Ini adalah perintah cassl yang dapat dijalankan di penyedia hosting gratis OnWorks menggunakan salah satu dari beberapa workstation online gratis kami seperti Ubuntu Online, Fedora Online, emulator online Windows atau emulator online MAC OS
PROGRAM:
NAMA
ca - contoh aplikasi CA minimal
RINGKASAN
openssl ca [-verbose] [-konfig nama file] [-nama bagian] [-gencrl] [-menarik kembali fillet] [-status
serial] [-diperbaruib] [-crl_alasan alasan] [-crl_tahan pengajaran] [-crl_kompromi waktu]
[-crl_CA_kompromi waktu] [-hari-hari hari-hari] [-crljam jam] [-crlext bagian] [-mulai tanggal
tanggal] [-tanggal akhir tanggal] [-hari arg] [-md arg] [-aturan arg] [-file kunci arg] [-bentuk kunci
PEM|DER] [-kunci arg] [-passin arg] [-sertifikat fillet] [-tanda tangan sendiri] [-di fillet] [-di luar fillet]
[-noteks] [-keluar dir] [-infile] [-spkac fillet] [-ss_cert fillet] [-melestarikanDN]
[-tidak ada emailDN] [-kelompok] [-msie_hack] [-ekstensi bagian] [-file tambahan bagian] [-mesin id]
[-subj arg] [-utf8] [-multinilai-rdn]
DESKRIPSI
Grafik ca perintah adalah aplikasi CA minimal. Ini dapat digunakan untuk menandatangani permintaan sertifikat di
berbagai bentuk dan menghasilkan CRL itu juga memelihara database teks yang dikeluarkan
sertifikat dan statusnya.
Deskripsi opsi akan dibagi ke dalam masing-masing tujuan.
CA PILIHAN
-konfig nama file
menentukan file konfigurasi yang akan digunakan.
-nama bagian
menentukan bagian file konfigurasi yang akan digunakan (mengganti default_ca dalam ca
bagian).
-di nama file
nama file input yang berisi permintaan sertifikat tunggal untuk ditandatangani oleh CA.
-ss_cert nama file
satu sertifikat yang ditandatangani sendiri untuk ditandatangani oleh CA.
-spkac nama file
file yang berisi satu kunci publik bertanda tangan Netscape dan tantangan serta tambahan
nilai bidang yang akan ditandatangani oleh CA. Lihat SPKAC FORMAT bagian untuk informasi tentang
format input dan output yang diperlukan.
-infile
jika ada, ini harus menjadi opsi terakhir, semua argumen berikutnya dianggap sebagai
nama file yang berisi permintaan sertifikat.
-di luar nama file
file output ke sertifikat output ke. Standarnya adalah keluaran standar. NS
detail sertifikat juga akan dicetak ke file ini dalam format PEM (kecuali bahwa
-spkac mengeluarkan format DER).
-keluar direktori
direktori untuk mengeluarkan sertifikat. Sertifikat akan ditulis ke nama file
terdiri dari nomor seri dalam hex dengan ".pem" ditambahkan.
-sertifikat
file sertifikat CA.
-file kunci nama file
kunci pribadi untuk menandatangani permintaan.
-bentuk kunci PEM|DER
format data dalam file kunci pribadi. Standarnya adalah PEM.
-kunci kata sandi
kata sandi yang digunakan untuk mengenkripsi kunci pribadi. Karena pada beberapa sistem baris perintah
argumen terlihat (misalnya Unix dengan utilitas 'ps') opsi ini harus digunakan
dengan hati-hati.
-tanda tangan sendiri
menunjukkan sertifikat yang diterbitkan harus ditandatangani dengan kunci sertifikat
permintaan ditandatangani dengan (diberikan dengan -file kunci). Permintaan sertifikat ditandatangani dengan a
kunci yang berbeda diabaikan. Jika -spkac, -ss_cert or -gencrl diberikan, -tanda tangan sendiri is
diabaikan.
Konsekuensi dari penggunaan -tanda tangan sendiri adalah bahwa sertifikat yang ditandatangani sendiri muncul di antara
entri dalam database sertifikat (lihat opsi konfigurasi Database), dan menggunakan
penghitung nomor seri yang sama dengan semua sertifikat lainnya yang ditandatangani dengan yang ditandatangani sendiri
sertifikat.
-passin arg
sumber kata sandi kunci. Untuk informasi lebih lanjut tentang format arg lihat LULUS
FRASA ARGUMEN bagian dalam openssl(1).
