این فرمان certutil است که می تواند در ارائه دهنده میزبانی رایگان OnWorks با استفاده از یکی از چندین ایستگاه کاری آنلاین رایگان ما مانند Ubuntu Online، Fedora Online، شبیه ساز آنلاین ویندوز یا شبیه ساز آنلاین MAC OS اجرا شود.
برنامه:
نام
certutil - کلیدها و گواهی را در پایگاه داده های NSS و سایر نشانه های NSS مدیریت کنید
خلاصه
گواهی [گزینه های] [[استدلال]]
وضعیت
این مستندات هنوز در حال انجام است. لطفاً در بررسی اولیه شرکت کنید
موزیلا NSS اشکال 836477[1]
شرح
ابزار پایگاه داده گواهی، گواهی، یک ابزار خط فرمان است که می تواند ایجاد کند و
گواهی و پایگاه داده های کلیدی را تغییر دهید. به طور خاص می تواند فهرست، تولید، اصلاح یا
حذف گواهی ها، ایجاد یا تغییر رمز عبور، ایجاد کلید عمومی و خصوصی جدید
جفت، محتویات پایگاه داده کلید را نمایش دهید، یا جفت های کلید را در کلید حذف کنید
پایگاه داده.
صدور گواهی، بخشی از فرآیند مدیریت کلید و گواهی، مستلزم آن است
کلیدها و گواهی ها در پایگاه داده کلید ایجاد شود. این سند در مورد گواهی بحث می کند
و مدیریت پایگاه داده کلید. برای اطلاعات در مورد مدیریت پایگاه داده ماژول امنیتی،
ببینید مدوتیل صفحه مدیریت
COMMAND OPTIONS و ادله
محل دویدن و پیاده روی گواهی همیشه به یک و تنها یک گزینه دستور برای تعیین نوع نیاز دارد
عملیات گواهی هر گزینه فرمان ممکن است صفر یا بیشتر آرگومان داشته باشد. فرمان
انتخاب -H تمام گزینه های فرمان و آرگومان های مربوط به آنها را فهرست می کند.
فرمان گزینه
-A
یک گواهی موجود را به پایگاه داده گواهی اضافه کنید. پایگاه داده گواهی باید
از قبل موجود است؛ اگر یکی وجود نداشته باشد، این گزینه دستوری یک به یک مقداردهی اولیه می شود
به طور پیش فرض
-B
یک سری دستورات را از فایل دسته ای مشخص شده اجرا کنید. این مستلزم -i بحث و جدل.
-C
یک فایل گواهی باینری جدید از فایل درخواست گواهی باینری ایجاد کنید. استفاده کنید
-i آرگومان برای تعیین فایل درخواست گواهی. اگر از این استدلال استفاده نشود،
گواهی نام فایل را درخواست می کند.
-D
یک گواهی را از پایگاه داده گواهی حذف کنید.
-- تغییر نام
نام مستعار پایگاه داده گواهی را تغییر دهید.
-E
یک گواهی ایمیل به پایگاه داده گواهی اضافه کنید.
-F
یک کلید خصوصی را از پایگاه داده کلید حذف کنید. کلید حذف را با -n مشخص کنید
بحث و جدل. دیتابیس را مشخص کنید که با استفاده از آن کلید حذف شود -d بحث و جدل. استفاده کنید
la -k آرگومان برای مشخص کردن اینکه آیا باید یک کلید DSA، RSA یا ECC را حذف کرد یا خیر. اگر شما
استفاده نکنید -k آرگومان، گزینه به دنبال یک کلید RSA منطبق با مشخص شده می گردد
نام مستعار.
وقتی کلیدها را حذف میکنید، حتماً گواهیهای مرتبط با آنها را نیز حذف کنید
کلیدهای پایگاه داده گواهی، با استفاده از -D. برخی از کارت های هوشمند به شما اجازه نمی دهند
کلید عمومی را که ایجاد کرده اید حذف کنید. در چنین حالتی فقط کلید خصوصی است
از جفت کلید حذف شد. می توانید کلید عمومی را با دستور certutil -K نمایش دهید
-h نام رمز.
-G
یک جفت کلید عمومی و خصوصی جدید در یک پایگاه داده کلید ایجاد کنید. پایگاه داده کلید
باید از قبل وجود داشته باشد؛ اگر یکی وجود نداشته باشد، این گزینه دستور یکی را مقداردهی اولیه می کند
به صورت پیش فرض. برخی از کارت های هوشمند می توانند تنها یک جفت کلید را ذخیره کنند. اگر یک جفت کلید جدید ایجاد کنید
برای چنین کارتی، جفت قبلی بازنویسی می شود.
-H
لیستی از گزینه ها و آرگومان های فرمان را نمایش دهید.
-K
شناسه کلید کلیدها را در پایگاه داده کلید فهرست کنید. شناسه کلید مدول کلید RSA یا است
publicValue کلید DSA. شناسه ها به صورت هگزادسیمال نمایش داده می شوند ("0x" نشان داده نمی شود).
-L
تمام گواهینامه ها را فهرست کنید یا اطلاعات مربوط به گواهی نامگذاری شده را در a نمایش دهید
پایگاه داده گواهی برای تعیین گواهی از آرگومان -h tokenname استفاده کنید
پایگاه داده روی یک رمز سخت افزاری یا نرم افزاری خاص.
-M
ویژگی های اعتماد گواهی را با استفاده از مقادیر آرگومان -t تغییر دهید.
-N
گواهینامه و پایگاه داده کلیدی جدید ایجاد کنید.
-O
زنجیره گواهی را چاپ کنید.
-R
یک فایل درخواست گواهی ایجاد کنید که می تواند به یک مرجع صدور گواهی ارسال شود
(CA) برای پردازش به یک گواهی تمام شده. خروجی به طور پیش فرض روی استاندارد است
مگر اینکه از آرگومان فایل خروجی -o استفاده کنید. از آرگومان -a برای تعیین خروجی ASCII استفاده کنید.
