Questo è il comando certutil che può essere eseguito nel provider di hosting gratuito OnWorks utilizzando una delle nostre molteplici workstation online gratuite come Ubuntu Online, Fedora Online, emulatore online Windows o emulatore online MAC OS
PROGRAMMA:
NOME
certutil - Gestire chiavi e certificati in entrambi i database NSS e altri token NSS
SINOSSI
certutil [Opzioni] [[argomenti]]
STATUS
Questa documentazione è ancora in lavorazione. Si prega di contribuire alla revisione iniziale in
Mozilla NSS insetto 836477,
DESCRIZIONE
Lo strumento del database dei certificati, certutil, è un'utilità della riga di comando che può creare e
modificare i database dei certificati e delle chiavi. Può specificamente elencare, generare, modificare o
eliminare i certificati, creare o modificare la password, generare una nuova chiave pubblica e privata
coppie, visualizzare il contenuto del database delle chiavi o eliminare le coppie di chiavi all'interno della chiave
Banca dati.
L'emissione del certificato, parte del processo di gestione delle chiavi e dei certificati, richiede che
chiavi e certificati essere creati nel database delle chiavi. Questo documento discute il certificato
e gestione del database delle chiavi. Per informazioni sulla gestione del database del modulo Security,
si può consultare il modutil pagina man.
COMANDO VERSIONI E ARGOMENTI
corsa certutil richiede sempre una e una sola opzione di comando per specificare il tipo di
operazione di certificato. Ogni opzione di comando può richiedere zero o più argomenti. Il comando
opzione -H elencherà tutte le opzioni di comando e i relativi argomenti.
Comando Opzioni
-A
Aggiungi un certificato esistente a un database di certificati. Il database dei certificati dovrebbe
esistono già; se non è presente, questa opzione di comando ne inizializzerà uno per
predefinito.
-B
Eseguire una serie di comandi dal file batch specificato. Ciò richiede il -i discussione.
-C
Crea un nuovo file di certificato binario da un file di richiesta di certificato binario. Utilizzare il
-i argomento per specificare il file di richiesta del certificato. Se questo argomento non viene utilizzato,
certutil richiede un nome di file.
-D
Eliminare un certificato dal database dei certificati.
--rinominare
Modificare il nickname del database di un certificato.
-E
Aggiungi un certificato di posta elettronica al database dei certificati.
-F
Elimina una chiave privata da un database di chiavi. Specificare la chiave da eliminare con -n
discussione. Specificare il database da cui eliminare la chiave con il tasto -d discussione. Utilizzo
, il -k argomento per specificare esplicitamente se eliminare una chiave DSA, RSA o ECC. Se tu
non usare il -k argomento, l'opzione cerca una chiave RSA che corrisponda a quella specificata
soprannome.
Quando elimini le chiavi, assicurati di rimuovere anche tutti i certificati associati a quelle
chiavi dal database dei certificati, utilizzando -D. Alcune smart card non te lo consentono
rimuovere una chiave pubblica che hai generato. In tal caso, solo la chiave privata è
cancellato dalla coppia di chiavi. Puoi visualizzare la chiave pubblica con il comando certutil -K
-h nometoken.
-G
Genera una nuova coppia di chiavi pubblica e privata all'interno di un database di chiavi. Il database delle chiavi
dovrebbe già esistere; se non è presente, questa opzione di comando ne inizializzerà uno
per impostazione predefinita. Alcune smart card possono memorizzare solo una coppia di chiavi. Se crei una nuova coppia di chiavi
per tale carta, la coppia precedente viene sovrascritta.
-H
Visualizza un elenco delle opzioni e degli argomenti del comando.
-K
Elenca l'ID delle chiavi nel database delle chiavi. Un ID chiave è il modulo della chiave RSA o
il publicValue della chiave DSA. Gli ID sono visualizzati in esadecimale ("0x" non è mostrato).
-L
Elencare tutti i certificati o visualizzare le informazioni su un certificato denominato, in a
banca dati dei certificati. Usa l'argomento -h tokenname per specificare il certificato
database su un particolare token hardware o software.
-M
Modificare gli attributi di attendibilità di un certificato utilizzando i valori dell'argomento -t.
-N
Crea nuovi certificati e database di chiavi.
-O
Stampa la catena di certificati.
-R
Creare un file di richiesta di certificato che può essere inviato a un'autorità di certificazione
(CA) per l'elaborazione in un certificato finito. L'uscita predefinita è l'uscita standard
a meno che non si utilizzi l'argomento -o file di output. Utilizzare l'argomento -a per specificare l'output ASCII.
-S
Crea un certificato individuale e aggiungilo a un database di certificati.
-T
Reimpostare il database delle chiavi o il token.
-U
Elenca tutti i moduli disponibili o stampa un singolo modulo denominato.
