cassl - クラウドでオンライン

プログラム：

NAME

ca - 最小限の CA アプリケーションのサンプル

SYNOPSIS

opensslの ca [-詳細] [-config ファイル名] [-名前 ] [-gencrl] [-取り消す file] [-状態
シリアル] [-updateddb] [-crl_reason 理由] [-crl_hold 命令] [-crl_妥協 時間]
[-crl_CA_妥協 時間] [-crldays 日] [-crl時間 時] [-クレクス ] [-開始日
date] [-終了日 date] [-日々 argは] [-md argは] [-ポリシー argは] [-キーファイル argは] [-キーフォーム
PEM | DER] [-キー argは] [-パスイン argは] [-証​​明書 file] [-自己署名] [-に file] [-でる file]
[-ノーテキスト] [-outdir DIR] [-infiles] [-spkac file] [-ss_cert file] [-preserveDN]
[-noemailDN] [-バッチ] [-msie_hack] [-拡張機能 ] [-extfile ] [-エンジン id]
[-件名 argは] [-utf8] [-複数値-rdn]

DESCRIPTION

　 ca コマンドは最小限の CA アプリケーションです。 証明書要求に署名するために使用できます
さまざまなフォームと CRL を生成し、発行済みのテキスト データベースも維持します。
証明書とそのステータス。

オプションの説明は、目的ごとに分かれています。

CA OPTIONS

-config ファイル名
使用する構成ファイルを指定します。

-名前
使用する構成ファイルのセクションを指定します (オーバーライド デフォルト_ca セクションに ca
セクション）。

-に ファイル名
CA によって署名される単一の証明書要求を含む入力ファイル名。

-ss_cert ファイル名
CA によって署名される単一の自己署名証明書。

-spkac ファイル名
単一の Netscape 署名付き公開鍵とチャレンジおよび追加の
CA によって署名されるフィールド値。 を参照してください SPKAC FORMAT に関する情報のセクション
必要な入力および出力形式。

-infiles
存在する場合、これは最後のオプションである必要があり、後続のすべての引数は
証明書要求を含むファイルの名前。

-でる ファイル名
証明書を出力する出力ファイル。 デフォルトは標準出力です。 の
証明書の詳細もこのファイルに PEM 形式で出力されます (ただし、
-spkac DER 形式で出力します)。

-outdir ディレクトリにジョブを開始します。
証明書を出力するディレクトリ。 証明書はファイル名に書き込まれます
「.pem」が追加された XNUMX 進数のシリアル番号で構成されます。

-証​​明書
CA 証明書ファイル。

-キーファイル ファイル名
リクエストに署名するための秘密鍵。

-キーフォーム PEM | DER
秘密鍵ファイル内のデータの形式。 デフォルトは PEM です。

-キー password
秘密鍵の暗号化に使用されるパスワード。 一部のシステムではコマンドライン
引数が表示される (例: 'ps' ユーティリティを使用する Unix) このオプションを使用する必要があります
慎重に。

-自己署名
発行された証明書が鍵で署名されることを示します 証明書
リクエストは署名されました (で与えられます -キーファイル）。 で署名された証明書要求
異なるキーは無視されます。 もしも -spkac, -ss_cert or -gencrl 与えられ、 -自己署名 is
無視されます。

使用の結果 -自己署名 自己署名証明書が
証明書データベースのエントリ (構成オプションを参照) データベース)、および用途
自己署名で署名する他のすべての証明書と同じシリアル番号カウンター
証明書。

