINT>
no fingerprint
Параметры
<FINGERPRINT> – значение цифровой отпечаток сертификата, полученного при помощи алгоритма MD5. Имеет размер 16 байт и задается в виде HEX-строки длиной 32 символа без разделителей (YYYY...) или 47 символов с двоеточием в роли разделителя (YY:YY:YY...).
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-TRUSTPOINT-ENROLLMENT-SCEP
Пример
esr(config-trustpoint-enrollment-scep)# fingerprint 79:D2:B6:7E:DF:77:2D:C5:27:68:99:10:BA:EC:D2:47
ipv4
Данной командой задается IPv4-адрес в качестве альтернативного имени сертификата.
Использование отрицательной формы команды (no) удаляет IPv4-адрес.
Синтаксис
ipv4 <ADDR>
no ipv4 <ADDR>
Параметры
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-TRUSTPOINT-SAN
Пример
esr(config-trustpoint-san)# ipv4 10.0.113.2
ipv6
Данной командой задается IPv6-адрес в качестве альтернативного имени сертификата.
Использование отрицательной формы команды (no) удаляет IPv6-адрес.
Синтаксис
ipv6 <IPV6-ADDR>
no ipv6 <IPV6-ADDR>
Параметры
<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-TRUSTPOINT-SAN
Пример
esr(config-trustpoint-san)# ipv6 2002:a00:7102::
lifetime
Данной командой задаётся время жизни самоподписанных сертификатов, генерируемых PKI-клиентом, в днях.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию для времени жизни самоподписанных сертификатов, генерируемых PKI-клиентом.
Синтаксис
lifetime <DAYS>
no lifetime
Параметры
<DAYS> – количество дней, принимает значения в диапазоне [1..3650].
Значение по умолчанию
3650 дней.
Необходимый уровень привилегий
15
Командный режим
CONFIG-TRUSTPOINT-ENROLLMENT-SELFSIGNED
Пример
esr(config-trustpoint-enrollment-selfsigned)# lifetime 365
lifetime
Данной командой задаётся время жизни выписываемых PKI-клиентам сертификатов в днях.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию для времени жизни выписываемых PKI-клиентам сертификатов.
Синтаксис
lifetime <DAYS>
no lifetime
Параметры
<DAYS> – количество дней, принимает значения в диапазоне [1..3650].
Значение по умолчанию
365 дней.
Необходимый уровень привилегий
10
Командный режим
CONFIG-PKI-SERVER
Пример
esr(config-pki-server)# lifetime 14
locality
Данной командой задается название населенного пункта или его территориальной единицы как часть отличительного имени сертификата.
Использование отрицательной формы команды (no) удаляет название населенного пункта или его территориальной единицы.
Синтаксис
locality <LOCATION>
no locality
Параметры
<LOCATION> – название населенного пункта или его территориальной единицы, задаётся строкой от 1 до 128 символов.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-TRUSTPOINT-SUBJECT-NAME
Пример
esr(config-trustpoint-subject-name)# locality Moscow
organization
Данной командой задается название организации как часть отличительного имени сертификата.
Использование отрицательной формы команды (no) удаляет название организации.
Синтаксис
organization <ORGANIZATION>
no organization
Параметры
<ORGANIZATION> – название организации, задаётся строкой от 1 до 64 символов.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-TRUSTPOINT-SUBJECT-NAME
Пример
esr(config-trustpoint-subject-name)# organization Company
organization-unit
Данной командой задается название подразделения организации как часть отличительного имени сертификата.
Использование отрицательной формы команды (no) удаляет название подразделения организации.
Синтаксис
organization-unit <ORGANIZATION-UNIT>
no organization-unit
Параметры
<ORGANIZATION-UNIT> – название подразделения организации, задаётся строкой от 1 до 64 символов.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-TRUSTPOINT-SUBJECT-NAME
Пример
esr(config-trustpoint-subject-name)# organization-unit ITC
show crypto pki server
Данной командой производится вывод служебной информации о PKI-сервере.
