certutil - 클라우드의 온라인

프로그램:

이름

certutil - NSS 데이터베이스 및 기타 NSS 토큰 모두에서 키 및 인증서 관리

개요

certutil에 [옵션] [[인수]]

지위

이 문서는 아직 작업 중입니다. 의 초기 검토에 기여해 주십시오.
모질라 NSS 버그 836477[1]

기술

인증서 데이터베이스 도구, certutil에는 다음을 생성할 수 있는 명령줄 유틸리티입니다.
인증서 및 키 데이터베이스를 수정합니다. 구체적으로 나열, 생성, 수정 또는
인증서 삭제, 암호 생성 또는 변경, 새 공개 및 개인 키 생성
키 데이터베이스의 내용을 표시하거나 키 내에서 키 쌍을 삭제합니다.
데이터 베이스.

키 및 인증서 관리 프로세스의 일부인 인증서 발급에는 다음이 필요합니다.
키 및 인증서는 키 데이터베이스에 생성됩니다. 이 문서에서는 인증서에 대해 설명합니다.
및 주요 데이터베이스 관리. 보안 모듈 데이터베이스 관리에 대한 자세한 내용은
~을 보아라. 모듈 유틸리티 맨 페이지.

COMMAND 옵션 및 인수

달리는 certutil에 유형을 지정하려면 항상 하나의 명령 옵션만 필요합니다.
인증서 작업. 각 명령 옵션은 XNUMX개 이상의 인수를 사용할 수 있습니다. 명령
선택권 -H 모든 명령 옵션과 관련 인수를 나열합니다.

명령 옵션

-A
인증서 데이터베이스에 기존 인증서를 추가합니다. 인증서 데이터베이스는
이미 존재합니다. 하나가 없으면 이 명령 옵션은 다음과 같이 초기화합니다.
태만.

-B
지정된 배치 파일에서 일련의 명령을 실행합니다. 이것은 필요합니다 -i 논의.

-C
바이너리 인증서 요청 파일에서 새 바이너리 인증서 파일을 만듭니다. 사용
-i 인증서 요청 파일을 지정하는 인수. 이 인수를 사용하지 않으면
certutil에 파일 이름을 묻습니다.

-D
인증서 데이터베이스에서 인증서를 삭제합니다.

--이름 바꾸기
인증서의 데이터베이스 별명을 변경합니다.

-E
인증서 데이터베이스에 이메일 인증서를 추가합니다.

-F
키 데이터베이스에서 개인 키를 삭제합니다. -n으로 삭제할 키 지정
논쟁. 키를 삭제할 데이터베이스를 지정합니다. -d 논쟁. 사용하다
전에, -k DSA, RSA 또는 ECC 키를 삭제할지 여부를 명시적으로 지정하는 인수입니다. 만약 너라면
사용하지 마십시오 -k 인수, 옵션은 지정된 것과 일치하는 RSA 키를 찾습니다.
별명.

키를 삭제할 때 해당 키와 연결된 인증서도 모두 제거해야 합니다.
-D를 사용하여 인증서 데이터베이스에서 키를 가져옵니다. 일부 스마트 카드는
생성한 공개 키를 제거합니다. 이 경우 개인 키만
키 쌍에서 삭제됩니다. certutil -K 명령을 사용하여 공개 키를 표시할 수 있습니다.
-h 토큰 이름.

-G
키 데이터베이스 내에서 새 공개 및 개인 키 쌍을 생성합니다. 키 데이터베이스
이미 존재해야 합니다. 하나가 없으면 이 명령 옵션은 하나를 초기화합니다.
기본적으로. 일부 스마트 카드는 키 쌍을 하나만 저장할 수 있습니다. 새로운 키 페어를 생성하는 경우
이러한 카드의 경우 이전 쌍을 덮어씁니다.

-H
명령 옵션 및 인수 목록을 표시합니다.

-K
키 데이터베이스에 있는 키의 키 ID를 나열하십시오. 키 ID는 RSA 키의 계수 또는
DSA 키의 publicValue입니다. ID는 0진수로 표시됩니다("XNUMXx"는 표시되지 않음).

-L
모든 인증서를 나열하거나 명명된 인증서에 대한 정보를
인증서 데이터베이스. -h tokenname 인수를 사용하여 인증서 지정
특정 하드웨어 또는 소프트웨어 토큰의 데이터베이스.

-M
-t 인수의 값을 사용하여 인증서의 신뢰 속성을 수정합니다.

