זוהי הפקודה crlutil שניתן להפעיל בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
crlutil - רשום, צור, שנה או מחק CRLs בתוך קבצי מסד הנתונים האבטחה של NSS
ולפרט, ליצור, לשנות או למחוק ערכי אישורים ב-CRL מסוים.
תַקצִיר
crlutil [אפשרויות] [[טיעונים]]
סטָטוּס
התיעוד הזה עדיין בתהליך עבודה. אנא תרמו לסקירה הראשונית ב
מוזילה NSS באג 836477[1]
תיאור
כלי ניהול רשימת ביטולי האישורים (CRL), crlutil, הוא כלי שורת פקודה
שיכולים לרשום, ליצור, לשנות או למחוק CRL בתוך קבצי מסד הנתונים האבטחה של NSS
ולפרט, ליצור, לשנות או למחוק ערכי אישורים ב-CRL מסוים.
תהליך ניהול המפתחות והאישורים מתחיל בדרך כלל ביצירת מפתחות במפתח
מסד נתונים, ולאחר מכן יצירה וניהול של אישורים במסד הנתונים של האישורים (ראה
כלי certutil) וממשיך עם תפוגה או ביטול של אישורים.
מסמך זה דן בניהול רשימת ביטולי אישורים. למידע על
ניהול מסד נתונים של מודול אבטחה, ראה שימוש בכלי מסד הנתונים של מודול האבטחה. ל
מידע על ניהול מסד נתונים של תעודות ומפתחות, ראה שימוש במאגר התעודות
כְּלִי.
כדי להפעיל את הכלי לניהול רשימת ביטולי אישורים, הקלד את הפקודה
אפשרות crlutil [טיעונים]
כאשר אפשרויות וארגומנטים הם שילובים של האפשרויות והארגומנטים המפורטים ב-
הסעיף הבא. לכל פקודה יש אפשרות אחת. כל אפשרות עשויה לקחת אפס או יותר
טיעונים. כדי לראות מחרוזת שימוש, הפק את הפקודה ללא אפשרויות, או עם -H
אוֹפְּצִיָה.
אפשרויות ו טיעונים
אפשרויות
אפשרויות מציינות פעולה. ארגומנטים של אופציה משנים פעולה. האפשרויות והטיעונים
עבור הפקודה crlutil מוגדרים כדלקמן:
-D
מחק רשימת ביטולי אישורים ממסד הנתונים של אישורים.
-E
מחק את כל ה-CRL מהסוג שצוין ממסד הנתונים של האישורים
-G
צור רשימת ביטולי אישורים חדשה (CRL).
-I
ייבא CRL למסד הנתונים של האישורים
-L
רשום את ה-CRL הקיים בקובץ מסד הנתונים של האישור.
-M
שנה את ה-CRL הקיים שיכול להיות ממוקם ב-cert db או בקובץ שרירותי. אם נמצא
בקובץ זה צריך להיות מקודד בפורמט קידוד ASN.1.
-S
הצג תוכן של קובץ CRL שאינו מאוחסן במסד הנתונים.
טיעונים
ארגומנטים של אופציה משנים פעולה.
-a
השתמש בפורמט ASCII או אפשר את השימוש בפורמט ASCII עבור קלט ופלט. זֶה
העיצוב עוקב אחר RFC #1113.
-B
עוקף את בדיקות החתימה של CA.
-c crl-gen-file
ציין קובץ סקריפט שישמש לשליטה ביצירת/שינוי של crl. לִרְאוֹת
פורמט crl-cript-file למטה. אם נעשה שימוש באפשרויות -M|-G ו-c crl-script-file לא
שצוין, crlutil יקרא נתוני סקריפט מקלט סטנדרטי.
ספריית -d
ציין את ספריית מסד הנתונים המכילה את קבצי מסד הנתונים של התעודה והמפתח. עַל
Unix, כלי מסד הנתונים של האישורים מוגדר כברירת מחדל ל-$HOME/.netscape (כלומר, ~/.netscape).
ב-Windows NT ברירת המחדל היא הספרייה הנוכחית.
קבצי מסד הנתונים של NSS חייבים להימצא באותה ספרייה.
-f סיסמה-קובץ
ציין קובץ שיספק אוטומטית את הסיסמה שתכלול בתעודה
או כדי לגשת למסד נתונים של תעודות. זהו קובץ טקסט רגיל המכיל אחד
סיסמה. הקפד למנוע גישה לא מורשית לקובץ זה.
