זהו אישור הפקודה שניתן להפעיל בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
certutil - נהל מפתחות ותעודה הן בבסיסי נתונים של NSS והן באסימוני NSS אחרים
תַקצִיר
certutil [אפשרויות] [[טיעונים]]
סטָטוּס
התיעוד הזה עדיין בתהליך עבודה. אנא תרמו לסקירה הראשונית ב
מוזילה NSS באג 836477[1]
תיאור
כלי מסד הנתונים של האישורים, certutil, הוא כלי שורת פקודה שיכול ליצור ו
לשנות מסדי נתונים של תעודות ומפתחות. זה יכול ספציפית לרשום, ליצור, לשנות או
למחוק אישורים, ליצור או לשנות את הסיסמה, ליצור מפתח ציבורי ופרטי חדש
צמדים, הצג את התוכן של מסד הנתונים של המפתחות, או מחק צמדי מפתחות בתוך המפתח
מאגר מידע.
הנפקת אישור, חלק מתהליך ניהול המפתחות והאישורים, מחייבת זאת
מפתחות ותעודות נוצרו במסד הנתונים של המפתחות. מסמך זה דן בתעודה
וניהול מסד נתונים מפתח. למידע על ניהול מסד הנתונים של מודול האבטחה,
לראות מודול דף אדם.
פקודה אפשרויות ו טיעונים
ריצה certutil תמיד דורש אפשרות פקודה אחת ויחידה כדי לציין את הסוג של
פעולת תעודה. כל אפשרות פקודה עשויה לקחת אפס או יותר ארגומנטים. הפקודה
אוֹפְּצִיָה -H יפרט את כל אפשרויות הפקודה והארגומנטים הרלוונטיים שלהן.
פיקוד אפשרויות
-A
הוסף אישור קיים למסד נתונים של אישורים. מסד הנתונים של האישורים צריך
כבר קיים; אם לא קיים, אפשרות פקודה זו תתחיל אחת לאחד
ברירת המחדל.
-B
הפעל סדרה של פקודות מקובץ האצווה שצוין. זה דורש את -i ויכוח.
-C
צור קובץ אישור בינארי חדש מקובץ בקשת אישור בינארי. להשתמש ב
-i ארגומנט לציון קובץ בקשת האישור. אם לא נעשה שימוש בטיעון זה,
certutil מבקש שם קובץ.
-D
מחק תעודה ממאגר התעודות.
--שנה שם
שנה את הכינוי של מסד הנתונים של תעודה.
-E
הוסף אישור דוא"ל למסד הנתונים של האישורים.
-F
מחק מפתח פרטי ממסד נתונים של מפתחות. ציין את המפתח למחיקה באמצעות ה--n
טַעֲנָה. ציין את מסד הנתונים שממנו למחוק את המפתח עם ה- -d טַעֲנָה. להשתמש
מה היא -k ארגומנט כדי לציין במפורש אם למחוק מפתח DSA, RSA או ECC. אם אתה
אל תשתמש ב -k ארגומנט, האפשרות מחפשת מפתח RSA התואם למפרט שצוין
כינוי.
כאשר אתה מוחק מפתחות, הקפד להסיר גם אישורים הקשורים לאלה
מפתחות ממסד הנתונים של האישורים, באמצעות -D. חלק מהכרטיסים החכמים לא מאפשרים לך
להסיר מפתח ציבורי שיצרת. במקרה כזה, רק המפתח הפרטי הוא
נמחק מצמד המפתחות. אתה יכול להציג את המפתח הציבורי עם הפקודה certutil -K
-h שם אסימון.
-G
צור זוג מפתחות ציבורי ופרטי חדש בתוך מסד נתונים מפתח. מסד הנתונים המרכזי
צריך כבר להתקיים; אם אחד לא קיים, אפשרות פקודה זו תאתחל אחד
כברירת מחדל. חלק מהכרטיסים החכמים יכולים לאחסן רק זוג מפתחות אחד. אם תיצור זוג מפתחות חדש
עבור כרטיס כזה, הזוג הקודם מוחלף.
-H
הצג רשימה של אפשרויות הפקודה והארגומנטים.
-K
רשום את מזהה המפתח של המפתחות במסד הנתונים של המפתחות. מזהה מפתח הוא המודולוס של מפתח RSA או
publicValue של מפתח DSA. מזהים מוצגים בהקסדצימלי ("0x" אינו מוצג).
-L
רשום את כל האישורים, או הצג מידע על אישור בעל שם, ב-a
מסד נתונים של תעודות. השתמש בארגומנט -h tokenname כדי לציין את האישור
מסד נתונים על אסימון חומרה או תוכנה מסוים.
-M
שנה את תכונות האמון של אישור באמצעות הערכים של הארגומנט -t.
-N
צור מסדי נתונים חדשים של תעודות ומפתחות.
-O
הדפס את שרשרת האישורים.
-R
צור קובץ בקשת אישור שניתן להגיש לרשות אישורים
(CA) לעיבוד לתעודה מוגמרת. ברירת המחדל של הפלט היא יוצאת רגילה
אלא אם כן אתה משתמש בארגומנט -o output-file. השתמש בארגומנט -a כדי לציין פלט ASCII.
-S
צור אישור בודד והוסף אותו למסד נתונים של אישורים.
-T
אפס את מסד הנתונים או האסימון של המפתח.
-U
רשום את כל המודולים הזמינים או הדפס מודול יחיד בשם.
-V
בדוק את תקפות האישור ואת התכונות שלו.
