pki import-certificate

命令功能

pki import-certificate命令用来将证书导入到设备的内存中。

命令格式

pki import-certificate { ca | local } [ [ realm realm-name ] { der | pkcs12 | pem } ] filename filename [ no-check-validate ] [ no-check-hash-alg ]

pki import-certificate ocsp [ realm realm-name ] { der | pkcs12 | pem } filename filename

参数说明

参数	参数说明	取值
ca	指定导入CA证书。例如设备作为SSL代理时，可以导入SSL代理CA证书，用该证书对应的私钥重新签名SSL客户端证书。	-
local	指定导入本地证书。	-
realm realm-name	指定导入证书所在的域名。	必须是已存在的PKI域名称。说明：该域名称中不能包含空格，否则证书导入失败。
der	指定导入证书的格式为DER格式。	-
pkcs12	指定导入证书的格式为PKCS12格式。	-
pem	指定导入证书的格式为PEM格式。	-
filename filename	指定导入证书的文件名称。	必须是已经存在的文件名称。
no-check-validate	指定导入证书是否检查证书合法性。	-
no-check-hash-alg	指定导入证书是否检查证书签名HASH算法。	-
ocsp	指定导入OCSP服务器证书。	-

视图

系统视图

缺省级别

3：管理级

使用指南

应用场景

下载证书保存到设备的存储介质中时，要使证书生效，需执行本命令将证书导入到设备的内存中。

设备支持导入多个证书。导入的证书可以是CA证书、本地证书及其私钥等。

说明：

若用户无法辨别待导入证书的格式，可依次配置不同格式并检查是否成功导入证书。当导入CA证书或Local证书时，若不指定待导入证书的格式，系统将自行识别导入。

前提条件

已执行命令pki realm（系统视图）创建PKI域，且设备存储介质中已存在证书文件。

注意事项

预置CA和本地证书默认导入default域，所以用户不能在default域导入其他CA或本地证书，否则会导致预置CA或本地证书不可用。

若证书文件包含密钥对文件时，执行命令pki import-certificate只能导入证书文件，密钥对文件不会被导入。如果需要导入密钥对文件，可执行命令pki import rsa-key-pair将密钥对继续导入，或不执行本命令，直接执行命令pki import rsa-key-pair一次导入证书文件和密钥对文件。

不建议在同一个PKI域下导入多个本地证书，否则证书相关的业务可能使用该PKI域下与业务不匹配的证书，造成其业务不可用。

导入pkcs12格式的证书时，PKI会将原证书文件名后缀删除后，加上"_localx.cer"生成新的文件名保存在设备存储器上。所以导入的证书文件名应少于50个字符，否则证书文件整体的字符将超过64，导致无法将证书保存在存储器上。

设备支持导入通过RSA加密算法或SM2密钥杂凑算法生成的对端实体证书。

当用户导入证书或密钥对时，需保证证书或密钥对保存到指定的目录下，根系统下保存到public目录。操作步骤如下：

<sysname> cd pki
<sysname> cd public/

使用实例

# 通过文件方式为PKI域abc导入一个本地证书。

<sysname> system-view
[sysname] pki realm abc 
[sysname-pki-realm-abc] quit
[sysname] pki import-certificate local realm abc pem filename local.cer
 Info: Succeeded in importing the certificate.