-i crl-file
ציין את הקובץ המכיל את ה-CRL לייבא או להצגה.
-שם אלגוריתם
ציין אלגוריתם חתימה ספציפי. רשימת אלגוריתמים אפשריים: MD2 | MD4 | MD5 |
SHA1 | SHA256 | SHA384 | SHA512
-n כינוי
ציין את הכינוי של תעודה או מפתח לרשימה, יצירה, הוספה למסד נתונים,
לשנות או לאמת. סוגר את מחרוזת הכינוי עם מרכאות אם היא מכילה
רווחים.
-o קובץ פלט
ציין את שם קובץ הפלט עבור CRL חדש. סוגר את מחרוזת קובץ הפלט עם
מרכאות אם הוא מכיל רווחים. אם ארגומנט זה אינו בשימוש הפלט
ברירת המחדל של היעד היא פלט סטנדרטי.
-P dbprefix
ציין את הקידומת המשמשת בקבצי מסד הנתונים האבטחה של NSS (לדוגמה, my_cert8.db
ו-my_key3.db). אפשרות זו ניתנת כמקרה מיוחד. שינוי השמות של
מסדי נתונים של תעודות ומפתחות אינם מומלצים.
-t crl-type
ציין סוג CRL. הסוגים האפשריים הם: 0 - SEC_KRL_TYPE, 1 - SEC_CRL_TYPE. זֶה
האפשרות מיושנת
-u כתובת אתר
ציין את כתובת האתר.
-w pwd-string
ספק סיסמת db בשורת הפקודה.
-אלגוריתם Z
ציין את אלגוריתם ה-hash לשימוש לחתימה על ה-CRL.
C.R.L. דוֹר SCRIPT תחביר
לקובץ הסקריפט ליצירת CRL יש את התחביר הבא:
* שורה עם הערות צריכה להיות # כסמל ראשון של שורה
* הגדר שדות CRL "העדכון הזה" או "העדכון הבא":
update=YYYYMMDDhhmmssZ nextupdate=YYYYMMDDhhmmssZ
שדה "העדכון הבא" הוא אופציונלי. הזמן צריך להיות בפורמט GeneralizedTime
(YYYYMMDDhhmmssZ). לדוגמה: 20050204153000Z
* הוסף הרחבה ל-CRL או לערך אישור crl:
addext extension-name קריטי/לא קריטי [arg1[arg2 ...]]
איפה:
extension-name: ערך מחרוזת של שם של הרחבות ידועות. קריטי/לא קריטי: הוא 1
כאשר ההרחבה היא קריטית ו-0 אחרת. arg1, arg2: ספציפי לסוג הרחבה
פרמטרים של הרחבה
addext משתמש בטווח שהוגדר קודם לכן על ידי addcert ויתקין הרחבה ל
כל ערכי תעודה בטווח.
* הוסף ערכי אישורים ל-CRL:
addcert טווח תאריך
טווח: שני ערכים שלמים מופרדים על ידי מקף: טווח של אישורים שיתווספו על ידי
הפקודה הזו. מקף משמש כמפריד. רק תעודה אחת תתווסף אם אין
תוחם. תאריך: תאריך ביטול של אישור. התאריך צריך להיות מיוצג ב- GeneralizedTime
פורמט (YYYYMMDDhhmmssZ).
* הסר את רשומות האישורים מ-CRL
טווח rmcert
איפה:
טווח: שני ערכים שלמים מופרדים על ידי מקף: טווח של אישורים שיתווספו על ידי
הפקודה הזו. מקף משמש כמפריד. רק תעודה אחת תתווסף אם אין
תוחם.
* שנה טווח של כניסות אישורים ב-CRL
טווח טווח חדש
איפה:
new-range: שני ערכים שלמים מופרדים על ידי מקף: טווח של אישורים שיתווספו
על ידי פקודה זו. מקף משמש כמפריד. רק תעודה אחת תתווסף אם אין
תוחם.
