هذا هو الأمر certutil الذي يمكن تشغيله في مزود الاستضافة المجانية OnWorks باستخدام إحدى محطات العمل المجانية المتعددة عبر الإنترنت مثل Ubuntu Online أو Fedora Online أو محاكي Windows عبر الإنترنت أو محاكي MAC OS عبر الإنترنت
برنامج:
اسم
certutil - إدارة المفاتيح والشهادة في كل من قواعد بيانات NSS ورموز NSS الأخرى
موجز
certutil [الخيارات] [[الحجج]]
الوضع
هذه الوثائق لا تزال قيد العمل. يرجى المساهمة في المراجعة الأولية في
موزيلا NSS علة 836477[1]
الوصف
أداة قاعدة بيانات الشهادات ، certutil، هي أداة مساعدة لسطر الأوامر يمكنها إنشاء و
تعديل الشهادات وقواعد البيانات الرئيسية. يمكنه على وجه التحديد سرد أو إنشاء أو تعديل أو
حذف الشهادات أو إنشاء أو تغيير كلمة المرور وإنشاء مفتاح عام وخاص جديد
أزواج ، أو عرض محتويات قاعدة البيانات الرئيسية ، أو حذف أزواج المفاتيح داخل المفتاح
قاعدة البيانات.
يتطلب إصدار الشهادة ذلك ، وهو جزء من عملية إدارة المفاتيح والشهادات
يتم إنشاء المفاتيح والشهادات في قاعدة بيانات المفاتيح. يناقش هذا المستند الشهادة
وإدارة قاعدة البيانات الرئيسية. للحصول على معلومات حول إدارة قاعدة بيانات وحدة الأمان ،
راجع مودوتيل مانباج.
COMMAND OPTIONS لأي لبس الحجج
الركض certutil يتطلب دائمًا خيار أمر واحدًا وواحدًا فقط لتحديد نوع
عملية الشهادة. قد يستغرق كل خيار أمر صفر أو أكثر من الوسيطات. الامر
خيار -H سوف يسرد جميع خيارات الأوامر والحجج ذات الصلة.
أمر مزيد من الخيارات
-A
إضافة شهادة موجودة إلى قاعدة بيانات الشهادة. يجب أن تكون قاعدة بيانات الشهادة
موجود مسبقا؛ إذا لم يكن أحدهم موجودًا ، فسيتم تهيئة خيار الأمر هذا واحدًا تلو الآخر
افتراضي.
-B
قم بتشغيل سلسلة من الأوامر من الملف الدفعي المحدد. هذا يتطلب -i جدال.
-C
قم بإنشاء ملف شهادة ثنائية جديد من ملف طلب شهادة ثنائية. استخدم ال
-i وسيطة لتحديد ملف طلب الشهادة. إذا لم يتم استخدام هذه الحجة ،
certutil يطالب باسم ملف.
-D
احذف شهادة من قاعدة بيانات الشهادة.
- إعادة تسمية
تغيير لقب قاعدة البيانات للشهادة.
-E
أضف شهادة بريد إلكتروني إلى قاعدة بيانات الشهادة.
-F
حذف مفتاح خاص من قاعدة بيانات رئيسية. حدد المفتاح الذي تريد حذفه بالعلامة -n
دعوى. حدد قاعدة البيانات التي تريد حذف المفتاح منها بامتداد -d دعوى. يستخدم
ال -k حجة لتحديد ما إذا كان سيتم حذف مفتاح DSA أو RSA أو ECC. اذا أنت
لا تستخدم -k الوسيطة ، يبحث الخيار عن مفتاح RSA يطابق الملف المحدد
كنية.
عند حذف المفاتيح ، تأكد أيضًا من إزالة أي شهادات مرتبطة بها
مفاتيح من قاعدة بيانات الشهادات ، باستخدام -D. بعض البطاقات الذكية لا تسمح لك
قم بإزالة المفتاح العام الذي قمت بإنشائه. في مثل هذه الحالة ، يكون المفتاح الخاص فقط هو
حذف من زوج المفاتيح. يمكنك عرض المفتاح العام باستخدام الأمر certutil -K
-h الاسم المميز.
-G
قم بإنشاء زوج مفاتيح عام وخاص جديد داخل قاعدة بيانات رئيسية. قاعدة البيانات الرئيسية
يجب أن تكون موجودة بالفعل ؛ إذا لم يكن أحدهم موجودًا ، فسيتم تهيئة خيار الأمر هذا
بشكل افتراضي. يمكن لبعض البطاقات الذكية تخزين زوج مفاتيح واحد فقط. إذا قمت بإنشاء زوج مفاتيح جديد
لمثل هذه البطاقة ، يتم الكتابة فوق الزوج السابق.
-H
اعرض قائمة بخيارات الأوامر والوسيطات.
-K
ضع معرّف المفتاح للمفاتيح في قاعدة بيانات المفاتيح. معرف المفتاح هو معامل مفتاح RSA أو
publicValue لمفتاح DSA. يتم عرض المعرفات بالنظام الست عشري (لا يتم عرض "0x").
-L
أدرج جميع الشهادات أو اعرض معلومات حول شهادة مسماة في ملف
قاعدة بيانات الشهادة. استخدم الوسيطة -h tokenname لتحديد الشهادة
قاعدة بيانات على رمز مميز للأجهزة أو البرامج.
-M
قم بتعديل سمات ثقة الشهادة باستخدام قيم الوسيطة -t.
-N
إنشاء شهادة جديدة وقواعد البيانات الرئيسية.
-O
اطبع سلسلة الشهادات.
-R
قم بإنشاء ملف طلب شهادة يمكن إرساله إلى "المرجع المصدق"
(CA) للمعالجة في شهادة منتهية. الإخراج الافتراضي لمعيار الخروج
ما لم تستخدم وسيطة ملف الإخراج -o. استخدم الوسيطة -a لتحديد إخراج ASCII.
-S
أنشئ شهادة فردية وأضفها إلى قاعدة بيانات الشهادة.
-T
إعادة تعيين قاعدة البيانات الرئيسية أو الرمز المميز.
