fingerprint

命令功能

fingerprint命令用来配置对CA证书进行认证时使用的CA证书数字指纹。

undo fingerprint命令用来删除对CA证书进行认证时使用的CA证书数字指纹。

缺省情况下，系统未配置对CA证书进行认证时使用的CA证书数字指纹。

命令格式

fingerprint { md5 | sha1 } fingerprint

undo fingerprint

参数说明

参数	参数说明	取值
md5	指定数字指纹的验证算法为MD5。说明：为安全性考虑，建议使用SHA1。	-
sha1	指定数字指纹的验证算法为SHA1。	-
fingerprint	指定数字指纹值。此处配置的数字指纹值需要通过离线的方式从CA上获取。例如，当Windows Server 2008作为CA时，可以通过登录网页http://host:port/certsrv/mscep_admin/获得CA证书数字指纹信息，其中host为服务器的IP地址，port为CA服务器的端口号。	数字指纹为16进制形式输入的字符串，不区分大小写。 MD5指纹必须是32个字符（16个字节） SHA1指纹必须为40个字符（20个字节）

参数

参数说明

取值

md5

指定数字指纹的验证算法为MD5。

说明：

为安全性考虑，建议使用SHA1。

sha1

指定数字指纹的验证算法为SHA1。

fingerprint

指定数字指纹值。

此处配置的数字指纹值需要通过离线的方式从CA上获取。例如，当Windows Server 2008作为CA时，可以通过登录网页http://host:port/certsrv/mscep_admin/获得CA证书数字指纹信息，其中host为服务器的IP地址，port为CA服务器的端口号。

数字指纹为16进制形式输入的字符串，不区分大小写。

MD5指纹必须是32个字符（16个字节）
SHA1指纹必须为40个字符（20个字节）

视图

PKI域视图

缺省级别

3：管理级

使用指南

应用场景

在获取CA证书的时候，设备本地用算法计算CA证书的数字指纹，然后和本地配置的数字指纹进行比较，如果一致就接收。在验证证书的时候，用CA证书的公钥去验证数字签名，公钥能够解开签名就验证通过。

注意事项

数字指纹只能配置一种算法，新的配置会覆盖之前的配置。

使用实例

# 配置对CA证书进行认证时使用的CA证书数字指纹。

<sysname> system-view
[sysname] pki realm test
[sysname-pki-realm-test] fingerprint sha1 7A34D94624B1C1BCBF6D763C4A67035D5B578EAF