-V
Verifica la validità di un certificato e dei suoi attributi.
-W
Modificare la password in un database di chiavi.
--unisci
Unisci due database in uno.
--upgrade-unione
Aggiorna un vecchio database e uniscilo in un nuovo database. Questo è usato per migrare
database NSS legacy (cert8.db e key3.db) nei database SQLite più recenti (cert9.db
e chiave4.db).
argomenti
Gli argomenti modificano un'opzione di comando e di solito sono minuscole, numeri o simboli.
-a
Utilizzare il formato ASCII o consentire l'uso del formato ASCII per l'input o l'output. Questa formattazione
segue RFC 1113. Per le richieste di certificati, l'output ASCII viene impostato per impostazione predefinita sull'output standard
a meno che non venga reindirizzato.
-b tempo-validità
Specificare un momento in cui un certificato deve essere valido. Utilizzare durante il controllo
validità del certificato con il -V opzione. Il formato del tempo di validità l'argomento è
AAMMGGHHMMSS[+HHMM|-HHMM|Z], che consente di impostare gli offset relativi alla validità
Tempo scaduto. Specificando i secondi (SS) è facoltativo. Quando si specifica un'ora esplicita, utilizzare a
Z alla fine del termine, AAMMGGHHMMSSZ, per chiuderlo. Quando si specifica un tempo di offset,
uso AAMMGGHMMSS+HHMM or AAMMGGDHHMMSS-HHMM per aggiungere o sottrarre tempo,
rispettivamente.
Se questa opzione non viene utilizzata, il controllo di validità viene impostato per impostazione predefinita sull'ora di sistema corrente.
-c emittente
Identificare il certificato della CA da cui deriverà un nuovo certificato
autenticità. Usa il nickname o l'alias esatto del certificato della CA, oppure usa le CA
indirizzo email. Racchiudere la stringa dell'emittente tra virgolette se contiene spazi.
-d [prefisso]directory
Specificare la directory del database contenente il certificato e i file del database delle chiavi.
certutil supporta due tipi di database: i database di sicurezza legacy (cert8.db,
key3.db e secmod.db) e nuovi database SQLite (cert9.db, key4.db e pkcs11.txt).
NSS riconosce i seguenti prefissi:
· sql: richiede il database più recente
· DB: richiede il database legacy
Se non viene specificato alcun prefisso, il tipo predefinito viene recuperato da NSS_DEFAULT_DB_TYPE. Se
NSS_DEFAULT_DB_TYPE non è impostato allora DB: è l'impostazione predefinita.
--dump-ext-val OID
Per un singolo certificato, stampa la codifica DER binaria dell'estensione OID.
-e
Controllare la firma di un certificato durante il processo di convalida di un certificato.
--email indirizzo e-mail
Specificare l'indirizzo email di un certificato da elencare. Utilizzato con l'opzione del comando -L.
--extGeneric OID:flag-critico:nomefile[,OID:flag-critico:nomefile]...
Aggiungi una o più estensioni che certutil non può ancora codificare, caricando le loro
codifiche da file esterni.
· OID (esempio): 1.2.3.4
· flag-critical: critico o non critico
· nome file: percorso completo di un file contenente un'estensione codificata
-f file-password
Specifica un file che fornirà automaticamente la password da includere in un certificato
o per accedere a un database di certificati. Questo è un file di testo normale che ne contiene uno
parola d'ordine. Assicurati di impedire l'accesso non autorizzato a questo file.
-g dimensione chiave
Imposta una dimensione della chiave da utilizzare durante la generazione di nuove coppie di chiavi pubbliche e private. Il minimo è
512 bit e il massimo è 16384 bit. Il valore predefinito è 2048 bit. Qualsiasi dimensione tra i
minimo e massimo consentito.
-h nometoken
Specificare il nome di un token da utilizzare o su cui agire. Se non specificato il token predefinito è
lo slot del database interno.
-i file_di_immissione
Passa un file di input al comando. A seconda dell'opzione del comando, un file di input può
essere un certificato specifico, un file di richiesta di certificato o un file batch di comandi.
-k tipo-chiave-o-id
Specificare il tipo o l'ID specifico di una chiave.
Le opzioni del tipo di chiave valide sono rsa, dsa, ec o all. Il valore predefinito è rsa.
Specificare il tipo di chiave può evitare errori causati da nickname duplicati. dare un
key type genera una nuova coppia di chiavi; dare l'ID di una chiave esistente riutilizza quella chiave
coppia (necessaria per rinnovare i certificati).
-l
Visualizza informazioni dettagliate durante la convalida di un certificato con l'opzione -V.
