Este es el comando certutil que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
certutil: administre claves y certificados tanto en bases de datos NSS como en otros tokens NSS
SINOPSIS
certutil [opciones] [[argumentos]]
ESTADO
Esta documentación aún está en proceso. Contribuya a la revisión inicial en
Mozilla NSS error 836477[ 1 ]
DESCRIPCIÓN
La herramienta de base de datos de certificados, certutil, es una utilidad de línea de comandos que puede crear y
modificar las bases de datos de claves y certificados. Específicamente puede enumerar, generar, modificar o
eliminar certificados, crear o cambiar la contraseña, generar una nueva clave pública y privada
pares, mostrar el contenido de la base de datos de claves o eliminar pares de claves dentro de la clave
base de datos.
La emisión de certificados, parte del proceso de gestión de claves y certificados, requiere que
las claves y los certificados se crearán en la base de datos de claves. Este documento analiza el certificado
y gestión de bases de datos de claves. Para obtener información sobre la gestión de la base de datos del módulo de seguridad,
ver la módulo página de manual.
COMANDO CAMPUS Y ARGUMENTOS
Correr certutil siempre requiere una y solo una opción de comando para especificar el tipo de
operación de certificado. Cada opción de comando puede tener cero o más argumentos. El comando
opción -H enumerará todas las opciones de comando y sus argumentos relevantes.
Comando Opciones
-A
Agregue un certificado existente a una base de datos de certificados. La base de datos de certificados debe
ya existe; si uno no está presente, esta opción de comando inicializará uno por
predeterminado.
-B
Ejecute una serie de comandos desde el archivo por lotes especificado. Esto requiere -i argumento.
-C
Cree un nuevo archivo de certificado binario a partir de un archivo de solicitud de certificado binario. Utilizar el
-i argumento para especificar el archivo de solicitud de certificado. Si no se utiliza este argumento,
certutil solicita un nombre de archivo.
-D
Elimina un certificado de la base de datos de certificados.
--rebautizar
Cambie el apodo de la base de datos de un certificado.
-E
Agregue un certificado de correo electrónico a la base de datos de certificados.
-F
Elimina una clave privada de una base de datos de claves. Especifique la clave para eliminar con la -n
argumento. Especifique la base de datos de la cual eliminar la clave con el -d argumento. Usar
las -k argumento para especificar explícitamente si eliminar una clave DSA, RSA o ECC. Si tu
no uses el -k argumento, la opción busca una clave RSA que coincida con el especificado
apodo.
Cuando elimine claves, asegúrese de eliminar también los certificados asociados con esas
claves de la base de datos de certificados, utilizando -D. Algunas tarjetas inteligentes no te dejan
eliminar una clave pública que haya generado. En tal caso, solo la clave privada es
eliminado del par de claves. Puede mostrar la clave pública con el comando certutil -K
-h nombre de token.
-G
Genere un nuevo par de claves pública y privada dentro de una base de datos de claves. La base de datos de claves
ya debería existir; si uno no está presente, esta opción de comando inicializará uno
por defecto. Algunas tarjetas inteligentes solo pueden almacenar un par de claves. Si crea un nuevo par de claves
para una tarjeta de este tipo, se sobrescribe el par anterior.
-H
Muestra una lista de las opciones y argumentos del comando.
-K
Enumere el ID de clave de las claves en la base de datos de claves. Un ID de clave es el módulo de la clave RSA o
publicValue de la clave DSA. Los ID se muestran en hexadecimal (no se muestra "0x").
-L
Enumere todos los certificados, o muestre información sobre un certificado con nombre, en un
base de datos de certificados. Utilice el argumento -h tokenname para especificar el certificado
base de datos en un token de hardware o software en particular.
-M
Modifique los atributos de confianza de un certificado utilizando los valores del argumento -t.
-N
Cree nuevas bases de datos de claves y certificados.
-O
Imprima la cadena de certificados.
-R
Cree un archivo de solicitud de certificado que pueda enviarse a una autoridad de certificación
(CA) para su procesamiento en un certificado terminado. Salida predeterminada a salida estándar
a menos que use el argumento -o archivo de salida. Utilice el argumento -a para especificar la salida ASCII.
-S
Cree un certificado individual y agréguelo a una base de datos de certificados.
-T
Restablezca la base de datos de claves o el token.
-U
Enumere todos los módulos disponibles o imprima un solo módulo con nombre.
-V
Verifique la validez de un certificado y sus atributos.
-W
Cambie la contraseña a una base de datos de claves.
--unir
Fusiona dos bases de datos en una.
--actualizar-combinar
Actualice una base de datos antigua y combínela en una nueva base de datos. Esto se usa para migrar
bases de datos NSS heredadas (cert8.db y key3.db) en las bases de datos SQLite más nuevas (cert9.db
y key4.db).
Argumentos
Los argumentos modifican una opción de comando y suelen ser minúsculas, números o símbolos.
