यह कमांड सर्टिफिकेट है जिसे हमारे कई मुफ्त ऑनलाइन वर्कस्टेशन जैसे कि उबंटू ऑनलाइन, फेडोरा ऑनलाइन, विंडोज ऑनलाइन एमुलेटर या मैक ओएस ऑनलाइन एमुलेटर का उपयोग करके ऑनवर्क्स फ्री होस्टिंग प्रदाता में चलाया जा सकता है।
कार्यक्रम:
नाम
सर्टिफिकेट - एनएसएस डेटाबेस और अन्य एनएसएस टोकन दोनों में कुंजी और प्रमाणपत्र प्रबंधित करें
SYNOPSIS
certutil [विकल्पों] [[तर्क]]
स्थिति
यह दस्तावेज अभी भी प्रगति पर है। कृपया प्रारंभिक समीक्षा में योगदान करें
मोज़िला एनएसएस बग 836477[1]
वर्णन
प्रमाणपत्र डेटाबेस उपकरण, certutil, एक कमांड-लाइन उपयोगिता है जो बना सकती है और
प्रमाणपत्र और प्रमुख डेटाबेस संशोधित करें। यह विशेष रूप से सूचीबद्ध, उत्पन्न, संशोधित या कर सकता है
प्रमाणपत्र हटाएं, पासवर्ड बनाएं या बदलें, नई सार्वजनिक और निजी कुंजी बनाएं
जोड़े, कुंजी डेटाबेस की सामग्री प्रदर्शित करें, या कुंजी के भीतर कुंजी जोड़े हटा दें
डेटाबेस।
प्रमाणपत्र जारी करना, कुंजी और प्रमाणपत्र प्रबंधन प्रक्रिया का हिस्सा है, जिसके लिए इसकी आवश्यकता होती है
कुंजी डेटाबेस में कुंजियाँ और प्रमाणपत्र बनाए जाएंगे। यह दस्तावेज़ प्रमाणपत्र पर चर्चा करता है
और प्रमुख डेटाबेस प्रबंधन। सुरक्षा मॉड्यूल डेटाबेस प्रबंधन पर जानकारी के लिए,
देख मोडुटिल मैनपेज
कमान विकल्प और बहस
रनिंग certutil प्रकार निर्दिष्ट करने के लिए हमेशा एक और केवल एक कमांड विकल्प की आवश्यकता होती है
प्रमाणपत्र संचालन. प्रत्येक कमांड विकल्प में शून्य या अधिक तर्क हो सकते हैं। आदेश
विकल्प -H सभी कमांड विकल्पों और उनके प्रासंगिक तर्कों को सूचीबद्ध करेगा।
आदेश ऑप्शंस
-A
किसी प्रमाणपत्र डेटाबेस में मौजूदा प्रमाणपत्र जोड़ें। प्रमाणपत्र डेटाबेस चाहिए
पहले से ही मौजूद; यदि कोई मौजूद नहीं है, तो यह कमांड विकल्प एक-एक करके प्रारंभ हो जाएगा
चूक।
-B
निर्दिष्ट बैच फ़ाइल से आदेशों की एक श्रृंखला चलाएँ। इसके लिए आवश्यक है -i तर्क।
-C
बाइनरी प्रमाणपत्र अनुरोध फ़ाइल से एक नई बाइनरी प्रमाणपत्र फ़ाइल बनाएँ। उपयोग
-i प्रमाणपत्र अनुरोध फ़ाइल निर्दिष्ट करने के लिए तर्क। यदि इस तर्क का उपयोग नहीं किया जाता है,
certutil फ़ाइल नाम के लिए संकेत देता है.
-D
प्रमाणपत्र डेटाबेस से प्रमाणपत्र हटाएँ.
--नाम बदलें
किसी प्रमाणपत्र का डेटाबेस उपनाम बदलें.
-E
प्रमाणपत्र डेटाबेस में एक ईमेल प्रमाणपत्र जोड़ें।
-F
कुंजी डेटाबेस से एक निजी कुंजी हटाएँ। -n के साथ हटाने की कुंजी निर्दिष्ट करें
तर्क। उस डेटाबेस को निर्दिष्ट करें जिसमें से कुंजी को हटाना है -d तर्क। उपयोग
la -k स्पष्ट रूप से निर्दिष्ट करने के लिए तर्क कि डीएसए, आरएसए, या ईसीसी कुंजी को हटाना है या नहीं। अगर आप
का उपयोग न करें -k तर्क, विकल्प निर्दिष्ट से मेल खाने वाली आरएसए कुंजी की तलाश करता है
उपनाम।
जब आप कुंजियाँ हटाते हैं, तो उनसे जुड़े प्रमाणपत्रों को भी हटाना सुनिश्चित करें
-D का उपयोग करके प्रमाणपत्र डेटाबेस से कुंजियाँ। कुछ स्मार्ट कार्ड आपको इसकी अनुमति नहीं देते
आपके द्वारा जेनरेट की गई सार्वजनिक कुंजी हटाएं। ऐसे मामले में, केवल निजी कुंजी ही है
कुंजी युग्म से हटा दिया गया. आप सार्वजनिक कुंजी को कमांड certutil -K के साथ प्रदर्शित कर सकते हैं
-h टोकननाम.
-G
एक कुंजी डेटाबेस के भीतर एक नई सार्वजनिक और निजी कुंजी जोड़ी बनाएं। प्रमुख डेटाबेस
पहले से ही मौजूद होना चाहिए; यदि कोई मौजूद नहीं है, तो यह कमांड विकल्प एक को आरंभ करेगा
डिफ़ॉल्ट रूप से। कुछ स्मार्ट कार्ड केवल एक कुंजी जोड़ी संग्रहीत कर सकते हैं। यदि आप एक नई कुंजी जोड़ी बनाते हैं
ऐसे कार्ड के लिए, पिछली जोड़ी को अधिलेखित कर दिया जाता है।
-H
कमांड विकल्पों और तर्कों की एक सूची प्रदर्शित करें।
-K
कुंजी डेटाबेस में कुंजियों की कुंजी आईडी सूचीबद्ध करें। एक कुंजी आईडी आरएसए कुंजी का मापांक है या
डीएसए कुंजी का सार्वजनिक मूल्य। आईडी हेक्साडेसिमल में प्रदर्शित की जाती हैं ("0x" नहीं दिखाया गया है)।
-L
सभी प्रमाणपत्रों को सूचीबद्ध करें, या नामित प्रमाणपत्र के बारे में जानकारी प्रदर्शित करें
प्रमाणपत्र डेटाबेस. प्रमाणपत्र निर्दिष्ट करने के लिए -h टोकननाम तर्क का उपयोग करें
किसी विशेष हार्डवेयर या सॉफ़्टवेयर टोकन पर डेटाबेस।
-M
-t तर्क के मानों का उपयोग करके प्रमाणपत्र की विश्वास विशेषताओं को संशोधित करें।
-N
नए प्रमाणपत्र और प्रमुख डेटाबेस बनाएं.
-O
प्रमाणपत्र श्रृंखला प्रिंट करें.
-R
एक प्रमाणपत्र अनुरोध फ़ाइल बनाएं जिसे प्रमाणपत्र प्राधिकारी को सबमिट किया जा सके
(सीए) एक तैयार प्रमाणपत्र में प्रसंस्करण के लिए। आउटपुट डिफ़ॉल्ट रूप से मानक आउट हो जाता है
जब तक आप -o आउटपुट-फ़ाइल तर्क का उपयोग नहीं करते। ASCII आउटपुट निर्दिष्ट करने के लिए -a तर्क का उपयोग करें।
-S
एक व्यक्तिगत प्रमाणपत्र बनाएं और उसे प्रमाणपत्र डेटाबेस में जोड़ें।
-T
कुंजी डेटाबेस या टोकन रीसेट करें.