-N
새 인증서 및 키 데이터베이스를 만듭니다.

-O
인증서 체인을 인쇄합니다.

-R
인증 기관에 제출할 수 있는 인증서 요청 파일 생성
(CA) 완성된 인증서로 처리합니다. 출력은 기본적으로 표준 출력으로 설정됩니다.
-o output-file 인수를 사용하지 않는 한. -a 인수를 사용하여 ASCII 출력을 지정합니다.

-S
개별 인증서를 만들어 인증서 데이터베이스에 추가합니다.

-T
키 데이터베이스 또는 토큰을 재설정하십시오.

-U
사용 가능한 모든 모듈을 나열하거나 명명된 단일 모듈을 인쇄하십시오.

-V
인증서 및 해당 속성의 유효성을 확인합니다.

-W
암호를 키 데이터베이스로 변경하십시오.

-병합
두 개의 데이터베이스를 하나로 병합합니다.

--업그레이드 병합
이전 데이터베이스를 업그레이드하고 새 데이터베이스에 병합합니다. 이것은 마이그레이션하는 데 사용됩니다.
레거시 NSS 데이터베이스(cert8.db 및 key3.db)를 최신 SQLite 데이터베이스(cert9.db)로
및 key4.db).

인수

인수는 명령 옵션을 수정하며 일반적으로 소문자, 숫자 또는 기호입니다.

-a
ASCII 형식을 사용하거나 입력 또는 출력에 ASCII 형식 사용을 허용합니다. 이 서식
RFC 1113을 따릅니다. 인증서 요청의 경우 ASCII 출력은 기본적으로 표준 출력으로 설정됩니다.
리디렉션되지 않는 한.

-b 유효 시간
인증서가 유효해야 하는 시간을 지정합니다. 확인할 때 사용
인증서 유효성 -V 옵션. 형식 유효 시간 주장은
YYMMDDHHMMSS[+HHMM|-HHMM|Z], 유효성을 기준으로 오프셋을 설정할 수 있습니다.
종료 시간. 초 지정(SS)는 선택 사항입니다. 명시적 시간을 지정할 때 사용
Z 기간의 끝에서, YYMMDDHHMMSSZ, 닫습니다. 오프셋 시간을 지정할 때,
사용 YYMMDDHHMMSS+HHMM or YYMMDDHHMMSS-HHMM 시간을 더하거나 빼기 위해
각각.

이 옵션을 사용하지 않으면 유효성 검사는 기본적으로 현재 시스템 시간으로 설정됩니다.

-c 발급자
새 인증서가 파생될 CA의 인증서를 식별합니다.
확실성. CA 인증서의 정확한 별명 또는 별칭을 사용하거나 CA의
이메일 주소. 공백이 포함된 경우 발급자 문자열을 따옴표로 묶습니다.

-d [접두사]디렉토리
인증서 및 키 데이터베이스 파일이 포함된 데이터베이스 디렉토리를 지정하십시오.

certutil에 레거시 보안 데이터베이스(cert8.db,
key3.db 및 secmod.db) 및 새 SQLite 데이터베이스(cert9.db, key4.db 및 pkcs11.txt).

NSS는 다음 접두사를 인식합니다.

· SQL: 최신 데이터베이스를 요청합니다.

· DBM: 레거시 데이터베이스를 요청합니다.

접두사를 지정하지 않으면 NSS_DEFAULT_DB_TYPE에서 기본 유형이 검색됩니다. 만약에
NSS_DEFAULT_DB_TYPE이 설정되지 않은 경우 DBM: 기본값입니다.

--dump-ext-val OID
단일 인증서의 경우 확장 OID의 바이너리 DER 인코딩을 인쇄합니다.

-e
인증서를 확인하는 과정에서 인증서의 서명을 확인하십시오.

--이메일 이메일 주소
나열할 인증서의 이메일 주소를 지정합니다. -L 명령 옵션과 함께 사용됩니다.

--extGeneric OID:중요 플래그:파일 이름[,OID:중요 플래그:파일 이름]...
certutil이 아직 인코딩할 수 없는 확장을 하나 또는 여러 개 추가합니다.
외부 파일에서 인코딩.

· OID(예시): 1.2.3.4

· 임계 플래그: 임계 또는 중요하지 않음

· 파일 이름: 인코딩된 확장자를 포함하는 파일의 전체 경로

-f 비밀번호 파일
인증서에 포함할 암호를 자동으로 제공할 파일을 지정하십시오.
또는 인증서 데이터베이스에 액세스합니다. 이것은 다음을 포함하는 일반 텍스트 파일입니다.
비밀번호. 이 파일에 대한 무단 액세스를 방지하십시오.

