این دستور cass است که می تواند در ارائه دهنده میزبانی رایگان OnWorks با استفاده از یکی از چندین ایستگاه کاری آنلاین رایگان ما مانند Ubuntu Online، Fedora Online، شبیه ساز آنلاین ویندوز یا شبیه ساز آنلاین MAC OS اجرا شود.
برنامه:
نام
ca - نمونه حداقل برنامه CA
خلاصه
openssl ca [کلاهبرداری] [پیکربندی کنید نام فایل] [-سیب زمینی شیرین بخش] [-gencrl] [-لغو پرونده] [-وضعیت
سریال] [آپدیت شدهb] [-crl_reason دلیل] [-crl_hold دستور العمل] [-crl_compromise زمان]
[-crl_CA_compromise زمان] [-crldays روز] [-crlhours ساعت] [- crlexts بخش] [-تاریخ شروع
تاریخ] [-تاریخ پایان تاریخ] [-روزها ارگ] [-مرد ارگ] [-خط مشی ارگ] [-keyfile ارگ] [-keyform
PEM|DER] [-کی ارگ] [-پاسین ارگ] [-گواهی پرونده] [-نشانه خود] [-که در پرونده] [بیرون پرونده]
[-بدون متن] [-خارج دیر] [-فایل ها] [-spkac پرونده] [-ss_cert پرونده] [-preserveDN]
[-noemailDN] [- دسته ای] [-msie_hack] [-پسوندها بخش] [-extfile بخش] [-تعارف id]
[-موضوع ارگ] [-utf8] [-چند ارزشی-rdn]
شرح
La ca دستور یک برنامه حداقل CA است. می توان از آن برای امضای درخواست های گواهی استفاده کرد
انواع فرمها و CRL تولید میکند و همچنین پایگاه داده متنی صادر شده را حفظ میکند
گواهینامه ها و وضعیت آنها
توضیحات گزینه ها به هر هدف تقسیم می شود.
CA OPTIONS
پیکربندی کنید نام فایل
فایل پیکربندی مورد استفاده را مشخص می کند.
-سیب زمینی شیرین بخش
بخش فایل پیکربندی مورد استفاده را مشخص میکند (لغو میکند default_ca در ca
بخش).
-که در نام فایل
یک نام فایل ورودی حاوی یک درخواست گواهی واحد که باید توسط CA امضا شود.
-ss_cert نام فایل
گواهی منفرد امضا شده توسط CA.
-spkac نام فایل
یک فایل حاوی یک کلید عمومی با امضای Netscape و چالش و اضافی
مقادیر فیلد باید توسط CA امضا شود. را ببینید SPKAC FORMAT بخش برای اطلاعات در مورد
فرمت ورودی و خروجی مورد نیاز
-فایل ها
اگر موجود باشد، این باید آخرین گزینه باشد، همه آرگومان های بعدی در نظر گرفته می شوند
نام فایل های حاوی درخواست های گواهی
بیرون نام فایل
فایل خروجی به گواهینامه های خروجی به. پیش فرض خروجی استاندارد است. در
جزئیات گواهی نیز در قالب PEM در این فایل چاپ می شود (به جز آن
-spkac خروجی فرمت DER).
-خارج فهرست راهنما
دایرکتوری برای خروجی گواهینامه ها گواهی به نام فایل نوشته می شود
شامل شماره سریال به صورت هگز با ".pem" ضمیمه شده است.
-گواهی
فایل گواهی CA
-keyfile نام فایل
کلید خصوصی برای امضای درخواست ها
-keyform PEM|DER
فرمت داده ها در فایل کلید خصوصی پیش فرض PEM است.
-کی کلمه عبور
رمز عبور مورد استفاده برای رمزگذاری کلید خصوصی از آنجایی که در برخی از سیستم ها خط فرمان
آرگومان ها قابل مشاهده هستند (به عنوان مثال یونیکس با ابزار 'ps') این گزینه باید استفاده شود
با احتیاط.