-U
सभी उपलब्ध मॉड्यूल सूचीबद्ध करें या एकल नामित मॉड्यूल प्रिंट करें।
-V
किसी प्रमाणपत्र की वैधता और उसकी विशेषताओं की जाँच करें।
-W
पासवर्ड को कुंजी डेटाबेस में बदलें।
--मर्ज
दो डेटाबेस को एक में मिलाएं।
--अपग्रेड-विलय
किसी पुराने डेटाबेस को अपग्रेड करें और उसे एक नए डेटाबेस में मर्ज करें। इसका उपयोग माइग्रेट करने के लिए किया जाता है
लीगेसी एनएसएस डेटाबेस (cert8.db और key3.db) को नए SQLite डेटाबेस (cert9.db) में
और key4.db).
तर्क
तर्क एक कमांड विकल्प को संशोधित करते हैं और आमतौर पर छोटे अक्षर, संख्या या प्रतीक होते हैं।
-a
ASCII प्रारूप का उपयोग करें या इनपुट या आउटपुट के लिए ASCII प्रारूप के उपयोग की अनुमति दें। यह स्वरूपण
RFC 1113 का अनुसरण करता है। प्रमाणपत्र अनुरोधों के लिए, ASCII आउटपुट मानक आउटपुट पर डिफ़ॉल्ट होता है
जब तक पुनर्निर्देशित न किया जाए.
-बी वैधता-समय
वह समय निर्दिष्ट करें जब प्रमाणपत्र का वैध होना आवश्यक है। जाँच करते समय उपयोग करें
प्रमाणपत्र वैधता के साथ -V विकल्प। का प्रारूप वैधता-समय तर्क है
YYMMDDHHMMSS[+HHMM|-HHMM|Z], जो वैधता के सापेक्ष ऑफसेट सेट करने की अनुमति देता है
अंत समय। सेकंड निर्दिष्ट करना (SS) वैकल्पिक है. स्पष्ट समय निर्दिष्ट करते समय, a का उपयोग करें
कार्यकाल के अंत में Z, YYMMDDHHMMSSZ, इसे बंद करने के लिए. ऑफसेट समय निर्दिष्ट करते समय,
उपयोग YYMMDDHHMMSS+HHMM or YYMMDDHHMMSS-एचएचएमएम समय जोड़ने या घटाने के लिए,
क्रमशः.
यदि इस विकल्प का उपयोग नहीं किया जाता है, तो वैधता जांच वर्तमान सिस्टम समय पर डिफ़ॉल्ट हो जाती है।
-सी जारीकर्ता
सीए के प्रमाणपत्र की पहचान करें जिससे नया प्रमाणपत्र प्राप्त होगा
प्रामाणिकता सीए प्रमाणपत्र के सटीक उपनाम या उपनाम का उपयोग करें, या सीए का उपयोग करें
मेल पता। यदि जारीकर्ता स्ट्रिंग में रिक्त स्थान हैं तो उसे उद्धरण चिह्नों के साथ ब्रैकेट करें।
-डी [उपसर्ग]निर्देशिका
प्रमाणपत्र और कुंजी डेटाबेस फ़ाइलों वाली डेटाबेस निर्देशिका निर्दिष्ट करें।
certutil दो प्रकार के डेटाबेस का समर्थन करता है: विरासत सुरक्षा डेटाबेस (cert8.db,
key3.db, और secmod.db) और नए SQLite डेटाबेस (cert9.db, key4.db, और pkcs11.txt)।
एनएसएस निम्नलिखित उपसर्गों को पहचानता है:
· एसक्यूएल: नए डेटाबेस का अनुरोध करता है
· डीबीएम: लीगेसी डेटाबेस का अनुरोध करता है
यदि कोई उपसर्ग निर्दिष्ट नहीं है तो डिफ़ॉल्ट प्रकार NSS_DEFAULT_DB_TYPE से पुनर्प्राप्त किया जाता है। अगर
तब NSS_DEFAULT_DB_TYPE सेट नहीं है डीबीएम: डिफ़ॉल्ट है।
--डंप-एक्सट-वैल ओआईडी
एकल प्रमाणपत्र के लिए, एक्सटेंशन ओआईडी की बाइनरी डीईआर एन्कोडिंग प्रिंट करें।
-e
किसी प्रमाणपत्र को मान्य करने की प्रक्रिया के दौरान प्रमाणपत्र के हस्ताक्षर की जाँच करें।
--ईमेल ईमेल-पता
सूचीबद्ध करने के लिए प्रमाणपत्र का ईमेल पता निर्दिष्ट करें। -L कमांड विकल्प के साथ प्रयोग किया जाता है।
--extGeneric OID:critical-flag:filename[,OID:critical-flag:filename]...
एक या एकाधिक एक्सटेंशन जोड़ें जिन्हें Certutil अभी तक एन्कोड नहीं कर सका है, उन्हें लोड करके
बाहरी फ़ाइलों से एन्कोडिंग.
· ओआईडी (उदाहरण): 1.2.3.4
· क्रिटिकल-फ़्लैग: क्रिटिकल या नॉट-क्रिटिकल
· फ़ाइल नाम: एन्कोडेड एक्सटेंशन वाली फ़ाइल का पूरा पथ
-f पासवर्ड-फ़ाइल
एक फ़ाइल निर्दिष्ट करें जो प्रमाणपत्र में शामिल करने के लिए स्वचालित रूप से पासवर्ड प्रदान करेगी
या प्रमाणपत्र डेटाबेस तक पहुंचने के लिए। यह एक सादा-पाठ फ़ाइल है जिसमें एक है
पासवर्ड। इस फ़ाइल तक अनधिकृत पहुंच को रोकना सुनिश्चित करें।
-जी कुंजी का आकार
नए सार्वजनिक और निजी कुंजी जोड़े बनाते समय उपयोग करने के लिए एक कुंजी आकार सेट करें। न्यूनतम है
512 बिट्स और अधिकतम 16384 बिट्स है। डिफ़ॉल्ट 2048 बिट्स है. के बीच कोई भी आकार
न्यूनतम और अधिकतम की अनुमति है.
-h टोकननाम
उपयोग करने या उस पर कार्य करने के लिए टोकन का नाम निर्दिष्ट करें। यदि निर्दिष्ट नहीं है तो डिफ़ॉल्ट टोकन है
आंतरिक डेटाबेस स्लॉट.
-आई इनपुट_फ़ाइल
कमांड में एक इनपुट फ़ाइल पास करें। कमांड विकल्प के आधार पर, एक इनपुट फ़ाइल हो सकती है
एक विशिष्ट प्रमाणपत्र, एक प्रमाणपत्र अनुरोध फ़ाइल, या आदेशों की एक बैच फ़ाइल हो।
-k कुंजी-प्रकार-या-आईडी
कुंजी का प्रकार या विशिष्ट आईडी निर्दिष्ट करें।
वैध कुंजी प्रकार के विकल्प आरएसए, डीएसए, ईसी या सभी हैं। डिफ़ॉल्ट मान rsa है.
