Ini adalah perintah certutil yang dapat dijalankan di penyedia hosting gratis OnWorks menggunakan salah satu dari beberapa workstation online gratis kami seperti Ubuntu Online, Fedora Online, emulator online Windows atau emulator online MAC OS
PROGRAM:
NAMA
certutil - Kelola kunci dan sertifikat di database NSS dan token NSS lainnya
RINGKASAN
certutil [Pilihan] [[argumen]]
STATUS
Dokumentasi ini masih dalam proses. Silakan berkontribusi pada ulasan awal di
Mozilla NSS kesalahan 836477[1]
DESKRIPSI
Alat Database Sertifikat, certutil, adalah utilitas baris perintah yang dapat membuat dan
memodifikasi sertifikat dan database kunci. Itu secara khusus dapat membuat daftar, menghasilkan, memodifikasi, atau
hapus sertifikat, buat atau ubah kata sandi, buat kunci publik dan pribadi baru
pasang, tampilkan konten basis data kunci, atau hapus pasangan kunci di dalam kunci
database.
Penerbitan sertifikat, bagian dari proses kunci dan manajemen sertifikat, mensyaratkan bahwa
kunci dan sertifikat dibuat dalam database kunci. Dokumen ini membahas sertifikat
dan manajemen basis data kunci. Untuk informasi tentang manajemen database modul keamanan,
lihat modulutil halaman manual.
COMMAND PILIHAN DAN ARGUMEN
Running certutil selalu membutuhkan satu dan hanya satu opsi perintah untuk menentukan jenis
operasi sertifikat. Setiap opsi perintah dapat mengambil nol atau lebih argumen. Perintah
Option -H akan mencantumkan semua opsi perintah dan argumen yang relevan.
perintah Opsi
-A
Tambahkan sertifikat yang ada ke database sertifikat. Basis data sertifikat harus
sudah ada; jika tidak ada, opsi perintah ini akan menginisialisasi satu demi satu
standar.
-B
Jalankan serangkaian perintah dari file batch yang ditentukan. Ini membutuhkan -i argumen.
-C
Buat file sertifikat biner baru dari file permintaan sertifikat biner. Menggunakan
-i argumen untuk menentukan file permintaan sertifikat. Jika argumen ini tidak digunakan,
certutil meminta nama file.
-D
Hapus sertifikat dari database sertifikat.
--ganti nama
Mengubah nama panggilan database sertifikat.
-E
Tambahkan sertifikat email ke database sertifikat.
-F
Hapus kunci pribadi dari database kunci. Tentukan kunci yang akan dihapus dengan -n
argumen. Tentukan database dari mana untuk menghapus kunci dengan -d argumen. Menggunakan
itu -k argumen untuk menentukan secara eksplisit apakah akan menghapus kunci DSA, RSA, atau ECC. Jika kamu
jangan gunakan -k argumen, opsi mencari kunci RSA yang cocok dengan yang ditentukan
nama panggilan.
Saat Anda menghapus kunci, pastikan juga untuk menghapus semua sertifikat yang terkait dengan itu
kunci dari database sertifikat, dengan menggunakan -D. Beberapa kartu pintar tidak memungkinkan Anda
hapus kunci publik yang telah Anda buat. Dalam kasus seperti itu, hanya kunci pribadi yang
dihapus dari pasangan kunci. Anda dapat menampilkan kunci publik dengan perintah certutil -K
-h nama token.
-G
Hasilkan pasangan kunci publik dan pribadi baru dalam database kunci. Basis data kunci
harus sudah ada; jika tidak ada, opsi perintah ini akan menginisialisasi satu
secara default. Beberapa kartu pintar hanya dapat menyimpan satu pasangan kunci. Jika Anda membuat pasangan kunci baru
untuk kartu seperti itu, pasangan sebelumnya ditimpa.
-H
Menampilkan daftar opsi perintah dan argumen.
-K
Buat daftar ID kunci dari kunci dalam database kunci. ID kunci adalah modulus kunci RSA atau
publicValue dari kunci DSA. ID ditampilkan dalam heksadesimal ("0x" tidak ditampilkan).
-L
Daftar semua sertifikat, atau tampilkan informasi tentang sertifikat bernama, di a
database sertifikat. Gunakan argumen -h tokenname untuk menentukan sertifikat
database pada token perangkat keras atau perangkat lunak tertentu.
-M
Ubah atribut kepercayaan sertifikat menggunakan nilai argumen -t.
-N
Buat sertifikat baru dan database kunci.
-O
Cetak rantai sertifikat.
-R
Buat file permintaan sertifikat yang dapat dikirimkan ke Otoritas Sertifikat
(CA) untuk diproses menjadi sertifikat jadi. Output default ke standar keluar
kecuali jika Anda menggunakan argumen -o output-file. Gunakan argumen -a untuk menentukan output ASCII.
-S
Buat sertifikat individu dan tambahkan ke database sertifikat.
-T
Setel ulang basis data atau token kunci.
-U
Daftar semua modul yang tersedia atau cetak satu modul bernama.
-V
Periksa validitas sertifikat dan atributnya.
-W
Ubah kata sandi menjadi basis data kunci.
--menggabungkan
Menggabungkan dua database menjadi satu.
