Dies ist der Befehl certutil, der im kostenlosen OnWorks-Hosting-Provider mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, Windows-Online-Emulator oder MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
certutil - Verwalten Sie Schlüssel und Zertifikate sowohl in NSS-Datenbanken als auch in anderen NSS-Token
ZUSAMMENFASSUNG
certutil [Optionen] [[Argumente]]
STATUS
Diese Dokumentation ist noch in Arbeit. Bitte tragen Sie zur ersten Bewertung in . bei
Mozilla NSS Fehler 836477[1]
BESCHREIBUNG
Das Zertifikatdatenbank-Tool, certutil, ist ein Befehlszeilen-Dienstprogramm, das und
Zertifikat- und Schlüsseldatenbanken ändern. Es kann gezielt auflisten, generieren, modifizieren oder
Zertifikate löschen, Passwort erstellen oder ändern, neuen öffentlichen und privaten Schlüssel generieren
Schlüsselpaare anzeigen, den Inhalt der Schlüsseldatenbank anzeigen oder Schlüsselpaare innerhalb des Schlüssels löschen
Datenbank.
Die Zertifikatsausstellung, Teil des Schlüssel- und Zertifikatsverwaltungsprozesses, erfordert, dass
Schlüssel und Zertifikate in der Schlüsseldatenbank erstellt werden. Dieses Dokument behandelt das Zertifikat
und Schlüsseldatenbankverwaltung. Informationen zur Datenbankverwaltung des Sicherheitsmoduls finden Sie unter
finden Sie in der Modutil Manpage.
COMMAND OPTIONAL UND ARGUMENTE
Laufen certutil erfordert immer eine und nur eine Befehlsoption, um den Typ von . anzugeben
Zertifikatsbetrieb. Jede Befehlsoption kann null oder mehr Argumente annehmen. Der Befehl
zu erhalten -H listet alle Befehlsoptionen und ihre relevanten Argumente auf.
Befehl Optionen
-A
Fügen Sie einer Zertifikatsdatenbank ein vorhandenes Zertifikat hinzu. Die Zertifikatsdatenbank sollte
existieren bereits; wenn keine vorhanden ist, initialisiert diese Befehlsoption eine durch
default.
-B
Führen Sie eine Reihe von Befehlen aus der angegebenen Batchdatei aus. Dies erfordert die -i Argument.
-C
Erstellen Sie eine neue binäre Zertifikatsdatei aus einer binären Zertifikatsanforderungsdatei. Verwenden Sie die
-i Argument, um die Zertifikatsanforderungsdatei anzugeben. Wenn dieses Argument nicht verwendet wird,
certutil fordert zur Eingabe eines Dateinamens auf.
-D
Löschen Sie ein Zertifikat aus der Zertifikatsdatenbank.
--umbenennen
Ändern Sie den Datenbankkurznamen eines Zertifikats.
-E
Fügen Sie der Zertifikatsdatenbank ein E-Mail-Zertifikat hinzu.
-F
Löschen Sie einen privaten Schlüssel aus einer Schlüsseldatenbank. Geben Sie den zu löschenden Schlüssel mit -n . an
Streit. Geben Sie die Datenbank an, aus der der Schlüssel gelöscht werden soll, mit dem -d Streit. Verwenden
-k -Argument, um explizit anzugeben, ob ein DSA-, RSA- oder ECC-Schlüssel gelöscht werden soll. wenn du
benutze die nicht -k -Argument sucht die Option nach einem RSA-Schlüssel, der dem angegebenen
Spitzname.
Achten Sie beim Löschen von Schlüsseln darauf, auch alle damit verbundenen Zertifikate zu entfernen
Schlüssel aus der Zertifikatsdatenbank mit -D. Einige Smartcards lassen Sie nicht zu
Entfernen Sie einen von Ihnen generierten öffentlichen Schlüssel. In einem solchen Fall ist nur der private Schlüssel
aus dem Schlüsselpaar gelöscht. Sie können den öffentlichen Schlüssel mit dem Befehl certutil -K . anzeigen
-h Tokenname.
-G
Generieren Sie ein neues öffentliches und privates Schlüsselpaar innerhalb einer Schlüsseldatenbank. Die Schlüsseldatenbank
sollte bereits vorhanden sein; wenn keine vorhanden ist, wird diese Befehlsoption eine initialisieren
standardmäßig. Einige Smartcards können nur ein Schlüsselpaar speichern. Wenn Sie ein neues Schlüsselpaar erstellen
für eine solche Karte wird das vorherige Paar überschrieben.
-H
Zeigen Sie eine Liste der Befehlsoptionen und -argumente an.
-K
Listen Sie die Schlüssel-ID der Schlüssel in der Schlüsseldatenbank auf. Eine Schlüssel-ID ist der Modul des RSA-Schlüssels oder
der publicValue des DSA-Schlüssels. IDs werden hexadezimal angezeigt ("0x" wird nicht angezeigt).
-L
Alle Zertifikate auflisten oder Informationen zu einem benannten Zertifikat anzeigen in a
Zertifikatsdatenbank. Verwenden Sie das Argument -h Tokenname, um das Zertifikat anzugeben
Datenbank auf einem bestimmten Hardware- oder Software-Token.
-M
Ändern Sie die Vertrauensattribute eines Zertifikats mit den Werten des Arguments -t.
-N
Erstellen Sie neue Zertifikats- und Schlüsseldatenbanken.
-O
Drucken Sie die Zertifikatskette.
-R
Erstellen Sie eine Zertifikatsanforderungsdatei, die an eine Zertifizierungsstelle gesendet werden kann
(CA) zur Verarbeitung zu einem fertigen Zertifikat. Ausgabe standardmäßig auf Standardausgang
es sei denn, Sie verwenden das Argument -o Ausgabedatei. Verwenden Sie das Argument -a, um die ASCII-Ausgabe anzugeben.
-S
Erstellen Sie ein individuelles Zertifikat und fügen Sie es einer Zertifikatsdatenbank hinzu.
-T
Setzen Sie die Schlüsseldatenbank oder das Token zurück.