कुंजी के प्रकार को निर्दिष्ट करने से डुप्लिकेट उपनामों के कारण होने वाली गलतियों से बचा जा सकता है। ए देना
कुंजी प्रकार एक नई कुंजी जोड़ी उत्पन्न करता है; किसी मौजूदा कुंजी की आईडी देने से उस कुंजी का पुन: उपयोग होता है
जोड़ी (जो प्रमाणपत्रों को नवीनीकृत करने के लिए आवश्यक है)।
-l
-V विकल्प के साथ प्रमाणपत्र को सत्यापित करते समय विस्तृत जानकारी प्रदर्शित करें।
-एम सीरियल नंबर
बनाए जा रहे प्रमाणपत्र के लिए एक अद्वितीय क्रमांक निर्दिष्ट करें। यह ऑपरेशन होना चाहिए
एक सीए द्वारा किया गया. यदि कोई सीरियल नंबर प्रदान नहीं किया गया है तो एक डिफ़ॉल्ट सीरियल नंबर बनाया जाता है
वर्तमान समय से. क्रम संख्याएँ पूर्णांकों तक सीमित हैं
-एन उपनाम
सूची बनाने, बनाने, डेटाबेस में जोड़ने के लिए प्रमाणपत्र या कुंजी का उपनाम निर्दिष्ट करें,
संशोधित करें, या मान्य करें। यदि उपनाम स्ट्रिंग में उद्धरण चिह्न हैं तो उसे ब्रैकेट में रखें
रिक्त स्थान।
-o आउटपुट-फ़ाइल
नए प्रमाणपत्रों या बाइनरी प्रमाणपत्र अनुरोधों के लिए आउटपुट फ़ाइल नाम निर्दिष्ट करें।
यदि आउटपुट-फ़ाइल स्ट्रिंग में रिक्त स्थान हैं तो उसे उद्धरण चिह्नों के साथ ब्रैकेट करें। यदि यह हो तो
तर्क का उपयोग नहीं किया जाता है, आउटपुट गंतव्य मानक आउटपुट पर डिफ़ॉल्ट हो जाता है।
-पी डीबीप्रीफिक्स
प्रमाणपत्र और कुंजी डेटाबेस फ़ाइल पर प्रयुक्त उपसर्ग निर्दिष्ट करें। ये तर्क है
लीगेसी सर्वरों का समर्थन करने के लिए प्रदान किया गया। अधिकांश एप्लिकेशन डेटाबेस उपसर्ग का उपयोग नहीं करते हैं।
-पी फ़ोन
नए प्रमाणपत्रों या प्रमाणपत्र में शामिल करने के लिए एक संपर्क टेलीफ़ोन नंबर निर्दिष्ट करें
अनुरोध. यदि इस स्ट्रिंग में रिक्त स्थान हैं तो इसे उद्धरण चिह्नों के साथ ब्रैकेट करें।
-q pqgफ़ाइल या वक्र-नाम
DSA कुंजी जोड़े बनाते समय निर्दिष्ट फ़ाइल से एक वैकल्पिक PQG मान पढ़ें। अगर
इस तर्क का उपयोग नहीं किया गया है, certutil अपना स्वयं का PQG मान उत्पन्न करता है। PQG फ़ाइलें बनाई जाती हैं
एक अलग डीएसए उपयोगिता के साथ।
अण्डाकार वक्र नाम SUITE B में से एक है: nistp256, nistp384, nistp521
यदि एनएसएस को सुइट बी के बाहर समर्थन वक्रों के साथ संकलित किया गया है: संप्रदाय163के1, एनआईएसटीके163,
sect163r1, sec163r2, nistb163, sect193r1, sec193r2, sec233k1, nistk233, sect233r1,
nistb233, संप्रदाय239k1, संप्रदाय283k1, nistk283, संप्रदाय283r1, nistb283, संप्रदाय409k1, nistk409,
secp409r1, nistb409, secp571k1, nishk571, sect571r1, nistb571, secp160k1, secp160r1,
secp160r2, secp192k1, secp192r1, nistp192, secp224k1, secp224r1, Nistp224, secp256k1,
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2
-r
किसी प्रमाणपत्र के बारे में जानकारी सूचीबद्ध करते समय उसकी बाइनरी डीईआर एन्कोडिंग प्रदर्शित करें
-L विकल्प वाला प्रमाणपत्र।
-एस विषय
नए प्रमाणपत्रों या प्रमाणपत्र अनुरोधों के लिए किसी विशेष प्रमाणपत्र स्वामी की पहचान करें।
यदि इस स्ट्रिंग में रिक्त स्थान हैं तो इसे उद्धरण चिह्नों के साथ ब्रैकेट करें। विषय
पहचान प्रारूप RFC #1485 का अनुसरण करता है।
-t Trustargs
किसी मौजूदा प्रमाणपत्र में संशोधन करने या उस पर लागू करने के लिए ट्रस्ट विशेषताएँ निर्दिष्ट करें
इसे बनाते समय या डेटाबेस में जोड़ते समय प्रमाणपत्र। तीन उपलब्ध हैं
प्रत्येक प्रमाणपत्र के लिए विश्वास श्रेणियां, क्रम में व्यक्त की गई हैं एसएसएल, ईमेल, वस्तु
पर हस्ताक्षर प्रत्येक ट्रस्ट सेटिंग के लिए. प्रत्येक श्रेणी की स्थिति में, कोई नहीं, कोई भी, या सभी का उपयोग करें
विशेषता कोड:
· p - मान्य सहकर्मी
· P - विश्वसनीय सहकर्मी (पी का तात्पर्य)
· c - वैध सीए
· T - विश्वसनीय सीए (सी का अर्थ है)
· C - क्लाइंट प्रमाणीकरण के लिए विश्वसनीय सीए (केवल एसएसएल सर्वर)
· u - उपयोगकर्ता
श्रेणियों के लिए विशेषता कोड को अल्पविराम और पूरे सेट से अलग किया जाता है
उद्धरण चिह्नों से संलग्न विशेषताएँ। उदाहरण के लिए:
-t "TCu,Cu,Tu"
वर्तमान प्रमाणपत्रों और ट्रस्ट विशेषताओं की सूची देखने के लिए -L विकल्प का उपयोग करें
प्रमाणपत्र डेटाबेस.
-यू प्रमाणपत्र
-V विकल्प के साथ प्रमाणपत्र को मान्य करते समय लागू करने के लिए उपयोग संदर्भ निर्दिष्ट करें।
प्रसंग निम्नलिखित हैं:
· C (एसएसएल क्लाइंट के रूप में)
· V (एसएसएल सर्वर के रूप में)
· L (एसएसएल सीए के रूप में)
· A (किसी भी सीए के रूप में)
· Y (सीए सत्यापित करें)
· S (एक ईमेल हस्ताक्षरकर्ता के रूप में)
· R (ईमेल प्राप्तकर्ता के रूप में)
· O (ओसीएसपी स्थिति प्रत्युत्तरकर्ता के रूप में)
· J (एक वस्तु हस्ताक्षरकर्ता के रूप में)
-v वैध-महीने
नए प्रमाणपत्र के वैध होने के महीनों की संख्या निर्धारित करें। वैधता अवधि शुरू होती है
वर्तमान सिस्टम समय पर जब तक कि इसके साथ कोई ऑफसेट जोड़ा या घटाया न जाए -w विकल्प.