-m numero di serie
Assegna un numero di serie univoco a un certificato in fase di creazione. Questa operazione dovrebbe essere
eseguita da una CA. Se non viene fornito alcun numero di serie, viene creato un numero di serie predefinito
dall'ora corrente. I numeri di serie sono limitati a numeri interi
-n soprannome
Specificare il nickname di un certificato o chiave da elencare, creare, aggiungere a un database,
modificare o convalidare. Racchiudere la stringa del nickname tra virgolette se contiene
spazi.
-o file-output
Specificare il nome del file di output per i nuovi certificati o le richieste di certificati binari.
Racchiudere la stringa del file di output tra virgolette se contiene spazi. Se questo
l'argomento non viene utilizzato la destinazione di output predefinita è l'output standard.
-P dbPrefisso
Specificare il prefisso utilizzato nel certificato e nel file del database di chiavi. Questo argomento è
fornito per supportare i server legacy. La maggior parte delle applicazioni non utilizza un prefisso del database.
-p telefono
Specificare un numero di telefono di contatto da includere nei nuovi certificati o certificati
richieste. Racchiudere questa stringa tra virgolette se contiene spazi.
-q pqgfile o nome-curva
Leggere un valore PQG alternativo dal file specificato durante la generazione di coppie di chiavi DSA. Se
questo argomento non viene utilizzato, certutil genera il proprio valore PQG. I file PQG vengono creati
con un'utility DSA separata.
Il nome della curva ellittica è uno di quelli della SUITE B: nistp256, nistp384, nistp521
Se NSS è stato compilato con curve di supporto al di fuori della SUITE B: sect163k1, nistk163,
sect163r1, sect163r2, nistb163, sect193r1, sect193r2, sect233k1, nistk233, sect233r1,
nistb233, sect239k1, sect283k1, nistk283, sect283r1, nistb283, sect409k1, nistk409,
sect409r1, nistb409, sect571k1, nistk571, sect571r1, nistb571, secp160k1, secp160r1,
secp160r2, secp192k1, secp192r1, nistp192, secp224k1, secp224r1, nistp224, secp256k1,
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2
-r
Visualizza la codifica DER binaria di un certificato quando elenchi le informazioni al riguardo
certificato con l'opzione -L.
-s soggetto
Identificare un particolare proprietario del certificato per nuovi certificati o richieste di certificati.
Racchiudere questa stringa tra virgolette se contiene spazi. Il soggetto
il formato di identificazione segue RFC #1485.
-t trustargs
Specificare gli attributi di attendibilità da modificare in un certificato esistente o da applicare a a
certificato quando lo si crea o lo si aggiunge a un database. Ce ne sono tre disponibili
categorie di fiducia per ogni certificato, espresse nell'ordine ssl, e-mail, oggetto
firma per ogni impostazione di fiducia. In ogni posizione di categoria, usa nessuno, nessuno o tutti di
i codici degli attributi:
· p - Pari valido
· P - Peer fidato (implica p)
· c - CA . valido
· T - CA attendibile (implica c)
· C - CA fidata per l'autenticazione del client (solo server ssl)
· u - utente
I codici degli attributi per le categorie sono separati da virgole e l'intero set di
attributi racchiusi tra virgolette. Per esempio:
-t "TCu, Cu, Tu"
Usa l'opzione -L per vedere un elenco dei certificati correnti e degli attributi di fiducia in a
banca dati dei certificati.
-u certificato
Specificare un contesto di utilizzo da applicare durante la convalida di un certificato con l'opzione -V.
I contesti sono i seguenti:
· C (come client SSL)
· V (come server SSL)
· L (come CA SSL)
· A (come qualsiasi CA)
· Y (Verifica CA)
· S (come firmatario di e-mail)
· R (come destinatario di posta elettronica)
· O (come risponditore di stato OCSP)
· J (come firmatario oggetto)
-v mesi-validi
Imposta il numero di mesi di validità del nuovo certificato. Il periodo di validità inizia
all'ora di sistema corrente a meno che non venga aggiunto o sottratto un offset con il -w opzione.
Se questo argomento non viene utilizzato, il periodo di validità predefinito è tre mesi.
-w offset-mesi
Imposta un offset dall'ora di sistema corrente, in mesi, per l'inizio di a
periodo di validità del certificato. Utilizzare quando si crea il certificato o lo si aggiunge a a
Banca dati. Esprimere l'offset in numeri interi, utilizzando un segno meno (-) per indicare a
compensazione negativa. Se questo argomento non viene utilizzato, il periodo di validità inizia al
ora di sistema corrente. La lunghezza del periodo di validità è impostata con l'argomento -v.
-X
Forza l'apertura del database delle chiavi e dei certificati in modalità lettura-scrittura. Questo è usato con
, il -U ed -L opzioni di comando.
-x
Usa il certutil per generare la firma per un certificato in fase di creazione o aggiunta a a
database, piuttosto che ottenere una firma da una CA separata.
-y esp
Imposta un valore di esponente alternativo da utilizzare nella generazione di una nuova chiave pubblica RSA per il
database, invece del valore predefinito di 65537. I valori alternativi disponibili sono 3
e 17.