-U
Listen Sie alle verfügbaren Module auf oder drucken Sie ein einzelnes benanntes Modul.
-V
Überprüfen Sie die Gültigkeit eines Zertifikats und seiner Attribute.
-W
Ändern Sie das Kennwort in eine Schlüsseldatenbank.
--verschmelzen
Führen Sie zwei Datenbanken zu einer zusammen.
--upgrade-merge
Aktualisieren Sie eine alte Datenbank und führen Sie sie in eine neue Datenbank zusammen. Dies wird verwendet, um zu migrieren
ältere NSS-Datenbanken (cert8.db und key3.db) in die neueren SQLite-Datenbanken (cert9.db
und key4.db).
Argumente
Argumente ändern eine Befehlsoption und sind normalerweise Kleinbuchstaben, Zahlen oder Symbole.
-a
Verwenden Sie das ASCII-Format oder erlauben Sie die Verwendung des ASCII-Formats für die Eingabe oder Ausgabe. Diese Formatierung
folgt RFC 1113. Bei Zertifikatsanforderungen wird die ASCII-Ausgabe standardmäßig auf die Standardausgabe eingestellt
sofern nicht umgeleitet.
-b Gültigkeitsdauer
Geben Sie einen Zeitpunkt an, zu dem ein Zertifikat gültig sein muss. Beim Überprüfen verwenden
Zertifikatsgültigkeit mit dem -V Möglichkeit. Das Format der Gültigkeitsdauer Argument ist
JJMMTTHHMMSS[+HHMM|-HHMM|Z], wodurch Offsets relativ zur Gültigkeit gesetzt werden können
Endzeit. Sekunden angeben (SS) es ist optional. Wenn Sie eine explizite Zeit angeben, verwenden Sie a
Z am Ende der Laufzeit, JJMMTDHHMMSSZ, um es zu schließen. Wenn Sie eine Versatzzeit angeben,
- JJMMTTHHMMSS+HHMM or JJMMTTHHMMSS-HHMM zum Addieren oder Subtrahieren von Zeit,
beziehungsweise.
Wenn diese Option nicht verwendet wird, wird für die Gültigkeitsprüfung standardmäßig die aktuelle Systemzeit verwendet.
-c Aussteller
Identifizieren Sie das Zertifikat der CA, von der ein neues Zertifikat abgeleitet wird
Authentizität. Verwenden Sie den genauen Spitznamen oder Alias des CA-Zertifikats oder verwenden Sie die CAs
E-Mail-Addresse. Schließen Sie die Ausstellerzeichenfolge in Anführungszeichen ein, wenn sie Leerzeichen enthält.
-d [Präfix]Verzeichnis
Geben Sie das Datenbankverzeichnis an, das die Zertifikats- und Schlüsseldatenbankdateien enthält.
certutil unterstützt zwei Arten von Datenbanken: die Legacy-Sicherheitsdatenbanken (cert8.db,
key3.db und secmod.db) und neue SQLite-Datenbanken (cert9.db, key4.db und pkcs11.txt).
NSS erkennt die folgenden Präfixe:
· SQL: fordert die neuere Datenbank an
· DBM: fordert die Legacy-Datenbank an
Wenn kein Präfix angegeben wird, wird der Standardtyp aus NSS_DEFAULT_DB_TYPE abgerufen. Wenn
NSS_DEFAULT_DB_TYPE ist dann nicht gesetzt DBM: ist die Vorgabe.
--dump-ext-val-OID
Drucken Sie für ein einzelnes Zertifikat die binäre DER-Codierung der Erweiterungs-OID.
-e
Überprüfen Sie die Signatur eines Zertifikats während des Validierungsprozesses eines Zertifikats.
--E-Mail-E-Mail-Adresse
Geben Sie die E-Mail-Adresse eines aufzulistenden Zertifikats an. Wird mit der Befehlsoption -L verwendet.
--extGeneric OID:kritisches-flag:Dateiname[,OID:kritisches-flag:Dateiname]...
Fügen Sie eine oder mehrere Erweiterungen hinzu, die certutil noch nicht codieren kann, indem Sie ihre
Codierungen aus externen Dateien.
· OID (Beispiel): 1.2.3.4
· Critical-Flag: kritisch oder unkritisch
· Dateiname: vollständiger Pfad zu einer Datei mit einer codierten Erweiterung
-f Passwortdatei
Geben Sie eine Datei an, die automatisch das Kennwort bereitstellt, das in ein Zertifikat aufgenommen werden soll
oder um auf eine Zertifikatsdatenbank zuzugreifen. Dies ist eine Klartextdatei, die eine enthält
Passwort. Achten Sie darauf, unbefugten Zugriff auf diese Datei zu verhindern.
-g Schlüsselgröße
Legen Sie eine Schlüsselgröße fest, die beim Generieren neuer öffentlicher und privater Schlüsselpaare verwendet werden soll. Das Minimum ist
512 Bit und das Maximum beträgt 16384 Bit. Der Standardwert ist 2048 Bit. Jede Größe zwischen den
Minimum und Maximum ist erlaubt.
-h Tokenname
Geben Sie den Namen eines Tokens an, das verwendet oder bearbeitet werden soll. Wenn nicht angegeben, ist das Standardtoken
der interne Datenbank-Slot.
-i Eingabedatei
Übergeben Sie eine Eingabedatei an den Befehl. Je nach Befehlsoption kann eine Eingabedatei
ein bestimmtes Zertifikat, eine Zertifikatsanforderungsdatei oder eine Batchdatei mit Befehlen sein.
-k Schlüsseltyp-oder-ID
Geben Sie den Typ oder die spezifische ID eines Schlüssels an.
Die gültigen Schlüsseltypoptionen sind rsa, dsa, ec oder all. Der Standardwert ist rsa.
Durch die Angabe des Schlüsseltyps können Fehler vermieden werden, die durch doppelte Spitznamen verursacht werden. Geben
Schlüsseltyp erzeugt ein neues Schlüsselpaar; Wenn Sie die ID eines vorhandenen Schlüssels angeben, wird dieser Schlüssel wiederverwendet
Paar (das zum Erneuern von Zertifikaten erforderlich ist).