Синтаксис
show crypto pki server [ database | crl ]
Параметры
database – при указании ключевого слова "database" будет выведен список выпущенных PKI-сервером клиентских сертификатов;
crl – при указании ключевого слова "crl" будет выведен список отозванных PKI-сервером сертификатов;
Без указания ключевых слов вывод команды будет содержать общую информацию о PKI-сервере.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# show crypto pki server
Status: Enabled
Associated trustpoint: ROOT_CA
Lifetime days: 14
Certificate fingerprint: EA:13:09:02:46:6F:F3:91:46:F3:1F:AB:2F:90:CA:18
Source: 10.0.103.2
Last issued serial number: F3:C4:74:88:E8:AC:44:4D:B9:DC:CD:E8:9E:95:0A:7E
Challenge password: Active
Shadow: Inactive
ESR.CA# show crypto pki server database
Serial State Issue date Expiration Revocation Subject name
date date
----------------------------------------------- --------- ---------- ---------- ---------- ------------------------------
85:71:EC:28:6C:C8:4E:23:B2:03:03:2F:4D:DF:B8:63 Revoked 2026-03-01 2026-03-15 2026-03-12 CN=r1.company.loc/O=Company/L=
06:52:00 06:52:00 11:40:00 Moscow/ST=Moscow/C=RU
D4:F1:0C:10:9B:59:4C:88:BF:95:03:D8:F4:E2:40:8B Revoked 2026-03-12 2026-03-26 2026-12-17 CN=r1.company.loc/O=Company/L=
11:40:00 11:40:00 08:58:00 Moscow/ST=Moscow/C=RU
0A:AF:EA:35:92:E6:48:08:B3:A3:7A:8B:29:85:3B:56 Revoked 2026-12-17 2026-12-31 2027-02-25 CN=r1.company.loc/O=Company/L=
08:58:00 08:58:00 15:00:00 Moscow/ST=Moscow/C=RU
D7:C1:77:7F:F1:2E:4B:6E:82:25:FC:53:CD:ED:1A:B8 Valid 2027-02-25 2027-02-28 -- CN=r1.company.loc/O=Company/L=
15:00:00 08:59:16 Moscow/ST=Moscow/C=RU
F3:C4:74:88:E8:AC:44:4D:B9:DC:CD:E8:9E:95:0A:7E Valid 2027-02-28 2027-03-14 -- CN=r1.company.loc/O=Company/L=
08:59:16 08:59:16 Moscow/ST=Moscow/C=RU
esr# show crypto pki server crl
Version: 2
Issuer name:
CN(commonName): ca.company.loc
O(organizationName): Company
L(localityName): Moscow
ST(stateOrProvinceName): Moscow
C(countryName): RU
Update info:
Last update: 2027-02-28 08:59:16
Next update: 2027-03-01 08:59:16
Signature:
Algorithm: sha256WithRSAEncryption
Value: 2A:FB:D7:5E:84:FF:C9:FA:AA:61:A7:A1:B6:C8:71:85:FB:2A:
4E:8C:FC:95:EC:20:27:12:A1:7D:0B:70:9C:D0:E3:B1:40:D8:
BE:B4:3C:12:4B:B0:6F:1D:89:5B:33:26:4E:F9:E2:B9:C4:BB:
D7:DE:5A:17:D4:63:4E:0E:F4:EA:49:C7:22:33:03:D4:87:EC:
4D:2A:22:5C:1A:E7:1D:5E:C4:A5:47:BA:26:DE:DD:11:22:FA:
0A:CB:54:CB:F9:EB:62:4D:A1:1E:A9:EE:90:F5:31:98:21:AB:
64:DC:B6:B1:F2:D5:DC:01:47:16:D3:68:29:C5:89:B5:93:7C:
A5:C6:D4:E6:78:01:C5:7E:5E:AF:4B:CD:E6:1A:4D:12:12:97:
C1:55:BD:06:0C:30:29:4D:7F:B8:6B:BB:61:26:80:51:5A:7F:
62:7D:73:0B:3F:C7:D5:07:7C:70:4B:B4:3E:0D:27:8E:CD:AD:
1C:8D:5C:4A:7A:06:8F:1B:0B:73:A4:66:42:D7:A1:34:FA:C4:
0F:06:70:08:F0:FB:D3:0F:DD:F8:D8:4C:B4:B2:5D:DC:0A:02:
1B:A9:01:05:14:E8:05:4F:B6:76:D9:BE:F3:14:0E:B2:47:59:
A2:97:24:0F:C1:2D:4F:0C:53:6D:7B:73:98:69:AD:AF:80:2F:
2F:65:12:B6
X509v3 Authority key identifier:
ID: 86:A5:FD:79:A4:66:DA:D0:79:4E:16:37:03:47:BA:B1:97:23:
3B:A4
Critical: No
Revoked certificates:
Serial: 0A:AF:EA:35:92:E6:48:08:B3:A3:7A:8B:29:85:3B:56
Revocation date: 2027-02-25 15:00:00
Serial: 85:71:EC:28:6C:C8:4E:23:B2:03:03:2F:4D:DF:B8:63
Revocation date: 2026-03-12 11:40:00
Serial: D4:F1:0C:10:9B:59:4C:88:BF:95:03:D8:F4:E2:40:8B
Revocation date: 2026-12-17 08:58:00
esr#
show crypto pki trustpoints
Данной командой производится вывод списка сконфигурированных PKI-клиентов.