-نشانه خود
نشان می دهد که گواهی های صادر شده باید با کلید گواهی امضا شوند
درخواست ها با (داده شده با -keyfile). درخواست های گواهی امضا شده با a
کلیدهای مختلف نادیده گرفته می شوند. اگر -spkac, -ss_cert or -gencrl داده می شود، -نشانه خود is
نادیده گرفته شد
نتیجه استفاده از -نشانه خود این است که گواهی خودامضا در میان ظاهر می شود
ورودی های پایگاه داده گواهی (به گزینه پیکربندی مراجعه کنید پایگاه داده) و استفاده می کند
همان شمارنده شماره سریال که همه گواهی های دیگر با خود امضا شده امضا می کنند
گواهی
-پاسین ارگ
منبع رمز عبور کلیدی برای اطلاعات بیشتر در مورد فرمت ارگ ببینید PASS
عبارت ادله بخش در openssl(1).
کلاهبرداری
این جزئیات اضافی در مورد عملیات انجام شده را چاپ می کند.
-بدون متن
فرم متنی یک گواهی را در فایل خروجی خروجی ندهید.
-تاریخ شروع تاریخ
این اجازه می دهد تا تاریخ شروع به صراحت تنظیم شود. فرمت تاریخ است
YYMMDDHHMMSSZ (همان ساختار ASN1 UTCTime).
-تاریخ پایان تاریخ
این اجازه می دهد تا تاریخ انقضا به صراحت تعیین شود. فرمت تاریخ است
YYMMDDHHMMSSZ (همان ساختار ASN1 UTCTime).
-روزها ارگ
تعداد روزهای تأیید گواهی برای.
-مرد جلبک
خلاصه پیام برای استفاده مقادیر ممکن عبارتند از md5، sha1 و mdc2. این گزینه
همچنین برای CRL ها اعمال می شود.
-خط مشی ارگ
این گزینه "سیاست" CA را برای استفاده تعریف می کند. این یک بخش در پیکربندی است
فایلی که تصمیم میگیرد کدام فیلدها باید اجباری باشند یا با گواهی CA مطابقت داشته باشند. بررسی
خارج از سیاست FORMAT برای اطلاعات بیشتر بخش
-msie_hack
این یک گزینه قدیمی برای ساختن است ca با نسخه های بسیار قدیمی گواهی IE کار کنید
کنترل ثبت نام "certenr3". تقریباً برای همه چیز از UniversalStrings استفاده می کرد. از آنجا که
کنترل قدیمی دارای اشکالات امنیتی مختلفی است که استفاده از آن به شدت ممنوع است. جدیدتر
کنترل "Xenroll" به این گزینه نیاز ندارد.
-preserveDN
معمولاً ترتیب DN یک گواهی با ترتیب فیلدهای موجود در گواهی یکسان است
بخش سیاست مربوطه هنگامی که این گزینه تنظیم شده است، ترتیب همان درخواست است.
این تا حد زیادی برای سازگاری با کنترل ثبت نام قدیمی IE است که می تواند
فقط در صورتی گواهی ها را می پذیرد که DN های آنها با ترتیب درخواست مطابقت داشته باشد. این نیست
برای Xenroll مورد نیاز است.
-noemailDN
DN یک گواهی می تواند حاوی فیلد EMAIL باشد اگر در DN درخواست وجود داشته باشد.
با این حال این سیاست خوبی است که فقط ایمیل را در پسوند altName تنظیم کنید
گواهی وقتی این گزینه تنظیم شود، فیلد EMAIL از گواهی حذف می شود.
موضوع و تنظیم فقط در پسوندهای، در نهایت حاضر. در email_in_dn کلمه کلیدی
می تواند در فایل پیکربندی برای فعال کردن این رفتار استفاده شود.
- دسته ای
این حالت دسته ای را تنظیم می کند. در این حالت هیچ سوالی پرسیده نمی شود و تمام گواهی ها
به صورت خودکار گواهی خواهد شد.
-پسوندها بخش
بخشی از فایل پیکربندی حاوی پسوندهای گواهی که باید اضافه شود
هنگامی که یک گواهی صادر می شود (پیش فرض به x509_extensions مگر اینکه -extfile انتخاب
استفاده می شود). اگر هیچ بخش پسوندی وجود نداشته باشد، یک گواهی V1 ایجاد می شود. اگر
بخش پسوند وجود دارد (حتی اگر خالی باشد)، سپس یک گواهی V3 ایجاد می شود.
