Este es el comando cassl que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
ca - ejemplo de aplicación de CA mínima
SINOPSIS
openssl ca [-verboso] [-config nombre de archivo] [-nombre .] [-gencrl] [-revocar presentar] [-estado
de serie] [-actualizadob] [-crl_razón razón] [-crl_hold instrucción] [-crl_compromiso equipo]
[-crl_CA_compromiso equipo] [-crldays días] [-crlhoras horas] [-crlextos .] [-fecha de inicio
datos] [-fecha final datos] [-dias arg] [-Maryland arg] [-política arg] [-archivo de clave arg] [-forma de tecla
PEM | DER] [-llave arg] [-Aconteció en arg] [-concierto presentar] [-auto-firma] [-in presentar] [-fuera presentar]
[-sin texto] [-outdir dir] [-archivos] [-spkac presentar] [-ss_cert presentar] [-preserveDN]
[-noemailDN] [-lote] [-msie_hack] [-extensiones .] [-archivo de texto .] [-motor id]
[-sujeto arg] [-utf8] [-multivalor-rdn]
DESCRIPCIÓN
El ca El comando es una aplicación de CA mínima. Se puede utilizar para firmar solicitudes de certificado en
una variedad de formularios y genera CRL también mantiene una base de datos de texto de
certificados y su estado.
Las descripciones de las opciones se dividirán en cada propósito.
CA CAMPUS
-config nombre de archivo
especifica el archivo de configuración que se utilizará.
-nombre .
especifica la sección del archivo de configuración que se utilizará (anula default_ca existentes ca
sección).
-in nombre de archivo
un nombre de archivo de entrada que contiene una única solicitud de certificado que debe firmar la CA.
-ss_cert nombre de archivo
un solo certificado autofirmado para ser firmado por la CA.
-spkac nombre de archivo
un archivo que contiene una única clave pública firmada por Netscape y un desafío y
valores de campo que debe firmar la CA. Ver el SPKAC FORMATO sección para obtener información sobre
el formato de entrada y salida requerido.
-archivos
si está presente, esta debería ser la última opción, todos los argumentos posteriores se asumen al
los nombres de los archivos que contienen solicitudes de certificado.
-fuera nombre de archivo
el archivo de salida para generar certificados. El valor predeterminado es la salida estándar. los
Los detalles del certificado también se imprimirán en este archivo en formato PEM (excepto que
-spkac salidas formato DER).
-outdir directorio
el directorio al que enviar los certificados. El certificado se escribirá en un nombre de archivo
que consta del número de serie en hexadecimal con ".pem" adjunto.
-concierto
el archivo de certificado de CA.
-archivo de clave nombre de archivo
la clave privada con la que firmar las solicitudes.
-forma de tecla PEM | DER
el formato de los datos en el archivo de clave privada. El predeterminado es PEM.
-llave la contraseña
la contraseña utilizada para cifrar la clave privada. Dado que en algunos sistemas la línea de comando
los argumentos son visibles (por ejemplo, Unix con la utilidad 'ps') esta opción debe usarse
con cuidado.
-auto-firma
indica que los certificados emitidos deben firmarse con la clave del certificado
las solicitudes fueron firmadas con (dado con -archivo de clave). Solicitudes de certificado firmadas con un
se ignoran las diferentes claves. Si -spkac, -ss_cert or -gencrl son dados, -auto-firma is
ignorado
Una consecuencia de usar -auto-firma es que el certificado autofirmado aparece entre los
entradas en la base de datos de certificados (ver la opción de configuración base de datos) y usos
el mismo contador de números de serie que todos los demás certificados firman con el autofirmado
certificado.
-Aconteció en arg
la fuente de la contraseña de la clave. Para obtener más información sobre el formato de arg ver la PASS
FRASE ARGUMENTOS sección en openssl(1).
-verboso
esto imprime detalles adicionales sobre las operaciones que se están realizando.
-sin texto
no envíe el formato de texto de un certificado al archivo de salida.