यदि इस तर्क का उपयोग नहीं किया जाता है, तो डिफ़ॉल्ट वैधता अवधि तीन महीने है।
-w ऑफसेट-महीने
की शुरुआत के लिए, मौजूदा सिस्टम समय से, महीनों में एक ऑफसेट सेट करें
प्रमाणपत्र की वैधता अवधि. प्रमाणपत्र बनाते समय या उसे इसमें जोड़ते समय उपयोग करें
डेटाबेस। ए को इंगित करने के लिए ऋण चिह्न (-) का उपयोग करके ऑफसेट को पूर्णांकों में व्यक्त करें
नकारात्मक ऑफसेट. यदि इस तर्क का उपयोग नहीं किया जाता है, तो वैधता अवधि शुरू होती है
वर्तमान सिस्टम समय. वैधता अवधि की लंबाई -v तर्क के साथ निर्धारित की जाती है।
-X
कुंजी और प्रमाणपत्र डेटाबेस को पढ़ने-लिखने के मोड में खोलने के लिए बाध्य करें। इसके साथ प्रयोग किया जाता है
la -U और -L कमांड विकल्प।
-x
उपयोग certutil किसी प्रमाणपत्र के निर्माण या उसमें जोड़े जाने के लिए हस्ताक्षर उत्पन्न करना
एक अलग सीए से हस्ताक्षर प्राप्त करने के बजाय डेटाबेस।
-य ऍक्स्प
के लिए एक नई आरएसए सार्वजनिक कुंजी उत्पन्न करने में उपयोग करने के लिए एक वैकल्पिक घातांक मान सेट करें
डेटाबेस, 65537 के डिफ़ॉल्ट मान के बजाय। उपलब्ध वैकल्पिक मान 3 हैं
और 17।
-z शोर-फ़ाइल
नई निजी और सार्वजनिक कुंजी उत्पन्न करने के लिए निर्दिष्ट फ़ाइल से बीज मान पढ़ें
जोड़ा। यह तर्क हार्डवेयर-जनित बीज मानों का उपयोग करना संभव बनाता है या
कीबोर्ड से मैन्युअल रूप से एक मान बनाएं। न्यूनतम फ़ाइल आकार 20 बाइट्स है.
-Z हैशअल्ग
-C, -S या -R कमांड विकल्पों के साथ उपयोग करने के लिए हैश एल्गोरिदम निर्दिष्ट करें। संभव
कीवर्ड:
· एमडी2
· एमडी4
· एमडी5
· SHA1
· SHA224
· SHA256
· SHA384
· SHA512
-0 एसएसओ_पासवर्ड
टोकन पर साइट सुरक्षा अधिकारी का पासवर्ड सेट करें।
-1 | --कुंजीउपयोग कीवर्ड, कीवर्ड
प्रमाणपत्र में X.509 V3 प्रमाणपत्र प्रकार एक्सटेंशन सेट करें। वहाँ कई हैं
उपलब्ध कीवर्ड:
· अंगुली का हस्ताक्षर
· गैर परित्याग
· कुंजीज्ञान
· डेटाएन्सिफ़ेरमेंट
· कुंजीसमझौता
· प्रमाणित हस्ताक्षर
· crlहस्ताक्षर करना
· गंभीर
-2
जो प्रमाणपत्र बनाया जा रहा है या उसमें जोड़ा जा रहा है उसमें एक बुनियादी बाधा एक्सटेंशन जोड़ें
डेटाबेस। यह एक्सटेंशन प्रमाणपत्र श्रृंखला सत्यापन प्रक्रिया का समर्थन करता है।
certutil प्रमाणपत्र बाधा एक्सटेंशन का चयन करने के लिए संकेत देता है।
X.509 प्रमाणपत्र एक्सटेंशन RFC 5280 में वर्णित हैं।
-3
जो प्रमाणपत्र बनाया जा रहा है या उसमें जोड़ा जा रहा है, उसमें एक प्राधिकरण कुंजी आईडी एक्सटेंशन जोड़ें
डेटाबेस। यह एक्सटेंशन किसी विशेष प्रमाणपत्र की पहचान का समर्थन करता है
एक विषय के नाम से जुड़े कई प्रमाणपत्रों के बीच, सही जारीकर्ता के रूप में
एक प्रमाण पत्र। सर्टिफिकेट डेटाबेस टूल आपको प्राधिकारी का चयन करने के लिए संकेत देगा
कुंजी आईडी एक्सटेंशन.
X.509 प्रमाणपत्र एक्सटेंशन RFC 5280 में वर्णित हैं।
-4
जो प्रमाणपत्र बनाया या जोड़ा जा रहा है उसमें सीआरएल वितरण बिंदु एक्सटेंशन जोड़ें
एक डेटाबेस के लिए. यह एक्सटेंशन किसी प्रमाणपत्र से संबद्ध URL की पहचान करता है
प्रमाणपत्र निरस्तीकरण सूची (सीआरएल)। certutil यूआरएल के लिए संकेत.
X.509 प्रमाणपत्र एक्सटेंशन RFC 5280 में वर्णित हैं।
-5 | --nsCertType कीवर्ड, कीवर्ड
बनाए जा रहे प्रमाणपत्र में X.509 V3 प्रमाणपत्र प्रकार एक्सटेंशन जोड़ें या
डेटाबेस में जोड़ा गया. कई उपलब्ध कीवर्ड हैं:
· एसएसएलक्लाइंट
· एसएसएलसर्वर
· मुस्कुराओ
· वस्तु पर हस्ताक्षर करना
· एसएसएलसीए
· smimeCA
· ऑब्जेक्टसाइनिंगसीए
· गंभीर
X.509 प्रमाणपत्र एक्सटेंशन RFC 5280 में वर्णित हैं।
-6 | --extKeyUsage कीवर्ड, कीवर्ड
किसी प्रमाणपत्र में एक विस्तारित कुंजी उपयोग एक्सटेंशन जोड़ें जिसे बनाया या जोड़ा जा रहा है
डेटाबेस। कई कीवर्ड उपलब्ध हैं:
· सर्वरऑथ
· क्लाइंटऑथ
· कोड हस्ताक्षर
· ईमेल सुरक्षा
· टाइमस्टैम्प
· ओसीएसपी प्रत्युत्तर
· आगे आना
· msTrustListSign
· गंभीर
X.509 प्रमाणपत्र एक्सटेंशन RFC 5280 में वर्णित हैं।
-7 ईमेल पते
विषय के वैकल्पिक नाम में ईमेल पतों की अल्पविराम से अलग की गई सूची जोड़ें
किसी प्रमाणपत्र या प्रमाणपत्र अनुरोध का विस्तार जो बनाया या जोड़ा जा रहा है
डेटाबेस। विषय वैकल्पिक नाम एक्सटेंशन का वर्णन धारा 4.2.1.7 में किया गया है
आरएफसी 3280.
-8 डीएनएस-नाम
a के विषय वैकल्पिक नाम एक्सटेंशन में DNS नामों की अल्पविराम से अलग की गई सूची जोड़ें
प्रमाणपत्र या प्रमाणपत्र अनुरोध जो डेटाबेस में बनाया या जोड़ा जा रहा है।
विषय वैकल्पिक नाम एक्सटेंशन RFC 4.2.1.7 की धारा 3280 में वर्णित हैं।
--extAIA
प्रमाणपत्र में प्राधिकरण सूचना एक्सेस एक्सटेंशन जोड़ें। X.509 प्रमाणपत्र
एक्सटेंशन RFC 5280 में वर्णित हैं।
--extSIA
प्रमाणपत्र में विषय सूचना पहुंच एक्सटेंशन जोड़ें। X.509 प्रमाणपत्र
एक्सटेंशन RFC 5280 में वर्णित हैं।
--extCP
प्रमाणपत्र में प्रमाणपत्र नीति एक्सटेंशन जोड़ें। X.509 प्रमाणपत्र
एक्सटेंशन RFC 5280 में वर्णित हैं।
--extPM
प्रमाणपत्र में पॉलिसी मैपिंग एक्सटेंशन जोड़ें। X.509 प्रमाणपत्र एक्सटेंशन हैं
आरएफसी 5280 में वर्णित है।
--extPC
प्रमाणपत्र में नीति प्रतिबंध एक्सटेंशन जोड़ें। X.509 प्रमाणपत्र एक्सटेंशन
RFC 5280 में वर्णित हैं।
--extIA
प्रमाणपत्र में इनहिबिट एनी पॉलिसी एक्सेस एक्सटेंशन जोड़ें। X.509 प्रमाणपत्र
एक्सटेंशन RFC 5280 में वर्णित हैं।
--extSKID
प्रमाणपत्र में विषय कुंजी आईडी एक्सटेंशन जोड़ें। X.509 प्रमाणपत्र एक्सटेंशन हैं
आरएफसी 5280 में वर्णित है।
--extNC
प्रमाणपत्र में नाम बाधा एक्सटेंशन जोड़ें। X.509 प्रमाणपत्र एक्सटेंशन हैं
आरएफसी 5280 में वर्णित है।
--extSAN प्रकार:नाम[,प्रकार:नाम]...