-a
Utilice formato ASCII o permita el uso de formato ASCII para entrada o salida. Este formato
sigue RFC 1113. Para solicitudes de certificado, la salida ASCII tiene como valor predeterminado la salida estándar
a menos que sea redirigido.
-b tiempo de validez
Especifique un momento en el que se requiere que un certificado sea válido. Usar al verificar
validez del certificado con el -V opción. El formato del tiempo de validez el argumento es
AAMMDDHHMMSS [+ HHMM | -HHMM | Z], que permite establecer compensaciones relativas a la validez
hora de finalización. Especificando segundos (SS) es opcional. Al especificar un tiempo explícito, utilice un
Z al final del plazo, AAMMDDHHMMSSZ, para cerrarlo. Al especificar un tiempo de compensación,
utilizan el AAMMDDHHMMSS + HHMM or AAMMDDHHMMSS-HHMM para sumar o restar tiempo,
respectivamente.
Si no se utiliza esta opción, la verificación de validez se establece de forma predeterminada en la hora actual del sistema.
-c emisor
Identifique el certificado de la CA del que derivará un nuevo certificado
autenticidad. Utilice el apodo o alias exacto del certificado de CA, o utilice los
dirección de correo electrónico. Ponga entre corchetes la cadena del emisor entre comillas si contiene espacios.
-d directorio [prefijo]
Especifique el directorio de la base de datos que contiene el certificado y los archivos de la base de datos de claves.
certutil admite dos tipos de bases de datos: las bases de datos de seguridad heredadas (cert8.db,
key3.db y secmod.db) y nuevas bases de datos SQLite (cert9.db, key4.db y pkcs11.txt).
NSS reconoce los siguientes prefijos:
· SQL: solicita la base de datos más nueva
· DBM: solicita la base de datos heredada
Si no se especifica ningún prefijo, el tipo predeterminado se recupera de NSS_DEFAULT_DB_TYPE. Si
NSS_DEFAULT_DB_TYPE no está configurado entonces DBM: es el predeterminado.
--dump-ext-val OID
Para un certificado único, imprima la codificación DER binaria de la extensión OID.
-e
Verifique la firma de un certificado durante el proceso de validación de un certificado.
- correo electrónico dirección de correo electrónico
Especifique la dirección de correo electrónico de un certificado para listar. Se usa con la opción de comando -L.
--extGeneric OID: bandera-crítica: nombre de archivo [, OID: bandera-crítica: nombre de archivo] ...
Agregue una o varias extensiones que certutil no puede codificar todavía, cargando su
codificaciones de archivos externos.
· OID (ejemplo): 1.2.3.4
· Bandera-crítica: crítica o no crítica
· Nombre de archivo: ruta completa a un archivo que contiene una extensión codificada
-f archivo-contraseña
Especifique un archivo que proporcionará automáticamente la contraseña para incluir en un certificado
o para acceder a una base de datos de certificados. Este es un archivo de texto sin formato que contiene una
contraseña. Asegúrese de evitar el acceso no autorizado a este archivo.
-g tamaño de clave
Establezca un tamaño de clave para usar al generar nuevos pares de claves públicas y privadas. El mínimo es
512 bits y el máximo es 16384 bits. El valor predeterminado es 2048 bits. Cualquier tamaño entre
se permite mínimo y máximo.
-h nombre de token
Especifique el nombre de un token para usar o actuar. Si no se especifica, el token predeterminado es
la ranura de la base de datos interna.
-i archivo_entrada
Pase un archivo de entrada al comando. Dependiendo de la opción de comando, un archivo de entrada puede
ser un certificado específico, un archivo de solicitud de certificado o un archivo por lotes de comandos.
-k tipo-clave-o-id
Especifique el tipo o ID específico de una clave.
Las opciones de tipo de clave válidas son rsa, dsa, ec o all. El valor predeterminado es rsa.
Especificar el tipo de clave puede evitar errores causados por apodos duplicados. Dando un
el tipo de clave genera un nuevo par de claves; dar el ID de una clave existente reutiliza esa clave
par (necesario para renovar certificados).
-l
Muestra información detallada al validar un certificado con la opción -V.
-m número de serie
Asigne un número de serie único a un certificado que se está creando. Esta operación debe ser
realizado por una CA. Si no se proporciona un número de serie, se crea un número de serie predeterminado
desde la hora actual. Los números de serie están limitados a números enteros
-n apodo
Especifique el apodo de un certificado o clave para listar, crear, agregar a una base de datos,
modificar o validar. Ponga entre corchetes la cadena de apodo entre comillas si contiene
espacios
-o archivo-salida
Especifique el nombre del archivo de salida para nuevos certificados o solicitudes de certificados binarios.
Ponga entre corchetes la cadena del archivo de salida entre comillas si contiene espacios. Si esto
El argumento no se utiliza, el destino de salida tiene como valor predeterminado la salida estándar.
