Questo è il comando cassl che può essere eseguito nel provider di hosting gratuito OnWorks utilizzando una delle nostre molteplici workstation online gratuite come Ubuntu Online, Fedora Online, emulatore online Windows o emulatore online MAC OS
PROGRAMMA:
NOME
ca: esempio di applicazione CA minima
SINOSSI
OpenSSL ca [-verboso] [-config Nome del file] [-nome pagina] [-gencrl] [-revocare filetto] [-stato
serial] [-aggiornatob] [-crl_motivo ragione] [-crl_hold istruzione] [-crl_compromesso tempo]
[-crl_CA_compromesso tempo] [-crldays giorni] [-crlhours ore] [-crlex pagina] [-data d'inizio
quando] [-data di fine quando] [-giorni arg] [-md arg] [-politica arg] [-file chiavi arg] [-forma chiave
PEM|DER] [-chiave arg] [-passino arg] [-cert filetto] [-autofirma] [-in filetto] [-su filetto]
[-notesto] [-esterno dir] [-infile] [-spkac filetto] [-ss_cert filetto] [-preserveDN]
[-noe-mailDN] [-lotto] [-msie_hack] [-estensioni pagina] [-fileext pagina] [-motore id]
[-sott arg] [-utf8] [-multivalore-rdn]
DESCRIZIONE
I ca il comando è un'applicazione CA minima. Può essere utilizzato per firmare richieste di certificato
una varietà di moduli e genera CRL, mantiene inoltre un database di testo dei documenti emessi
certificati e il loro status.
Le descrizioni delle opzioni saranno suddivise per ciascuno scopo.
CA VERSIONI
-config Nome del file
specifica il file di configurazione da utilizzare.
-nome pagina
specifica la sezione del file di configurazione da utilizzare (override default_ca nel ca
sezione).
-in Nome del file
un nome file di input contenente una singola richiesta di certificato che deve essere firmata dalla CA.
-ss_cert Nome del file
un unico certificato autofirmato che deve essere firmato dalla CA.
-spkac Nome del file
un file contenente una singola chiave pubblica firmata Netscape, una sfida e ulteriori informazioni
valori dei campi che devono essere firmati dalla CA. Vedi il SPKAC FORMATO sezione per informazioni su
il formato di input e output richiesto.
-infile
se presente questa dovrebbe essere l'ultima opzione, tutti gli argomenti successivi vengono presupposti
i nomi dei file contenenti richieste di certificato.
-su Nome del file
il file di output in cui inviare i certificati. L'impostazione predefinita è l'output standard. IL
anche i dettagli del certificato verranno stampati in questo file in formato PEM (tranne che
-spkac emette il formato DER).
-esterno elenco
la directory in cui emettere i certificati. Il certificato verrà scritto in un nome file
costituito dal numero di serie in formato esadecimale con l'aggiunta di ".pem".
-cert
il file del certificato CA.
-file chiavi Nome del file
la chiave privata con cui firmare le richieste.
-forma chiave PEM|DER
il formato dei dati nel file della chiave privata. L'impostazione predefinita è PEM.
-chiave parola d'ordine
la password utilizzata per crittografare la chiave privata. Poiché su alcuni sistemi la riga di comando
gli argomenti sono visibili (ad esempio Unix con l'utilità 'ps'), è necessario utilizzare questa opzione
con cautela.
-autofirma
indica che i certificati emessi devono essere firmati con la chiave del certificato
le richieste sono state firmate con (data con -file chiavi). Richieste di certificato firmate con a
tasti diversi vengono ignorati. Se -spkac, -ss_cert or -gencrl sono dati, -autofirma is
ignorato.
Una conseguenza dell'uso -autofirma è che il certificato autofirmato compaia tra i file
voci nel database dei certificati (vedere l'opzione di configurazione banca dati) e usi
lo stesso contatore del numero di serie di tutti gli altri certificati firmati con l'autofirmato
certificato.
-passino arg
l'origine della password della chiave. Per maggiori informazioni sul formato di arg si può consultare il PASSAGGIO
FRASE ARGOMENTI sezione in OpenSSL(1).
-verboso
questo stampa dettagli aggiuntivi sulle operazioni eseguite.
