Il s'agit de la commande crlutil qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
crlutil - Répertorier, générer, modifier ou supprimer les CRL dans le(s) fichier(s) de la base de données de sécurité NSS
et répertorier, créer, modifier ou supprimer des entrées de certificats dans une CRL particulière.
SYNOPSIS
crutilil [Options] [[arguments]]
STATUT
Cette documentation est toujours en cours d'élaboration. Veuillez contribuer à l'examen initial dans
Mozilla NSS bug 836477
DESCRIPTION
L'outil de gestion de la liste de révocation de certificats (CRL), crutilil, est un utilitaire de ligne de commande
qui peut répertorier, générer, modifier ou supprimer des CRL dans le(s) fichier(s) de la base de données de sécurité NSS
et répertorier, créer, modifier ou supprimer des entrées de certificats dans une CRL particulière.
Le processus de gestion des clés et des certificats commence généralement par la création de clés dans la clé
base de données, puis générer et gérer des certificats dans la base de données de certificats (voir
certutil) et continue avec l'expiration ou la révocation des certificats.
Ce document traite de la gestion des listes de révocation de certificats. Pour plus d'informations sur
gestion de la base de données du module de sécurité, voir Utilisation de l'outil de base de données du module de sécurité. Pour
informations sur la gestion des certificats et des bases de données de clés, voir Utilisation de la base de données de certificats
Outil.
Pour exécuter l'outil de gestion de liste de révocation de certificats, tapez la commande
option crlutil [arguments]
où les options et les arguments sont des combinaisons des options et des arguments répertoriés dans le
section suivante. Chaque commande prend une option. Chaque option peut prendre zéro ou plus
arguments. Pour voir une chaîne d'utilisation, exécutez la commande sans options, ou avec le -H
option.
OPTIONS ET ARGUMENTS
Options
Les options spécifient une action. Les arguments d'option modifient une action. Les options et arguments
pour la commande crlutil sont définis comme suit :
-D
Supprimez la liste de révocation de certificats de la base de données cert.
-E
Effacer toutes les CRL du type spécifié de la base de données cert
-G
Créez une nouvelle liste de révocation de certificats (CRL).
-I
Importer une CRL dans la base de données cert
-L
Répertoriez les CRL existantes situées dans le fichier de base de données cert.
-M
Modifiez la CRL existante qui peut être située dans la base de données cert ou dans un fichier arbitraire. Si situé
dans le fichier, il doit être encodé au format d'encodage ASN.1.
-S
Affiche le contenu d'un fichier CRL qui n'est pas stocké dans la base de données.
Arguments
Les arguments d'option modifient une action.
-a
Utilisez le format ASCII ou autorisez l'utilisation du format ASCII pour l'entrée et la sortie. Cette
le formatage suit la RFC #1113.
-B
Contourner les contrôles de signature CA.
-c crl-gen-fichier
Spécifiez le fichier de script qui sera utilisé pour contrôler la génération/modification de crl. Voir
crl-cript-file ci-dessous. Si les options -M|-G sont utilisées et que -c crl-script-file ne l'est pas
spécifié, crlutil lira les données de script à partir de l'entrée standard.
-d répertoire
Spécifiez le répertoire de la base de données contenant le certificat et les fichiers de base de données de clés. Au
Unix, l'outil de base de données de certificats est par défaut $HOME/.netscape (c'est-à-dire, ~/.netscape).
Sous Windows NT, la valeur par défaut est le répertoire courant.
Les fichiers de la base de données NSS doivent résider dans le même répertoire.
-f fichier_mot_de_passe
Spécifiez un fichier qui fournira automatiquement le mot de passe à inclure dans un certificat
ou pour accéder à une base de données de certificats. Il s'agit d'un fichier en texte brut contenant un
le mot de passe. Veillez à empêcher tout accès non autorisé à ce fichier.
-i fichier-crl
Spécifiez le fichier qui contient la CRL à importer ou à afficher.
