Dies ist der Befehl crlutil, der im kostenlosen OnWorks-Hosting-Provider mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, Windows-Online-Emulator oder MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
crlutil – Auflisten, Generieren, Ändern oder Löschen von CRLs innerhalb der NSS-Sicherheitsdatenbankdatei(en)
und Auflisten, Erstellen, Ändern oder Löschen von Zertifikatseinträgen in einer bestimmten CRL.
ZUSAMMENFASSUNG
crlutil [Optionen] [[Argumente]]
STATUS
Diese Dokumentation ist noch in Arbeit. Bitte tragen Sie zur ersten Bewertung in . bei
Mozilla NSS Fehler 836477[1]
BESCHREIBUNG
Das Management-Tool für Zertifikatsperrlisten (CRL) crlutil, ist ein Befehlszeilen-Dienstprogramm
die CRLs innerhalb der NSS-Sicherheitsdatenbankdatei(en) auflisten, generieren, ändern oder löschen können
und Auflisten, Erstellen, Ändern oder Löschen von Zertifikatseinträgen in einer bestimmten CRL.
Der Schlüssel- und Zertifikatsverwaltungsprozess beginnt in der Regel mit der Erstellung von Schlüsseln im Schlüssel
Datenbank erstellen und dann Zertifikate in der Zertifikatsdatenbank generieren und verwalten (siehe
certutil-Tool) und fährt mit dem Ablauf oder Widerruf von Zertifikaten fort.
In diesem Dokument wird die Verwaltung von Zertifikatsperrlisten erläutert. Für Informationen zu
Datenbankverwaltung des Sicherheitsmoduls finden Sie unter Verwenden des Sicherheitsmodul-Datenbanktools. Zum
Informationen zur Zertifikats- und Schlüsseldatenbankverwaltung finden Sie unter Verwenden der Zertifikatsdatenbank
Werkzeug.
Um das Certificate Revocation List Management Tool auszuführen, geben Sie den Befehl ein
crlutil-Option [Argumente]
wobei Optionen und Argumente Kombinationen der Optionen und Argumente sind, die in der Liste aufgeführt sind
folgenden Abschnitt. Jeder Befehl benötigt eine Option. Jede Option kann null oder mehr dauern
Argumente. Um eine Verwendungszeichenfolge anzuzeigen, geben Sie den Befehl ohne Optionen oder mit dem -H . aus
.
OPTIONAL UND ARGUMENTE
Optionen
Optionen geben eine Aktion an. Optionsargumente ändern eine Aktion. Die Optionen und Argumente
für den Befehl crlutil sind wie folgt definiert:
-D
Löschen Sie die Zertifikatssperrliste aus der Zertifikatsdatenbank.
-E
Löschen Sie alle CRLs des angegebenen Typs aus der Zertifikatsdatenbank
-G
Erstellen Sie eine neue Zertifikatssperrliste (CRL).
-I
Importieren Sie eine Zertifikatsperrliste in die Zertifikatdatenbank
-L
Listen Sie die vorhandene CRL auf, die sich in der Zertifikatdatenbankdatei befindet.
-M
Ändern Sie die vorhandene CRL, die sich in der Zertifikatsdatenbank oder in einer beliebigen Datei befinden kann. Falls vorhanden
in der Datei sollte es im ASN.1-Kodierungsformat kodiert sein.
-S
Inhalt einer CRL-Datei anzeigen, die nicht in der Datenbank gespeichert ist.
Argumente
Optionsargumente ändern eine Aktion.
-a
Verwenden Sie das ASCII-Format oder erlauben Sie die Verwendung des ASCII-Formats für die Eingabe und Ausgabe. Dies
Formatierung folgt RFC #1113.
-B
Umgehen Sie CA-Signaturprüfungen.
-c crl-gen-Datei
Geben Sie die Skriptdatei an, die verwendet wird, um die Erzeugung/Änderung von crl zu steuern. Sehen
crl-cript-Dateiformat unten. Wenn die Optionen -M|-G verwendet werden und -c crl-script-file nicht
angegeben, liest crlutil Skriptdaten aus der Standardeingabe.
-d Verzeichnis
Geben Sie das Datenbankverzeichnis an, das die Zertifikats- und Schlüsseldatenbankdateien enthält. Auf
Unix ist das Certificate Database Tool standardmäßig auf $HOME/.netscape (d. h. ~/.netscape).
Unter Windows NT ist der Standardwert das aktuelle Verzeichnis.
Die NSS-Datenbankdateien müssen sich im selben Verzeichnis befinden.
-f Passwortdatei
Geben Sie eine Datei an, die automatisch das Kennwort bereitstellt, das in ein Zertifikat aufgenommen werden soll
oder um auf eine Zertifikatsdatenbank zuzugreifen. Dies ist eine Klartextdatei, die eine enthält
Passwort. Achten Sie darauf, unbefugten Zugriff auf diese Datei zu verhindern.
