Il s'agit de la commande pki---issue qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos nombreux postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
pki --issue - Émettre un certificat à l'aide d'un certificat et d'une clé d'autorité de certification
SYNOPSIS
pki --problème [--dans filet] [--taper type] --gâteau filet|--id_cakey hex --cacert filet
[--dn sujet-dn] [--san sujetAltName] [--durée de vie jours] [--ne pas-
avant datetime] [--pas après datetime] [--en série hex] [--drapeau drapeau]
[--digérer résumé] [--Californie] [--crl Links [--crlissuer émetteur]] [--ocsp Links]
[--chemin len] [--nc-autorisé nom] [--nc-exclu nom]
[--mappage des politiques cartographie] [--policy-explicite len] [--policy-inhiber len]
[--policy-any len] [--cert-politique oid [--cps-uri Links] [--avis d'utilisateur texte]]
[--former codage] [--déboguer niveau]
pki --problème --options filet
pki --problème -h | --Aidez-moi
DESCRIPTION
Cette sous-commande de pki(1) est utilisé pour émettre un certificat à l'aide d'un certificat CA et
Clé privée.
OPTIONS
-h, --Aidez-moi
Imprimez les informations d'utilisation avec un résumé des options disponibles.
-dans, --déboguer niveau
Définir le niveau de débogage, par défaut : 1.
-+, --options filet
Lire les options de ligne de commande à partir de filet.
-je, --dans filet
Fichier de demande de clé publique ou de certificat PKCS#10 à émettre. Si ce fichier n'est pas fourni,
la clé/requête est lue à partir de STDIN.
-t, --taper type
Type d'entrée. L'un des pub (Clé publique), rsa (clé privée RSA), ECDSA (ECDSA
clé privée), ou pkcs10 (demande de certificat PKCS#10), par défaut pub.
-k, --gâteau filet
Fichier de clé privée CA. Soit ceci ou --cakeyid est nécessaire.
-X, --cakeyid hex
ID de clé d'une clé privée CA sur une carte à puce. Soit ceci ou --gâteau est nécessaire.
-c, --cacert filet
Fichier de certificat CA. Obligatoire.
-ré, --dn sujet-dn
Nom distinctif du sujet (DN) du certificat émis.
-une, --san sujetAltName
extension subjectAltName à inclure dans le certificat. Peut être utilisé plusieurs fois.
-l, --durée de vie jours
Jours de validité du certificat, valeur par défaut : 1095. Ignoré si à la fois un démarrage absolu et
l'heure de fin est donnée.
-F, --pas avant datetime
Heure absolue de début de validité du certificat. Le format date/heure est
défini par le --forme de date option.
-T, --pas après datetime
Heure absolue à laquelle la validité du certificat se termine. Le format date/heure est
défini par le --forme de date option.
-RÉ, --forme de date un formulaire de candidature dûment rempli
l'heure du strp(3) format pour le --pas avant et --pas après options, par défaut : %d.%m.%a
%T
-Oui, --en série hex
Numéro de série en hexadécimal. Il est alloué aléatoirement par défaut.
-e, --drapeau drapeau
Ajoutez l'indicateur ExtendedKeyUsage. Un des serveurAuth, clientAuth, signe crl, ou ocspSignature.
Peut être utilisé plusieurs fois.
-g, --digérer résumé
Digest à utiliser pour la création de signature. Un des md5, sha1, sha224, sha256, sha384, ou
sha512. La valeur par défaut est déterminée en fonction du type et de la taille de la clé de signature.
-F, --former codage
Encodage du fichier de certificat créé. Soit la (ASN.1 DER) ou pem (Base64
PEM), par défaut la.
-b, --Californie
Incluez l'extension CA basicConstraint dans le certificat.
-tu, --crl Links
URI du point de distribution CRL à inclure dans le certificat. Utilisable plusieurs fois.
-JE, --crlissuer émetteur
Émetteur CRL facultatif pour le CRL au point de distribution précédent.
-o, --ocsp Links
OCSP AuthorityInfoAccess URI à inclure dans le certificat. Peut être utilisé plusieurs fois.
-p, --chemin len
Définir la contrainte de longueur de chemin.
-n, --nc-autorisé nom
Ajoutez l'extension NameConstraint autorisée au certificat. Pour DNS ou e-mail
contraintes, le type d'identité n'est pas toujours détectable par le nom donné. Utilisez le
DNS : or Courriel: préfixe pour forcer un type de contrainte.
-N, --nc-exclu nom
Ajoutez l'extension NameConstraint exclue au certificat. Pour les contraintes DNS ou email,
le type d'identité n'est pas toujours détectable par le nom donné. Utilisez le DNS : or
Courriel: préfixe pour forcer un type de contrainte.
-M, --mappage des politiques issuer-oid:sujet-oid
Ajouter policyMapping de l'émetteur à l'OID du sujet.
-ET, --policy-explicite len
Ajoutez la contrainte requireExplicitPolicy.
-H, --policy-inhiber len
Ajoutez la contrainte inhibitPolicyMapping.
-UNE, --policy-any len
Ajoutez la contrainte inhibitAnyPolicy.
Certificat de confidentialité
Plusieurs extensions certificatePolicy peuvent être ajoutées. Chacun avec les informations suivantes :
-P, --cert-politique oid
OID à inclure dans l'extension certificatePolicy. Obligatoire.
-Ç, --cps-uri Links
Déclaration de pratiques de certification URI pour certificatePolicy.
-U, --avis d'utilisateur texte
Avis d'utilisateur pour certificatePolicy.
EXEMPLES
Pour économiser la frappe répétitive, les options de ligne de commande peuvent être stockées dans des fichiers. Assumons
pki.opt contient le contenu suivant :
--cacert ca_cert.der --cakey ca_key.der --digest sha256
--flag serverAuth --lifetime 1460 --type pkcs10
La commande suivante peut alors être utilisée pour émettre un certificat basé sur un PKCS#10 donné
demande de certificat et les options ci-dessus :
pki --issue --options pki.opt --in req.der > cert.der
Utiliser pki---issue en ligne à l'aide des services onworks.net