به:w مراجعه کنید x509v3_config(5) صفحه دستی برای جزئیات قالب بخش پسوند.
-extfile پرونده
یک فایل پیکربندی اضافی برای خواندن پسوند گواهی از (با استفاده از
بخش پیش فرض مگر اینکه -پسوندها گزینه نیز استفاده می شود).
-تعارف id
تعیین یک موتور (بر اساس منحصر به فرد آن id رشته) باعث خواهد شد ca تلاش برای به دست آوردن الف
ارجاع عملکردی به موتور مشخص شده، بنابراین در صورت نیاز آن را مقداردهی اولیه می کند. در
سپس موتور به عنوان پیش فرض برای همه الگوریتم های موجود تنظیم می شود.
-موضوع ارگ
جایگزین نام موضوع داده شده در درخواست می شود. arg باید به صورت فرمت شود
/type0=value0/type1=value1/type2=...، کاراکترها ممکن است با \ (میل معکوس)، نه
فضاها رد می شوند
-utf8
این گزینه باعث می شود که مقادیر فیلد به صورت رشته های UTF8 تفسیر شوند، به طور پیش فرض آنها هستند
به عنوان ASCII تفسیر می شود. این بدان معنی است که مقادیر فیلد، چه از a خواسته شود
ترمینال یا به دست آمده از یک فایل پیکربندی، باید رشته های UTF8 معتبر باشد.
-چند ارزشی-rdn
این گزینه باعث می شود که آرگومان -subj با پشتیبانی کامل تفسیر شود
RDN های چند ارزشی مثال:
/DC=org/DC=OpenSSL/DC=users/UID=123456+CN=John خرگوش ماده
اگر -multi-rdn استفاده نشود، مقدار UID استفاده می شود 123456+CN=جان خرگوش ماده.
C.R.L. OPTIONS
-gencrl
این گزینه یک CRL بر اساس اطلاعات موجود در فایل فهرست ایجاد می کند.
-crldays تعداد
تعداد روزهای قبل از CRL بعدی. این روزها از این به بعد است
قسمت CRL nextUpdate.
-crlhours تعداد
تعداد ساعات قبل از CRL بعدی.
-لغو نام فایل
نام فایل حاوی گواهی برای باطل کردن.
-وضعیت سریال
وضعیت ابطال گواهی را با شماره سریال مشخص شده نمایش می دهد و
خارج می شود.
آپدیت شدهb
فهرست پایگاه داده را برای پاکسازی گواهی های منقضی شده به روز می کند.
-crl_reason دلیل
دلیل ابطال، کجا دلیل یکی از: نامشخص, کلید سازش, CA سازش,
وابستگی تغییر کرد, جایگزین شد, توقف عملیات, گواهی نگهداری or
removeFromCRL. تطبیق از دلیل به حروف بزرگ و کوچک حساس است تنظیم هرگونه ابطال
دلیل CRL v2 را می سازد.
در عمل removeFromCRL به خصوص مفید نیست زیرا فقط در دلتا استفاده می شود
CRL هایی که در حال حاضر پیاده سازی نشده اند.
-crl_hold دستور العمل
این کد دلیل ابطال CRL را روی آن تنظیم می کند گواهی نگهداری و دستورالعمل نگه داشتن
به دستور العمل که باید یک OID باشد. اگرچه هر OID فقط قابل استفاده است
نگهداشتن دستورالعمل هیچکدام (که استفاده از آن توسط RFC2459 منع شده است)
holdInstructionCallIssuer or holdInstructionReject به طور معمول استفاده خواهد شد.
-crl_compromise زمان
این دلیل ابطال را تعیین می کند کلید سازش و زمان سازش به زمان. زمان
باید در قالب GeneralizedTime باشد YYYYMMDDHHMMSSZ.
-crl_CA_compromise زمان
این همان است crl_compromise جز دلیل ابطال تعیین شده است
CA سازش.