-z file-rumore
Leggere un valore seme dal file specificato per generare una nuova chiave privata e pubblica
coppia. Questo argomento consente di utilizzare valori di inizializzazione generati dall'hardware o
creare manualmente un valore dalla tastiera. La dimensione minima del file è 20 byte.
-Z hashAlg
Specificare l'algoritmo hash da utilizzare con le opzioni del comando -C, -S o -R. Possibile
parole chiave:
·MD2
·MD4
·MD5
·SHA1
·SHA224
·SHA256
·SHA384
·SHA512
-0Password_SSO
Imposta una password per il responsabile della sicurezza del sito su un token.
-1 | --keyUsage parola chiave,parola chiave
Impostare un'estensione del tipo di certificato X.509 V3 nel certificato. Ce ne sono diversi
parole chiave disponibili:
· firma digitale
· non ripudio
· chiave di cifratura
· cifratura dei dati
· accordo chiave
· firma del certificato
· crlFirma
· critico
-2
Aggiungere un'estensione di vincolo di base a un certificato che viene creato o aggiunto a a
Banca dati. Questa estensione supporta il processo di verifica della catena di certificati.
certutil richiede di selezionare l'estensione del vincolo di certificato.
Le estensioni del certificato X.509 sono descritte in RFC 5280.
-3
Aggiungere un'estensione ID chiave di autorità a un certificato che viene creato o aggiunto a a
Banca dati. Questa estensione supporta l'identificazione di un particolare certificato, da
tra più certificati associati a un nome soggetto, in quanto corretto emittente di
un certificato. Lo strumento Database certificati ti chiederà di selezionare l'autorità
estensione ID chiave.
Le estensioni del certificato X.509 sono descritte in RFC 5280.
-4
Aggiungere un'estensione del punto di distribuzione CRL a un certificato in fase di creazione o aggiunta
a un database. Questa estensione identifica l'URL del certificato associato
elenco di revoche di certificati (CRL). certutil richiede l'URL.
Le estensioni del certificato X.509 sono descritte in RFC 5280.
-5 | --nsCertType parola chiave,parola chiave
Aggiungere un'estensione del tipo di certificato X.509 V3 a un certificato in fase di creazione o
aggiunto al database. Sono disponibili diverse parole chiave:
· client SSL
· server SSL
· sorridere
· firma dell'oggetto
· SSLCA
· smimeCA
· oggettoSigningCA
· critico
Le estensioni del certificato X.509 sono descritte in RFC 5280.
-6 | --extKeyUsage parola chiave, parola chiave
Aggiungere un'estensione di utilizzo della chiave estesa a un certificato che viene creato o aggiunto a
la banca dati. Sono disponibili diverse parole chiave:
· serverAut
· clienteAuth
· CodeSigning
· protezione e-mail
· timestamp
· ocspResponder
· fare un passo avanti
· msTrustListSign
· critico
Le estensioni del certificato X.509 sono descritte in RFC 5280.
-7 indirizzi email
Aggiungi un elenco di indirizzi email separati da virgole al nome alternativo dell'oggetto
estensione di un certificato o di una richiesta di certificato in fase di creazione o aggiunta a
la banca dati. Le estensioni del nome alternativo del soggetto sono descritte nella Sezione 4.2.1.7 di
RFC3280.
-8 nomi-dns
Aggiungi un elenco separato da virgole di nomi DNS all'estensione del nome alternativo del soggetto di a
certificato o richiesta di certificato in fase di creazione o aggiunta al database.
Le estensioni dei nomi alternativi del soggetto sono descritte nella sezione 4.2.1.7 della RFC 3280.
--extAIA
Aggiungere l'estensione Accesso alle informazioni sull'autorità al certificato. Certificato X.509
le estensioni sono descritte nella RFC 5280.
--estSIA
Aggiungere l'estensione Accesso alle informazioni sul soggetto al certificato. Certificato X.509
le estensioni sono descritte nella RFC 5280.
--extCP
Aggiungi l'estensione Criteri di certificazione al certificato. Certificato X.509
le estensioni sono descritte nella RFC 5280.
--extPM
Aggiungi l'estensione Policy Mapping al certificato. Le estensioni del certificato X.509 sono
descritto nella RFC 5280.
--extPC
Aggiungere l'estensione Policy Constraints al certificato. Estensioni del certificato X.509
sono descritti nella RFC 5280.
--extIA
Aggiungere l'estensione Inhibit Any Policy Access al certificato. Certificato X.509
le estensioni sono descritte nella RFC 5280.
--extSKID
Aggiungi l'estensione dell'ID chiave del soggetto al certificato. Le estensioni del certificato X.509 sono
descritto nella RFC 5280.