-S
یک گواهی جداگانه ایجاد کنید و آن را به پایگاه داده گواهی اضافه کنید.
-T
پایگاه داده یا نشانه کلید را بازنشانی کنید.
-U
همه ماژول های موجود را فهرست کنید یا یک ماژول با نام را چاپ کنید.
-V
اعتبار یک گواهی و ویژگی های آن را بررسی کنید.
-W
رمز عبور را به پایگاه داده کلیدی تغییر دهید.
--ادغام
ادغام دو پایگاه داده در یک پایگاه داده
- ارتقا - ادغام
یک پایگاه داده قدیمی را ارتقا دهید و آن را در یک پایگاه داده جدید ادغام کنید. این برای مهاجرت استفاده می شود
پایگاه داده های NSS قدیمی (cert8.db و key3.db) در پایگاه های داده SQLite جدیدتر (cert9.db)
و key4.db).
استدلال
آرگومان ها یک گزینه فرمان را تغییر می دهند و معمولاً حروف کوچک، اعداد یا نمادها هستند.
-a
از فرمت ASCII استفاده کنید یا اجازه استفاده از فرمت ASCII را برای ورودی یا خروجی بدهید. این قالب بندی
از RFC 1113 پیروی می کند. برای درخواست های گواهی، خروجی ASCII به طور پیش فرض روی خروجی استاندارد است
مگر اینکه هدایت شود.
-b اعتبار-زمان
زمانی را مشخص کنید که در آن گواهی باید معتبر باشد. هنگام بررسی استفاده کنید
اعتبار گواهی با -V گزینه. فرمت از زمان اعتبار استدلال است
YYMMDDHHMMSS[+HHMM|-HHMM|Z]، که اجازه می دهد تا افست ها نسبت به اعتبار تنظیم شوند
زمان پایان. تعیین ثانیه (SS) اختیاری است. هنگام تعیین یک زمان صریح، از a استفاده کنید
Z در پایان ترم، YYMMDDHHMMSSZ، برای بستن آن هنگام تعیین زمان افست،
استفاده کنید YYMMDDHHMMSS+HHMM or YYMMDDHHMMSS-HHMM برای جمع یا تفریق زمان،
بود.
اگر از این گزینه استفاده نمی شود، بررسی اعتبار به طور پیش فرض روی زمان فعلی سیستم است.
-c صادرکننده
گواهی CA را که یک گواهی جدید از آن مشتق می شود، شناسایی کنید
اعتبار. از نام مستعار یا مستعار دقیق گواهی CA استفاده کنید یا از CA استفاده کنید
آدرس ایمیل. اگر رشته صادرکننده دارای فاصله است، آن را با علامت نقل قول قرار دهید.
دایرکتوری [پیشوند] -d
دایرکتوری پایگاه داده حاوی گواهی و فایل های پایگاه داده کلید را مشخص کنید.
گواهی از دو نوع پایگاه داده پشتیبانی می کند: پایگاه داده های امنیتی قدیمی (cert8.db،
key3.db و secmod.db) و پایگاههای داده جدید SQLite (cert9.db، key4.db، و pkcs11.txt).
NSS پیشوندهای زیر را تشخیص می دهد:
· sql: پایگاه داده جدیدتر را درخواست می کند
· dbm: پایگاه داده قدیمی را درخواست می کند
اگر هیچ پیشوندی مشخص نشده باشد، نوع پیش فرض از NSS_DEFAULT_DB_TYPE بازیابی می شود. اگر
NSS_DEFAULT_DB_TYPE تنظیم نشده است dbm: پیش فرض است.
--dump-ext-val OID
برای گواهی تک، کدگذاری DER باینری OID داخلی را چاپ کنید.
-e
امضای گواهی را در طول فرآیند اعتبار سنجی گواهی بررسی کنید.
- آدرس ایمیل - ایمیل
آدرس ایمیل یک گواهی را برای فهرست مشخص کنید. با گزینه فرمان -L استفاده می شود.
--extGeneric OID:critical-flag:filename[,OID:critical-flag:filename]...
یک یا چند پسوند را که certutil هنوز نمی تواند رمزگذاری کند، با بارگیری آنها اضافه کنید
کدگذاری از فایل های خارجی
· OID (مثال): 1.2.3.4
· Critical-flag: انتقادی یا غیر انتقادی
· نام فایل: مسیر کامل یک فایل حاوی پسوند رمزگذاری شده
-f پسورد-فایل
فایلی را مشخص کنید که به طور خودکار رمز عبور را برای گنجاندن در گواهی ارائه کند
یا برای دسترسی به پایگاه داده گواهی. این یک فایل متنی ساده است که حاوی یک فایل است
کلمه عبور. حتما از دسترسی غیرمجاز به این فایل جلوگیری کنید.
-g اندازه کلید
اندازه کلید را برای استفاده در هنگام ایجاد جفت کلید عمومی و خصوصی جدید تنظیم کنید. حداقل است
512 بیت و حداکثر 16384 بیت است. پیش فرض 2048 بیت است. هر اندازه بین
حداقل و حداکثر مجاز است.
-h نام رمز
نام رمزی را برای استفاده یا عمل کردن روی آن مشخص کنید. اگر مشخص نشده باشد توکن پیش فرض است
اسلات دیتابیس داخلی
-i input_file
یک فایل ورودی را به دستور ارسال کنید. بسته به گزینه فرمان، یک فایل ورودی می تواند
یک گواهی خاص، یک فایل درخواست گواهی، یا یک فایل دسته ای از دستورات باشد.
-k key-type-or-id
نوع یا شناسه خاص یک کلید را مشخص کنید.
گزینه های معتبر نوع کلید rsa، dsa، ec یا همه هستند. مقدار پیش فرض rsa است.