-パスイン argは
キーパスワードソース。 のフォーマットの詳細については、 argは 見る パス
フレーズ 議論 のセクション opensslのとします。

-詳細
これにより、実行中の操作に関する追加の詳細が出力されます。

-ノーテキスト
テキスト形式の証明書を出力ファイルに出力しないでください。

-開始日 date
これにより、開始日を明示的に設定できます。 日付のフォーマットは
YYMMDDHHMMSSZ (ASN1 UTCTime 構造体と同じ)。

-終了日 date
これにより、有効期限を明示的に設定できます。 日付のフォーマットは
YYMMDDHHMMSSZ (ASN1 UTCTime 構造体と同じ)。

-日々 argは
証明書を証明する日数。

-md ALG
使用するメッセージ ダイジェスト。 可能な値には、md5、sha1、および mdc2 が含まれます。 このオプション
CRL にも適用されます。

-ポリシー argは
このオプションは、使用する CA の「ポリシー」を定義します。 これは設定のセクションです
どのフィールドが必須であるか、または CA 証明書と一致するかを決定するファイル。 チェック
外に ポリシー FORMAT 詳細については、セクションを参照してください。

-msie_hack
これは作るためのレガシーオプションです ca 非常に古いバージョンの IE 証明書で動作する
登録制御「certenr3」。 ほとんどすべてに UniversalStrings を使用しました。 以来
古いコントロールにはさまざまなセキュリティ バグがあるため、使用しないことを強くお勧めします。 より新しい
コントロール "Xenroll" には、このオプションは必要ありません。

-preserveDN
通常、証明書の DN の順序は、
関連するポリシー セクション。 このオプションが設定されている場合、順序はリクエストと同じです。
これは主に、古い IE 登録コントロールとの互換性のためです。
DN が要求の順序と一致する場合にのみ、証明書を受け入れます。 これではありません
Xenroll に必要です。

-noemailDN
要求 DN に存在する場合、証明書の DN に EMAIL フィールドを含めることができます。
ただし、電子メールを altName 拡張子に設定するのは良いポリシーです。
証明書。 このオプションが設定されている場合、EMAIL フィールドは証明書から削除されます。
件名であり、最終的に存在する拡張子にのみ設定されます。 の email_in_dn キーワード
構成ファイルで使用して、この動作を有効にすることができます。

-バッチ
これにより、バッチ モードが設定されます。 このモードでは、質問は行われず、すべての証明書が表示されます
自動的に認定されます。

-拡張機能
追加する証明書拡張を含む構成ファイルのセクション
証明書が発行されたとき (デフォルトは x509_extensions を除いて -extfile オプション
使用されている）。 拡張セクションが存在しない場合は、V1 証明書が作成されます。 もし
extension セクションが存在する場合 (空の場合でも)、V3 証明書が作成されます。
参照:w x509v3_config(5) 拡張セクション形式の詳細については、man ページ。

-extfile file
証明書の拡張子を読み取るための追加の構成ファイル (
デフォルトのセクション -拡張機能 オプションも使用されます）。

-エンジン id
エンジンの指定（その固有の方法による） id 文字列）が発生します ca 取得を試みる
指定されたエンジンへの機能参照。したがって、必要に応じてエンジンを初期化します。 ザ
エンジンは、使用可能なすべてのアルゴリズムのデフォルトとして設定されます。

-件名 argは
リクエストで指定された件名に取って代わります。 引数は次のようにフォーマットする必要があります
/type0=value0/type1=value1/type2=...、文字は \ (バックスラッシュ) でエスケープできます。いいえ
スペースはスキップされます。

-utf8
このオプションにより、フィールド値が UTF8 文字列として解釈されます。デフォルトでは、
ASCII として解釈されます。 これは、フィールド値が、
ターミナルまたは構成ファイルから取得したものは、有効な UTF8 文字列でなければなりません。

-複数値-rdn
このオプションにより、-subj 引数が解釈され、完全にサポートされます。
多値RDN。 例：

/DC=org/DC=OpenSSL/DC=users/UID=123456+CN=ジョン ドウ

-multi-rdn が使用されていない場合、UID 値は 123456+CN=ジョン ドウ.

