华三MSR 3600路由器生成本地证书报错

1. 检查 PKI 域中是否已生成密钥对

2. 生成本地密钥对（核心解决步骤）

3. 重新生成证书请求

补充排查建议：

1. 确认在 PKI 域下通过 certificate request entity 命令正确指定了 PKI 实体。
2. 确认该 PKI 实体（pki entity）下配置的密钥对名称与当前存在的密钥对名称一致。

1. 进入 PKI 域：pki domain xxx
2. 配置申请模式（通常为手工）：certificate request mode manual
3. 确保已导入 CA 根证书：pki import-certificate ca domain xxx ...
4. 生成本地密钥对：public-key local create rsa
5. 生成证书请求：pki request-certificate domain xxx pkcs10

一、报错含义
no key pair specified for the pki domain
你创建的 PKI 域xxx内没有绑定 RSA 密钥对，发起证书申请pki request-certificate时缺少公私钥，直接失败。
完整流程必须三步：生成密钥对 → PKI 域绑定密钥对 → 申请证书，缺第二步就会报该错。
二、完整标准配置（直接复制执行）
plaintext
system-view
# 1. 生成RSA密钥对（名称自定义，例如router-key）
public-key rsa create router-key mod 2048

# 2. 进入PKI域，绑定上面创建的密钥对（核心修复命令）
pki domain xxx
rsa keypair router-key
# 补充IPSec所需基础配置（按需填写）
subject-name cn=MSR3600,ou=office,o=company,c=CN
enrollment url http://CA服务器IP:80
quit

# 3. 再次发起证书申请，不再报错
pki request-certificate domain xxx pkcs10

三、分步排查命令
查看本机已存在密钥对，确认是否生成成功
plaintext
display public-key rsa local

无输出 = 没创建密钥对，执行public-key rsa create
2. 查看 PKI 域配置，确认是否绑定密钥
plaintext
display pki domain xxx

输出中无rsa keypair xxx = 未绑定，进入 domain 下补充绑定命令。
四、常见踩坑补充
密钥对名称大小写严格匹配，绑定名称必须和创建名称完全一致；
密钥对删除后，PKI 域绑定会失效，需要重新创建并绑定；
IPsec 场景建议密钥长度 2048/4096，不要使用 1024 弱密钥；
若为自签本地证书，流程不变，仅无需配置enrollment url。
五、极简操作总结
创建 RSA 密钥；
pki domain 内用rsa keypair绑定密钥；
执行证书申请命令，报错消失。

谢谢大佬们，在pki域里面指定生成的密钥对，rsa后可以生成证书了。。。谢谢。。