-l
Zeigen Sie detaillierte Informationen an, wenn Sie ein Zertifikat mit der Option -V validieren.
-m Seriennummer
Weisen Sie einem zu erstellenden Zertifikat eine eindeutige Seriennummer zu. Dieser Vorgang sollte
von einer CA durchgeführt. Wenn keine Seriennummer angegeben wird, wird eine Standardseriennummer erstellt
aus der aktuellen Zeit. Seriennummern sind auf ganze Zahlen beschränkt
-n Spitzname
Geben Sie den Spitznamen eines Zertifikats oder Schlüssels zum Auflisten, Erstellen, Hinzufügen zu einer Datenbank,
ändern oder validieren. Klammern Sie den Spitznamen-String in Anführungszeichen, wenn er . enthält
Räume.
-o Ausgabedatei
Geben Sie den Ausgabedateinamen für neue Zertifikate oder binäre Zertifikatsanforderungen an.
Schließen Sie die Zeichenfolge der Ausgabedatei in Anführungszeichen ein, wenn sie Leerzeichen enthält. Wenn das
-Argument nicht verwendet wird, ist das Ausgabeziel standardmäßig die Standardausgabe.
-P DBPräfix
Geben Sie das in der Zertifikats- und Schlüsseldatenbankdatei verwendete Präfix an. Dieses Argument ist
bereitgestellt, um Legacy-Server zu unterstützen. Die meisten Anwendungen verwenden kein Datenbankpräfix.
-p Telefon
Geben Sie eine Kontakttelefonnummer an, die in neue Zertifikate oder Zertifikate aufgenommen werden soll
Anfragen. Schließen Sie diese Zeichenfolge in Anführungszeichen ein, wenn sie Leerzeichen enthält.
-q pqgfile oder Kurvenname
Beim Generieren von DSA-Schlüsselpaaren einen alternativen PQG-Wert aus der angegebenen Datei lesen. Wenn
dieses Argument wird nicht verwendet, certutil erzeugt einen eigenen PQG-Wert. PQG-Dateien werden erstellt
mit einem separaten DSA-Dienstprogramm.
Der Name der elliptischen Kurve ist einer von SUITE B: nistp256, nistp384, nistp521
Wenn NSS mit Stützkurven außerhalb von SUITE B kompiliert wurde: sect163k1, nistk163,
sekt163r1, sekt163r2, nistb163, sekt193r1, sekt193r2, sekt233k1, nistk233, sekt233r1,
nistb233, sekt239k1, sekt283k1, nistk283, sekt283r1, nistb283, sekt409k1, nistk409,
sect409r1, nistb409, sect571k1, nistk571, sect571r1, nistb571, secp160k1, secp160r1,
secp160r2, secp192k1, secp192r1, nistp192, secp224k1, secp224r1, nistp224, secp256k1,
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2
-r
Zeigen Sie die binäre DER-Codierung eines Zertifikats an, wenn Sie Informationen dazu auflisten
Zertifikat mit der Option -L.
-s Betreff
Identifizieren Sie einen bestimmten Zertifikatsbesitzer für neue Zertifikate oder Zertifikatsanforderungen.
Schließen Sie diese Zeichenfolge in Anführungszeichen ein, wenn sie Leerzeichen enthält. Das Thema
Identifikationsformat folgt RFC #1485.
-t Trustargs
Geben Sie die Vertrauensattribute an, die in einem vorhandenen Zertifikat geändert oder auf ein
Zertifikat beim Erstellen oder Hinzufügen zu einer Datenbank. Es sind drei verfügbar
Vertrauenskategorien für jedes Zertifikat, ausgedrückt in der Reihenfolge SSL, Email, Objekt
Unterzeichnung für jede Vertrauensstellung. Verwenden Sie in jeder Kategorieposition none, any oder all of
die Attributcodes:
· p - Gültiger Peer
· P - Vertrauenswürdiger Peer (impliziert p)
· c - Gültige CA
· T - Vertrauenswürdige CA (impliziert c)
· C - Vertrauenswürdige CA für Client-Authentifizierung (nur SSL-Server)
· u - Benutzer
Die Attributcodes für die Kategorien werden durch Kommas getrennt, und der gesamte Satz von
Attribute in Anführungszeichen eingeschlossen. Zum Beispiel:
-t "TCu, Cu, Tu"
Verwenden Sie die Option -L, um eine Liste der aktuellen Zertifikate und Vertrauensattribute in a . anzuzeigen
Zertifikatsdatenbank.
-u Zertifikat
Geben Sie einen Verwendungskontext an, der angewendet werden soll, wenn ein Zertifikat mit der Option -V überprüft wird.
Die Kontexte sind die folgenden:
· C (als SSL-Client)
· V (als SSL-Server)
· L (als SSL-CA)
· A (wie jede CA)
· Y (CA überprüfen)
· S (als E-Mail-Signer)
· R (als E-Mail-Empfänger)
· O (als OCSP-Status-Responder)
· J (als Objektsignierer)
-v gültige-Monate
Legen Sie fest, wie viele Monate ein neues Zertifikat gültig sein soll. Die Gültigkeitsdauer beginnt
zur aktuellen Systemzeit, es sei denn, ein Offset wird mit dem addiert oder subtrahiert -w .
Wird dieses Argument nicht verwendet, beträgt die Standardgültigkeitsdauer drei Monate.
-w Offset-Monate
Legen Sie einen Offset von der aktuellen Systemzeit in Monaten für den Anfang von a . fest
Gültigkeitsdauer des Zertifikats. Wird beim Erstellen des Zertifikats oder beim Hinzufügen zu einem verwendet
Datenbank. Drücken Sie den Offset in ganzen Zahlen aus, indem Sie ein Minuszeichen (-) verwenden, um a . anzugeben
negativer Offset. Wird dieses Argument nicht verwendet, beginnt die Gültigkeitsdauer am
aktuelle Systemzeit. Die Länge des Gültigkeitszeitraums wird mit dem Argument -v festgelegt.