-verbose
ini mencetak detail tambahan tentang operasi yang sedang dilakukan.
-noteks
jangan menampilkan bentuk teks sertifikat ke file output.
-mulai tanggal tanggal
ini memungkinkan tanggal mulai ditetapkan secara eksplisit. Format tanggalnya adalah
YYMMDDHHMMSSZ (sama dengan struktur ASN1 UTCTime).
-tanggal akhir tanggal
ini memungkinkan tanggal kedaluwarsa ditetapkan secara eksplisit. Format tanggalnya adalah
YYMMDDHHMMSSZ (sama dengan struktur ASN1 UTCTime).
-hari arg
jumlah hari untuk mengesahkan sertifikat.
-md ganggang
intisari pesan yang akan digunakan. Nilai yang mungkin termasuk md5, sha1 dan mdc2. Pilihan ini
juga berlaku untuk CRL.
-aturan arg
opsi ini mendefinisikan "kebijakan" CA yang akan digunakan. Ini adalah bagian dalam konfigurasi
file yang memutuskan bidang mana yang harus wajib atau cocok dengan sertifikat CA. Memeriksa
keluar KEBIJAKAN FORMAT bagian untuk informasi lebih lanjut.
-msie_hack
ini adalah opsi warisan untuk dibuat ca bekerja dengan versi yang sangat lama dari sertifikat IE
kontrol pendaftaran "certenr3". Itu menggunakan UniversalStrings untuk hampir semuanya. Sejak
kontrol lama memiliki berbagai bug keamanan penggunaannya sangat tidak dianjurkan. yang lebih baru
kontrol "Xenroll" tidak memerlukan opsi ini.
-melestarikanDN
Biasanya urutan DN sertifikat sama dengan urutan bidang di
bagian kebijakan yang relevan. Saat opsi ini disetel, urutannya sama dengan permintaan.
Ini sebagian besar untuk kompatibilitas dengan kontrol pendaftaran IE yang lebih lama yang akan
hanya menerima sertifikat jika DN mereka cocok dengan urutan permintaan. Ini bukan
dibutuhkan untuk Xenroll.
-tidak ada emailDN
DN sertifikat dapat berisi bidang EMAIL jika ada dalam DN permintaan,
namun itu adalah kebijakan yang baik hanya dengan menyetel email ke ekstensi altName dari
sertifikat. Ketika opsi ini disetel, bidang EMAIL dihapus dari sertifikat'
subjek dan hanya diatur dalam ekstensi, yang akhirnya ada. NS email_in_dn kata kunci
dapat digunakan dalam file konfigurasi untuk mengaktifkan perilaku ini.
-kelompok
ini mengatur mode batch. Dalam mode ini tidak ada pertanyaan yang akan diajukan dan semua sertifikat
akan disertifikasi secara otomatis.
-ekstensi bagian
bagian dari file konfigurasi yang berisi ekstensi sertifikat yang akan ditambahkan
saat sertifikat diterbitkan (default ke x509_extensions kecuali -file tambahan Option
digunakan). Jika tidak ada bagian ekstensi, sertifikat V1 dibuat. jika
bagian ekstensi hadir (meskipun kosong), maka sertifikat V3 dibuat.
Lihat:w x509v3_config(5) halaman manual untuk rincian format bagian ekstensi.
-file tambahan fillet
file konfigurasi tambahan untuk membaca ekstensi sertifikat dari (menggunakan
bagian default kecuali -ekstensi opsi juga digunakan).
-mesin id
menentukan mesin (dengan keunikannya id string) akan menyebabkan ca untuk mencoba mendapatkan
referensi fungsional ke mesin yang ditentukan, sehingga menginisialisasi jika diperlukan. NS
engine kemudian akan ditetapkan sebagai default untuk semua algoritma yang tersedia.
-subj arg
menggantikan nama subjek yang diberikan dalam permintaan. Arg harus diformat sebagai
/type0=value0/type1=value1/type2=..., karakter dapat diloloskan dengan \ (garis miring terbalik), no
spasi dilewati.
-utf8
opsi ini menyebabkan nilai bidang ditafsirkan sebagai string UTF8, secara default adalah
diinterpretasikan sebagai ASCII. Ini berarti bahwa nilai bidang, apakah diminta dari a
terminal atau diperoleh dari file konfigurasi, harus berupa string UTF8 yang valid.