-U
اذكر جميع الوحدات المتاحة أو اطبع وحدة واحدة مسماة.
-V
تحقق من صلاحية الشهادة وخصائصها.
-W
قم بتغيير كلمة المرور إلى قاعدة بيانات رئيسية.
--دمج
دمج قاعدتي بيانات في واحد.
- ترقية-دمج
قم بترقية قاعدة بيانات قديمة ودمجها في قاعدة بيانات جديدة. يستخدم هذا للهجرة
قواعد بيانات NSS القديمة (cert8.db و key3.db) في قواعد بيانات SQLite الأحدث (cert9.db
و key4.db).
الحجج
تقوم الوسيطات بتعديل خيار أمر وعادة ما تكون بأحرف صغيرة أو أرقام أو رموز.
-a
استخدم تنسيق ASCII أو اسمح باستخدام تنسيق ASCII للإدخال أو الإخراج. هذا التنسيق
يتبع RFC 1113. بالنسبة لطلبات الشهادة ، يكون خرج ASCII افتراضيًا على الإخراج القياسي
ما لم تتم إعادة توجيهها.
-ب الصلاحية-الوقت
حدد الوقت الذي يجب أن تكون فيه الشهادة صالحة. استخدم عند التدقيق
صلاحية الشهادة مع -V خيار. شكل ملف وقت الصلاحية الحجة
YYMMDDHHMMSS [+ HHMM | -HHMM | Z]، والذي يسمح بتعيين التعويضات بالنسبة إلى الصلاحية
وقت النهاية. تحديد الثواني (SS) هو اختياري. عند تحديد وقت صريح ، استخدم ملف
Z في نهاية المصطلح ، YYMMDDHHMMSSZ، لإغلاقه. عند تحديد وقت الإزاحة ،
تستخدم YYMMDDHHMMSS + HHMM or YYMMDDHHMMSS-HHMM لجمع أو طرح الوقت ،
على التوالي.
إذا لم يتم استخدام هذا الخيار ، فسيتم تعيين التحقق من الصلاحية افتراضيًا على وقت النظام الحالي.
-ج المصدر
حدد شهادة المرجع المصدق (CA) التي ستشتق منها الشهادة الجديدة
أصالة. استخدم اللقب أو الاسم المستعار الدقيق لشهادة CA أو استخدم CA's
عنوان البريد الإلكتروني. قم بوضع أقواس على سلسلة المُصدر بعلامات اقتباس إذا كانت تحتوي على مسافات.
-d [بادئة] الدليل
حدد دليل قاعدة البيانات الذي يحتوي على ملفات قاعدة البيانات الرئيسية والشهادة.
certutil يدعم نوعين من قواعد البيانات: قواعد بيانات الأمان القديمة (cert8.db ،
key3.db و secmod.db) وقواعد بيانات SQLite الجديدة (cert9.db و key4.db و pkcs11.txt).
يتعرف NSS على البادئات التالية:
· SQL: يطلب قاعدة البيانات الأحدث
· ديسيبل: يطلب قاعدة البيانات القديمة
إذا لم يتم تحديد بادئة ، فسيتم استرداد النوع الافتراضي من NSS_DEFAULT_DB_TYPE. لو
لم يتم تعيين NSS_DEFAULT_DB_TYPE بعد ذلك ديسيبل: هو الافتراضي.
--dump-ext-val OID
للحصول على شهادة واحدة ، اطبع تشفير DER الثنائي الخاص بـ OID الملحق.
-e
تحقق من توقيع الشهادة أثناء عملية التحقق من صحة الشهادة.
- عنوان البريد الإلكتروني البريد الإلكتروني
حدد عنوان البريد الإلكتروني للشهادة المطلوب سردها. تستخدم مع خيار الأمر -L.
--extGeneric OID: علامة حرجة: اسم ملف [، OID: علامة حرجة: اسم ملف] ...
أضف امتدادًا واحدًا أو أكثر من الملحقات التي لا يمكن لـ certutil ترميزها بعد ، عن طريق تحميل ملفات
ترميزات من ملفات خارجية.
· معرف الكائن (مثال): 1.2.3.4
· العلم الحرج: حرج أم غير حرج
اسم الملف: المسار الكامل لملف يحتوي على امتداد مشفر
-f ملف كلمة المرور
حدد ملفًا يقوم تلقائيًا بتوفير كلمة المرور لتضمينها في الشهادة
أو للوصول إلى قاعدة بيانات الشهادة. هذا ملف نص عادي يحتوي على واحد
كلمة المرور. تأكد من منع الوصول غير المصرح به إلى هذا الملف.
-g keyize
قم بتعيين حجم مفتاح لاستخدامه عند إنشاء أزواج مفاتيح عامة وخاصة جديدة. الحد الأدنى
512 بت والحد الأقصى 16384 بت. الافتراضي هو 2048 بت. أي حجم بين
الحد الأدنى والحد الأقصى مسموح به.
-h الاسم المميز
حدد اسم رمز مميز لاستخدامه أو التصرف بناءً عليه. إذا لم يتم تحديد الرمز الافتراضي هو
فتحة قاعدة البيانات الداخلية.
-أنا ملف_المدخلات
قم بتمرير ملف إدخال إلى الأمر. اعتمادًا على خيار الأمر ، يمكن لملف الإدخال
تكون شهادة محددة ، أو ملف طلب شهادة ، أو ملف دفعي من الأوامر.
-ك مفتاح نوع أو معرف
حدد النوع أو المعرف المحدد للمفتاح.
خيارات نوع المفتاح الصالحة هي rsa أو dsa أو ec أو all. القيمة الافتراضية هي rsa.
يمكن أن يؤدي تحديد نوع المفتاح إلى تجنب الأخطاء التي تسببها الأسماء المستعارة المكررة. إعطاء
نوع المفتاح يولد زوج مفاتيح جديد ؛ إعطاء معرف مفتاح موجود يعيد استخدام هذا المفتاح
زوج (وهو مطلوب لتجديد الشهادات).
-l
عرض المعلومات التفصيلية عند التحقق من صحة الشهادة باستخدام الخيار -V.