-W
שנה את הסיסמה למסד נתונים מפתח.
--לְמַזֵג
מיזוג שני מסדי נתונים לאחד.
--שדרג-מיזוג
שדרג מסד נתונים ישן ומיזג אותו למסד נתונים חדש. זה משמש להגירה
מסדי נתונים מדור קודם של NSS (cert8.db ו-key3.db) לתוך מסדי הנתונים החדשים יותר של SQLite (cert9.db
ו-key4.db).
טיעונים
ארגומנטים משנים אפשרות פקודה והם בדרך כלל אותיות קטנות, מספרים או סמלים.
-a
השתמש בפורמט ASCII או אפשר את השימוש בפורמט ASCII עבור קלט או פלט. העיצוב הזה
עוקב אחר RFC 1113. עבור בקשות אישורים, פלט ASCII הוא ברירת המחדל לפלט סטנדרטי
אלא אם כן יופנה מחדש.
-ב זמן תוקף
ציין זמן שבו נדרשת תעודה להיות בתוקף. השתמש בעת בדיקה
תוקף האישור עם -V אוֹפְּצִיָה. הפורמט של ה זמן תוקף הוויכוח הוא
YYMMDDHHMMSS[+HHMM|-HHMM|Z], המאפשר להגדיר קיזוזים ביחס לתוקף
זמן סיום. ציון שניות (SS) הוא אופציונלי. בעת ציון זמן מפורש, השתמש ב-a
Z בסוף הקדנציה, YYMMDDHHMMSSZ, כדי לסגור אותו. כאשר מציינים זמן קיזוז,
להשתמש YYMMDDHHMMSS+HHMM or YYMMDDHHMMSS-HHMM לחיבור או חיסור זמן,
בהתאמה.
אם אפשרות זו אינה בשימוש, בדיקת התוקף תהיה כברירת מחדל לזמן המערכת הנוכחי.
מנפיק -c
זהה את האישור של ה-CA שממנו תפיק אישור חדש
אוֹתֶנְטִיוּת. השתמש בכינוי המדויק או הכינוי של אישור ה-CA, או השתמש ב-CA
כתובת דוא"ל. סוגר את מחרוזת המנפיק במרכאות אם היא מכילה רווחים.
-d [prefix]ספרייה
ציין את ספריית מסד הנתונים המכילה את קבצי מסד הנתונים של התעודה והמפתח.
certutil תומך בשני סוגים של מסדי נתונים: מסדי נתונים אבטחה מדור קודם (cert8.db,
key3.db, ו-secmod.db) ומסדי נתונים חדשים של SQLite (cert9.db, key4.db ו-pkcs11.txt).
NSS מזהה את הקידומות הבאות:
· sql: מבקש את מסד הנתונים החדש יותר
· dbm: מבקש את מסד הנתונים מדור קודם
אם לא צוינה קידומת סוג ברירת המחדל מאוחזר מ-NSS_DEFAULT_DB_TYPE. אם
NSS_DEFAULT_DB_TYPE לא מוגדר אז dbm: הוא ברירת המחדל.
--dump-ext-val OID
עבור אישור יחיד, הדפס קידוד DER בינארי של סיומת OID.
-e
בדוק את חתימת האישור במהלך תהליך אימות האישור.
--כתובת דוא"ל
ציין את כתובת הדוא"ל של אישור לרשימה. בשימוש עם אפשרות הפקודה -L.
--extGeneric OID:critical-flag:filename[,OID:critical-flag:filename]...
הוסף תוסף אחד או מרובים ש-certutil עדיין לא יכול לקודד, על ידי טעינתם
קידודים מקבצים חיצוניים.
· OID (דוגמה): 1.2.3.4
· דגל קריטי: קריטי או לא קריטי
· שם קובץ: נתיב מלא לקובץ המכיל סיומת מקודדת
-f סיסמה-קובץ
ציין קובץ שיספק אוטומטית את הסיסמה שתכלול בתעודה
או כדי לגשת למסד נתונים של תעודות. זהו קובץ טקסט רגיל המכיל אחד
סיסמה. הקפד למנוע גישה לא מורשית לקובץ זה.
-גודל מפתח
הגדר גודל מפתח לשימוש בעת יצירת צמדי מפתחות ציבוריים ופרטיים חדשים. המינימום הוא
512 סיביות והמקסימום הוא 16384 סיביות. ברירת המחדל היא 2048 סיביות. כל גודל בין
מינימום ומקסימום מותר.
-h שם אסימון
ציין את השם של אסימון לשימוש או לפעול לפיו. אם לא צוין, אסימון ברירת המחדל הוא
חריץ מסד הנתונים הפנימי.
-i input_file
העבר קובץ קלט לפקודה. בהתאם לאפשרות הפקודה, קובץ קלט יכול
להיות אישור ספציפי, קובץ בקשת אישור או קובץ אצווה של פקודות.
-k key-type-or-id
ציין את הסוג או המזהה הספציפי של מפתח.
אפשרויות סוג המפתח החוקיות הן rsa, dsa, ec או כולם. ערך ברירת המחדל הוא rsa.
ציון סוג המפתח יכול למנוע טעויות הנגרמות על ידי כינויים כפולים. נותן א
סוג מפתח יוצר זוג מפתחות חדש; מתן המזהה של מפתח קיים עושה שימוש חוזר במפתח זה
זוג (שנדרש לחידוש תעודות).
-l
הצג מידע מפורט בעת אימות תעודה עם אפשרות -V.