-P prefijo db
Especifique el prefijo utilizado en el certificado y el archivo de base de datos de claves. Este argumento es
proporcionado para admitir servidores heredados. La mayoría de las aplicaciones no utilizan un prefijo de base de datos.
-p teléfono
Especifique un número de teléfono de contacto para incluirlo en nuevos certificados o certificados
peticiones. Ponga entre corchetes esta cadena entre comillas si contiene espacios.
-q pqgfile o nombre-curva
Leer un valor de PQG alternativo del archivo especificado al generar pares de claves DSA. Si
este argumento no se usa, certutil genera su propio valor PQG. Se crean archivos PQG
con una utilidad DSA separada.
El nombre de la curva elíptica es uno de los de SUITE B: nistp256, nistp384, nistp521
Si NSS se ha compilado con curvas de soporte fuera de SUITE B: sect163k1, nistk163,
sect163r1, sect163r2, nistb163, sect193r1, sect193r2, sect233k1, nistk233, sect233r1,
nistb233, sect239k1, sect283k1, nistk283, sect283r1, nistb283, sect409k1, nistk409,
sect409r1, nistb409, sect571k1, nistk571, sect571r1, nistb571, secp160k1, secp160r1,
secp160r2, secp192k1, secp192r1, nistp192, secp224k1, secp224r1, nistp224, secp256k1,
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2
-r
Muestre la codificación DER binaria de un certificado al enumerar información sobre ese
certificado con la opción -L.
-s tema
Identifique un propietario de certificado en particular para nuevos certificados o solicitudes de certificados.
Ponga entre corchetes esta cadena entre comillas si contiene espacios. El tema
El formato de identificación sigue RFC # 1485.
-t fideicomisos
Especifique los atributos de confianza para modificar en un certificado existente o para aplicar a un
certificado al crearlo o agregarlo a una base de datos. Hay tres disponibles
categorías de confianza para cada certificado, expresadas en el orden SSL, de correo electrónico, objeto
firma para cada configuración de confianza. En cada posición de categoría, use ninguno, ninguno o todos los
los códigos de atributo:
· p - Compañero válido
· P - Compañero de confianza (implica p)
· c - CA válida
· T - CA de confianza (implica c)
· C - CA de confianza para la autenticación de clientes (solo servidor ssl)
· u - usuario
Los códigos de atributo de las categorías están separados por comas y el conjunto completo de
atributos entre comillas. Por ejemplo:
-t "TCu, Cu, Tu"
Utilice la opción -L para ver una lista de los certificados actuales y los atributos de confianza en un
base de datos de certificados.
-u certificación
Especifique un contexto de uso para aplicar al validar un certificado con la opción -V.
Los contextos son los siguientes:
· C (como cliente SSL)
· V (como servidor SSL)
· L (como una CA SSL)
· A (como Any CA)
· Y (Verificar CA)
· S (como firmante de correo electrónico)
· R (como destinatario de correo electrónico)
· O (como respondedor de estado OCSP)
· J (como firmante de un objeto)
-v meses-válidos
Establezca el número de meses que será válido un nuevo certificado. Comienza el período de validez
a la hora actual del sistema, a menos que se agregue o reste un desplazamiento con el -w .
Si no se utiliza este argumento, el período de validez predeterminado es de tres meses.
-w meses de compensación
Establezca una compensación de la hora actual del sistema, en meses, para el comienzo de una
período de validez del certificado. Úselo al crear el certificado o agregarlo a un
base de datos. Exprese el desplazamiento en números enteros, utilizando un signo menos (-) para indicar un
compensación negativa. Si no se utiliza este argumento, el período de validez comienza en el
hora actual del sistema. La duración del período de validez se establece con el argumento -v.
-X
Forzar la apertura de la base de datos de claves y certificados en modo lectura-escritura. Esto se usa con
las -U y -L opciones de comando.
-x
Uso certutil para generar la firma para un certificado que se crea o se agrega a un
base de datos, en lugar de obtener una firma de una CA separada.
-y exp
Establezca un valor de exponente alternativo para usar en la generación de una nueva clave pública RSA para el
base de datos, en lugar del valor predeterminado de 65537. Los valores alternativos disponibles son 3
y 17.
-z archivo-ruido
Leer un valor inicial del archivo especificado para generar una nueva clave pública y privada
par. Este argumento hace posible utilizar valores semilla generados por hardware o
cree manualmente un valor desde el teclado. El tamaño mínimo del archivo es de 20 bytes.
-Z hashAlg
Especifique el algoritmo hash que se utilizará con las opciones de comando -C, -S o -R. Posible
palabras clave:
· MD2
· MD4
· MD5
· SHA1
· SHA224
· SHA256
· SHA384
· SHA512
-0 SSO_contraseña
Establezca una contraseña de oficial de seguridad del sitio en un token.
