Ihr Gerät unterstützt das Laden von Dateien in Datei-Slots sowohl von der Konsole als auch aus einem Skript.
Somit können Dateien komfortabel per Skript zusammen mit der Konfiguration ausgerollt oder z.B. SSH-Schlüssel und VPN-Zertifikate importiert werden.
Anmerkung:
- Das entsprechende Dateiformat muss vom Typ Text bzw. ASCII sein, Binärformate werden nicht unterstützt.
- Bei Zertifikaten muss das Dateiformat entsprechend PEM-codiert (ASCII/Base64) sein. DER-codierte Zertifikate werden nicht unterstützt.
Syntax des CLI-Befehls importfile:
importfile -a <application> [-p <passphrase>] [-n] [-h <Hash> -f <Fingerprint>] [-c] [-r]
Notwendige Parameter:
- -a <application>
- <application> bestimmt den Speicherort und somit die Nutzung für die eingegebenen Daten. Für eine vollständige Liste der in Ihrem Gerät vorhandenen Speicherorte geben Sie importfile -? ein.
Optionale Parameter:
- -n
- -n startet den nicht-interaktiven Modus. Es gibt keine Eingabeaufforderungen oder andere Ausgaben auf der CLI. Der nicht-interaktive Modus ist für die Nutzung in Skripten vorgesehen.
- -p <passphrase>
- <passphrase> ist das Passwort, was zum Entschlüsseln eines eingegebenen privaten Schlüssels benötigt wird.
- -h <hash>
- Der Hash-Algorithmus, mit dem der Fingerprint des Root-CA-Zertifikats ermittelt wurde.
- -f <fingerprint>
- Der Fingerprint des Root-CA-Zertifikats, erstellt mit –h. Der Fingerprint kann sowohl mit Doppelpunkten eingegebenen werden, als auch ohne.
- -c
- Es werden nur CA-Zertifikate hochgeladen.
- -r
- Hochgeladene CA-Zertifikate ersetzen bereits vorhandene.
Anmerkung: Mit STRG + Z kann eine aktive Eingabe abgebrochen werden.
Beispiel:
In diesem Beispiel ist die Eingabe des Benutzers in Fett dargestellt und Eingabeaufforderungen für den Benutzer in Kursiv. Zertifikate und weitere lange, mehrzeilige Ausgaben werden zur Übersichtlichkeit mit […] abgekürzt. Am Ende des Beispiels finden Sie die Erläuterungen zu den einzelnen Schritten.
root@test:/
importfile -a VPN2 -p lancom -h SHA512 -f 4F:A7:5E:C9:D4:77:CE:D3:06:4C:79:93:D8:FA:3A:8E:7B:FE:19:61:B2:0C:37:4F:BB:7A:E6:46:36:04:46:EE:F6:DA:97:15:6B:BB:
2D:8F:B6:66:E6:7C:54:1E:B4:02:79:54:D6:DF:1E:9B:27:7C:9C:EA:B8:CB:1B:6D:90:1C
The input can be aborted by pressing CTRL+Z.
Please enter the PEM-encoded (Base64) device certificate, the end of the input will be detected automatically:
importfile>-----BEGIN CERTIFICATE-----
importfile>MIID9DCCAtwCCQDgaoWRCmWaLjANBgkqhkiG9w0BAQ0FADAkMQswCQYDVQQG[…]
importfile>[…]s7pM5l0L0d0=
importfile>-----END CERTIFICATE-----
Importing device certificate:
Version: 1 (0x0)
Serial Number:
e0:6a:85:91:0a:65:9a:2e
Signature Algorithm: sha512WithRSAEncryption
Issuer: CN=OCSP-TEST-CA,C=DE
Validity
Not Before: Jul 4 12:34:07 2017 GMT
Not After : Oct 5 12:34:07 2024 GMT
Subject: CN=TEST,O=Internet Widgits Pty Ltd,ST=Some-State,C=DE
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (4096 bit)
Modulus:
00:bb:93:f6:b9:9a:41:b2:3e:30:2b:09:7f:d1:f9:
49:54:5a:82:c9:17:10:1f:79:6d:ab:55:df:b8[…]
[…]2f:0c:8a:69:7b:a9:82:32:f3:ca:9c:02:20:14:
bd:8b:0d
Exponent: 65537 (0x10001)
Signature Algorithm: sha512WithRSAEncryption
06:5b:a4:1a:a2:69:c1:bf:6f:b1:d2:6c:b0:21:e1:10:43:[…]
[…]50:e6:a3:1d:f3:15:b7:87:8c:65:2f:25:f6:b3:ba:4c:e6:
5d:0b:d1:dd
The input can be aborted by pressing CTRL+Z.
