Questo è il comando crlutil che può essere eseguito nel provider di hosting gratuito OnWorks utilizzando una delle nostre molteplici workstation online gratuite come Ubuntu Online, Fedora Online, emulatore online Windows o emulatore online MAC OS
PROGRAMMA:
NOME
crlutil - Elenca, genera, modifica o elimina i CRL all'interno dei file del database di sicurezza NSS
ed elencare, creare, modificare o eliminare voci di certificati in un particolare CRL.
SINOSSI
crudeltà [Opzioni] [[argomenti]]
STATUS
Questa documentazione è ancora in lavorazione. Si prega di contribuire alla revisione iniziale in
Mozilla NSS insetto 836477,
DESCRIZIONE
Lo strumento di gestione dell'elenco di revoche di certificati (CRL), crudeltà, è un'utilità della riga di comando
che può elencare, generare, modificare o eliminare i CRL all'interno dei file del database di sicurezza NSS
ed elencare, creare, modificare o eliminare voci di certificati in un particolare CRL.
Il processo di gestione delle chiavi e dei certificati generalmente inizia con la creazione delle chiavi nella chiave
database, quindi generare e gestire i certificati nel database dei certificati (vedi
certutil tool) e continua con la scadenza o la revoca dei certificati.
Questo documento tratta la gestione dell'elenco di revoche di certificati. Per informazioni su
gestione del database del modulo di sicurezza, vedere Utilizzo dello strumento database del modulo di sicurezza. Per
informazioni sulla gestione del database dei certificati e delle chiavi, vedere Utilizzo del database dei certificati
Tool.
Per eseguire lo strumento di gestione dell'elenco di revoche di certificati, digita il comando
opzione crlutil [argomenti]
dove opzioni e argomenti sono combinazioni delle opzioni e degli argomenti elencati nel
seguente sezione. Ogni comando accetta un'opzione. Ogni opzione può richiedere zero o più
argomenti. Per vedere una stringa di utilizzo, emettere il comando senza opzioni o con -H
opzione.
VERSIONI E ARGOMENTI
Opzioni
Le opzioni specificano un'azione. Gli argomenti dell'opzione modificano un'azione. Le opzioni e gli argomenti
per il comando crlutil sono definiti come segue:
-D
Elimina l'elenco di revoche di certificati dal database dei certificati.
-E
Cancella tutti i CRL del tipo specificato dal database dei certificati
-G
Crea un nuovo elenco di revoche di certificati (CRL).
-I
Importa un CRL nel database dei certificati
-L
Elenca i CRL esistenti che si trovano nel file di database del certificato.
-M
Modifica il CRL esistente che può essere posizionato in cert db o in un file arbitrario. Se si trova
nel file dovrebbe essere codificato nel formato di codifica ASN.1.
-S
Mostra il contenuto di un file CRL che non è archiviato nel database.
argomenti
Gli argomenti dell'opzione modificano un'azione.
-a
Utilizzare il formato ASCII o consentire l'uso del formato ASCII per l'input e l'output. Questo
la formattazione segue RFC #1113.
-B
Ignora i controlli della firma della CA.
-c crl-file-gen
Specificare il file di script che verrà utilizzato per controllare la generazione/modifica di crl. Vedere
crl-script-file formato di seguito. Se viene utilizzata l'opzione -M|-G e -c crl-script-file no
specificato, crlutil leggerà i dati dello script dall'input standard.
directory -d
Specificare la directory del database contenente il certificato e i file del database delle chiavi. Sopra
Unix, lo strumento del database dei certificati è predefinito su $HOME/.netscape (ovvero, ~/.netscape).
Su Windows NT l'impostazione predefinita è la directory corrente.
I file del database NSS devono risiedere nella stessa directory.
-f file-password
Specifica un file che fornirà automaticamente la password da includere in un certificato
o per accedere a un database di certificati. Questo è un file di testo normale che ne contiene uno
parola d'ordine. Assicurati di impedire l'accesso non autorizzato a questo file.