-m סידורי-מספר
הקצה מספר סידורי ייחודי לאישור שנוצר. הפעולה הזו צריכה להיות
מבוצע על ידי CA. אם לא מסופק מספר סידורי, נוצר מספר סידורי ברירת מחדל
מהזמן הנוכחי. מספרים סידוריים מוגבלים למספרים שלמים
-n כינוי
ציין את הכינוי של תעודה או מפתח לרשימה, יצירה, הוספה למסד נתונים,
לשנות או לאמת. סוגר את מחרוזת הכינוי עם מרכאות אם היא מכילה
רווחים.
-o קובץ פלט
ציין את שם קובץ הפלט עבור אישורים חדשים או בקשות אישור בינארי.
סוגר את מחרוזת קובץ הפלט עם מרכאות אם היא מכילה רווחים. אם זה
הארגומנט אינו בשימוש. יעד הפלט הוא ברירת המחדל לפלט סטנדרטי.
-P dbPrefix
ציין את הקידומת המשמשת בקובץ מסד הנתונים של האישור והמפתח. הטיעון הזה הוא
מסופק לתמיכה בשרתים מדור קודם. רוב היישומים אינם משתמשים בקידומת מסד נתונים.
-p טלפון
ציין מספר טלפון ליצירת קשר שיכלול בתעודות או בתעודה חדשים
בקשות. סוגר מחרוזת זו עם מרכאות אם היא מכילה רווחים.
-q pqgfile או curve-name
קרא ערך PQG חלופי מהקובץ שצוין בעת יצירת צמדי מפתחות DSA. אם
הטיעון הזה לא משמש, certutil מייצר ערך PQG משלו. נוצרים קבצי PQG
עם כלי DSA נפרד.
שם העקומה האליפטית הוא אחד מאלה מ-SUITE B: nistp256, nistp384, nistp521
אם NSS הידור עם עקומות תמיכה מחוץ ל-SUITE B: sect163k1, nistk163,
sect163r1, sect163r2, nistb163, sect193r1, sect193r2, sect233k1, nistk233, sect233r1,
nistb233, sect239k1, sect283k1, nistk283, sect283r1, nistb283, sect409k1, nistk409,
sect409r1, nistb409, sect571k1, nistk571, sect571r1, nistb571, secp160k1, secp160r1,
secp160r2, secp192k1, secp192r1, nistp192, secp224k1, secp224r1, nistp224, secp256k1,
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2
-r
הצג את קידוד ה-DER הבינארי של אישור בעת רישום מידע על כך
תעודה עם אפשרות -L.
הנושא
זהה בעל אישור מסוים עבור אישורים או בקשות אישורים חדשים.
סוגר מחרוזת זו עם מרכאות אם היא מכילה רווחים. הנושא
פורמט הזיהוי עוקב אחר RFC #1485.
-t trustargs
ציין את תכונות האמון שיש לשנות באישור קיים או להחיל על א
אישור בעת יצירתו או הוספתו למסד נתונים. יש שלושה זמינים
קטגוריות אמון עבור כל תעודה, המתבטאת בהזמנה ssl, דואר אלקטרוני, אובייקט
חתימה עבור כל הגדרת אמון. בכל מיקום בקטגוריה, השתמש באף אחת, בכל או בכולם
קודי התכונה:
· p - עמית תקף
· P - עמית מהימן (מרמז על p)
· c - CA תקף
· T - CA מהימן (מרמז על ג)
· C - CA מהימן עבור אימות לקוח (שרת SSL בלבד)
· u - משתמש
קודי המאפיינים של הקטגוריות מופרדים בפסיקים, וכל הסט של
תכונות מוקפות במרכאות. לדוגמה:
-t "TCu, Cu, Tu"
השתמש באפשרות -L כדי לראות רשימה של האישורים הנוכחיים ותכונות האמון ב-a
מסד נתונים של תעודות.
-u certusage
ציין הקשר שימוש שיש להחיל בעת אימות אישור עם אפשרות -V.
ההקשרים הם הבאים:
· C (כלקוח SSL)
· V (כשרת SSL)
· L (כ-SSL CA)
· A (כמו כל CA)
· Y (אמת CA)
· S (כחותם אימייל)
· R (כנמען אימייל)
· O (בתור משיב סטטוס OCSP)
· J (כחותם חפצים)
-v חוקי-חודשים
הגדר את מספר החודשים שתעודה חדשה תהיה בתוקף. תקופת התוקף מתחילה
בזמן המערכת הנוכחי, אלא אם כן הוספה או הפחתה של היסט עם ה- -w אוֹפְּצִיָה.
אם לא נעשה שימוש בטיעון זה, תקופת תוקף ברירת המחדל היא שלושה חודשים.
-w קיזוז-חודשים
הגדר קיזוז מזמן המערכת הנוכחי, בחודשים, לתחילת א
תקופת התוקף של האישור. השתמש בעת יצירת האישור או הוספתו ל-a
מאגר מידע. הבע את ההיסט במספרים שלמים, באמצעות סימן מינוס (-) לציון א
קיזוז שלילי. אם לא נעשה שימוש בטיעון זה, תקופת התוקף מתחילה ב-
זמן המערכת הנוכחי. משך תקופת התוקף נקבע באמצעות הארגומנט -v.
-X
הכריח את מסד הנתונים של המפתח והאישורים להיפתח במצב קריאה-כתיבה. זה משמש עם
מה היא -U ו -L אפשרויות הפקודה.
