cassl - En ligne dans le Cloud

PROGRAMME:

Nom

ca - exemple d'application CA minimale

SYNOPSIS

openssl ca [-verbeux] [-config nom de fichier] [-patate douce ] [-gencrl] [-révoquer filet] [-statut
en série] [-mis à jourb] [-crl_raison raison] [-crl_hold instruction] [-crl_compromis fiable]
[-crl_CA_compromise fiable] [-jours crl jours] [-crlheures heures] [-crlexts ] [-date de début
données] [-date de fin données] [-journées arg] [-Maryland arg] [-politique arg] [-fichier clé arg] [-forme de clé
PEM|DER] [-clé arg] [-passer arg] [-certificat filet] [-autosigne] [-in filet] [-en dehors filet]
[-pas de texte] [-répertoire extérieur dir] [-fichiers] [-spkac filet] [-ss_cert filet] [-préserverDN]
[-noemailDN] [-grouper] [-msie_hack] [-rallonges ] [-fichierext ] [-moteur id]
[-subj arg] [-utf8] [-multivaleur-rdn]

DESCRIPTION

La ca La commande est une application CA minimale. Il peut être utilisé pour signer les demandes de certificat dans
une variété de formulaires et de générer des listes de révocation de certificats, il maintient également une base de données textuelle des
certificats et leur statut.

Les descriptions des options seront divisées en chaque objectif.

CA OPTIONS

-config nom de fichier
spécifie le fichier de configuration à utiliser.

-patate douce
spécifie la section du fichier de configuration à utiliser (remplace par défaut_ca dans l' ca
section).

-in nom de fichier
un nom de fichier d'entrée contenant une seule demande de certificat à signer par l'autorité de certification.

-ss_cert nom de fichier
un seul certificat auto-signé à signer par l'AC.

-spkac nom de fichier
un fichier contenant une seule clé publique signée Netscape et un défi et des
valeurs de champ à signer par l'AC. Voir le SPKAC Format rubrique pour plus d'informations sur
le format d'entrée et de sortie requis.

-fichiers
s'il est présent, cela devrait être la dernière option, tous les arguments suivants sont supposés être
les noms des fichiers contenant les demandes de certificat.

-en dehors nom de fichier
le fichier de sortie vers lequel sortir les certificats. La valeur par défaut est la sortie standard. Les
les détails du certificat seront également imprimés dans ce fichier au format PEM (sauf que
-spkac sorties au format DER).

-répertoire extérieur annuaire
le répertoire vers lequel sortir les certificats. Le certificat sera écrit dans un nom de fichier
composé du numéro de série en hexadécimal avec ".pem" ajouté.

-certificat
le fichier de certificat CA.

-fichier clé nom de fichier
la clé privée avec laquelle signer les demandes.

-forme de clé PEM|DER
le format des données dans le fichier de clé privée. La valeur par défaut est PEM.

-clé Mot de passe
le mot de passe utilisé pour crypter la clé privée. Étant donné que sur certains systèmes, la ligne de commande
les arguments sont visibles (par exemple Unix avec l'utilitaire 'ps') cette option doit être utilisée
Avec précaution.

-autosigne
indique que les certificats émis doivent être signés avec la clé du certificat
les demandes ont été signées avec (données avec -fichier clé). Les demandes de certificat signées avec un
des clés différentes sont ignorées. Si -spkac, -ss_cert or -gencrl sont donnés, -autosigne is
ignoré.

Une conséquence de l'utilisation -autosigne est que le certificat auto-signé figure parmi les
entrées dans la base de données des certificats (voir l'option de configuration base de données) et utilise
le même compteur de numéro de série que tous les autres certificats signé avec l'auto-signé
certificat.

-passer arg
la source du mot de passe clé. Pour plus d'informations sur le format de arg voir la PASS
PHRASE ARGUMENTS section openssl (1).

-verbeux
cela imprime des détails supplémentaires sur les opérations en cours.

-pas de texte
n'exportez pas la forme texte d'un certificat dans le fichier de sortie.

-date de début données
cela permet de définir explicitement la date de début. Le format de la date est
AAMMJJHHMMSSZ (identique à une structure ASN1 UTCTime).