--upgrade-gabung
Tingkatkan database lama dan gabungkan ke database baru. Ini digunakan untuk bermigrasi
database NSS lama (cert8.db dan key3.db) ke dalam database SQLite yang lebih baru (cert9.db
dan key4.db).
kasus
Argumen mengubah opsi perintah dan biasanya huruf kecil, angka, atau simbol.
-a
Gunakan format ASCII atau izinkan penggunaan format ASCII untuk input atau output. Pemformatan ini
mengikuti RFC 1113. Untuk permintaan sertifikat, output ASCII default ke output standar
kecuali dialihkan.
-b validitas-waktu
Tentukan waktu di mana sertifikat harus valid. Gunakan saat memeriksa
validitas sertifikat dengan -V pilihan. Format dari masa berlaku argumen adalah
YYMMDDDHHMMSS[+HHMM|-HHMM|Z], yang memungkinkan offset diatur relatif terhadap validitas
akhir waktu. Menentukan detik (SS) adalah opsional. Saat menentukan waktu eksplisit, gunakan a
Z di akhir semester, YYMMDDDHHMMSSZ, untuk menutupnya. Saat menentukan waktu offset,
menggunakan YYMMDDDHHMMSS+HHMM or YYMMDDDHHMMSS-HHMM untuk menambah atau mengurangi waktu,
masing.
Jika opsi ini tidak digunakan, pemeriksaan validitas default ke waktu sistem saat ini.
-c penerbit
Identifikasi sertifikat CA dari mana sertifikat baru akan diperoleh
keaslian. Gunakan nama panggilan atau alias yang tepat dari sertifikat CA, atau gunakan CA's
alamat email. Tanda kurung string penerbit dengan tanda kutip jika mengandung spasi.
-d [awalan] direktori
Tentukan direktori database yang berisi sertifikat dan file database kunci.
certutil mendukung dua jenis database: database keamanan lama (cert8.db,
key3.db, dan secmod.db) dan database SQLite baru (cert9.db, key4.db, dan pkcs11.txt).
NSS mengenali awalan berikut:
· sql: meminta database yang lebih baru
· dbm: meminta database lama
Jika tidak ada awalan yang ditentukan, tipe default diambil dari NSS_DEFAULT_DB_TYPE. Jika
NSS_DEFAULT_DB_TYPE tidak disetel kemudian dbm: adalah defaultnya.
--dump-ext-val OID
Untuk sertifikat tunggal, cetak pengkodean DER biner dari ekstensi OID.
-e
Periksa tanda tangan sertifikat selama proses validasi sertifikat.
--email-alamat email
Tentukan alamat email sertifikat untuk dicantumkan. Digunakan dengan opsi perintah -L.
--extGeneric OID:critical-flag:filename[,OID:critical-flag:filename]...
Tambahkan satu atau beberapa ekstensi yang belum dapat dikodekan oleh certutil, dengan memuat
pengkodean dari file eksternal.
· OID (contoh): 1.2.3.4
· bendera kritis: kritis atau tidak kritis
· nama file: path lengkap ke file yang berisi ekstensi yang disandikan
-f file kata sandi
Tentukan file yang secara otomatis akan memberikan kata sandi untuk disertakan dalam sertifikat
atau untuk mengakses database sertifikat. Ini adalah file teks biasa yang berisi satu
kata sandi. Pastikan untuk mencegah akses tidak sah ke file ini.
-g ukuran kunci
Tetapkan ukuran kunci untuk digunakan saat membuat pasangan kunci publik dan pribadi baru. minimal adalah
512 bit dan maksimal 16384 bit. Standarnya adalah 2048 bit. Setiap ukuran antara
minimum dan maksimum yang diperbolehkan.
-h nama token
Tentukan nama token yang akan digunakan atau ditindaklanjuti. Jika tidak ditentukan, token default adalah
slot basis data internal.
-i masukan_file
Berikan file input ke perintah. Bergantung pada opsi perintah, file input dapat
menjadi sertifikat tertentu, file permintaan sertifikat, atau file batch perintah.
-k kunci-jenis-atau-id
Tentukan jenis atau ID spesifik dari sebuah kunci.
Opsi jenis kunci yang valid adalah rsa, dsa, ec, atau semua. Nilai defaultnya adalah rsa.
Menentukan jenis kunci dapat menghindari kesalahan yang disebabkan oleh nama panggilan duplikat. memberikan
jenis kunci menghasilkan pasangan kunci baru; memberikan ID kunci yang ada menggunakan kembali kunci itu
pair (yang diperlukan untuk memperbarui sertifikat).
-l
Menampilkan informasi detail saat memvalidasi sertifikat dengan opsi -V.
-m nomor seri
Tetapkan nomor seri unik untuk sertifikat yang sedang dibuat. Operasi ini harus
dilakukan oleh CA. Jika tidak ada nomor seri yang diberikan, nomor seri default dibuat
dari waktu sekarang. Nomor seri terbatas pada bilangan bulat
-n nama panggilan
Tentukan nama panggilan sertifikat atau kunci untuk membuat daftar, membuat, menambah database,
memodifikasi, atau memvalidasi. Tanda kurung string nama panggilan dengan tanda kutip jika mengandung
spasi.