-l nom-algorithme
Spécifiez un algorithme de signature spécifique. Liste des algorithmes possibles : MD2 | MD4 | MD5 |
SHA1 | SHA256 | SHA384 | SHA512
-n surnom
Spécifiez le pseudo d'un certificat ou d'une clé à lister, créer, ajouter à une base de données,
modifier ou valider. Mettez la chaîne de pseudo entre guillemets si elle contient
les espaces.
-o fichier-sortie
Spécifiez le nom du fichier de sortie pour la nouvelle liste de révocation de certificats. Accrochez la chaîne du fichier de sortie avec
guillemets s'il contient des espaces. Si cet argument n'est pas utilisé, la sortie
la destination par défaut est la sortie standard.
-P préfixe db
Spécifiez le préfixe utilisé sur les fichiers de la base de données de sécurité NSS (par exemple, my_cert8.db
et ma_clé3.db). Cette option est fournie comme cas particulier. Changer les noms des
les bases de données de certificats et de clés ne sont pas recommandées.
-t type-crl
Spécifiez le type de CRL. les types possibles sont : 0 - SEC_KRL_TYPE, 1 - SEC_CRL_TYPE. Cette
l'option est obsolète
-u URL
Spécifiez l'url.
-w chaîne-pwd
Fournissez le mot de passe db dans la ligne de commande.
-Z algorithme
Spécifiez l'algorithme de hachage à utiliser pour signer la CRL.
CRL GÉNÉRATION SCÉNARIO SYNTAXE
Le fichier de script de génération de CRL a la syntaxe suivante :
* La ligne avec des commentaires doit avoir # comme premier symbole d'une ligne
* Définissez les champs CRL « cette mise à jour » ou « prochaine mise à jour » :
update=AAAAMMJJhhmmssZ nextupdate=AAAAMMJJhhmmssZ
Le champ "prochaine mise à jour" est facultatif. L'heure doit être au format GeneralizedTime
(AAAAMMJJhhmmssZ). Par exemple : 20050204153000Z
* Ajouter une extension à une CRL ou une entrée de certificat CRL :
addext extension-name critique/non critique [arg1[arg2 ...]]
Où :
extension-name : valeur de chaîne d'un nom d'extensions connues. critique/non critique : est 1
lorsque l'extension est critique et 0 sinon. arg1, arg2 : spécifique au type d'extension
paramètres d'extension
addext utilise la plage qui a été définie précédemment par addcert et installera une extension pour
toutes les entrées de certificat dans la plage.
* Ajouter des entrées de certificat à la CRL :
date de plage addcert
range : deux valeurs entières séparées par un tiret : plage de certificats qui sera ajoutée par
cette commande. le tiret est utilisé comme délimiteur. Un seul certificat sera ajouté s'il n'y a pas
délimiteur. date : date de révocation d'un cert. La date doit être représentée dans GeneralizedTime
format (AAAAMMJJhhmmssZ).
* Supprimer les entrées de certificat de la CRL
gamme rmcert
Où :
range : deux valeurs entières séparées par un tiret : plage de certificats qui sera ajoutée par
cette commande. le tiret est utilisé comme délimiteur. Un seul certificat sera ajouté s'il n'y a pas
délimiteur.
* Modifier la plage d'entrée(s) de certificat dans la CRL
gamme nouvelle gamme
Où :
new-range : deux valeurs entières séparées par un tiret : plage de certificats qui sera ajoutée
par cette commande. le tiret est utilisé comme délimiteur. Un seul certificat sera ajouté s'il n'y a pas
délimiteur.