-fecha de inicio datos
esto permite establecer explícitamente la fecha de inicio. El formato de la fecha es
YYMMDDHHMMSSZ (lo mismo que una estructura ASN1 UTCTime).
-fecha final datos
esto permite establecer explícitamente la fecha de caducidad. El formato de la fecha es
YYMMDDHHMMSSZ (lo mismo que una estructura ASN1 UTCTime).
-dias arg
el número de días para los que se certifica el certificado.
-Maryland alg
el resumen del mensaje que se utilizará. Los valores posibles incluyen md5, sha1 y mdc2. Esta opción
también se aplica a las CRL.
-política arg
esta opción define la "política" de CA que se utilizará. Esta es una sección en la configuración
archivo que decide qué campos deben ser obligatorios o coincidir con el certificado de CA. Cheque
la POLÍTICA FORMATO sección para más información.
-msie_hack
esta es una opción heredada para hacer ca trabajar con versiones muy antiguas del certificado IE
control de matrícula "certenr3". Usó UniversalStrings para casi todo. Ya que
el control antiguo tiene varios errores de seguridad, se desaconseja su uso. El mas nuevo
El control "Xenroll" no necesita esta opción.
-preserveDN
Normalmente, el orden de DN de un certificado es el mismo que el orden de los campos en el
sección de política pertinente. Cuando se establece esta opción, el orden es el mismo que el de la solicitud.
Esto se debe principalmente a la compatibilidad con el control de inscripción de IE más antiguo, que
sólo acepte certificados si sus DN coinciden con el orden de la solicitud. Esto no es
necesario para Xenroll.
-noemailDN
El DN de un certificado puede contener el campo EMAIL si está presente en el DN de la solicitud,
sin embargo, es una buena política tener el correo electrónico configurado en la extensión altName de la
certificado. Cuando se establece esta opción, el campo EMAIL se elimina del certificado '
sujeto y establecido sólo en las extensiones eventualmente presentes. los correo electrónico_en_dn keyword
se puede utilizar en el archivo de configuración para habilitar este comportamiento.
-lote
esto establece el modo por lotes. En este modo no se harán preguntas y todos los certificados
será certificado automáticamente.
-extensiones .
la sección del archivo de configuración que contiene las extensiones de certificado que se agregarán
cuando se emite un certificado (por defecto es x509_extensiones a menos que el -archivo de texto opción
se utiliza). Si no hay ninguna sección de extensión, se crea un certificado V1. Si el
Si la sección de extensión está presente (incluso si está vacía), se crea un certificado V3.
Ver el: w x509v3_config(5) página de manual para obtener detalles sobre el formato de la sección de extensión.
-archivo de texto presentar
un archivo de configuración adicional para leer las extensiones de certificado (usando el
sección predeterminada a menos que el -extensiones también se utiliza la opción).
-motor id
especificar un motor (por su id cadena) causará ca para intentar obtener un
referencia funcional al motor especificado, inicializándolo si es necesario. los
El motor se establecerá como predeterminado para todos los algoritmos disponibles.
-sujeto arg
reemplaza el nombre del sujeto dado en la solicitud. El argumento debe tener el formato
/type0=value0/type1=value1/type2=..., los caracteres pueden escaparse mediante \ (barra invertida), no
los espacios se saltan.
-utf8
esta opción hace que los valores de campo se interpreten como cadenas UTF8, por defecto son
interpretado como ASCII. Esto significa que los valores de campo, ya sea que se soliciten desde un
terminal u obtenido de un archivo de configuración, deben ser cadenas UTF8 válidas.
-multivalor-rdn
esta opción hace que el argumento -subj se interprete con soporte completo para
RDN multivalor. Ejemplo:
/ DC = org / DC = OpenSSL / DC = usuarios / UID = 123456 + CN = John Gama
Si no se utiliza -multi-rdn, el valor de UID es 123456 + CN = Juan Gama.
CRL CAMPUS
-gencrl
esta opción genera una CRL basada en la información del archivo de índice.
-crldays número
el número de días antes de la fecha de vencimiento de la siguiente CRL. Esos son los días a partir de ahora para colocar en
el campo nextUpdate de CRL.