-o file keluaran
Tentukan nama file keluaran untuk sertifikat baru atau permintaan sertifikat biner.
Bracket string file output dengan tanda kutip jika mengandung spasi. Jika ini
argumen tidak digunakan tujuan output default ke output standar.
-P dbAwalan
Tentukan awalan yang digunakan pada sertifikat dan file database kunci. Argumen ini adalah
disediakan untuk mendukung server lama. Sebagian besar aplikasi tidak menggunakan awalan database.
-p telepon
Tentukan nomor telepon kontak untuk disertakan dalam sertifikat atau sertifikat baru
permintaan. Tanda kurung string ini dengan tanda kutip jika mengandung spasi.
-q pqgfile atau nama-kurva
Baca nilai PQG alternatif dari file yang ditentukan saat membuat pasangan kunci DSA. Jika
argumen ini tidak digunakan, certutil menghasilkan nilai PQG sendiri. File PQG dibuat
dengan utilitas DSA terpisah.
Nama kurva eliptik adalah salah satu dari SUITE B: nistp256, nistp384, nistp521
Jika NSS telah dikompilasi dengan kurva dukungan di luar SUITE B: sect163k1, nistk163,
sekte163r1, sekte163r2, nistb163, sekte193r1, sekte193r2, sekte233k1, nistk233, sekte233r1,
nistb233, sekte239k1, sekte283k1, nistk283, sekte283r1, nistb283, sekte409k1, nistk409,
sekte409r1, nistb409, sekte571k1, nistk571, sekte571r1, nistb571, secp160k1, secp160r1,
secp160r2, secp192k1, secp192r1, nistp192, secp224k1, secp224r1, nistp224, secp256k1,
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2
-r
Tampilkan pengkodean DER biner sertifikat saat mencantumkan informasi tentang itu
sertifikat dengan opsi -L.
-s subjek
Identifikasi pemilik sertifikat tertentu untuk sertifikat atau permintaan sertifikat baru.
Tanda kurung string ini dengan tanda kutip jika mengandung spasi. Subjek
format identifikasi mengikuti RFC #1485.
-t kepercayaan
Tentukan atribut kepercayaan untuk dimodifikasi dalam sertifikat yang ada atau untuk diterapkan ke
sertifikat saat membuat atau menambahkannya ke database. Ada tiga yang tersedia
kategori kepercayaan untuk setiap sertifikat, dinyatakan dalam urutan ssl, email, obyek
penandatanganan untuk setiap pengaturan kepercayaan. Di setiap posisi kategori, gunakan tidak ada, salah satu, atau semua
kode atribut:
· p - Rekan yang valid
· P - Rekan tepercaya (menyiratkan p)
· c - CA yang valid
· T - CA Tepercaya (menyiratkan c)
· C - CA tepercaya untuk otentikasi klien (hanya server ssl)
· u - pengguna
Kode atribut untuk kategori dipisahkan dengan koma, dan seluruh rangkaian
atribut yang diapit oleh tanda kutip. Sebagai contoh:
-t "TCu,Cu,Tu"
Gunakan opsi -L untuk melihat daftar sertifikat saat ini dan atribut kepercayaan di a
database sertifikat.
-u yakinlah
Tentukan konteks penggunaan untuk diterapkan saat memvalidasi sertifikat dengan opsi -V.
Konteksnya adalah sebagai berikut:
· C (sebagai klien SSL)
· V (sebagai server SSL)
· L (sebagai CA SSL)
· A (sebagai CA mana pun)
· Y (Verifikasi CA)
· S (sebagai penandatangan email)
· R (sebagai penerima email)
· O (sebagai penanggap status OCSP)
· J (sebagai penanda objek)
-v valid-bulan
Tetapkan jumlah bulan sertifikat baru akan valid. Masa berlaku dimulai
pada waktu sistem saat ini kecuali offset ditambahkan atau dikurangi dengan -w .
Jika argumen ini tidak digunakan, periode validitas default adalah tiga bulan.
-w offset-bulan
Atur offset dari waktu sistem saat ini, dalam bulan, untuk awal a
masa berlaku sertifikat. Gunakan saat membuat sertifikat atau menambahkannya ke a
basis data. Nyatakan offset dalam bilangan bulat, menggunakan tanda minus (-) untuk menunjukkan a
offset negatif. Jika argumen ini tidak digunakan, masa berlakunya dimulai pada
waktu sistem saat ini. Panjang periode validitas diatur dengan argumen -v.
-X
Paksa database kunci dan sertifikat untuk dibuka dalam mode baca-tulis. Ini digunakan dengan
itu -U dan -L opsi perintah.
-x
penggunaan certutil untuk menghasilkan tanda tangan untuk sertifikat yang dibuat atau ditambahkan ke a
database, daripada mendapatkan tanda tangan dari CA terpisah.
-y pengalaman
Tetapkan nilai eksponen alternatif untuk digunakan dalam menghasilkan kunci publik RSA baru untuk
database, bukan nilai default 65537. Nilai alternatif yang tersedia adalah 3
dan 17.