-g 키 크기
새 공개 및 개인 키 쌍을 생성할 때 사용할 키 크기를 설정합니다. 최소값은
512비트이고 최대값은 16384비트입니다. 기본값은 2048비트입니다. 사이의 모든 크기
최소 및 최대가 허용됩니다.

-h 토큰 이름
사용하거나 작업할 토큰의 이름을 지정하십시오. 지정하지 않으면 기본 토큰은
내부 데이터베이스 슬롯.

-i 입력 파일
명령에 입력 파일을 전달합니다. 명령 옵션에 따라 입력 파일은
특정 인증서, 인증서 요청 파일 또는 명령의 배치 파일일 수 있습니다.

-k 키 유형 또는 ID
키의 유형 또는 특정 ID를 지정합니다.

유효한 키 유형 옵션은 rsa, dsa, ec 또는 all입니다. 기본값은 rsa입니다.
키 유형을 지정하면 별명 중복으로 인한 실수를 피할 수 있습니다. 주는
키 유형은 새 키 쌍을 생성합니다. 기존 키의 ID를 제공하면 해당 키를 재사용합니다.
쌍(인증서를 갱신하는 데 필요).

-l
-V 옵션을 사용하여 인증서를 확인할 때 자세한 정보를 표시합니다.

-m 일련 번호
생성 중인 인증서에 고유한 일련 번호를 할당합니다. 이 작업은
CA에 의해 수행됩니다. 일련 번호가 제공되지 않으면 기본 일련 번호가 만들어집니다.
현재 시간부터. 일련 번호는 정수로 제한됩니다.

-n 별명
데이터베이스에 나열, 생성, 추가할 인증서 또는 키의 닉네임을 지정합니다.
수정하거나 확인합니다. 닉네임 문자열에 포함된 경우 인용 부호로 묶습니다.
공백

-o 출력 파일
새 인증서 또는 바이너리 인증서 요청에 대한 출력 파일 이름을 지정합니다.
공백이 포함된 경우 출력 파일 문자열을 따옴표로 묶습니다. 이 경우
인수는 사용되지 않습니다. 출력 대상은 기본적으로 표준 출력입니다.

-P dbPrefix
인증서 및 키 데이터베이스 파일에 사용되는 접두사를 지정하십시오. 이 주장은
레거시 서버를 지원하기 위해 제공됩니다. 대부분의 응용 프로그램은 데이터베이스 접두사를 사용하지 않습니다.

-p 전화
새 인증서 또는 인증서에 포함할 연락처 전화번호 지정
요청. 공백이 포함된 경우 이 문자열을 따옴표로 묶습니다.

-q pqgfile 또는 곡선 이름
DSA 키 쌍을 생성할 때 지정된 파일에서 대체 PQG 값을 읽습니다. 만약에
이 인수는 사용되지 않습니다. certutil에 자체 PQG 값을 생성합니다. PQG 파일이 생성됩니다.
별도의 DSA 유틸리티를 사용합니다.

타원 곡선 이름은 SUITE B의 이름 중 하나입니다: nistp256, nistp384, nistp521

NSS가 SUITE B 외부의 지원 곡선으로 컴파일된 경우: sect163k1, nistk163,
sect163r1, sect163r2, nistb163, sect193r1, sect193r2, sect233k1, nistk233, sect233r1,
nistb233, sect239k1, sect283k1, nistk283, sect283r1, nistb283, sect409k1, nistk409,
sect409r1, nistb409, sect571k1, nistk571, sect571r1, nistb571, secp160k1, secp160r1,
secp160r2, secp192k1, secp192r1, nistp192, secp224k1, secp224r1, nistp224, secp256k1,
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2

-r
해당 정보를 나열할 때 인증서의 바이너리 DER 인코딩을 표시합니다.
-L 옵션이 있는 인증서.

-s 주제
새 인증서 또는 인증서 요청에 대한 특정 인증서 소유자를 식별합니다.
공백이 포함된 경우 이 문자열을 따옴표로 묶습니다. 주제
식별 형식은 RFC #1485를 따릅니다.