- crlexts بخش
بخشی از فایل پیکربندی که شامل پسوندهای CRL است. اگر CRL وجود ندارد
اگر بخش پسوند CRL وجود داشته باشد، یک V1 CRL ایجاد می شود
در حال حاضر (حتی اگر خالی باشد) سپس یک V2 CRL ایجاد می شود. پسوندهای CRL مشخص شده است
پسوند CRL هستند و نه پسوندهای ورودی CRL لازم به ذکر است که برخی از
نرم افزار (به عنوان مثال Netscape) نمی تواند V2 CRL ها را مدیریت کند. دیدن x509v3_config(5) صفحه دستی
برای جزئیات فرمت بخش پسوند.
پیکربندی فایل OPTIONS
بخشی از فایل پیکربندی حاوی گزینه هایی برای ca به صورت زیر یافت می شود: اگر
la -سیب زمینی شیرین از گزینه خط فرمان استفاده می شود، سپس قسمت مورد استفاده را نامگذاری می کند. در غیر این صورت
بخش مورد استفاده باید در نام گذاری شود default_ca گزینه ca بخش از
فایل پیکربندی (یا در بخش پیش فرض فایل پیکربندی). بعلاوه
default_ca، گزینه های زیر مستقیماً از قسمت خوانده می شوند ca بخش:
حفظ RANDFILE
msie_hack به استثنای RANDFILE، احتمالاً این یک اشکال است و ممکن است در آینده تغییر کند
منتشر شده.
بسیاری از گزینه های فایل پیکربندی با گزینه های خط فرمان یکسان هستند. جایی که
گزینه در فایل پیکربندی وجود دارد و خط فرمان مقدار خط فرمان است
استفاده شده. در جایی که گزینه ای اجباری توصیف می شود، باید در گزینه موجود باشد
فایل پیکربندی یا معادل خط فرمان (در صورت وجود) استفاده شده است.
oid_file
این یک فایل حاوی موارد اضافی را مشخص می کند هدف - شی شناسه ها. هر خط از فایل
باید از شکل عددی شناسه شی و به دنبال آن فضای سفید تشکیل شود
سپس نام کوتاه به دنبال فاصله سفید و در نهایت نام بلند.
oid_section
این یک بخش در فایل پیکربندی حاوی شی اضافی را مشخص می کند
شناسه ها هر خط باید از نام کوتاه شناسه شی تشکیل شده باشد
و پس از آن = و شکل عددی اسم کوتاه و بلند در این حالت یکسان است
گزینه استفاده می شود.
new_certs_dir
همان -خارج گزینه خط فرمان دایرکتوری که در آن جدید است را مشخص می کند
گواهی قرار خواهد گرفت. اجباری.
گواهی نامه
همان -گواهی. فایل حاوی گواهی CA را می دهد. اجباری.
کلید_خصوصی
همان -keyfile گزینه. فایل حاوی کلید خصوصی CA. اجباری.
RANDFILE
فایلی که برای خواندن و نوشتن اطلاعات اولیه اعداد تصادفی یا یک سوکت EGD استفاده می شود (نگاه کنید به
RAND_egd(3).
پیش فرض_روزها
همان -روزها گزینه. تعداد روزهای تأیید گواهی برای.
default_startdate
همان -تاریخ شروع گزینه. تاریخ شروع صدور گواهینامه برای. اگر نه
تنظیم زمان فعلی استفاده می شود.
default_enddate
همان -تاریخ پایان گزینه. یا این گزینه یا پیش فرض_روزها (یا فرمان
معادل خط) باید وجود داشته باشد.
default_crl_hours default_crl_days
همان -crlhours و -crldays گزینه ها. اینها فقط در صورتی استفاده خواهند شد که هیچکدام از آنها وجود نداشته باشد
گزینه خط فرمان موجود است. حداقل یکی از اینها باید برای ایجاد a وجود داشته باشد
CRL
default_md
همان -مرد گزینه. خلاصه پیام برای استفاده. اجباری.