-z file kebisingan
Baca nilai benih dari file yang ditentukan untuk menghasilkan kunci pribadi dan publik baru
pasangan. Argumen ini memungkinkan untuk menggunakan nilai benih yang dihasilkan perangkat keras atau
secara manual membuat nilai dari keyboard. Ukuran file minimum adalah 20 byte.
-Z hashAlg
Tentukan algoritme hash yang akan digunakan dengan opsi perintah -C, -S atau -R. Mungkin
kata kunci:
· MD2
· MD4
· MD5
· SHA1
· SHA224
· SHA256
· SHA384
· SHA512
-0 SSO_sandi
Tetapkan kata sandi petugas keamanan situs pada token.
-1 | --keyUsage kata kunci, kata kunci
Setel Ekstensi Jenis Sertifikat X.509 V3 dalam sertifikat. Ada beberapa
kata kunci yang tersedia:
· tanda tangan digital
· non-Repudiasi
· enkripsi kunci
· enkripsi data
· perjanjian kunci
· Penandatanganan Sertifikat
· crlPenandatanganan
· kritis
-2
Tambahkan ekstensi batasan dasar ke sertifikat yang sedang dibuat atau ditambahkan ke a
basis data. Ekstensi ini mendukung proses verifikasi rantai sertifikat.
certutil meminta ekstensi batasan sertifikat untuk memilih.
Ekstensi sertifikat X.509 dijelaskan dalam RFC 5280.
-3
Tambahkan ekstensi ID kunci otoritas ke sertifikat yang sedang dibuat atau ditambahkan ke a
basis data. Ekstensi ini mendukung identifikasi sertifikat tertentu, dari
di antara beberapa sertifikat yang terkait dengan satu nama subjek, sebagai penerbit yang benar dari
sebuah sertifikat. Alat Database Sertifikat akan meminta Anda untuk memilih otoritas
ekstensi ID kunci.
Ekstensi sertifikat X.509 dijelaskan dalam RFC 5280.
-4
Tambahkan ekstensi titik distribusi CRL ke sertifikat yang sedang dibuat atau ditambahkan
ke sebuah basis data. Ekstensi ini mengidentifikasi URL yang terkait dengan sertifikat
daftar pencabutan sertifikat (CRL). certutil meminta URL.
Ekstensi sertifikat X.509 dijelaskan dalam RFC 5280.
-5 | --nsCertType kata kunci, kata kunci
Tambahkan ekstensi jenis sertifikat X.509 V3 ke sertifikat yang sedang dibuat atau
ditambahkan ke basis data. Ada beberapa kata kunci yang tersedia:
· sslKlien
· sslServer
· senyum
· Penandatanganan objek
· sslCA
· smimeCA
· ObjectSigningCA
· kritis
Ekstensi sertifikat X.509 dijelaskan dalam RFC 5280.
-6 | --extKeyUsage kata kunci, kata kunci
Tambahkan ekstensi penggunaan kunci yang diperluas ke sertifikat yang sedang dibuat atau ditambahkan ke
data. Beberapa kata kunci yang tersedia:
· serverAuth
· klienAuth
· Penandatanganan kode
· Perlindungan email
· stempel waktu
· ocspResponder
· melangkah
· msTrustListSign
· kritis
Ekstensi sertifikat X.509 dijelaskan dalam RFC 5280.
-7 emailAdrs
Tambahkan daftar alamat email yang dipisahkan koma ke nama alternatif subjek
perpanjangan sertifikat atau permintaan sertifikat yang sedang dibuat atau ditambahkan ke
data. Ekstensi nama alternatif subjek dijelaskan di Bagian 4.2.1.7 dari
RFC3280.
-8 dns-nama
Tambahkan daftar nama DNS yang dipisahkan koma ke ekstensi nama alternatif subjek a
sertifikat atau permintaan sertifikat yang sedang dibuat atau ditambahkan ke database.
Ekstensi nama alternatif subjek dijelaskan dalam Bagian 4.2.1.7 dari RFC 3280.
--extAIA
Tambahkan ekstensi Akses Informasi Otoritas ke sertifikat. Sertifikat X.509
ekstensi dijelaskan dalam RFC 5280.
--extSIA
Tambahkan ekstensi Akses Informasi Subjek ke sertifikat. Sertifikat X.509
ekstensi dijelaskan dalam RFC 5280.
--extCP
Tambahkan ekstensi Kebijakan Sertifikat ke sertifikat. Sertifikat X.509
ekstensi dijelaskan dalam RFC 5280.
--extPM
Tambahkan ekstensi Pemetaan Kebijakan ke sertifikat. Ekstensi sertifikat X.509 adalah
dijelaskan dalam RFC 5280.
--extPC
Tambahkan ekstensi Batasan Kebijakan ke sertifikat. Ekstensi sertifikat X.509
dijelaskan dalam RFC 5280.
--extIA
Tambahkan ekstensi Inhibit Any Policy Access ke sertifikat. Sertifikat X.509
ekstensi dijelaskan dalam RFC 5280.
--extSKID
Tambahkan ekstensi ID Kunci Subjek ke sertifikat. Ekstensi sertifikat X.509 adalah
dijelaskan dalam RFC 5280.
--extNC
Tambahkan ekstensi Name Constraint ke sertifikat. Ekstensi sertifikat X.509 adalah
dijelaskan dalam RFC 5280.
