Il s'agit de la commande pki-key qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
pki-key - Interface de ligne de commande pour la gestion des clés du système de certificats.
SYNOPSIS
pki [Options CLI] -clé
pki [Options CLI] -clé-trouver [options de commande]
pki [Options CLI] -key-show [options de commande]
pki [Options CLI] -clé-demande-trouver [options de commande]
pki [Options CLI] -key-request-show [options de commande]
pki [Options CLI] -clé-mod [options de commande]
pki [Options CLI] -clé-modèle-trouver [options de commande]
pki [Options CLI] -key-template-show <Modèle identifiant> [options de commande]
pki [Options CLI] -clé-archive [options de commande]
pki [Options CLI] -clé-récupérer [options de commande]
pki [Options CLI] -key-generate --key-algorithm [options de commande]
pki [Options CLI] -clé-récupérer [options de commande]
pki [Options CLI] -clé-demande-examen --action [options de commande]
DESCRIPTION
Le manuel de formation clé pki Les commandes fournissent des interfaces de ligne de commande pour gérer les clés sur le KRA.
Le seul sous-système valide est kraL’ Kra- le préfixe peut être omis.
pki [Options CLI] -clé
Cette commande répertorie les raccourcis clavier disponibles.
pki [Options CLI] -clé-trouver [options de commande]
Cette commande permet de lister les clés.
pki [Options CLI] -key-show [options de commande]
Cette commande permet d'afficher les détails d'une clé dans le KRA.
pki [Options CLI] -clé-demande-trouver [options de commande]
Cette commande répertorie les demandes de clé.
pki [Options CLI] -key-request-show [options de commande]
Cette commande permet d'afficher les détails d'une demande de clé soumise au KRA.
pki [Options CLI] -clé-mod --statut [options de commande]
Cette commande sert à modifier l'état d'une clé particulière dans le KRA.
pki [Options CLI] -clé-modèle-trouver [options de commande]
Cette commande répertorie les modèles pour tous les types de requêtes dans le système.
pki [Options CLI] -key-template-show [options de commande]
Cette commande permet d'afficher les détails du modèle d'une demande de clé spécifique.
pki [Options CLI] -clé-archive [options de commande]
Cette commande permet d'archiver un secret dans le DRM.
pki [Options CLI] -clé-récupérer [options de commande]
Cette commande permet de récupérer un secret stocké dans le DRM.
pki [Options CLI] -key-generate --key-algorithm
[options de commande]
Cette commande sert à générer une clé dans le DRM.
pki [Options CLI] -clé-récupérer [options de commande]
Cette commande permet de récupérer les détails d'une clé dans le DRM.
pki [Options CLI] -clé-demande-examen [options de commande]
Cette commande permet d'examiner une demande de clé soumise par le DRM.
OPTIONS
Les options CLI sont décrites dans pki (1).
OPÉRATIONS
Pour afficher les raccourcis clavier disponibles, tapez pki -clé. Pour afficher l'utilisation de chaque commande,
type pki -clé- --Aidez-moi.
Tous les raccourcis clavier nécessitent une authentification de l'agent.
Voir le clés
Pour afficher les clés stockées dans DRM :
pki <agent authentification> recherche de clé
Pour afficher toutes les clés actives pour un ID de clé client spécifique :
pki <agent authentification> recherche de clé --IDCléClient <Client ACTIVITES identifiant> --statut infection
Pour afficher les détails d'une clé spécifique :
pki <agent authentification> spectacle clé
Archivage a clé
Pour archiver une phrase secrète dans le DRM :
pki <agent authentification> clé-archive --IDCléClient <Client ACTIVITES identifiant> --phrase de passe
Une clé symétrique peut être archivée à l'aide du modèle de requête "archiveKey".
Pour archiver un secret à l'aide du modèle de demande stocké dans un fichier :
pki <agent authentification> clé-archive --saisir à le modèle fichier>
Récupération a clé
Pour récupérer une clé à l'aide de l'ID de clé :
pki <agent authentification> récupération de clé --IDclé <Clé Identifiant>
Pour récupérer une clé à l'aide d'un modèle de demande de récupération :
pki <agent authentification> récupération de clé --saisir
Pour récupérer une clé chiffrée dans un mot de passe personnalisé :
pki <agent authentification> récupération de clé --IDclé <Clé Identifiant> --phrase de passe
La sortie renvoyée contient le secret enveloppé dans la phrase secrète fournie, en utilisant DES3
algorithme et le nonce utilisé pour le cryptage.
Pour stocker les informations de clé dans un fichier de sortie, utilisez l'option --output pour la commande.