-date de fin données
cela permet de définir explicitement la date d'expiration. Le format de la date est
AAMMJJHHMMSSZ (identique à une structure ASN1 UTCTime).

-journées arg
le nombre de jours pour certifier le certificat.

-Maryland alg
le condensé de message à utiliser. Les valeurs possibles incluent md5, sha1 et mdc2. Cette option
s'applique également aux CRL.

-politique arg
cette option définit la « politique » de l'AC à utiliser. Ceci est une section dans la configuration
fichier qui décide quels champs doivent être obligatoires ou correspondre au certificat CA. Vérifier
en dehors de POLITIQUE Format section pour plus d'informations.

-msie_hack
c'est une option héritée à faire ca travailler avec de très anciennes versions du certificat IE
contrôle d'inscription "certenr3". Il a utilisé UniversalStrings pour presque tout. Depuis
l'ancien contrôle a divers bugs de sécurité son utilisation est fortement déconseillée. Le plus récent
le contrôle "Xenroll" n'a pas besoin de cette option.

-préserverDN
Normalement, l'ordre DN d'un certificat est le même que l'ordre des champs dans le
section politique pertinente. Lorsque cette option est définie, l'ordre est le même que la demande.
C'est en grande partie pour la compatibilité avec l'ancien contrôle d'inscription d'IE qui
n'acceptent les certificats que si leurs DN correspondent à l'ordre de la demande. Ce n'est pas
nécessaire pour Xenroll.

-noemailDN
Le DN d'un certificat peut contenir le champ EMAIL s'il est présent dans le DN de la requête,
Cependant, il est de bonne politique d'avoir simplement l'adresse e-mail définie dans l'extension altName du
certificat. Lorsque cette option est définie, le champ EMAIL est supprimé du certificat'
sujet et défini uniquement dans les extensions éventuellement présentes. Les email_in_dn mot-clé
peut être utilisé dans le fichier de configuration pour activer ce comportement.

-grouper
cela définit le mode batch. Dans ce mode, aucune question ne sera posée et tous les certificats
sera certifié automatiquement.

-rallonges
la section du fichier de configuration contenant les extensions de certificat à ajouter
lorsqu'un certificat est émis (par défaut x509_extensions à moins que le -fichierext option
est utilisé). Si aucune section d'extension n'est présente, un certificat V1 est créé. Si la
section d'extension est présente (même si elle est vide), alors un certificat V3 est créé.
Voir le:w x509v3_config(5) page de manuel pour plus de détails sur le format de la section d'extension.

-fichierext filet
un fichier de configuration supplémentaire à partir duquel lire les extensions de certificat (à l'aide du
section par défaut à moins que le -rallonges option est également utilisée).

-moteur id
spécifiant un moteur (par son unique id chaîne) provoquera ca tenter d'obtenir un
référence fonctionnelle au moteur spécifié, l'initialisant ainsi si besoin. Les
engine sera alors défini par défaut pour tous les algorithmes disponibles.

-subj arg
remplace le nom du sujet donné dans la demande. L'argument doit être formaté comme
/type0=value0/type1=value1/type2=..., les caractères peuvent être échappés par \ (barre oblique inverse), non
les espaces sont ignorés.

-utf8
cette option entraîne l'interprétation des valeurs de champ comme des chaînes UTF8, par défaut elles sont
interprété comme ASCII. Cela signifie que les valeurs de champ, qu'elles soient demandées à partir d'un
terminal ou obtenu à partir d'un fichier de configuration, doivent être des chaînes UTF8 valides.

-multivaleur-rdn
cette option provoque l'interprétation de l'argument -subj avec une prise en charge complète de
RDN à valeurs multiples. Exemple:

/DC=org/DC=OpenSSL/DC=users/UID=123456+CN=Jean Biche

Si -multi-rdn n'est pas utilisé, la valeur UID est 123456+CN=Jean Biche.

CRL OPTIONS

-gencrl
cette option génère une liste de révocation de certificats basée sur les informations contenues dans le fichier d'index.