-م الرقم التسلسلي
قم بتعيين رقم تسلسلي فريد للشهادة التي يتم إنشاؤها. يجب أن تكون هذه العملية
يؤديها CA. في حالة عدم تقديم رقم تسلسلي ، يتم عمل رقم تسلسلي افتراضي
من الوقت الحالي. الأرقام التسلسلية تقتصر على الأعداد الصحيحة
-n لقب
حدد لقب الشهادة أو مفتاح القائمة ، أو الإنشاء ، أو الإضافة إلى قاعدة البيانات ،
تعديل أو التحقق من صحة. ضع سلسلة الكنية بين قوسين بعلامات اقتباس إذا كانت تحتوي على
المسافات.
-o ملف الإخراج
حدد اسم ملف الإخراج للشهادات الجديدة أو طلبات الشهادات الثنائية.
ضع سلسلة ملف الإخراج بين قوسين بعلامات اقتباس إذا كانت تحتوي على مسافات. اذا هذا
لا يتم استخدام الوسيطة الافتراضية لوجهة الإخراج للإخراج القياسي.
-P ديسيبلافيكس
حدد البادئة المستخدمة في الشهادة وملف قاعدة البيانات الرئيسية. هذه الحجة
المقدمة لدعم الخوادم القديمة. معظم التطبيقات لا تستخدم بادئة قاعدة البيانات.
-p الهاتف
حدد رقم هاتف جهة اتصال لتضمينه في الشهادات أو الشهادة الجديدة
الطلبات. ضع هذه السلسلة بين قوسين بعلامات اقتباس إذا كانت تحتوي على مسافات.
-q pqgfile أو اسم المنحنى
اقرأ قيمة PQG بديلة من الملف المحدد عند إنشاء أزواج مفاتيح DSA. لو
هذه الحجة لا تستخدم ، certutil يولد قيمة PQG الخاصة به. يتم إنشاء ملفات PQG
مع أداة DSA منفصلة.
اسم المنحنى الإهليلجي هو أحد الأسماء من SUITE B: nistp256 ، nistp384 ، nistp521
إذا تم تجميع NSS مع منحنيات دعم خارج SUITE B:
مقطع163r1 ، مقطع 163r2 ، nistb163 ، مقطع193r1 ، مقطع193r2 ، مقطع 233k1 ، nistk233 ، مقطع 233r1 ،
nistb233 ، مقطع 239k1 ، مقطع 283k1 ، nistk283 ، مقطع 283r1 ، nistb283 ، مقطع 409k1 ، nistk409 ،
مقطع 409r1 ، nistb409 ، مقطع 571k1 ، nistk571 ، مقطع 571r1 ، nistb571 ، secp160k1 ، secp160r1 ،
secp160r2، secp192k1، secp192r1، nistp192، secp224k1، secp224r1، nistp224، secp256k1،
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2
-r
عرض ترميز DER الثنائي للشهادة عند سرد معلومات حول ذلك
شهادة مع خيار -L.
-s الموضوع
حدد مالك شهادة معين للشهادات الجديدة أو طلبات الشهادات.
ضع هذه السلسلة بين قوسين بعلامات اقتباس إذا كانت تحتوي على مسافات. الموضوع
يتبع تنسيق التعريف RFC # 1485.
-t Trustargs
حدد سمات الثقة المراد تعديلها في شهادة موجودة أو لتطبيقها على ملف
الشهادة عند إنشائها أو إضافتها إلى قاعدة بيانات. هناك ثلاثة متاحين
فئات الثقة لكل شهادة ، معبرًا عنها بالترتيب SSL ، البريد الإلكتروني، موضوع
التوقيع لكل إعداد ثقة. في كل موضع فئة ، استخدم لا شيء أو أيًا أو الكل
رموز السمات:
· p - صالح النظير
· P - النظير الموثوق به (يعني ص)
· c - CA صالح
· T - المرجع المصدق (CA) الموثوق به (يعني ج)
· C - مرجع مصدق موثوق به لمصادقة العميل (خادم ssl فقط)
· u - مستخدم
رموز السمات للفئات مفصولة بفواصل ومجموعة كاملة من
السمات المحاطة بعلامات اقتباس. على سبيل المثال:
-t "TCu، Cu، Tu"
استخدم الخيار -L لعرض قائمة بالشهادات الحالية وسمات الثقة في ملف
قاعدة بيانات الشهادة.
-u شهادة
حدد سياق استخدام لتطبيقه عند التحقق من صحة شهادة باستخدام الخيار -V.
السياقات هي التالية:
· C (كعميل SSL)
· V (كخادم SSL)
· L (باعتباره SSL CA)
· A (مثل أي مرجع مصدق)
· Y (تحقق من CA)
· S (كموقع للبريد الإلكتروني)
· R (كمستلم بريد إلكتروني)
· O (كمستجيب لحالة OCSP)
· J (كموقع كائن)
-v صالحة أشهر
حدد عدد الأشهر التي ستكون فيها الشهادة الجديدة صالحة. تبدأ فترة الصلاحية
في وقت النظام الحالي ما لم تتم إضافة إزاحة أو طرحها بامتداد -w الخيار.
إذا لم يتم استخدام هذه الوسيطة ، فإن فترة الصلاحية الافتراضية هي ثلاثة أشهر.
-w تعويض-أشهر
قم بتعيين إزاحة من وقت النظام الحالي ، بالأشهر ، لبداية ملف
فترة صلاحية الشهادة. يُستخدم عند إنشاء الشهادة أو إضافتها إلى ملف
قاعدة البيانات. عبر عن الإزاحة بالأعداد الصحيحة ، باستخدام علامة الطرح (-) للإشارة إلى أ
تعويض سلبي. إذا لم يتم استخدام هذه الوسيطة ، تبدأ فترة الصلاحية في
وقت النظام الحالي. يتم تعيين طول فترة الصلاحية باستخدام الوسيطة -v.
-X
افتح قاعدة بيانات المفتاح والشهادة في وضع القراءة والكتابة. هذا يستخدم مع
ال -U و -L خيارات الأمر.
