هذا هو الأمر getcert-request الذي يمكن تشغيله في موفر الاستضافة المجاني OnWorks باستخدام إحدى محطات العمل المجانية المتعددة عبر الإنترنت مثل Ubuntu Online أو Fedora Online أو محاكي Windows عبر الإنترنت أو محاكي MAC OS عبر الإنترنت
برنامج:
اسم
com.getcert
موجز
طلب getcert [خيارات]
الوصف
يقول شهادة لاستخدام زوج مفاتيح موجود (أو لإنشاء واحد إذا لم يكن موجودًا بالفعل
موجود في الموقع المحدد)، لإنشاء طلب توقيع باستخدام زوج المفاتيح، وإلى
إرسالها للتوقيع على CA.
KEY لأي لبس شهادة STORAGE OPTIONS
-d DIR استخدم قاعدة بيانات NSS في الدليل المحدد لتخزين هذه الشهادة و
الرئيسية.
-n اسم
استخدم المفتاح الذي يحمل هذا اللقب لإنشاء طلب التوقيع. إذا لم يكن هناك مثل هذا المفتاح
وجدت، توليد واحدة. امنح الشهادة المسجلة هذا اللقب أيضًا. صالحة فقط
مع -d.
-t TOKEN
إذا كانت قاعدة بيانات NSS تحتوي على أكثر من رمز مميز، فاستخدم الرمز المميز بهذا الاسم
لتخزين والوصول إلى الشهادة والمفتاح. نادرا ما تحتاج هذه الحجة
لتكون محدد. صالحة فقط مع -d.
-f FILE
قم بتخزين الشهادة الصادرة في هذا الملف. من أجل السلامة، لا تستخدم نفس الشيء
الملف المحدد مع -k الخيار.
-k FILE
استخدم المفتاح المخزن في هذا الملف لإنشاء طلب التوقيع. إذا لم يكن هناك مثل هذا الملف
تم العثور عليه، وقم بإنشاء زوج مفاتيح جديد وتخزينه في الملف. صالحة فقط مع -f.
KEY التشفير OPTIONS
-p FILE
قم بتشفير ملفات المفتاح الخاص أو قواعد البيانات باستخدام رقم التعريف الشخصي المخزن في الملف المحدد باسم
عبارة المرور.
-P PIN قم بتشفير ملفات المفتاح الخاص أو قواعد البيانات باستخدام رقم التعريف الشخصي المحدد باعتباره عبارة المرور.
نظرًا لأن وسيطات سطر الأوامر للعمليات الجارية قابلة للاكتشاف بشكل تافه، استخدم
لا ينصح بهذا الخيار إلا للاختبار.
KEY GENERATION OPTIONS
-G النوع
في حالة الحاجة إلى إنشاء زوج مفاتيح جديد، يحدد هذا الخيار نوع الملف
المفاتيح التي سيتم إنشاؤها. إذا لم يتم تحديده، فإن الافتراضي المعقول (حاليًا RSA) سوف
يستخدم.
-g BITS
في حالة الحاجة إلى إنشاء زوج مفاتيح جديد، يحدد هذا الخيار حجم الملف
مفتاح. إذا لم يتم تحديده، فسيتم استخدام افتراضي معقول (حاليًا 2048 بت).
تعقب الطلب OPTIONS
-r محاولة الحصول على شهادة جديدة من المرجع المصدق عند انتهاء تاريخ انتهاء الصلاحية
تقترب الشهادة. هذا هو الإعداد الافتراضي.
-R لا تحاول الحصول على شهادة جديدة من المرجع المصدق عندما ينتهي تاريخ انتهاء الصلاحية
تقترب الشهادة. إذا تم تحديد هذا الخيار، فسيتم ببساطة الحصول على شهادة منتهية الصلاحية
البقاء منتهية الصلاحية.
-I اسم
قم بتعيين اللقب المحدد لهذه المهمة. إذا لم يتم تحديد هذا الخيار، أ
سيتم تعيين الاسم تلقائيا.
القيد OPTIONS
-c اسم
قم بالتسجيل باستخدام المرجع المصدق المحدد بدلاً من الافتراضي المحتمل. اسم المرجع المصدق (CA).
يجب أن تتوافق مع واحدة المذكورة من قبل com.getcert قائمة كاس.
-T اسم
اطلب شهادة باستخدام ملف التعريف أو القالب أو نوع الشهادة المحدد من
CA المحدد.
التوقيع طلب OPTIONS
إذا لم يكن أي من -N, -U, -K, -Eو -D تم تحديدها، سيتم استخدام مجموعة افتراضية من الإعدادات
لطلب شهادة خادم SSL للمضيف الحالي، باستخدام مضيف خدمة كيربيروس
كاسم إضافي.
-N اسم
قم بتعيين اسم الموضوع المراد تضمينه في طلب التوقيع. الافتراضي المستخدم هو
CN =اسم المضيف، حيث اسم المضيف هو اسم المضيف المحلي.