Синтаксис
show crypto pki trustpoints [ <NAME> [ cert | ca | crl | shadow-cert | shadow-ca ] ]
Параметры
<NAME> – имя PKI-клиента;
cert – при указании ключевого слова "cert" будет выведен текущий сертификат PKI-клиента;
ca – при указании ключевого слова "ca" будет выведен текущий сертификат удостоверяющего центра, который обслуживает запросы текущего PKI-клиента. Для PKI-клиента, генерирующего самоподписанные сертификаты, вывод будет эквивалентен содержимому команды с ключевым словом "cert";
crl – при указании ключевого слова "crl" будет выведен список отозванных сертификатов удостоверяющего центра, который обслуживает запросы текущего PKI-клиента;
shadow-cert – при указании ключевого слова "shadow-cert" будет выведен теневой сертификат PKI-клиента, полученный от удостоверяющего центра в рамках процедуры обновления сертификата удостоверяющего центра;
shadow-ca – при указании ключевого слова "shadow-ca" будет выведен теневой сертификат удостоверяющего центра в рамках процедуры обновления сертификата удостоверяющего центра.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
ESR.R1# show crypto pki trustpoints
Name Enrollment Usage Subject name Status Next action
--------------- ---------- ------- ------------------------------ ------------------ --------------------
TP_R1 scep ipsec CN=r1.company.loc/O=Company/L= Ready 2027-03-11 13:47:16
Moscow/ST=Moscow/C=RU
ESR.R1#
ESR.R1# show crypto pki trustpoints TP_R1 Name: TP_R1 Usage: ipsec Subject name: CN=r1.company.loc/O=Company/L=Moscow/ST=Moscow/C=RU Enrollment: scep Challenge password: Active Status: Ready Renew date: 2027-03-11 13:47:16 CRL: Active CRL status: Exist CRL renew date: 2027-03-01 08:59:16 ESR.R1#
ESR.R1# show crypto pki trustpoints TP_R1 cert
Version: 3
Serial: F3:C4:74:88:E8:AC:44:4D:B9:DC:CD:E8:9E:95:0A:7E
Subject name:
CN(commonName): r1.company.loc
O(organizationName): Company
L(localityName): Moscow
ST(stateOrProvinceName): Moscow
C(countryName): RU
Issuer name:
CN(commonName): ca.company.loc
O(organizationName): Company
L(localityName): Moscow
ST(stateOrProvinceName): Moscow
C(countryName): RU
Validity period:
Valid after: 2027-02-28 08:59:16
Invalid after: 2027-03-14 08:59:16
Signature:
Algorithm: sha256WithRSAEncryption
Value: 8E:20:A4:19:5A:B3:9D:FA:04:13:E4:82:68:D2:AC:65:CB:54:
C0:62:D1:8C:06:7F:68:6A:09:4E:AE:A8:D5:E9:38:33:0A:7D:
64:D6:06:FA:9E:57:74:27:9C:0F:F7:25:69:14:09:3C:54:A0:
F3:1B:77:D3:CE:44:9D:92:C9:97:8D:E3:41:EC:50:56:D3:9A:
AA:7D:AC:4C:25:94:3C:9C:04:70:43:9E:E9:D1:42:51:1E:0E:
7B:19:6F:14:B5:A8:64:4D:89:90:FB:0A:5E:EE:FE:06:36:9C:
A5:ED:45:14:0B:B6:3E:49:7D:C3:01:BE:AB:2F:2E:43:07:FD:
38:D0:5A:32:23:80:E4:2E:A8:67:6E:6F:FE:D7:8E:6F:4C:CE:
CB:77:07:11:52:54:6D:74:62:DD:C8:9E:53:32:D5:09:1B:FD:
17:C3:FB:B0:42:12:ED:1F:D6:0B:5D:6B:1B:39:9A:01:73:76:
25:68:63:95:67:1F:AA:FE:A4:B9:0D:96:AE:74:A8:02:69:F3:
EF:43:BA:03:01:C3:FB:BD:97:61:7D:47:9A:F0:B2:1C:82:3D:
28:E2:80:7F:DA:6C:E7:0D:F1:C0:B1:B9:F3:A5:30:1C:6A:27:
E8:BE:42:5B:DB:A7:F2:B0:F1:76:6E:60:37:41:68:F5:C5:F5:
FB:E6:9E:21
Public key info:
Algorithm: RSA
Key size: 2048
Exponent: 65537
Modulus: 00:BC:0F:F2:FC:06:0E:87:6C:3A:35:1D:64:AB:F7:7E:CA:CE:
09:F0:61:0B:AF:1B:25:D3:49:17:6C:A7:41:55:CB:2B:78:3D:
71:AD:95:40:44:6B:83:79:04:77:13:7B:04:07:C8:0E:BE:BF:
18:82:B9:3C:00:4B:AA:BD:B8:8C:4A:A0:7F:E2:06:8A:3C:C5:
F0:4E:71:00:3E:05:28:8B:3A:18:30:38:F3:CD:A9:45:8B:73:
18:3C:75:E1:0B:8D:C4:5A:24:EC:0E:D6:F3:BA:F8:47:03:05:
A9:70:41:1A:01:3F:67:DD:39:00:60:0F:5A:17:05:BA:A9:CA:
40:51:80:29:26:A8:6D:48:61:66:F9:C1:53:C2:C1:39:D0:EA:
26:64:7C:4C:37:70:C4:C8:0C:04:5C:42:08:66:66:DC:F0:2B:
3E:2B:6A:A6:9E:93:33:A8:5D:BC:FC:CD:25:C5:CF:14:AC:42:
FE:C2:DF:5C:C1:0D:5F:BD:FF:FF:73:EC:AA:C9:20:43:A2:4C:
1D:D0:AB:68:28:EE:F1:58:52:43:31:52:27:8F:DC:2E:1C:CB:
17:7D:31:07:C3:F5:D0:68:10:D0:B2:EE:ED:79:3E:D0:49:8F:
EC:73:D8:72:1E:33:74:AE:C8:64:8E:46:4A:16:6F:6E:45:5F:
48:F5:9E:C4:59
X509v3 Subject Alternative Name:
Names: IP Address:10.0.113.2
DNS:r1.company.loc
Critical: No
X509v3 Subject key identifier:
ID: B5:39:85:42:64:4D:2D:69:AB:C7:51:6A:A1:E4:2E:B9:A1:F3:
A5:82
Critical: No
X509v3 Basic Constraints:
CA: No
Critical: No
X509v3 Key Usage:
Usage: Digital Signature
Critical: Yes
X509v3 Extended Key Usage:
Usage: TLS Web Client Authentication
Critical: No
X509v3 Authority key identifier:
ID: 86:A5:FD:79:A4:66:DA:D0:79:4E:16:37:03:47:BA:B1:97:23:
3B:A4
Critical: No
ESR.R1#
source-address
Данной командой задается IPv4-адрес, который будет прослушиваться PKI-сервером для обработки входящих запросов. В случае если настройка не будет указана, PKI-сервер будет принимать запросы на всех настроенных IP-интерфейсах маршрутизатора.
Использование отрицательной формы команды (no) удаляет IPv4-адрес.
Синтаксис
source-address <ADDR>
no source-address
Параметры
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PKI-SERVER
Пример
esr(config-pki-server)# source-address 10.0.113.2
source-address
Данной командой задается IPv4-адрес, с которого PKI-клиент будет выполнять запросы к удостоверяющему центру. В случае если настройка не будет указана, PKI-клиент будет отправлять запросы с любого подходящего с точки зрения маршрутизации IP-адреса одного из сетевых интерфейсов маршрутизатора.
Использование отрицательной формы команды (no) удаляет IPv4-адрес.
Синтаксис
source-address <ADDR>
no source-address
Параметры
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-TRUSTPOINT
Пример
esr(config-trustpoint)# source-address 10.0.113.2
source-interface
Данной командой устанавливается сетевой интерфейс, который будет прослушиваться PKI-сервером для обработки входящих запросов.
При использовании отрицательной формы команды (no) удаляет прослушиваемый интерфейс.
Синтаксис
source-interface <IF>
no source-interface
Параметры
<IF> – тип и идентификатор интерфейса, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PKI-SERVER
Пример
esr(config-pki-server)# source-interface gigabitethernet 1/0/1
source-interface
Данной командой устанавливается сетевой интерфейс, с которого PKI-клиент будет выполнять запросы к удостоверяющему центру.
При использовании отрицательной формы команды (no) удаляет настройку интерфейса.
Синтаксис
source-interface <IF>
no source-interface
Параметры
<IF> – тип и идентификатор интерфейса, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
Необходимый уровень привилегий
15
Командный режим
CONFIG-TRUSTPOINT
Пример
esr(config-trustpoint)# source-interface gigabitethernet 1/0/1
state
Данной командой задается название штата, области или провинции.
Использование отрицательной формы команды (no) удаляет название штата, области или провинции.
Синтаксис
state <ORGANIZATION>
no state
Параметры
<STATE> – название штата, области или провинции, задаётся строкой от 1 до 128 символов.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-TRUSTPOINT-SUBJECT-NAME
Пример
esr(config-trustpoint-subject-name)# state Moscow
subject-alt-name
Данной командой осуществляется переход в режим настройки альтернативных имен сертификата PKI-клиента.