-t 위탁자
기존 인증서에서 수정하거나 적용할 신뢰 속성을 지정하십시오.
인증서를 생성하거나 데이터베이스에 추가할 때 인증서. 세 가지가 있습니다
순서에 표시된 각 인증서에 대한 신뢰 범주 SSL, 이메일, 대상
로그인 각 신뢰 설정에 대해 각 범주 위치에서 다음을 사용하지 않거나, 일부 또는 모두 사용
속성 코드:

· p - 유효한 피어

· P - 신뢰할 수 있는 피어(p를 의미)

· c - 유효한 CA

· T - 신뢰할 수 있는 CA(c를 의미)

· C - 클라이언트 인증을 위한 신뢰할 수 있는 CA(ssl 서버만 해당)

· u - 사용자

범주에 대한 속성 코드는 쉼표로 구분되며 전체 집합이
따옴표로 묶인 속성. 예를 들어:

-t "티쿠,쿠,투"

-L 옵션을 사용하여 현재 인증서 및 신뢰 속성 목록을 확인하십시오.
인증서 데이터베이스.

-u 서투사주
-V 옵션을 사용하여 인증서의 유효성을 검사할 때 적용할 사용 컨텍스트를 지정합니다.

컨텍스트는 다음과 같습니다.

· C (SSL 클라이언트로)

· V (SSL 서버로)

· L (SSL CA로)

· A (모든 CA로)

· Y (CA 확인)

· S (이메일 서명자로서)

· R (이메일 수신자로서)

· O (OCSP 상태 응답자로서)

· J (객체 서명자로서)

-v 유효 월
새 인증서가 유효한 개월 수를 설정합니다. 유효기간이 시작됩니다
오프셋을 추가하거나 빼지 않는 한 현재 시스템 시간에 -w 옵션을 선택합니다.
이 인수를 사용하지 않는 경우 기본 유효 기간은 XNUMX개월입니다.

-w 오프셋 월
시작에 대해 현재 시스템 시간(월 단위)에서 오프셋을 설정합니다.
인증서의 유효 기간. 인증서를 생성하거나 추가할 때 사용
데이터 베이스. 빼기 기호(-)를 사용하여 오프셋을 정수로 표현합니다.
음의 오프셋. 이 인수를 사용하지 않으면 유효 기간은 다음 시간에 시작됩니다.
현재 시스템 시간. 유효 기간의 길이는 -v 인수로 설정됩니다.

-X
키 및 인증서 데이터베이스를 읽기-쓰기 모드로 강제로 엽니다. 이것은 다음과 함께 사용됩니다.
전에, -U 과 -L 명령 옵션.

-x
certutil에 생성되거나 추가되는 인증서에 대한 서명을 생성하기 위해
별도의 CA에서 서명을 얻는 대신 데이터베이스를 사용합니다.

-y 경험치
새 RSA 공개 키를 생성하는 데 사용할 대체 지수 값을 설정합니다.
기본값 65537 대신 데이터베이스. 사용 가능한 대체 값은 3입니다.
및 17.

-z 노이즈 파일
지정된 파일에서 시드 값을 읽어 새 개인 및 공개 키를 생성합니다.
쌍. 이 인수는 하드웨어 생성 시드 값을 사용하거나
수동으로 키보드에서 값을 생성합니다. 최소 파일 크기는 20바이트입니다.

-Z 해시알그
-C, -S 또는 -R 명령 옵션과 함께 사용할 해시 알고리즘을 지정합니다. 가능한
키워드 :

· MD2

· MD4

· MD5

· SHA1

· SHA224

· SHA256

· SHA384

· SHA512

-0 SSO_비밀번호
토큰에 사이트 보안 담당자 암호를 설정합니다.

-1 | --keyUsage 키워드, 키워드
인증서에서 X.509 V3 인증서 유형 확장을 설정합니다. 여러 가지가 있습니다
사용 가능한 키워드:

· 전자 서명

· 부인방지

· 키암호화

· 데이터 암호화

· 키 계약

· 인증서 서명

· crl서명

· 비판적인

-2
생성 중이거나 추가 중인 인증서에 기본 제약 확장을 추가합니다.
데이터 베이스. 이 확장은 인증서 체인 확인 프로세스를 지원합니다.
certutil에 인증서 제약 확장을 선택하라는 메시지가 표시됩니다.

X.509 인증서 확장은 RFC 5280에 설명되어 있습니다.