-1 | --keyUsage palabra clave, palabra clave
Establezca una extensión de tipo de certificado X.509 V3 en el certificado. Hay varios
palabras clave disponibles:
· firma digital
· No repudio
· Cifrado de claves
· Cifrado de datos
· Acuerdo clave
· CertSigning
· CrlSigning
· Crítico
-2
Agregue una extensión de restricción básica a un certificado que se está creando o agregando a un
base de datos. Esta extensión es compatible con el proceso de verificación de la cadena de certificados.
certutil solicita la extensión de restricción de certificado para seleccionar.
Las extensiones de certificado X.509 se describen en RFC 5280.
-3
Agregue una extensión de ID de clave de autoridad a un certificado que se está creando o agregando a un
base de datos. Esta extensión admite la identificación de un certificado en particular, desde
entre varios certificados asociados con un nombre de sujeto, como el emisor correcto de
un certificado. La herramienta de base de datos de certificados le pedirá que seleccione la autoridad
extensión de ID de clave.
Las extensiones de certificado X.509 se describen en RFC 5280.
-4
Agregar una extensión de punto de distribución de CRL a un certificado que se está creando o agregando
a una base de datos. Esta extensión identifica la URL de un certificado asociado
lista de revocación de certificados (CRL). certutil solicita la URL.
Las extensiones de certificado X.509 se describen en RFC 5280.
-5 | --nsCertType palabra clave, palabra clave
Agregue una extensión de tipo de certificado X.509 V3 a un certificado que se está creando o
agregado a la base de datos. Hay varias palabras clave disponibles:
· SslClient
· SslServer
· Smime
· Firma de objetos
· SslCA
· SmimeCA
· ObjectSigningCA
· Crítico
Las extensiones de certificado X.509 se describen en RFC 5280.
-6 | --extKeyUsage palabra clave, palabra clave
Agregar una extensión de uso de clave extendida a un certificado que se está creando o agregando
la base de datos. Hay varias palabras clave disponibles:
· ServerAuth
· ClientAuth
· CodeSigning
· EmailProtection
· TimeStamp
· OcspResponder
· aumentar
· MsTrustListSign
· Crítico
Las extensiones de certificado X.509 se describen en RFC 5280.
-7 direcciones de correo electrónico
Agregue una lista de direcciones de correo electrónico separadas por comas al nombre alternativo del asunto
extensión de un certificado o solicitud de certificado que se está creando o agregando a
la base de datos. Las extensiones de nombres alternativos del sujeto se describen en la Sección 4.2.1.7 de
RFC 3280.
-8 nombres-dns
Agregue una lista de nombres DNS separados por comas a la extensión de nombre alternativo del sujeto de un
certificado o solicitud de certificado que se está creando o agregando a la base de datos.
Las extensiones de nombres alternativos del sujeto se describen en la Sección 4.2.1.7 de RFC 3280.
--extAIA
Agregue la extensión de Acceso a la información de la autoridad al certificado. Certificado X.509
Las extensiones se describen en RFC 5280.
--extSIA
Agregue la extensión Acceso a la información del sujeto al certificado. Certificado X.509
Las extensiones se describen en RFC 5280.
--extCP
Agregue la extensión Políticas de certificado al certificado. Certificado X.509
Las extensiones se describen en RFC 5280.
--extPM
Agregue la extensión Policy Mappings al certificado. Las extensiones de certificado X.509 son
descrito en RFC 5280.
--extPC
Agregue la extensión de restricciones de política al certificado. Extensiones de certificado X.509
se describen en RFC 5280.
--extIA
Agregue la extensión Inhibir cualquier acceso a la política al certificado. Certificado X.509
Las extensiones se describen en RFC 5280.
--extSKID
Agregue la extensión de ID de clave de sujeto al certificado. Las extensiones de certificado X.509 son
descrito en RFC 5280.
--extNC
Agregue una extensión de restricción de nombre al certificado. Las extensiones de certificado X.509 son
descrito en RFC 5280.
--extSAN tipo: nombre [, tipo: nombre] ...
Cree una extensión de Asunto Alt Name con uno o varios nombres.
-tipo: directorio, dn, dns, edi, ediparty, email, ip, ipaddr, otro, registerid,
rfc822, uri, x400, dirección x400
- contraseña-vacía
Utilice una contraseña vacía al crear una nueva base de datos de certificados con -N.
--keyAttrFlags atributos
Atributos clave de PKCS # 11. Lista separada por comas de indicadores de atributos clave, seleccionados de
la siguiente lista de opciones: {token | sesión} {público | privado} {sensible |
insensible} {modificable | inmodificable} {extraíble | inextractable}
--keyOpFlagsOn banderas operativas, --keyOpFlagsOff banderas operativas
Indicadores de operación de la tecla PKCS # 11. Lista separada por comas de uno o más de los siguientes:
{token | sesión} {público | privado} {sensible | insensible} {modificable |
inmodificable} {extraíble | inextractable}
--nuevo-apodo
Un nuevo apodo, que se utiliza al cambiar el nombre de un certificado.