-notesto
non generare il formato testo di un certificato nel file di output.
-data d'inizio quando
ciò consente di impostare esplicitamente la data di inizio. Il formato della data è
YYMMDDHHMMSSZ (lo stesso di una struttura ASN1 UTCTime).
-data di fine quando
ciò consente di impostare esplicitamente la data di scadenza. Il formato della data è
YYMMDDHHMMSSZ (lo stesso di una struttura ASN1 UTCTime).
-giorni arg
il numero di giorni per cui certificare il certificato.
-md alg
il digest del messaggio da utilizzare. I valori possibili includono md5, sha1 e mdc2. Questa opzione
vale anche per le CRL.
-politica arg
questa opzione definisce la "politica" della CA da utilizzare. Questa è una sezione della configurazione
file che decide quali campi devono essere obbligatori o corrispondere al certificato CA. Controllo
la POLITICA FORMATO sezione per ulteriori informazioni.
-msie_hack
questa è un'opzione legacy da realizzare ca lavorare con versioni molto vecchie del certificato IE
controllo di iscrizione "certenr3". Utilizzava UniversalStrings per quasi tutto. Da
il vecchio controllo presenta diversi bug di sicurezza il suo utilizzo è fortemente sconsigliato. Il più recente
il controllo "Xenroll" non necessita di questa opzione.
-preserveDN
Normalmente l'ordine DN di un certificato è lo stesso dell'ordine dei campi nel file
sezione politica pertinente. Quando questa opzione è impostata, l'ordine è lo stesso della richiesta.
Ciò è in gran parte dovuto alla compatibilità con il vecchio controllo di registrazione di IE che lo farebbe
accettano certificati solo se i loro DN corrispondono all'ordine della richiesta. Questo non è
necessario per Xenroll.
-noe-mailDN
Il DN di un certificato può contenere il campo EMAIL se presente nel DN della richiesta,
tuttavia è buona norma impostare l'e-mail nell'estensione altName del file
certificato. Quando questa opzione è impostata il campo EMAIL viene rimosso dal certificato'
soggetto e impostato solo nelle estensioni eventualmente presenti. IL email_in_dn parola chiave
può essere utilizzato nel file di configurazione per abilitare questo comportamento.
-lotto
questo imposta la modalità batch. In questa modalità non verranno poste domande e tutti i certificati
verrà certificato automaticamente.
-estensioni pagina
la sezione del file di configurazione contenente le estensioni del certificato da aggiungere
quando viene emesso un certificato (il valore predefinito è x509_estensioni a meno che il -fileext opzione
si usa). Se non è presente alcuna sezione di estensione, viene creato un certificato V1. Se la
è presente la sezione dell'estensione (anche se vuota), viene creato un certificato V3.
Vedi: w x509v3_config(5) pagina di manuale per i dettagli del formato della sezione di estensione.
-fileext filetto
un file di configurazione aggiuntivo da cui leggere le estensioni del certificato (utilizzando il file
sezione predefinita a meno che il file -estensioni viene utilizzata anche l'opzione).
-motore id
specificando un motore (dalla sua unica id stringa) causerà ca tentare di ottenere un
riferimento funzionale al motore specificato, inizializzandolo se necessario. Il
motore verrà quindi impostato come predefinito per tutti gli algoritmi disponibili.
-sott arg
sostituisce il nome del soggetto fornito nella richiesta. L'argomento deve essere formattato come
/type0=value0/type1=value1/type2=..., i caratteri possono essere preceduti da \ (barra rovesciata), no
gli spazi vengono saltati.
-utf8
questa opzione fa sì che i valori dei campi vengano interpretati come stringhe UTF8, per impostazione predefinita lo sono
interpretato come ASCII. Ciò significa che i valori del campo, se richiesto da a
terminale o ottenuto da un file di configurazione, devono essere stringhe UTF8 valide.
-multivalore-rdn
questa opzione fa sì che l'argomento -subj venga interpretato con il pieno supporto per
RDN multivalore. Esempio:
/DC=org/DC=OpenSSL/DC=utenti/UID=123456+CN=John daino
Se -multi-rdn non viene utilizzato, il valore UID è 123456+CN=Giovanni daino.
CRL VERSIONI
-gencrl
questa opzione genera un CRL in base alle informazioni nel file indice.
