crl ldap

命令功能

crl ldap命令用来配置使用LDAP方式自动更新CRL及向LDAP服务器获取CRL时使用的属性和标识符。

undo crl ldap命令用来删除LDAP服务器获取CRL时使用的属性和标识符。

缺省情况下,系统使用HTTP方式自动更新CRL。

命令格式

crl ldap

crl ldap [ attribute attr-value ] dn dn-value

undo crl ldap dn

参数说明

参数 参数说明 取值
attribute attr-value 指定设备向LDAP服务器获取CRL时使用的属性值。 字符串形式,长度范围为1~64,区分大小写。缺省值是certificateRevocationList。
dn dn-value 指定设备向LDAP服务器获取CRL时使用的标识符,通常由用户通用名、组织单位、国家或者证书持有人的姓名等信息组成。 文本形式,区分大小写,支持空格,长度范围为1~128。

视图

PKI域视图

缺省级别

2:配置级

使用指南

应用场景

使用LDAP方式自动更新CRL时,需配置crl ldap命令。

PKI实体使用LDAP方式自动更新CRL来检查证书的有效性时,通过在CRL查询请求报文中携带LDAP服务器的属性和标识符等信息,从LDAP服务器获取CRL。此时,可以配置crl ldap [ attribute attr-value ] dn dn-value命令指定向LDAP服务器获取CRL时使用的属性和标识符。

注意事项

必须首先执行crl ldap命令配置使用LDAP方式自动更新CRL后,才能配置LDAP服务器获取CRL时使用的属性和标识符。

通过LDAP方式自动更新CRL时,请确保设备的CF卡或Hda1中有足够的剩余空间容纳CRL文件,避免更新失败。

使用实例

# 配置使用LDAP方式自动更新CRL。

<sysname> system-view
[sysname] pki realm d1
[sysname-pki-realm-d1] crl ldap
[sysname-pki-realm-d1] crl ldap attribute abcde dn test
版权所有 © 华为技术有限公司