-X
Erzwingen Sie das Öffnen der Schlüssel- und Zertifikatsdatenbank im Lese-/Schreibmodus. Dies wird verwendet mit
-U und -L Befehlsoptionen.
-x
Verwenden Sie die certutil um die Signatur für ein Zertifikat zu generieren, das erstellt oder zu einem hinzugefügt wird
Datenbank, anstatt eine Signatur von einer separaten CA zu erhalten.
-y exp
Legen Sie einen alternativen Exponentenwert fest, der beim Generieren eines neuen öffentlichen RSA-Schlüssels für die
Datenbank anstelle des Standardwerts 65537. Die verfügbaren alternativen Werte sind 3
und 17.
-z Noise-Datei
Lesen Sie einen Seed-Wert aus der angegebenen Datei, um einen neuen privaten und öffentlichen Schlüssel zu generieren
Paar. Dieses Argument ermöglicht die Verwendung von hardwaregenerierten Seed-Werten oder
manuell einen Wert über die Tastatur erstellen. Die minimale Dateigröße beträgt 20 Byte.
-Z hashAlg
Geben Sie den Hash-Algorithmus an, der mit den Befehlsoptionen -C, -S oder -R verwendet werden soll. Möglich
Stichworte:
· MD2
· MD4
· MD5
· SHA1
· SHA224
· SHA256
· SHA384
· SHA512
-0 SSO_Passwort
Legen Sie ein Site Security Officer-Passwort für ein Token fest.
-1 | --keyUsage-Schlüsselwort, Schlüsselwort
Legen Sie im Zertifikat eine X.509 V3-Zertifikattyperweiterung fest. Es gibt einige
verfügbare Stichworte:
· Digitale Unterschrift
· Nichtabstreitbarkeit
· SchlüsselVerschlüsselung
· Datenverschlüsselung
· Schlüsselvereinbarung
· certSigning
· crlSigning
· kritisch
-2
Hinzufügen einer grundlegenden Einschränkungserweiterung zu einem Zertifikat, das erstellt oder zu einem hinzugefügt wird
Datenbank. Diese Erweiterung unterstützt den Verifizierungsprozess der Zertifikatskette.
certutil fordert zur Auswahl der Zertifikateinschränkungserweiterung auf.
X.509-Zertifikatserweiterungen werden in RFC 5280 beschrieben.
-3
Hinzufügen einer Autoritätsschlüssel-ID-Erweiterung zu einem Zertifikat, das erstellt oder zu einem hinzugefügt wird
Datenbank. Diese Erweiterung unterstützt die Identifizierung eines bestimmten Zertifikats, von
unter mehreren Zertifikaten, die einem Antragstellernamen zugeordnet sind, als korrekter Aussteller von
Ein Zertifikat. Das Certificate Database Tool fordert Sie zur Auswahl der Behörde auf
Schlüssel-ID-Erweiterung.
X.509-Zertifikatserweiterungen werden in RFC 5280 beschrieben.
-4
Hinzufügen einer Zertifikatsperrlisten-Verteilungspunkterweiterung zu einem Zertifikat, das erstellt oder hinzugefügt wird
zu einer Datenbank. Diese Erweiterung identifiziert die URL des mit einem Zertifikat verknüpften
Zertifikatssperrliste (CRL). certutil fordert zur Eingabe der URL auf.
X.509-Zertifikatserweiterungen werden in RFC 5280 beschrieben.
-5 | --nsCertType-Schlüsselwort,Schlüsselwort
Hinzufügen einer X.509 V3-Zertifikattyperweiterung zu einem Zertifikat, das gerade erstellt wird, oder
der Datenbank hinzugefügt. Es gibt mehrere verfügbare Schlüsselwörter:
· sslClient
· SSL-Server
· lächeln
· Objektsignierung
· SSLCA
· smimeCA
· objectSigningCA
· kritisch
X.509-Zertifikatserweiterungen werden in RFC 5280 beschrieben.
-6 | --extKeyUsage-Schlüsselwort, Schlüsselwort
Hinzufügen einer erweiterten Schlüsselverwendungserweiterung zu einem Zertifikat, das erstellt oder hinzugefügt wird
die Datenbank. Es stehen mehrere Schlagworte zur Verfügung:
· serverAuth
· clientAuth
· CodeSigning
· E-Mail-Schutz
· Zeitstempel
· ocspResponder
· StepUp
· msTrustListSign
· kritisch
X.509-Zertifikatserweiterungen werden in RFC 5280 beschrieben.
-7 E-MailAdr
Fügen Sie dem alternativen Betreffnamen eine durch Kommas getrennte Liste von E-Mail-Adressen hinzu
Erweiterung eines Zertifikats oder einer Zertifikatsanforderung, die erstellt oder hinzugefügt wird
die Datenbank. Alternative Namenserweiterungen für Antragsteller werden in Abschnitt 4.2.1.7 von . beschrieben
RFC-3280.
-8 DNS-Namen
Fügen Sie eine durch Kommas getrennte Liste von DNS-Namen zur Erweiterung des alternativen Antragstellernamens von a . hinzu
Zertifikat oder Zertifikatsanforderung, die erstellt oder der Datenbank hinzugefügt wird.
Alternative Antragstellernamenerweiterungen werden in Abschnitt 4.2.1.7 von RFC 3280 beschrieben.
--extAIA
Fügen Sie dem Zertifikat die Erweiterung Authority Information Access hinzu. X.509-Zertifikat
Erweiterungen sind in RFC 5280 beschrieben.
--extSIA
Fügen Sie dem Zertifikat die Erweiterung "Betreff-Informationszugriff" hinzu. X.509-Zertifikat
Erweiterungen sind in RFC 5280 beschrieben.
--extCP
Fügen Sie dem Zertifikat die Erweiterung Zertifikatrichtlinien hinzu. X.509-Zertifikat
Erweiterungen sind in RFC 5280 beschrieben.