پایگاه داده
فایل پایگاه داده متنی برای استفاده اجباری. این فایل باید در ابتدا وجود داشته باشد
خالی خواهد بود
منحصر به فرد_موضوع
اگر مقدار باشد بله داده شده است، ورودی های گواهی معتبر در پایگاه داده باید داشته باشند
موضوعات منحصر به فرد اگر ارزش نه داده شده است، ممکن است چندین ورودی گواهی معتبر داشته باشد
دقیقا همان موضوع مقدار پیش فرض است بله، برای سازگاری با قدیمی تر (پیش
0.9.8) نسخه های OpenSSL. با این حال، برای آسانتر کردن انتقال گواهی CA، این کار انجام میشود
توصیه می شود از مقدار استفاده کنید نهبه خصوص اگر با -نشانه خود فرمان
گزینه خط
سریال
یک فایل متنی حاوی شماره سریال بعدی برای استفاده در هگز. اجباری. این فایل
باید وجود داشته باشد و دارای شماره سریال معتبر باشد.
شماره crl
یک فایل متنی حاوی شماره CRL بعدی برای استفاده به صورت هگز. شماره crl خواهد بود
فقط در صورت وجود این فایل در CRLها درج می شود. اگر این فایل موجود است، باید
حاوی یک شماره CRL معتبر باشد.
x509_extensions
همان -پسوندها.
crl_extensions
همان - crlexts.
حفظ کردن
همان -preserveDN
email_in_dn
همان -noemailDN. اگر می خواهید فیلد EMAIL از DN حذف شود
گواهی به سادگی این را روی "نه" تنظیم کنید. در صورت عدم وجود، پیشفرض اجازه میدهد
EMAIL در DN گواهی ثبت شد.
msie_hack
همان -msie_hack
سیاست
همان -خط مشی. اجباری. را ببینید سیاست FORMAT برای اطلاعات بیشتر بخش
name_opt, cert_opt
این گزینه ها به فرمت مورد استفاده برای نمایش جزئیات گواهی هنگام درخواست اجازه می دهد
کاربر برای تایید امضا تمام گزینه های پشتیبانی شده توسط x509 آب و برق -nameopt و
-سرتوپت سوئیچ ها را می توان در اینجا استفاده کرد، به جز no_signname و no_sigdump هستند
به طور دائم تنظیم می شود و نمی توان آن را غیرفعال کرد (این به دلیل امضای گواهی است
نمی توان نمایش داد زیرا گواهی در این مرحله امضا نشده است).
برای راحتی ارزش ها ca_default برای تولید منطقی توسط هر دو پذیرفته شده است
خروجی.
اگر هیچ یک از گزینه ها موجود نباشد، از فرمت استفاده شده در نسخه های قبلی OpenSSL استفاده می شود.
استفاده از قالب قدیمی است به شدت دلسرد می شود زیرا فقط فیلدها را نمایش می دهد
ذکر شده در سیاست بخش، انواع رشته های چند کاراکتری را اشتباه مدیریت می کند و این کار را نمی کند
نمایش پسوندها
copy_extensions
نحوه رسیدگی به برنامه های افزودنی در درخواست های گواهی را تعیین می کند. اگر تنظیم شود هیچ
یا این گزینه وجود ندارد، پسوندها نادیده گرفته می شوند و در آن کپی نمی شوند
گواهی اگر تنظیم شود کپی کنید سپس هر برنامه افزودنی موجود در درخواست که وجود ندارد
در حال حاضر در گواهی کپی شده است. اگر تنظیم شود نسخه کپی سپس تمام پسوندها
در درخواست به گواهی کپی می شود: اگر پسوند قبلاً در آن موجود باشد
گواهی آن ابتدا حذف می شود. را ببینید هشدارها بخش قبل از استفاده از این
گزینه.
استفاده اصلی از این گزینه اجازه دادن به درخواست گواهی برای ارائه مقادیر برای آن است
پسوندهای خاصی مانند subjectAltName.
سیاست FORMAT
بخش سیاست شامل مجموعه ای از متغیرهای مربوط به فیلدهای DN گواهی است.
اگر مقدار "مطابق" باشد، مقدار فیلد باید با همان فیلد در CA مطابقت داشته باشد
گواهی اگر مقدار "تامین" باشد، باید وجود داشته باشد. اگر مقدار باشد
"اختیاری" پس ممکن است وجود داشته باشد. هر فیلدی که در بخش خط مشی ذکر نشده است
بی سر و صدا حذف شود، مگر اینکه -preserveDN گزینه تنظیم شده است اما این را می توان بیشتر در نظر گرفت
عجیب و غریب از رفتار مورد نظر
SPKAC FORMAT
ورودی به -spkac گزینه خط فرمان یک کلید عمومی و چالش با امضای Netscape است.