-x
השתמש certutil כדי ליצור את החתימה עבור אישור שנוצר או מתווסף ל-a
מסד נתונים, במקום לקבל חתימה מ-CA נפרד.
-y exp
הגדר ערך מעריך חלופי לשימוש ביצירת מפתח RSA ציבורי חדש עבור
מסד נתונים, במקום ערך ברירת המחדל של 65537. הערכים החלופיים הזמינים הם 3
ו17.
-z קובץ רעש
קרא ערך ראשוני מהקובץ שצוין כדי ליצור מפתח פרטי וציבורי חדש
זוג. ארגומנט זה מאפשר להשתמש בערכי seed שנוצרו על ידי חומרה או
ליצור ערך באופן ידני מהמקלדת. גודל הקובץ המינימלי הוא 20 בתים.
-Z hashAlg
ציין את אלגוריתם ה-hash לשימוש עם אפשרויות הפקודות -C, -S או -R. אפשרי
מילות מפתח:
· MD2
· MD4
· MD5
· SHA1
· SHA224
· SHA256
· SHA384
· SHA512
-0 SSO_password
הגדר סיסמת קצין אבטחה באתר על אסימון.
-1 | --keyUsage מילת מפתח,מילת מפתח
הגדר הרחבת סוג אישור X.509 V3 בתעודה. יש כמה
מילות מפתח זמינות:
· חתימה דיגיטלית
· אי דחייה
· הצפנת מפתח
· הצפנת נתונים
· הסכם מפתח
· certSigning
· crlSigning
· קריטי
-2
הוסף הרחבת אילוץ בסיסית לאישור שנוצר או מתווסף ל-a
מאגר מידע. הרחבה זו תומכת בתהליך אימות שרשרת האישורים.
certutil מבקש לבחור את הרחבת אילוץ האישור.
הרחבות אישור X.509 מתוארות ב-RFC 5280.
-3
הוסף סיומת מזהה מפתח סמכות לאישור שנוצר או מתווסף ל-
מאגר מידע. הרחבה זו תומכת בזיהוי של תעודה מסוימת, מ
בין מספר תעודות המשויכות לשם נושא אחד, כמנפיק הנכון של
תעודה. כלי מסד הנתונים של האישורים יבקש ממך לבחור את הרשות
הרחבת מזהה מפתח.
הרחבות אישור X.509 מתוארות ב-RFC 5280.
-4
הוסף הרחבה של נקודת הפצה של CRL לאישור שנוצר או נוסף
למסד נתונים. תוסף זה מזהה את כתובת האתר של אישור המשויך
רשימת ביטולי אישורים (CRL). certutil מבקש את כתובת האתר.
הרחבות אישור X.509 מתוארות ב-RFC 5280.
-5 | --nsCertType מילת מפתח,מילת מפתח
הוסף הרחבה מסוג X.509 V3 לאישור שנוצר או
נוסף למסד הנתונים. קיימות מספר מילות מפתח זמינות:
· sslClient
· sslServer
· לחייך
· חתימת אובייקטים
· sslCA
· smimeCA
· objectSigningCA
· קריטי
הרחבות אישור X.509 מתוארות ב-RFC 5280.
-6 | --extKeyUsage מילת מפתח,מילת מפתח
הוסף הרחבה מורחבת לשימוש במפתח לאישור שנוצר או מתווסף אליו
בסיס הנתונים. מספר מילות מפתח זמינות:
· serverAuth
· clientAuth
· חתימת קוד
· EmailProtection
· חותמת זמן
· ocspResponder
· StepUp
· msTrustListSign
· קריטי
הרחבות אישור X.509 מתוארות ב-RFC 5280.
-7 כתובות אימייל
הוסף רשימה מופרדת בפסיקים של כתובות דוא"ל לשם החלופי של הנושא
הרחבה של אישור או בקשת אישור שנוצרת או מתווספת אליה
בסיס הנתונים. הרחבות שמות חלופיות לנושא מתוארות בסעיף 4.2.1.7 של
RFC 3280.
-8 שמות dns
הוסף רשימה מופרדת בפסיקים של שמות DNS לסיומת השם החלופית של הנושא של a
אישור או בקשת אישור שנוצרים או מתווספים למסד הנתונים.
הרחבות שמות חלופיות לנושא מתוארות בסעיף 4.2.1.7 של RFC 3280.
--extAIA
הוסף את התוסף Authority Information Access לאישור. תעודת X.509
הרחבות מתוארות ב-RFC 5280.
--extSIA
הוסף את התוסף 'גישה למידע בנושא נושא' לאישור. תעודת X.509
הרחבות מתוארות ב-RFC 5280.
--extCP
הוסף את תוסף מדיניות האישורים לאישור. תעודת X.509
הרחבות מתוארות ב-RFC 5280.
--extPM
הוסף את הרחבה של מיפוי מדיניות לאישור. הרחבות אישור X.509 הן
מתואר ב-RFC 5280.
--extPC
הוסף את הרחבה של אילוצי מדיניות לאישור. הרחבות תעודות X.509
מתוארים ב-RFC 5280.
--extIA
הוסף את התוסף Inhibit Any Policy Access לאישור. תעודת X.509
הרחבות מתוארות ב-RFC 5280.
--extSKID
הוסף את סיומת מזהה מפתח הנושא לאישור. הרחבות אישור X.509 הן
מתואר ב-RFC 5280.
--extNC
הוסף הרחבה של אילוץ שם לאישור. הרחבות אישור X.509 הן
מתואר ב-RFC 5280.