-x
استعمل certutil لإنشاء التوقيع لشهادة يتم إنشاؤها أو إضافتها إلى ملف
قاعدة بيانات ، بدلاً من الحصول على توقيع من مرجع مصدق منفصل.
-y إكسب
عيّن قيمة أس بديلة لاستخدامها في إنشاء مفتاح RSA عمومي جديد لـ
قاعدة البيانات ، بدلاً من القيمة الافتراضية 65537. القيم البديلة المتاحة هي 3
و 17
ضجيج ملف
اقرأ قيمة أولية من الملف المحدد لإنشاء مفتاح خاص وعام جديد
زوج. هذه الحجة تجعل من الممكن استخدام القيم الأولية التي تم إنشاؤها بواسطة الأجهزة أو
إنشاء قيمة يدويًا من لوحة المفاتيح. الحد الأدنى لحجم الملف هو 20 بايت.
-Z hashAlg
حدد خوارزمية التجزئة المراد استخدامها مع خيارات الأمر -C أو -S أو -R. ممكن
الكلمات المفتاحية:
· إم دي 2
· إم دي 4
· إم دي 5
· SHA1
· SHA224
· SHA256
· SHA384
· SHA512
-0 SSO_password
قم بتعيين كلمة مرور ضابط أمان الموقع على رمز مميز.
-1 | --keyUsage الكلمة الرئيسية ، الكلمة
قم بتعيين ملحق نوع الشهادة X.509 V3 في الشهادة. هناك العديد
الكلمات الرئيسية المتاحة:
· توقيع إلكتروني
· عدم التنصل
· تشفير المفتاح
· تشفير البيانات
· اتفاق رئيسي
شهادة التوقيع
· crlSigning
· شديد الأهمية
-2
أضف ملحق قيد أساسي إلى شهادة يتم إنشاؤها أو إضافتها إلى ملف
قاعدة البيانات. يدعم هذا الامتداد عملية التحقق من سلسلة الشهادات.
certutil يطالبك بامتداد قيد الشهادة للتحديد.
تم وصف امتدادات شهادات X.509 في RFC 5280.
-3
أضف ملحق معرف مفتاح سلطة إلى شهادة يتم إنشاؤها أو إضافتها إلى ملف
قاعدة البيانات. يدعم هذا الملحق تعريف شهادة معينة ، من
من بين شهادات متعددة مرتبطة باسم موضوع واحد ، باعتباره المُصدر الصحيح لـ
شهادة. ستطالبك أداة قاعدة بيانات الشهادات بتحديد المرجع
تمديد معرف المفتاح.
تم وصف امتدادات شهادات X.509 في RFC 5280.
-4
أضف امتداد نقطة توزيع CRL إلى شهادة يتم إنشاؤها أو إضافتها
إلى قاعدة بيانات. تحدد هذه الإضافة عنوان URL للشهادة المرتبطة
قائمة إبطال الشهادات (CRL). certutil يطالبك بعنوان URL.
تم وصف امتدادات شهادات X.509 في RFC 5280.
-5 | --nsCertType الكلمة الأساسية ، الكلمة الأساسية
أضف ملحق نوع شهادة X.509 V3 إلى الشهادة التي يتم إنشاؤها أو
أضيفت إلى قاعدة البيانات. هناك العديد من الكلمات الرئيسية المتاحة:
· عميل سسل
· سسلسيرفر
· سميم
· توقيع الكائن
· SSLCA
· سميمكا
· objectSigningCA
· شديد الأهمية
تم وصف امتدادات شهادات X.509 في RFC 5280.
-6 | --extKeyUsage الكلمة الرئيسية ، الكلمة
أضف ملحق استخدام مفتاح موسع إلى شهادة يتم إنشاؤها أو إضافتها إليها
قاعدة البيانات. تتوفر عدة كلمات رئيسية:
الخادم
العميل
· كود التوقيع
حماية البريد الإلكتروني
· الطابع الزمني
· ocspResponder
· خطوة للأعلى
· مستروستليستسيجن
· شديد الأهمية
تم وصف امتدادات شهادات X.509 في RFC 5280.
-7 بريد إلكتروني
أضف قائمة بعناوين البريد الإلكتروني مفصولة بفواصل إلى الاسم البديل للموضوع
تمديد طلب شهادة أو شهادة يتم إنشاؤه أو الإضافة إليه
قاعدة البيانات. تم وصف ملحقات الاسم البديل للموضوع في القسم 4.2.1.7 من
آر إف سي 3280.
-8 أسماء نظام أسماء النطاقات
أضف قائمة بأسماء DNS مفصولة بفواصل إلى ملحق الاسم البديل للموضوع لملف
طلب الشهادة أو الشهادة الذي يتم إنشاؤه أو إضافته إلى قاعدة البيانات.
تم وصف ملحقات الاسم البديل للموضوع في القسم 4.2.1.7 من RFC 3280.
--إضافي
قم بإضافة ملحق الوصول إلى معلومات المرجع للشهادة. شهادة X.509
تم وصف الامتدادات في RFC 5280.
- التالي
قم بإضافة ملحق الوصول إلى معلومات الموضوع إلى الشهادة. شهادة X.509
تم وصف الامتدادات في RFC 5280.
- textCP
أضف ملحق نُهج الشهادات إلى الشهادة. شهادة X.509
تم وصف الامتدادات في RFC 5280.
--extPM
أضف ملحق تعيينات السياسة إلى الشهادة. امتدادات شهادات X.509 هي
الموصوفة في RFC 5280.
- textPC
أضف امتداد قيود السياسة إلى الشهادة. امتدادات شهادات X.509
موصوفة في RFC 5280.
- إضافي
قم بإضافة ملحق Inhibit Any Policy Access إلى الشهادة. شهادة X.509
تم وصف الامتدادات في RFC 5280.
- textSKID
أضف ملحق معرف مفتاح الموضوع إلى الشهادة. امتدادات شهادات X.509 هي
الموصوفة في RFC 5280.
- التالي
أضف ملحق قيد الاسم إلى الشهادة. امتدادات شهادات X.509 هي
الموصوفة في RFC 5280.
- textSAN type: name [، type: name] ...
أنشئ ملحق "اسم بديل للموضوع" باستخدام اسم واحد أو عدة أسماء.