एक या एकाधिक नामों वाला सब्जेक्ट ऑल्ट नेम एक्सटेंशन बनाएं।
-प्रकार: निर्देशिका, डीएनएस, डीएनएस, ईडीआई, एडिपार्टी, ईमेल, आईपी, आईपैडडीआर, अन्य, रजिस्टरआईडी,
rfc822, uri, x400, x400addr
--खाली पासवर्ड
-N के साथ नया प्रमाणपत्र डेटाबेस बनाते समय खाली पासवर्ड का उपयोग करें।
--keyAttrFlags attrflags
पीकेसीएस #11 प्रमुख विशेषताएँ। अल्पविराम से अलग की गई प्रमुख विशेषता झंडों की सूची, से चयनित
विकल्पों की निम्नलिखित सूची: {टोकन | सत्र} {सार्वजनिक | निजी} {संवेदनशील |
असंवेदनशील} {परिवर्तनीय | अपरिवर्तनीय} {निकालने योग्य | न निकाला जा सकने वाला}
--keyOpFlagsऑन opflags, --keyOpFlagsOff opflags
पीकेसीएस #11 कुंजी ऑपरेशन फ़्लैग। निम्नलिखित में से एक या अधिक की अल्पविराम से अलग की गई सूची:
{टोकन | सत्र} {सार्वजनिक | निजी} {संवेदनशील | असंवेदनशील} {परिवर्तनीय |
अपरिवर्तनीय} {निकालने योग्य | न निकाला जा सकने वाला}
--नया-एन उपनाम
एक नया उपनाम, जिसका उपयोग प्रमाणपत्र का नाम बदलते समय किया जाता है।
--source-dir certdir
अपग्रेड करने के लिए प्रमाणपत्र डेटाबेस निर्देशिका की पहचान करें।
--स्रोत-उपसर्ग प्रमाणित
अपग्रेड करने के लिए प्रमाणपत्र और प्रमुख डेटाबेस का उपसर्ग दें।
--अपग्रेड-आईडी यूनिकआईडी
अपग्रेड करने के लिए डेटाबेस की यूनिक आईडी दें।
--अपग्रेड-टोकन-नाम नाम
टोकन को अपग्रेड करते समय उपयोग करने के लिए उसका नाम सेट करें।
- @ पीडब्ल्यूफाइल
अपग्रेड किए जा रहे डेटाबेस के लिए उपयोग की जाने वाली पासवर्ड फ़ाइल का नाम दें।
उपयोग और उदाहरण
यहां सूचीबद्ध उदाहरणों में अधिकांश कमांड विकल्पों में अधिक तर्क उपलब्ध हैं।
इन उदाहरणों में शामिल तर्क सबसे आम हैं या इन्हें स्पष्ट करने के लिए उपयोग किया जाता है
विशिष्ट परिदृश्य. उपयोग -H प्रत्येक के लिए तर्कों की पूरी सूची दिखाने का विकल्प
कमांड विकल्प
बनाना नया सुरक्षा डेटाबेस
प्रमाणपत्रों के प्रबंधन से संबंधित प्रमाणपत्र, कुंजियाँ और सुरक्षा मॉड्यूल संग्रहीत हैं
तीन संबंधित डेटाबेस:
· Cert8.db या Cert9.db
· key3.db या key4.db
· secmod.db या pkcs11.txt
प्रमाणपत्र या कुंजियाँ उत्पन्न होने से पहले ये डेटाबेस बनाए जाने चाहिए।
certutil -N -d [sql:]निर्देशिका
बनाना a प्रमाणपत्र निवेदन
प्रमाणपत्र अनुरोध में अधिकांश या सभी जानकारी शामिल होती है जिसका उपयोग उत्पन्न करने के लिए किया जाता है
अंतिम प्रमाणपत्र. यह अनुरोध एक प्रमाणपत्र प्राधिकारी को अलग से प्रस्तुत किया जाता है और है
फिर किसी तंत्र द्वारा अनुमोदित (स्वचालित रूप से या मानव समीक्षा द्वारा)। एक बार अनुरोध है
स्वीकृत, फिर प्रमाणपत्र तैयार होता है।
$ सर्टिफिकेट -आर -के कुंजी-प्रकार-या-आईडी [-क्यू पीक्यूजीफाइल|वक्र-नाम] -जी कुंजी-आकार -एस विषय [-एच टोकननाम] -डी [एसक्यूएल:]निर्देशिका [-पी फोन] [-ओ आउटपुट-फ़ाइल] [-ए]
RSI -R कमांड विकल्प के लिए चार तर्कों की आवश्यकता होती है:
· -k किसी प्रमाणपत्र को नवीनीकृत करते समय या तो उत्पन्न करने के लिए कुंजी प्रकार निर्दिष्ट करने के लिए
उपयोग करने के लिए मौजूदा कुंजी जोड़ी
· -g उत्पन्न करने के लिए कुंजी का कुंजी आकार सेट करना
· -s प्रमाणपत्र का विषय नाम सेट करने के लिए
· -d सुरक्षा डेटाबेस निर्देशिका देने के लिए
नया प्रमाणपत्र अनुरोध ASCII प्रारूप में आउटपुट हो सकता है (-a) या a को लिखा जा सकता है
निर्दिष्ट फ़ाइल (-o).
उदाहरण के लिए:
$ certutil -R -k rsa -g 1024 -s "CN=जॉन स्मिथ,O=उदाहरण कॉर्प,L=माउंटेन व्यू,ST=कैलिफ़ोर्निया,C=US" -d sql:$HOME/nssdb -p 650-555- 0123 -ए -ओ सर्टिफिकेट.सीईआर
कुंजी उत्पन्न करना. इसमें कुछ क्षण लग सकते हैं...
बनाना a प्रमाणपत्र
एक वैध प्रमाणपत्र किसी विश्वसनीय सीए द्वारा जारी किया जाना चाहिए। यह सीए निर्दिष्ट करके किया जा सकता है
प्रमाणपत्र (-c) जो प्रमाणपत्र डेटाबेस में संग्रहीत है। यदि CA कुंजी जोड़ी नहीं है
उपलब्ध है, आप इसका उपयोग करके स्व-हस्ताक्षरित प्रमाणपत्र बना सकते हैं -x के साथ बहस -S
कमांड विकल्प
$ सर्टिफिकेट -एस -के आरएसए|डीएसए|ईसी -एन सर्टिफिकेटनाम -एस विषय [-सी जारीकर्ता |-एक्स] -टी ट्रस्टार्ग्स -डी [एसक्यूएल:]निर्देशिका [-एम सीरियल-नंबर] [-वी वैध-महीने] [ -डब्ल्यू ऑफसेट-महीने] [-पी फोन] [-1] [-2] [-3] [-4] [-5 कीवर्ड] [-6 कीवर्ड] [-7 ईमेल पता] [-8 डीएनएस-नाम] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]
संख्याओं की श्रृंखला और --पाठ* विकल्प प्रमाणपत्र एक्सटेंशन सेट करते हैं जिन्हें जोड़ा जा सकता है
प्रमाणपत्र जब सीए द्वारा तैयार किया जाता है। इंटरएक्टिव संकेत परिणाम देंगे.