-3
생성 중이거나 추가 중인 인증서에 기관 키 ID 확장을 추가합니다.
데이터 베이스. 이 확장은 특정 인증서의 식별을 지원합니다.
하나의 주체 이름과 연결된 여러 인증서 중에서 올바른 발급자로
인증서. 인증서 데이터베이스 도구는 기관을 선택하라는 메시지를 표시합니다.
키 ID 확장.

X.509 인증서 확장은 RFC 5280에 설명되어 있습니다.

-4
생성 또는 추가 중인 인증서에 CRL 배포 지점 확장 추가
데이터베이스에. 이 확장은 연결된 인증서의 URL을 식별합니다.
인증서 해지 목록(CRL). certutil에 URL을 묻는 메시지가 표시됩니다.

X.509 인증서 확장은 RFC 5280에 설명되어 있습니다.

-5 | --nsCertType 키워드, 키워드
생성 중인 인증서에 X.509 V3 인증서 유형 확장을 추가하거나
데이터베이스에 추가되었습니다. 사용 가능한 몇 가지 키워드가 있습니다.

· SSL 클라이언트

· SSL 서버

· 스마일

· 객체서명

· SSLCA

· smimeCA

· objectSigningCA

· 비판적인

X.509 인증서 확장은 RFC 5280에 설명되어 있습니다.

-6 | --extKeyUsage 키워드, 키워드
생성 중이거나 추가 중인 인증서에 확장 키 사용 확장을 추가합니다.
데이터베이스. 여러 키워드를 사용할 수 있습니다.

· 서버인증

· 클라이언트 인증

· 코드 서명

· 이메일보호

· 타임스탬프

· ocsp응답자

· 스텝업

· msTrustListSign

· 비판적인

X.509 인증서 확장은 RFC 5280에 설명되어 있습니다.

-7 이메일 주소
제목 대체 이름에 쉼표로 구분된 이메일 주소 목록 추가
생성되거나 추가되는 인증서 또는 인증서 요청의 확장
데이터베이스. 주제 대체 이름 확장은 섹션 4.2.1.7에 설명되어 있습니다.
RFC 3280.

-8 DNS 이름
쉼표로 구분된 DNS 이름 목록을 주체 대체 이름 확장명에 추가합니다.
생성되거나 데이터베이스에 추가되는 인증서 또는 인증서 요청.
주체 대체 이름 확장은 RFC 4.2.1.7의 섹션 3280에 설명되어 있습니다.

--extAIA
인증서에 기관 정보 액세스 확장을 추가합니다. X.509 인증서
확장은 RFC 5280에 설명되어 있습니다.

--extSIA
인증서에 주체 정보 액세스 확장을 추가합니다. X.509 인증서
확장은 RFC 5280에 설명되어 있습니다.

--extCP
인증서에 인증서 정책 확장을 추가합니다. X.509 인증서
확장은 RFC 5280에 설명되어 있습니다.

--extPM
인증서에 정책 매핑 확장을 추가합니다. X.509 인증서 확장은
RFC 5280에 설명되어 있습니다.

--extPC
인증서에 Policy Constraints 확장을 추가하십시오. X.509 인증서 확장
RFC 5280에 설명되어 있습니다.

--extIA
인증서에 모든 정책 액세스 금지 확장을 추가합니다. X.509 인증서
확장은 RFC 5280에 설명되어 있습니다.

--extSKID
인증서에 주체 키 ID 확장을 추가합니다. X.509 인증서 확장은
RFC 5280에 설명되어 있습니다.

--extNC
인증서에 이름 제약 조건 확장을 추가합니다. X.509 인증서 확장은
RFC 5280에 설명되어 있습니다.

--extSAN 유형:이름[,유형:이름]...
하나 이상의 이름으로 주제 대체 이름 확장자를 작성하십시오.

-유형: 디렉토리, dn, dns, edi, ediparty, 이메일, ip, ipaddr, 기타, 등록 ID,
rfc822, 우리, x400, x400addr

--빈 비밀번호
-N을 사용하여 새 인증서 데이터베이스를 생성할 때 빈 암호를 사용하십시오.

--keyAttrFlags 속성 플래그
PKCS #11 주요 속성. 쉼표로 구분된 주요 속성 플래그 목록, 다음에서 선택
다음 선택 목록: {token | 세션} {공개 | 비공개} {민감한 |
둔감한} {수정 가능 | 수정 불가} {추출 가능 | 추출 불가}

--keyOpFlagsOn opflags, --keyOpFlagsOff opflags
PKCS #11 키 작동 플래그. 다음 중 하나 이상의 쉼표로 구분된 목록:
{토큰 | 세션} {공개 | 비공개} {민감한 | 둔감한} {수정 가능 |
수정 불가} {추출 가능 | 추출 불가}

--new-n 닉네임
인증서 이름을 변경할 때 사용되는 새 별명입니다.