CRL OPTIONS

-gencrl
このオプションは、インデックス ファイルの情報に基づいて CRL を生成します。

-crldays NUM
次の CRL の期日までの日数。 それが今からの日々
CRL の nextUpdate フィールド。

-crl時間 NUM
次の CRL の期限までの時間数。

-取り消す ファイル名
取り消す証明書を含むファイル名。

-状態 シリアル
指定されたシリアル番号の証明書の失効ステータスを表示し、
終了します。

-updateddb
データベース インデックスを更新して、期限切れの証明書を削除します。

-crl_reason 理由
取消理由、どこで 理由 の一つであります： 不特定, キー侵害, CA侵害,
所属変更, 置き換えられました, 操作の停止, 証明書保持 or
CRL から削除. のマッチング 理由 大文字と小文字を区別しません。 失効の設定
理由により、CRL v2 が作成されます。

実際に CRL から削除 デルタでのみ使用されるため、特に有用ではありません
現在実装されていない CRL。

-crl_hold 命令
これにより、CRL 失効理由コードが 証明書保持 とホールド命令
〜へ 命令 これは OID でなければなりません。 任意の OID のみを使用できますが、
ホールド指示なし (その使用は RFC2459 によって推奨されていません)
ホールド命令コール発行者 or 保留命令拒否 通常使用されます。

-crl_妥協 時間
これにより、失効理由が キー侵害 そして妥協の時 時間. 時間
GeneralizedTime 形式である必要があります。 YYYYMMDDHHMMSSZ.

-crl_CA_妥協 時間
これはと同じです crl_妥協 ただし、失効理由がに設定されています
CA侵害.

-クレクス
含める CRL 拡張を含む構成ファイルのセクション。 CRLがない場合
拡張セクションが存在する場合、CRL 拡張セクションが存在する場合、V1 CRL が作成されます。
存在する場合 (空であっても)、V2 CRL が作成されます。 指定された CRL 拡張機能
CRL 拡張であり、 CRL エントリ拡張。 いくつかの点に注意する必要があります
ソフトウェア (Netscape など) は V2 CRL を処理できません。 見る x509v3_config(5) マニュアルページ
拡張セクションのフォーマットの詳細については、 を参照してください。

CONFIGURATION FILE OPTIONS

オプションを含む構成ファイルのセクション ca は次のように求められます。
　 -名前 コマンド ライン オプションを使用すると、使用するセクションに名前が付けられます。 そうでなければ、
使用するセクションは、 デフォルト_ca オプションの ca のセクション
構成ファイル (または構成ファイルのデフォルト セクション)。 そのほか
デフォルト_ca、次のオプションはから直接読み取られます ca セクション：
RANDFILE 保存
msie_hack を除いて ランドファイル、これはおそらくバグであり、将来変更される可能性があります
リリース。

構成ファイル オプションの多くは、コマンド ライン オプションと同じです。 どこ
オプションは構成ファイルにあり、コマンドラインの値は
使用済み。 オプションが必須であると説明されている場合、それは
構成ファイルまたは同等のコマンド ライン (存在する場合) が使用されます。

oid_file
これは、追加を含むファイルを指定します 目的 識別子. ファイルの各行
オブジェクト識別子の数値形式とそれに続く空白で構成される必要があります
次に短い名前の後に空白が続き、最後に長い名前が続きます。

oid_セクション
これは、余分なオブジェクトを含む構成ファイルのセクションを指定します
識別子。 各行は、オブジェクト識別子の短い名前で構成する必要があります
続い = そして数値形式。 この場合、短い名前と長い名前は同じです。
オプションが使用されます。