تعیین نوع کلید می تواند از اشتباهات ناشی از نام مستعار تکراری جلوگیری کند. دادن یک
نوع کلید یک جفت کلید جدید ایجاد می کند. دادن شناسه یک کلید موجود، آن کلید را مجدداً استفاده می کند
جفت (که برای تمدید گواهینامه ها لازم است).
-l
نمایش اطلاعات دقیق هنگام تایید یک گواهی با گزینه -V.
-m شماره سریال
یک شماره سریال منحصر به فرد به گواهی در حال ایجاد اختصاص دهید. این عملیات باید باشد
توسط یک CA انجام می شود. اگر شماره سریال ارائه نشده باشد، شماره سریال پیش فرض ساخته می شود
از زمان فعلی شماره سریال به اعداد صحیح محدود می شود
-n نام مستعار
نام مستعار یک گواهی یا کلید را برای فهرست، ایجاد، افزودن به پایگاه داده مشخص کنید،
اصلاح یا اعتبار سنجی رشته نام مستعار را در صورت وجود با علامت نقل قول قرار دهید
فضاها
-o خروجی-فایل
نام فایل خروجی را برای گواهی های جدید یا درخواست های گواهی باینری مشخص کنید.
رشته فایل خروجی را با علامت نقل قول قرار دهید اگر دارای فاصله باشد. اگر این
آرگومان استفاده نمی شود مقصد خروجی به طور پیش فرض به خروجی استاندارد است.
-P dbPrefix
پیشوند مورد استفاده در گواهی و فایل پایگاه داده کلید را مشخص کنید. این استدلال است
برای پشتیبانی از سرورهای قدیمی ارائه شده است. اکثر برنامه ها از پیشوند پایگاه داده استفاده نمی کنند.
تلفن -p
یک شماره تلفن تماس را برای درج در گواهی یا گواهی جدید مشخص کنید
درخواست ها. اگر این رشته دارای فاصله است، آن را با علامت نقل قول قرار دهید.
-q pqgfile یا curve-name
هنگام ایجاد جفت کلید DSA، یک مقدار PQG جایگزین را از فایل مشخص شده بخوانید. اگر
این استدلال استفاده نمی شود، گواهی مقدار PQG خود را تولید می کند. فایل های PQG ایجاد می شوند
با یک ابزار DSA جداگانه.
نام منحنی بیضوی یکی از موارد موجود در SUITE B است: nistp256، nistp384، nistp521
اگر NSS با منحنی های پشتیبانی خارج از SUITE B کامپایل شده باشد: sect163k1، nistk163،
sect163r1, sect163r2, nistb163, sect193r1, sect193r2, sect233k1, nistk233, sect233r1,
nistb233، sect239k1، sect283k1، nistk283، sect283r1، nistb283، sect409k1، nistk409،
sect409r1، nistb409، sect571k1، nistk571، sect571r1، nistb571، secp160k1، secp160r1،
secp160r2، secp192k1، secp192r1، nistp192، secp224k1، secp224r1، nistp224، secp256k1،
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2
-r
هنگام فهرست کردن اطلاعات مربوط به آن، رمزگذاری DER باینری گواهی را نمایش دهید
گواهی با گزینه -L.
-s موضوع
برای گواهیهای جدید یا درخواستهای گواهی، مالک گواهی خاص را شناسایی کنید.
اگر این رشته دارای فاصله است، آن را با علامت نقل قول قرار دهید. عنوان
فرمت شناسایی از RFC #1485 پیروی می کند.
-t trustargs
مشخصه های اعتماد را برای تغییر در گواهی موجود یا اعمال به a مشخص کنید
گواهی هنگام ایجاد آن یا افزودن آن به پایگاه داده. سه مورد موجود است
دسته های اعتماد برای هر گواهی، به ترتیب بیان شده است SSL، پست الکترونیک، هدف
امضای برای هر تنظیم اعتماد در موقعیت هر دسته، از هیچ، یا همه استفاده نکنید
کدهای ویژگی:
· p - همتای معتبر
· P - همتای مورد اعتماد (به معنی p)
· c - CA معتبر
· T - CA مورد اعتماد (به معنی ج)
· C - CA قابل اعتماد برای احراز هویت مشتری (فقط سرور ssl)
· u - کاربر
کدهای ویژگی برای دسته ها با کاما و کل مجموعه از هم جدا می شوند
ویژگی های محصور شده توسط علامت نقل قول مثلا:
-t "TCu، Cu، Tu"
از گزینه -L برای مشاهده لیستی از گواهینامه های فعلی و ویژگی های اعتماد در a استفاده کنید
پایگاه داده گواهی
-u certusage
یک زمینه استفاده را مشخص کنید تا هنگام اعتبارسنجی گواهی با گزینه -V اعمال شود.
زمینه ها به شرح زیر است:
· C (به عنوان مشتری SSL)
· V (به عنوان یک سرور SSL)
· L (به عنوان یک SSL CA)
· A (به عنوان هر CA)
· Y (تأیید CA)
· S (به عنوان امضاکننده ایمیل)
· R (به عنوان یک گیرنده ایمیل)
· O (به عنوان یک پاسخ دهنده وضعیت OCSP)
· J (به عنوان امضاکننده شی)
-v معتبر-ماه
تعداد ماه هایی را تنظیم کنید که یک گواهی جدید معتبر خواهد بود. دوره اعتبار شروع می شود
در زمان فعلی سیستم، مگر اینکه یک افست با آن اضافه یا کم شود -w گزینه.
در صورت عدم استفاده از این آرگومان، مدت اعتبار پیش فرض سه ماه است.
-w افست-ماه
یک افست از زمان کنونی سیستم، بر حسب ماه، برای شروع a تنظیم کنید
مدت اعتبار گواهی هنگام ایجاد گواهی یا افزودن آن به a استفاده کنید
پایگاه داده افست را به اعداد صحیح بیان کنید، با استفاده از علامت منفی (-) برای نشان دادن a
جبران منفی اگر از این آرگومان استفاده نشود، دوره اعتبار از ساعت شروع می شود
زمان فعلی سیستم طول دوره اعتبار با آرگومان -v تنظیم می شود.
