cassl - 클라우드 온라인

프로그램:

이름

ca - 샘플 최소 CA 애플리케이션

개요

하려면 openssl ca [-말 수가 많은] [-구성 파일 이름] [-이름 섹션에 있어야 합니다.] [-gencrl] [-취소 파일] [-상태
일련의] [-업데이트db] [-crl_이유 이유] [-crl_hold 교수] [-crl_compromise 시간]
[-crl_CA_compromise 시간] [-crldays 일] [-crl시간 시간] [-crlexts 섹션에 있어야 합니다.] [-시작일
데이터] [-종료일 데이터] [-일 아르헨티나] [-md 아르헨티나] [-정책 아르헨티나] [-키파일 아르헨티나] [-키폼
펨|더] [-키 아르헨티나] [-패신 아르헨티나] [-인증서 파일] [-자체 서명] [~에서 파일] [-아웃 파일]
[-텍스트 없음] [-outdir DIR] [-파일] [-spkac 파일] [-ss_cert 파일] [- 보존DN]
[-noemailDN] [-일괄] [-msie_hack] [-확장 섹션에 있어야 합니다.] [-extfile 섹션에 있어야 합니다.] [-엔진 id]
[-제목 아르헨티나] [-utf8] [-다중값-rdn]

기술

XNUMXD덴탈의 ca command는 최소 CA 애플리케이션입니다. 인증서 요청에 서명하는 데 사용할 수 있습니다.
다양한 형태의 CRL을 생성하고 발행된 텍스트 데이터베이스를 유지합니다.
인증서 및 상태.

옵션 설명은 각 목적별로 구분됩니다.

CA 옵션

-구성 파일 이름
사용할 구성 파일을 지정합니다.

-이름 섹션에 있어야 합니다.
사용할 구성 파일 섹션을 지정합니다(재정의 default_ca FBI 증오 범죄 보고서 ca
섹션).

~에서 파일 이름
CA가 서명할 단일 인증서 요청을 포함하는 입력 파일 이름.

-ss_cert 파일 이름
CA가 서명할 단일 자체 서명 인증서.

-spkac 파일 이름
단일 Netscape 서명 공개 키와 챌린지 및 추가 정보를 포함하는 파일
CA에서 서명할 필드 값입니다. 참조 SPKAC FORMAT 에 대한 정보 섹션
필요한 입력 및 출력 형식.

-파일
존재하는 경우 이것이 마지막 옵션이어야 하며 모든 후속 인수는
인증서 요청을 포함하는 파일의 이름.

-아웃 파일 이름
인증서를 출력할 출력 파일. 기본값은 표준 출력입니다. 그만큼
인증서 세부 정보도 이 파일에 PEM ​​형식으로 인쇄됩니다(단,
-spkac 출력 DER 형식).

-outdir 예배 규칙서
인증서를 출력할 디렉터리입니다. 인증서는 파일 이름에 기록됩니다.
".pem"이 추가된 XNUMX진수 일련 번호로 구성됩니다.

-인증서
CA 인증서 파일.

-키파일 파일 이름
요청에 서명하는 개인 키.

-키폼 펨|더
개인 키 파일의 데이터 형식. 기본값은 PEM입니다.

-키 암호
개인 키를 암호화하는 데 사용되는 암호입니다. 일부 시스템에서는 명령줄이
인수가 표시됩니다(예: 'ps' 유틸리티가 있는 Unix). 이 옵션을 사용해야 합니다.
조심해서.

-자체 서명
발급된 인증서가 인증서 키로 서명됨을 나타냅니다.
요청은 다음으로 서명되었습니다(주어진 -키파일). 로 서명된 인증서 요청
다른 키는 무시됩니다. 만약에 -spkac, -ss_cert or -gencrl 주어진다, -자체 서명 is
무시되었습니다.

사용의 결과 -자체 서명 자체 서명된 인증서가
인증서 데이터베이스의 항목(구성 옵션 참조 데이터베이스) 및 용도
다른 모든 인증서와 동일한 일련 번호 카운터가 자체 서명된
증명서.

-패신 아르헨티나
키 암호 소스. 형식에 대한 자세한 내용은 아르헨티나 ~을 보아라. PASS
구 인수 ~의 섹션 하려면 openssl(1).

-말 수가 많은
수행 중인 작업에 대한 추가 세부 정보를 인쇄합니다.

-텍스트 없음
인증서의 텍스트 형식을 출력 파일에 출력하지 마십시오.