-crldays num
il numero di giorni prima della scadenza della successiva CRL. Questi sono i giorni da adesso in poi
il campo nextUpdate della CRL.
-crlhours num
il numero di ore prima della scadenza della successiva CRL.
-revocare Nome del file
un nome file contenente un certificato da revocare.
-stato serial
visualizza lo stato di revoca del certificato con il numero di serie specificato e
esce.
-aggiornatob
Aggiorna l'indice del database per eliminare i certificati scaduti.
-crl_motivo ragione
motivo della revoca, dove ragione è uno di: imprecisato, chiaveCompromesso, CACompromise,
affiliazioneCambiato, sostituita, cessazione dell'operazione, certificatoHold or
rimuoviDalCRL. L'abbinamento di ragione non fa distinzione tra maiuscole e minuscole. Impostazione dell'eventuale revoca
motivo renderà la CRL v2.
In pratica rimuoviDalCRL non è particolarmente utile perché viene utilizzato solo in delta
CRL che non sono attualmente implementate.
-crl_hold istruzione
Imposta il codice motivo della revoca CRL su certificatoHold e l'istruzione di attesa
a istruzione che deve essere un OID. Sebbene sia possibile utilizzare solo qualsiasi OID
holdIstruzioneNessuno (il cui utilizzo è scoraggiato da RFC2459)
holdInstructionCallIssuer or holdIstruzioneRifiuta verrà normalmente utilizzato.
-crl_compromesso tempo
Imposta il motivo della revoca su chiaveCompromesso e il tempo di compromesso tempo. tempo
dovrebbe essere nel formato GeneralizedTime AAAAMMGGHMMSSZ.
-crl_CA_compromesso tempo
Questo è lo stesso di crl_compromesso tranne che il motivo della revoca è impostato su
CACompromise.
-crlex pagina
la sezione del file di configurazione contenente le estensioni CRL da includere. Se non c'è CRL
è presente una sezione di estensione, viene creato un CRL V1, se la sezione di estensione CRL lo è
presente (anche se è vuoto), viene creato un CRL V2. Le estensioni CRL specificate
sono estensioni CRL e non Estensioni della voce CRL. Va notato che alcuni
il software (ad esempio Netscape) non può gestire i CRL V2. Vedere x509v3_config(5) pagina di manuale
per i dettagli sul formato della sezione di estensione.
CONFIGURAZIONE RISORSE VERSIONI
La sezione del file di configurazione contenente le opzioni per ca si trova come segue: Se
, il -nome viene utilizzata l'opzione della riga di comando, quindi denomina la sezione da utilizzare. Altrimenti il
la sezione da utilizzare deve essere nominata nel file default_ca opzione del ca sezione del
file di configurazione (o nella sezione predefinita del file di configurazione). Oltretutto
default_ca, le seguenti opzioni vengono lette direttamente dal file ca sezione:
RANDFILE preservare
msie_hack Ad eccezione di RANDFILE, probabilmente si tratta di un bug e potrebbe cambiare in futuro
stampa.
Molte delle opzioni del file di configurazione sono identiche alle opzioni della riga di comando. Dove il
L'opzione è presente nel file di configurazione e la riga di comando è il valore della riga di comando
usato. Se un'opzione è descritta come obbligatoria, deve essere presente nel file
file di configurazione o l'equivalente della riga di comando (se presente) utilizzato.
oid_file
Questo specifica un file contenente addizionale OGGETTO IDENTIFICATORI. Ogni riga del file
dovrebbe consistere nella forma numerica dell'identificatore dell'oggetto seguito da uno spazio bianco
poi il nome breve seguito da uno spazio bianco e infine il nome lungo.
sezione_oid
Questo specifica una sezione nel file di configurazione contenente oggetti extra
identificatori. Ogni riga dovrebbe consistere nel nome breve dell'identificatore dell'oggetto
seguito da = e la forma numerica. I nomi brevi e lunghi sono gli stessi quando questo
viene utilizzata l'opzione.
new_certs_dir
lo stesso del -esterno opzione della riga di comando. Specifica la directory in cui new
verranno rilasciati i certificati. Obbligatorio.
a livello internazionale
lo stesso di -cert. Fornisce il file contenente il certificato CA. Obbligatorio.
chiave_privata
come il -file chiavi opzione. Il file contenente la chiave privata della CA. Obbligatorio.