-type: directory، dn، dns، edi، ediparty، email، ip، ipaddr، other، registerid،
rfc822 ، uri ، x400 ، x400addr
- كلمة مرور فارغة
استخدم كلمة مرور فارغة عند إنشاء قاعدة بيانات شهادة جديدة مع -N.
--keyAttrFlags Attrflags
سمات مفتاح PKCS # 11. قائمة مفصولة بفواصل لأعلام السمات الرئيسية ، محددة من
قائمة الخيارات التالية: {token | جلسة} {عامة | خاص} {حساس |
غير حساس} {قابل للتعديل | غير قابل للتعديل} {قابل للاستخراج | غير قابل للاستخراج}
--keyOpFlagsOn opflags ، --keyOpFlagsOff opflags
علامات التشغيل الرئيسية PKCS # 11. قائمة مفصولة بفواصل لواحد أو أكثر مما يلي:
{رمز | جلسة} {عامة | خاص} {حساس | غير حساس} {قابل للتعديل |
غير قابل للتعديل} {قابل للاستخراج | غير قابل للاستخراج}
--new-n اللقب
اسم مستعار جديد يستخدم عند إعادة تسمية الشهادة.
--source-dir certdir
تحديد دليل قاعدة بيانات الشهادة للترقية.
- شهادة بادئة المصدر
أعط بادئة الشهادة وقواعد البيانات الرئيسية للترقية.
- ترقية معرف معرف فريد
امنح المعرف الفريد لقاعدة البيانات للترقية.
- اسم رمز الترقية
قم بتعيين اسم الرمز المميز لاستخدامه أثناء ترقيته.
- @ pwfile
أعط اسم ملف كلمة المرور لاستخدامه لقاعدة البيانات التي يتم ترقيتها.
الاستعمال لأي لبس أمثلة
تحتوي معظم خيارات الأوامر في الأمثلة المدرجة هنا على المزيد من الوسائط المتاحة. ال
الحجج المضمنة في هذه الأمثلة هي الأكثر شيوعًا أو تُستخدم لتوضيح أ
سيناريو محدد. استخدم ال -H الخيار لإظهار قائمة كاملة من الحجج لكل منها
خيار القيادة.
خلق جديد حماية قواعد بيانات
يتم تخزين الشهادات والمفاتيح ووحدات الأمان المتعلقة بإدارة الشهادات في
ثلاث قواعد بيانات ذات صلة:
· cert8.db أو cert9.db
key3.db أو key4.db
· secmod.db أو pkcs11.txt
يجب إنشاء قواعد البيانات هذه قبل إنشاء الشهادات أو المفاتيح.
certutil -N -d [sql:] الدليل
خلق a الشهادة أطلب
يحتوي طلب الشهادة على معظم أو كل المعلومات المستخدمة لإنشاء ملف
الشهادة النهائية. يتم تقديم هذا الطلب بشكل منفصل إلى مرجع مصدق وهو
ثم تمت الموافقة عليها من خلال آلية ما (تلقائيًا أو بواسطة مراجعة بشرية). بمجرد الطلب
تمت الموافقة عليها ، ثم يتم إنشاء الشهادة.
$ certutil -R -k key-type-or-id [-q pqgfile | curve-name] -g key-size -s subject [-h tokenname] -d [sql:] directory [-p phone] [-o ملف الإخراج] [-a]
• -R تتطلب خيارات الأمر أربع وسيطات:
· -k لتحديد نوع المفتاح المراد إنشاؤه أو عند تجديد الشهادة ، فإن
زوج مفاتيح موجود للاستخدام
· -g لتعيين حجم المفاتيح للمفتاح المراد إنشاؤه
· -s لتعيين اسم موضوع الشهادة
· -d لإعطاء دليل قاعدة بيانات الأمان
يمكن إخراج طلب الشهادة الجديد بتنسيق ASCII (-a) أو يمكن كتابتها إلى
ملف محدد (-o).
فمثلا:
$ certutil -R -k rsa -g 1024 -s "CN = John Smith، O = Example Corp، L = Mountain View، ST = California، C = US" -d sql: $ HOME / nssdb -p 650-555- 0123 -o cert.cer
توليد المفتاح. هذا قد يستغرق بضع لحظات...
خلق a الشهادة
يجب إصدار شهادة صالحة من قبل مرجع مصدق موثوق به. يمكن القيام بذلك عن طريق تحديد CA
شهادة (-c) المخزنة في قاعدة بيانات الشهادة. إذا كان زوج مفاتيح CA ليس كذلك
متاحًا ، يمكنك إنشاء شهادة موقعة ذاتيًا باستخدام ملف -x حجة مع -S
خيار القيادة.
$ certutil -S -k rsa | dsa | ec -n certname -s subject [-c source | -x] -t trustargs -d [sql:] directory [-m serial-number] [-v valid-months] [ -w offset-months] [-p phone] [-1] [-2] [-3] [-4] [-5 keyword] [-6 keyword] [-7 emailAddress] [-8 dns-names] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]
سلسلة الأرقام و - التالي * خيارات تعيين امتدادات الشهادات التي يمكن إضافتها إليها
الشهادة عندما يتم إنشاؤها بواسطة CA. ستؤدي المطالبات التفاعلية.
على سبيل المثال ، يؤدي هذا إلى إنشاء شهادة موقعة ذاتيًا:
$ certutil -S -s "CN = مثال CA" -n my-ca-cert -x -t "C، C، C" -1 -2 -5 -m 3650
المطالبات التفاعلية لاستخدام المفتاح وما إذا كانت أي ملحقات ضرورية واستجابات
تم إلغاؤه للإيجاز.
