Перейти к основному содержимому

Команда sslcfg

Используйте эту команду для отображения и настройки SSL для IMM и управления сертификатами.

Команда sslcfg служит для создания нового ключа шифрования и самозаверяющего сертификата или запроса на подпись сертификата (CSR).

Синтаксис:
sslcfg [-options]
Табл. 1. Параметры sslcfg
ПараметрОписаниеЗначения
-serverСостояние «Сеть через HTTPS»enabled, disabled
Прим.
  • Подключение «Сеть через HTTPS» можно включить только при наличии сертификата.
  • Используйте -rm, чтобы полностью отключить сертификат.
-clientСостояние безопасного LDAPenabled, disabled
Прим.
Клиент SSL можно включить только при наличии действительного сертификата сервера или клиента.
-certСоздание самозаверяющего сертификатаserver, client, sysdir, storekey
Прим.
  • Значения для параметров команд -c, -sp, -cl, -on, and -hn при создании самозаверяющего сертификата являются обязательными.
  • Значения для параметров команд -cp, -ea, -ou, -s, -gn, -in и -dq при создании самозаверяющего сертификата являются необязательными.
-csrСоздание запроса CSRserver, client, sysdir, storekey
Прим.
  • Значения для параметров команд -c, -sp, -cl, -on и -hn при создании запроса CSR являются обязательными.
  • Значения для параметров команд -cp, -ea, -ou, -s, -gn, -in, -dq, -cpwd и -un при создании запроса CSR являются необязательными.
-formФормат CSR или сертификата, который будет экспортирован.der, pem (pem по умолчанию)
-algoАлгоритм CSRp256, p384, rsa2048, rsa3072, rsa4096
Прим.
Если нет параметра -algo, будет установлено значение по умолчанию (p256).
-rmУдаление сертификатаserver, storekey
Прим.
Самозаверяющий сертификат (сервер) по умолчанию будет сгенерирован автоматически после удаления текущего.
-iIP-адрес сервера TFTP/SFTPДопустимый IP-адрес
Прим.
Необходимо задать IP-адрес для сервера TFTP или SFTP при отправке сертификата или загрузке сертификата или запроса CSR.
-pnНомер порта сервера TFTP/SFTPДопустимый номер порта (по умолчанию 69/22)
-uИмя пользователя для сервера SFTPДопустимое имя пользователя
-pwПароль для сервера SFTPДопустимый пароль
-lИмя файла с сертификатомДопустимое имя файла
Прим.
При загрузке или отправке сертификата или запроса CSR имя файла является обязательным. Если имя файла для загрузки не указано, используется и отображается имя файла по умолчанию.
-dnldЭкспортирует указанный файл на удаленный хостЭтот параметр не принимает аргументы, но должен использоваться с параметром -cert или -csr, а также с параметрами -i и -l.
-upldИмпорт файла сертификатаЭтот параметр не принимает аргументы, однако необходимо все равно задать значения для параметров команд -cert, -i и -l.
-tcxДоверенный сертификат x для клиента SSLimport, download, remove
Прим.
Номер доверенного сертификата x задается в виде целого числа от 1 до 4 в параметре команды.
Обязательные параметры при создании самозаверяющего сертификата или CSR
Прим.
Обязателен при создании самозаверяющего сертификата или CSR.
-cСтранаКод страны (2 буквы)
-spРегионСтрока с разделителями в виде кавычек (не более 60 символов)
-clГород или муниципальная единицаСтрока с разделителями в виде кавычек (не более 50 символов)
-onНазвание организацииСтрока с разделителями в виде кавычек (не более 60 символов)
-hnИмя хоста BMCСтрока (не более 60 символов)
Необязательные параметры при создании самозаверяющего сертификата или CSR
Прим.
Необязателен при создании самозаверяющего сертификата или CSR.
-cpКонтактное лицоСтрока с разделителями в виде кавычек (не более 60 символов)
-eaАдрес электронной почты контактного лицаДействительный адрес электронной почты (не более 60 символов)
-ouОрганизационная единицаСтрока с разделителями в виде кавычек (не более 60 символов)
-sФамилияСтрока с разделителями в виде кавычек (не более 60 символов)
-gnИмяСтрока с разделителями в виде кавычек (не более 60 символов)
-inИнициалыСтрока с разделителями в виде кавычек (не более 20 символов)
-dqКвалификатор доменного имениСтрока с разделителями в виде кавычек (не более 60 символов)
Необязательные параметры при создании CSR
Прим.
Необязателен при создании CSR.
-cpwdПароль запросаСтрока (длиной от 6 до 30 символов)
-unНеструктурированное имяСтрока с разделителями в виде кавычек (не более 60 символов)
Примеры:
system> sslcfg
-server enabled
-client disabled
-sysdir enabled
SSL Server Certificate status:
 A self-signed certificate is installed
SSL Client Certificate status:
 A self-signed certificate is installed
SSL Client Trusted Certificate status:
 Trusted Certificate 1: Not available
 Trusted Certificate 2: Not available
 Trusted Certificate 3: Not available
 Trusted Certificate 4: Not available

Примеры сертификата клиента:

  • Чтобы создать CSR для хранилища ключей, введите следующую команду:
    system> sslcfg -csr storekey -c US -sp NC -cl rtp -on LNV -hn XCC-5cf3fc -cp Contact -ea "" -ou""
    ok
  • Чтобы загрузить сертификат из IMM на другой сервер, введите следующую команду:
    system> sslcfg -csr storekey -dnld -i 192.168.70.230 -l storekey.csr
    ok
  • Чтобы отправить сертификат, обработанный центром сертификации (ЦС), введите следующую команду:
    system> sslcfg -cert storekey -upld -i 192.168.70.230 -l tklm.der
  • Чтобы создать самозаверяющий сертификат, введите следующую команду:
    system> sslcfg -cert storekey -c US -sp NC -cl rtp -on LNV -hn XCC-5cf3fc -cp Contact -ea "" -ou "
    ok

Пример сертификата сервера SKLM:

  • Чтобы импортировать сертификат сервера SKLM, введите следующую команду:
    system> storekeycfg -add -ip 192.168.70.200 -f tklm-server.der
    ok