Récupération a clé
Pour lancer une récupération de clé :
pki <agent authentification> clé-récupérer --IDclé <Clé Identifiant>
L'ID de demande renvoyé par cette opération doit être approuvé à l'aide du clé-demande-examen
commande avant la récupération réelle de la clé.
Cette étape est effectuée en interne par la commande key-retrieve.
Génération a Symétrique ACTIVITES
Pour générer une clé symétrique à l'aide de l'algorithme DES3 :
pki <agent authentification> clé-générer <Client ACTIVITES identifiant> --key-algorithme DES3 --coutumes
emballer, déballer
Il existe d'autres algorithmes pour générer des clés symétriques tels que AES, DES, DESede, RC2,
RC4.
En cas d'utilisation de l'un des algorithmes AES/RC2/RC4, la taille de la clé doit être spécifiée à l'aide
l'option de taille de clé de la commande.
La génération de clés asymétriques n'est actuellement pas implémentée.
Révision a clé demandez
Pour approuver une demande de clé :
pki <agent authentification> clé-demande-examen <Demande identifiant> --action approuver
Une fois l'authentification réussie, la demande avec l'ID de demande donné sera approuvée.
Là, d'autres actions qui peuvent être effectuées par un agent sont rejeter/annuler.
Voir a demandez modèle
Pour répertorier tous les modèles de demande de clé :
pki <agent authentification> modèle-clé-trouver
Pour afficher un modèle de demande d'archivage de clé :
pki <agent authentification> modèle-clé-spectacle clé d'archive
EXEMPLES
Les exemples de clients pki suivants montrent l'utilisation des opérations ci-dessus pour une autorité de certification de base
et l'installation du serveur KRA.
Une installation de base des serveurs CA et KRA peut être effectuée en exécutant pkispawn en mode interactif
mode et en sélectionnant les paramètres par défaut (voir la section INTERACTIF MODE in
pkispawn(8))
ou à l'aide d'un fichier de configuration avec les paramètres de base (voir la section EXEMPLES in
pkispawn(8)).
Seul un agent peut effectuer des opérations sur le clé Ressource. Un certificat d'agent doit être
utilisé pour l'authentification. Cela peut être fait en important un certificat d'agent dans un NSS
base de données et en passant les valeurs aux options pertinentes fournies par le framework CLI pki.
L'exécution des commandes suivantes configurera la base de données NSS pour une utilisation par un client pki et
importer le certificat de l'agent dans la base de données et lister les informations (y compris le
pseudo) du certificat stocké dans la base de données.
- certutil -N -d
- pk12util -i -ré
- certutil -L -d
La première commande crée une base de données NSS. Il demande d'entrer un mot de passe pour la base de données.
La deuxième commande importe le certificat d'agent au format PKCS12 dans la base de données. Ce
demande les mots de passe du fichier PKCS12 et de la base de données NSS. La troisième commande
affiche les informations sur le certificat importé. (y compris le surnom)
À des fins de démonstration, le certificat d'administrateur peut être utilisé pour exécuter l'agent
authentification. Dans une configuration d'installation de base, le certificat d'administrateur peut être trouvé à l'adresse
/root/.dogtag/pki-tomcat/ca_admin_cert.p12. Étant donné que l'installation ne peut être effectuée que
par un utilisateur root, ce fichier doit être copié dans un emplacement où d'autres utilisateurs peuvent y accéder,
avec des autorisations valides.
A la fin de l'installation, et lors de l'émission de la première commande à l'aide de l'authentification
paramètres, un utilisateur peut être accueilli avec un message d'avertissement qui indique qu'un
l'émetteur a été rencontré. Répondez simplement « Y » pour importer le certificat CA et, en supposant
que l'URI du serveur CA affiché est valide, appuyez sur le retour chariot.
Pour répertorier toutes les clés et demandes de clés stockées dans KRA :
pki -d -c -n recherche de clé
pki -d -c -n demande-clé-trouver
Pour afficher les informations d'une clé spécifique ou d'une demande de clé stockée dans KRA :
pki -d -c -n spectacle clé <Clé identifiant>
pki -d -c -n demande-clé-show
<Demande identifiant>
Création d'une demande d'archivage/récupération/récupération d'une clé
pki -d -c -n clé-archive
--IDCléClient vek12345 --phrase de passe ÉchantillonSecret
pki -d -c -n récupération de clé --IDclé
<Clé ID of le archivés secret>
pki -d -c -n clé-récupérer --IDclé
<Clé ID of le archivés secret>
Générer une clé symétrique
pki -d -c -n clé-générer
vek123456 --key-algorithme DES3 --coutumes crypter décrypter
Examen d'une demande de clé
pki -d -c -n clé-demande-examen
<Demande identifiant> --action
En utilisant modèles pour créez. demandes (Pour Avancée utilisateurs)
Les messages de communication entre le framework CLI et KRA pour accéder à la clé
ressource sont toujours cryptées.