من هناك ، يمكن أن تشير الشهادات الجديدة إلى الشهادة الموقعة ذاتيًا:
$ certutil -S -s "CN = My Server Cert" -n my-server-cert -c "my-ca-cert" -t "u، u، u" -1 -5 -6 -8 -m 730
توليد a الشهادة تبدأ من a الشهادة أطلب
عندما يتم إنشاء طلب شهادة ، يمكن إنشاء شهادة باستخدام الطلب
ثم الرجوع إلى شهادة توقيع هيئة إصدار الشهادات (ملف المصدر متخصص في
ال -c دعوى). يجب أن تكون الشهادة المُصدرة في قاعدة بيانات الشهادة في
الدليل المحدد.
certutil -C -c source -i cert-request-file -o output-file [-m serial-number] [-v valid-months] [-w offset-months] -d [sql:] directory [-1] [-2] [-3] [-4] [-5 كلمة رئيسية] [-6 كلمة رئيسية] [-7 عنوان بريد إلكتروني] [-8 أسماء نظام أسماء نطاقات]
فمثلا:
$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql: $ HOME / nssdb -1 nonRepudiation، dataEncipherment -5 SSlClient -6 clientAuth -7 [البريد الإلكتروني محمي]
القائمة الشهادات
• -L يسرد خيار الأمر جميع الشهادات المدرجة في قاعدة بيانات الشهادة.
المسار إلى الدليل (-d) مطلوب.
$ certutil -L -d sql: / home / my / sharednssdb
سمات الثقة في لقب الشهادة
SSL ، S / MIME ، JAR / XPI
CA Administrator of Instance pki-ca1's مثال لمعرف المجال u، u، u
مثال على معرف المجال الخاص بمسؤول TPS u ، u ، u
هيئة الإنترنت من Google ،
المرجع المصدق - مثال على المجال CT، C، C
استخدام الحجج الإضافية مع -L يمكن إرجاع وطباعة المعلومات لمرة واحدة ،
شهادة محددة. على سبيل المثال ، ملف -n الوسيطة تمرر اسم الشهادة ، بينما
-a الوسيطة تطبع الشهادة بتنسيق ASCII:
$ certutil -L -d sql: $ HOME / nssdb -a -n my-ca-cert
----- شهادة بدء -----
MIIB1DCCAT2gAwIBAgICDkIwDQYJKoZIhvcNAQEFBQAwFTETMBEGA1UEAxMKRXhh
bXBsZSBDQTAeFw0xMzAzMTMxOTEwMjlaFw0xMzA2MTMxOTEwMjlaMBUxEzARBgNV
BAMTCkV4YW1wbGUgQ0EwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAJ4Kzqvz
JyBVgFqDXRYSyTBNw1DrxUU/3GvWA/ngjAwHEv0Cul/6sO/gsCvnABHiH6unns6x
XRzPORlC2WY3gkk7vmlsLvYpyecNazAi/NAwVnU/66HOsaoVFWE+gBQo99UrN2yk
0BiK/GMFlLm5dXQROgA9ZKKyFdI0LIXtf6SbAgMBAAGjMzAxMBEGCWCGSAGG+EIB
AQQEAwIHADAMBgNVHRMEBTADAQH / MA4GA1UdDwEB / wQEAwICBDANBgkqhkiG9w0B
AQUFAAOBgQA6chkzkACN281d1jKMrc+RHG2UMaQyxiteaLVZO+Ro1nnRUvseDf09
XKYFwPMJjWCihVku6bw/ihZfuMHhxK22Nue6inNQ6eDu7WmrqL8z3iUrQwxs+WiF
ob2rb8XRVVJkzXdXxlk4uo3UtNvw8sAz7sWD71qxKaIHU5q49zijfg==
----- شهادة النهاية -----
للحصول على شاشة يمكن قراءتها بواسطة الإنسان
$ certutil -L -d sql: $ HOME / nssdb -n my-ca-cert
شهادة:
تاريخ:
الإصدار: 3 (0x2)
الرقم التسلسلي: 3650 (0xe42)
خوارزمية التوقيع: PKCS # 1 SHA-1 مع تشفير RSA
المُصدر: "CN = مثال CA"
صحة:
ليس قبل: الأربعاء 13 آذار (مارس) 19:10:29 2013
ليس بعد: الخميس 13 حزيران (يونيو) 19:10:29 2013
الموضوع: "CN = مثال CA"
معلومات المفتاح العام للموضوع:
خوارزمية المفتاح العام: تشفير PKCS # 1 RSA
مفتاح RSA العمومي:
معام:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
الأس: 65537 (0x10001)
ملحقات موقعة:
الاسم: نوع الشهادة
البيانات: لا يوجد
الاسم: قيود الشهادة الأساسية
البيانات: مرجع مصدق لا يوجد حد أقصى لطول المسار.
الاسم: استخدام مفتاح الشهادة
الحرجة: صحيح
الأعراف: توقيع الشهادة
خوارزمية التوقيع: PKCS # 1 SHA-1 مع تشفير RSA
التوقيع:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
بصمة (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
بصمة الإصبع (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7
علامات الثقة في الشهادة:
إشارات SSL:
CA صالح
موثوق به CA
مستخدم
إشارات البريد الإلكتروني:
CA صالح
موثوق به CA
مستخدم
إشارات توقيع الكائن:
CA صالح
موثوق به CA
مستخدم
القائمة مفاتيح
المفاتيح هي المادة الأصلية المستخدمة لتشفير بيانات الشهادة. تم إنشاء المفاتيح لـ
يتم تخزين الشهادات بشكل منفصل ، في قاعدة البيانات الرئيسية.
لسرد جميع المفاتيح في قاعدة البيانات ، استخدم ملف -K خيار الأمر و (مطلوب) -d حجة
لإعطاء المسار إلى الدليل.
$ certutil -K -d sql: $ HOME / nssdb
certutil: التحقق من الرمز المميز "NSS Certificate DB" في الفتحة "NSS User Private Key and Certificate Services"
<0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d معرف Thawte للاستشارات (Pty) Ltd.
<1> rsa 40defeeb522ade11090eacebaaf1196a172127df مثال لشهادة مسؤول المجال
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert
هناك طرق لتضييق نطاق المفاتيح المدرجة في نتائج البحث:
· لإرجاع مفتاح معين ، استخدم -nالاسم حجة مع اسم المفتاح.
· إذا كان هناك العديد من أجهزة الأمان التي تم تحميلها ، فإن ملف -hاسم مميز يمكن الحجة
البحث عن رمز محدد أو جميع الرموز المميزة.
