| 参数 | 参数说明 | 取值 |
|---|---|---|
| esc | 指定以ASCII码形式输入URL。 | - |
| url-addr | 指定CRL发布点CDP(CRL Distribution Point)的URL。 | 字符串形式,不支持空格,区分大小写,必须以“http://”开头,长度范围是1~128。 |
| from-ca | 指定从CA证书中获取CDP URL。 | - |
PKI实体通过HTTP方式自动更新CRL来检查证书有效性时,必须根据CDP URL与HTTP服务器建立连接,然后从HTTP服务器中获取CRL。PKI实体需可以配置本命令指定从CA证书中获取CDP URL或者手工指定CDP URL。
当使用SCEP方式自动更新CRL时,也可以通过本命令指定CRL的URL。
注意事项如果证书中没有CDP信息并且本地也没有配置CDP URL,则设备通过SCEP方式向CA请求证书的CRL。
由于设备上无法直接输入包含字符“?”的命令行,关键字esc作用是支持以ASCII码形式输入包含“?”的URL地址,格式必须为“\x3f”,3f为字符“?”的16进制ASCII码。例如,如果用户想输入“http://abc.com?page1”,则对应的URL为“http://abc.com\x3fpage1”;如果用户想同时输入“?”和“\x3f”(http://www.abc.com?page1\x3f),则对应的URL为“http://www.abc.com\x3fpage1\\x3f”。
# 配置CRL发布点的URL为http://10.1.1.1/certenroll/ca_root.crl。
<sysname> system-view [sysname] pki realm d1 [sysname-pki-realm-d1] crl scep [sysname-pki-realm-d1] cdp-url http://10.1.1.1/certenroll/ca_root.crl
# 配置CRL发布点的URL为http://www.abc.com/certenroll/ca_root.crl。
<sysname> system-view [sysname] pki realm d1 [sysname-pki-realm-d1] crl scep [sysname-pki-realm-d1] cdp-url http://www.abc.com/certenroll/ca_root.crl