उदाहरण के लिए, यह एक स्व-हस्ताक्षरित प्रमाणपत्र बनाता है:
$ certutil -S -s "CN=उदाहरण CA" -n my-ca-cert -x -t "C,C,C" -1 -2 -5 -m 3650
इंटरैक्टिव कुंजी के उपयोग के लिए संकेत देता है और क्या कोई एक्सटेंशन महत्वपूर्ण और प्रतिक्रियाएँ हैं
संक्षिप्तता के लिए छोड़ दिया गया है।
वहां से, नए प्रमाणपत्र स्व-हस्ताक्षरित प्रमाणपत्र का संदर्भ दे सकते हैं:
$ certutil -S -s "CN=मेरा सर्वर प्रमाणपत्र" -n my-server-cert -c "my-ca-cert" -t "u,u,u" -1 -5 -6 -8 -m 730
उत्पादक a प्रमाणपत्र से a प्रमाणपत्र निवेदन
जब प्रमाणपत्र अनुरोध बनाया जाता है, तो अनुरोध का उपयोग करके प्रमाणपत्र तैयार किया जा सकता है
और फिर प्रमाणपत्र पर हस्ताक्षर करने वाले एक प्रमाणपत्र प्राधिकारी का संदर्भ लेना (द जारीकर्ता में निर्दिष्ट किया
la -c तर्क)। जारी करने वाला प्रमाणपत्र प्रमाणपत्र डेटाबेस में होना चाहिए
निर्दिष्ट निर्देशिका.
सर्टिफिकेट -सी -सी जारीकर्ता -आई सर्टिफिकेट-रिक्वेस्ट-फाइल -ओ आउटपुट-फाइल [-एम सीरियल-नंबर] [-वी वैध-महीने] [-डब्ल्यू ऑफसेट-महीने] -डी [एसक्यूएल:]निर्देशिका [-1] [-2] [-3] [-4] [-5 कीवर्ड] [-6 कीवर्ड] [-7 ईमेल पता] [-8 डीएनएस-नाम]
उदाहरण के लिए:
$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql:$HOME/nssdb -1 नॉनरिपुडिएशन, डेटाएन्सिफ़रमेंट -5 एसएसएलक्लाइंट -6 क्लाइंटऑथ -7 [ईमेल संरक्षित]
लिस्टिंग प्रमाण पत्र
RSI -L कमांड विकल्प प्रमाणपत्र डेटाबेस में सूचीबद्ध सभी प्रमाणपत्रों को सूचीबद्ध करता है।
निर्देशिका का पथ (-d) आवश्यक है।
$ certutil -L -d sql:/home/my/sharednssdb
प्रमाणपत्र उपनाम ट्रस्ट विशेषताएँ
एसएसएल, एस/एमआईएमई, जेएआर/एक्सपीआई
सीए एडमिनिस्ट्रेटर ऑफ़ इंस्टेंस pki-ca1 का उदाहरण डोमेन आईडी u,u,u
टीपीएस प्रशासक का उदाहरण डोमेन आईडी यू,यू,यू
गूगल इंटरनेट अथॉरिटी ,,
प्रमाणपत्र प्राधिकारी - उदाहरण डोमेन सीटी,सी,सी
के साथ अतिरिक्त तर्कों का उपयोग करना -L किसी एक के लिए जानकारी वापस कर सकते हैं और प्रिंट कर सकते हैं,
विशिष्ट प्रमाणपत्र. उदाहरण के लिए, -n तर्क प्रमाणपत्र नाम को पास करता है, जबकि
-a तर्क ASCII प्रारूप में प्रमाणपत्र प्रिंट करता है:
$ certutil -L -d sql:$HOME/nssdb -a -n my-ca-cert
----- BEGIN CERTIFICATE -----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----- END प्रमाण पत्र -----
मानव-पठनीय प्रदर्शन के लिए
$ certutil -L -d sql:$HOME/nssdb -n my-ca-cert
प्रमाणपत्र:
तारीख:
संस्करण: 3 (0x2)
क्रमांक: 3650 (0xe42)
हस्ताक्षर एल्गोरिथम: पीकेसीएस #1 एसएचए-1 आरएसए एन्क्रिप्शन के साथ
जारीकर्ता: "सीएन=उदाहरण सीए"
वैधता:
इससे पहले नहीं: बुध मार्च 13 19:10:29 2013
इसके बाद नहीं: गुरु 13 जून 19:10:29 2013
विषय: "सीएन=उदाहरण सीए"
विषय सार्वजनिक कुंजी जानकारी:
सार्वजनिक कुंजी एल्गोरिथम: PKCS #1 RSA एन्क्रिप्शन
आरएसए सार्वजनिक कुंजी:
मापांक:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
प्रतिपादक: 65537 (0x10001)
हस्ताक्षरित एक्सटेंशन:
नाम: प्रमाणपत्र प्रकार
डेटा: कोई नहीं
नाम: प्रमाणपत्र बुनियादी बाधाएँ
डेटा: एक सीए है जिसकी कोई अधिकतम पथ लंबाई नहीं है।
नाम: प्रमाणपत्र कुंजी उपयोग
गंभीर: सत्य
उपयोग: प्रमाणपत्र पर हस्ताक्षर
हस्ताक्षर एल्गोरिथम: पीकेसीएस #1 एसएचए-1 आरएसए एन्क्रिप्शन के साथ
हस्ताक्षर:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
फ़िंगरप्रिंट (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
फ़िंगरप्रिंट (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7
प्रमाणपत्र ट्रस्ट फ़्लैग:
एसएसएल झंडे:
वैध सीए
विश्वसनीय सीए
उपयोगकर्ता
ईमेल झंडे:
वैध सीए
विश्वसनीय सीए
उपयोगकर्ता
ऑब्जेक्ट साइनिंग फ़्लैग:
वैध सीए
विश्वसनीय सीए
उपयोगकर्ता
लिस्टिंग कुंजी
कुंजी मूल सामग्री है जिसका उपयोग प्रमाणपत्र डेटा को एन्क्रिप्ट करने के लिए किया जाता है। के लिए कुंजियाँ उत्पन्न की गईं
प्रमाणपत्रों को मुख्य डेटाबेस में अलग से संग्रहीत किया जाता है।
डेटाबेस में सभी कुंजियाँ सूचीबद्ध करने के लिए, का उपयोग करें -K कमांड विकल्प और (आवश्यक) -d तर्क
निर्देशिका को पथ देने के लिए.
$ certutil -K -d sql:$HOME/nssdb
certutil: "एनएसएस उपयोगकर्ता निजी कुंजी और प्रमाणपत्र सेवाएँ" स्लॉट में टोकन "एनएसएस प्रमाणपत्र डीबी" की जाँच करना
< 0> आरएसए 455ए6673बीडीई9375सी2887ईसी8बीएफ8016बी3एफ9एफ35861डी थॉवटे फ्रीमेल सदस्य थॉवटे कंसल्टिंग (पीटीआई) लिमिटेड आईडी
< 1> rsa 40defeeb522ade11090eacebaaf1196a172127df उदाहरण डोमेन प्रशासक प्रमाणपत्र
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert
खोज परिणामों में सूचीबद्ध कुंजियों को सीमित करने के तरीके हैं:
· किसी विशिष्ट कुंजी को वापस करने के लिए, इसका उपयोग करें -nनाम कुंजी के नाम के साथ तर्क.