Использование отрицательной формы команды (no) удаляет все раннее добавленные альтернативные имена сертификата.
Синтаксис
[no] subject-alt-name
Параметры
Отсутствуют.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-TRUSTPOINT
Пример
esr(config-trustpoint)# subject-alt-name
subject-name
Данной командой осуществляется переход в режим настройки отличительного имени сертификата PKI-клиента.
Использование отрицательной формы команды (no) удаляет все раннее добавленные отличительные имена сертификата.
Синтаксис
[no] subject-name
Параметры
Отсутствуют.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-TRUSTPOINT
Пример
esr(config-trustpoint)# subject-name
trustpoint
Данной командой указывается PKI-клиент, служебные файлы которого будут использованы для работы PKI-сервера.
Использование отрицательной формы команды (no) удаляет PKI-клиента из конфигурации PKI-сервера.
Синтаксис
[no] trustpoint <TRUSTPOINT>
Параметры
<TRUSTPOINT> – имя PKI-клиента, задаётся строкой от 1 до 31 символа.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PKI-SERVER
Пример
esr(config-pki-server)# trustpoint ROOT_CA
url
Команда используется для задания URL-ссылки для подключения к PKI-серверу.
Использование отрицательной формы команды (no) удаляет URL-ссылку из конфигурации PKI-клиента.
Синтаксис
url <URL>
no url
Параметры
<URL> – текстовое поле, содержащее URL-ссылку длиной от 4 до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-TRUSTPOINT-ENROLLMENT-SCEP
Пример
esr(config-trustpoint-enrollment-scep)# url http://10.0.103.1:80/
usage
Данной командой указывается назначение выпускаемых PKI-клиентом сертификатов. Параметр влияет на список опций, запрашиваемых в запросе на сертификацию и как итог - на расширения и поля в итоговом сертификате.
Использование отрицательной формы команды (no) удаляет выбранное ранее назначение.
Синтаксис
usage { ipsec | root-ca }
no usageПараметры
ipsec – сертификат PKI-клиента будет содержать набор опций и расширений, характерный для IKE-пира, участвующего в построении IPsec туннеля;
root-ca – сертификат PKI-клиента будет содержать набор опций, характерный для корневого удостоверяющего центра цепочки PKI.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-TRUSTPOINT
Пример
esr(config-trustpoint)# usage root-ca
Ручная генерация
crypto generate cert
Данной командой производится генерация сертификата х.509. Для генерации сертификата необходим файл запроса на подписание сертификата, сертификат удостоверяющего центра (СА), а также приватный ключ.
Синтаксис
crypto generate cert csr <CSR> ca <CA> private-key <PRIVATE-KEY> [[invalid-after <TIME> <DAY> <MONTH> <YEAR>][valid-after <TIME> <DAY> <MONTH> <YEAR>]] filename <NAME>
Параметры
<CSR> – имя файла запроса на подписание сертификата;
<CA> – сертификат удостоверяющего центра (СА);
<PRIVATE-KEY> – приватный ключ;
invalid-after – параметр задаёт дату и время, до которых сертификат считается действительным;
valid-after – данный параметр задаёт дату и время, начиная с которых сертификат считается действительным;
<TIME> – время, указанное в формате ЧЧ:ММ:СС;
<DAY> – день месяца в диапазоне от 1 до 31. Если в месяце нет такого числа, то команда не отработает;
<YEAR> – год в диапазоне от 1970 до 2100 года;
<NAME> – имя сертификата х.509.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# crypto generate cert csr req.pem ca ca.cert private-key private.key filename cert.crt
crypto generate csr
Данной командой производится генерация файла запроса на подписание сертификатов. Для генерации запроса необходимо наличие приватного ключа.
Синтаксис
crypto generate csr private-key <PRIVATE-KEY> [[alternative-name <ALT-NAME>][common-name <COMMON-NAME>][country <COUNTRY>][email-address <E-MAIL>][locality <CITY>][organization <ORG-NAME>][organizational-unit <ORG-UNIT-NAME>][state <STATE>]] filename <NAME>
Параметры
<PRIVATE-KEY> – имя приватного ключа, задаётся строкой до 31 символа;
<ALT-NAME> – альтернативное имя, задаётся строкой от 5 до 255 символов;
<COMMON-NAME> – общее название, задаётся строкой до 61 символа;
<COUNTRY> – название страны, задаётся строкой до 2 символов;
<E-MAIL> – адрес электронной почты, задаётся строкой от 3 до 64 символов;
<CITY> – название населенного пункта, задаётся строкой до 128 символов;
<ORG-NAME> – название субъекта организации, задаётся строкой до 64 символов;
<ORG-UNIT-NAME> – название организационной единицы, задаётся строкой до 64 символов;
<STATE> – название области, провинции или штата, задаётся строкой до 128 символов;
<NAME> – имя файла запроса на подписание сертификатов.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# crypto generate csr private-key erver.key common-name ec-client.esr.eltex.loc country RU email-address esr@eltex.loc locality Novosibirsk organization Eltex-Co-Ltd organizational-unit ESR state NSK filename csr.pem
crypto generate pfx
Данной командой производится генерация контейнера PKCS12. Для создания контейнера необходим сертификат удостоверяющего центра (СА), сертификат x.509, выпущенный этим удостоверяющим центром и приватный ключ этого сертификата.