--extSAN ketik:nama[,ketik:nama]...
Buat ekstensi Nama Alt Subjek dengan satu atau beberapa nama.
-jenis: direktori, dn, dns, edi, ediparty, email, ip, ipaddr, lainnya, registerid,
rfc822, uri, x400, x400addr
--kosong-kata sandi
Gunakan kata sandi kosong saat membuat database sertifikat baru dengan -N.
--keyAttrFlags attrflag
Atribut kunci PKCS #11. Daftar flag atribut kunci yang dipisahkan koma, dipilih dari
daftar pilihan berikut: {token | sesi} {publik | pribadi} {sensitif |
tidak sensitif} {dapat dimodifikasi | tidak dapat dimodifikasi} {dapat diekstraksi | tidak dapat diekstraksi}
--keyOpFlagsPada opflags, --keyOpFlagsOff opflags
Bendera Operasi kunci PKCS #11. Daftar yang dipisahkan koma dari satu atau lebih dari berikut ini:
{tanda | sesi} {publik | pribadi} {sensitif | tidak sensitif} {dapat dimodifikasi |
tidak dapat dimodifikasi} {dapat diekstraksi | tidak dapat diekstraksi}
--nama panggilan baru-n
Nama panggilan baru, digunakan saat mengganti nama sertifikat.
--source-dir sertifikat
Identifikasi direktori database sertifikat yang akan ditingkatkan.
--sumber-awalan certdir
Berikan awalan sertifikat dan basis data kunci untuk ditingkatkan.
--upgrade-id ID unik
Berikan ID unik dari database untuk ditingkatkan.
--upgrade-token-nama nama
Tetapkan nama token yang akan digunakan saat sedang ditingkatkan.
--@ pwfile
Beri nama file password yang akan digunakan untuk database yang sedang diupgrade.
PENGGUNAAN DAN CONTOH
Sebagian besar opsi perintah dalam contoh yang tercantum di sini memiliki lebih banyak argumen yang tersedia. NS
argumen yang termasuk dalam contoh ini adalah yang paling umum atau digunakan untuk mengilustrasikan
skenario tertentu. Menggunakan -H opsi untuk menampilkan daftar lengkap argumen untuk masing-masing
opsi perintah.
membuat New Security Database
Sertifikat, kunci, dan modul keamanan yang terkait dengan pengelolaan sertifikat disimpan di
tiga database terkait:
· cert8.db atau cert9.db
· key3.db atau key4.db
· secmod.db atau pkcs11.txt
Basis data ini harus dibuat sebelum sertifikat atau kunci dapat dibuat.
certutil -N -d [sql:]direktori
membuat a sertifikat Meminta
Permintaan sertifikat berisi sebagian besar atau semua informasi yang digunakan untuk menghasilkan
sertifikat akhir. Permintaan ini diajukan secara terpisah ke otoritas sertifikat dan adalah
kemudian disetujui oleh beberapa mekanisme (secara otomatis atau dengan tinjauan manusia). Begitu permintaannya adalah
disetujui, maka sertifikat dibuat.
$ certutil -R -k key-type-or-id [-q pqgfile|curve-name] -g key-size -s subject [-h tokenname] -d [sql:]directory [-p phone] [-o file keluaran] [-a]
Grafik -R opsi perintah membutuhkan empat argumen:
· -k untuk menentukan jenis kunci yang akan dibuat atau, saat memperbarui sertifikat,
pasangan kunci yang ada untuk digunakan
· -g untuk mengatur ukuran kunci dari kunci yang akan dihasilkan
· -s untuk mengatur nama subjek sertifikat
· -d untuk memberikan direktori database keamanan
Permintaan sertifikat baru dapat ditampilkan dalam format ASCII (-a) atau dapat ditulis menjadi
berkas tertentu (-o).
Sebagai contoh:
$ certutil -R -k rsa -g 1024 -s "CN=John Smith,O=Contoh Corp,L=Mountain View,ST=California,C=US" -d sql:$HOME/nssdb -p 650-555- 0123 -a -o cert.cer
Kunci pembangkit. Ini mungkin memakan waktu beberapa saat...
membuat a sertifikat
Sertifikat yang valid harus dikeluarkan oleh CA tepercaya. Ini dapat dilakukan dengan menentukan CA
sertifikat (-c) yang disimpan dalam database sertifikat. Jika pasangan kunci CA tidak
tersedia, Anda dapat membuat sertifikat yang ditandatangani sendiri menggunakan -x argumen dengan -S
opsi perintah.
$ certutil -S -k rsa|dsa|ec -n certname -s subject [-c issuer |-x] -t trustargs -d [sql:]directory [-m serial-number] [-v valid-months] [ -w offset-months] [-p phone] [-1] [-2] [-3] [-4] [-5 kata kunci] [-6 kata kunci] [-7 emailAddress] [-8 dns-names] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]
Deret bilangan dan --ext* opsi mengatur ekstensi sertifikat yang dapat ditambahkan ke
sertifikat ketika dibuat oleh CA. Perintah interaktif akan dihasilkan.