· यदि कई सुरक्षा उपकरण लोड किए गए हैं, तो -hटोकननाम तर्क कर सकते हैं
एक विशिष्ट टोकन या सभी टोकन खोजें।
· यदि कई कुंजी प्रकार उपलब्ध हैं, तो -kकुंजी प्रकार तर्क खोज सकते हैं a
विशिष्ट प्रकार की कुंजी, जैसे आरएसए, डीएसए, या ईसीसी।
लिस्टिंग सुरक्षा मॉड्यूल
वे उपकरण जिनका उपयोग प्रमाणपत्रों को संग्रहीत करने के लिए किया जा सकता है - आंतरिक डेटाबेस और बाहरी दोनों
स्मार्ट कार्ड जैसे उपकरणों को सुरक्षा मॉड्यूल लोड करके पहचाना और उपयोग किया जाता है। -U
कमांड विकल्प secmod.db डेटाबेस में सूचीबद्ध सभी सुरक्षा मॉड्यूल को सूचीबद्ध करता है।
निर्देशिका का पथ (-d) आवश्यक है।
$ certutil -U -d sql:/home/my/sharednssdb
स्लॉट: एनएसएस उपयोगकर्ता निजी कुंजी और प्रमाणपत्र सेवाएँ
टोकन: एनएसएस प्रमाणपत्र डीबी
स्लॉट: एनएसएस आंतरिक क्रिप्टोग्राफ़िक सेवाएँ
टोकन: एनएसएस जेनेरिक क्रिप्टो सर्विसेज
जोड़ना प्रमाण पत्र सेवा मेरे la डाटाबेस
मौजूदा प्रमाणपत्र या प्रमाणपत्र अनुरोधों को प्रमाणपत्र में मैन्युअल रूप से जोड़ा जा सकता है
डेटाबेस, भले ही वे कहीं और उत्पन्न किए गए हों। इसका उपयोग करता है -A कमांड विकल्प
certutil -A -n certname -t Trustargs -d [sql:] निर्देशिका [-a] [-i इनपुट-फ़ाइल]
उदाहरण के लिए:
$ certutil -A -n "CN=मेरा SSL प्रमाणपत्र" -t "u,u,u" -d sql:/home/my/sharednssdb -i /home/example-certs/cert.cer
एक संबंधित आदेश विकल्प, -E, का उपयोग विशेष रूप से ईमेल प्रमाणपत्र जोड़ने के लिए किया जाता है
प्रमाणपत्र डेटाबेस. -E कमांड में वही तर्क हैं जो -A आज्ञा। भरोसा
प्रमाणपत्रों के लिए तर्कों का प्रारूप होता है एसएसएल, एस/एमआईएमई, कोड-हस्ताक्षर, तो बीच का भरोसा
सेटिंग्स अधिकांशतः ईमेल प्रमाणपत्रों से संबंधित होती हैं (हालाँकि अन्य को सेट किया जा सकता है)। उदाहरण के लिए:
$ certutil -E -n "CN=जॉन स्मिथ ईमेल सर्टिफिकेट" -t ",Pu," -d sql:/home/my/sharednssdb -i /home/example-certs/email.cer
हटाया जा रहा है प्रमाण पत्र सेवा मेरे la डाटाबेस
का उपयोग करके डेटाबेस से प्रमाणपत्रों को हटाया जा सकता है -D विकल्प। एकमात्र आवश्यक विकल्प
सुरक्षा डेटाबेस निर्देशिका देना और प्रमाणपत्र उपनाम की पहचान करना है।
सर्टिफिकेट -डी -डी [एसक्यूएल:]निर्देशिका -एन "उपनाम"
उदाहरण के लिए:
$ certutil -D -d sql:/home/my/sharednssdb -n "my-ssl-cert"
सत्यापित किया जा रहा प्रमाण पत्र
एक प्रमाणपत्र में अपने आप में एक समाप्ति तिथि होती है, और समाप्त हो चुके प्रमाणपत्र आसानी से उपलब्ध होते हैं
अस्वीकार कर दिया। हालाँकि, प्रमाणपत्रों को उनकी समाप्ति तिथि से पहले भी रद्द किया जा सकता है।
यह जाँचने के लिए कि कोई प्रमाणपत्र निरस्त कर दिया गया है या नहीं, प्रमाणपत्र को मान्य करने की आवश्यकता है।
सत्यापन का उपयोग यह सुनिश्चित करने के लिए भी किया जा सकता है कि प्रमाणपत्र का उपयोग केवल इसी उद्देश्य के लिए किया जाता है
इसे शुरू में जारी किया गया था। द्वारा सत्यापन किया जाता है -V कमांड विकल्प
सर्टिफिकेट -वी -एन प्रमाणपत्र-नाम [-बी समय] [-ई] [-यू प्रमाणपत्र-उपयोग] -डी [एसक्यूएल:]निर्देशिका
उदाहरण के लिए, किसी ईमेल प्रमाणपत्र को मान्य करने के लिए:
$ certutil -V -n "जॉन स्मिथ का ईमेल प्रमाणपत्र" -e -u S,R -d sql:/home/my/sharednssdb
संशोधित करना प्रमाणपत्र ट्रस्ट सेटिंग
ट्रस्ट सेटिंग्स (जो उन परिचालनों से संबंधित हैं जिनके लिए प्रमाणपत्र की अनुमति है
के लिए उपयोग किया जाता है) को प्रमाणपत्र बनने या डेटाबेस में जोड़े जाने के बाद बदला जा सकता है। यह है
सीए प्रमाणपत्रों के लिए विशेष रूप से उपयोगी है, लेकिन इसे किसी भी प्रकार के लिए निष्पादित किया जा सकता है
प्रमाण पत्र।
सर्टिफिकेट -एम -एन सर्टिफिकेट-नाम -टी ट्रस्ट-आर्ग्स -डी [एसक्यूएल:]निर्देशिका
उदाहरण के लिए:
$ certutil -M -n "मेरा CA प्रमाणपत्र" -d sql:/home/my/sharednssdb -t "CTu,CTu,CTu"
मुद्रण la प्रमाणपत्र जंजीर
में प्रमाण पत्र जारी किये जा सकते हैं चेन क्योंकि प्रत्येक प्रमाणपत्र प्राधिकारी के पास स्वयं एक है
प्रमाणपत्र; जब कोई सीए कोई प्रमाणपत्र जारी करता है, तो वह अनिवार्य रूप से उस प्रमाणपत्र पर मोहर लगाता है
उसका अपना फिंगरप्रिंट. -O किसी प्रमाणपत्र की आरंभिक से लेकर पूरी श्रृंखला प्रिंट करता है
सीए (रूट सीए) वास्तविक प्रमाणपत्र के लिए कभी मध्यस्थ सीए के माध्यम से। उदाहरण के लिए, के लिए
श्रृंखला में दो सीए के साथ एक ईमेल प्रमाणपत्र:
$ certutil -d sql:/home/my/sharednssdb -O -n "[ईमेल संरक्षित]"
"बिल्टिन ऑब्जेक्ट टोकन: थावटे पर्सनल फ्रीमेल सीए" [ई=[ईमेल संरक्षित],CN=थावटे पर्सनल फ्रीमेल CA,OU=प्रमाणन सेवा प्रभाग,O=थावटे कंसल्टिंग,L=केप टाउन,ST=वेस्टर्न केप,C=ZA]
"थावटे पर्सनल फ्रीमेल जारी करने वाला सीए - थावटे कंसल्टिंग" [सीएन=थावटे पर्सनल फ्रीमेल जारी करने वाला सीए, ओ=थावटे कंसल्टिंग (पीटीआई) लिमिटेड, सी=जेडए]
"(शून्य)" [ई=[ईमेल संरक्षित],CN=थावटे फ्रीमेल सदस्य]
रीसेट किया जा रहा a टोकन
वह उपकरण जो प्रमाणपत्र संग्रहीत करता है - बाहरी हार्डवेयर उपकरण और आंतरिक दोनों
सॉफ़्टवेयर डेटाबेस - खाली किया जा सकता है और पुन: उपयोग किया जा सकता है। यह ऑपरेशन डिवाइस पर किया जाता है
जो डेटा को सीधे सुरक्षा डेटाबेस पर संग्रहीत नहीं करता है, इसलिए स्थान अवश्य होना चाहिए
टोकन नाम के माध्यम से संदर्भित (-h) साथ ही कोई भी निर्देशिका पथ। अगर वहाँ कोई नहीं है
बाहरी टोकन का उपयोग किया गया है, डिफ़ॉल्ट मान आंतरिक है।
certutil -T -d [sql:] निर्देशिका -h टोकन-नाम -0 सुरक्षा-अधिकारी-पासवर्ड
कई नेटवर्कों में समर्पित कर्मचारी होते हैं जो सुरक्षा टोकन (सुरक्षा) में परिवर्तन को संभालते हैं
अधिकारी)। इस व्यक्ति को निर्दिष्ट टोकन तक पहुंचने के लिए पासवर्ड प्रदान करना होगा। उदाहरण के लिए:
$ certutil -T -d sql:/home/my/sharednssdb -h nethsm -0 रहस्य
उन्नयन or मर्ज करना la सुरक्षा डेटाबेस
कई नेटवर्क या एप्लिकेशन प्रमाणपत्र के पुराने बर्कलेडीबी संस्करण का उपयोग कर रहे होंगे
डेटाबेस (cert8.db)। डेटाबेस को डेटाबेस के नए SQLite संस्करण में अपग्रेड किया जा सकता है
(cert9.db) का उपयोग कर रहे हैं --अपग्रेड-विलय कमांड विकल्प या मौजूदा डेटाबेस को मर्ज किया जा सकता है
नए cert9.db डेटाबेस का उपयोग करके ---विलय आदेश।
RSI --अपग्रेड-विलय कमांड को मूल डेटाबेस के बारे में जानकारी देनी होगी और फिर उपयोग करना होगा
मानक तर्क (जैसे -d) नए डेटाबेस के बारे में जानकारी देने के लिए।
कमांड को उस जानकारी की भी आवश्यकता होती है जिसका उपयोग टूल अपग्रेड और लिखने की प्रक्रिया के लिए करता है
मूल डेटाबेस पर.