--extSAN type:name[,type:name]...
צור סיומת Subject Alt Name עם שם אחד או יותר.
-סוג: directory, dn, dns, edi, ediparty, email, ip, ipaddr, other, registerid,
rfc822, uri, x400, x400addr
--סיסמה ריקה
השתמש בסיסמה ריקה בעת יצירת מסד נתונים חדש של אישורים עם -N.
--keyAttrFlags attrflags
תכונות מפתח PKCS #11. רשימה מופרדת בפסיקים של דגלי תכונות מפתח, שנבחרו מתוך
רשימת האפשרויות הבאה: {token | session} {ציבורי | פרטי} {רגיש |
insensitive} {ניתן לשינוי | בלתי ניתן לשינוי} {ניתן לחילוץ | בלתי ניתן לחילוץ}
--keyOpFlagsOn opflags, --keyOpFlagsOff opflags
PKCS #11 מפתח מבצע דגלים. רשימה מופרדת בפסיק של אחד או יותר מהבאים:
{אסימון | session} {ציבורי | פרטי} {רגיש | insensitive} {ניתן לשינוי |
בלתי ניתן לשינוי} {ניתן לחילוץ | בלתי ניתן לחילוץ}
--new-n כינוי
כינוי חדש, בשימוש בעת שינוי שם של תעודה.
--source-dir certdir
זהה את ספריית מסד הנתונים של האישורים לשדרוג.
--source-prefix certdir
תן את הקידומת של האישור ומסדי הנתונים של המפתח לשדרוג.
--upgrade-id uniqueID
תן את המזהה הייחודי של מסד הנתונים לשדרוג.
--שם שדרוג-אסימון
הגדר את שם האסימון לשימוש בזמן השדרוג שלו.
-@pwfile
תן את השם של קובץ סיסמה לשימוש עבור מסד הנתונים המשודרג.
נוהג ו דוגמאות
לרוב אפשרויות הפקודה בדוגמאות המפורטות כאן יש עוד ארגומנטים זמינים. ה
הטיעונים הכלולים בדוגמאות אלו הם הנפוצים ביותר או משמשים להמחשת א
תרחיש ספציפי. להשתמש ב -H אפשרות להציג את הרשימה המלאה של ארגומנטים עבור כל אחד מהם
אפשרות פקודה.
יוצרים חדש אבטחה מאגרי מידע
אישורים, מפתחות ומודול אבטחה הקשורים לניהול אישורים מאוחסנים ב
שלושה מאגרי מידע קשורים:
· cert8.db או cert9.db
· key3.db או key4.db
· secmod.db או pkcs11.txt
יש ליצור מסדי נתונים אלה לפני שניתן יהיה ליצור אישורים או מפתחות.
certutil -N -d [sql:]ספרייה
יוצרים a תעודה בקש
בקשת אישור מכילה את רוב או את כל המידע המשמש ליצירת ה
תעודת גמר. בקשה זו מוגשת בנפרד לרשות אישורים והיא
לאחר מכן אושר על ידי מנגנון כלשהו (באופן אוטומטי או על ידי סקירה אנושית). ברגע שהבקשה היא
אושר, ואז האישור נוצר.
$ certutil -R -k key-type-or-id [-q pqgfile|curve-name] -g key-size -s subject [-h tokenname] -d [sql:]directory [-p phone] [-o קובץ פלט] [-a]
אל האני -R אפשרויות פקודה דורשות ארבעה ארגומנטים:
· -k כדי לציין את סוג המפתח להפקה או, בעת חידוש אישור, את
זוג מפתחות קיים לשימוש
· -g כדי להגדיר את גודל המפתח של המפתח להפקה
· -s כדי להגדיר את שם הנושא של התעודה
· -d לתת את ספריית מסד הנתונים של האבטחה
ניתן להוציא את בקשת האישור החדשה בפורמט ASCII (-a) או ניתן לכתוב אל א
קובץ שצוין (-o).
לדוגמה:
$ certutil -R -k rsa -g 1024 -s "CN=John Smith,O=Example Corp,L=Mountain View,ST=California,C=US" -d sql:$HOME/nssdb -p 650-555- 0123 -a -o cert.cer
יצירת מפתח. זה עשוי לקחת כמה רגעים...
יוצרים a תעודה
אישור תקף חייב להיות מונפק על ידי CA מהימן. ניתן לעשות זאת על ידי ציון CA
תעודה (-c) המאוחסן במסד הנתונים של האישורים. אם זוג מפתחות CA לא
זמין, תוכל ליצור אישור בחתימה עצמית באמצעות ה- -x ויכוח עם ה -S
אפשרות פקודה.
$ certutil -S -k rsa|dsa|ec -n certname -s subject [-c מנפיק |-x] -t trustargs -d [sql:]ספרייה [-m serial-number] [-v valid-months] [ -w offset-months] [-p phone] [-1] [-2] [-3] [-4] [-5 מילת מפתח] [-6 מילת מפתח] [-7 emailAddress] [-8 dns-names] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]
סדרת המספרים ו --ext* אפשרויות להגדיר הרחבות תעודות שניתן להוסיף להן
האישור כאשר הוא נוצר על ידי ה-CA. יופיעו הנחיות אינטראקטיביות.
לדוגמה, זה יוצר אישור בחתימה עצמית:
$ certutil -S -s "CN=דוגמה CA" -n my-ca-cert -x -t "C,C,C" -1 -2 -5 -m 3650
ההנחיות האינטראקטיביות לשימוש במפתח והאם תוספים כלשהם הם קריטיים ותגובות
הושמטו לקיצור.