新しい証明書ディレクトリ
と同じ -outdir コマンドラインオプション。 新しいディレクトリを指定します
証明書が配置されます。 必須。

証明書
と同じ -証​​明書. CA 証明書を含むファイルを提供します。 必須。

秘密鍵
と同じ -キーファイル オプション。 CA 秘密鍵を含むファイル。 必須。

ランドファイル
乱数シード情報の読み取りと書き込みに使用されるファイル、または EGD ソケット (を参照)
RAND_egd（3））。

デフォルト日
と同じ -日々 オプション。 証明書を証明する日数。

デフォルトの開始日
と同じ -開始日 オプション。 証明書を認定する開始日。 そうでない場合
現在の時刻を使用するように設定します。

デフォルトの終了日
と同じ -終了日 オプション。 このオプションまたは デフォルト日 (またはコマンド
行に相当するもの) が存在する必要があります。

デフォルト_crl_時間 デフォルト_crl_days
と同じ -crl時間 と -crldays オプション。 これらは、どちらでもない場合にのみ使用されます
コマンド ライン オプションが存在します。 を生成するには、これらの少なくとも XNUMX つが存在する必要があります。
CRL。

デフォルト_md
と同じ -md オプション。 使用するメッセージ ダイジェスト。 必須。

データベース
使用するテキスト データベース ファイル。 必須。 このファイルは最初に存在する必要があります
空になります。

unique_subject
値が はい が指定されている場合、データベース内の有効な証明書エントリには、
ユニークな科目。 値の場合 いいえ が与えられた場合、いくつかの有効な証明書エントリが含まれる場合があります。
まったく同じ主題。 デフォルト値は はい、古いものと互換性を持たせるために (pre
0.9.8) バージョンの OpenSSL。 ただし、CA 証明書のロールオーバーを簡単にするために、
値を使用することをお勧めします いいえ、特に -自己署名 command
ラインオプション。

シリアル
XNUMX 進数で使用する次のシリアル番号を含むテキスト ファイル。 必須。 このファイル
が存在し、有効なシリアル番号が含まれている必要があります。

証明書番号
XNUMX 進数で使用する次の CRL 番号を含むテキスト ファイル。 Crl番号は
このファイルが存在する場合にのみ、CRL に挿入されます。 このファイルが存在する場合は、
有効な CRL 番号が含まれています。

x509_extensions
と同じ -拡張機能.

crl_extensions
と同じ -クレクス.

保存する
と同じ -preserveDN

email_in_dn
と同じ -noemailDN. の DN から EMAIL フィールドを削除する場合は、
証明書は単にこれを「いいえ」に設定します。 存在しない場合、デフォルトでは、
証明書の DN にファイルされた EMAIL。

msie_hack
と同じ -msie_hack

方針
と同じ -ポリシー. 必須。 を参照してください ポリシー FORMAT 詳細については、セクションを参照してください。

名前の選択, cert_opt
これらのオプションにより、証明書の詳細を表示するために使用される形式が許可されます。
ユーザーが署名を確認します。 でサポートされているすべてのオプション x509 公益事業 -nameopt &
-certopt スイッチはここで使用できますが、 no_signname & no_sigdump 　
永続的に設定され、無効にすることはできません (これは、証明書の署名が
この時点では証明書が署名されていないため、表示できません)。

便宜上、値 ca_デフォルト 両方によって受け入れられ、合理的な
出力。

どちらのオプションも存在しない場合、以前のバージョンの OpenSSL で使用されていた形式が使用されます。
古い形式の使用は、 強く フィールドしか表示しないのでお勧めできません
で述べた 方針 セクションでは、複数文字の文字列型を誤って処理しており、
拡張機能を表示します。

コピー拡張子
証明書要求の拡張をどのように処理するかを決定します。 に設定した場合 なし
またはこのオプションが存在しない場合、拡張子は無視され、
証明書。 に設定した場合 copy 次に、リクエストに含まれていない拡張子があれば、
すでに存在するものは証明書にコピーされます。 に設定した場合 コピーオール その後、すべての拡張子
要求内の証明書にコピーされます: 拡張子が既に存在する場合
証明書が最初に削除されます。 を参照してください 警告 これを使用する前のセクション
オプションを選択します。