-multinilai-rdn
opsi ini menyebabkan argumen -subj ditafsirkan dengan dukungan penuh untuk
RDN multinilai. Contoh:
/DC=org/DC=OpenSSL/DC=pengguna/UID=123456+CN=John Kelinci betina
Jika -multi-rdn tidak digunakan maka nilai UIDnya adalah 123456+CN=Yohanes Kelinci betina.
CRL PILIHAN
-gencrl
opsi ini menghasilkan CRL berdasarkan informasi dalam file indeks.
-hari-hari num
jumlah hari sebelum CRL berikutnya jatuh tempo. Itu adalah hari-hari dari sekarang untuk ditempatkan
bidang CRL nextUpdate.
-crljam num
jumlah jam sebelum CRL berikutnya jatuh tempo.
-menarik kembali nama file
nama file yang berisi sertifikat untuk dicabut.
-status serial
menampilkan status pencabutan sertifikat dengan nomor seri yang ditentukan dan
keluar.
-diperbaruib
Memperbarui indeks basis data untuk menghapus sertifikat yang kedaluwarsa.
-crl_alasan alasan
alasan pencabutan, dimana alasan adalah salah satu dari: yg tak ditentukan, kunciKompromi, CAKompromi,
afiliasiBerubah, digantikan, penghentianOperasi, sertifikatTahan or
hapusDariCRL. Pencocokan dari alasan tidak peka huruf besar/kecil. Mengatur pencabutan apa pun
alasan akan membuat CRL v2.
Secara praktis hapusDariCRL tidak terlalu berguna karena hanya digunakan di delta
CRL yang saat ini tidak diimplementasikan.
-crl_tahan pengajaran
Ini menetapkan kode alasan pencabutan CRL ke sertifikatTahan dan instruksi penahanan
untuk pengajaran yang harus OID. Meskipun OID apa pun hanya dapat digunakan
holdInstruksiTidak Ada (penggunaan yang tidak disarankan oleh RFC2459)
tahanInstructionCallIssuer or tahanInstruksiTolak biasanya akan digunakan.
-crl_kompromi waktu
Ini menetapkan alasan pencabutan untuk kunciKompromi dan waktu kompromi untuk waktu. waktu
harus dalam format GeneralizedTime yaitu YYYYMMDDDHHMMSSZ.
-crl_CA_kompromi waktu
Ini sama dengan crl_kompromi kecuali alasan pencabutan diatur ke
CAKompromi.
-crlext bagian
bagian dari file konfigurasi yang berisi ekstensi CRL untuk disertakan. Jika tidak ada CRL
bagian ekstensi hadir maka V1 CRL dibuat, jika bagian ekstensi CRL adalah
hadir (meskipun kosong) maka V2 CRL dibuat. Ekstensi CRL ditentukan
adalah ekstensi CRL dan tidak Ekstensi entri CRL. Perlu dicatat bahwa beberapa
perangkat lunak (misalnya Netscape) tidak dapat menangani V2 CRL. Lihat x509v3_config(5) halaman manual
untuk rincian format bagian ekstensi.
KONFIGURASI FILE PILIHAN
Bagian dari file konfigurasi yang berisi opsi untuk ca ditemukan sebagai berikut: Jika
itu -nama opsi baris perintah digunakan, lalu beri nama bagian yang akan digunakan. Jika tidak,
bagian yang akan digunakan harus diberi nama dalam default_ca pilihan dari ca bagian dari
file konfigurasi (atau di bagian default dari file konfigurasi). di samping itu
default_ca, opsi berikut dibaca langsung dari ca bagian:
RANDFILE melestarikan
msie_hack Dengan pengecualian RANDFILE, ini mungkin bug dan dapat berubah di masa mendatang
rilis.
Banyak opsi file konfigurasi yang identik dengan opsi baris perintah. Dimana
opsi hadir dalam file konfigurasi dan baris perintah nilai baris perintahnya adalah
digunakan. Dimana sebuah pilihan digambarkan sebagai wajib maka itu harus ada di
file konfigurasi atau baris perintah yang setara (jika ada) yang digunakan.
oid_file
Ini menentukan file yang berisi tambahan OBYEK IDENTIFIKASI. Setiap baris file
harus terdiri dari bentuk numerik pengidentifikasi objek diikuti dengan spasi
kemudian nama pendek diikuti dengan spasi dan terakhir nama panjang.
oid_section
Ini menentukan bagian dalam file konfigurasi yang berisi objek tambahan
pengenal. Setiap baris harus terdiri dari nama pendek pengidentifikasi objek
diikuti oleh = dan bentuk numerik. Nama pendek dan panjangnya sama saat ini
opsi digunakan.
baru_certs_dir
sama dengan -keluar opsi baris perintah. Ini menentukan direktori di mana new
sertifikat akan ditempatkan. Wajib.
sertifikat
sama seperti -sertifikat. Ini memberikan file yang berisi sertifikat CA. Wajib.
kunci_privat
sama dengan -file kunci pilihan. File yang berisi kunci pribadi CA. Wajib.
