cassl - מקוון בענן

תָכְנִית:

שֵׁם

ca - דוגמה ליישום CA מינימלי

תַקצִיר

OpenSSL ca [-שורש] [-קונפיג שם הקובץ] [- שם סעיף] [-gencrl] [-לְבַטֵל פילה] [-סטָטוּס
סידורי] [-מעודכן ב] [-crl_reason טעם] [-crl_hold הוראה] [-crl_compromise זמן]
[-crl_CA_compromise זמן] [- crlddays ימים] [-crlhours שעות האחרונות] [-קרלקסטים סעיף] [-תאריך התחלה
נתונים] [-תאריך סיום נתונים] [-ימים גדול מ] [-מד גדול מ] [-מְדִינִיוּת גדול מ] [-קובץ מפתח גדול מ] [-צורת מפתח
PEM|DER] [מקש גדול מ] [-פאסין גדול מ] [-cert פילה] [-חתימה עצמית] [- פילה] [אאוט פילה]
[-אין טקסט] [-outdir dir] [-infiles] [-spkac פילה] [-ss_cert פילה] [-לשמור DN]
[-noemailDN] [-קבוצה] [-msie_hack] [-הרחבות סעיף] [-extfile סעיף] [-מנוע id]
[-נושא גדול מ] [-utf8] [-רב-ערכים-rdn]

תיאור

אל האני ca הפקודה היא יישום CA מינימלי. ניתן להשתמש בו כדי לחתום על בקשות אישורים
מגוון של צורות וליצור CRLs זה גם מחזיק מסד נתונים טקסט של הונפק
תעודות ומעמדן.

תיאורי האפשרויות יחולקו לכל מטרה.

CA אפשרויות

-קונפיג שם הקובץ
מציין את קובץ התצורה לשימוש.

- שם סעיף
מציין את קטע קובץ התצורה לשימוש (עוקף default_ca ב ca
סָעִיף).

- שם הקובץ
שם קובץ קלט המכיל בקשת תעודה אחת שתיחתם על ידי ה-CA.

-ss_cert שם הקובץ
אישור יחיד בחתימה עצמית שייחתם על ידי ה-CA.

-spkac שם הקובץ
קובץ המכיל מפתח ציבורי חתום עם Netscape ואתגר ועוד
ערכי שדה שיחתמו על ידי ה-CA. ראה את SPKAC פורמט סעיף למידע על
פורמט הקלט והפלט הנדרש.

-infiles
אם קיימת זו צריכה להיות האפשרות האחרונה, כל הטיעונים הבאים מניחים ל-
שמות הקבצים המכילים בקשות אישור.

אאוט שם הקובץ
קובץ הפלט שאליו יש פלט אישורים. ברירת המחדל היא פלט סטנדרטי. ה
פרטי התעודה יודפסו גם לקובץ זה בפורמט PEM (פרט לזה
-spkac פלט פורמט DER).

-outdir בספרייה
הספרייה שאליה יש פלט אישורים. האישור ייכתב בשם קובץ
המורכב מהמספר הסידורי ב-hex עם ".pem" מצורף.

-cert
קובץ אישור CA.

-קובץ מפתח שם הקובץ
המפתח הפרטי לחתום איתו על בקשות.

-צורת מפתח PEM|DER
פורמט הנתונים בקובץ המפתח הפרטי. ברירת המחדל היא PEM.

מקש סיסמא
הסיסמה המשמשת להצפנת המפתח הפרטי. מאז במערכות מסוימות שורת הפקודה
ארגומנטים גלויים (למשל Unix עם כלי השירות 'ps') יש להשתמש באפשרות זו
בזהירות.

-חתימה עצמית
מציין שיש לחתום על האישורים שהונפקו במפתח האישור
הבקשות נחתמו עם (ניתנו עם -קובץ מפתח). בקשות אישור חתומות ב-a
מפתחים שונים מתעלמים. אם -spkac, -ss_cert or -gencrl ניתנים, -חתימה עצמית is
התעלם.