Синтаксис
crypto generate pfx private-key <PRIVATE-KEY> cert <CERT> ca <CA> [password ascii-text <PASSWORD>] filename <NAME>
Параметры
<PRIVATE-KEY> – имя приватного ключа;
<CERT> – имя сертификата;
<CA> – имя сертификата удостоверяющего центра (СА);
<PASSWORD> – пароль для PKCS12-контейнера;
<NAME> – имя генерируемого PKCS12-контейнера, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# crypto generate pfx private-key server.key cert server.crt ca ca.crt password ascii-text password filename gen_esr.p12
crypto generate private-key
Данной командой производится генерация приватного ключа.
Синтаксис
crypto generate private-key <KEY-TYPE> [<KEY-SIZE>] filename <NAME>
Параметры
<KEY-TYPE> – тип генерируемого ключа:
- rsa – ключ RSA;
- x25519 – ключ формата x25519, совместимый с Wireguard.
<KEY-SIZE> – размер ключа в битах. Значение может находится в диапазоне от 1024 до 4096;
<NAME> – имя ключа, задаётся строкой до 31 символа. Возможна перезапись уже существующих файлов.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# crypto generate private-key rsa 1024 filename gen_private1.key ...................++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++.....................................++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
crypto generate public-key
Данной командой производится генерация публичного ключа. Для генерации публичного ключа необходимо наличие приватного ключа.
Синтаксис
crypto generate public-key x25519 private-key <PRIVATE-KEY> filename <NAME>
Параметры
<PRIVATE-KEY> – имя приватного ключа;
<NAME> – имя публичного ключа, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# crypto generate public-key x25519 private-key server.key filename pubkey.pem
show crypto certificates
Данной командой выполнятся просмотр количества сертификатов и ключей в энергонезависимой памяти устройства, необходимых для построения VPN (cert, crl, dh, private-key, public-key, pfx и ta).
Синтаксис
show crypto certificates
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show crypto certificates Type Total ------------ ------- cert 9 dh 2 private-key 5 public-key 0 ta 1 crl 1 pfx 0
show crypto certificates cert
Данной командой выполнятся просмотр содержимого X.509-сертификатов.
Синтаксис
show crypto certificates cert [<NAME>]
Параметры
<NAME> – имя сертификата или ключа выбранного типа, задается строкой до 31 символа.
При выполнении команды без параметра происходит отображение всех сертификатов типа cert.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show crypto certificates cert ca.crt Version: 3 Serial: 04:7B:45:DD:3F:0B:00:7F:8D:AB:57:D6:1B:C5:A6:56:C0:E 8: 49:E0 Subject name: C(countryName): RU ST(stateOrProvinceName): Siberia L(localityName): Novosibirsk O(organizationName): Eltex OU(organizationalUnitName): Eltex SC CN(commonName): ca.test.loc emailAddress(emailAddress): сa@test.loc Issuer name: C(countryName): RU ST(stateOrProvinceName): Siberia L(localityName): Novosibirsk O(organizationName): Eltex OU(organizationalUnitName): Eltex SC CN(commonName): ca.test.loc emailAddress(emailAddress): ca@test.loc Validity period: Valid after: 2024-06-21 07:39:55 Invalid after: 2034-06-19 07:39:55 Signature: Algorithm: sha256WithRSAEncryption Value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ublic key info: Algorithm: RSA Key size: 4096 Exponent: 65537 Modulus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v3 Basic Constraints: CA: Yes Critical: Yes X509v3 Subject key identifier: ID: 1D:60:BA:51:B1:16:35:83:53:E1:D4:33:46:40:93:BB:05:08: 6F:FB Critical: No X509v3 Authority key identifier: ID: 1D:60:BA:51:B1:16:35:83:53:E1:D4:33:46:40:93:BB:05:08: 6F:FB Critical: No X509v3 Key Usage: Usage: Digital Signature Certificate Sign CRL Sign Critical: Yes
show crypto certificates crl
Данной командой выполнятся просмотр содержимого списка отозванных сертификатов.