--extPM
Fügen Sie dem Zertifikat die Erweiterung Richtlinienzuordnungen hinzu. X.509-Zertifikatserweiterungen sind
beschrieben in RFC 5280.
--extPC
Fügen Sie dem Zertifikat die Erweiterung Richtlinieneinschränkungen hinzu. X.509-Zertifikatserweiterungen
sind in RFC 5280 beschrieben.
--extIA
Fügen Sie dem Zertifikat die Erweiterung Inhibit Any Policy Access hinzu. X.509-Zertifikat
Erweiterungen sind in RFC 5280 beschrieben.
--extSKID
Fügen Sie dem Zertifikat die Erweiterung "Betreffschlüssel-ID" hinzu. X.509-Zertifikatserweiterungen sind
beschrieben in RFC 5280.
--extNC
Fügen Sie dem Zertifikat eine Namensbeschränkungserweiterung hinzu. X.509-Zertifikatserweiterungen sind
beschrieben in RFC 5280.
--extSAN Typ:Name[,Typ:Name]...
Erstellen Sie eine Erweiterung für den alternativen Antragstellernamen mit einem oder mehreren Namen.
-type: Verzeichnis, dn, dns, edi, ediparty, email, ip, ipaddr, andere, registerid,
rfc822, uri, x400, x400adr
--leeres-passwort
Verwenden Sie beim Erstellen einer neuen Zertifikatsdatenbank mit -N ein leeres Kennwort.
--keyAttrFlags attrflags
PKCS #11 Schlüsselattribute. Kommagetrennte Liste von Schlüsselattribut-Flags, ausgewählt aus
die folgende Auswahlliste: {token | Sitzung} {öffentlich | privat} {sensibel |
unempfindlich} {modifizierbar | nicht modifizierbar} {extrahierbar | nicht extrahierbar}
--keyOpFlagsOn Opflags, --keyOpFlagsOff Opflags
PKCS #11 Schlüsseloperations-Flags. Kommagetrennte Liste mit einem oder mehreren der folgenden Elemente:
{Token | Sitzung} {öffentlich | privat} {sensibel | unempfindlich} {modifizierbar |
nicht modifizierbar} {extrahierbar | nicht extrahierbar}
--new-n Spitzname
Ein neuer Spitzname, der beim Umbenennen eines Zertifikats verwendet wird.
--source-dir Zertifikatsverzeichnis
Identifizieren Sie das Verzeichnis der Zertifikatsdatenbank, das aktualisiert werden soll.
--source-prefix certdir
Geben Sie das Präfix der Zertifikats- und Schlüsseldatenbanken an, die aktualisiert werden sollen.
--upgrade-id eindeutige ID
Geben Sie die eindeutige ID der zu aktualisierenden Datenbank an.
--upgrade-token-name Name
Legen Sie den Namen des Tokens fest, der während des Upgrades verwendet werden soll.
-@ pw-Datei
Geben Sie den Namen einer Kennwortdatei an, die für die zu aktualisierende Datenbank verwendet werden soll.
ANWENDUNG UND Beispiele:
Für die meisten Befehlsoptionen in den hier aufgeführten Beispielen stehen mehr Argumente zur Verfügung. Die
Argumente, die in diesen Beispielen enthalten sind, sind die gebräuchlichsten oder werden verwendet, um a . zu veranschaulichen
konkretes Szenario. Verwenden Sie die -H Option, um die vollständige Liste der Argumente für jedes anzuzeigen
Befehlsoption.
Erstellen Neu Sicherheit Datenbanken
Zertifikate, Schlüssel und Sicherheitsmodule im Zusammenhang mit der Verwaltung von Zertifikaten werden gespeichert in
drei verwandte Datenbanken:
· cert8.db oder cert9.db
· key3.db oder key4.db
· secmod.db oder pkcs11.txt
Diese Datenbanken müssen erstellt werden, bevor Zertifikate oder Schlüssel generiert werden können.
certutil -N -d [sql:]Verzeichnis
Erstellen a Zertifikat PREISANFRAGE (Request)
Eine Zertifikatsanforderung enthält die meisten oder alle Informationen, die verwendet werden, um die
Abschlusszeugnis. Diese Anfrage wird separat bei einer Zertifizierungsstelle eingereicht und ist
dann von einem Mechanismus genehmigt (automatisch oder durch menschliche Überprüfung). Sobald die Anfrage ist
genehmigt, dann wird das Zertifikat generiert.
$ certutil -R -k Schlüsseltyp-oder-ID [-q pqgfile|Kurvenname] -g Schlüsselgröße -s Betreff [-h Tokenname] -d [sql:]Verzeichnis [-p Telefon] [-o Ausgabedatei] [-a]
Das -R Befehlsoptionen erfordern vier Argumente:
· -k um entweder den zu generierenden Schlüsseltyp anzugeben oder beim Erneuern eines Zertifikats die
vorhandenes Schlüsselpaar zu verwenden
· -g um die Schlüsselgröße des zu generierenden Schlüssels festzulegen
· -s um den Antragstellernamen des Zertifikats festzulegen
· -d um das Sicherheitsdatenbankverzeichnis zu geben
Die neue Zertifikatsanforderung kann im ASCII-Format ausgegeben werden (-a) oder kann geschrieben werden in a
angegebene Datei (-o).
Beispielsweise:
$ certutil -R -k rsa -g 1024 -s "CN=John Smith,O=Example Corp,L=Mountain View,ST=California,C=US" -d sql:$HOME/nssdb -p 650-555- 0123 -a -o cert.cer
Schlüssel generieren. Das kann ein paar Augenblicke dauern...
Erstellen a Zertifikat
Ein gültiges Zertifikat muss von einer vertrauenswürdigen CA ausgestellt werden. Dies kann durch Angabe einer CA . erfolgen
Zertifikat (-c), die in der Zertifikatsdatenbank gespeichert ist. Ist ein CA-Schlüsselpaar nicht
verfügbar, können Sie ein selbstsigniertes Zertifikat mit dem -x Streit mit dem -S
Befehlsoption.