· إذا كانت هناك أنواع مفاتيح متعددة متاحة ، فإن ملف -kنوع المفتاح يمكن للحجة البحث أ
نوع معين من المفاتيح ، مثل RSA أو DSA أو ECC.
القائمة حماية الوحدات
الأجهزة التي يمكن استخدامها لتخزين الشهادات - سواء قواعد البيانات الداخلية أو الخارجية
أجهزة مثل البطاقات الذكية - يتم التعرف عليها واستخدامها عن طريق تحميل وحدات الأمان. ال -U
يسرد خيار الأمر كافة وحدات الأمان النمطية المدرجة في قاعدة بيانات secmod.db. ال
المسار إلى الدليل (-d) مطلوب.
$ certutil -U -d sql: / home / my / sharednssdb
الفتحة: المفتاح الخاص لمستخدم NSS وخدمات الشهادات
الرمز المميز: NSS Certificate DB
الفتحة: خدمات التشفير الداخلية NSS
الرمز المميز: خدمات التشفير العامة لـ NSS
إضافة الشهادات إلى ال قاعدة البيانات
يمكن إضافة الشهادات الحالية أو طلبات الشهادات يدويًا إلى الشهادة
قاعدة البيانات ، حتى لو تم إنشاؤها في مكان آخر. هذا يستخدم -A خيار القيادة.
certutil -A -n certname -t trustargs -d [sql:] الدليل [-a] [-i input-file]
فمثلا:
$ certutil -A -n "CN = شهادة SSL الخاصة بي" -t "u، u، u" -d sql: / home / my / sharednssdb -i /home/example-certs/cert.cer
خيار أمر ذي صلة ، -E، على وجه التحديد لإضافة شهادات البريد الإلكتروني إلى
قاعدة بيانات الشهادة. ال -E الأمر له نفس الوسائط مثل -A يأمر. الثقة
حجج الشهادات لها التنسيق SSL ، S / MIME ، توقيع الرمز، لذلك الثقة المتوسطة
تتعلق الإعدادات أكثر بشهادات البريد الإلكتروني (على الرغم من أنه يمكن تعيين الآخرين). على سبيل المثال:
$ certutil -E -n "CN = John Smith Email Cert" -t "، Pu،" -d sql: / home / my / sharednssdb -i /home/example-certs/email.cer
حذف الشهادات إلى ال قاعدة البيانات
يمكن حذف الشهادات من قاعدة بيانات باستخدام امتداد -D خيار. الخيارات المطلوبة فقط
هي إعطاء دليل قاعدة بيانات الأمان وتحديد لقب الشهادة.
certutil -D -d [sql:] الدليل -n "الاسم المستعار"
فمثلا:
$ certutil -D -d sql: / home / my / sharednssdb -n "my-ssl-cert"
التحقق من صحة الشهادات
تحتوي الشهادة على تاريخ انتهاء الصلاحية في حد ذاته ، والشهادات منتهية الصلاحية سهلة
مرفوض. ومع ذلك ، يمكن أيضًا إبطال الشهادات قبل أن تصل إلى تاريخ انتهاء صلاحيتها.
يتطلب التحقق مما إذا كانت الشهادة قد تم إبطالها التحقق من صحة الشهادة.
يمكن أيضًا استخدام التحقق من الصحة لضمان استخدام الشهادة للأغراض فقط
تم إصداره في البداية لـ. يتم التحقق من صحة -V خيار القيادة.
certutil -V -n Certificate-name [-b time] [-e] [-u cert-Usage] -d [sql:] directory
على سبيل المثال ، للتحقق من صحة شهادة بريد إلكتروني:
$ certutil -V -n "John Smith's Email Cert" -e -u S، R -d sql: / home / my / sharednssdb
تعديل الشهادة الثقة الإعدادات
إعدادات الثقة (التي تتعلق بالعمليات المسموح بها للشهادة
used for) بعد إنشاء الشهادة أو إضافتها إلى قاعدة البيانات. هذا هو
مفيد بشكل خاص لشهادات CA ، ولكن يمكن إجراؤه لأي نوع من أنواع
شهادة.
certutil -M -n Certificate-name -t trust-args -d [sql:] الدليل
فمثلا:
$ certutil -M -n "My CA Certificate" -d sql: / home / my / sharednssdb -t "CTu، CTu، CTu"
الطباعة ال الشهادة سلسلة
يمكن إصدار الشهادات في السلاسل لأن كل سلطة تصديق نفسها لها
شهادة؛ عندما يصدر المرجع المصدق شهادة ، فإنه يقوم في الأساس بختم تلك الشهادة بـ
بصمة الإصبع الخاصة به. ال -O يطبع السلسلة الكاملة للشهادة ، بدءًا من البداية
CA (المرجع المصدق الجذري) من خلال المرجع المصدق الوسيط إلى الشهادة الفعلية. على سبيل المثال ، ل
شهادة بريد إلكتروني مع اثنين من المراجع المصدقة في السلسلة:
$ certutil -d sql: / home / my / sharednssdb -O -n "[البريد الإلكتروني محمي]"
"رمز كائن مضمّن: Thawte Personal Freemail CA" [E =[البريد الإلكتروني محمي]، CN = Thawte Personal Freemail CA، OU = Certification Services Division، O = Thawte Consulting، L = Cape Town، ST = Western Cape، C = ZA]
"Thawte Personal Freemail Issuing CA - Thawte Consulting" [CN = Thawte Personal Freemail Issuing CA، O = Thawte Consulting (Pty) Ltd.، C = ZA]
"(خالية)" [E =[البريد الإلكتروني محمي]، CN = عضو Thawte Freemail]
إعادة a رمز
الجهاز الذي يخزن الشهادات - الأجهزة الخارجية والداخلية
قواعد بيانات البرامج - يمكن إفراغها وإعادة استخدامها. يتم تنفيذ هذه العملية على الجهاز
الذي يخزن البيانات ، وليس مباشرة على قواعد البيانات الأمنية ، لذلك يجب أن يكون الموقع
يشار إليها من خلال اسم الرمز المميز (-h) وكذلك أي مسار دليل. إذا لم يكن هناك
تم استخدام رمز خارجي ، القيمة الافتراضية هي داخلية.