-jours crl num
le nombre de jours avant l'échéance de la prochaine LCR. C'est les jours à partir de maintenant pour placer dans
le champ CRL nextUpdate.

-crlheures num
le nombre d'heures avant l'échéance de la prochaine LCR.

-révoquer nom de fichier
un nom de fichier contenant un certificat à révoquer.

-statut en série
affiche l'état de révocation du certificat avec le numéro de série spécifié et
sorties.

-mis à jourb
Met à jour l'index de la base de données pour purger les certificats expirés.

-crl_raison raison
motif de révocation, où raison fait partie de: non spécifié, cléCompromis, CACompromis,
affiliationChangé, remplacé, cessation de l'opération, certificatMaintenir or
supprimerDeCRL. L'appariement de raison est insensible à la casse. Paramétrage de toute révocation
raison fera la CRL v2.

En pratique supprimerDeCRL n'est pas particulièrement utile car il n'est utilisé qu'en delta
CRL qui ne sont pas actuellement mises en œuvre.

-crl_hold instruction
Cela définit le code de motif de révocation de la CRL sur certificatMaintenir et l'instruction de maintien
à instruction qui doit être un OID. Bien que tout OID ne puisse être utilisé que
holdInstructionAucun (dont l'utilisation est déconseillée par la RFC2459)
holdInstructionCallIssuer or holdInstructionRejeter sera normalement utilisé.

-crl_compromis fiable
Cela définit le motif de révocation à cléCompromis et le temps de compromis pour fiable. fiable
doit être au format GeneralizedTime qui est AAAAMMJJHHMMSSZ.

-crl_CA_compromise fiable
C'est la même chose que crl_compromis sauf que le motif de révocation est défini sur
CACompromis.

-crlexts
la section du fichier de configuration contenant les extensions CRL à inclure. Si aucune CRL
section d'extension est présente, une CRL V1 est créée, si la section d'extension CRL est
présent (même s'il est vide), une CRL V2 est créée. Les extensions CRL spécifiées
sont des extensions de liste de révocation de certificats et ne sauraient Extensions d'entrée CRL. Il faut noter que certains
le logiciel (par exemple Netscape) ne peut pas gérer les CRL V2. Voir x509v3_config(5) page de manuel
pour plus de détails sur le format de la section d'extension.

CONFIGURATION DOSSIER OPTIONS

La section du fichier de configuration contenant les options pour ca se trouve comme suit : Si
le -patate douce L'option de ligne de commande est utilisée, puis elle nomme la section à utiliser. Sinon le
section à utiliser doit être nommé dans le par défaut_ca choix du ca l'article de l'
fichier de configuration (ou dans la section par défaut du fichier de configuration). outre
par défaut_ca, les options suivantes sont lues directement à partir du ca section:
RANDFILE préserver
msie_hack À l'exception de FICHIER RAND, c'est probablement un bug et peut changer à l'avenir
Communiqués.

La plupart des options du fichier de configuration sont identiques aux options de la ligne de commande. Où le
l'option est présente dans le fichier de configuration et la ligne de commande la valeur de la ligne de commande est
utilisé. Lorsqu'une option est décrite comme obligatoire, elle doit être présente dans le
fichier de configuration ou l'équivalent en ligne de commande (le cas échéant) utilisé.

fichier_oid
Ceci spécifie un fichier contenant des OBJET IDENTIFIANTS. Chaque ligne du fichier
doit être composé de la forme numérique de l'identifiant de l'objet suivi d'un espace blanc
puis le nom court suivi d'un espace et enfin le nom long.

oid_section
Ceci spécifie une section dans le fichier de configuration contenant un objet supplémentaire
identifiants. Chaque ligne doit comprendre le nom abrégé de l'identifiant de l'objet
suivie par = et la forme numérique. Les noms courts et longs sont les mêmes lorsque ce
option est utilisée.

nouveau_certs_dir
Le même que -répertoire extérieur option de ligne de commande. Il spécifie le répertoire où nouveau
les certificats seront placés. Obligatoire.

certificat
le même que -certificat. Il donne le fichier contenant le certificat CA. Obligatoire.

Clé privée
même que le -fichier clé option. Le fichier contenant la clé privée CA. Obligatoire.