-i crl-Datei
Geben Sie die Datei an, die die zu importierende oder anzuzeigende Zertifikatsperrliste enthält.
-l Algorithmusname
Geben Sie einen bestimmten Signaturalgorithmus an. Liste möglicher Algorithmen: MD2 | MD4 | MD5 |
SHA1 | SHA256 | SHA384 | SHA512
-n Spitzname
Geben Sie den Spitznamen eines Zertifikats oder Schlüssels zum Auflisten, Erstellen, Hinzufügen zu einer Datenbank,
ändern oder validieren. Klammern Sie den Spitznamen-String in Anführungszeichen, wenn er . enthält
Räume.
-o Ausgabedatei
Geben Sie den Ausgabedateinamen für die neue CRL an. Klammern Sie die Ausgabedatei-Zeichenfolge mit
Anführungszeichen, wenn es Leerzeichen enthält. Wenn dieses Argument nicht verwendet wird, wird die Ausgabe
Ziel ist standardmäßig die Standardausgabe.
-P Datenbankpräfix
Geben Sie das Präfix an, das in den NSS-Sicherheitsdatenbankdateien verwendet wird (z. B. my_cert8.db
und my_key3.db). Diese Option ist als Sonderfall vorgesehen. Namen der ändern
Zertifikats- und Schlüsseldatenbanken wird nicht empfohlen.
-t crl-typ
Geben Sie den Typ der CRL an. mögliche Typen sind: 0 - SEC_KRL_TYPE, 1 - SEC_CRL_TYPE. Dies
Option ist veraltet
-u URL
Geben Sie die URL an.
-w pwd-Zeichenfolge
Geben Sie das DB-Passwort in der Befehlszeile ein.
-Z-Algorithmus
Geben Sie den Hash-Algorithmus an, der zum Signieren der Zertifikatsperrliste verwendet werden soll.
CRL GENERATION SCRIPT SYNTAX
Die Skriptdatei zur CRL-Generierung hat die folgende Syntax:
* Zeile mit Kommentaren sollte # als erstes Symbol einer Zeile enthalten
* CRL-Felder für "dieses Update" oder "nächstes Update" festlegen:
update=JJJJMMTThhmmssZ nextupdate=JJJJMMTThhmmssZ
Das Feld "nächstes Update" ist optional. Die Zeit sollte im GeneralizedTime-Format vorliegen
(JJJJMMTThhmmssZ). Zum Beispiel: 20050204153000Z
* Fügen Sie einer CRL oder einem crl-Zertifikatseintrag eine Erweiterung hinzu:
addext Erweiterungsname kritisch/nicht kritisch [arg1[arg2 ...]]
Wo:
extension-name: Stringwert eines Namens bekannter Erweiterungen. kritisch/unkritisch: ist 1
wenn Erweiterung kritisch ist und 0 andernfalls. arg1, arg2: spezifisch für den Erweiterungstyp
Erweiterungsparameter
addext verwendet den Bereich, der zuvor von addcert festgelegt wurde und installiert eine Erweiterung zu
alle cert-Einträge innerhalb des Bereichs.
* Zertifikateinträge zu CRL hinzufügen:
Datum des Addcert-Bereichs
Bereich: zwei durch Bindestrich getrennte ganzzahlige Werte: Bereich der Zertifikate, die um . hinzugefügt werden
dieser Befehl. Bindestrich wird als Trennzeichen verwendet. Wenn kein Zertifikat vorhanden ist, wird nur ein Zertifikat hinzugefügt
Trennzeichen. Datum: Widerrufsdatum eines Zert. Datum sollte in GeneralizedTime dargestellt werden
Format (JJJJMMTThhmmssZ).
* Zertifikatseintrag(e) aus CRL entfernen
rmcert-Bereich
Wo:
Bereich: zwei durch Bindestrich getrennte ganzzahlige Werte: Bereich der Zertifikate, die um . hinzugefügt werden
dieser Befehl. Bindestrich wird als Trennzeichen verwendet. Wenn kein Zertifikat vorhanden ist, wird nur ein Zertifikat hinzugefügt
Trennzeichen.
* Bereich des/der Zertifikatseintrag(s) in CRL ändern
Sortiment Neu-Sortiment
Wo:
new-range: zwei durch Bindestrich getrennte ganzzahlige Werte: Bereich der Zertifikate, die hinzugefügt werden
durch diesen Befehl. Bindestrich wird als Trennzeichen verwendet. Wenn kein Zertifikat vorhanden ist, wird nur ein Zertifikat hinzugefügt
Trennzeichen.