תוצאה של שימוש -חתימה עצמית הוא שהתעודה בחתימה עצמית מופיעה בין
ערכים במסד הנתונים של האישורים (ראה את אפשרות התצורה מסד נתונים), ומשתמשים
אותו מונה מספרים סידוריים כמו שכל שאר התעודות חותמים עם החתימה העצמית
תעודה.

-פאסין גדול מ
מקור סיסמת המפתח. למידע נוסף על הפורמט של גדול מ לראות PASS
משפט טיעונים קטע ב OpenSSL(1).

-שורש
זה מדפיס פרטים נוספים על הפעולות המתבצעות.

-אין טקסט
אל תוציא את טופס הטקסט של אישור לקובץ הפלט.

-תאריך התחלה נתונים
זה מאפשר להגדיר במפורש את תאריך ההתחלה. הפורמט של התאריך הוא
YYMMDDHHMMSSZ (זהה למבנה ASN1 UTCTime).

-תאריך סיום נתונים
זה מאפשר לקבוע במפורש את תאריך התפוגה. הפורמט של התאריך הוא
YYMMDDHHMMSSZ (זהה למבנה ASN1 UTCTime).

-ימים גדול מ
מספר הימים לאישור התעודה.

-מד ALG
תקציר ההודעות לשימוש. ערכים אפשריים כוללים md5, sha1 ו-mdc2. אפשרות זו
חל גם על CRL.

-מְדִינִיוּת גדול מ
אפשרות זו מגדירה את "מדיניות" ה-CA לשימוש. זהו קטע בתצורה
קובץ שמחליט אילו שדות צריכים להיות חובה או להתאים לאישור CA. חשבון
את מְדִינִיוּת פורמט למידע נוסף.

-msie_hack
זו אפשרות מורשת לעשות ca לעבוד עם גרסאות ישנות מאוד של תעודת IE
בקרת רישום "certenr3". הוא השתמש ב-UniversalStrings כמעט לכל דבר. מאז
השליטה הישנה כוללת באגי אבטחה שונים. השימוש בה מומלץ מאוד. החדש יותר
פקד "Xenroll" אינו זקוק לאפשרות זו.

-לשמור DN
בדרך כלל סדר ה-DN של אישור זהה לסדר השדות ב-
סעיף המדיניות הרלוונטי. כאשר אפשרות זו מוגדרת, הסדר זהה לבקשה.
זה נועד בעיקר לתאימות עם בקרת ההרשמה הישנה יותר של IE
קבל אישורים רק אם ה-DN שלהם תואם את סדר הבקשה. זה לא
נדרש עבור Xenroll.

-noemailDN
ה-DN של אישור יכול להכיל את השדה EMAIL אם קיים ב-DN של הבקשה,
עם זאת, זוהי מדיניות טובה רק שהדואר האלקטרוני מוגדר בסיומת altName של
תְעוּדָה. כאשר אפשרות זו מוגדרת, השדה EMAIL מוסר מהאישור'
נושא וסט רק בהרחבות, בסופו של דבר. ה email_in_dn מילות מפתח
ניתן להשתמש בקובץ התצורה כדי לאפשר התנהגות זו.

-קבוצה
זה מגדיר את מצב האצווה. במצב זה לא ישאלו שאלות וכל התעודות
יאושר אוטומטית.

-הרחבות סעיף
החלק של קובץ התצורה המכיל הרחבות אישורים שיש להוסיף
כאשר מונפקת אישור (ברירת המחדל היא x509_extensions אלא אם כן ה -extfile אוֹפְּצִיָה
משמש). אם לא קיים קטע הרחבה, נוצר אישור V1. אם ה
מקטע ההרחבה קיים (גם אם הוא ריק), אז נוצר אישור V3.
ראה את: w x509v3_config(5) דף מדריך לפרטים על פורמט קטע ההרחבה.

-extfile פילה
קובץ תצורה נוסף לקריאת הרחבות אישורים (באמצעות ה-
סעיף ברירת המחדל אלא אם כן -הרחבות משתמשים גם באפשרות).

