crlutil - クラウドでオンライン

プログラム：

NAME

crlutil - NSS セキュリティ データベース ファイル内の CRL を一覧表示、生成、変更、または削除します。
特定の CRL 内の証明書エントリを一覧表示、作成、変更、または削除します。

SYNOPSIS

クルティル [オプション] [[引数]]

ステータス

このドキュメントはまだ進行中です。 の最初のレビューに貢献してください
モジラ NSS バグ 836477【1]

DESCRIPTION

証明書失効リスト (CRL) 管理ツール、 クルティル、コマンドラインユーティリティです
NSS セキュリティ データベース ファイル内の CRL を一覧表示、生成、変更、または削除できます。
特定の CRL 内の証明書エントリを一覧表示、作成、変更、または削除します。

キーと証明書の管理プロセスは通常、キー内にキーを作成することから始まります。
データベースを作成し、証明書データベース内で証明書を生成および管理します(「
certutil ツール)、証明書の有効期限または失効を続行します。

この文書では、証明書失効リストの管理について説明します。 詳細については、
セキュリティ モジュール データベースの管理については、「セキュリティ モジュール データベース ツールの使用」を参照してください。 ために
証明書と鍵データベースの管理については、「証明書データベースの使用」を参照してください。
ツール。

証明書失効リスト管理ツールを実行するには、次のコマンドを入力します。

crlutil オプション [引数]

ここで、オプションと引数は、
次のセクション。 各コマンドには XNUMX つのオプションがあります。 各オプションには XNUMX 個以上の値を指定できます
引数。 使用法文字列を表示するには、オプションを指定せずにコマンドを実行するか、-H を指定してコマンドを発行します。
オプションを選択します。

OPTIONS そして 議論

オプション

オプションはアクションを指定します。 オプション引数はアクションを変更します。 オプションと引数
crlutil コマンドの場合は次のように定義されます。

-D
証明書失効リストを証明書データベースから削除します。

-E
指定されたタイプのすべての CRL を証明書データベースから消去します

-G
新しい証明書失効リスト (CRL) を作成します。

-I
CRL を証明書データベースにインポートする

-L
証明書データベース ファイルにある既存の CRL を一覧表示します。

-M
cert db または任意のファイルにある既存の CRL を変更します。 見つかった場合
ファイルでは、ASN.1 エンコード形式でエンコードする必要があります。

-S
データベースに保存されていない CRL ファイルの内容を表示します。

Arguments

オプション引数はアクションを変更します。

-a
ASCII 形式を使用するか、入出力に ASCII 形式の使用を許可します。 これ
フォーマットは RFC #1113 に従います。

-B
CA 署名チェックをバイパスします。

-c crl-gen-ファイル
crlの生成/変更を制御するために使用するスクリプトファイルを指定します。 見る
以下の crl-cript-file 形式。 オプション -M|-G が使用され、-c crl-script-file が使用されない場合
指定すると、crlutil は標準入力からスクリプト データを読み取ります。

-dディレクトリ
証明書と鍵データベース ファイルを含むデータベース ディレクトリを指定します。 の上
Unix の場合、証明書データベース ツールのデフォルトは $HOME/.netscape (つまり、 ~/.netscape).
Windows NT では、デフォルトは現在のディレクトリです。

NSS データベース ファイルは同じディレクトリに存在する必要があります。

-fパスワードファイル
証明書に含めるパスワードを自動的に提供するファイルを指定します
または証明書データベースにアクセスします。 これはXNUMXつを含むプレーンテキストファイルです
パスワード。 このファイルへの不正アクセスを防止してください。

-i crlファイル
インポートまたは表示する CRL を含むファイルを指定します。

-l アルゴリズム名
特定の署名アルゴリズムを指定します。 可能なアルゴリズムのリスト: MD2 | MD4 | MD5 |
SHA1 | SHA256 | SHA384​​512 | SHAXNUMX

-nニックネーム
リスト、作成、データベースへの追加を行う証明書またはキーのニックネームを指定し、
変更または検証します。 ニックネームの文字列が含まれている場合は、引用符で囲みます
スペース

-o出力ファイル
新しい CRL の出力ファイル名を指定します。 出力ファイルの文字列を次のように括弧で囲みます。
スペースが含まれる場合は引用符で囲みます。 この引数が使用されない場合、出力は
出力先のデフォルトは標準出力です。

-P データベースプレフィックス
NSS セキュリティ データベース ファイルで使用されるプレフィックスを指定します (例: my_cert8.db)
および my_key3.db)。 このオプションは特別なケースとして提供されます。 の名前を変更する
証明書および鍵データベースの使用は推奨されません。

-t crl タイプ
CRLの種類を指定します。 可能なタイプは次のとおりです: 0 - SEC_KRL_TYPE、1 - SEC_CRL_TYPE。 これ
オプションは廃止されました

-u URL
URLを指定します。

-w pwd 文字列
コマンドラインで db パスワードを指定します。

-Zアルゴリズム
CRL の署名に使用するハッシュ アルゴリズムを指定します。

CRL GENERATION SCRIPT 構文

CRL 生成スクリプト ファイルの構文は次のとおりです。

* コメントのある行には、行の最初の記号として # が必要です

* 「今回の更新」または「次の更新」の CRL フィールドを設定します。

update=YYYYMMDDhhmmssZ nextupdate=YYYYMMDDhhmmssZ

「次回更新」フィールドはオプションです。 時間は GeneralizedTime 形式である必要があります
(YYYYMMDDhhmmssZ)。 例: 20050204153000Z

* CRL または crl 証明書エントリに拡張子を追加します。

addext 拡張子名 クリティカル/非クリティカル [arg1[arg2 ...]]