Dans le cas des exemples mentionnés ci-dessus, le cryptage et le décryptage des secrets
est fait en interne par l'API client Dogtag.
Mais, les applications utilisant le framework CLI pour créer diverses requêtes et utilisent également des
cryptage, de sorte que les modèles XML peuvent être utilisés pour fournir des données à la création d'une demande.
Tous les modèles peuvent être répertoriés en exécutant :
pki modèle-clé-trouver
La création a archivage des clés demandez
Pour récupérer le modèle pour l'archivage des clés :
pki modèle-clé-spectacle clé d'archive --output <sortie fichier>
Cette commande obtient le modèle d'une demande d'archivage de clé et le stocke dans un fichier de sortie.
Voici la description des différents paramètres du modèle d'archivage de clé :
-- clientKeyID - Identificateur unique du secret.
-- dataType - Type des données à stocker qui peut être
mot de passe/clé symétrique/clé asymétrique.
-- keyAlgorithm - Algorithme utilisé pour créer une clé symétrique. (Non requis si le
dataType est une phrase secrète)
--keySize - Taille utilisée pour générer la clé symétrique. (Non requis si le type de données est
phrase secrète)
-- algorithmOID - Identificateur d'objet d'algorithme de clé
-- symmetricAlgorithmParams - Données nonce codées en Base64. Nonce utilisé lors du cryptage
le secret.
-- WrappedPrivateData - Secret chiffré à l'aide d'une clé de session (clé symétrique) encodée
en utilisant Base64. Cette entité contient le secret qui est chiffré à l'aide d'une clé de session.
-- transWrappedSessionKey - La clé de session utilisée pour chiffrer le secret, encapsulée à l'aide
la clé de transport DRM et codée au format Base64.
-- pkiArchiveOptions - Un objet de type PKIArchiveOptions fourni par le NSS/JSS
bibliothèque pour transporter en toute sécurité un secret encodé au format Base64.
Pour créer une demande d'archivage à l'aide du fichier modèle :
pki -d -c -n clé-archive --saisir
La création a récupération de clé demandez
Pour récupérer le modèle de récupération de clé :
pki modèle-clé-spectacle récupérerClé --output <sortie fichier>
Cette commande obtient le modèle pour une demande de récupération de clé et le stocke dans une sortie
fichier.
Voici la description des différents paramètres du modèle de récupération de clé :
-- keyID - Identificateur de clé
-- requestID - Identificateur de demande de clé
-- nonceData - chaîne de nonce codée en Base64 utilisée lors du cryptage
-- passphrase - passphrase pour chiffrer le secret avec/ passphrase pour le fichier PKCS12
revenu
-- sessionWrappedpassphrase - Chaîne encodée en base64 de - Passphrase chiffré avec un
clé de session.
-- transWrapedSessionKey - Chaîne encodée en Base64 de - clé de session chiffrée avec les KRA
clé de transport.
--certificat - Certificat codé en Base64 pour récupérer la clé.
Pour créer une demande de récupération à l'aide du fichier modèle :
pki -d -c -n récupération de clé --saisir
La création a symétrique clé génération demandez
Pour récupérer le modèle pour la génération de clé symétrique :
pki modèle-clé-spectacle générerClé --output <sortie fichier>
Cette commande obtient le modèle pour une demande de génération de clé symétrique et le stocke dans un
fichier de sortie.
Voici la description des différents paramètres du modèle de récupération de clé :
-- clientKeyID - Identificateur de clé unique spécifié par le client
-- keyAlgorithm - Algorithme à utiliser pour générer la clé (AES/DES/DES3/DESede/RC2/RC4)
--keySize - Valeur de la taille de la clé à générer.
-- keyUsage - utilisations de la clé générée (encapsuler, déballer, signer, vérifier, crypter, décrypter)
Pour créer une demande de génération de clé à l'aide du fichier modèle :
pki -d -c -n clé-générer --saisir
AUTEURS
Ade Lee[email protected]>, Endi Dewata[email protected]>, Matthew Harmsen
<[email protected]> et Abhishek Koneru[email protected]>.
DROIT D'AUTEUR
Copyright (c) 2014 Red Hat, Inc. Ceci est sous licence GNU General Public License,
version 2 (GPLv2). Une copie de cette licence est disponible sur http://www.gnu.org/licenses/old-
licences/gpl-2.0.txt.
Utiliser pki-key en ligne à l'aide des services onworks.net