-시작일 데이터
이렇게 하면 시작 날짜를 명시적으로 설정할 수 있습니다. 날짜 형식은
YYMMDDHHMMSSZ(ASN1 UTCTime 구조와 동일).

-종료일 데이터
이렇게 하면 만료 날짜를 명시적으로 설정할 수 있습니다. 날짜 형식은
YYMMDDHHMMSSZ(ASN1 UTCTime 구조와 동일).

-일 아르헨티나
인증서를 인증할 일 수입니다.

-md ALG
사용할 메시지 다이제스트. 가능한 값에는 md5, sha1 및 mdc2가 포함됩니다. 이 옵션
CRL에도 적용됩니다.

-정책 아르헨티나
이 옵션은 사용할 CA "정책"을 정의합니다. 이것은 구성의 섹션입니다.
필수 필드 또는 CA 인증서와 일치해야 하는 필드를 결정하는 파일입니다. 확인하다
아웃 갱신 FORMAT 자세한 내용은 섹션을 참조하십시오.

-msie_hack
이것은 레거시 옵션입니다. ca 매우 오래된 버전의 IE 인증서로 작업
등록 제어 "certenr3". 거의 모든 것에 UniversalStrings를 사용했습니다. 부터
이전 컨트롤에는 다양한 보안 버그가 있으므로 사용을 강력히 권장하지 않습니다. 최신
컨트롤 "Xenroll"에는 이 옵션이 필요하지 않습니다.

- 보존DN
일반적으로 인증서의 DN 순서는 인증서의 필드 순서와 동일합니다.
관련 정책 섹션. 이 옵션을 설정하면 순서가 요청과 동일합니다.
이것은 주로 이전 IE 등록 컨트롤과의 호환성을 위한 것입니다.
DN이 요청 순서와 일치하는 경우에만 인증서를 수락합니다. 이것은 아니다
Xenroll에 필요합니다.

-noemailDN
인증서의 DN은 요청 DN에 있는 경우 EMAIL 필드를 포함할 수 있습니다.
그러나 전자 메일을 altName 확장명으로 설정하는 것이 좋은 정책입니다.
자격증. 이 옵션을 설정하면 EMAIL 필드가 인증서에서 제거됩니다.
궁극적으로 존재하는 확장에만 주제와 세트가 있습니다. 그만큼 email_in_dn 키워드는
이 동작을 활성화하기 위해 구성 파일에서 사용할 수 있습니다.

-일괄
배치 모드를 설정합니다. 이 모드에서는 질문이 없으며 모든 인증서가
자동으로 인증됩니다.

-확장 섹션에 있어야 합니다.
추가할 인증서 확장을 포함하는 구성 파일의 섹션
인증서가 발급될 때(기본값은 x509_확장 그렇지 않으면 -extfile 선택권
사용). 확장 섹션이 없으면 V1 인증서가 생성됩니다. 만약
확장 섹션이 있으면(비어 있어도) V3 인증서가 생성됩니다.
참조:w x509v3_config(5) 확장 섹션 형식에 대한 자세한 내용은 매뉴얼 페이지입니다.

-extfile 파일
인증서 확장을 읽을 추가 구성 파일(
기본 섹션이 아닌 경우 -확장 옵션도 사용됨).

-엔진 id
엔진 지정(고유한 id 문자열) 원인 ca 얻기 위해 시도하다
지정된 엔진에 대한 기능 참조, 따라서 필요한 경우 초기화합니다. NS
엔진은 사용 가능한 모든 알고리즘의 기본값으로 설정됩니다.

-제목 아르헨티나
요청에 제공된 주체 이름을 대체합니다. arg는 다음 형식이어야 합니다.
/type0=value0/type1=value1/type2=..., 문자는 \(백슬래시)로 이스케이프할 수 있습니다.
공백은 건너뜁니다.

-utf8
이 옵션을 사용하면 필드 값이 UTF8 문자열로 해석되며 기본적으로
ASCII로 해석됩니다. 이것은 필드 값이
터미널 또는 구성 파일에서 가져온 문자열은 유효한 UTF8 문자열이어야 합니다.

-다중값-rdn
이 옵션을 사용하면 -subj 인수가 전체 지원으로 해석됩니다.
다중값 RDN. 예:

/DC=org/DC=OpenSSL/DC=사용자/UID=123456+CN=존 암사슴

-multi-rdn이 사용되지 않는 경우 UID 값은 123456+CN=존 암사슴.