どこ：

extension-name: 既知の拡張子の名前の文字列値。 クリティカル/非クリティカル: は 1
拡張が重要な場合は 0、それ以外の場合は 1。 arg2、argXNUMX: 拡張タイプに固有
拡張パラメータ

addext は、addcert によって以前に設定された範囲を使用し、拡張機能を次の場所にインストールします。
範囲内のすべての証明書エントリ。

* CRL に証明書エントリを追加します。

証明書範囲の日付を追加

範囲: ダッシュで区切られた XNUMX つの整数値: によって追加される証明書の範囲
このコマンド。 ダッシュは区切り文字として使用されます。 証明書がない場合は、証明書が XNUMX つだけ追加されます
デリミタ。 date: 証明書の失効日。 日付はGeneralizedTimeで表される必要があります
形式 (YYYYMMDDhhmmssZ)。

* CRL から証明書エントリを削除します

rmcert 範囲

どこ：

範囲: ダッシュで区切られた XNUMX つの整数値: によって追加される証明書の範囲
このコマンド。 ダッシュは区切り文字として使用されます。 証明書がない場合は、証明書が XNUMX つだけ追加されます
デリミタ。

* CRL の証明書エントリの範囲を変更します

範囲 新しい範囲

どこ：

new-range: ダッシュで区切られた XNUMX つの整数値: 追加される証明書の範囲
このコマンドによって。 ダッシュは区切り文字として使用されます。 証明書がない場合は、証明書が XNUMX つだけ追加されます
デリミタ。

実装された拡張機能

CRL 用に定義された拡張機能は、追加の属性を関連付けるメソッドを提供します。
エントリの CRL。 詳細については、RFC #3280 を参照してください。

* Authority Key Identifier 拡張機能を追加します。

権限キー識別子拡張機能は、公開キーを識別する手段を提供します。
CRL の署名に使用される秘密キーに対応します。

authKeyId クリティカル [キー ID | dn証明書シリアル]

どこ：

authKeyIdent: 拡張機能の名前を識別します。 crity: 1 の 0 の値。設定する必要があります。
この拡張機能がクリティカルな場合は 1、それ以外の場合は 0。 key-id: で表されるキー識別子
オクテット文字列。 dn:: は CA 識別名です。 cert-serial: 機関証明書シリアル
数。

* 発行者の代替名拡張子を追加:

発行者の代替名拡張機能を使用すると、追加の ID を関連付けることができます。
CRL の発行者。 定義されたオプションには、rfc822 名 (電子メール アドレス)、
DNS 名、IP アドレス、および URI。

issuerAltNames の非クリティカルな名前リスト

どこ：

subjAltNames: 拡張機能の名前を 0 に設定する必要があることを示します。
非クリティカル拡張子の名前リスト: カンマで区切られた名前のリスト

* CRL 番号拡張を追加:

CRL 番号は、単調増加を伝える非クリティカルな CRL 拡張です。
特定の CRL スコープと CRL 発行者のシーケンス番号。 この拡張機能により、ユーザーは次のことが可能になります
特定の CRL が別の CRL に優先する時期を簡単に判断できます

crlNumber 非クリティカルな番号

どこ：

crlNumber: 拡張機能の名前を識別します。 critical: これは 0 に設定する必要があります。
非クリティカル内線番号: 拡張子の連続番号を識別するlongの値。
CRL。

* 失効理由コード拡張子を追加:

reasonCode は、次の理由を識別する非クリティカルな CRL エントリ拡張です。
証明書の失効。

reasonCode 非クリティカルコード

どこ：

reasonCode: 拡張機能の名前を識別します。 non-critical: 0 に設定する必要があります。
これは重要ではない拡張コードです。次のコードが利用可能です。

未指定 (0)、keyCompromise (1)、cACompromise (2)、affiliationChanged (3)、置き換えられました
(4)、CessationOfOperation (5)、certificateHold (6)、removeFromCRL (8)、privilegeWithdrawn
(9)、aA妥協 (10)

* 無効日延長を追加:

無効日は、無効となる日付を提供する非クリティカルな CRL エントリ拡張です。
秘密鍵が侵害された、または証明書が侵害されたことが知られているか、疑われている場合
それ以外の場合は無効になります。

validationDate 非クリティカルな日付

どこ：

crlNumber: 拡張機能の名前を識別します。 non-critical: これは 0 に設定する必要があります。
重要ではない延長日: 証明書の無効日です。 日付は次の形式で表す必要があります
GeneralizedTime 形式 (YYYYMMDDhhmmssZ)。

USAGE

証明書失効リスト管理ツールの機能は次のようにグループ化されています。
これらのオプションと引数の組み合わせを使用します。 四角のオプションと引数
角括弧はオプションですが、角括弧のないものは必須です。

拡張機能とその詳細については、「実装された拡張機能」を参照してください。
パラメーター。

* CRL の作成または変更:

crlutil -G|-M -c crl-gen-file -n ニックネーム [-i crl] [-u url] [-d keydir] [-P dbprefix] [-l alg] [-a] [-B]

* すべての CRL または名前付き CRL をリストする:

crlutil -L [-n crl-name] [-d krydir]

* DB から CRL を削除:

crlutil -D -n ニックネーム [-d keydir] [-P dbprefix]

* データベースから CRL を消去:

crlutil -E [-d キーディレクトリ] [-P dbprefix]

* DB から CRL を削除:

crlutil -D -n ニックネーム [-d keydir] [-P dbprefix]

* データベースから CRL を消去:

crlutil -E [-d キーディレクトリ] [-P dbprefix]

* CRL をファイルからインポートします:

crlutil -I -i crl [-t crlType] [-u url] [-d keydir] [-P dbprefix] [-B]

onworks.net サービスを使用してオンラインで crlutil を使用する