Misalnya, ini membuat sertifikat yang ditandatangani sendiri:
$ certutil -S -s "CN=Contoh CA" -n my-ca-cert -x -t "C,C,C" -1 -2 -5 -m 3650
Interatif meminta penggunaan kunci dan apakah ada ekstensi yang kritis dan tanggapan
telah dihilangkan untuk singkatnya.
Dari sana, sertifikat baru dapat merujuk ke sertifikat yang ditandatangani sendiri:
$ certutil -S -s "CN=Sertifikat Server Saya" -n my-server-cert -c "my-ca-cert" -t "u,u,u" -1 -5 -6 -8 -m 730
Membangkitkan a sertifikat dari a sertifikat Meminta
Saat permintaan sertifikat dibuat, sertifikat dapat dibuat dengan menggunakan permintaan
dan kemudian merujuk sertifikat penandatanganan otoritas sertifikat (the penerbit ditentukan dalam
itu -c argumen). Sertifikat yang menerbitkan harus ada dalam database sertifikat di
direktori yang ditentukan.
certutil -C -c issuer -i cert-request-file -o output-file [-m serial-number] [-v valid-months] [-w offset-months] -d [sql:]directory [-1] [-2] [-3] [-4] [-5 kata kunci] [-6 kata kunci] [-7 emailAddress] [-8 dns-names]
Sebagai contoh:
$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql:$HOME/nssdb -1 nonRepudiation,dataEncipherment -5 sslClient -6 clientAuth -7 [email dilindungi]
listing sertifikat
Grafik -L opsi perintah mencantumkan semua sertifikat yang terdaftar dalam database sertifikat.
Jalur ke direktori (-d) diperlukan.
$ certutil -L -d sql:/home/my/sharednssdb
Sertifikat Nama Panggilan Kepercayaan Atribut
SSL, S/MIME, JAR/XPI
CA Administrator Instance pki-ca1's Contoh ID Domain u,u,u
Contoh ID Domain Administrator TPS u,u,u
Otoritas Internet Google ,,
Otoritas Sertifikat - Contoh Domain CT,C,C
Menggunakan argumen tambahan dengan -L dapat mengembalikan dan mencetak informasi untuk satu,
sertifikat tertentu. Misalnya, -n argumen melewati nama sertifikat, sedangkan
-a argumen mencetak sertifikat dalam format ASCII:
$ certutil -L -d sql:$HOME/nssdb -a -n my-ca-cert
-----MULAI SERTIFIKAT-----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-----AKHIR SERTIFIKAT-----
Untuk tampilan yang dapat dibaca manusia
$ certutil -L -d sql:$HOME/nssdb -n my-ca-cert
Sertifikat:
Tanggal:
Versi: 3 (0x2)
Nomor Seri: 3650 (0xe42)
Algoritma Tanda Tangan: PKCS #1 SHA-1 Dengan Enkripsi RSA
Penerbit: "CN=Contoh CA"
Keabsahan:
Tidak Sebelum: Rab 13 Mar 19:10:29 2013
Tidak Setelah : Kam 13 Jun 19:10:29 2013
Subjek: "CN=Contoh CA"
Info Kunci Publik Subjek:
Algoritma Kunci Publik: Enkripsi RSA PKCS #1
Kunci Publik RSA:
Modul:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
Eksponen: 65537 (0x10001)
Ekstensi yang Ditandatangani:
Nama: Jenis Sertifikat
Data: tidak ada
Nama: Batasan Dasar Sertifikat
Data: Merupakan CA tanpa panjang jalur maksimum.
Nama: Penggunaan Kunci Sertifikat
Kritis: Benar
Penggunaan: Penandatanganan Sertifikat
Algoritma Tanda Tangan: PKCS #1 SHA-1 Dengan Enkripsi RSA
Tanda tangan:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
Sidik Jari (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
Sidik Jari (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7
Bendera Kepercayaan Sertifikat:
Bendera SSL:
CA yang valid
CA tepercaya
Pengguna
Bendera Email:
CA yang valid
CA tepercaya
Pengguna
Bendera Penandatanganan Objek:
CA yang valid
CA tepercaya
Pengguna
listing Kunci-kunci
Kunci adalah bahan asli yang digunakan untuk mengenkripsi data sertifikat. Kunci yang dihasilkan untuk
sertifikat disimpan secara terpisah, dalam database kunci.
Untuk membuat daftar semua kunci dalam database, gunakan: -K opsi perintah dan (wajib) -d argumen
untuk memberikan path ke direktori.
$ certutil -K -d sql:$HOME/nssdb
certutil: Memeriksa token "NSS Certificate DB" di slot "NSS User Private Key and Certificate Services"
< 0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d Thawte Freemail Anggota Thawte Consulting (Pty) Ltd. ID
< 1> rsa 40defeeb522ade11090eacebaaf1196a172127df Contoh Sertifikat Administrator Domain
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert
Ada cara untuk mempersempit kunci yang tercantum dalam hasil pencarian:
· Untuk mengembalikan kunci tertentu, gunakan -nnama argumen dengan nama kunci.
· Jika ada beberapa perangkat keamanan yang dimuat, maka -hnama token argumen bisa
mencari token tertentu atau semua token.