--extNC
Aggiungi un'estensione Name Constraint al certificato. Le estensioni del certificato X.509 sono
descritto nella RFC 5280.
--extSAN tipo:nome[,tipo:nome]...
Crea un'estensione del nome alternativo soggetto con uno o più nomi.
-tipo: directory, dn, dns, edi, ediparty, email, ip, ipaddr, altro, registerid,
rfc822, uri, x400, x400addr
--password-vuota
Usa password vuota quando crei un nuovo database di certificati con -N.
--keyAttrFlags attrflags
Attributi chiave PKCS #11. Elenco separato da virgole di flag di attributi chiave, selezionato da
il seguente elenco di scelte: {token | sessione} {pubblico | privato} {sensibile |
insensibile} {modificabile | immodificabile} {estraibile | non estraibile}
--keyOpFlagsOn flag operativi, --keyOpFlagsOff flag operativi
Flag di operazione chiave PKCS #11. Elenco separato da virgole di uno o più dei seguenti elementi:
{token | sessione} {pubblico | privato} {sensibile | insensibile} {modificabile |
immodificabile} {estraibile | non estraibile}
--new-n soprannome
Un nuovo soprannome, utilizzato quando si rinomina un certificato.
--source-dircertdir
Identificare la directory del database dei certificati da aggiornare.
--source-prefix dircert
Fornire il prefisso del certificato e i database delle chiavi da aggiornare.
--upgrade-id IDunivoco
Fornire l'ID univoco del database da aggiornare.
--upgrade-token-name nome
Imposta il nome del token da utilizzare durante l'aggiornamento.
-@pwfile
Assegnare il nome di un file di password da utilizzare per il database in fase di aggiornamento.
USO E ESEMPI
La maggior parte delle opzioni di comando negli esempi qui elencati ha più argomenti disponibili. Il
gli argomenti inclusi in questi esempi sono i più comuni o sono usati per illustrare a
scenario specifico. Utilizzare il -H opzione per mostrare l'elenco completo degli argomenti per ciascuno
opzione di comando.
Creazione New Sicurezza Database
Certificati, chiavi e moduli di sicurezza relativi alla gestione dei certificati sono archiviati in
tre banche dati correlate:
· cert8.db o cert9.db
· tasto3.db o tasto4.db
· secmod.db o pkcs11.txt
Questi database devono essere creati prima di poter generare certificati o chiavi.
certutil -N -d [sql:]directory
Creazione a Certificato RICHIEDI
Una richiesta di certificato contiene la maggior parte o tutte le informazioni utilizzate per generare il
certificato finale. Questa richiesta è presentata separatamente a un'autorità di certificazione ed è
poi approvato da qualche meccanismo (automaticamente o tramite revisione umana). Una volta che la richiesta è
approvato, quindi viene generato il certificato.
$ certutil -R -k key-type-or-id [-q pqgfile|curve-name] -g key-size -s subject [-h tokenname] -d [sql:]directory [-p phone] [-o file-output] [-a]
I -R le opzioni del comando richiedono quattro argomenti:
· -k per specificare il tipo di chiave da generare o, al rinnovo di un certificato, il
coppia di chiavi esistente da usare
· -g per impostare la dimensione della chiave da generare
· -s per impostare il nome del soggetto del certificato
· -d per dare la directory del database di sicurezza
La nuova richiesta di certificato può essere emessa in formato ASCII (-a) o può essere scritto in a
file specificato (-o).
Per esempio:
$ certutil -R -k rsa -g 1024 -s "CN=John Smith,O=Example Corp,L=Mountain View,ST=California,C=US" -d sql:$HOME/nssdb -p 650-555- 0123 -a -o cert.cer
Chiave di generazione. L'operazione potrebbe richiedere alcuni istanti...
Creazione a Certificato
Un certificato valido deve essere emesso da una CA attendibile. Questo può essere fatto specificando un CA
certificato (-c) memorizzato nel database dei certificati. Se una coppia di chiavi CA non lo è
disponibile, è possibile creare un certificato autofirmato utilizzando il pulsante -x discussione con il -S
opzione di comando.
$ certutil -S -k rsa|dsa|ec -n nomecert -s soggetto [-c emittente |-x] -t trustargs -d [sql:]directory [-m numero-seriale] [-v mesi-validi] [ -w offset-months] [-p phone] [-1] [-2] [-3] [-4] [-5 keyword] [-6 keyword] [-7 emailAddress] [-8 dns-names] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]
La serie di numeri e --est* opzioni impostano le estensioni del certificato che possono essere aggiunte a
il certificato quando viene generato dalla CA. Verranno visualizzati messaggi interattivi.
Ad esempio, questo crea un certificato autofirmato:
$ certutil -S -s "CN=Esempio CA" -n mio-ca-cert -x -t "C,C,C" -1 -2 -5 -m 3650
Le richieste interattive per l'utilizzo della chiave e se eventuali estensioni sono critiche e risposte
sono stati omessi per brevità.