Please enter the PEM-encoded (Base64) device private key, the end the input will be detected automatically:
importfile>-----BEGIN RSA PRIVATE KEY-----
importfile>Proc-Type: 4,ENCRYPTED
importfile>DEK-Info: AES-128-CBC,8FB95ED0568DA9AE17D7573BC294ACD8
importfile>[…]5Cuf2p798Obhw3isAe04XRwmdLno8ZcPDyB33ZKPjmhUzB0WsdzGdSSq5iYjD
importfile>-----END RSA PRIVATE KEY-----
The private key was read successfully.
The private key matches the device certificate.
The input can be aborted by pressing CTRL+Z.
Please enter the chain of PEM-encoded (Base64) CA certificates.
The input is closed with "endcachain":
importfile>-----BEGIN CERTIFICATE-----
importfile>MIIDGzCCAgOgAwIBAgIJAMlNxBFGQqpoMA0GCSqGSIb3DQEBDQUAMCQxCzAJB[…]
importfile>[…]EUDI9giYt9tnAT8hJfLkkyN/PHSiP+e+vopjSpKuyg==
importfile>-----END CERTIFICATE-----
importfile>endcachain
Importing CA certificate:
Version: 3 (0x2)
Serial Number:
c9:4d:c4:11:46:42:aa:68
Signature Algorithm: sha512WithRSAEncryption
Issuer: CN=OCSP-TEST-CA,C=DE
Validity
Not Before: Jun 6 13:56:49 2017 GMT
Not After : Jun 19 13:56:49 2045 GMT
Subject: CN=OCSP-TEST-CA,C=DE
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:e9:ba:04:74:7d:78:5a:84:b3:63:cc:ad:4d:[…]
[…]14:0e:27:c8:8c:5a:00:a3:4c:ed:4f:02:e8:0b:
fb:07
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
57:13:BB:94:3B:89:C5:3B:B7:A0:0E:BB:BF:39:05:67:8B:FB:84:30
X509v3 Authority Key Identifier:
keyid:57:13:BB:94:3B:89:C5:3B:B7:A0:0E:BB:BF:39:05:67:8B:FB:84:30
X509v3 Basic Constraints:
CA:TRUE
Signature Algorithm: sha512WithRSAEncryption
c8:cf:3b:97:1a:56:61:13:9c:61:ed:21:23:7a:37:b4:a8:[…]
[…]3f:21:25:f2:e4:93:23:7f:3c:74:a2:3f:e7:be:be:8a:63:
4a:92:ae:ca
Content of the PKCS12 file: private key: 1, device certificate: 1, CA certificates: 1
root@test:/
- Es wird der Befehl importfile für den Speicherplatz VPN2 aufgerufen, somit handelt es sich um ein Zertifikat für die Nutzung im VPN. Das Passwort für den privaten Schlüssel ist lancom und das Root-CA-Zertifikat kann mit SHA512 und dem angegebenen Fingerprint geprüft werden.
- Es folgt die Aufforderung an den Benutzer das Zertifikat einzugeben.
- Nach Eingabe des Zertifikats wird dieses importiert.
- Es folgt die Aufforderung an den Benutzer den privaten Schlüssel einzugeben.
- Nach der Eingabe wird der Schlüssel geprüft.
- Es folgt die Aufforderung an den Benutzer die Kette der CA-Zertifikate einzugeben. Das Ende der Eingabe wird nicht automatisch erkannt. Nach dem letzten Zertifikat muss das Ende über die Eingabe von endcachain ausgelöst werden. Geben Sie den Befehl in einer neuen Zeile ein, da alle Eingaben innerhalb der Zeile die Zeichenfolge endcachain enthält verworfen werden.
- Nach der Eingabe werden die CA-Zertifikate importiert und der Vorgang abgeschlossen.