Синтаксис
show crypto certificates crl [<NAME>]
Параметры
<NAME> – имя сертификата или ключа выбранного типа, задается строкой до 31 символа.
При выполнении команды без параметра происходит отображение всех сертификатов типа crl.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show crypto certificates crl ca_crl.pem Version: 2 Issuer name: C(countryName): RU ST(stateOrProvinceName): Siberia L(localityName): Novosibirsk O(organizationName): Eltex OU(organizationalUnitName): Eltex SC CN(commonName): ca.test.loc emailAddress(emailAddress): сa@test.loc Update info: Last update: 2024-06-24 08:32:32 Next update: 2024-07-24 08:32:32 Signature: Algorithm: sha256WithRSAEncryption Value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v3 Authority key identifier: ID: 1D:60:BA:51:B1:16:35:83:53:E1:D4:33:46:40:93:BB:05:08: 6F:FB Critical: No X509v3 CRL Number: Number: 4097 Critical: No Revoked certificates: Serial: 4097 Revocation date: 2024-06-24 08:32:21
show crypto certificates dh
Данной командой выполнятся просмотр имеющихся ключей Диффи-Хеллмана.
Синтаксис
show crypto certificates dh
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show crypto certificates dh File name ---------------------------------------------------------------------------------------------- default_dh.pem dh.pem
show crypto certigicates pfx
Командой выполнятся просмотр содержимого контейнера PKCS12.
Синтаксис
show crypto certificates pfx [<NAME>] [password asccii-text <PASSWORD>]
Параметры
<NAME> – имя сертификата или ключа выбранного типа, задается строкой до 31 символа.
<PASSWORD> – пароль, назначенный при генерации контейнера PKCS12. Максимальная длина строки до 64 символов.
При выполнении команды без параметра <NAME> происходит отображение всех сертификатов типа pfx.
В случае, если пароль не задан, то нужно определить только параметр <NAME>.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show crypto certificates pfx show_pkcs_no_pass.p12 MAC: Algorithm: sha1 Iteration: 2048 Length: 20 Salt length: 8 PKCS7 Encrypted data: Algorithm: pbeWithSHA1And40BitRC2-CBC Iteration: 2048 Certificate bag: X509 attributes: localKeyID 3A:56:1C:DF:6D:67:39:1B:C6:12:33:D2:29:B3:6F:B7:6A:B 1: 62:25 Version: 1 Serial: 24:60:8C:4A:B7:7E:D7:2B:11:AB:34:98:48:6A:45:66:AB:0 F: 7C:80 Subject name: C(countryName): RU ST(stateOrProvinceName): Russia L(localityName): Novosibirsk O(organizationName): Eltex Enterprise Ltd CN(commonName): esr-20 Issuer name: C(countryName): RU ST(stateOrProvinceName): Russia L(localityName): Novosibirsk O(organizationName): Eltex Enterprise Ltd CN(commonName): Eltex default certificate authority Validity period: Valid after: 1970-01-01 00:03:26 Invalid after: 2069-12-07 00:03:26 Signature: Algorithm: sha256WithRSAEncryption Value: AA:B4:6C:4A:48:E6:64:62:D9:2A:05:4D:3D:7B:F7:70:0D:6 5: BB:85:D0:BB:08:A3:75:EB:B9:B1:D1:89:B7:CD:6F:4C:55:7 A: 81:F3:7C:F2:E2:DC:68:DD:ED:4B:05:EC:9B:5A:E9:DA:DF:A D: AA:28:0B:BB:49:3E:E6:73:29:09:20:35:E4:A2:A8:64:10:1 A: C8:9B:BB:3A:60:8F:10:65:E7:EE:99:E7:C1:D9:6E:4F:61:7 8: 1D:35:A4:BD:15:7C:78:4F:6C:66:B9:4E:7A:C1:08:8F:BD:8 4: 9B:11:D1:A9:EB:3A:0E:8E:FD:97:E8:2F:0E:D6:2D:DD:9F:8 2: 76:DA:FD:02:49:E9:F8:D4:D8:0A:16:D8:28:29:4F:9A:5A:3 6: 26:2A:64:DF:3C:89:6C:EE:CD:67:45:AB:F0:D9:1F:B9:FE:8 E: 0A:C3:73:32:C6:42:55:14:B9:A8:81:CE:ED:E4:9B:4B:9B:4 9: 21:1F:7E:22:FE:36:0D:1D:86:D1:18:20:CD:66:C6:18:50:7 B: 71:85:04:46:A4:CB:E5:2A:E2:10:F0:A1:12:81:9A:BD:B1:7 D: 42:84:91:E8:BD:06:77:29:30:7C:21:FF:0F:98:F1:37:3D:C E: 