FICHIER RAND
un fichier utilisé pour lire et écrire des informations sur les graines de nombres aléatoires, ou un socket EGD (voir
RAND_egd(3)).

jours_par défaut
Le même que -journées option. Le nombre de jours pour certifier un certificat.

date_début_défaut
Le même que -date de début option. La date de début pour laquelle certifier un certificat. Si non
régler l'heure actuelle est utilisée.

date_de_fin_par_défaut
Le même que -date de fin option. Soit cette option, soit jours_par défaut (ou la commande
équivalents de ligne) doit être présent.

default_crl_hours default_crl_days
Le même que -crlheures et par -jours crl option. Ceux-ci ne seront utilisés que si ni l'un ni l'autre
l'option de ligne de commande est présente. Au moins l'un d'entre eux doit être présent pour générer un
CRL.

par défaut_md
Le même que -Maryland option. Le condensé de message à utiliser. Obligatoire.

base de données
le fichier de base de données texte à utiliser. Obligatoire. Ce fichier doit être présent mais initialement
il sera vide.

sujet_unique
si la valeur Oui est donné, les entrées de certificat valides dans la base de données doivent avoir
sujets uniques. si la valeur aucune est donné, plusieurs entrées de certificat valides peuvent avoir
exactement le même sujet. La valeur par défaut est Oui, pour être compatible avec les anciens (pré
0.9.8) versions d'OpenSSL. Cependant, pour faciliter le roulement du certificat CA, il est
recommandé d'utiliser la valeur aucune, surtout s'il est combiné avec le -autosigne commander
option de ligne.

en série
un fichier texte contenant le prochain numéro de série à utiliser en hexadécimal. Obligatoire. Ce fichier
doit être présent et contenir un numéro de série valide.

numéro de crl
un fichier texte contenant le prochain numéro de CRL à utiliser en hexadécimal. Le numéro de crl sera
inséré dans les CRL uniquement si ce fichier existe. Si ce fichier est présent, il doit
contenir un numéro CRL valide.

x509_extensions
le même que -rallonges.

crl_extensions
le même que -crlexts.

préserver
le même que -préserverDN

email_in_dn
le même que -noemailDN. Si vous souhaitez que le champ EMAIL soit supprimé du DN du
certificat, définissez simplement ce paramètre sur « non ». S'il n'est pas présent, la valeur par défaut est d'autoriser le
EMAIL déposé dans le DN du certificat.

msie_hack
le même que -msie_hack

politique
le même que -politique. Obligatoire. Voir le POLITIQUE Format section pour plus d'informations.

nom_opt, cert_opt
ces options permettent le format utilisé pour afficher les détails du certificat lors de la demande du
l'utilisateur pour confirmer la signature. Toutes les options prises en charge par le x509 les services publics -nomopt ainsi que
-certificat les commutateurs peuvent être utilisés ici, à l'exception du no_signame ainsi que no_sigdump
défini de façon permanente et ne peut pas être désactivé (c'est parce que la signature du certificat
ne peut pas être affiché car le certificat n'a pas été signé à ce stade).

Pour plus de commodité, les valeurs ca_par défaut sont acceptés par les deux pour produire un
sortie.

Si aucune option n'est présente, le format utilisé dans les versions antérieures d'OpenSSL est utilisé.
L'utilisation de l'ancien format est fortement déconseillé car il n'affiche que les champs
mentionné dans le politique section, gère mal les types de chaînes à plusieurs caractères et ne
afficher les extensions.

copier_extensions
détermine comment les extensions dans les demandes de certificat doivent être traitées. Si réglé sur aucun
ou cette option n'est pas présente, les extensions sont ignorées et ne sont pas copiées dans le
certificat. Si réglé sur copier puis toutes les extensions présentes dans la demande qui ne sont pas
déjà présents sont copiés sur le certificat. Si réglé sur Tout copier puis toutes les extensions
dans la demande sont copiés sur le certificat : si l'extension est déjà présente dans
le certificat, il est supprimé en premier. Voir le MISES EN GARDE section avant d'utiliser cette
option.