$ certutil -S -k rsa|dsa|ec -n Zertifikatsname -s Betreff [-c Aussteller |-x] -t Trustargs -d [sql:]Verzeichnis [-m Seriennummer] [-v gültige-Monate] [ -w Offset-Monate] [-p Telefon] [-1] [-2] [-3] [-4] [-5 Schlüsselwort] [-6 Schlüsselwort] [-7 E-Mail-Adresse] [-8 DNS-Namen] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]
Die Zahlenreihe und --ext* Optionen legen Zertifikatserweiterungen fest, die hinzugefügt werden können
das Zertifikat, wenn es von der CA generiert wird. Das Ergebnis sind interaktive Eingabeaufforderungen.
Dadurch wird beispielsweise ein selbstsigniertes Zertifikat erstellt:
$ certutil -S -s "CN=Beispiel CA" -n my-ca-cert -x -t "C,C,C" -1 -2 -5 -m 3650
Die interaktive Aufforderung zur Schlüsselverwendung und ob Nebenstellen kritisch sind und Antworten
wurden der Kürze halber weggelassen.
Von dort aus können neue Zertifikate auf das selbstsignierte Zertifikat verweisen:
$ certutil -S -s "CN=My Server Cert" -n my-server-cert -c "my-ca-cert" -t "u,u,u" -1 -5 -6 -8 -m 730
Erzeugen von a Zertifikat für a Zertifikat PREISANFRAGE (Request)
Wenn eine Zertifikatsanforderung erstellt wird, kann mithilfe der Anforderung ein Zertifikat generiert werden
und dann auf ein Signaturzertifikat einer Zertifizierungsstelle verweisen (das Emittent spezifiziert in
-c Streit). Das ausstellende Zertifikat muss in der Zertifikatsdatenbank im
angegebenen Verzeichnis.
certutil -C -c Aussteller -i cert-request-file -o Ausgabedatei [-m Seriennummer] [-v gültige-Monate] [-w Offset-Monate] -d [sql:]Verzeichnis [-1] [-2] [-3] [-4] [-5 Stichwort] [-6 Stichwort] [-7 E-Mail-Adresse] [-8 DNS-Namen]
Beispielsweise:
$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql:$HOME/nssdb -1 nonRepudiation,dataEncipherment -5 sslClient -6 clientAuth -7 [E-Mail geschützt]
Auflistung Zertifikate
Das -L Die Befehlsoption listet alle Zertifikate auf, die in der Zertifikatsdatenbank aufgelistet sind.
Der Pfad zum Verzeichnis (-d) erforderlich.
$ certutil -L -d sql:/home/my/sharednssdb
Zertifikats-Spitzname-Vertrauensattribute
SSL, S/MIME, JAR/XPI
Beispieldomänen-ID des CA-Administrators der Instanz pki-ca1 u,u,u
Beispiel-Domain-ID des TPS-Administrators u,u,u
Google-Internetbehörde ,,
Zertifizierungsstelle - Beispieldomäne CT,C,C
Verwendung zusätzlicher Argumente mit -L kann die Informationen für eine einzelne zurückgeben und ausdrucken,
spezielles Zertifikat. Zum Beispiel die -n Argument übergibt den Zertifikatsnamen, während das
-a Argument druckt das Zertifikat im ASCII-Format:
$ certutil -L -d sql:$HOME/nssdb -a -n my-ca-cert
----- ZERTIFIKAT BEGINNEN -----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----- ZERTIFIKAT BEENDEN -----
Für eine menschenlesbare Anzeige
$ certutil -L -d sql:$HOME/nssdb -n my-ca-cert
Zertifikat:
Datum:
Ausführung: 3 (0x2)
Seriennummer: 3650 (0xe42)
Signaturalgorithmus: PKCS #1 SHA-1 mit RSA-Verschlüsselung
Aussteller: "CN=Example CA"
Gültigkeit:
Nicht vor: Mi 13. März 19:10:29 2013
Nicht nach : Do 13. Juni 19:10:29 2013
Betreff: "CN=Beispiel CA"
Informationen zum öffentlichen Schlüssel des Subjekts:
Algorithmus für öffentliche Schlüssel: PKCS #1 RSA-Verschlüsselung
Öffentlicher RSA-Schlüssel:
Modul:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
Exponent: 65537 (0x10001)
Signierte Erweiterungen:
Name: Zertifikatstyp
Daten: keine
Name: Grundlegende Einschränkungen des Zertifikats
Daten: Ist eine CA ohne maximale Pfadlänge.
Name: Zertifikatschlüsselverwendung
Kritisch: Richtig
Verwendungen: Zertifikatsignierung
Signaturalgorithmus: PKCS #1 SHA-1 mit RSA-Verschlüsselung
Signatur:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
Fingerabdruck (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
Fingerabdruck (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7
Zertifikatsvertrauensflags:
SSL-Flags:
Gültige CA
Vertrauenswürdige Zertifizierungsstelle
Mitglied
E-Mail-Flags:
Gültige CA
Vertrauenswürdige Zertifizierungsstelle
Mitglied
Objektsignierungs-Flags:
Gültige CA
Vertrauenswürdige Zertifizierungsstelle
Mitglied
Auflistung Tasten
Schlüssel sind das Originalmaterial, das zum Verschlüsseln von Zertifikatsdaten verwendet wird. Die generierten Schlüssel für
Zertifikate werden separat in der Schlüsseldatenbank gespeichert.
Um alle Schlüssel in der Datenbank aufzulisten, verwenden Sie die -K Befehlsoption und die (erforderliche) -d Argument
um den Pfad zum Verzeichnis anzugeben.
$ certutil -K -d sql:$HOME/nssdb
certutil: Überprüfung des Tokens "NSS Certificate DB" im Slot "NSS User Private Key and Certificate Services"
< 0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d Thawte Freemail-Mitglied Thawte Consulting (Pty) Ltd. ID
< 1> rsa 40defeeb522ade11090eacebaaf1196a172127df Beispiel Domänenadministratorzertifikat
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert
Es gibt Möglichkeiten, die in den Suchergebnissen aufgelisteten Schlüssel einzugrenzen:
· Um einen bestimmten Schlüssel zurückzugeben, verwenden Sie die -nName Argument mit dem Namen des Schlüssels.