-crlhoras número
el número de horas antes de que venza la siguiente CRL.
-revocar nombre de archivo
un nombre de archivo que contiene un certificado para revocar.
-estado de serie
muestra el estado de revocación del certificado con el número de serie especificado y
salidas
-actualizadob
Actualiza el índice de la base de datos para depurar los certificados caducados.
-crl_razón razón
motivo de revocación, donde razón es uno de: sin especificar, claveCompromiso, CACompromiso,
afiliaciónCambiado, reemplazado, cese de la operación, certificado or
eliminarDeCRL. El emparejamiento de razón no distingue entre mayúsculas y minúsculas. Establecer cualquier revocación
La razón hará que la CRL v2.
En practica eliminarDeCRL no es particularmente útil porque solo se usa en delta
CRL que no están implementadas actualmente.
-crl_hold instrucción
Esto establece el código de motivo de revocación de CRL en certificado y la instrucción de espera
a instrucción que debe ser un OID. Aunque cualquier OID solo se puede usar
mantenerInstrucciónNinguno (cuyo uso está desaconsejado por RFC2459)
mantenerInstrucciónLlamarIssuer or retenerInstrucciónRechazar normalmente se utilizará.
-crl_compromiso equipo
Esto establece el motivo de revocación para claveCompromiso y el tiempo de compromiso para equipo. equipo
debe estar en formato GeneralizedTime que es AAAAMMDDHHMMSSZ.
-crl_CA_compromiso equipo
Esto es lo mismo que crl_compromiso excepto que el motivo de la revocación se establece en
CACompromiso.
-crlextos .
la sección del archivo de configuración que contiene las extensiones de CRL para incluir. Si no hay CRL
la sección de extensión está presente, entonces se crea una CRL V1, si la sección de extensión de CRL es
presente (incluso si está vacío), se crea una CRL V2. Las extensiones de CRL especificadas
son extensiones de CRL y no Extensiones de entrada de CRL. Cabe señalar que algunos
El software (por ejemplo, Netscape) no puede manejar las CRL V2. Ver x509v3_config(5) página de manual
para obtener detalles sobre el formato de la sección de extensión.
CONFIGURACIÓN ARCHIVO CAMPUS
La sección del archivo de configuración que contiene opciones para ca se encuentra de la siguiente manera: Si
las -nombre Se usa la opción de línea de comando, luego nombra la sección que se usará. De lo contrario, el
La sección que se utilizará debe estar nombrada en el default_ca opción del ca sección de la
archivo de configuración (o en la sección predeterminada del archivo de configuración). además
default_ca, las siguientes opciones se leen directamente del ca sección:
Conservar RANDFILE
msie_hack Con la excepción de ARCHIVO RAND, esto probablemente sea un error y puede cambiar en el futuro
Lanzamientos
Muchas de las opciones del archivo de configuración son idénticas a las opciones de la línea de comandos. Donde el
La opción está presente en el archivo de configuración y la línea de comando el valor de la línea de comando es
usó. Cuando una opción se describe como obligatoria, debe estar presente en el
archivo de configuración o el equivalente de línea de comando (si lo hubiera) utilizado.
archivo_oid
Esto especifica un archivo que contiene más OBJETO IDENTIFICADORES. Cada línea del archivo
debe consistir en la forma numérica del identificador de objeto seguida de un espacio en blanco
luego el nombre corto seguido de un espacio en blanco y finalmente el nombre largo.
sección_oid
Esto especifica una sección en el archivo de configuración que contiene un objeto adicional
identificadores. Cada línea debe constar del nombre corto del identificador de objeto
seguido por = y la forma numérica. Los nombres cortos y largos son los mismos cuando este
se utiliza la opción.
nuevo_certs_dir
lo mismo que el -outdir opción de línea de comando. Especifica el directorio donde nuevo
Se colocarán certificados. Obligatorio.
certificado
lo mismo que -concierto. Da el archivo que contiene el certificado CA. Obligatorio.
llave privada
lo mismo que el -archivo de clave opción. El archivo que contiene la clave privada de la CA. Obligatorio.