--source-dir certdir
Identifique el directorio de la base de datos de certificados para actualizar.
--certdir de prefijo de fuente
Proporcione el prefijo del certificado y las bases de datos de claves para actualizar.
--upgrade-id ID único
Proporcione la identificación única de la base de datos para actualizar.
--upgrade-token-name nombre
Establezca el nombre del token que se utilizará mientras se actualiza.
- @ pwfile
Proporcione el nombre de un archivo de contraseña para usar en la base de datos que se actualiza.
USO Y EJEMPLOS
La mayoría de las opciones de comando en los ejemplos enumerados aquí tienen más argumentos disponibles. los
Los argumentos incluidos en estos ejemplos son los más comunes o se utilizan para ilustrar un
escenario específico. Utilizar el -H opción para mostrar la lista completa de argumentos para cada
opción de comando.
Creamos Nuevo Seguridad Bases de datos
Los certificados, claves y módulos de seguridad relacionados con la gestión de certificados se almacenan en
tres bases de datos relacionadas:
· Cert8.db o cert9.db
· Key3.db o key4.db
· Secmod.db o pkcs11.txt
Estas bases de datos deben crearse antes de que se puedan generar certificados o claves.
directorio certutil -N -d [sql:]
Creamos a Certificado SOLICITUD
Una solicitud de certificado contiene la mayor parte o toda la información que se utiliza para generar la
certificado final. Esta solicitud se envía por separado a una autoridad certificadora y es
luego aprobado por algún mecanismo (automáticamente o por revisión humana). Una vez que la solicitud es
aprobado, se genera el certificado.
$ certutil -R -k key-type-or-id [-q pqgfile | curve-name] -g key-size -s subject [-h tokenname] -d [sql:] directorio [-p phone] [-o archivo-salida] [-a]
El -R Las opciones de comando requieren cuatro argumentos:
· -k para especificar el tipo de clave a generar o, al renovar un certificado, el
par de claves existente para usar
· -g para establecer el tamaño de clave de la clave para generar
· -s para establecer el nombre del sujeto del certificado
· -d para dar el directorio de la base de datos de seguridad
La nueva solicitud de certificado se puede enviar en formato ASCII (-a) o puede escribirse en un
archivo especificado-o).
Por ejemplo:
$ certutil -R -k rsa -g 1024 -s "CN = John Smith, O = Example Corp, L = Mountain View, ST = California, C = US" -d sql: $ HOME / nssdb -p 650-555- 0123 -a -o cert.cer
Generando clave. Esto puede tardar unos minutos ...
Creamos a Certificado
Un certificado válido debe ser emitido por una CA confiable. Esto se puede hacer especificando una CA
certificado (-c) que se almacena en la base de datos de certificados. Si un par de claves de CA no es
disponible, puede crear un certificado autofirmado utilizando el -x argumento con el -S
opción de comando.
$ certutil -S -k rsa | dsa | ec -n nombre-certificado -s asunto [-c emisor | -x] -t trustargs -d [sql:] directorio [-m número-de-serie] [-v meses-válidos] [ -w offset-months] [-p phone] [-1] [-2] [-3] [-4] [-5 keyword] [-6 keyword] [-7 emailAddress] [-8 dns-names] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]
La serie de números y - texto * opciones establecen extensiones de certificado que se pueden agregar a
el certificado cuando lo genera la CA. Aparecerán mensajes interactivos.
Por ejemplo, esto crea un certificado autofirmado:
$ certutil -S -s "CN = Ejemplo CA" -n my-ca-cert -x -t "C, C, C" -1 -2-5 -m 3650
Las indicaciones interactivas para el uso de claves y si alguna extensión es crítica y las respuestas
se han omitido por brevedad.
A partir de ahí, los nuevos certificados pueden hacer referencia al certificado autofirmado:
$ certutil -S -s "CN = My Server Cert" -n my-server-cert -c "my-ca-cert" -t "u, u, u" -1-5-6-8 -m 730
Generación a Certificado en a Certificado SOLICITUD
Cuando se crea una solicitud de certificado, se puede generar un certificado utilizando la solicitud
y luego hacer referencia a un certificado de firma de autoridad de certificación (el editor especificado en
las -c argumento). El certificado emisor debe estar en la base de datos de certificados en el
directorio especificado.
certutil -C -c emisor -i archivo-solicitud-cert -o archivo-de-salida [-m número-de-serie] [-v meses-válidos] [-w meses-de-compensación] -d [sql:] directorio [-1] [-2] [-3] [-4] [-5 palabra clave] [-6 palabra clave] [-7 emailAddress] [-8 dns-names]
Por ejemplo:
$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql: $ HOME / nssdb -1 no repudio, cifrado de datos -5 sslClient -6 clientAuth -7 [email protected]
Publicaciones Certificados
El -L La opción de comando enumera todos los certificados enumerados en la base de datos de certificados.
La ruta al directorio (-d) es requerido.