C.R.L. 옵션

-gencrl
이 옵션은 인덱스 파일의 정보를 기반으로 CRL을 생성합니다.

-crldays NUM
다음 CRL 만기일까지 남은 일 수. 그것은 지금부터
CRL nextUpdate 필드.

-crl시간 NUM
다음 CRL이 만료되기까지 남은 시간입니다.

-취소 파일 이름
취소할 인증서가 포함된 파일 이름.

-상태 일련의
지정된 일련 번호가 있는 인증서의 해지 상태를 표시하고
출구.

-업데이트db
만료된 인증서를 제거하기 위해 데이터베이스 인덱스를 업데이트합니다.

-crl_이유 이유
해지 이유 이유 중 하나이다: 지정, 키타협, CA타협,
소속 변경됨, 대체 된, 작업 중지, 인증서 보유 or
CRL에서 제거. 의 매칭 이유 대소문자를 구분하지 않습니다. 해지 설정
이유는 CRL v2를 만들 것입니다.

실전에서 CRL에서 제거 델타에서만 사용되기 때문에 특별히 유용하지는 않습니다.
현재 구현되지 않은 CRL.

-crl_hold 교수
이렇게 하면 CRL 해지 이유 코드가 다음으로 설정됩니다. 인증서 보유 그리고 홀드 명령
에 교수 OID여야 합니다. 모든 OID는
보류 지시 없음 (RFC2459에 의해 사용이 권장되지 않음)
보류 명령CallIssuer or 보류명령거부 정상적으로 사용됩니다.

-crl_compromise 시간
이렇게 하면 해지 이유가 다음으로 설정됩니다. 키타협 그리고 타협 시간 시간. 시간
GeneralizedTime 형식이어야 합니다. YYYYMMDDHHMMSSZ.

-crl_CA_compromise 시간
이것은 crl_compromise 해지 사유가 다음으로 설정된 경우를 제외하고
CA타협.

-crlexts 섹션에 있어야 합니다.
포함할 CRL 확장이 포함된 구성 파일의 섹션. CRL이 없는 경우
확장 섹션이 있는 경우 CRL 확장 섹션이 있는 경우 V1 CRL이 생성됩니다.
비어 있어도 V2 CRL이 생성됩니다. 지정된 CRL 확장자
CRL 확장 및 지원 CRL 항목 확장. 일부는
소프트웨어(예: Netscape)는 V2 CRL을 처리할 수 없습니다. 보다 x509v3_config(5) 매뉴얼 페이지
확장 섹션 형식에 대한 자세한 내용은

구성 FILE 옵션

다음에 대한 옵션이 포함된 구성 파일 섹션 ca 다음과 같이 발견됩니다.
전에, -이름 명령줄 옵션이 사용되면 사용할 섹션의 이름을 지정합니다. 그렇지 않으면
사용할 섹션은 default_ca 옵션의 ca 의 섹션
구성 파일(또는 구성 파일의 기본 섹션). 게다가
default_ca, 다음 옵션은 ca 섹션 :
RANDFILE 보존
msie_hack 다음을 제외하고 랜파일, 이것은 버그일 가능성이 있으며 향후 변경될 수 있습니다.
출시.

대부분의 구성 파일 옵션은 명령줄 옵션과 동일합니다. 어디에
옵션이 구성 파일에 있고 명령줄에 명령줄 값이 있습니다.
사용된. 옵션이 필수로 설명된 경우 옵션에 있어야 합니다.
구성 파일 또는 이에 상응하는 명령줄(있는 경우)이 사용됩니다.

oid_file
추가 정보를 포함하는 파일을 지정합니다. 목적 식별자. 파일의 각 줄
개체 식별자의 숫자 형식과 공백으로 구성되어야 합니다.
짧은 이름 다음에 공백이 있고 마지막으로 긴 이름이 옵니다.

oid_section
추가 개체를 포함하는 구성 파일의 섹션을 지정합니다.
식별자. 각 줄은 개체 식별자의 짧은 이름으로 구성되어야 합니다.
다음 = 그리고 숫자 형식. 짧은 이름과 긴 이름은 이 경우 동일합니다.
옵션이 사용됩니다.

new_certs_dir
같은 -outdir 명령줄 옵션. 새 디렉토리를 지정합니다.
인증서가 배치됩니다. 필수적인.

증명서
같은 -인증서. CA 인증서가 포함된 파일을 제공합니다. 필수적인.