L'utilisation principale de cette option est de permettre à une demande de certificat de fournir des valeurs pour
certaines extensions telles que subjectAltName.

POLITIQUE Format

La section de politique se compose d'un ensemble de variables correspondant aux champs DN du certificat.
Si la valeur est « match », la valeur du champ doit correspondre au même champ dans le CA
certificat. Si la valeur est "fournie", elle doit être présente. Si la valeur est
"facultatif" alors il peut être présent. Tous les champs non mentionnés dans la section Politique sont
supprimé silencieusement, à moins que le -préserverDN l'option est définie, mais cela peut être considéré plus comme un
bizarrerie que le comportement prévu.

SPKAC Format

L'entrée au -spkac L'option de ligne de commande est une clé publique et un défi signés Netscape.
Cela viendra généralement de la KEYGEN dans un formulaire HTML pour créer une nouvelle clé privée.
Il est cependant possible de créer des SPKAC en utilisant le spkac utilitaire.

Le fichier doit contenir la variable SPKAC définie sur la valeur du SPKAC ainsi que le
composants DN requis en tant que paires de valeurs de nom. Si vous devez inclure le même composant
deux fois, il peut être précédé d'un nombre et d'un '.'.

Lors du traitement du format SPKAC, la sortie est DER si le -en dehors l'indicateur est utilisé, mais le format PEM
si vous envoyez vers stdout ou le -répertoire extérieur drapeau est utilisé.

EXEMPLES

Remarque : ces exemples supposent que le ca la structure de répertoire est déjà configurée et le
les fichiers pertinents existent déjà. Cela implique généralement la création d'un certificat CA et d'un
clé avec req, un fichier de numéro de série et un fichier d'index vide et en les plaçant dans le
répertoires pertinents.

Pour utiliser l'exemple de fichier de configuration sous les répertoires demoCA, demoCA/private et
demoCA/newcerts serait créé. Le certificat CA serait copié dans demoCA/cacert.pem
et sa clé privée vers demoCA/private/cakey.pem. Un fichier demoCA/serial serait créé
contenant par exemple "01" et le fichier d'index vide demoCA/index.txt.

Signez une demande de certificat :

openssl ca -in req.pem -out newcert.pem

Signez une demande de certificat à l'aide des extensions CA :

openssl ca -in req.pem -extensions v3_ca -out newcert.pem

Générer une liste de révocation de certificats

openssl ca -gencrl -out crl.pem

Signez plusieurs demandes :

openssl ca -infiles req1.pem req2.pem req3.pem

Certifier un SPKAC Netscape :

openssl ca -spkac spkac.txt

Un exemple de fichier SPKAC (la ligne SPKAC a été tronquée pour plus de clarté) :

SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN=Steve Test
emailAdresse=[email protected]
0.OU=Groupe OpenSSL
1.OU=Un autre groupe

Un exemple de fichier de configuration avec les sections pertinentes pour ca:

[ Californie ]
default_ca = CA_default # La section ca par défaut

[ CA_par défaut ]

dir = ./demoCA # répertoire supérieur
base de données = $dir/index.txt # fichier d'index.
new_certs_dir = $dir/newcerts # nouveau répertoire de certificats

certificate = $dir/cacert.pem # Le certificat CA
serial = $dir/serial # serial pas de fichier
private_key = $dir/private/cakey.pem# clé privée CA
RANDFILE = $dir/private/.rand # fichier de nombres aléatoires

default_days = 365 # combien de temps pour certifier
default_crl_days= 30 # combien de temps avant la prochaine CRL
default_md = md5 # md à utiliser

policy = policy_any # politique par défaut
email_in_dn = no # Ne pas ajouter l'email dans le cert DN

name_opt = ca_default # Option d'affichage du nom du sujet
cert_opt = ca_default # Option d'affichage du certificat
copy_extensions = none # Ne copie pas les extensions de la demande

[ politique_tout ]
countryName = fourni
stateOrProvinceName = facultatif
nom de l'organisation = facultatif
OrganizationUnitName = facultatif
commonName = fourni
emailAddress = facultatif

Utiliser cassl en ligne en utilisant les services onworks.net