$ certutil -L -d sql: / inicio / mi / sharednssdb
Atributos de confianza de apodo de certificado
SSL, S / MIME, JAR / XPI
ID de dominio de ejemplo u, u, u del administrador de la instancia pki-ca1 de CA
ID de dominio de ejemplo del administrador de TPS u, u, u
Autoridad de Internet de Google ,,
Autoridad de certificación: dominio de ejemplo CT, C, C
Usando argumentos adicionales con -L puede devolver e imprimir la información de una sola,
certificado específico. Por ejemplo, el -n El argumento pasa el nombre del certificado, mientras que el
-a argumento imprime el certificado en formato ASCII:
$ certutil -L -d sql: $ HOME / nssdb -a -n my-ca-cert
----- COMIENCE EL CERTIFICADO -----
MIIB1DCCAT2gAwIBAgICDkIwDQYJKoZIhvcNAQEFBQAwFTETMBEGA1UEAxMKRXhh
bXBsZSBDQTAeFw0xMzAzMTMxOTEwMjlaFw0xMzA2MTMxOTEwMjlaMBUxEzARBgNV
BAMTCkV4YW1wbGUgQ0EwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAJ4Kzqvz
JyBVgFqDXRYSyTBNw1DrxUU/3GvWA/ngjAwHEv0Cul/6sO/gsCvnABHiH6unns6x
XRzPORlC2WY3gkk7vmlsLvYpyecNazAi/NAwVnU/66HOsaoVFWE+gBQo99UrN2yk
0BiK/GMFlLm5dXQROgA9ZKKyFdI0LIXtf6SbAgMBAAGjMzAxMBEGCWCGSAGG+EIB
AQQEAwIHADAMBgNVHRMEBTADAQH / MA4GA1UdDwEB / wQEAwICBDANBgkqhkiG9w0B
AQUFAAOBgQA6chkzkACN281d1jKMrc+RHG2UMaQyxiteaLVZO+Ro1nnRUvseDf09
XKYFwPMJjWCihVku6bw/ihZfuMHhxK22Nue6inNQ6eDu7WmrqL8z3iUrQwxs+WiF
ob2rb8XRVVJkzXdXxlk4uo3UtNvw8sAz7sWD71qxKaIHU5q49zijfg==
----- FINALIZAR CERTIFICADO -----
Para una pantalla legible por humanos
$ certutil -L -d sql: $ HOME / nssdb -n my-ca-cert
Certificado
Fecha:
Versión: 3 (0x2)
Número de serie: 3650 (0xe42)
Algoritmo de firma: PKCS # 1 SHA-1 con cifrado RSA
Emisor: "CN = CA de ejemplo"
Validez:
No antes: miércoles 13 de marzo 19:10:29 2013
No después: jueves 13 de junio 19:10:29 2013
Asunto: "CN = CA de ejemplo"
Información de la clave pública del sujeto:
Algoritmo de clave pública: cifrado PKCS # 1 RSA
Clave pública RSA:
Módulo:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
Exponente: 65537 (0x10001)
Extensiones firmadas:
Nombre: Tipo de certificado
Datos: ninguno
Nombre: Restricciones básicas del certificado
Datos: es una CA sin longitud máxima de ruta.
Nombre: uso de clave de certificado
Crítico: Verdadero
Usos: firma de certificado
Algoritmo de firma: PKCS # 1 SHA-1 con cifrado RSA
Firma:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
Huella digital (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
Huella digital (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7
Banderas de confianza del certificado:
Banderas SSL:
CA válida
CA de confianza
Usuario
Banderas de correo electrónico:
CA válida
CA de confianza
Usuario
Banderas de firma de objetos:
CA válida
CA de confianza
Usuario
Publicaciones Claves
Las claves son el material original que se utiliza para cifrar los datos del certificado. Las claves generadas para
los certificados se almacenan por separado, en la base de datos de claves.
Para listar todas las claves en la base de datos, use el -K opción de comando y el (requerido) -d argumento
para dar la ruta al directorio.
$ certutil -K -d sql: $ INICIO / nssdb
certutil: Comprobando el token "NSS Certificate DB" en la ranura "NSS User Private Key and Certificate Services"
<0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d Thawte Freemail ID de usuario de Thawte Consulting (Pty) Ltd.
<1> rsa 40defeeb522ade11090eacebaaf1196a172127df Ejemplo de certificado de administrador de dominio
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert
Hay formas de limitar las claves enumeradas en los resultados de la búsqueda:
· Para devolver una clave específica, use el -nnombre argumento con el nombre de la clave.
· Si hay varios dispositivos de seguridad cargados, entonces el -hnombre del token argumento puede
buscar un token específico o todos los tokens.
· Si hay varios tipos de claves disponibles, entonces el -ktipo de clave argumento puede buscar un
tipo específico de clave, como RSA, DSA o ECC.