-X
پایگاه داده کلید و گواهی را مجبور کنید در حالت خواندن و نوشتن باز شود. این با استفاده می شود
la -U و -L گزینه های فرمان
-x
استفاده کنید گواهی برای تولید امضای گواهی در حال ایجاد یا اضافه شدن به a
پایگاه داده، به جای گرفتن امضا از یک CA جداگانه.
-y exp
یک مقدار توان جایگزین را برای استفاده در تولید یک کلید عمومی RSA جدید تنظیم کنید
پایگاه داده، به جای مقدار پیش فرض 65537. مقادیر جایگزین موجود 3 هستند
و 17.
فایل نویز -z
یک مقدار seed را از فایل مشخص شده بخوانید تا یک کلید خصوصی و عمومی جدید ایجاد کنید
جفت این آرگومان استفاده از مقادیر بذر یا تولید شده توسط سخت افزار را ممکن می سازد
به صورت دستی یک مقدار از صفحه کلید ایجاد کنید. حداقل حجم فایل 20 بایت است.
-Z hashAlg
الگوریتم هش را برای استفاده با گزینه های فرمان -C، -S یا -R مشخص کنید. ممکن است
کلید واژه ها:
· MD2
· MD4
· MD5
· SHA1
· SHA224
· SHA256
· SHA384
· SHA512
-0 SSO_password
رمز عبور افسر امنیت سایت را روی یک توکن تنظیم کنید.
-1 | --keyUsage کلمه کلیدی، کلمه کلیدی
یک پسوند نوع گواهی X.509 V3 را در گواهی تنظیم کنید. چند وجود دارد
کلمات کلیدی موجود:
· امضای دیجیتالی
· عدم انکار
· رمزگذاری کلید
· رمزگذاری داده ها
· توافقنامه کلیدی
· امضای گواهی
· امضای crl
· بحرانی
-2
یک پسوند محدودیت اساسی به گواهی که در حال ایجاد یا اضافه شدن به a است اضافه کنید
پایگاه داده این برنامه افزودنی از فرآیند تأیید زنجیره گواهی پشتیبانی می کند.
گواهی برای انتخاب پسوند محدودیت گواهی درخواست می کند.
پسوندهای گواهی X.509 در RFC 5280 توضیح داده شده است.
-3
یک پسوند شناسه کلید اعتباری را به گواهی در حال ایجاد یا اضافه شدن به یک اضافه کنید
پایگاه داده این برنامه افزودنی از شناسایی یک گواهی خاص پشتیبانی می کند
در میان چندین گواهی مرتبط با یک نام موضوع، به عنوان صادرکننده صحیح
یک گواهی ابزار پایگاه داده گواهی از شما می خواهد که مرجع را انتخاب کنید
پسوند شناسه کلید
پسوندهای گواهی X.509 در RFC 5280 توضیح داده شده است.
-4
یک پسوند نقطه توزیع CRL را به گواهی در حال ایجاد یا اضافه شدن اضافه کنید
به یک پایگاه داده این پسوند نشانی اینترنتی گواهی مرتبط را شناسایی می کند
لیست ابطال گواهی (CRL). گواهی URL را درخواست می کند.
پسوندهای گواهی X.509 در RFC 5280 توضیح داده شده است.
-5 | --nsCertType کلمه کلیدی، کلمه کلیدی
یک پسوند نوع گواهی X.509 V3 را به گواهی در حال ایجاد اضافه کنید
به پایگاه داده اضافه شد. چندین کلمه کلیدی در دسترس وجود دارد:
· sslClient
· sslServer
· لبخند زدن
· امضای شی
· sslCA
· smimeCA
· objectSigningCA
· بحرانی
پسوندهای گواهی X.509 در RFC 5280 توضیح داده شده است.
-6 | --extKeyUsage کلمه کلیدی، کلمه کلیدی
یک پسوند استفاده از کلید توسعه یافته را به گواهی که در حال ایجاد یا اضافه شدن است اضافه کنید
پایگاه داده. چندین کلمه کلیدی در دسترس است:
· ServerAuth
· clientAuth
· امضای کد
· حفاظت از ایمیل
· مهر زمان
· ocspResponder
· استپ آپ
· msTrustListSign
· بحرانی
پسوندهای گواهی X.509 در RFC 5280 توضیح داده شده است.
-7 ایمیل
فهرستی از آدرس های ایمیل جدا شده با کاما را به نام جایگزین موضوع اضافه کنید
تمدید یک گواهی یا درخواست گواهی که در حال ایجاد یا اضافه شدن است
پایگاه داده. پسوندهای نام جایگزین موضوع در بخش 4.2.1.7 توضیح داده شده است
RFC 3280.
-8 dns-name
فهرستی از نامهای DNS جدا شده با کاما را به پسوند نام جایگزین موضوع a اضافه کنید
گواهی یا درخواست گواهی که در حال ایجاد یا اضافه شدن به پایگاه داده است.
پسوندهای نام جایگزین موضوع در بخش 4.2.1.7 RFC 3280 توضیح داده شده است.
--extAIA
افزونه دسترسی به اطلاعات مرجع را به گواهی اضافه کنید. گواهی X.509
برنامه های افزودنی در RFC 5280 توضیح داده شده اند.
--extSIA
پسوند دسترسی به اطلاعات موضوع را به گواهی اضافه کنید. گواهی X.509
برنامه های افزودنی در RFC 5280 توضیح داده شده اند.
--extCP
پسوند Certificate Policies را به گواهی اضافه کنید. گواهی X.509
برنامه های افزودنی در RFC 5280 توضیح داده شده اند.
--extPM
پسوند Policy Mappings را به گواهی اضافه کنید. پسوند گواهی X.509 هستند
در RFC 5280 شرح داده شده است.