RANDFILE
un file utilizzato per leggere e scrivere informazioni sul seme di numeri casuali o un socket EGD (vedi
RAND_egd(3)).
giorni_predefiniti
lo stesso del -giorni opzione. Il numero di giorni per cui certificare un certificato.
default_startdate
lo stesso del -data d'inizio opzione. La data di inizio per la quale certificare un certificato. Altrimenti
impostare l'ora corrente da utilizzare.
data_fine_predefinita
lo stesso del -data di fine opzione. O questa opzione o giorni_predefiniti (o il comando
equivalenti di riga) devono essere presenti.
default_crl_hours default_crl_giorni
lo stesso del -crlhours e la -crldays opzioni. Questi verranno utilizzati solo se nessuno dei due
l'opzione della riga di comando è presente. Almeno uno di questi deve essere presente per generare a
CRL.
default_md
lo stesso del -md opzione. Il digest del messaggio da utilizzare. Obbligatorio.
banca dati
il file di database di testo da utilizzare. Obbligatorio. Questo file deve essere presente però inizialmente
sarà vuoto.
soggetto_unico
se il valore sì viene fornito, devono avere le voci del certificato valido nel database
soggetti unici. se il valore no viene fornito, possono essere presenti diverse voci di certificato valide
lo stesso identico argomento. Il valore predefinito è sì, per essere compatibile con le versioni precedenti (pre
0.9.8) versioni di OpenSSL. Tuttavia, per rendere più semplice il rollover del certificato CA, è
consigliato di utilizzare il valore no, soprattutto se combinato con il -autofirma command
opzione di linea.
serial
un file di testo contenente il successivo numero di serie da utilizzare in formato esadecimale. Obbligatorio. Questa vita
deve essere presente e contenere un numero di serie valido.
crlnumero
un file di testo contenente il successivo numero CRL da utilizzare in formato esadecimale. Il numero crl sarà
inserito nelle CRL solo se questo file esiste. Se questo file è presente, deve
contenere un numero CRL valido.
x509_estensioni
lo stesso di -estensioni.
crl_extensions
lo stesso di -crlex.
preservare
lo stesso di -preserveDN
email_in_dn
lo stesso di -noe-mailDN. Se desideri che il campo EMAIL venga rimosso dal DN del
certificato impostalo semplicemente su "no". Se non presente, l'impostazione predefinita è consentire il file
EMAIL archiviata nel DN del certificato.
msie_hack
lo stesso di -msie_hack
politica
lo stesso di -politica. Obbligatorio. Vedi il POLITICA FORMATO sezione per ulteriori informazioni.
nome_opz, cert_opt
queste opzioni consentono il formato utilizzato per visualizzare i dettagli del certificato quando viene richiesto il
utente per confermare la firma. Tutte le opzioni supportate da x509 utilità -nomeopt ed
-certop qui è possibile utilizzare gli interruttori, ad eccezione di no_signname ed no_sigdump sono
impostato in modo permanente e non può essere disabilitato (questo perché la firma del certificato
non può essere visualizzato perché il certificato non è stato firmato a questo punto).
Per comodità i valori ca_default sono accettati da entrambi per produrre un ragionevole
produzione.
Se nessuna delle due opzioni è presente, viene utilizzato il formato utilizzato nelle versioni precedenti di OpenSSL.
L'uso del vecchio formato è fortemente scoraggiato perché visualizza solo i campi
menzionato nel politica sezione, gestisce in modo errato i tipi di stringa multicarattere e non lo fa
estensioni di visualizzazione.
copy_extensions
determina come devono essere gestite le estensioni nelle richieste di certificato. Se impostato su nessuna
oppure questa opzione non è presente, le estensioni verranno ignorate e non copiate nel file
certificato. Se impostato su copia quindi eventuali estensioni presenti nella richiesta che non lo sono
già presenti vengono copiati nel certificato. Se impostato su copyall quindi tutte le estensioni
nella richiesta vengono copiati nel certificato: se l'estensione è già presente in
il certificato viene eliminato per primo. Vedi il AVVERTENZE sezione prima di utilizzarlo
opzione.