सर्टिफिकेट --अपग्रेड-मर्ज -डी [एसक्यूएल:]निर्देशिका [-पी डीबीप्रीफिक्स] --स्रोत-डीआईआर निर्देशिका --स्रोत-उपसर्ग डीबीप्रीफिक्स --अपग्रेड-आईडी आईडी --अपग्रेड-टोकन-नाम नाम [-@ पासवर्ड-फ़ाइल ]
उदाहरण के लिए:
$ certutil --upgrade-merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefixserverapp- --upgrade-id 1 --upgrade-टोकन- आंतरिक नाम
RSI --मर्ज कमांड को केवल मूल डेटाबेस के स्थान के बारे में जानकारी की आवश्यकता होती है;
चूँकि यह डेटाबेस के प्रारूप को नहीं बदलता है, यह बिना सूचना के भी लिख सकता है
अंतरिम कदम उठाना.
certutil --merge -d [sql:]निर्देशिका [-P dbprefix] --source-dir निर्देशिका --source-prefix dbprefix [-@ पासवर्ड-फ़ाइल]
उदाहरण के लिए:
$ certutil --merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix सर्वरएप-
रनिंग certutil कमानों से a बैच पट्टिका
कमांड की एक श्रृंखला को टेक्स्ट फ़ाइल से क्रमिक रूप से चलाया जा सकता है -B कमांड विकल्प
इसके लिए एकमात्र तर्क इनपुट फ़ाइल निर्दिष्ट करता है।
$ certutil -B -i /path/to/batch-file
एनएसएस डेटाबेस प्रकार
एनएसएस ने मूल रूप से सुरक्षा जानकारी संग्रहीत करने के लिए बर्कलेडीबी डेटाबेस का उपयोग किया था। अंतिम संस्करण
इनमे से विरासत डेटाबेस हैं:
· प्रमाणपत्रों के लिए cert8.db
· चाबियों के लिए key3.db
· पीकेसीएस #11 मॉड्यूल जानकारी के लिए secmod.db
हालाँकि, बर्कलेडीबी में प्रदर्शन सीमाएँ हैं, जो इसे आसानी से उपयोग करने से रोकती हैं
एक साथ कई अनुप्रयोग। एनएसएस में कुछ लचीलापन है जो अनुप्रयोगों को अनुमति देता है
साझा डेटाबेस बनाए रखने और काम करते समय अपने स्वयं के, स्वतंत्र डेटाबेस इंजन का उपयोग करें
पहुंच संबंधी मुद्दों के इर्द-गिर्द। फिर भी, एनएसएस को वास्तव में साझा प्रदान करने के लिए अधिक लचीलेपन की आवश्यकता है
सुरक्षा डेटाबेस.
2009 में, NSS ने डेटाबेस का एक नया सेट पेश किया जो कि SQLite डेटाबेस है
बर्कलेडीबी। ये नए डेटाबेस अधिक पहुंच और प्रदर्शन प्रदान करते हैं:
· प्रमाणपत्रों के लिए cert9.db
· चाबियों के लिए key4.db
· pkcs11.txt, एक नई उपनिर्देशिका में शामिल सभी PKCS #11 मॉड्यूल की एक सूची
सुरक्षा डेटाबेस निर्देशिका में
क्योंकि SQLite डेटाबेस साझा करने के लिए डिज़ाइन किए गए हैं, ये हैं साझा डेटाबेस
प्रकार। साझा डेटाबेस प्रकार को प्राथमिकता दी जाती है; पिछड़ों के लिए विरासत प्रारूप शामिल है
संगतता।
डिफ़ॉल्ट रूप से, उपकरण (certutil, pk12util, मोडुटिल) मान लें कि दी गई सुरक्षा
डेटाबेस अधिक सामान्य विरासत प्रकार का अनुसरण करते हैं। SQLite डेटाबेस का उपयोग मैन्युअल रूप से होना चाहिए
का उपयोग करके निर्दिष्ट किया गया है एसक्यूएल: दी गई सुरक्षा निर्देशिका के साथ उपसर्ग। उदाहरण के लिए:
$ certutil -L -d sql:/home/my/sharednssdb
साझा डेटाबेस प्रकार को टूल के लिए डिफ़ॉल्ट प्रकार के रूप में सेट करने के लिए, सेट करें
NSS_DEFAULT_DB_TYPE पर्यावरण चर करने के लिए एसक्यूएल:
निर्यात NSS_DEFAULT_DB_TYPE='sql'
इस लाइन को इसमें जोड़ा जा सकता है ~ / .bashrc परिवर्तन को स्थायी बनाने के लिए फ़ाइल।
अधिकांश एप्लिकेशन डिफ़ॉल्ट रूप से साझा डेटाबेस का उपयोग नहीं करते हैं, लेकिन उन्हें कॉन्फ़िगर किया जा सकता है
उनका उपयोग करें। उदाहरण के लिए, यह कैसे करें लेख फ़ायरफ़ॉक्स और थंडरबर्ड को कॉन्फ़िगर करने का तरीका बताता है
नए साझा एनएसएस डेटाबेस का उपयोग करने के लिए:
· https://wiki.mozilla.org/NSS_Shared_DB_Howto
साझा एनएसएस डेटाबेस में बदलावों पर इंजीनियरिंग ड्राफ्ट के लिए, एनएसएस प्रोजेक्ट देखें
विकि:
· https://wiki.mozilla.org/NSS_Shared_DB
onworks.net सेवाओं का उपयोग करके ऑनलाइन सर्टिफ़िल का उपयोग करें