משם, אישורים חדשים יכולים להתייחס לאישור בחתימה עצמית:
$ certutil -S -s "CN=My Server Cert" -n my-server-cert -c "my-ca-cert" -t "u,u,u" -1 -5 -6 -8 -m 730
יוצר a תעודה החל מ- a תעודה בקש
כאשר נוצרת בקשת אישור, ניתן להפיק אישור באמצעות הבקשה
ולאחר מכן הפניה לתעודת חתימה של רשות האישורים (ה מנפיק צוין ב
מה היא -c טַעֲנָה). האישור המנפיק חייב להיות במאגר האישורים ב-
ספרייה שצוינה.
certutil -C -c מנפיק -i cert-request-file -o output-file [-m serial-number] [-v valid-months] [-w offset-months] -d [sql:]ספרייה [-1] [-2] [-3] [-4] [-5 מילת מפתח] [-6 מילת מפתח] [-7 emailAddress] [-8 dns-names]
לדוגמה:
$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql:$HOME/nssdb -1 nonRepudiation,dataEncipherment -5 sslClient -6 clientAuth -7 [מוגן בדוא"ל]
רישום תעודות
אל האני -L אפשרות הפקודה מפרטת את כל האישורים הרשומים במסד הנתונים של האישורים.
הנתיב לספרייה (-d) נדרש.
$ certutil -L -d sql:/home/my/sharednssdb
כינוי לאישור תכונות אמון
SSL,S/MIME,JAR/XPI
CA Administrator of Instance Pki-ca1 דוגמה מזהה דומיין u,u,u
מזהה דומיין לדוגמה של מנהל TPS u,u,u
רשות האינטרנט של גוגל ,,
רשות אישורים - דומיין לדוגמה CT,C,C
שימוש בטיעונים נוספים עם -L יכול להחזיר ולהדפיס את המידע עבור יחיד,
תעודה ספציפית. לדוגמה, ה -n הארגומנט מעביר את שם התעודה, בעוד ה-
-a ארגומנט מדפיס את האישור בפורמט ASCII:
$ certutil -L -d sql:$HOME/nssdb -a -n my-ca-cert
----- להתחיל הסמכה -----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----- סוף הסמכה -----
לתצוגה הניתנת לקריאה על ידי אדם
$ certutil -L -d sql:$HOME/nssdb -n my-ca-cert
תעודה:
נתונים:
גרסה: 3 (0x2)
מספר סידורי: 3650 (0xe42)
אלגוריתם חתימה: PKCS #1 SHA-1 עם הצפנת RSA
מנפיק: "CN=Cample CA"
תוקף:
לא לפני: יום רביעי 13 במרץ 19:10:29 2013
לא אחרי: ה' 13 ביוני 19:10:29 2013
נושא: "CN=דוגמה CA"
מידע על מפתח ציבורי בנושא:
אלגוריתם מפתח ציבורי: הצפנת PKCS #1 RSA
מפתח ציבורי RSA:
מודולוס:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
מעריך: 65537 (0x10001)
הרחבות חתומות:
שם: סוג תעודה
נתונים: אין
שם: אילוצים בסיסיים של תעודה
נתונים: הוא CA ללא אורך נתיב מרבי.
שם: שימוש במפתח אישור
קריטי: נכון
שימושים: חתימה על תעודה
אלגוריתם חתימה: PKCS #1 SHA-1 עם הצפנת RSA
חתימה:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
טביעת אצבע (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
טביעת אצבע (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7
דגלי אמון תעודה:
דגלי SSL:
CA תקף
CA מהימן
משתמש
דגלי דוא"ל:
CA תקף
CA מהימן
משתמש
דגלי חתימה על אובייקטים:
CA תקף
CA מהימן
משתמש
רישום מפתחות
מפתחות הם החומר המקורי המשמש להצפנת נתוני אישורים. המפתחות שנוצרו עבור
אישורים מאוחסנים בנפרד, במסד הנתונים של המפתחות.
כדי לרשום את כל המפתחות במסד הנתונים, השתמש ב- -K אפשרות הפקודה והאפשרות (חובה) -d טענה
לתת את הנתיב לספרייה.
$ certutil -K -d sql:$HOME/nssdb
certutil: בודק את האסימון "NSS Certificate DB" בחריץ "NSS User Key פרטי ושירותי אישורים"
< 0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d מזהה Thawte Freemail Member's Thawte Consulting (Pty) Ltd.
< 1> rsa 40defeeb522ade11090eacebaaf1196a172127df אישור מנהל דומיין לדוגמה
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert
ישנן דרכים לצמצם את המקשים הרשומים בתוצאות החיפוש:
· כדי להחזיר מפתח מסוים, השתמש ב- -nשם טיעון עם שם המפתח.
· אם יש מספר התקני אבטחה נטענים, אז -hשם אסימון טיעון יכול
חפש אסימון ספציפי או כל האסימונים.
· אם קיימים מספר סוגי מפתחות זמינים, אזי -kסוג מפתח ארגומנט יכול לחפש א
סוג ספציפי של מפתח, כמו RSA, DSA או ECC.
רישום אבטחה מודולים
המכשירים שניתן להשתמש בהם לאחסון אישורים -- הן מסדי נתונים פנימיים והן חיצוניים
מכשירים כמו כרטיסים חכמים -- מזוהים ומשמשים על ידי טעינת מודולי אבטחה. ה -U
אפשרות הפקודה מפרטת את כל מודולי האבטחה הרשומים במסד הנתונים secmod.db. ה
נתיב לספרייה (-d) נדרש.