L'utilizzo principale di questa opzione è consentire a una richiesta di certificato di fornire valori
alcune estensioni come soggettoAltName.
POLITICA FORMATO
La sezione policy è costituita da un insieme di variabili corrispondenti ai campi DN del certificato.
Se il valore è "corrisponde", il valore del campo deve corrispondere allo stesso campo nella CA
certificato. Se il valore è "fornito" allora deve essere presente. Se il valore è
"facoltativo" allora potrebbe essere presente. Tutti i campi non menzionati nella sezione policy lo sono
cancellato silenziosamente, a meno che il -preserveDN l'opzione è impostata ma può essere considerata più una
comportamento bizzarro rispetto a quello previsto.
SPKAC FORMATO
L'input al -spkac l'opzione della riga di comando è una chiave pubblica e una sfida firmate da Netscape.
Questo di solito verrà dal KEYGEN tag in un modulo HTML per creare una nuova chiave privata.
È tuttavia possibile creare SPKAC utilizzando il file spkac utilità.
Il file dovrebbe contenere la variabile SPKAC impostata sul valore di SPKAC e anche il file
componenti DN richiesti come coppie nome-valore. Se è necessario includere lo stesso componente
due volte può essere preceduto da un numero e da un '.'.
Quando si elabora il formato SPKAC, l'output è DER se il file -su viene utilizzato il flag, ma il formato PEM
se si invia a stdout o al -esterno viene utilizzata la bandiera.
ESEMPI
Nota: questi esempi presuppongono che il ca la struttura della directory è già impostata e il file
i file pertinenti esistono già. Questo di solito comporta la creazione di un certificato CA e privato
chiave con req, un file del numero di serie e un file di indice vuoto e inserendoli nel file
directory pertinenti.
Per utilizzare il file di configurazione di esempio sotto le directory demoCA, demoCA/private e
verrebbe creato demoCA/newcerts. Il certificato CA verrà copiato in demoCA/cacert.pem
e la sua chiave privata su demoCA/private/cakey.pem. Verrebbe creato un file demoCA/serial
contenente ad esempio "01" e il file indice vuoto demoCA/index.txt.
Firma una richiesta di certificato:
openssl ca -in req.pem -out newcert.pem
Firma una richiesta di certificato, utilizzando le estensioni CA:
openssl ca -in req.pem -extensions v3_ca -out newcert.pem
Generare una CRL
openssl ca -gencrl -out crl.pem
Firma diverse richieste:
openssl ca -infiles req1.pem req2.pem req3.pem
Certificare un SPKAC Netscape:
openssl ca -spkac spkac.txt
Un file SPKAC di esempio (la riga SPKAC è stata troncata per chiarezza):
SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN=Steve Test
indirizzo email=[email protected]
0.OU=Gruppo OpenSSL
1.OU=Un altro gruppo
Un file di configurazione di esempio con le sezioni pertinenti per ca:
[ circa ]
default_ca = CA_default # La sezione ca predefinita
[CA_predefinito]
dir = ./demoCA # dir superiore
database = $dir/index.txt # file indice.
new_certs_dir = $dir/newcerts # nuova directory dei certificati
certificato = $dir/cacert.pem # Il certificato CA
serial = $dir/serial # seriale nessun file
private_key = $dir/private/cakey.pem# Chiave privata CA
RANDFILE = $dir/private/.rand # file di numeri casuali
default_days = 365 # per quanto tempo certificare
default_crl_days= 30 # quanto manca al prossimo CRL
md_predefinito = md5 # md da usare
policy = policy_any # policy predefinita
email_in_dn = no # Non aggiungere l'e-mail al DN del certificato
name_opt = ca_default # Opzione di visualizzazione del nome dell'oggetto
cert_opt = ca_default # Opzione di visualizzazione del certificato
copy_extensions = none # Non copia le estensioni dalla richiesta
[politica_qualsiasi]
countryName = fornito
stateOrProvinceName = facoltativo
nomeorganizzazione = facoltativo
nomeunitàorganizzativa = facoltativo
commonName = fornito
indirizzoemail = facoltativo
Utilizza Cassl online utilizzando i servizi onworks.net