Publicaciones Seguridad Módulos
Los dispositivos que se pueden usar para almacenar certificados, tanto bases de datos internas como externas
dispositivos como tarjetas inteligentes: se reconocen y utilizan al cargar módulos de seguridad. los -U
La opción de comando enumera todos los módulos de seguridad enumerados en la base de datos secmod.db. los
ruta al directorio (-d) es requerido.
$ certutil -U -d sql: / inicio / mi / sharednssdb
ranura: Servicios de certificado y clave privada de usuario NSS
token: Base de datos de certificado NSS
ranura: Servicios criptográficos internos NSS
token: Servicios criptográficos genéricos de NSS
Adición Certificados a las Base de datos
Los certificados existentes o las solicitudes de certificados se pueden agregar manualmente al certificado
base de datos, incluso si se generaron en otro lugar. Esto usa el -A opción de comando.
certutil -A -n certname -t trustargs -d [sql:] directorio [-a] [-i archivo de entrada]
Por ejemplo:
$ certutil -A -n "CN = Mi certificado SSL" -t "u, u, u" -d sql: / home / my / sharednssdb -i /home/example-certs/cert.cer
Una opción de comando relacionada, -E, se utiliza específicamente para agregar certificados de correo electrónico a la
base de datos de certificados. los -E El comando tiene los mismos argumentos que el -A mando. La confianza
los argumentos de los certificados tienen el formato SSL, S / MIME, firma de código, entonces el medio confía
La configuración se relaciona principalmente con los certificados de correo electrónico (aunque se pueden configurar los demás). Por ejemplo:
$ certutil -E -n "CN = John Smith Email Cert" -t ", Pu," -d sql: / home / my / sharednssdb -i /home/example-certs/email.cer
Eliminación Certificados a las Base de datos
Los certificados se pueden eliminar de una base de datos utilizando el -D opción. Las únicas opciones requeridas
son proporcionar el directorio de la base de datos de seguridad e identificar el apodo del certificado.
certutil -D -d [sql:] directorio -n "apodo"
Por ejemplo:
$ certutil -D -d sql: / home / my / sharednssdb -n "my-ssl-cert"
Validación Certificados
Un certificado contiene una fecha de caducidad en sí mismo, y los certificados caducados se pueden
rechazado. Sin embargo, los certificados también se pueden revocar antes de que caduquen.
Verificar si un certificado ha sido revocado requiere validar el certificado.
La validación también se puede utilizar para garantizar que el certificado solo se utilice para los fines
inicialmente se emitió para. La validación la realiza el -V opción de comando.
certutil -V -n nombre-certificado [-b hora] [-e] [-u uso-certificado] -d [sql:] directorio
Por ejemplo, para validar un certificado de correo electrónico:
$ certutil -V -n "Certificado de correo electrónico de John Smith" -e -u S, R -d sql: / home / my / sharednssdb
Modificación Certificado Confía en Ajustes
La configuración de confianza (que se relaciona con las operaciones que un certificado puede realizar
utilizado para) se pueden cambiar después de que se crea un certificado o se agrega a la base de datos. Este es
especialmente útil para certificados de CA, pero se puede realizar para cualquier tipo de
certificado.
certutil -M -n nombre-certificado -t trust-args -d directorio [sql:]
Por ejemplo:
$ certutil -M -n "Mi certificado de CA" -d sql: / home / my / sharednssdb -t "CTu, CTu, CTu"
Impresión las Certificado Transportadores
Los certificados se pueden emitir en cadenas porque cada autoridad certificadora en sí misma tiene un
certificado; cuando una CA emite un certificado, esencialmente sella ese certificado con
su propia huella digital. los -O imprime la cadena completa de un certificado, desde el inicial
CA (la CA raíz) a través de una CA intermediaria hasta el certificado real. Por ejemplo, para
un certificado de correo electrónico con dos CA en la cadena:
$ certutil -d sql: / home / my / sharednssdb -O -n "[email protected]"
"Token de objeto integrado: Thawte Personal Freemail CA" [E =[email protected], CN = Thawte Personal Freemail CA, OU = División de servicios de certificación, O = Thawte Consulting, L = Ciudad del Cabo, ST = Western Cape, C = ZA]
"Thawte Personal Freemail Emisora CA - Thawte Consulting" [CN = Thawte Personal Freemail Emisora CA, O = Thawte Consulting (Pty) Ltd., C = ZA]
"(nulo)" [E =[email protected], CN = Miembro de Thawte Freemail]
Restablecer a Token
El dispositivo que almacena certificados, tanto dispositivos de hardware externos como internos
bases de datos de software: se pueden borrar y reutilizar. Esta operación se realiza en el dispositivo
que almacena los datos, no directamente en las bases de datos de seguridad, por lo que la ubicación debe ser
referenciado a través del nombre del token (-h) así como cualquier ruta de directorio. Si no hay
token externo utilizado, el valor predeterminado es interno.
certutil -T -d [sql:] directorio -h nombre-token -0 contraseña-oficial-de-seguridad
Muchas redes tienen personal dedicado que maneja los cambios en los tokens de seguridad (la seguridad
oficial). Esta persona debe proporcionar la contraseña para acceder al token especificado. Por ejemplo:
$ certutil -T -d sql: / home / my / sharednssdb -h nethsm -0 secreto
Actualizar or La fusión de las Seguridad Bases de datos
Es posible que muchas redes o aplicaciones utilicen versiones anteriores de BerkeleyDB del certificado.
base de datos (cert8.db). Las bases de datos se pueden actualizar a la nueva versión SQLite de la base de datos
(cert9.db) usando el --actualizar-combinar la opción de comando o las bases de datos existentes se pueden fusionar
con las nuevas bases de datos cert9.db usando el ---unir mando.