Da lì, i nuovi certificati possono fare riferimento al certificato autofirmato:
$ certutil -S -s "CN=My Server Cert" -n my-server-cert -c "my-ca-cert" -t "u,u,u" -1 -5 -6 -8 -m 730
Generazione a Certificato da a Certificato RICHIEDI
Quando viene creata una richiesta di certificato, è possibile generare un certificato utilizzando la richiesta
e quindi facendo riferimento a un certificato di firma dell'autorità di certificazione (il emittente Specificato in
, il -c discussione). Il certificato di emissione deve trovarsi nel database dei certificati in
directory specificata.
certutil -C -c emittente -i cert-request-file -o output-file [-m serial-number] [-v valid-months] [-w offset-months] -d [sql:]directory [-1] [-2] [-3] [-4] [-5 parola chiave] [-6 parola chiave] [-7 indirizzo email] [-8 dns-names]
Per esempio:
$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql:$HOME/nssdb -1 nonRepudiation,dataEncipherment -5 sslClient -6 clientAuth -7 [email protected]
Annuncio Certificati
I -L L'opzione comando elenca tutti i certificati elencati nel database dei certificati.
Il percorso della directory (-d) è obbligatorio.
$ certutil -L -d sql:/home/mio/sharednssdb
Attributi di fiducia del nickname del certificato
SSL, S/MIME, JAR/XPI
ID dominio di esempio dell'amministratore CA dell'istanza pki-ca1 u,u,u
ID di dominio di esempio dell'amministratore TPS u,u,u
Autorità Internet di Google ,,
Autorità di certificazione - Esempio di dominio CT,C,C
Utilizzo di argomenti aggiuntivi con -L può restituire e stampare le informazioni per un singolo,
certificato specifico. Ad esempio, il -n l'argomento passa il nome del certificato, mentre il
-a argomento stampa il certificato in formato ASCII:
$ certutil -L -d sql:$HOME/nssdb -a -n mio-ca-cert
----- INIZIA ATTESTATO -----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----- CERTIFICATO DI FINE -----
Per un display leggibile dall'uomo
$ certutil -L -d sql:$HOME/nssdb -n mio-ca-cert
Certificato:
Data:
Versione: 3 (0x2)
Numero di serie: 3650 (0xe42)
Algoritmo di firma: PKCS #1 SHA-1 con crittografia RSA
Emittente: "CN=CA di esempio"
Validità:
Non prima: Mer Mar 13 19:10:29 2013
Non dopo: gio giu 13 19:10:29 2013
Oggetto: "CN=CA di esempio"
Informazioni sulla chiave pubblica dell'oggetto:
Algoritmo a chiave pubblica: crittografia RSA PKCS n. 1
Chiave pubblica RSA:
Modulo:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
Esponente: 65537 (0x10001)
Estensioni firmate:
Nome: tipo di certificato
Dati: nessuno
Nome: Vincoli di base del certificato
Dati: è una CA senza lunghezza massima del percorso.
Nome: utilizzo della chiave del certificato
Critico: Vero
Usi: Firma del certificato
Algoritmo di firma: PKCS #1 SHA-1 con crittografia RSA
Firma:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
Impronta digitale (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
Impronta digitale (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7
Flag di attendibilità del certificato:
Flag SSL:
CA Valid valido
CA di fiducia
Utente
Contrassegni e-mail:
CA Valid valido
CA di fiducia
Utente
Flag di firma dell'oggetto:
CA Valid valido
CA di fiducia
Utente
Annuncio Keys
Le chiavi sono il materiale originale utilizzato per crittografare i dati del certificato. Le chiavi generate per
i certificati vengono archiviati separatamente, nel database delle chiavi.
Per elencare tutte le chiavi nel database, utilizzare il pulsante -K opzione di comando e il (richiesto) -d argomento
per dare il percorso alla directory.
$certutil -K -d sql:$HOME/nssdb
certutil: controllo del token "NSS Certificate DB" nello slot "NSS User Private Key and Certificate Services"
< 0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d Thawte Freemail membro Thawte Consulting (Pty) Ltd. ID
< 1> rsa 40defeeb522ade11090eacebaaf1196a172127df Esempio di certificato di amministratore di dominio
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert
Esistono modi per restringere le chiavi elencate nei risultati della ricerca:
· Per restituire una chiave specifica, utilizzare il tasto -nNome argomento con il nome della chiave.
· Se sono caricati più dispositivi di sicurezza, il -hnome token argomento può
cerca un token specifico o tutti i token.
· Se sono disponibili più tipi di chiavi, allora -ktipo di chiave argomento può cercare a
tipo specifico di chiave, come RSA, DSA o ECC.