ARCHIVO RAND
un archivo utilizado para leer y escribir información de semilla de números aleatorios, o un conector EGD (ver
RAND_egd(3)).
días_por defecto
lo mismo que el -dias opción. El número de días para los que se debe certificar un certificado.
fecha_de_inicio_predeterminada
lo mismo que el -fecha de inicio opción. La fecha de inicio para la que se certifica un certificado. Que no
establecer la hora actual se utiliza.
fecha_final_predeterminada
lo mismo que el -fecha final opción. O esta opción o días_por defecto (o el comando
equivalentes de línea) deben estar presentes.
default_crl_horas default_crl_days
lo mismo que el -crlhoras y del -crldays opciones. Estos solo se utilizarán si ninguno
La opción de línea de comando está presente. Al menos uno de estos debe estar presente para generar un
CRL.
default_md
lo mismo que el -Maryland opción. El resumen del mensaje que se utilizará. Obligatorio.
base de datos
el archivo de base de datos de texto que se utilizará. Obligatorio. Este archivo debe estar presente aunque inicialmente
estará vacío.
tema_unico
si el valor si se proporciona, las entradas de certificado válidas en la base de datos deben tener
sujetos únicos. si el valor no se da, varias entradas de certificados válidos pueden tener
el mismo tema exacto. El valor predeterminado es si, para ser compatible con más antiguo (pre
0.9.8) versiones de OpenSSL. Sin embargo, para facilitar la renovación del certificado de CA, es
recomendado usar el valor no, especialmente si se combina con el -auto-firma comando
opción de línea.
de serie
un archivo de texto que contiene el siguiente número de serie para usar en hexadecimal. Obligatorio. Este archivo
debe estar presente y contener un número de serie válido.
crlnúmero
un archivo de texto que contiene el siguiente número de CRL para usar en hexadecimal. El número de crl será
insertado en las CRL solo si este archivo existe. Si este archivo está presente, debe
contener un número de CRL válido.
x509_extensiones
lo mismo que -extensiones.
crl_extensiones
lo mismo que -crlextos.
preservar
lo mismo que -preserveDN
correo electrónico_en_dn
lo mismo que -noemailDN. Si desea que el campo EMAIL se elimine del DN del
certificado simplemente configúrelo en 'no'. Si no está presente, el valor predeterminado es permitir la
EMAIL archivado en el DN del certificado.
msie_hack
lo mismo que -msie_hack
política
lo mismo que -política. Obligatorio. Ver el POLÍTICA FORMATO sección para más información.
nombre_optar, cert_opt
Estas opciones permiten el formato utilizado para mostrar los detalles del certificado cuando se pregunta al
usuario para confirmar la firma. Todas las opciones admitidas por el x509 utilidades -opción de nombre y
-certificado Aquí se pueden utilizar interruptores, excepto el no_signname y no_sigdump en
configurada permanentemente y no se puede deshabilitar (esto se debe a que la firma del certificado
no se puede mostrar porque el certificado no se ha firmado en este momento).
Por conveniencia los valores ca_default son aceptados por ambos para producir un
salida.
Si ninguna de las opciones está presente, se utiliza el formato utilizado en versiones anteriores de OpenSSL.
El uso del formato antiguo es se mostró plenamente desanimado porque solo muestra campos
mencionado en el política sección, maneja mal los tipos de cadenas de caracteres múltiples y no
extensiones de pantalla.
copiar_extensiones
determina cómo se deben manejar las extensiones en las solicitudes de certificados. Si se establece en ninguna
o esta opción no está presente, las extensiones se ignoran y no se copian en el
certificado. Si se establece en copia luego, cualquier extensión presente en la solicitud que no sea
ya presentes se copian en el certificado. Si se establece en cópialo todo luego todas las extensiones
en la solicitud se copian en el certificado: si la extensión ya está presente en
el certificado se elimina primero. Ver el ADVERTENCIAS sección antes de usar este
.