הרחבות מיושמות
ההרחבות שהוגדרו עבור CRL מספקות שיטות לשיוך תכונות נוספות עם
CRL של הערכים שלהם. למידע נוסף ראה RFC #3280
* הוסף את סיומת ה- Authority Key Identifier:
הרחבת מזהה מפתח הסמכות מספקת אמצעי לזיהוי המפתח הציבורי
המתאים למפתח הפרטי המשמש לחתימה על CRL.
authKeyId קריטי [key-id | dn cert-serial]
איפה:
authKeyIdent: מזהה את השם של הרחבה קריטית: ערך של 1 מתוך 0. יש להגדיר
ל-1 אם ההרחבה הזו קריטית או 0 אחרת. key-id: מזהה מפתח המיוצג ב
מיתר אוקטט. dn:: הוא שם מובחן של CA cert-serial: אישור רשות סידורי
מספר.
* הוסף סיומת שם חלופי של מנפיק:
סיומת השמות החלופיים של המנפיק מאפשרת לשייך זהויות נוספות
המנפיק של CRL. האפשרויות המוגדרות כוללות שם rfc822 (כתובת דואר אלקטרוני), א
שם DNS, כתובת IP ו-URI.
issuerAltNames רשימת שמות לא קריטית
איפה:
subjAltNames: מזהה את השם של הרחבה צריך להיות מוגדר ל-0 שכן זהו
סיומת לא קריטית name-list: רשימת שמות מופרדת בפסיקים
* הוסף סיומת מספר CRL:
מספר ה-CRL הוא הרחבה לא קריטית של CRL אשר מעבירה עלייה מונוטונית
מספר רצף עבור היקף CRL נתון ומנפיק CRL. הרחבה זו מאפשרת למשתמשים
לקבוע בקלות מתי CRL מסוים מחליף CRL אחר
crlNumber מספר לא קריטי
איפה:
crlNumber: מזהה את השם של הרחבה קריטית: יש להגדיר ל-0 שכן זהו
מספר שלוחה לא קריטי: ערך ארוך המזהה את המספר הרציף של a
CRL.
* הוסף סיומת קוד סיבת ביטול:
ה-reasonCode הוא הרחבה לא קריטית ל-CRL המזהה את הסיבה ל-
שלילת תעודה.
סיבהCode קוד לא קריטי
איפה:
reasonCode: מזהה את השם של הרחבה לא קריטית: יש להגדיר ל-0 מאז
זהו קוד הרחבה לא קריטי: הקודים הבאים זמינים:
לא צוין (0), keyCompromise (1), cACompromise (2), associationChanged (3), הוחלף
(4), cessationOfOperation (5), certificateHold (6), removeFromCRL (8), privilegeWithdrawn
(9), aACompromise (10)
* הוסף הארכת תאריך אי תוקף:
תאריך הפסילה הוא הרחבה לא קריטית להזנת CRL המספקת את התאריך שבו
ידוע או חשוד שהמפתח הפרטי נפרץ או שהאישור
אחרת הפך לפסול.
invalidityDate תאריך לא קריטי
איפה:
crlNumber: מזהה את השם של הרחבה לא קריטית: יש להגדיר ל-0 מאז זה
הוא תאריך הארכה לא קריטי: תאריך פסול של אישור. התאריך צריך להיות מיוצג ב
פורמט זמן כללי (YYYYMMDDhhmmssZ).
נוהג
היכולות של כלי ניהול רשימת ביטולי האישורים מקובצות כדלקמן,
באמצעות שילובים אלה של אפשרויות וטיעונים. אפשרויות וטיעונים בריבוע
סוגריים הם אופציונליים, אלה ללא סוגריים מרובעים נדרשים.
ראה "הרחבות מיושמות" למידע נוסף לגבי הרחבות והן
פרמטרים.
* יצירה או שינוי של CRL:
crlutil -G|-M -c crl-gen-file -n כינוי [-i crl] [-u url] [-d keydir] [-P dbprefix] [-l alg] [-a] [-B]
* רישום כל ה-CRls או CRL בשם:
crlutil -L [-n crl-name] [-d krydir]
* מחיקת CRL מ-db:
crlutil -D -n כינוי [-d keydir] [-P dbprefix]
* מחיקת CRL מ-db:
crlutil -E [-d keydir] [-P dbprefix]
* מחיקת CRL מ-db:
crlutil -D -n כינוי [-d keydir] [-P dbprefix]
* מחיקת CRL מ-db:
crlutil -E [-d keydir] [-P dbprefix]
* ייבוא CRL מהקובץ:
crlutil -I -i crl [-t crlType] [-u url] [-d keydir] [-P dbprefix] [-B]
השתמש ב- crlutil באופן מקוון באמצעות שירותי onworks.net