--extPC
پسوند Policy Constraints را به گواهی اضافه کنید. پسوند گواهی X.509
در RFC 5280 شرح داده شده است.
--extIA
پسوند Inhibit Any Policy Access را به گواهی اضافه کنید. گواهی X.509
برنامه های افزودنی در RFC 5280 توضیح داده شده اند.
--extSKID
پسوند شناسه کلید موضوع را به گواهی اضافه کنید. پسوند گواهی X.509 هستند
در RFC 5280 شرح داده شده است.
--extNC
یک پسوند Name Constraint به گواهی اضافه کنید. پسوند گواهی X.509 هستند
در RFC 5280 شرح داده شده است.
--extSAN type:name[,type:name]...
یک پسوند Subject Alt Name با یک یا چند نام ایجاد کنید.
-type: دایرکتوری، dn، dns، edi، ediparty، ایمیل، ip، ipaddr، دیگر، registerid،
rfc822، uri، x400، x400addr
-خالی-رمز عبور
هنگام ایجاد پایگاه داده گواهی جدید با -N از رمز عبور خالی استفاده کنید.
--keyAttrFlags attrflags
ویژگی های کلیدی PKCS #11. فهرست پرچمهای ویژگی کلیدی جدا شده با کاما، انتخاب شده از
لیست انتخاب های زیر: {token | جلسه} {عمومی | خصوصی} {حساس |
غیر حساس} {قابل تغییر | غیر قابل تغییر} {قابل استخراج | غیر قابل استخراج}
--keyOpFlagsOn opflags، --keyOpFlagsOff opflags
پرچم های عملیات کلید PKCS #11. فهرستی از یک یا چند مورد زیر جدا شده با کاما:
{توکن | جلسه} {عمومی | خصوصی} {حساس | غیر حساس} {قابل تغییر |
غیر قابل تغییر} {قابل استخراج | غیر قابل استخراج}
--new-n نام مستعار
یک نام مستعار جدید که هنگام تغییر نام گواهی استفاده می شود.
--source-dir certdir
فهرست راهنمای پایگاه داده گواهی را برای ارتقاء شناسایی کنید.
--source-prefix certdir
پیشوند گواهینامه و پایگاه داده کلید را برای ارتقا بدهید.
-شناسه منحصر به فرد ارتقاء
شناسه منحصربفرد پایگاه داده را برای ارتقا بدهید.
- نام ارتقاء-token-name
نام توکن را برای استفاده در حین ارتقا تنظیم کنید.
-@ pwfile
نام یک فایل رمز عبور را برای استفاده در پایگاه داده در حال ارتقا بدهید.
طریقه استفاده و مثال ها
اکثر گزینه های فرمان در مثال های فهرست شده در اینجا دارای آرگومان های بیشتری هستند. در
آرگومان های موجود در این مثال ها رایج ترین آرگومان ها هستند یا برای نشان دادن الف استفاده می شوند
سناریوی خاص استفاده کنید -H گزینه ای برای نمایش لیست کامل آرگومان ها برای هر کدام
گزینه فرمان.
ایجاد جدید دوربین های مداربسته پایگاه داده ها
گواهیها، کلیدها و ماژولهای امنیتی مربوط به مدیریت گواهیها در آن ذخیره میشوند
سه پایگاه داده مرتبط:
· cert8.db یا cert9.db
· key3.db یا key4.db
· secmod.db یا pkcs11.txt
این پایگاه های داده باید قبل از تولید گواهی ها یا کلیدها ایجاد شوند.
دایرکتوری certutil -N -d [sql:]
ایجاد a گواهی نامه درخواست
درخواست گواهی شامل بیشتر یا تمام اطلاعاتی است که برای تولید آن استفاده می شود
گواهی نهایی این درخواست به طور جداگانه به یک مرجع گواهی ارسال می شود و است
سپس توسط مکانیزمی (به طور خودکار یا با بررسی انسانی) تأیید شد. هنگامی که درخواست است
تایید شده، سپس گواهی تولید می شود.
$ certutil -R -k key-type-or-id [-q pqgfile|curve-name] -g key-size -s موضوع [-h tokenname] -d [sql:]دایرکتوری [-p phone] [-o فایل خروجی] [-a]
La -R گزینه های فرمان به چهار آرگومان نیاز دارد:
· -k برای تعیین نوع کلید برای تولید یا در هنگام تمدید گواهی،
جفت کلید موجود برای استفاده
· -g برای تنظیم اندازه کلید کلید برای تولید
· -s برای تنظیم نام موضوع گواهی
· -d برای دادن دایرکتوری پایگاه داده امنیتی
درخواست گواهی جدید را می توان در قالب ASCII خروجی (-a) یا می توان به a نوشت
فایل مشخص شده (-o).
مثلا:
$ certutil -R -k rsa -g 1024 -s "CN=John Smith,O=Example Corp,L=Mountain View,ST=California,C=US" -d sql:$HOME/nssdb -p 650-555- 0123 -a -o cert.cer
کلید تولید این ممکن است چند لحظه طول بکشد...
ایجاد a گواهی نامه
یک گواهی معتبر باید توسط یک CA قابل اعتماد صادر شود. این را می توان با تعیین یک CA انجام داد
گواهی (-c) که در پایگاه داده گواهی ذخیره می شود. اگر یک جفت کلید CA نیست
در دسترس است، می توانید با استفاده از -x استدلال با -S
گزینه فرمان.
$ certutil -S -k rsa|dsa|ec -n نام گواهی -s موضوع [-c صادرکننده |-x] -t trustargs -d [sql:]دایرکتوری [-m serial-number] [-v معتبر-ماه] [ -w offset-months] [-p phone] [-1] [-2] [-3] [-4] [-5 keyword] [-6 keyword] [-7 email address] [-8 dns-names] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]
سری اعداد و --ext* گزینه ها پسوندهای گواهی را تنظیم می کنند که می توان به آنها اضافه کرد
گواهی زمانی که توسط CA تولید می شود. اعلان های تعاملی منتج خواهند شد.