$ certutil -U -d sql:/home/my/sharednssdb
חריץ: שירותי מפתח פרטי ואישורים של משתמש NSS
אסימון: NSS Certificate DB
משבצת: שירותי קריפטוגרפיים פנימיים של NSS
אסימון: שירותי קריפטו כלליים של NSS
מוסיף תעודות ל מה היא מסד נתונים
ניתן להוסיף אישורים קיימים או בקשות אישורים באופן ידני לאישור
מסד נתונים, גם אם הם נוצרו במקום אחר. זה משתמש ב- -A אפשרות פקודה.
certutil -A -n certname -t trustargs -d [sql:]ספרייה [-a] [-i-input-file]
לדוגמה:
$ certutil -A -n "CN=My SSL Certificate" -t "u,u,u" -d sql:/home/my/sharednssdb -i /home/example-certs/cert.cer
אפשרות פקודה קשורה, -E, משמש במיוחד להוספת אישורי דוא"ל ל-
מסד נתונים של תעודות. ה -E לפקודה יש את אותם ארגומנטים כמו ל- -A פקודה. האמון
לארגומנטים לאישורים יש את הפורמט SSL,S/MIME,חתימת קוד, אז האמון האמצעי
ההגדרות מתייחסות בעיקר לאישורי דואר אלקטרוני (אם כי את האחרות ניתן להגדיר). לדוגמה:
$ certutil -E -n "CN=John Smith Email Cert" -t ",Pu," -d sql:/home/my/sharednssdb -i /home/example-certs/email.cer
מחיק תעודות ל מה היא מסד נתונים
ניתן למחוק אישורים ממסד נתונים באמצעות ה -D אוֹפְּצִיָה. האפשרויות היחידות הנדרשות
הם לתת את ספריית מסד הנתונים האבטחה ולזהות את כינוי האישור.
certutil -D -d [sql:]ספרייה -n "כינוי"
לדוגמה:
$ certutil -D -d sql:/home/my/sharednssdb -n "my-ssl-cert"
מאמת תעודות
אישור מכיל תאריך תפוגה בפני עצמו, ותעודות שפג תוקפן הן בקלות
נִדחֶה. עם זאת, ניתן לבטל אישורים גם לפני שהם מגיעים לתאריך התפוגה שלהם.
בדיקה אם אישור בוטל מצריך אימות של האישור.
ניתן להשתמש באימות גם כדי לוודא שהאישור משמש רק למטרות
זה הונפק בתחילה עבור. האימות מתבצע על ידי -V אפשרות פקודה.
certutil -V -n אישור-שם [-b time] [-e] [-u cert-usage] -d [sql:]ספרייה
לדוגמה, כדי לאמת אישור דוא"ל:
$ certutil -V -n "אישור הדוא"ל של ג'ון סמית' -e -u S,R -d sql:/home/my/sharednssdb
משנה תעודה סומך הגדרות
הגדרות האמון (המתייחסות לפעולות שאישור מותר לבצע
משמש עבור) ניתן לשנות לאחר יצירת אישור או הוספה למסד הנתונים. זה
שימושי במיוחד עבור תעודות CA, אך ניתן לבצע זאת עבור כל סוג של
תעודה.
certutil -M -n certificate-name -t trust-args -d [sql:]ספרייה
לדוגמה:
$ certutil -M -n "My CA Certificate" -d sql:/home/my/sharednssdb -t "CTu,CTu,CTu"
הדפסה מה היא תעודה שַׁרשֶׁרֶת
ניתן להנפיק תעודות ב שרשראות כי לכל רשות אישורים בעצמה יש א
תְעוּדָה; כאשר CA מנפיק אישור, הוא בעצם חותמת את האישור הזה
טביעת אצבע משלו. ה -O מדפיס את השרשרת המלאה של תעודה, מהראשון
CA (השורש CA) דרך CA מתווך אי פעם לאישור בפועל. למשל, עבור
אישור דוא"ל עם שני CAs בשרשרת:
$ certutil -d sql:/home/my/sharednssdb -O -n "[מוגן בדוא"ל]"
"אסימון אובייקט מובנה: Thawte Personal Freemail CA" [E=[מוגן בדוא"ל],CN=Thawte Personal Freemail CA,OU=מחלקת שירותי הסמכה,O=Thawte Consulting,L=Cape Town,ST=Western Cape,C=ZA]
"Thawte Personal Freemail Issuing CA - Thawte Consulting" [CN=Thawte Personal Freemail Issuing CA,O=Thawte Consulting (Pty) Ltd.,C=ZA]
"(null)" [E=[מוגן בדוא"ל],CN=חבר ב-Thawte Freemail]
מאפס a אסימון
המכשיר המאחסן אישורים -- הן התקני חומרה חיצוניים והן פנימיים
מסדי נתונים של תוכנה -- ניתן לריק ולעשות בהם שימוש חוזר. פעולה זו מתבצעת במכשיר
אשר מאחסן את הנתונים, לא ישירות על מסדי הנתונים האבטחה, אז המיקום חייב להיות
הפניה דרך שם האסימון (-h) וכן כל נתיב ספרייה. אם אין
נעשה שימוש באסימון חיצוני, ערך ברירת המחדל הוא פנימי.