· Jika ada beberapa jenis kunci yang tersedia, maka -ktipe kunci argumen dapat mencari
jenis kunci tertentu, seperti RSA, DSA, atau ECC.
listing Security Modul
Perangkat yang dapat digunakan untuk menyimpan sertifikat -- baik database internal maupun eksternal
perangkat seperti kartu pintar -- dikenali dan digunakan dengan memuat modul keamanan. NS -U
opsi perintah mencantumkan semua modul keamanan yang terdaftar di database secmod.db. NS
jalur ke direktori (-d) diperlukan.
$ certutil -U -d sql:/home/my/sharednssdb
slot: Kunci Pribadi Pengguna NSS dan Layanan Sertifikat
token: DB Sertifikat NSS
slot: Layanan Kriptografi Internal NSS
token: Layanan Kripto Generik NSS
Menambahkan sertifikat untuk itu Basis Data
Sertifikat atau permintaan sertifikat yang ada dapat ditambahkan secara manual ke sertifikat
database, bahkan jika mereka dihasilkan di tempat lain. Ini menggunakan -A opsi perintah.
certutil -A -n certname -t trustargs -d [sql:]direktori [-a] [-i input-file]
Sebagai contoh:
$ certutil -A -n "CN=Sertifikat SSL Saya" -t "u,u,u" -d sql:/home/my/sharednssdb -i /home/example-certs/cert.cer
Opsi perintah terkait, -E, digunakan secara khusus untuk menambahkan sertifikat email ke
database sertifikat. NS -E perintah memiliki argumen yang sama dengan -A memerintah. Kepercayaan
argumen untuk sertifikat memiliki format SSL, S/MIME, Penandatanganan kode, jadi kepercayaan tengah
pengaturan paling berhubungan dengan sertifikat email (meskipun yang lain dapat diatur). Sebagai contoh:
$ certutil -E -n "CN=John Smith Email Cert" -t ",Pu," -d sql:/home/my/sharednssdb -i /home/example-certs/email.cer
menghapus sertifikat untuk itu Basis Data
Sertifikat dapat dihapus dari database menggunakan -D pilihan. Satu-satunya opsi yang diperlukan
adalah untuk memberikan direktori database keamanan dan untuk mengidentifikasi nama panggilan sertifikat.
certutil -D -d [sql:]direktori -n "nama panggilan"
Sebagai contoh:
$ certutil -D -d sql:/home/my/sharednssdb -n "my-ssl-cert"
Memvalidasi sertifikat
Sertifikat berisi tanggal kedaluwarsa itu sendiri, dan sertifikat kedaluwarsa dengan mudah
ditolak. Namun, sertifikat juga dapat dicabut sebelum mencapai tanggal kedaluwarsa.
Memeriksa apakah sertifikat telah dicabut memerlukan validasi sertifikat.
Validasi juga dapat digunakan untuk memastikan bahwa sertifikat hanya digunakan untuk tujuan
itu awalnya dikeluarkan untuk. Validasi dilakukan oleh -V opsi perintah.
certutil -V -n nama-sertifikat [-b waktu] [-e] [-u cert-penggunaan] -d [sql:]direktori
Misalnya, untuk memvalidasi sertifikat email:
$ certutil -V -n "Sertifikat Email John Smith" -e -u S,R -d sql:/home/my/sharednssdb
Memodifikasi sertifikat Kepercayaan Settings
Pengaturan kepercayaan (yang terkait dengan operasi yang diizinkan oleh sertifikat
digunakan untuk) dapat diubah setelah sertifikat dibuat atau ditambahkan ke database. Ini adalah
sangat berguna untuk sertifikat CA, tetapi dapat dilakukan untuk semua jenis
sertifikat.
certutil -M -n nama sertifikat -t trust-args -d direktori [sql:]
Sebagai contoh:
$ certutil -M -n "Sertifikat CA Saya" -d sql:/home/my/sharednssdb -t "CTu,CTu,CTu"
Pencetakan itu sertifikat Rantai
Sertifikat dapat diterbitkan di rantai karena setiap otoritas sertifikat itu sendiri memiliki
sertifikat; ketika CA mengeluarkan sertifikat, itu pada dasarnya mencap sertifikat itu dengan
sidik jarinya sendiri. NS -O mencetak rantai lengkap sertifikat, mulai dari inisial
CA (CA root) melalui CA perantara ke sertifikat yang sebenarnya. Misalnya untuk
sertifikat email dengan dua CA dalam rantai:
$ certutil -d sql:/home/my/sharednssdb -O -n "[email dilindungi]"
"Builtin Object Token:Thawte Personal Freemail CA" [E=[email dilindungi],CN=Thawte Personal Freemail CA,OU=Divisi Layanan Sertifikasi,O=Thawte Consulting,L=Cape Town,ST=Western Cape,C=ZA]
"Thawte Personal Freemail Penerbit CA - Thawte Consulting" [CN=Thawte Personal Freemail Penerbitan CA,O=Thawte Consulting (Pty) Ltd.,C=ZA]
"(nol)" [E=[email dilindungi],CN=Anggota Freemail Thawte]
Ulang a Token
Perangkat yang menyimpan sertifikat -- baik perangkat keras eksternal maupun internal
database perangkat lunak -- dapat dikosongkan dan digunakan kembali. Operasi ini dilakukan pada perangkat
yang menyimpan data, tidak langsung di database keamanan, jadi lokasinya harus
direferensikan melalui nama token (-h) serta jalur direktori apa pun. Jika tidak ada
token eksternal yang digunakan, nilai defaultnya adalah internal.