Annuncio Sicurezza moduli
I dispositivi che possono essere utilizzati per archiviare i certificati, sia database interni che esterni
dispositivi come le smart card, vengono riconosciuti e utilizzati caricando i moduli di sicurezza. Il -U
L'opzione comando elenca tutti i moduli di sicurezza elencati nel database secmod.db. Il
percorso della directory (-d) è obbligatorio.
$ certutil -U -d sql:/home/mio/sharednssdb
slot: Chiave privata utente NSS e servizi certificati
token: DB certificato NSS
slot: Servizi crittografici interni NSS
token: Servizi crittografici generici NSS
Aggiunta Certificati a , il Banca Dati
I certificati esistenti o le richieste di certificati possono essere aggiunti manualmente al certificato
database, anche se sono stati generati altrove. Questo usa il -A opzione di comando.
certutil -A -n nomecert -t trustargs -d [sql:]directory [-a] [-i file-input]
Per esempio:
$ certutil -A -n "CN=Il mio certificato SSL" -t "u,u,u" -d sql:/home/my/sharednssdb -i /home/example-certs/cert.cer
Un'opzione di comando correlata, -E, viene utilizzato specificamente per aggiungere certificati di posta elettronica al
banca dati dei certificati. Il -E il comando ha gli stessi argomenti di -A comando. La fiducia
gli argomenti per i certificati hanno il formato SSL, S/MIME, firma del codice, quindi la fiducia di mezzo
le impostazioni riguardano principalmente i certificati e-mail (sebbene gli altri possano essere impostati). Per esempio:
$ certutil -E -n "CN=John Smith Email Cert" -t ",Pu," -d sql:/home/my/sharednssdb -i /home/example-certs/email.cer
Eliminazione Certificati a , il Banca Dati
I certificati possono essere eliminati da un database utilizzando il -D opzione. Le uniche opzioni richieste
devono fornire la directory del database di sicurezza e identificare il soprannome del certificato.
certutil -D -d [sql:]directory -n "soprannome"
Per esempio:
$ certutil -D -d sql:/home/my/sharednssdb -n "my-ssl-cert"
Convalida Certificati
Un certificato contiene una data di scadenza in sé e i certificati scaduti sono facilmente
respinto. Tuttavia, i certificati possono anche essere revocati prima che raggiungano la data di scadenza.
Per verificare se un certificato è stato revocato, è necessario convalidare il certificato.
La convalida può essere utilizzata anche per garantire che il certificato venga utilizzato solo per gli scopi
è stato inizialmente rilasciato per. La convalida è effettuata dal -V opzione di comando.
certutil -V -n nome-certificato [-b ora] [-e] [-u uso-cert] -d [sql:]directory
Ad esempio, per convalidare un certificato di posta elettronica:
$ certutil -V -n "Certificato email di John Smith" -e -u S,R -d sql:/home/my/sharednssdb
Modifica Certificato Affidati ad Impostazioni profilo
Le impostazioni di attendibilità (che si riferiscono alle operazioni che un certificato può essere
utilizzato per) può essere modificato dopo la creazione o l'aggiunta di un certificato al database. Questo è
utile soprattutto per i certificati CA, ma può essere eseguito per qualsiasi tipo di
certificato.
certutil -M -n nome-certificato -t trust-args -d [sql:]directory
Per esempio:
$ certutil -M -n "Il mio certificato CA" -d sql:/home/mio/sharednssdb -t "CTu,CTu,CTu"
Stampa , il Certificato Catena
I certificati possono essere rilasciati in Catene perché ogni autorità di certificazione stessa ha un
certificato; quando una CA emette un certificato, essenzialmente timbra quel certificato con
la propria impronta digitale. Il -O stampa l'intera catena di un certificato, partendo dall'iniziale
CA (la CA radice) attraverso sempre CA intermediaria al certificato vero e proprio. Ad esempio, per
un certificato di posta elettronica con due CA nella catena:
$ certutil -d sql:/home/my/sharednssdb -O -n "[email protected]"
"Token oggetto incorporato: Thawte Personal Freemail CA" [E=[email protected],CN=Thawte Personal Freemail CA,OU=Divisione servizi di certificazione,O=Thawte Consulting,L=Città del Capo,ST=Western Cape,C=ZA]
"Thawte Personal Freemail Issuing CA - Thawte Consulting" [CN=Thawte Personal Freemail Issuing CA,O=Thawte Consulting (Pty) Ltd.,C=ZA]
"(nullo)" [E=[email protected],CN=Membro di Thawte Freemail]
Ripristino a Token
Il dispositivo che memorizza i certificati, sia dispositivi hardware esterni che interni
database software: possono essere cancellati e riutilizzati. Questa operazione viene eseguita sul dispositivo
che memorizza i dati, non direttamente sui database di sicurezza, quindi la posizione deve essere
referenziato tramite il nome del token (-h) e qualsiasi percorso di directory. Se non c'è
token esterno utilizzato, il valore predefinito è interno.