certutil -T -d [sql:]ספרייה -h token-name -0 קצין אבטחה-סיסמה
לרשתות רבות יש צוות ייעודי שמטפל בשינויים באסימוני אבטחה (האבטחה
קָצִין). אדם זה חייב לספק את הסיסמה כדי לגשת לאסימון שצוין. לדוגמה:
$ certutil -T -d sql:/home/my/sharednssdb -h nethsm -0 סוד
שדרוג or מתמזג מה היא אבטחה מאגרי מידע
רשתות או יישומים רבים עשויים להשתמש בגרסאות BerkeleyDB ישנות יותר של האישור
מסד נתונים (cert8.db). ניתן לשדרג מסדי נתונים לגרסת SQLite החדשה של מסד הנתונים
(cert9.db) באמצעות ה- --שדרג-מיזוג אפשרות פקודה או ניתן למזג מסדי נתונים קיימים
עם מסדי הנתונים החדשים של cert9.db באמצעות ---לְמַזֵג פקודה.
אל האני --שדרג-מיזוג הפקודה חייבת לתת מידע על מסד הנתונים המקורי ולאחר מכן להשתמש
הטיעונים הסטנדרטיים (כמו -d) כדי לתת את המידע על מסדי הנתונים החדשים. ה
הפקודה דורשת גם מידע שהכלי משתמש בו לצורך השדרוג והכתיבה
מעל מסד הנתונים המקורי.
certutil --upgrade-merge -d [sql:]ספרייה [-P dbprefix] --ספריית source-dir --source-prefix dbprefix --Upgrade-id id --Upgrade-token-name [-@ password-file ]
לדוגמה:
$ certutil --upgrade-merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp- --upgrade-id 1 --upgrade-token- שם פנימי
אל האני --לְמַזֵג הפקודה דורשת רק מידע על מיקומו של מסד הנתונים המקורי;
מכיוון שהוא לא משנה את הפורמט של מסד הנתונים, הוא יכול לכתוב על מידע בלי
ביצוע שלב ביניים.
certutil --merge -d [sql:]ספרייה [-P dbprefix] --ספריית source-dir --source-prefix dbprefix [-@ password-file]
לדוגמה:
$ certutil --merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp-
ריצה certutil פקודות החל מ- a תצווה שלח
ניתן להפעיל סדרה של פקודות ברצף מקובץ טקסט עם ה -B אפשרות פקודה.
הארגומנט היחיד לכך מציין את קובץ הקלט.
$ certutil -B -i /path/to/batch-file
NSS מאגר מידע סוגי
NSS השתמש במקור בבסיסי נתונים של BerkeleyDB כדי לאחסן מידע אבטחה. הגרסאות האחרונות
של אלה מורשה מסדי נתונים הם:
· cert8.db לתעודות
· key3.db למפתחות
· secmod.db למידע על מודול PKCS #11
עם זאת, ל-BerkeleyDB יש מגבלות ביצועים שמונעות ממנו להשתמש בקלות על ידי
מספר יישומים בו זמנית. ל-NSS יש גמישות מסוימת המאפשרת ליישומים
להשתמש במנוע מסד נתונים עצמאי משלהם תוך שמירה על מסד נתונים משותף ועבודה
סביב בעיות הגישה. ובכל זאת, NSS דורש יותר גמישות כדי לספק משותף באמת
מסד נתונים אבטחה.
בשנת 2009, NSS הציגה קבוצה חדשה של מסדי נתונים שהם מסדי נתונים של SQLite ולא
BerkeleyDB. מסדי נתונים חדשים אלה מספקים יותר נגישות וביצועים:
· cert9.db לתעודות
· key4.db למפתחות
· pkcs11.txt, רשימה של כל המודולים של PKCS #11, הכלולים בספריית משנה חדשה
בספריית מסדי נתונים אבטחה
מכיוון שמסדי הנתונים של SQLite נועדו להיות משותפים, אלה הם משותף מסד נתונים
סוּג. סוג מסד הנתונים המשותף עדיף; הפורמט הישן כלול עבור אחורה
תאימות.
כברירת מחדל, הכלים (certutil, pk12util, מודול) נניח שהביטחון הנתון
מסדי נתונים עוקבים אחר הסוג המסורתי הנפוץ יותר. השימוש בבסיסי הנתונים של SQLite חייב להיות ידני
שצוין באמצעות ה- sql: קידומת עם ספריית האבטחה הנתונה. לדוגמה:
$ certutil -L -d sql:/home/my/sharednssdb
כדי להגדיר את סוג מסד הנתונים המשותף כסוג ברירת המחדל עבור הכלים, הגדר את
NSS_DEFAULT_DB_TYPE משתנה הסביבה ל- SQL:
ייצא NSS_DEFAULT_DB_TYPE="sql"
ניתן להגדיר הוספת שורה זו ל- ~ / .bashrc קובץ כדי להפוך את השינוי לצמיתות.
רוב היישומים אינם משתמשים במסד הנתונים המשותף כברירת מחדל, אך ניתן להגדיר אותם כך
להשתמש בהם. לדוגמה, מאמר זה מכסה כיצד להגדיר את Firefox ו-Thunderbird
כדי להשתמש במסדי הנתונים המשותפים החדשים של NSS:
· https://wiki.mozilla.org/NSS_Shared_DB_Howto
לטיוטה הנדסית על השינויים במסדי הנתונים המשותפים של NSS, ראה פרויקט NSS
ויקי:
· https://wiki.mozilla.org/NSS_Shared_DB
השתמש ב-certutil באופן מקוון באמצעות שירותי onworks.net