این معمولا از KEYGEN در یک فرم HTML برای ایجاد یک کلید خصوصی جدید تگ کنید.
با این حال، ایجاد SPKAC با استفاده از این امکان پذیر است spkac ابزار
فایل باید حاوی متغیر SPKAC باشد که روی مقدار SPKAC تنظیم شده و همچنین مقدار
اجزای DN مورد نیاز به عنوان جفت ارزش نام. اگر نیاز دارید همان جزء را وارد کنید
دو بار سپس می توان قبل از آن یک عدد و یک "." قرار داد.
هنگام پردازش فرمت SPKAC، خروجی DER است اگر بیرون پرچم استفاده می شود، اما فرمت PEM
در صورت ارسال به stdout یا به -خارج پرچم استفاده می شود.
مثال ها
توجه: این مثال ها فرض می کنند که ca ساختار دایرکتوری قبلاً تنظیم شده است و
فایل های مربوطه از قبل وجود دارد. این معمولا شامل ایجاد یک گواهی CA و خصوصی است
کلید با درخواست، یک فایل شماره سریال و یک فایل فهرست خالی و قرار دادن آنها در
دایرکتوری های مربوطه
برای استفاده از نمونه فایل پیکربندی زیر دایرکتوری های demoCA، demoCA/private و
demoCA/newcerts ایجاد خواهد شد. گواهی CA در demoCA/cacert.pem کپی می شود
و کلید خصوصی آن به demoCA/private/cakey.pem. یک فایل demoCA/serial ایجاد خواهد شد
برای مثال حاوی "01" و فایل فهرست خالی demoCA/index.txt است.
یک درخواست گواهی را امضا کنید:
openssl ca -in req.pem -out newcert.pem
یک درخواست گواهی را با استفاده از پسوندهای CA امضا کنید:
openssl ca -in req.pem -extensions v3_ca -out newcert.pem
یک CRL ایجاد کنید
openssl ca -gencrl -out crl.pem
چندین درخواست را امضا کنید:
openssl ca -infiles req1.pem req2.pem req3.pem
گواهی Netscape SPKAC:
openssl ca -spkac spkac.txt
نمونه فایل SPKAC (خط SPKAC برای وضوح کوتاه شده است):
SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN=استیو تست
آدرس ایمیل=[ایمیل محافظت شده]
0.OU=گروه OpenSSL
1.OU=گروهی دیگر
نمونه فایل پیکربندی با بخش های مربوطه برای ca:
[حدود]
default_ca = CA_default # بخش پیشفرض ca
[CA_default]
dir = ./demoCA # بالا dir
پایگاه داده = $dir/index.txt # فایل فهرست.
new_certs_dir = $dir/newcerts # گواهینامه جدید dir
گواهی = $dir/cacert.pem # گواهی CA
serial = $dir/serial # سریال بدون فایل
private_key = $dir/private/cakey.pem# کلید خصوصی CA
RANDFILE = $dir/private/.rand # فایل اعداد تصادفی
روزهای پیشفرض = 365 # مدت زمان صدور گواهی
default_crl_days= 30 # چقدر قبل از CRL بعدی
default_md = md5 # md برای استفاده
Policy = Policy_any # خط مشی پیش فرض
email_in_dn = خیر # ایمیل را به DN گواهی اضافه نکنید
name_opt = ca_default # گزینه نمایش نام موضوع
cert_opt = ca_default # گزینه نمایش گواهی
copy_extensions = هیچ # پسوندها را از درخواست کپی نکنید
[ Policy_any ]
countryName = ارائه شده است
stateOrProvinceName = اختیاری
نام سازمان = اختیاری
organizalUnitName = اختیاری
CommonName = عرضه شده
آدرس ایمیل = اختیاری
با استفاده از خدمات onworks.net از casl آنلاین استفاده کنید
