auto-enroll

命令功能

auto-enroll命令用来开启证书自动注册和更新功能。

undo auto-enroll命令用来关闭证书自动注册和更新功能。

缺省情况下，证书自动注册和更新功能处于关闭状态。

auto-enroll [ percent ] [ regenerate [ key-bit ] ]

undo auto-enroll

参数	参数说明	取值
percent	表示在证书有效期的百分比处自动重新申请新的证书。	整数形式，取值范围为10～100。缺省值为100，即老的证书即将过期时自动重新申请新证书。
regenerate	表示证书更新时会同时更新RSA密钥对。	-
key-bit	表示证书更新时新生成的RSA密钥对的位数。	整数形式，取值范围为2048～4096 bit，默认值是2048 bit。

PKI域视图

2：配置级

应用场景

配置证书自动注册功能后，当证书即将过期、已经过期、已到达指定百分比时，会自动触发设备通过SCEP协议申请并更新证书。

缺省情况下，未开启证书自动注册和更新功能，当证书过期后，必须手工申请新证书。开启了证书自动注册和更新功能，用户仍然可以在需要的时候手工申请和更新证书。

注意事项

如果未指定regenerate参数，则证书自动更新时，系统会继续使用原来的RSA密钥对。
如果指定了regenerate参数，则证书自动更新时，系统会生成新的RSA密钥对去申请新证书，并且用新的证书和RSA密钥对替换原有的证书和RSA密钥对。

# 配置一个PKI域abc，开启证书自动注册和更新功能。

<sysname> system-view
[sysname] pki realm abc
[sysname-pki-realm-abc] auto-enroll 50 regenerate