개인키
같은 -키파일 옵션. CA 개인 키가 포함된 파일입니다. 필수적인.

랜파일
난수 시드 정보 또는 EGD 소켓을 읽고 쓰는 데 사용되는 파일(참조
RAND_egd(삼)).

기본_일
같은 -일 옵션. 인증서를 인증할 일 수입니다.

기본_시작일
같은 -시작일 옵션. 인증서를 인증할 시작 날짜입니다. 그렇지 않다면
현재 시간을 사용하도록 설정합니다.

기본_종료일
같은 -종료일 옵션. 이 옵션 또는 기본_일 (또는 명령
등가물)이 있어야 합니다.

default_crl_hours default_crl_일
같은 -crl시간 그리고 -crldays 옵션. 둘 다 아닌 경우에만 사용됩니다.
명령줄 옵션이 있습니다. 생성하려면 이들 중 적어도 하나가 있어야 합니다.
CRL.

default_md
같은 -md 옵션. 사용할 메시지 다이제스트입니다. 필수적인.

데이터베이스
사용할 텍스트 데이터베이스 파일. 필수적인. 이 파일은 처음에는 존재해야 합니다.
비어있을 것입니다.

고유_주제
값이 예 데이터베이스의 유효한 인증서 항목이 있어야 합니다.
독특한 과목. 값이 아니 여러 유효한 인증서 항목이 있을 수 있습니다.
정확히 같은 주제. 기본값은 예, 이전 버전과 호환되도록(사전
0.9.8) OpenSSL 버전. 그러나 CA 인증서 롤오버를 더 쉽게 하려면
값을 사용하는 것이 좋습니다 아니, 특히 -자체 서명 명령
라인 옵션.

일련의
XNUMX진수에서 사용할 다음 일련 번호가 포함된 텍스트 파일입니다. 필수적인. 이 파일
존재하고 유효한 일련 번호를 포함해야 합니다.

CRL번호
XNUMX진수에서 사용할 다음 CRL 번호가 포함된 텍스트 파일입니다. CRL 번호는
이 파일이 있는 경우에만 CRL에 삽입됩니다. 이 파일이 있으면 반드시
유효한 CRL 번호를 포함해야 합니다.

x509_확장
같은 -확장.

crl_extensions
같은 -crlexts.

보존
같은 - 보존DN

email_in_dn
같은 -noemailDN. EMAIL 필드를 DN에서 제거하려는 경우
인증서는 단순히 '아니오'로 설정합니다. 존재하지 않는 경우 기본값은 다음을 허용하는 것입니다.
EMAIL은 인증서의 DN에 입력됩니다.

msie_hack
같은 -msie_hack

정책
같은 -정책. 필수적인. 참조 갱신 FORMAT 자세한 내용은 섹션을 참조하십시오.

이름_선택, cert_opt
이러한 옵션을 사용하면 다음을 요청할 때 인증서 세부 정보를 표시하는 데 사용되는 형식을 사용할 수 있습니다.
사용자가 서명을 확인합니다. 에서 지원하는 모든 옵션 x509 유용 -nameopt 과
-certopt 스위치를 제외하고 여기에서 사용할 수 있습니다. no_signname 과 no_sigdump are
영구적으로 설정되며 비활성화할 수 없습니다(인증서 서명이
이 시점에서 인증서가 서명되지 않았기 때문에 표시할 수 없습니다).

편의상 값 ca_default 합리적인 생산을 위해 둘 다에 의해 받아 들여진다
출력.

옵션이 없으면 이전 버전의 OpenSSL에서 사용된 형식이 사용됩니다.
이전 형식의 사용은 강하게 필드만 표시하기 때문에 권장하지 않음
에 언급 된 정책 섹션에서 다중 문자 문자열 유형을 잘못 처리하고
디스플레이 확장.

copy_extensions
인증서 요청의 확장을 처리하는 방법을 결정합니다. 로 설정한 경우 없음
또는 이 옵션이 없으면 확장자가 무시되고
자격증. 로 설정한 경우 복사 그런 다음 요청에 존재하지 않는 모든 확장
이미 존재하는 인증서에 복사됩니다. 로 설정한 경우 복사 그런 다음 모든 확장
요청에서 인증서로 복사됩니다: 확장이 이미 있는 경우
인증서가 먼저 삭제됩니다. 참조 경고 이것을 사용하기 전에 섹션
옵션을 선택합니다.