certutil -T -d [sql:]directory -h nome-token -0 password-addetto alla sicurezza
Molte reti hanno personale dedicato che gestisce le modifiche ai token di sicurezza (il security
ufficiale). Questa persona deve fornire la password per accedere al token specificato. Per esempio:
$ certutil -T -d sql:/home/my/sharednssdb -h nethsm -0 segreto
Aggiornamento or Fusione , il Sicurezza Database
Molte reti o applicazioni potrebbero utilizzare versioni precedenti di BerkeleyDB del certificato
banca dati (cert8.db). I database possono essere aggiornati alla nuova versione SQLite del database
(cert9.db) utilizzando il --upgrade-unione opzione di comando o database esistenti possono essere uniti
con i nuovi database cert9.db utilizzando il ---unire comando.
I --upgrade-unione il comando deve fornire informazioni sul database originale e quindi utilizzare
gli argomenti standard (come -d) per fornire le informazioni sulle nuove banche dati. Il
Il comando richiede anche le informazioni che lo strumento utilizza per l'aggiornamento e la scrittura del processo
sul database originale.
certutil --upgrade-merge -d [sql:]directory [-P dbprefix] --source-dir directory --source-prefix dbprefix --upgrade-id id --upgrade-token-name nome [-@ password-file ]
Per esempio:
$ certutil --upgrade-merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp- --upgrade-id 1 --upgrade-token- nome interno
I --unisci il comando richiede solo informazioni sulla posizione del database originale;
poiché non cambia il formato del database, può sovrascrivere le informazioni senza
eseguire il passaggio intermedio.
certutil --merge -d [sql:]directory [-P dbprefix] --source-dir directory --source-prefix dbprefix [-@ file-password]
Per esempio:
$ certutil --merge -d sql:/home/mio/sharednssdb --source-dir /opt/mia-app/alias/ --source-prefix serverapp-
corsa certutil Comandi da a Partita Compila il
Una serie di comandi può essere eseguita in sequenza da un file di testo con il -B opzione di comando.
L'unico argomento per questo specifica il file di input.
$ certutil -B -i /percorso/del/file-batch
NSS DATABASE TIPI
NSS originariamente utilizzava i database BerkeleyDB per archiviare le informazioni di sicurezza. Le ultime versioni
di questi eredità le banche dati sono:
· cert8.db per i certificati
· key3.db per le chiavi
· secmod.db per informazioni sul modulo PKCS #11
Tuttavia, BerkeleyDB ha dei limiti di prestazioni che ne impediscono l'uso facile
più applicazioni contemporaneamente. NSS ha una certa flessibilità che consente alle applicazioni di
utilizzare il proprio motore di database indipendente mantenendo un database condiviso e funzionante
intorno ai problemi di accesso. Tuttavia, NSS richiede una maggiore flessibilità per fornire un'esperienza veramente condivisa
banca dati di sicurezza.
Nel 2009, NSS ha introdotto un nuovo set di database che sono database SQLite anziché
Berkeley DB. Questi nuovi database offrono maggiore accessibilità e prestazioni:
· cert9.db per i certificati
· key4.db per le chiavi
· pkcs11.txt, un elenco di tutti i moduli PKCS #11, contenuti in una nuova sottodirectory
nella directory dei database di sicurezza
Poiché i database SQLite sono progettati per essere condivisi, questi sono i condiviso banca dati
genere. Il tipo di database condiviso è preferito; il formato legacy è incluso per le versioni precedenti
la compatibilità.
Per impostazione predefinita, gli strumenti (certutil, pk12util, modutil) presuppongono che la sicurezza data
i database seguono il tipo legacy più comune. L'utilizzo dei database SQLite deve essere manuale
specificato utilizzando il sql: prefisso con la directory di sicurezza data. Per esempio:
$ certutil -L -d sql:/home/mio/sharednssdb
Per impostare il tipo di database condiviso come tipo predefinito per gli strumenti, impostare il
NSS_DEFAULT_DB_TYPE variabile d'ambiente a sql:
esporta NSS_DEFAULT_DB_TYPE="sql"
Questa linea può essere aggiunta alla ~ / .bashrc file per rendere permanente la modifica.
La maggior parte delle applicazioni non utilizza il database condiviso per impostazione predefinita, ma possono essere configurate per
usarli. Ad esempio, questo articolo illustra come configurare Firefox e Thunderbird
per utilizzare i nuovi database NSS condivisi:
· https://wiki.mozilla.org/NSS_Shared_DB_Howto
Per una bozza ingegneristica sulle modifiche nei database NSS condivisi, vedere il progetto NSS
wiki:
· https://wiki.mozilla.org/NSS_Shared_DB
Usa certutil online utilizzando i servizi onworks.net