-מנוע id
ציון מנוע (לפי הייחודי שלו id מחרוזת) יגרום ca לנסות להשיג א
התייחסות פונקציונלית למנוע שצוין, ובכך לאתחל אותו במידת הצורך. ה
לאחר מכן, המנוע יוגדר כברירת המחדל עבור כל האלגוריתמים הזמינים.

-נושא גדול מ
מחליף את שם הנושא שניתן בבקשה. ה-arg חייב להיות בפורמט כ
/type0=value0/type1=value1/type2=..., תווים עשויים להיות בורחים על ידי \ (קו נטוי אחורי), לא
מדלגים על רווחים.

-utf8
אפשרות זו גורמת לערכי שדות להתפרש כמחרוזות UTF8, כברירת מחדל
מתפרש כ-ASCII. משמעות הדבר היא שערכי השדה, בין אם הוצגו מ-a
מסוף או מתקבל מקובץ תצורה, חייבות להיות מחרוזות UTF8 חוקיות.

-רב-ערכים-rdn
אפשרות זו גורמת לארגומנט -subj להתפרש עם תמיכה מלאה עבור
RDNs מרובי ערכים. דוגמא:

/DC=org/DC=OpenSSL/DC=users/UID=123456+CN=John צְבִיָה

אם לא נעשה שימוש ב-multi-rdn אז ערך ה-UID הוא 123456+CN=ג'ון צְבִיָה.

C.R.L. אפשרויות

-gencrl
אפשרות זו יוצרת CRL המבוסס על מידע בקובץ האינדקס.

- crlddays NUM
מספר הימים לפני מועד ה-CRL הבא. אלו הימים מעכשיו ועד מקום פנימה
השדה CRL nextUpdate.

-crlhours NUM
מספר השעות לפני מועד ה-CRL הבא.

-לְבַטֵל שם הקובץ
שם קובץ המכיל אישור לביטול.

-סטָטוּס סידורי
מציג את מצב הביטול של האישור עם המספר הסידורי שצוין ו
יציאות.

-מעודכן ב
מעדכן את אינדקס מסד הנתונים כדי למחוק אישורים שפג תוקפם.

-crl_reason טעם
סיבת ביטול, היכן טעם אחד מ: שלא פורטו, keyCompromise, CAC פשרה,
שיוך השתנה, הוחלף, cessationOfOperation, אישורהחזק or
removeFromCRL. ההתאמה של טעם אינו רגיש לאותיות גדולות. קביעת כל ביטול
הסיבה תהפוך את ה-CRL v2.

באופן מעשי removeFromCRL אינו שימושי במיוחד מכיוון שהוא משמש רק בדלתא
CRL שאינם מיושמים כעת.

-crl_hold הוראה
זה מגדיר את קוד הסיבה לביטול CRL ל אישורהחזק והוראת החזקה
ל הוראה שחייב להיות OID. למרות שניתן להשתמש בכל OID בלבד
holdInstructionNone (שהשימוש בו מונע על ידי RFC2459)
holdInstructionCall Issuer or holdInstructionReject בדרך כלל ישמש.

-crl_compromise זמן
זה קובע את עילת הביטול ל keyCompromise וזמן הפשרה ל זמן. זמן
צריך להיות בפורמט GeneralizedTime כלומר YYYYMMDDHHMMSSZ.

-crl_CA_compromise זמן
זה אותו דבר כמו crl_compromise אלא שעילת הביטול מוגדרת ל
CAC פשרה.

-קרלקסטים סעיף
הקטע של קובץ התצורה המכיל סיומות CRL שיש לכלול. אם אין CRL
מקטע ההרחבה קיים אז נוצר V1 CRL, אם מקטע ההרחבה CRL הוא
נוכח (גם אם הוא ריק) אז נוצר V2 CRL. הרחבות CRL שצוינו
הם הרחבות CRL ו לֹא הרחבות להכנסת CRL. יש לציין שחלקם
תוכנה (לדוגמה Netscape) לא יכולה להתמודד עם V2 CRLs. לִרְאוֹת x509v3_config(5) דף מדריך
לפרטים על פורמט מדור ההרחבה.