RANDFILE
file yang digunakan untuk membaca dan menulis informasi seed nomor acak, atau soket EGD (lihat
RAND_egd(3)).
default_hari
sama dengan -hari pilihan. Jumlah hari untuk mengesahkan sertifikat.
tanggal_mulai default
sama dengan -mulai tanggal pilihan. Tanggal mulai untuk mengesahkan sertifikat. Jika tidak
mengatur waktu saat ini digunakan.
tanggal akhir_default
sama dengan -tanggal akhir pilihan. Pilihan ini atau default_hari (atau perintah
setara baris) harus ada.
default_crl_jam default_crl_hari
sama dengan -crljam dan -hari-hari pilihan. Ini hanya akan digunakan jika keduanya tidak
opsi baris perintah hadir. Setidaknya salah satu dari ini harus ada untuk menghasilkan a
CRL.
default_md
sama dengan -md pilihan. Intisari pesan untuk digunakan. Wajib.
Database
file database teks yang akan digunakan. Wajib. File ini harus ada meskipun awalnya
itu akan kosong.
subjek_unik
jika nilainya iya nih diberikan, entri sertifikat yang valid dalam database harus memiliki
mata pelajaran yang unik. jika nilainya tidak diberikan, beberapa entri sertifikat yang valid mungkin memiliki
subjek yang sama persis. Nilai defaultnya adalah iya nih, agar kompatibel dengan yang lebih lama (sebelumnya
0.9.8) versi OpenSSL. Namun, untuk membuat roll-over sertifikat CA lebih mudah, ini
disarankan untuk menggunakan nilai tidak, apalagi jika digabungkan dengan -tanda tangan sendiri Command
pilihan garis.
serial
file teks yang berisi nomor seri berikutnya untuk digunakan dalam hex. Wajib. File ini
harus ada dan berisi nomor seri yang valid.
nomor crl
file teks yang berisi nomor CRL berikutnya untuk digunakan dalam hex. Nomor crl akan menjadi
dimasukkan ke dalam CRL hanya jika file ini ada. Jika file ini ada, itu harus
berisi nomor CRL yang valid.
x509_extensions
sama seperti -ekstensi.
crl_extensions
sama seperti -crlext.
memelihara
sama seperti -melestarikanDN
email_in_dn
sama seperti -tidak ada emailDN. Jika Anda ingin bidang EMAIL dihapus dari DN
sertifikat cukup atur ini ke 'tidak'. Jika tidak ada, defaultnya adalah mengizinkan
EMAIL diajukan di DN sertifikat.
msie_hack
sama seperti -msie_hack
kebijaksanaan
sama seperti -aturan. Wajib. Lihat KEBIJAKAN FORMAT bagian untuk informasi lebih lanjut.
nama_opt, sertifikat_opt
opsi ini memungkinkan format yang digunakan untuk menampilkan detail sertifikat saat menanyakan
pengguna untuk mengonfirmasi penandatanganan. Semua opsi yang didukung oleh x509 keperluan -namaopt dan
-certopt sakelar dapat digunakan di sini, kecuali no_signname dan no_sigdump adalah
disetel secara permanen dan tidak dapat dinonaktifkan (ini karena tanda tangan sertifikat
tidak dapat ditampilkan karena sertifikat belum ditandatangani pada saat ini).
Untuk kenyamanan nilai ca_default diterima oleh keduanya untuk menghasilkan
output.
Jika tidak ada opsi yang ada, format yang digunakan dalam versi OpenSSL sebelumnya akan digunakan.
Penggunaan format lama adalah sangat putus asa karena hanya menampilkan bidang
disebutkan dalam kebijaksanaan bagian, salah menangani tipe string multikarakter dan tidak
ekstensi tampilan.
copy_extensions
menentukan bagaimana ekstensi dalam permintaan sertifikat harus ditangani. Jika diatur ke tak satupun
atau opsi ini tidak ada maka ekstensi diabaikan dan tidak disalin ke
sertifikat. Jika diatur ke salinan maka ekstensi apa pun yang ada dalam permintaan yang tidak
sudah ada disalin ke sertifikat. Jika diatur ke salinan lalu semua ekstensi
dalam permintaan disalin ke sertifikat: jika ekstensi sudah ada di
sertifikat itu dihapus terlebih dahulu. Lihat PERINGATAN bagian sebelum menggunakan ini
.