이 옵션의 주요 용도는 인증서 요청이 다음에 대한 값을 제공하도록 허용하는 것입니다.
subjectAltName과 같은 특정 확장자.

갱신 FORMAT

정책 섹션은 인증서 DN 필드에 해당하는 변수 집합으로 구성됩니다.
값이 "일치"이면 필드 값이 CA의 동일한 필드와 일치해야 합니다.
자격증. 값이 "제공"되면 존재해야 합니다. 값이
"선택적"이면 존재할 수 있습니다. 정책 섹션에 언급되지 않은 모든 필드는
자동으로 삭제됩니다. - 보존DN 옵션이 설정되었지만 이것은 더 많은 것으로 간주될 수 있습니다.
의도한 행동보다 기이합니다.

SPKAC FORMAT

에 대한 입력 -spkac 명령줄 옵션은 Netscape 서명 공개 키 및 챌린지입니다.
이것은 일반적으로 키젠 HTML 형식의 태그를 사용하여 새 개인 키를 만듭니다.
그러나 다음을 사용하여 SPKAC를 생성할 수 있습니다. 스팍 유용.

파일에는 SPKAC 값으로 설정된 SPKAC 변수와
이름 값 쌍으로 필요한 DN 구성 요소. 동일한 구성 요소를 포함해야 하는 경우
두 번이면 앞에 숫자와 '.'가 올 수 있습니다.

SPKAC 형식을 처리할 때 출력은 DER입니다. -아웃 플래그가 사용되지만 PEM 형식
stdout 또는 -outdir 플래그가 사용됩니다.

사용 예

참고: 이 예에서는 ca 디렉토리 구조가 이미 설정되어 있고
관련 파일이 이미 존재합니다. 여기에는 일반적으로 CA 인증서 및 개인 인증서 생성이 포함됩니다.
키 REQ, 일련 번호 파일 및 빈 인덱스 파일을
관련 디렉토리.

demoCA, demoCA/private 디렉토리 아래의 샘플 구성 파일을 사용하려면
demoCA/newcerts가 생성됩니다. CA 인증서는 demoCA/cacert.pem에 복사됩니다.
및 demoCA/private/cakey.pem에 대한 개인 키. 파일 demoCA/serial이 생성됩니다.
예를 들어 "01" 및 빈 인덱스 파일 demoCA/index.txt를 포함합니다.

인증서 요청에 서명:

openssl ca -in req.pem -out newcert.pem

CA 확장을 사용하여 인증서 요청에 서명합니다.

openssl ca -in req.pem -extensions v3_ca -out newcert.pem

CRL 생성

openssl ca -gencrl -out crl.pem

여러 요청에 서명:

openssl ca -infiles req1.pem req2.pem req3.pem

Netscape SPKAC 인증:

openssl ca -spkac spkac.txt

샘플 SPKAC 파일(SPKAC 행은 명확성을 위해 잘렸습니다.):

SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN=스티브 테스트
이메일주소=[이메일 보호]
0.OU=OpenSSL 그룹
1.OU=다른 그룹

에 대한 관련 섹션이 있는 샘플 구성 파일 ca:

[ 캘리포니아 ]
default_ca = CA_default # 기본 ca 섹션

[ CA_기본값 ]

dir = ./demoCA # 최상위 디렉토리
database = $dir/index.txt # 인덱스 파일.
new_certs_dir = $dir/newcerts # 새 인증서 디렉토리

certificate = $dir/cacert.pem # CA 인증서
serial = $dir/serial # 직렬 파일 없음
private_key = $dir/private/cakey.pem# CA 개인 키
RANDFILE = $dir/private/.rand # 난수 파일

default_days = 365 # 인증 기간
default_crl_days= 30 # 다음 CRL까지 얼마나 걸립니까?
default_md = md5 # 사용할 md

policy = policy_any # 기본 정책
email_in_dn = no # 인증서 DN에 이메일을 추가하지 않음

name_opt = ca_default # 주체 이름 표시 옵션
cert_opt = ca_default # 인증서 표시 옵션
copy_extensions = none # 요청에서 확장을 복사하지 않음

[ 정책_임의 ]
국가명 = 제공됨
stateOrProvinceName = 선택사항
조직 이름 = 선택 사항
조직 단위 이름 = 선택 사항
commonName = 제공됨
이메일 주소 = 선택 사항

onworks.net 서비스를 사용하여 온라인에서 cassl 사용