· Wenn mehrere Sicherheitsgeräte geladen sind, wird die -hTokenname argumentieren kann
einen bestimmten Token oder alle Token suchen.
· Stehen mehrere Schlüsseltypen zur Verfügung, dann -kSchlüsselart Argument kann suchen a
bestimmten Schlüsseltyp, wie RSA, DSA oder ECC.
Auflistung Sicherheit Module
Die Geräte, die zum Speichern von Zertifikaten verwendet werden können – sowohl interne als auch externe Datenbanken
Geräte wie Smartcards – werden durch das Laden von Sicherheitsmodulen erkannt und verwendet. Die -U
Die Befehlsoption listet alle Sicherheitsmodule auf, die in der Datenbank secmod.db aufgeführt sind. Die
Pfad zum Verzeichnis (-d) erforderlich.
$ certutil -U -d sql:/home/my/sharednssdb
Steckplatz: NSS User Private Key and Certificate Services
Token: NSS-Zertifikatsdatenbank
Steckplatz: Interne kryptografische Dienste von NSS
Token: NSS Generic Crypto Services
Hinzufügen Zertifikate zu Datenbase
Vorhandene Zertifikate oder Zertifikatsanforderungen können dem Zertifikat manuell hinzugefügt werden
Datenbank, auch wenn sie an anderer Stelle generiert wurden. Dies verwendet die -A Befehlsoption.
certutil -A -n Zertifikatname -t Trustargs -d [sql:]Verzeichnis [-a] [-i Eingabedatei]
Beispielsweise:
$ certutil -A -n "CN=Mein SSL-Zertifikat" -t "u,u,u" -d sql:/home/my/sharednssdb -i /home/example-certs/cert.cer
Eine verwandte Befehlsoption, -E, wird speziell verwendet, um E-Mail-Zertifikate zu
Zertifikatsdatenbank. Die -E Befehl hat die gleichen Argumente wie der -A Befehl. Das Vertrauen
Argumente für Zertifikate haben das Format SSL,S/MIME,Code-Signierung, also das mittlere Vertrauen
Einstellungen beziehen sich am meisten auf E-Mail-Zertifikate (obwohl die anderen eingestellt werden können). Zum Beispiel:
$ certutil -E -n "CN=John Smith Email Cert" -t ",Pu," -d sql:/home/my/sharednssdb -i /home/example-certs/email.cer
Löschen Zertifikate zu Datenbase
Zertifikate können aus einer Datenbank gelöscht werden mit dem -D Möglichkeit. Die einzigen erforderlichen Optionen
sind, das Sicherheitsdatenbankverzeichnis anzugeben und den Kurznamen des Zertifikats zu identifizieren.
certutil -D -d [sql:]Verzeichnis -n "Spitzname"
Beispielsweise:
$ certutil -D -d sql:/home/my/sharednssdb -n "my-ssl-cert"
Validierung Zertifikate
Ein Zertifikat enthält ein Ablaufdatum an sich, und abgelaufene Zertifikate sind leicht
hat abgelehnt. Zertifikate können jedoch auch gesperrt werden, bevor sie ihr Ablaufdatum erreichen.
Um zu überprüfen, ob ein Zertifikat gesperrt wurde, muss das Zertifikat validiert werden.
Die Validierung kann auch verwendet werden, um sicherzustellen, dass das Zertifikat nur für die Zwecke verwendet wird
es wurde ursprünglich für ausgestellt. Die Validierung erfolgt durch die -V Befehlsoption.
certutil -V -n Zertifikatsname [-b Zeit] [-e] [-u Zertifikatsverwendung] -d [sql:]Verzeichnis
So validieren Sie beispielsweise ein E-Mail-Zertifikat:
$ certutil -V -n "John Smiths Email Cert" -e -u S,R -d sql:/home/my/sharednssdb
Ändern Zertifikat Vertrauen Einstellungen
Die Vertrauenseinstellungen (die sich auf die Operationen beziehen, die ein Zertifikat sein darf
verwendet für) kann geändert werden, nachdem ein Zertifikat erstellt oder zur Datenbank hinzugefügt wurde. Das ist
besonders nützlich für CA-Zertifikate, kann aber für alle Arten von
Zertifikat.
certutil -M -n Zertifikatsname -t Vertrauensargumente -d [sql:]Verzeichnis
Beispielsweise:
$ certutil -M -n "Mein CA-Zertifikat" -d sql:/home/my/sharednssdb -t "CTu,CTu,CTu"
Druck Zertifikat Kette
Zertifikate können ausgestellt werden in Ketten weil jede Zertifizierungsstelle selbst eine
Zertifikat; Wenn eine CA ein Zertifikat ausstellt, stempelt sie dieses Zertifikat im Wesentlichen mit
seinen eigenen Fingerabdruck. Die -O druckt die gesamte Kette eines Zertifikats, beginnend mit dem Anfangsbuchstaben
CA (die Root-CA) über eine zwischengeschaltete CA bis zum eigentlichen Zertifikat. Zum Beispiel für
ein E-Mail-Zertifikat mit zwei CAs in der Kette:
$ certutil -d sql:/home/my/sharednssdb -O -n "[E-Mail geschützt] "
"Builtin Object Token:Thawte Personal Freemail CA" [E=[E-Mail geschützt] ,CN=Thawte Personal Freemail CA,OU=Certification Services Division,O=Thawte Consulting,L=Kapstadt,ST=Western Cape,C=ZA]
"Thawte Personal Freemail Issuing CA - Thawte Consulting" [CN=Thawte Personal Freemail Issuing CA,O=Thawte Consulting (Pty) Ltd.,C=ZA]
"(null)" [E=[E-Mail geschützt] ,CN=Thawte Freemail-Mitglied]
Zurücksetzen a Token
Das Gerät, das Zertifikate speichert – sowohl externe Hardwaregeräte als auch interne
Softwaredatenbanken – können gelöscht und wiederverwendet werden. Dieser Vorgang wird am Gerät ausgeführt
die die Daten speichert, nicht direkt in den Sicherheitsdatenbanken, also muss der Standort sein
durch den Tokennamen referenziert (-h) sowie einen beliebigen Verzeichnispfad. Wenn es keine gibt
externes Token verwendet, der Standardwert ist intern.