El uso principal de esta opción es permitir que una solicitud de certificado proporcione valores para
ciertas extensiones como subjectAltName.
POLÍTICA FORMATO
La sección de política consta de un conjunto de variables correspondientes a los campos DN del certificado.
Si el valor es "coincidir", el valor del campo debe coincidir con el mismo campo en la CA
certificado. Si el valor se "proporciona", debe estar presente. Si el valor es
"opcional", entonces puede estar presente. Cualquier campo que no se mencione en la sección de política es
eliminado silenciosamente, a menos que el -preserveDN La opción está configurada, pero esto se puede considerar más una
peculiaridad que el comportamiento previsto.
SPKAC FORMATO
La entrada al -spkac La opción de línea de comando es una clave pública firmada por Netscape y un desafío.
Esto generalmente vendrá de la LLAVE etiqueta en un formulario HTML para crear una nueva clave privada.
Sin embargo, es posible crear SPKAC utilizando el spkac utilidad.
El archivo debe contener la variable SPKAC establecida en el valor de SPKAC y también el
componentes DN requeridos como pares nombre-valor. Si necesita incluir el mismo componente
dos veces, entonces puede ir precedido por un número y un '.'.
Al procesar el formato SPKAC, la salida es DER si el -fuera se utiliza la bandera, pero el formato PEM
si se envía a stdout o al -outdir se utiliza la bandera.
EJEMPLOS
Nota: estos ejemplos asumen que el ca La estructura del directorio ya está configurada y el
ya existen archivos relevantes. Por lo general, esto implica la creación de un certificado de CA y
clave con req, un archivo de número de serie y un archivo de índice vacío y colocarlos en el
directorios relevantes.
Para usar el archivo de configuración de muestra debajo de los directorios demoCA, demoCA / private y
Se crearía demoCA / newcerts. El certificado de CA se copiará en demoCA / cacert.pem
y su clave privada a demoCA / private / cakey.pem. Se crearía un archivo demoCA / serial
que contiene, por ejemplo, "01" y el archivo de índice vacío demoCA / index.txt.
Firmar una solicitud de certificado:
openssl ca -in req.pem -out newcert.pem
Firme una solicitud de certificado, utilizando extensiones de CA:
openssl ca -in req.pem -extensiones v3_ca -out newcert.pem
Generar una CRL
openssl ca -gencrl -out crl.pem
Firma varias solicitudes:
openssl ca -infiles req1.pem req2.pem req3.pem
Certifique un SPKAC de Netscape:
openssl ca -spkac spkac.txt
Un archivo SPKAC de muestra (la línea SPKAC se ha truncado para mayor claridad):
SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN = Prueba de Steve
emailAddress =[email protected]
0.OU = Grupo OpenSSL
1.OU = Otro grupo
Un archivo de configuración de muestra con las secciones relevantes para ca:
[ca]
default_ca = CA_default # La sección de ca predeterminada
[CA_default]
dir = ./demoCA # directorio superior
database = $ dir / index.txt # archivo de índice.
new_certs_dir = $ dir / newcerts # new certs dir
certificate = $ dir / cacert.pem # El certificado de CA
serial = $ dir / serial # serial sin archivo
private_key = $ dir / private / cakey.pem # CA clave privada
RANDFILE = $ dir / private / .rand # archivo de número aleatorio
default_days = 365 # por cuánto tiempo certificar
default_crl_days = 30 # cuánto tiempo antes de la próxima CRL
default_md = md5 # md a usar
policy = policy_any # política predeterminada
email_in_dn = no # No agregue el correo electrónico en cert DN
name_opt = ca_default # Opción de visualización del nombre del sujeto
cert_opt = ca_default # Opción de visualización del certificado
copy_extensions = none # No copie extensiones de la solicitud
[policy_any]
countryName = proporcionado
stateOrProvinceName = opcional
organizationName = opcional
organizationUnitName = opcional
commonName = suministrado
emailAddress = opcional
Use cassl en línea usando los servicios de onworks.net