-u مفتاح
قم بإضافة طلب ملحق لاستخدام المفتاح المحدد لطلب التوقيع. ال
من المتوقع أن تكون قيمة keyUsage أحد هذه الأسماء:
توقيع إلكتروني
عدم التنصل
التشفير
تشفير البيانات
KeyAgreement
keyCertSign
cRL
التشفير فقط
فك فقط
-U EKU قم بإضافة طلب تمديد لاستخدام KeyUsage الممتد المحدد لطلب التوقيع.
من المتوقع أن تكون قيمة EKU عبارة عن معرف كائن (OID)، ولكن بعض الأسماء المحددة
يتم التعرف عليها أيضًا. هذه بعض الأسماء وقيم معرف الكائن المرتبطة بها:
معرف-kp-serverAuth 1.3.6.1.5.5.7.3.1
معرف-kp-clientAuth 1.3.6.1.5.5.7.3.2
معرف-kp-codeالتوقيع 1.3.6.1.5.5.7.3.3
معرف-kp-emailProtection 1.3.6.1.5.5.7.3.4
معرف kp-timeStamping 1.3.6.1.5.5.7.3.8
id-kp-OCSPSigning 1.3.6.1.5.5.7.3.9
معرف pkinit-KPClientAuth 1.3.6.1.5.2.3.4
معرف-pkinit-KPKdc 1.3.6.1.5.2.3.5
معرف MS-KP-SC-تسجيل الدخول 1.3.6.1.4.1.311.20.2.2
-K اسم
قم بإضافة طلب ملحق لـ subjectAltName، باستخدام مبدأ Kerberos المحدد
الاسم كقيمة لطلب التوقيع.
-E البريد الإلكتروني
قم بإضافة طلب ملحق لـ subjectAltName، باستخدام عنوان البريد الإلكتروني المحدد كـ
قيمتها لطلب التوقيع.
-D DNSNAME
قم بإضافة طلب ملحق لموضوع AltName، مع اسم DNS المحدد له
القيمة لطلب التوقيع.
-A العنوان
قم بإضافة طلب ملحق لـ subjectAltName، مع عنوان IP المحدد له
القيمة لطلب التوقيع.
-l FILE
أضف قيمة ChallengePassword اختيارية، مقروءة من الملف، إلى التوقيع
طلب. غالبًا ما تكون كلمة ChallengePassword مطلوبة عند الوصول إلى المرجع المصدق (CA) باستخدام SCEP.
-L PIN أضف قيمة الوسيطة إلى طلب التوقيع كسمة ChallengePassword. أ
غالبًا ما يكون ChallengePassword مطلوبًا عند الوصول إلى المرجع المصدق (CA) باستخدام SCEP.
أخرى OPTIONS
-B COMMAND
متى يتم حفظ الشهادة أو شهادات CA في الملف المحدد
المواقع، قم بتشغيل الأمر المحدد كمستخدم العميل قبل حفظ الملف
الشهادات.
-C COMMAND
متى يتم حفظ الشهادة أو شهادات CA في الملف المحدد
المواقع، قم بتشغيل الأمر المحدد كمستخدم العميل بعد حفظ الملف
الشهادات.
-a DIR عندما يتم حفظ الشهادة في الموقع المحدد، إذا كانت الشهادات الجذرية
بالنسبة للمرجع المصدق المتوفرة، احفظها في قاعدة بيانات NSS المحددة.
-F FILE
عندما يتم حفظ الشهادة في الموقع المحدد، إذا كانت الشهادات الجذرية
للمرجع المصدق، وعندما تتوفر النسخ المحلية من الشهادات الجذر للمرجع المصدق
يتم تحديثها، وحفظها في الملف المحدد.
-w انتظر حتى يتم إصدار الشهادة وحفظها، أو محاولة الحصول عليها
للفشل.
-v كن واسعا بشأن الأخطاء. عادةً ، يتم تلقي تفاصيل الخطأ من
سيتم منع البرنامج الخفي إذا كان بإمكان العميل تقديم اقتراح تشخيصي.
الملاحظات
يجب أن تكون المواقع المخصصة لتخزين المفاتيح والشهادات متاحة للوصول إليها
شهادة عملية الخفي. عند تشغيله كبرنامج خفي للنظام على نظام يستخدم برنامجًا إلزاميًا
آلية التحكم في الوصول مثل SELinux، يجب أن تتأكد سياسة النظام من وجود البرنامج الخفي
يُسمح له بالوصول إلى المواقع التي ستكون فيها الشهادات والمفاتيح التي سيديرها
المخزنة (عادةً ما يتم تصنيف هذه المواقع على أنها cert_t أو ما يعادلها). المزيد
يمكن العثور على معلومات محددة في selinux.txt ملف الوثائق لهذه الحزمة.
استخدم طلب getcert عبر الإنترنت باستخدام خدمات onworks.net