certutil -T -d [sql:]direktori -h token-name -0 security-officer-password
Banyak jaringan memiliki personel khusus yang menangani perubahan pada token keamanan (keamanan
petugas). Orang ini harus memberikan kata sandi untuk mengakses token yang ditentukan. Sebagai contoh:
$ certutil -T -d sql:/home/my/sharednssdb -h nethsm -0 rahasia
Penataran or Penggabungan itu Security Database
Banyak jaringan atau aplikasi mungkin menggunakan versi sertifikat BerkeleyDB yang lebih lama
basis data (cert8.db). Basis data dapat ditingkatkan ke versi SQLite baru dari basis data
(cert9.db) menggunakan --upgrade-gabung opsi perintah atau database yang ada dapat digabungkan
dengan database cert9.db baru menggunakan ---menggabungkan perintah.
Grafik --upgrade-gabung perintah harus memberikan informasi tentang database asli dan kemudian menggunakan
argumen standar (seperti -d) untuk memberikan informasi tentang database baru. NS
perintah juga memerlukan informasi yang digunakan alat untuk proses peningkatan dan penulisan
atas database asli.
certutil --upgrade-merge -d [sql:]direktori [-P dbprefix] --direktori source-dir --source-prefix dbprefix --upgrade-id id --upgrade-token-name name [-@ password-file ]
Sebagai contoh:
$ certutil --upgrade-merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp- --upgrade-id 1 --upgrade-token- nama internal
Grafik --menggabungkan perintah hanya membutuhkan informasi tentang lokasi database asli;
karena tidak mengubah format database, ia dapat menulis informasi tanpa
melakukan langkah sementara.
certutil --merge -d [sql:]direktori [-P dbprefix] --direktori source-dir --source-prefix dbprefix [-@ password-file]
Sebagai contoh:
$ certutil --merge -d sql:/home/my/sharednssdb --source-dir /opt/aplikasi-saya/alias/ --source-prefix serverapp-
Running certutil Perintah dari a Sekumpulan File
Serangkaian perintah dapat dijalankan secara berurutan dari file teks dengan -B opsi perintah.
Satu-satunya argumen untuk ini menentukan file input.
$ certutil -B -i /path/ke/batch-file
NSS DATABASE JENIS
NSS awalnya menggunakan database BerkeleyDB untuk menyimpan informasi keamanan. Versi terakhir
ini warisan database adalah:
· cert8.db untuk sertifikat
· key3.db untuk kunci
· secmod.db untuk informasi modul PKCS #11
BerkeleyDB memiliki keterbatasan kinerja, yang mencegahnya digunakan dengan mudah oleh
beberapa aplikasi secara bersamaan. NSS memiliki beberapa fleksibilitas yang memungkinkan aplikasi untuk
gunakan mesin database independen mereka sendiri sambil menjaga database bersama dan berfungsi
seputar masalah akses. Namun, NSS membutuhkan lebih banyak fleksibilitas untuk memberikan layanan yang benar-benar dibagikan
basis data keamanan.
Pada tahun 2009, NSS memperkenalkan satu set database baru yang merupakan database SQLite daripada
BerkeleyDB. Basis data baru ini memberikan lebih banyak aksesibilitas dan kinerja:
· cert9.db untuk sertifikat
· key4.db untuk kunci
· pkcs11.txt, daftar semua modul PKCS #11, yang terdapat dalam subdirektori baru
di direktori database keamanan
Karena database SQLite dirancang untuk dibagikan, ini adalah: berbagi Database
Tipe. Jenis database bersama lebih disukai; format lama disertakan untuk mundur
kompatibilitas.
Secara default, alat (certutil, pk12util, modulutil) asumsikan bahwa keamanan yang diberikan
database mengikuti tipe warisan yang lebih umum. Menggunakan database SQLite harus secara manual
ditentukan dengan menggunakan sql: awalan dengan direktori keamanan yang diberikan. Sebagai contoh:
$ certutil -L -d sql:/home/my/sharednssdb
Untuk mengatur tipe database bersama sebagai tipe default untuk alat, atur:
NSS_DEFAULT_DB_TYPE variabel lingkungan menjadi sql:
ekspor NSS_DEFAULT_DB_TYPE="sql"
Baris ini dapat diatur ditambahkan ke ~ / .bashrc file untuk membuat perubahan permanen.
Sebagian besar aplikasi tidak menggunakan database bersama secara default, tetapi mereka dapat dikonfigurasi untuk
gunakan mereka. Misalnya, artikel panduan ini mencakup cara mengonfigurasi Firefox dan Thunderbird
untuk menggunakan database NSS bersama yang baru:
· https://wiki.mozilla.org/NSS_Shared_DB_Howto
Untuk draf teknik tentang perubahan dalam database NSS bersama, lihat proyek NSS
wiki:
· https://wiki.mozilla.org/NSS_Shared_DB
Gunakan certutil online menggunakan layanan onworks.net