Implementierte Erweiterungen
Die für CRL definierten Erweiterungen bieten Methoden zum Verknüpfen zusätzlicher Attribute mit
CRLs ihrer Einträge. Für weitere Informationen siehe RFC #3280
* Fügen Sie die Authority Key Identifier-Erweiterung hinzu:
Die Berechtigungsschlüssel-ID-Erweiterung bietet ein Mittel zur Identifizierung des öffentlichen Schlüssels
entspricht dem privaten Schlüssel, der zum Signieren einer CRL verwendet wird.
authKeyId kritisch [Schlüssel-ID | dn-Zertifikat-Serie]
Wo:
authKeyIdent: identifiziert den Namen einer Nebenstelle. Kritisch: Wert 1 von 0. Sollte gesetzt werden
auf 1, wenn diese Erweiterung kritisch ist oder auf 0 andernfalls. key-id: Schlüsselkennung dargestellt in
Oktett-String. dn:: ist ein CA Distinguished Name cert-serial: Authority Certificate Serial
Anzahl.
* Erweiterung des alternativen Namens des Ausstellers hinzufügen:
Die Erweiterung für alternative Namen des Ausstellers ermöglicht die Verknüpfung mit zusätzlichen Identitäten
der Herausgeber der CRL. Definierte Optionen umfassen einen rfc822-Namen (E-Mail-Adresse), a
DNS-Name, eine IP-Adresse und eine URI.
IssuerAltNames nicht kritische Namensliste
Wo:
subjAltNames: Gibt an, dass der Name einer Erweiterung auf 0 gesetzt werden sollte, da dies . ist
nicht kritische Erweiterung name-list: durch Kommas getrennte Liste von Namen
* CRL-Nummernerweiterung hinzufügen:
Die CRL-Nummer ist eine unkritische CRL-Erweiterung, die ein monoton ansteigendes . vermittelt
Sequenznummer für einen bestimmten CRL-Bereich und CRL-Aussteller. Mit dieser Erweiterung können Benutzer
leicht feststellen, wann eine bestimmte CRL eine andere CRL ersetzt
crlNumber nicht kritische Zahl
Wo:
crlNumber: identifiziert den Namen einer Erweiterung. Kritisch: sollte auf 0 gesetzt werden, da dies . ist
unkritische Nebenstellennummer: Wert von long, der die fortlaufende Nummer von a identifiziert
CRL.
* Erweiterung des Widerrufsgrundcodes hinzufügen:
Der ReasonCode ist eine unkritische CRL-Eintragserweiterung, die den Grund für die
Widerruf des Zertifikats.
ReasonCode nicht kritischer Code
Wo:
ReasonCode: identifiziert den Namen einer Nebenstelle unkritisch: sollte auf 0 gesetzt werden, da
Dies ist ein unkritischer Erweiterungscode: Die folgenden Codes sind verfügbar:
unspecified (0), keyCompromise (1), cACompromise (2), affiliationChanged (3), ersetzt
(4), cessationOfOperation (5), certificateHold (6), removeFromCRL (8),privilegWithdrawn
(9), aAKompromiss (10)
* Erweiterung des Invaliditätsdatums hinzufügen:
Das Ungültigkeitsdatum ist eine unkritische CRL-Eintragserweiterung, die das Datum angibt, an dem
es ist bekannt oder vermutet, dass der private Schlüssel kompromittiert wurde oder dass das Zertifikat
ansonsten ungültig geworden.
invalidityDate unkritisches Datum
Wo:
crlNumber: identifiziert den Namen einer Erweiterung unkritisch: sollte auf 0 gesetzt werden, da dies
ist unkritisches Verlängerungsdatum: Ungültigkeitsdatum eines Zert. Datum sollte dargestellt werden in
GeneralizedTime-Format (JJJJMMTThhmmssZ).
ANWENDUNG
Die Funktionen des Certificate Revocation List Management Tools sind wie folgt gruppiert:
mit diesen Kombinationen von Optionen und Argumenten. Optionen und Argumente im Quadrat
Klammern sind optional, solche ohne eckige Klammern sind erforderlich.
Weitere Informationen zu Erweiterungen und deren finden Sie unter "Implementierte Erweiterungen".
Parameter.
* Erstellen oder Ändern einer CRL:
crlutil -G|-M -c crl-gen-file -n Spitzname [-i crl] [-u url] [-d keydir] [-P dbprefix] [-l alg] [-a] [-B]
* Auflistung aller CRls oder einer benannten CRL:
crlutil -L [-n crl-name] [-d krydir]
* Löschen von CRL aus db:
crlutil -D -n Spitzname [-d Schlüsselverzeichnis] [-P Datenbankpräfix]
* Löschen von Zertifikatsperrlisten aus der Datenbank:
crlutil -E [-d Schlüsselverzeichnis] [-P Datenbankpräfix]
* Löschen von CRL aus db:
crlutil -D -n Spitzname [-d Schlüsselverzeichnis] [-P Datenbankpräfix]
* Löschen von Zertifikatsperrlisten aus der Datenbank:
crlutil -E [-d Schlüsselverzeichnis] [-P Datenbankpräfix]
* CRL aus Datei importieren:
crlutil -I -i crl [-t crlType] [-u url] [-d keydir] [-P Datenbankpräfix] [-B]
Verwenden Sie crlutil online mit den onworks.net-Diensten