このオプションの主な用途は、証明書要求が値を提供できるようにすることです。
subjectAltName などの特定の拡張子。

ポリシー FORMAT

ポリシー セクションは、証明書の DN フィールドに対応する一連の変数で構成されます。
値が「一致」の場合、フィールド値は CA の同じフィールドと一致する必要があります
証明書。 値が「指定」されている場合は、存在する必要があります。 値が
「オプション」の場合、存在する場合があります。 ポリシー セクションに記載されていないフィールドは、
次の場合を除き、サイレントに削除されます。 -preserveDN オプションが設定されていますが、これはより多くのことと見なすことができます
意図した動作よりも奇妙です。

SPKAC FORMAT

への入力 -spkac コマンド ライン オプションは、Netscape 署名付き公開鍵とチャレンジです。
これは通常、 キーゲン タグを HTML フォームに追加して、新しい秘密鍵を作成します。
ただし、を使用して SPKAC を作成することは可能です。 スペカック ユーティリティ。

ファイルには、SPKAC の値に設定された変数 SPKAC と、
名前と値のペアとして必要な DN コンポーネント。 同じコンポーネントを含める必要がある場合
XNUMX 回の場合、前に数字と「.」を付けることができます。

SPKAC フォーマットを処理する場合、出力は DER です。 -でる フラグが使用されますが、PEM 形式
stdout または -outdir フラグが使用されます。

例

注: これらの例では、 ca ディレクトリ構造はすでに設定されており、
関連するファイルが既に存在します。 これには通常、CA 証明書とプライベート 証明書の作成が含まれます。
キー付き 必須、シリアル番号ファイル、および空のインデックス ファイルを作成し、それらを
関連するディレクトリ。

ディレクトリ demoCA、demoCA/private、およびディレクトリの下にあるサンプル構成ファイルを使用するには
demoCA/newcerts が作成されます。 CA 証明書は demoCA/cacert.pem にコピーされます。
およびその秘密鍵を demoCA/private/cakey.pem にコピーします。 ファイル demoCA/serial が作成されます
たとえば、「01」と空のインデックス ファイル demoCA/index.txt が含まれます。

証明書要求に署名します。

openssl ca -in req.pem -out newcert.pem

CA 拡張機能を使用して、証明書要求に署名します。

openssl ca -in req.pem -extensions v3_ca -out newcert.pem

CRL を生成する

openssl ca -gencrl -out crl.pem

いくつかのリクエストに署名します:

openssl ca -infiles req1.pem req2.pem req3.pem

Netscape SPKAC を認定します。

openssl ca -spkac spkac.txt

サンプル SPKAC ファイル (わかりやすくするために、SPKAC 行は省略されています):

SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN=スティーブ・テスト
メールアドレス=[メール保護]
0.OU=OpenSSL グループ
1.OU=別のグループ

の関連セクションを含むサンプル構成ファイル ca:

[約]
default_ca = CA_default # デフォルトの ca セクション

[ CA_デフォルト ]

dir = ./demoCA # トップディレクトリ
database = $dir/index.txt # インデックス ファイル。
new_certs_dir = $dir/newcerts # 新しい証明書ディレクトリ

certificate = $dir/cacert.pem # CA 証明書
serial = $dir/serial # シリアル no file
private_key = $dir/private/cakey.pem# CA 秘密鍵
RANDFILE = $dir/private/.rand # 乱数ファイル

default_days = 365 # 認定までの期間
default_crl_days= 30 # 次の CRL までの時間
default_md = md5 # 使用する md

policy = policy_any # デフォルト ポリシー
email_in_dn = no # 電子メールを証明書 DN に追加しない

name_opt = ca_default # サブジェクト名表示オプション
cert_opt = ca_default # 証明書表示オプション
copy_extensions = none # リクエストから拡張子をコピーしない

[ポリシー_任意]
countryName = 提供
stateOrProvinceName = オプション
組織名 = オプション
organizationUnitName = オプション
commonName = 提供
emailAddress = オプション

onworks.net サービスを使用してオンラインで cassl を使用する