-i file-crl
Specificare il file che contiene il CRL da importare o mostrare.
-l nome-algoritmo
Specificare un algoritmo di firma specifico. Elenco dei possibili algoritmi: MD2 | MD4 | MD5 |
SHA1 | SHA256 | SHA384 | SHA512
-n soprannome
Specificare il nickname di un certificato o chiave da elencare, creare, aggiungere a un database,
modificare o convalidare. Racchiudere la stringa del nickname tra virgolette se contiene
spazi.
-o file-output
Specificare il nome del file di output per il nuovo CRL. Racchiudere la stringa del file di output con
virgolette se contiene spazi. Se questo argomento non viene utilizzato l'output
la destinazione predefinita è l'output standard.
-P prefisso db
Specificare il prefisso utilizzato nei file del database di sicurezza NSS (ad esempio, my_cert8.db
e mia_chiave3.db). Questa opzione è fornita come caso speciale. Cambiare i nomi dei
certificati e database di chiavi non sono consigliati.
-t tipo crl
Specificare il tipo di CRL. i tipi possibili sono: 0 - SEC_KRL_TYPE, 1 - SEC_CRL_TYPE. Questo
l'opzione è obsoleta
-u URL
Specificare l'URL.
-w stringa-pwd
Fornire la password db nella riga di comando.
-Z algoritmo
Specificare l'algoritmo hash da utilizzare per firmare il CRL.
CRL GENERAZIONE SCRIPT SINTASSI
Il file di script di generazione CRL ha la seguente sintassi:
* La riga con commenti dovrebbe avere # come primo simbolo di una riga
* Imposta i campi CRL "questo aggiornamento" o "prossimo aggiornamento":
update=AAAAMMGGhhmmssZ nextupdate=AAAAMMGGhhmmssZ
Il campo "prossimo aggiornamento" è facoltativo. L'ora dovrebbe essere in formato GeneralizedTime
(AAAAMMGGhhmmssZ). Ad esempio: 20050204153000Z
* Aggiungi un'estensione a un CRL o una voce di certificato CRL:
addext nome-estensione critico/non critico [arg1[arg2 ...]]
Dove:
nome-estensione: valore stringa di un nome di estensioni note. critico/non critico: è 1
quando l'estensione è critica e 0 altrimenti. arg1, arg2: specifico per il tipo di estensione
parametri di estensione
addext utilizza l'intervallo impostato in precedenza da addcert e installerà un'estensione per
tutte le voci del certificato all'interno dell'intervallo.
* Aggiungi le voci del certificato a CRL:
data intervallo addcert
intervallo: due valori interi separati da un trattino: intervallo di certificati che verranno aggiunti da
questo comando. trattino viene utilizzato come delimitatore. Verrà aggiunto un solo certificato se non c'è nessun
delimitatore. data: data di revoca di un cert. La data deve essere rappresentata in GeneralizedTime
formato (AAAAMMGGhhmmssZ).
* Rimuovere le voci del certificato da CRL
gamma rmcert
Dove:
intervallo: due valori interi separati da un trattino: intervallo di certificati che verranno aggiunti da
questo comando. trattino viene utilizzato come delimitatore. Verrà aggiunto un solo certificato se non c'è nessun
delimitatore.
* Modifica l'intervallo di voci del certificato in CRL
gamma nuova gamma
Dove:
new-range: due valori interi separati da un trattino: intervallo di certificati che verranno aggiunti
da questo comando. trattino viene utilizzato come delimitatore. Verrà aggiunto un solo certificato se non c'è nessun
delimitatore.
Estensioni implementate
Le estensioni definite per CRL forniscono metodi per associare attributi aggiuntivi con
CRL delle loro voci. Per ulteriori informazioni vedere RFC #3280
* Aggiungi l'estensione dell'identificatore della chiave di autorità:
L'estensione dell'identificatore della chiave di autorità fornisce un mezzo per identificare la chiave pubblica
corrispondente alla chiave privata utilizzata per firmare una CRL.
authKeyId critico [key-id | dn cert-seriale]
Dove:
authKeyIdent: identifica il nome di un'estensione critica: valore 1 di 0. Dovrebbe essere impostato
a 1 se questa estensione è critica o 0 in caso contrario. key-id: identificatore chiave rappresentato in
stringa di ottetti. dn:: è un nome distinto della CA cert-serial: certificato di autorità seriale
numero.