5F:DC:41:3B:12:D0:CA:74:85:DB:00:18:BC:FD:F0:1B:11:9 B: C2:21:22:2B Public key info: Algorithm: RSA Key size: 2048 Exponent: 65537 Modulus: 00:96:26:17:9E:E9:03:B9:03:43:16:6A:56:43:81:F2:FB:D F: D9:F6:A1:55:9A:3A:6D:8D:84:43:31:89:CD:22:B7:C8:4E:6 1: 49:E4:3C:A0:95:3B:D4:CE:2B:93:58:5E:EE:22:26:7A:4C:A 2: 11:EA:12:87:79:7E:E0:CF:F9:BA:B3:71:DE:C4:83:4A:84:D 0: 50:7E:B0:94:EF:D3:49:B0:9F:EA:37:F5:B3:E4:10:15:C9:7 F: 2B:B6:6C:83:A5:8E:BE:0B:E3:C3:59:1A:A3:18:B2:95:E7:3 0: 15:DC:33:C7:39:48:6D:6A:FD:97:0E:17:71:BB:88:12:FE:2 0: B8:EC:96:06:9B:5E:BC:0A:F6:73:BF:BE:45:17:F2:30:C4:E 3: 2E:F6:87:D3:03:3E:3E:DC:3E:4C:EC:3D:9F:13:C7:57:56:A 2: BF:06:DD:12:D3:A3:AD:FE:AC:17:87:5D:D2:0B:7C:88:3F:6 A: 39:24:E9:A9:BF:C1:07:9C:ED:8B:98:D7:43:C7:D7:9F:80:B D: ED:9B:24:B2:AC:0C:A7:AD:AA:B0:2D:C9:8B:38:3C:A9:70:E D: 5F:1E:C0:14:24:B5:CB:EF:CF:3C:46:63:A2:D1:97:EB:48:0 9: BD:3C:1E:A8:D2:A2:91:25:6A:14:6C:BF:57:A1:E7:CB:67:2 C: B3:62:FC:B7:C1 Certificate bag: Version: 3 Serial: 44:55:FB:9A:76:2A:2A:44:EA:90:1F:43:5F:B3:44:5C:44:9 C: 2A:02 Subject name: C(countryName): RU ST(stateOrProvinceName): Russia L(localityName): Novosibirsk O(organizationName): Eltex Enterprise Ltd CN(commonName): Eltex default certificate authority Issuer name: C(countryName): RU ST(stateOrProvinceName): Russia L(localityName): Novosibirsk O(organizationName): Eltex Enterprise Ltd CN(commonName): Eltex default certificate authority Validity period: Valid after: 1970-01-01 00:03:24 Invalid after: 2069-12-07 00:03:24 Signature: Algorithm: sha256WithRSAEncryption Value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ublic key info: Algorithm: RSA Key size: 2048 Exponent: 65537 Modulus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v3 Subject key identifier: ID: 03:CC:9D:E6:A2:F0:2F:11:E6:18:48:DE:FF:C9:A4:27:54:5 B: 3F:D7 Critical: No X509v3 Authority key identifier: ID: 03:CC:9D:E6:A2:F0:2F:11:E6:18:48:DE:FF:C9:A4:27:54:5 B: 3F:D7 Critical: No X509v3 Basic Constraints: CA: Yes Critical: Yes PKCS7 Data: Shrouded Keybag: X509 attributes: localKeyID 3A:56:1C:DF:6D:67:39:1B:C6:12:33:D2:29:B3:6F:B7:6A:B 1: 62:25 Algorithm: pbeWithSHA1And3-KeyTripleDES-CBC Iteration: 2048 Key algorithm: RSA Key size: 2048
show crypto certificates private-key
Данной командой выполнятся просмотр содержимого приватного ключа.
Синтаксис
show crypto certificates private-key [<NAME>]
Параметры
<NAME> – имя сертификата или ключа выбранного типа, задается строкой до 31 символа.
При выполнении команды без параметра происходит отображение всех сертификатов типа private-key.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show crypto certificates private-key server.key Key info: File name: server.key Issuer: Private key: (2048 bit)
show crypto certificates public-key
Командой выполнятся просмотр содержимого публичного ключа.
Синтаксис
show crypto certificates public-key [<NAME>]
Параметры
<NAME> – имя сертификата или ключа выбранного типа, задается строкой до 31 символа.
При выполнении команды без параметра происходит отображение всех сертификатов типа public-key.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show crypto certificates public-key pubkey.pem File name: pubkey.pem Algorithm: - Length: 256 Location: - Fingerprint: -
show crypto certificates ta
Командой выполнятся просмотр имеющихся HMAC-ключей.
Синтаксис
show crypto certificates ta
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show crypto certificates ta File name ----------------------------------------------------------------------------------------------- ta.key