certutil -T -d [sql:]Verzeichnis -h Token-Name -0 Security-Officer-Passwort
Viele Netzwerke verfügen über dediziertes Personal, das Änderungen an Sicherheitstoken (die Sicherheits-
Offizier). Diese Person muss das Kennwort angeben, um auf das angegebene Token zuzugreifen. Zum Beispiel:
$ certutil -T -d sql:/home/my/sharednssdb -h nethsm -0 geheim
Verbesserung or Vereinigung Sicherheit Datenbanken
Viele Netzwerke oder Anwendungen verwenden möglicherweise ältere BerkeleyDB-Versionen des Zertifikats
Datenbank (cert8.db). Datenbanken können auf die neue SQLite-Version der Datenbank aktualisiert werden
(cert9.db) mit dem --upgrade-merge Befehlsoption oder vorhandene Datenbanken können zusammengeführt werden
mit den neuen cert9.db-Datenbanken unter Verwendung der ---verschmelzen Befehl.
Das --upgrade-merge Befehl muss Informationen über die ursprüngliche Datenbank geben und dann verwenden
die Standardargumente (wie -d), um die Informationen über die neuen Datenbanken bereitzustellen. Die
Befehl erfordert auch Informationen, die das Tool für den Prozess zum Aktualisieren und Schreiben verwendet
über die Originaldatenbank.
certutil --upgrade-merge -d [sql:]Verzeichnis [-P dbprefix] --source-dir Verzeichnis --source-prefix dbprefix --upgrade-id id --upgrade-token-name name [-@ password-file ]
Beispielsweise:
$ certutil --upgrade-merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp- --upgrade-id 1 --upgrade-token- Name intern
Das --verschmelzen Befehl erfordert nur Informationen über den Speicherort der ursprünglichen Datenbank;
Da es das Format der Datenbank nicht ändert, kann es Informationen überschreiben, ohne
Zwischenschritt durchführen.
certutil --merge -d [sql:]Verzeichnis [-P dbprefix] --source-dir Verzeichnis --source-prefix dbprefix [-@ Passwortdatei]
Beispielsweise:
$ certutil --merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp-
Laufen certutil Befehle für a Stapel Reichen Sie das
Eine Reihe von Befehlen kann sequentiell aus einer Textdatei mit dem -B Befehlsoption.
Das einzige Argument dafür gibt die Eingabedatei an.
$ certutil -B -i /path/to/batch-file
NSS DATABASE TYPES
NSS verwendet ursprünglich BerkeleyDB-Datenbanken, um Sicherheitsinformationen zu speichern. Die letzten Versionen
von diesen Erbe Datenbanken sind:
· cert8.db für Zertifikate
· key3.db für Schlüssel
· secmod.db für PKCS #11 Modulinformationen
BerkeleyDB hat jedoch Leistungseinschränkungen, die eine einfache Verwendung durch . verhindern
mehrere Anwendungen gleichzeitig. NSS bietet eine gewisse Flexibilität, die es Anwendungen ermöglicht,
ihre eigene, unabhängige Datenbank-Engine verwenden und gleichzeitig eine gemeinsame Datenbank beibehalten und arbeiten
rund um die Zugangsprobleme. Dennoch erfordert NSS mehr Flexibilität, um ein wirklich gemeinsames
Sicherheitsdatenbank.
Im Jahr 2009 führte NSS einen neuen Satz von Datenbanken ein, bei denen es sich um SQLite-Datenbanken handelt und nicht um
BerkeleyDB. Diese neuen Datenbanken bieten mehr Zugänglichkeit und Leistung:
· cert9.db für Zertifikate
· key4.db für Schlüssel
· pkcs11.txt, eine Auflistung aller PKCS #11-Module, die in einem neuen Unterverzeichnis enthalten sind
im Verzeichnis der Sicherheitsdatenbanken
Da die SQLite-Datenbanken für die gemeinsame Nutzung konzipiert sind, sind dies die von Locals geführtes Datenbank
Typ. Der freigegebene Datenbanktyp wird bevorzugt; das Legacy-Format ist für rückwärts enthalten
Kompatibilität.
Standardmäßig sind die Werkzeuge (certutil, pk12util, Modutil) nehmen an, dass die gegebene Sicherheit
Datenbanken folgen dem häufigeren Legacy-Typ. Die Verwendung der SQLite-Datenbanken muss manuell erfolgen
angegeben durch die Verwendung der SQL: Präfix mit dem angegebenen Sicherheitsverzeichnis. Zum Beispiel:
$ certutil -L -d sql:/home/my/sharednssdb
Um den freigegebenen Datenbanktyp als Standardtyp für die Tools festzulegen, legen Sie die
NSS_DEFAULT_DB_TYPE Umgebungsvariable zu SQL:
export NSS_DEFAULT_DB_TYPE="sql"
Diese Zeile kann zum hinzugefügt werden ~ / .bashrc Datei, um die Änderung dauerhaft zu machen.
Die meisten Anwendungen verwenden standardmäßig nicht die freigegebene Datenbank, können jedoch so konfiguriert werden, dass
benutze sie. In diesem How-to-Artikel wird beispielsweise beschrieben, wie Sie Firefox und Thunderbird konfigurieren
So verwenden Sie die neuen freigegebenen NSS-Datenbanken:
· https://wiki.mozilla.org/NSS_Shared_DB_Howto
Einen technischen Entwurf zu den Änderungen in den freigegebenen NSS-Datenbanken finden Sie im NSS-Projekt
Wiki:
· https://wiki.mozilla.org/NSS_Shared_DB
Verwenden Sie certutil online mit den onworks.net-Diensten