תְצוּרָה קובץ אפשרויות

החלק של קובץ התצורה המכיל אפשרויות עבור ca נמצא כדלקמן: אם
מה היא - שם נעשה שימוש באפשרות שורת הפקודה, ולאחר מכן היא נותנת שם לקטע שבו יש להשתמש. אחרת ה
יש לציין את הקטע שבו יש להשתמש ב- default_ca אופציה של ca קטע
קובץ התצורה (או בחלק ברירת המחדל של קובץ התצורה). חוץ מזה
default_ca, האפשרויות הבאות נקראות ישירות מה- ca סעיף:
שימור RANDFILE
msie_hack למעט RANDFILE, זה כנראה באג ועשוי להשתנות בעתיד
משחרר.

רבות מאפשרויות קובץ התצורה זהות לאפשרויות שורת הפקודה. איפה ה
אפשרות קיימת בקובץ התצורה ובשורת הפקודה ערך שורת הפקודה הוא
בשימוש. כאשר אפשרות מתוארת כחובה, היא חייבת להיות קיימת ב-
קובץ התצורה או שורת הפקודה המקבילה (אם קיימת) בשימוש.

oid_file
זה מציין קובץ המכיל נוסף מטרה מזהים. כל שורה בקובץ
צריך להיות מורכב מהצורה המספרית של מזהה האובייקט ואחריו רווח לבן
לאחר מכן השם הקצר ואחריו הרווח הלבן ולבסוף השם הארוך.

oid_section
זה מציין קטע בקובץ התצורה המכיל אובייקט נוסף
מזהים. כל שורה צריכה להיות מורכבת מהשם הקצר של מזהה האובייקט
אחריו = והצורה המספרית. השמות הקצרים והארוכים זהים כאשר זה
נעשה שימוש באופציה.

new_certs_dir
זהה ל -outdir אפשרות שורת הפקודה. זה מציין את הספרייה שבה היא חדשה
תעודות יוצבו. חובה.

תעודה
אותו הדבר כמו -cert. זה נותן את הקובץ המכיל את אישור ה-CA. חובה.

מפתח פרטי
זהה ל -קובץ מפתח אוֹפְּצִיָה. הקובץ המכיל את המפתח הפרטי של CA. חובה.

RANDFILE
קובץ המשמש לקריאה ולכתיבה של מידע זרעי מספר אקראי, או שקע EGD (ראה
RAND_egd(3)).

default_days
זהה ל -ימים אוֹפְּצִיָה. מספר הימים לאישור תעודה.

default_startdate
זהה ל -תאריך התחלה אוֹפְּצִיָה. תאריך ההתחלה לאישור תעודה עבור. אם לא
להגדיר את השעה הנוכחית בשימוש.

default_enddate
זהה ל -תאריך סיום אוֹפְּצִיָה. או אפשרות זו או default_days (או הפקודה
שוות קו) חייבות להיות נוכחות.

default_crl_hours default_crl_days
זהה ל -crlhours ו - crlddays אפשרויות. אלה ישמשו רק אם אף אחד מהם
אפשרות שורת הפקודה קיימת. לפחות אחד מאלה חייב להיות נוכח כדי ליצור א
CRL.

default_md
זהה ל -מד אוֹפְּצִיָה. תקציר ההודעות לשימוש. חובה.

מסד נתונים
קובץ מסד הנתונים של הטקסט לשימוש. חובה. קובץ זה חייב להיות קיים בתחילה
זה יהיה ריק.