به عنوان مثال، این یک گواهی خود امضا شده ایجاد می کند:
$ certutil -S -s "CN=Example CA" -n my-ca-cert -x -t "C,C,C" -1 -2 -5 -m 3650
این تعاملی استفاده از کلید و اینکه آیا برنامه های افزودنی حیاتی هستند و پاسخ می دهد
برای اختصار حذف شده است.
از آنجا، گواهیهای جدید میتوانند به گواهی خودامضا اشاره کنند:
$ certutil -S -s "CN=My Server Cert" -n my-server-cert -c "my-ca-cert" -t "u,u,u" -1 -5 -6 -8 -m 730
مولد a گواهی نامه از جانب a گواهی نامه درخواست
هنگامی که یک درخواست گواهی ایجاد می شود، یک گواهی می تواند با استفاده از درخواست ایجاد شود
و سپس ارجاع به گواهی امضای مرجع گواهی ( صادر کننده مشخص شده در
la -c بحث و جدل). گواهی صادر کننده باید در پایگاه داده گواهی در
دایرکتوری مشخص شده
صادرکننده certutil -C -c -i فایل درخواست گواهی -o فایل خروجی [-m سریال-شماره] [-v ماههای معتبر] [-w offset-months] -d [sql:]دایرکتوری [-1] [-2] [-3] [-4] [-5 کلمه کلیدی] [-6 کلمه کلیدی] [-7 آدرس ایمیل] [-8 dns-names]
مثلا:
$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql:$HOME/nssdb -1 non Repudiation,dataEncipherment -5 sslClient -6 clientAuth -7 [ایمیل محافظت شده]
لیست گواهینامه ها
La -L گزینه command تمام گواهینامه های فهرست شده در پایگاه داده گواهی را فهرست می کند.
مسیر دایرکتوری (-d) مورد نیاز است.
$ certutil -L -d sql:/home/my/sharednssdb
ویژگی های اعتماد نام مستعار گواهی
SSL، S/MIME، JAR/XPI
شناسه نمونه دامنه pki-ca1 مدیر مرکز صدور گواهی u,u,u
نمونه شناسه دامنه سرپرست TPS u,u,u
Google Internet Authority،،
مرجع صدور گواهی - نمونه دامنه CT,C,C
استفاده از آرگومان های اضافی با -L می تواند اطلاعات را برای یک واحد برگرداند و چاپ کند،
گواهی خاص به عنوان مثال -n آرگومان نام گواهی را ارسال می کند، در حالی که
-a آرگومان گواهی را در قالب ASCII چاپ می کند:
$ certutil -L -d sql:$HOME/nssdb -a -n my-ca-cert
-----شروع گواهی -----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----- گواهی پایان -----
برای نمایشی قابل خواندن برای انسان
$ certutil -L -d sql:$HOME/nssdb -n my-ca-cert
گواهینامه:
داده ها:
نسخه: 3 (0x2)
شماره سریال: 3650 (0x42)
الگوریتم امضا: PKCS #1 SHA-1 با رمزگذاری RSA
صادرکننده: "CN=Example CA"
اعتبار:
قبل از آن: چهارشنبه 13 مارس 19:10:29 2013
نه بعد از : پنجشنبه 13 ژوئن 19:10:29 2013
موضوع: "CN=Example CA"
اطلاعات کلید عمومی موضوع:
الگوریتم کلید عمومی: PKCS #1 رمزگذاری RSA
کلید عمومی RSA:
مدول:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
توان: 65537 (0x10001)
برنامه های افزودنی امضا شده:
نام: نوع گواهی
داده ها: هیچ
نام: محدودیت های اساسی گواهی
داده: یک CA بدون حداکثر طول مسیر است.
نام: استفاده از کلید گواهی
انتقادی: درست است
موارد استفاده: امضای گواهی
الگوریتم امضا: PKCS #1 SHA-1 با رمزگذاری RSA
امضا:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
اثر انگشت (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
اثر انگشت (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7
پرچم های اعتماد گواهی:
پرچم های SSL:
CA معتبر
CA مورد اعتماد
کاربر
پرچم های ایمیل:
CA معتبر
CA مورد اعتماد
کاربر
پرچم های امضای اشیا:
CA معتبر
CA مورد اعتماد
کاربر
لیست کلید
کلیدها مواد اصلی هستند که برای رمزگذاری داده های گواهی استفاده می شوند. کلیدهای تولید شده برای
گواهی ها به طور جداگانه در پایگاه داده کلید ذخیره می شوند.
برای فهرست کردن تمام کلیدهای پایگاه داده، از -K گزینه فرمان و (الزامی) -d استدلال
برای دادن مسیر به دایرکتوری
$ certutil -K -d sql:$HOME/nssdb
certutil: بررسی رمز "NSS Certificate DB" در اسلات "NSS User Private Key and Certificate Services"
< 0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d Thawte Freemail عضو Thawte Consulting (Pty) Ltd. ID
< 1> rsa 40defeeb522ade11090eacebaaf1196a172127df نمونه گواهی مدیر دامنه
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert
راه هایی برای محدود کردن کلیدهای فهرست شده در نتایج جستجو وجود دارد:
· برای برگرداندن یک کلید خاص، از -nنام آرگومان با نام کلید.
· اگر چندین دستگاه امنیتی بارگذاری شده باشد، -hنام رمز استدلال می تواند
یک نشانه خاص یا همه توکن ها را جستجو کنید.
· اگر چندین نوع کلید در دسترس باشد، -kنوع کلیدی آرگومان می تواند جست و جو کند
نوع خاصی از کلید، مانند RSA، DSA، یا ECC.