El --actualizar-combinar El comando debe proporcionar información sobre la base de datos original y luego usar
los argumentos estándar (como -d) para dar la información sobre las nuevas bases de datos. los
El comando también requiere información que la herramienta usa para el proceso de actualización y escritura.
sobre la base de datos original.
certutil --upgrade-merge -d [sql:] directorio [-P dbprefix] --source-dir directorio --source-prefix dbprefix --upgrade-id id --upgrade-token-name name [- @ password-file ]
Por ejemplo:
$ certutil --upgrade-merge -d sql: / home / my / sharednssdb --source-dir / opt / my-app / alias / --source-prefix serverapp- --upgrade-id 1 --upgrade-token- nombre interno
El --unir El comando solo requiere información sobre la ubicación de la base de datos original;
ya que no cambia el formato de la base de datos, puede escribir sobre la información sin
realizar el paso intermedio.
certutil --merge -d [sql:] directorio [-P dbprefix] --source-dir directorio --source-prefix dbprefix [- @ archivo-contraseña]
Por ejemplo:
$ certutil --merge -d sql: / home / my / sharednssdb --source-dir / opt / my-app / alias / --source-prefix serverapp-
Correr certutil Comandos en a Lote Archive
Se puede ejecutar una serie de comandos secuencialmente desde un archivo de texto con la -B opción de comando.
El único argumento para esto especifica el archivo de entrada.
$ certutil -B -i / ruta / a / archivo por lotes
NSS BASE DE DATOS TIPOS
NSS utilizó originalmente bases de datos de BerkeleyDB para almacenar información de seguridad. Las ultimas versiones
de estos legado las bases de datos son:
· Cert8.db para certificados
· Key3.db para llaves
· Secmod.db para la información del módulo PKCS # 11
BerkeleyDB tiene limitaciones de rendimiento, sin embargo, que impiden que sea fácilmente utilizado por
múltiples aplicaciones simultáneamente. NSS tiene cierta flexibilidad que permite que las aplicaciones
utilizar su propio motor de base de datos independiente mientras mantiene una base de datos compartida y funciona
en torno a los problemas de acceso. Aún así, NSS requiere más flexibilidad para proporcionar una verdadera
base de datos de seguridad.
En 2009, NSS introdujo un nuevo conjunto de bases de datos que son bases de datos SQLite en lugar de
BerkeleyDB. Estas nuevas bases de datos proporcionan más accesibilidad y rendimiento:
· Cert9.db para certificados
· Key4.db para llaves
· Pkcs11.txt, una lista de todos los módulos PKCS # 11, contenidos en un nuevo subdirectorio
en el directorio de bases de datos de seguridad
Debido a que las bases de datos SQLite están diseñadas para ser compartidas, estas son las compartido base de datos
escribe. Se prefiere el tipo de base de datos compartida; el formato heredado se incluye para versiones anteriores
compatibilidad.
De forma predeterminada, las herramientas (certutil, pk12util, módulo) suponen que la seguridad dada
las bases de datos siguen el tipo heredado más común. El uso de las bases de datos SQLite debe realizarse manualmente
especificado mediante el SQL: prefijo con el directorio de seguridad dado. Por ejemplo:
$ certutil -L -d sql: / inicio / mi / sharednssdb
Para configurar el tipo de base de datos compartida como el tipo predeterminado para las herramientas, configure el
NSS_DEFAULT_DB_TYPE variable de entorno a sql:
exportar NSS_DEFAULT_DB_TYPE = "sql"
Esta línea se puede configurar agregada a la ~ / .bashrc archivo para que el cambio sea permanente.
La mayoría de las aplicaciones no utilizan la base de datos compartida de forma predeterminada, pero se pueden configurar para
usalos, usalos a ellos. Por ejemplo, este artículo explica cómo configurar Firefox y Thunderbird
para utilizar las nuevas bases de datos NSS compartidas:
· Https://wiki.mozilla.org/NSS_Shared_DB_Howto
Para obtener un borrador de ingeniería sobre los cambios en las bases de datos NSS compartidas, consulte el proyecto NSS
Wiki:
· Https://wiki.mozilla.org/NSS_Shared_DB
Use certutil en línea usando los servicios de onworks.net