* Aggiungi l'estensione del nome alternativo dell'emittente:
L'estensione dei nomi alternativi dell'emittente consente di associare identità aggiuntive
l'emittente della CRL. Le opzioni definite includono un nome rfc822 (indirizzo di posta elettronica), a
Nome DNS, un indirizzo IP e un URI.
issuerAltNames elenco di nomi non critici
Dove:
subjAltNames: identifica il nome di un'estensione dovrebbe essere impostato a 0 poiché questo è
elenco nomi di estensioni non critiche: elenco di nomi separati da virgole
* Aggiungi l'estensione del numero CRL:
Il numero CRL è un'estensione CRL non critica che trasmette un aumento monotono
numero di sequenza per un determinato ambito CRL ed emittente CRL. Questa estensione consente agli utenti di
determinare facilmente quando un particolare CRL sostituisce un altro CRL
crlNumber numero non critico
Dove:
crlNumber: identifica il nome di un'estensione critica: dovrebbe essere impostato a 0 poiché questo è
numero interno non critico: valore di long che identifica il numero sequenziale di a
CRL.
* Aggiungi l'estensione del codice motivo di revoca:
Il reasonCode è un'estensione della voce CRL non critica che identifica il motivo del
revoca del certificato.
reasonCode codice non critico
Dove:
reasonCode: identifica il nome di un'estensione non critica: dovrebbe essere impostato a 0 poiché
questo è un codice interno non critico: sono disponibili i seguenti codici:
non specificato (0), keyCompromise (1), cACompromise (2), affiliazioneChanged (3), sostituito
(4), cessationOfOperation (5), certificateHold (6), removeFromCRL (8), privilegioRitirato
(9), aACompromesso (10)
* Aggiungi l'estensione della data di invalidità:
La data di invalidità è un'estensione della voce CRL non critica che fornisce la data in cui
è noto o sospettato che la chiave privata sia stata compromessa o che il certificato
altrimenti non è più valido.
invalidityDate data non critica
Dove:
crlNumber: identifica il nome di un'estensione non critica: dovrebbe essere impostato a 0 poiché questo
è data di estensione non critica: data di invalidità di un certificato. La data dovrebbe essere rappresentata in
Formato GeneralizedTime (AAAAMMGGhhmmssZ).
USO
Le funzionalità dello strumento di gestione dell'elenco di revoche di certificati sono raggruppate come segue,
utilizzando queste combinazioni di opzioni e argomenti. Opzioni e argomenti in quadrato
le parentesi quadre sono facoltative, quelle senza parentesi quadre sono obbligatorie.
Vedere "Estensioni implementate" per ulteriori informazioni sulle estensioni e sulle loro
parametri.
* Creazione o modifica di una CRL:
crlutil -G|-M -c file-crl-gen -n nickname [-i crl] [-u url] [-d keydir] [-P dbprefix] [-l alg] [-a] [-B]
* Elenco di tutti i CRl o di un CRL denominato:
crlutil -L [-n nome-crl] [-d krydir]
* Eliminazione CRL da db:
crlutil -D -n nickname [-d keydir] [-P dbprefix]
* Cancellazione dei CRL da db:
crlutil -E [-d dirchiave] [-P prefisso db]
* Eliminazione CRL da db:
crlutil -D -n nickname [-d keydir] [-P dbprefix]
* Cancellazione dei CRL da db:
crlutil -E [-d dirchiave] [-P prefisso db]
* Importa CRL da file:
crlutil -I -i crl [-t crlType] [-u url] [-d keydir] [-P dbprefix] [-B]
Usa crlutil online usando i servizi onworks.net