Extensions implémentées
Les extensions définies pour CRL fournissent des méthodes pour associer des attributs supplémentaires avec
CRL de leurs entrées. Pour plus d'informations, voir RFC #3280
* Ajouter l'extension d'identifiant de clé d'autorité :
L'extension d'identifiant de clé d'autorité fournit un moyen d'identifier la clé publique
correspondant à la clé privée utilisée pour signer une CRL.
authKeyId critique [key-id | dn cert-série]
Où :
authKeyIdent : identifie le nom d'une extension critique : valeur de 1 sur 0. Doit être défini
à 1 si cette extension est critique ou à 0 sinon. key-id : identifiant de clé représenté dans
chaîne d'octets. dn :: est un nom distinctif CA cert-serial : série de certificat d'autorité
.
* Ajouter l'extension du nom alternatif de l'émetteur :
L'extension des noms alternatifs de l'émetteur permet d'associer des identités supplémentaires à
l'émetteur de la CRL. Les options définies incluent un nom rfc822 (adresse de courrier électronique), un
Nom DNS, une adresse IP et un URI.
issuerAltNames liste de noms non critiques
Où :
subjAltNames : identifie le nom d'une extension qui doit être défini sur 0 car il s'agit
liste de noms d'extensions non critiques : liste de noms séparés par des virgules
* Ajouter une extension de numéro CRL :
Le numéro CRL est une extension CRL non critique qui transmet une augmentation monotone
numéro de séquence pour une portée CRL et un émetteur CRL donnés. Cette extension permet aux utilisateurs de
déterminer facilement quand une CRL particulière remplace une autre CRL
crlNumber numéro non critique
Où :
crlNumber : identifie le nom d'une extension critique : doit être mis à 0 car c'est
numéro de poste non critique : valeur de long qui identifie le numéro séquentiel d'un
CRL.
* Ajouter une extension de code de motif de révocation :
Le ReasonCode est une extension d'entrée CRL non critique qui identifie la raison de la
révocation de certificat.
ReasonCode code non critique
Où :
ReasonCode : identifie le nom d'une extension non critique : doit être mis à 0 car
il s'agit d'un code d'extension non critique : les codes suivants sont disponibles :
non spécifié (0), keyCompromise (1), cACompromise (2), affiliationChanged (3), remplacé
(4), cessationOfOperation (5), certificateHold (6), removeFromCRL (8), privilègeWithdrawn
(9), un compromis (10)
* Ajouter une extension de date d'invalidité :
La date d'invalidité est une extension d'entrée de CRL non critique qui indique la date à laquelle
il est connu ou suspecté que la clé privée a été compromise ou que le certificat
autrement est devenu invalide.
invalidityDate date non critique
Où :
crlNumber : identifie le nom d'une extension non critique : doit être mis à 0 car cette
est une date d'extension non critique : date d'invalidité d'un cert. La date doit être représentée dans
Format d'heure généralisé (AAAAMMJJhhmmssZ).
UTILISATION
Les capacités de l'outil de gestion de liste de révocation de certificats sont regroupées comme suit,
en utilisant ces combinaisons d'options et d'arguments. Options et arguments en carré
les parenthèses sont facultatives, celles sans crochets sont obligatoires.
Voir "Extensions implémentées" pour plus d'informations sur les extensions et leurs
paramètres.
* Création ou modification d'une CRL :
crlutil -G|-M -c crl-gen-file -n pseudo [-i crl] [-u url] [-d keydir] [-P dbprefix] [-l alg] [-a] [-B]
* Liste de toutes les CRL ou d'une CRL nommée :
crlutil -L [-n nom-crl] [-d krydir]
* Suppression de la CRL de la base de données :
crlutil -D -n pseudo [-d rép_clé] [-P dbprefix]
* Effacement des CRL de la base de données :
crlutil -E [-d rép_clé] [-P dbprefix]
* Suppression de la CRL de la base de données :
crlutil -D -n pseudo [-d rép_clé] [-P dbprefix]
* Effacement des CRL de la base de données :
crlutil -E [-d rép_clé] [-P dbprefix]
* Importer la CRL à partir du fichier :
crlutil -I -i crl [-t typecrl] [-u url] [-d repclé] [-P préfixe db] [-B]
Utilisez crlutil en ligne en utilisant les services onworks.net