ייחודי_נושא
אם הערך כן נתון, חייבות להיות ערכי האישור התקפים במסד הנתונים
נושאים ייחודיים. אם הערך לא נתון, עשויות להיות מספר ערכי תעודה חוקיים
אותו נושא בדיוק. ערך ברירת המחדל הוא כן, כדי להיות תואם עם ישן יותר (pre
0.9.8) גרסאות של OpenSSL. עם זאת, כדי להקל על גלגול אישור CA, זה
מומלץ להשתמש בערך לא, במיוחד אם בשילוב עם -חתימה עצמית הפקודה
אפשרות קו.

סידורי
קובץ טקסט המכיל את המספר הסידורי הבא לשימוש ב-hex. חובה. הקובץ הזה
חייב להיות נוכח ולהכיל מספר סידורי חוקי.

crlnumber
קובץ טקסט המכיל את מספר ה-CRL הבא לשימוש ב-hex. מספר ה-crl יהיה
מוכנס ל-CRL רק אם קובץ זה קיים. אם קובץ זה קיים, הוא חייב
מכיל מספר CRL חוקי.

x509_extensions
אותו הדבר כמו -הרחבות.

crl_extensions
אותו הדבר כמו -קרלקסטים.

לשמר
אותו הדבר כמו -לשמור DN

email_in_dn
אותו הדבר כמו -noemailDN. אם אתה רוצה שהשדה EMAIL יוסר מה-DN של ה
אישור פשוט הגדר את זה ל'לא'. אם לא קיים ברירת המחדל היא לאפשר את
EMAIL הוגש ב-DN של האישור.

msie_hack
אותו הדבר כמו -msie_hack

מדיניות
אותו הדבר כמו -מְדִינִיוּת. חובה. ראה את מְדִינִיוּת פורמט למידע נוסף.

name_opt, cert_opt
אפשרויות אלה מאפשרות את הפורמט המשמש להצגת פרטי התעודה כששואלים את
משתמש כדי לאשר את החתימה. כל האפשרויות הנתמכות על ידי x509 כלי עזר -Nameopt ו
-certopt ניתן להשתמש במתגים כאן, למעט no_signname ו no_sigdump יש לו
מוגדר לצמיתות ולא ניתן להשבית (זאת בגלל חתימת האישור
לא ניתן להציג כי האישור לא נחתם בשלב זה).

לנוחות הערכים ca_default מקובלים על שניהם כדי לייצר סביר
פלט.

אם אף אחת מהאפשרויות לא קיימת, נעשה שימוש בפורמט ששימש בגרסאות קודמות של OpenSSL.
השימוש בפורמט הישן הוא בְּתוֹקֶף מיואש כי הוא מציג רק שדות
מוזכר מדיניות סעיף, מטפל לא נכון בסוגי מחרוזות מרובות תווים ולא עושה זאת
הרחבות תצוגה.

copy_extensions
קובע כיצד יש לטפל בהרחבות בבקשות אישור. אם מוגדר ל אף לא אחד
או שהאפשרות הזו לא קיימת אז מתעלמים מהרחבות ולא מועתקות ל-
תְעוּדָה. אם מוגדר ל העתק לאחר מכן כל הרחבות הקיימות בבקשה שאינן
שכבר נוכחים מועתקים לתעודה. אם מוגדר ל העתק הכל ואז כל ההרחבות
בבקשה מועתקים לאישור: אם ההרחבה כבר קיימת ב
האישור הוא נמחק תחילה. ראה את אזהרות סעיף לפני השימוש בזה
אוֹפְּצִיָה.

השימוש העיקרי באפשרות זו הוא לאפשר לבקשת אישור לספק ערכים עבור
הרחבות מסוימות כגון subjectAltName.

מְדִינִיוּת פורמט

סעיף המדיניות מורכב מקבוצה של משתנים התואמים לשדות DN של אישור.
אם הערך הוא "התאמה" אז ערך השדה חייב להתאים לאותו שדה ב-CA
תְעוּדָה. אם הערך "סופק", הוא חייב להיות קיים. אם הערך הוא
"אופציונלי" אז זה עשוי להיות קיים. כל השדות שאינם מוזכרים בסעיף המדיניות הם
נמחק בשקט, אלא אם כן -לשמור DN האופציה מוגדרת אך ניתן להתייחס לזה יותר כמו א
מוזרות מההתנהגות המיועדת.