لیست دوربین های مداربسته ماژول ها
دستگاههایی که میتوانند برای ذخیره گواهیها استفاده شوند - هم پایگاههای داده داخلی و هم خارجی
دستگاه هایی مانند کارت های هوشمند -- با بارگذاری ماژول های امنیتی شناسایی و استفاده می شوند. در -U
گزینه command تمام ماژول های امنیتی فهرست شده در پایگاه داده secmod.db را فهرست می کند. در
مسیر دایرکتوری (-d) مورد نیاز است.
$ certutil -U -d sql:/home/my/sharednssdb
اسلات: کلید خصوصی کاربر NSS و خدمات گواهی
نشانه: DB گواهی NSS
اسلات: خدمات رمزنگاری داخلی NSS
رمز: خدمات رمزنگاری عمومی NSS
اضافه کردن گواهینامه ها به la پایگاه داده
گواهی ها یا درخواست های گواهی موجود را می توان به صورت دستی به گواهی اضافه کرد
پایگاه داده، حتی اگر در جای دیگری تولید شده باشند. این استفاده می کند -A گزینه فرمان.
certutil -A -n certname -t trustargs -d [sql:] فهرست راهنما [-a] [-i input-file]
مثلا:
$ certutil -A -n "CN=گواهی SSL من" -t "u,u,u" -d sql:/home/my/sharednssdb -i /home/example-certs/cert.cer
یک گزینه فرمان مرتبط، -E، به طور خاص برای افزودن گواهی نامه های ایمیل به استفاده می شود
پایگاه داده گواهی را -E فرمان همان آرگومانهای the را دارد -A فرمان اعتماد
آرگومان های گواهی ها فرمت دارند SSL، S/MIME، امضای کد، پس اعتماد وسط
تنظیمات بیشتر به گواهی نامه های ایمیل مربوط می شود (اگرچه بقیه را می توان تنظیم کرد). مثلا:
$ certutil -E -n "CN=Email Cert John Smith" -t ",Pu," -d sql:/home/my/sharednssdb -i /home/example-certs/email.cer
حذف گواهینامه ها به la پایگاه داده
گواهی ها را می توان با استفاده از یک پایگاه داده حذف کرد -D گزینه. تنها گزینه های مورد نیاز
قرار دادن دایرکتوری پایگاه داده امنیتی و شناسایی نام مستعار گواهی است.
certutil -D -d [sql:]directory -n "نام مستعار"
مثلا:
$ certutil -D -d sql:/home/my/sharednssdb -n "my-ssl-cert"
اعتبار سنجی گواهینامه ها
یک گواهی به خودی خود حاوی تاریخ انقضا است و گواهی های منقضی شده به راحتی قابل دسترسی هستند
رد شد. با این حال، گواهی ها نیز می توانند قبل از اتمام تاریخ انقضا باطل شوند.
بررسی اینکه آیا گواهی باطل شده است یا خیر، نیازمند اعتبارسنجی گواهی است.
اعتبارسنجی همچنین می تواند برای اطمینان از اینکه گواهی فقط برای اهداف مورد استفاده قرار می گیرد استفاده شود
در ابتدا برای آن صادر شد. اعتبار سنجی توسط -V گزینه فرمان.
certutil -V -n گواهی-نام [-b time] [-e] [-u cert-usage] -d [sql:] فهرست
به عنوان مثال، برای تأیید اعتبار یک گواهی ایمیل:
$ certutil -V -n "گواهی نامه ایمیل جان اسمیت" -e -u S,R -d sql:/home/my/sharednssdb
اصلاح گواهی نامه اعتماد تنظیمات
تنظیمات اعتماد (که مربوط به عملیاتی است که گواهی مجاز است
استفاده شده برای) را می توان پس از ایجاد گواهی یا اضافه شدن به پایگاه داده تغییر داد. این هست
مخصوصاً برای گواهینامه های CA مفید است، اما می توان آن را برای هر نوع گواهی انجام داد
گواهی
دایرکتوری certutil -M -n گواهی-نام -t trust-args -d [sql:]
مثلا:
$ certutil -M -n "گواهی CA من" -d sql:/home/my/sharednssdb -t "CTu,CTu,CTu"
چاپ la گواهی نامه زنجیر
گواهینامه ها را می توان در آن صادر کرد زنجیر زیرا هر مرجع گواهی خود دارای یک
گواهی؛ هنگامی که یک CA گواهی صادر می کند، اساساً آن گواهی را با مهر می کند
اثر انگشت خودش در -O زنجیره کامل یک گواهی را چاپ می کند، که از ابتدایی می رود
CA (CA ریشه) از طریق CA واسطه همیشه به گواهی واقعی. به عنوان مثال، برای
یک گواهی ایمیل با دو CA در زنجیره:
$ certutil -d sql:/home/my/sharednssdb -O -n"[ایمیل محافظت شده]"
"Token Object Builtin: Thawte Personal Freemail CA" [E=[ایمیل محافظت شده],CN=Thawte Personal Freemail CA,OU=بخش خدمات صدور گواهینامه,O=Thawte Consulting,L=Cape Town,ST=Western Cape,C=ZA]
"Thawte Personal Freemail Issuing CA - Thawte Consulting" [CN=Thawte Personal Freemail Issuing CA,O=Thawte Consulting (Pty) Ltd.,C=ZA]
"(null)" [E=[ایمیل محافظت شده],CN=عضو Thawte Freemail]
بازنشانی a رمز
دستگاهی که گواهی ها را ذخیره می کند - هم دستگاه های سخت افزاری خارجی و هم داخلی
پایگاه داده های نرم افزار -- را می توان خالی کرد و دوباره استفاده کرد. این عملیات بر روی دستگاه انجام می شود
که داده ها را ذخیره می کند، نه مستقیماً در پایگاه داده های امنیتی، بنابراین مکان باید باشد
از طریق نام رمز (-h) و همچنین هر مسیر دایرکتوری. اگر وجود ندارد
نشانه خارجی استفاده می شود، مقدار پیش فرض داخلی است.