Penggunaan utama opsi ini adalah untuk mengizinkan permintaan sertifikat untuk memberikan nilai untuk
ekstensi tertentu seperti subjectAltName.
KEBIJAKAN FORMAT
Bagian kebijakan terdiri dari sekumpulan variabel yang sesuai dengan bidang DN sertifikat.
Jika nilainya "cocok" maka nilai bidang harus cocok dengan bidang yang sama di CA
sertifikat. Jika nilainya "disediakan" maka itu harus ada. Jika nilainya adalah
"opsional" maka mungkin ada. Bidang apa pun yang tidak disebutkan di bagian kebijakan adalah
dihapus secara diam-diam, kecuali -melestarikanDN opsi diatur tetapi ini dapat dianggap lebih dari a
kebiasaan daripada perilaku yang dimaksudkan.
SPKAC FORMAT
Masukan ke -spkac opsi baris perintah adalah kunci publik dan tantangan yang ditandatangani Netscape.
Ini biasanya akan datang dari KEYGEN tag dalam bentuk HTML untuk membuat kunci pribadi baru.
Namun dimungkinkan untuk membuat SPKAC menggunakan spkac utilitas
File harus berisi variabel SPKAC yang disetel ke nilai SPKAC dan juga
membutuhkan komponen DN sebagai pasangan nilai nama. Jika Anda perlu memasukkan komponen yang sama
dua kali maka dapat didahului dengan angka dan '.'.
Saat memproses format SPKAC, outputnya adalah DER jika: -di luar bendera digunakan, tetapi format PEM
jika mengirim ke stdout atau -keluar bendera digunakan.
CONTOH
Catatan: contoh-contoh ini mengasumsikan bahwa ca struktur direktori sudah diatur dan
file yang relevan sudah ada. Ini biasanya melibatkan pembuatan sertifikat CA dan pribadi
kunci dengan req, file nomor seri dan file indeks kosong dan menempatkannya di
direktori yang relevan.
Untuk menggunakan contoh file konfigurasi di bawah direktori demoCA, demoCA/private dan
demoCA/newcerts akan dibuat. Sertifikat CA akan disalin ke demoCA/cacert.pem
dan kunci pribadinya ke demoCA/private/cakey.pem. File demoCA/serial akan dibuat
berisi misalnya "01" dan file indeks kosong demoCA/index.txt.
Menandatangani permintaan sertifikat:
openssl ca -in req.pem -out newcert.pem
Menandatangani permintaan sertifikat, menggunakan ekstensi CA:
openssl ca -in req.pem -ekstensi v3_ca -out newcert.pem
Buat CRL
openssl ca -gencrl -out crl.pem
Menandatangani beberapa permintaan:
openssl ca -infiles req1.pem req2.pem req3.pem
Sertifikasi SPKAC Netscape:
openssl ca -spkac spkac.txt
Contoh file SPKAC (baris SPKAC telah dipotong untuk kejelasan):
SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN=Tes Steve
alamat email=[email dilindungi]
0.OU=Grup OpenSSL
1.OU=Grup Lain
Contoh file konfigurasi dengan bagian yang relevan untuk ca:
[ kira ]
default_ca = CA_default # Bagian ca default
[CA_default]
dir = ./demoCA # dir atas
database = $dir/index.txt # file indeks.
new_certs_dir = $dir/newcerts # direktori sertifikat baru
sertifikat = $dir/cacert.pem # Sertifikat CA
serial = $dir/serial # serial tanpa file
private_key = $dir/private/cakey.pem# Kunci pribadi CA
RANDFILE = $dir/private/.rand # file nomor acak
default_days = 365 # berapa lama untuk sertifikasi
default_crl_days= 30 # berapa lama sebelum CRL berikutnya
default_md = md5 # md untuk digunakan
kebijakan = policy_any # kebijakan default
email_in_dn = no # Jangan tambahkan email ke DN cert
name_opt = ca_default # Opsi tampilan nama subjek
cert_opt = ca_default # Opsi tampilan sertifikat
copy_extensions = none # Jangan salin ekstensi dari permintaan
[ kebijakan_any ]
nama negara = disediakan
stateOrProvinceName = opsional
nama organisasi = opsional
organisasiUnitName = opsional
commonName = disediakan
emailAddress = opsional
Gunakan cassl online menggunakan layanan onworks.net