SPKAC פורמט

הקלט ל- -spkac אפשרות שורת הפקודה היא מפתח ציבורי חתום ואתגר.
זה יבוא בדרך כלל מה- KEYGEN תג בטופס HTML כדי ליצור מפתח פרטי חדש.
עם זאת, ניתן ליצור SPKACs באמצעות spkac תוֹעֶלֶת.

הקובץ צריך להכיל את המשתנה SPKAC שהוגדר לערך של ה-SPKAC וגם את
רכיבי DN נדרשים כצמדי ערכי שם. אם אתה צריך לכלול את אותו רכיב
פעמיים אז אפשר להקדים אותו במספר ו-'.'.

בעת עיבוד פורמט SPKAC, הפלט הוא DER אם אאוט נעשה שימוש בדגל, אבל בפורמט PEM
אם שולחים ל-stdout או ל- -outdir נעשה שימוש בדגל.

דוגמאות

הערה: דוגמאות אלה מניחות שה- ca מבנה הספריות כבר מוגדר וה-
קבצים רלוונטיים כבר קיימים. זה בדרך כלל כרוך ביצירת אישור CA ופרטי
מפתח עם req, קובץ מספר סידורי וקובץ אינדקס ריק והצבתם ב-
ספריות רלוונטיות.

כדי להשתמש בקובץ התצורה לדוגמה מתחת לספריות demoCA, demoCA/private ו
ייווצרו demoCA/newcerts. אישור ה-CA יועתק אל demoCA/cacert.pem
והמפתח הפרטי שלו ל-demoCA/private/cakey.pem. ייווצר קובץ demoCA/סידורי
המכיל למשל "01" ואת קובץ האינדקס הריק demoCA/index.txt.

חתום על בקשת אישור:

openssl ca -in req.pem -out newcert.pem

חתום על בקשת אישור באמצעות הרחבות CA:

openssl ca -in req.pem -הרחבות v3_ca -out newcert.pem

צור CRL

openssl ca -gencrl -out crl.pem

חתמו על מספר בקשות:

openssl ca -infiles req1.pem req2.pem req3.pem

אישור Netscape SPKAC:

openssl ca -spkac spkac.txt

קובץ SPKAC לדוגמה (שורת SPKAC נקטעה לשם הבהירות):

SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN=מבחן סטיב
כתובת אימייל=[מוגן בדוא"ל]
0.OU=קבוצת OpenSSL
1.OU=קבוצה נוספת

קובץ תצורה לדוגמה עם הסעיפים הרלוונטיים עבור ca:

[ca]
default_ca = CA_default # קטע ה-ca ברירת המחדל

[ CA_default ]

dir = ./demoCA # top dir
מסד נתונים = $dir/index.txt # קובץ אינדקס.
new_certs_dir = $dir/newcerts # new certs dir

אישור = $dir/cacert.pem # אישור ה-CA
serial = $dir/serial # serial no file
private_key = $dir/private/cakey.pem# מפתח פרטי CA
RANDFILE = $dir/private/.rand # קובץ מספר אקראי

default_days = 365 # כמה זמן לאשר
default_crl_days= 30 # כמה זמן לפני ה-CRL הבא
default_md = md5 # md לשימוש

policy = policy_any # מדיניות ברירת מחדל
email_in_dn = לא # אל תוסיף את האימייל ל-cert DN

name_opt = ca_default # אפשרות הצגת שם הנושא
cert_opt = ca_default # אפשרות תצוגת אישור
copy_extensions = none # אל תעתיק הרחבות מהבקשה

[מדיניות_כל ]
countryName = מסופק
stateOrProvinceName = אופציונלי
organisationName = אופציונלי
organisationalUnitName = אופציונלי
commonName = מסופק
כתובת אימייל = אופציונלי

השתמש ב-cassl באינטרנט באמצעות שירותי onworks.net