certutil -T -d [sql:]directory -h token-name -0 Security-officer-password
بسیاری از شبکه ها دارای پرسنل اختصاصی هستند که تغییرات توکن های امنیتی (امنیت
افسر). این شخص باید رمز عبور را برای دسترسی به توکن مشخص شده ارائه دهد. مثلا:
$ certutil -T -d sql:/home/my/sharednssdb -h nethsm -0 secret
به روز رسانی or ادغام la دوربین های مداربسته پایگاه داده ها
بسیاری از شبکه ها یا برنامه ها ممکن است از نسخه های قدیمی گواهی BerkeleyDB استفاده کنند
پایگاه داده (cert8.db). پایگاه های داده را می توان به نسخه جدید پایگاه داده SQLite ارتقا داد
(cert9.db) با استفاده از - ارتقا - ادغام گزینه فرمان یا پایگاه های داده موجود را می توان ادغام کرد
با پایگاه داده های جدید cert9.db با استفاده از ---ادغام فرمان
La - ارتقا - ادغام دستور باید اطلاعاتی در مورد پایگاه داده اصلی بدهد و سپس استفاده کند
آرگومان های استاندارد (مانند -d) برای دادن اطلاعات در مورد پایگاه داده های جدید. در
دستور همچنین به اطلاعاتی نیاز دارد که ابزار از آنها برای ارتقاء و نوشتن فرآیند استفاده می کند
روی پایگاه داده اصلی
certutil --upgrade-merge -d [sql:]directory [-P dbprefix] --source-dir directory --source-prefix dbprefix --upgrade-id id --upgrade-token-name name [-@ password-file ]
مثلا:
$ certutil --upgrade-merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp- --upgrade-id 1 --upgrade-token- نام داخلی
La --ادغام دستور فقط به اطلاعاتی در مورد مکان پایگاه داده اصلی نیاز دارد.
از آنجایی که فرمت پایگاه داده را تغییر نمی دهد، می تواند بدون آن روی اطلاعات بنویسد
انجام مرحله میانی
certutil --merge -d [sql:] Directory [-P dbprefix] --source-dir directory --source-prefix dbprefix [-@ password-file]
مثلا:
$ certutil --merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp-
محل دویدن و پیاده روی گواهی دستورات از جانب a دسته پرونده
یک سری دستورات را می توان به صورت متوالی از یک فایل متنی با استفاده از -B گزینه فرمان.
تنها آرگومان برای این فایل ورودی را مشخص می کند.
$ certutil -B -i /path/to/batch-file
NSS DATABASE انواع
NSS در ابتدا از پایگاه داده BerkeleyDB برای ذخیره اطلاعات امنیتی استفاده می کرد. آخرین نسخه ها
از اینها میراث پایگاه های داده عبارتند از:
· cert8.db برای گواهینامه ها
· key3.db برای کلیدها
· secmod.db برای اطلاعات ماژول PKCS #11
با این حال، BerkeleyDB دارای محدودیتهای عملکردی است که از استفاده آسان آن جلوگیری میکند
چندین برنامه به طور همزمان NSS انعطاف پذیری دارد که به برنامه ها اجازه می دهد
از موتور پایگاه داده مستقل و مستقل خود در حین نگهداری پایگاه داده مشترک و کار کردن استفاده کنید
پیرامون مسائل دسترسی با این حال، NSS به انعطاف بیشتری برای ارائه یک اشتراک واقعی نیاز دارد
پایگاه داده امنیتی
در سال 2009، NSS مجموعه جدیدی از پایگاه های داده را معرفی کرد که به جای پایگاه داده های SQLite هستند
BerkeleyDB. این پایگاه داده های جدید دسترسی و عملکرد بیشتری را ارائه می دهند:
· cert9.db برای گواهینامه ها
· key4.db برای کلیدها
pkcs11.txt، فهرستی از همه ماژول های PKCS #11، موجود در یک زیر شاخه جدید
در دایرکتوری پایگاه داده های امنیتی
از آنجایی که پایگاههای داده SQLite برای اشتراکگذاری طراحی شدهاند، اینها هستند به اشتراک گذاشته شده پایگاه داده
نوع نوع پایگاه داده مشترک ترجیح داده می شود. فرمت میراث برای بازگشت گنجانده شده است
سازگاری.
به طور پیش فرض، ابزارهای (گواهی, pk12util, مدوتیل) فرض کنید که امنیت داده شده
پایگاه داده ها از نوع قدیمی رایج تر پیروی می کنند. استفاده از پایگاه های داده SQLite باید به صورت دستی باشد
مشخص شده با استفاده از sql: پیشوند با دایرکتوری امنیتی داده شده. مثلا:
$ certutil -L -d sql:/home/my/sharednssdb
برای تنظیم نوع پایگاه داده مشترک به عنوان نوع پیش فرض ابزارها،
NSS_DEFAULT_DB_TYPE متغیر محیطی به SQL:
صادر کردن NSS_DEFAULT_DB_TYPE="sql"
این خط را می توان به اضافه کرد ~ / .bashrc فایلی که تغییر را دائمی می کند.
اکثر برنامه ها به طور پیش فرض از پایگاه داده مشترک استفاده نمی کنند، اما می توان آنها را پیکربندی کرد
از آنها استفاده کنید. برای مثال، این مقاله نحوه پیکربندی فایرفاکس و تاندربرد را پوشش میدهد
برای استفاده از پایگاه داده های مشترک NSS:
· https://wiki.mozilla.org/NSS_Shared_DB_Howto
برای پیش نویس مهندسی در مورد تغییرات در پایگاه داده مشترک NSS، به پروژه NSS مراجعه کنید
ویکی:
· https://wiki.mozilla.org/NSS_Shared_DB
با استفاده از خدمات onworks.net از certutil آنلاین استفاده کنید