certutil -T -d [sql:] الدليل -h الاسم المميز -0 الأمن-الضابط-كلمة المرور
خصصت العديد من الشبكات موظفين مخصصين للتعامل مع التغييرات التي تطرأ على الرموز الأمنية (الأمان
ضابط). يجب على هذا الشخص توفير كلمة المرور للوصول إلى الرمز المميز المحدد. على سبيل المثال:
$ certutil -T -d sql: / home / my / sharednssdb -h nethsm -0 secret
ترقية or دمج ال حماية قواعد بيانات
قد تستخدم العديد من الشبكات أو التطبيقات إصدارات BerkeleyDB الأقدم من الشهادة
قاعدة بيانات (cert8.db). يمكن ترقية قواعد البيانات إلى إصدار SQLite الجديد من قاعدة البيانات
(cert9.db) باستخدام امتداد - ترقية-دمج يمكن دمج خيار الأمر أو قواعد البيانات الموجودة
مع قواعد بيانات cert9.db الجديدة التي تستخدم الامتداد ---دمج أمر.
• - ترقية-دمج يجب أن يعطي الأمر معلومات حول قاعدة البيانات الأصلية ثم يستخدمها
الحجج القياسية (مثل -d) لإعطاء معلومات حول قواعد البيانات الجديدة. ال
يتطلب الأمر أيضًا المعلومات التي تستخدمها الأداة لعملية الترقية والكتابة
على قاعدة البيانات الأصلية.
certutil --upgrade-merge -d [sql:] الدليل [-P dbprefix] - دليل المصدر-dir - بادئة المصدر dbprefix - معرف معرف الترقية - اسم اسم الرمز المميز للترقية [- @ password-file ]
فمثلا:
$ certutil --upgrade-merge -d sql: / home / my / sharednssdb --source-dir / opt / my-app / alias / --source-prefix serverapp- --upgrade-id 1 --upgrade-token- اسم داخلي
• --دمج يتطلب الأمر فقط معلومات حول موقع قاعدة البيانات الأصلية ؛
نظرًا لأنه لا يغير تنسيق قاعدة البيانات ، فيمكنه الكتابة فوق المعلومات بدون
أداء خطوة مؤقتة.
certutil --merge -d [sql:] الدليل [-P dbprefix] - دليل المصدر-dir - بادئة المصدر dbprefix [- @ password-file]
فمثلا:
$ certutil --merge -d sql: / home / my / sharednssdb --source-dir / opt / my-app / alias / - خادم بادئة المصدر
الركض certutil أوامر تبدأ من a دفعة قم بتقديم
يمكن تشغيل سلسلة من الأوامر بالتتابع من ملف نصي بامتداد -B خيار القيادة.
الوسيطة الوحيدة لهذا تحدد ملف الإدخال.
$ certutil -B -i / path / to / batch-file
NSS DATABASE أنواع
استخدم NSS في الأصل قواعد بيانات BerkeleyDB لتخزين معلومات الأمان. الإصدارات الأخيرة
من هذه إرث قواعد البيانات هي:
· cert8.db للشهادات
key3.db للمفاتيح
· secmod.db لمعلومات الوحدة النمطية PKCS # 11
يحتوي BerkeleyDB على قيود في الأداء ، على الرغم من ذلك ، تمنع استخدامه بسهولة من قبل
تطبيقات متعددة في وقت واحد. تتمتع NSS ببعض المرونة التي تسمح للتطبيقات
استخدام محرك قاعدة البيانات المستقل الخاص بهم مع الاحتفاظ بقاعدة بيانات مشتركة والعمل
حول قضايا الوصول. ومع ذلك ، تتطلب NSS مزيدًا من المرونة لتقديم ملف
قاعدة بيانات الأمان.
في عام 2009 ، قدمت NSS مجموعة جديدة من قواعد البيانات التي هي قواعد بيانات SQLite بدلاً من قواعد بيانات
بيركلي ديسيبل. توفر قواعد البيانات الجديدة هذه مزيدًا من إمكانية الوصول والأداء:
· cert9.db للشهادات
key4.db للمفاتيح
· pkcs11.txt ، قائمة بجميع وحدات PKCS # 11 ، الواردة في دليل فرعي جديد
في دليل قواعد بيانات الأمان
نظرًا لأن قواعد بيانات SQLite مصممة بحيث يمكن مشاركتها ، فهذه هي ملفات شاركت قاعدة بيانات
نوع. يُفضل نوع قاعدة البيانات المشتركة ؛ يتم تضمين التنسيق القديم للخلف
التوافق.
بشكل افتراضي ، الأدوات (certutil, pk12util, مودوتيل) تفترض أن الأمن المعطى
تتبع قواعد البيانات النوع القديم الأكثر شيوعًا. يجب أن يتم استخدام قواعد بيانات SQLite يدويًا
المحدد باستخدام SQL: بادئة بدليل الأمان المحدد. على سبيل المثال:
$ certutil -L -d sql: / home / my / sharednssdb
لتعيين نوع قاعدة البيانات المشتركة كنوع افتراضي للأدوات ، قم بتعيين
NSS_DEFAULT_DB_TYPE متغير البيئة ل SQL:
تصدير NSS_DEFAULT_DB_TYPE = "sql"
يمكن إضافة هذا الخط إلى ~ / .bashrc ملف لجعل التغيير دائمًا.
لا تستخدم معظم التطبيقات قاعدة البيانات المشتركة افتراضيًا ، ولكن يمكن تكوينها
استخدمهم. على سبيل المثال ، تتناول هذه المقالة الإرشادية كيفية تكوين Firefox و Thunderbird
لاستخدام قواعد بيانات NSS المشتركة الجديدة:
· https://wiki.mozilla.org/NSS_Shared_DB_Howto
للحصول على مسودة هندسية حول التغييرات في قواعد بيانات NSS المشتركة ، راجع مشروع NSS
ويكي:
· https://wiki.mozilla.org/NSS_Shared_DB
استخدم certutil عبر الإنترنت باستخدام خدمات onworks.net