--source-dir 인증서 디렉토리
업그레이드할 인증서 데이터베이스 디렉터리를 식별합니다.

--source-접두사 certdir
업그레이드할 인증서 및 키 데이터베이스의 접두사를 지정하십시오.

--업그레이드 ID 고유 ID
업그레이드할 데이터베이스의 고유 ID를 지정하십시오.

--upgrade-token-name 이름
업그레이드하는 동안 사용할 토큰의 이름을 설정합니다.

-@pw파일
업그레이드 중인 데이터베이스에 사용할 암호 파일의 이름을 지정하십시오.

사용법 및 사용 예

여기에 나열된 예에 있는 대부분의 명령 옵션에는 더 많은 인수를 사용할 수 있습니다. 그만큼
이 예에 포함된 인수는 가장 일반적인 인수이거나 설명하는 데 사용됩니다.
특정 시나리오. 사용 -H 각각에 대한 전체 인수 목록을 표시하는 옵션
명령 옵션.

만들기 신제품 보안 데이터베이스

인증서 관리와 관련된 인증서, 키 및 보안 모듈은 다음 위치에 저장됩니다.
세 가지 관련 데이터베이스:

· cert8.db 또는 cert9.db

· key3.db 또는 key4.db

· secmod.db 또는 pkcs11.txt

이러한 데이터베이스는 인증서 또는 키를 생성하기 전에 생성되어야 합니다.

certutil -N -d [sql:]디렉토리

만들기 a 자질 의뢰

인증서 요청에는 생성하는 데 사용되는 대부분 또는 모든 정보가 포함됩니다.
최종 인증서. 이 요청은 인증 기관에 별도로 제출되며
그런 다음 일부 메커니즘(자동 또는 사람의 검토)에 의해 승인됩니다. 일단 요청이
승인되면 인증서가 생성됩니다.

$ certutil -R -k 키 유형 또는 ID [-q pqgfile|곡선 이름] -g 키 크기 -s 주제 [-h 토큰 이름] -d [sql:]디렉토리 [-p 전화] [-o 출력 파일] [-a]

XNUMXD덴탈의 -R 명령 옵션에는 XNUMX개의 인수가 필요합니다.

· -k 생성할 키 유형을 지정하거나 인증서를 갱신할 때
사용할 기존 키 쌍

· -g 생성할 키의 키 크기를 설정하려면

· -s 인증서의 주체 이름을 설정하려면

· -d 보안 데이터베이스 디렉토리 제공

새 인증서 요청은 ASCII 형식(-a) 또는 다음과 같이 쓸 수 있습니다.
지정된 파일(-o).

예 :

$ certutil -R -k rsa -g 1024 -s "CN=John Smith,O=Example Corp,L=Mountain View,ST=캘리포니아,C=US" -d sql:$HOME/nssdb -p 650-555- 0123 -a -o cert.cer

키 생성 중. 몇 분 정도 걸릴 수 있습니다...

만들기 a 자질

유효한 인증서는 신뢰할 수 있는 CA에서 발급해야 합니다. CA를 지정하여 수행할 수 있습니다.
인증서 (-c) 인증서 데이터베이스에 저장됩니다. CA 키 쌍이 아닌 경우
사용 가능한 경우 다음을 사용하여 자체 서명된 인증서를 만들 수 있습니다. -x 와의 논쟁 -S
명령 옵션.

$ certutil -S -k rsa|dsa|ec -n certname -s 주제 [-c 발급자 |-x] -t trustargs -d [sql:]디렉토리 [-m 일련 번호] [-v 유효 월] [ -w offset-months] [-p 전화] [-1] [-2] [-3] [-4] [-5 키워드] [-6 키워드] [-7 이메일 주소] [-8 DNS 이름] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]

일련의 숫자와 --ext* 옵션은 다음에 추가할 수 있는 인증서 확장을 설정합니다.
CA에서 생성한 인증서입니다. 대화형 프롬프트가 표시됩니다.

예를 들어 다음은 자체 서명된 인증서를 생성합니다.

$ certutil -S -s "CN=예제 CA" -n my-ca-cert -x -t "C,C,C" -1 -2 -5 -m 3650

키 사용에 대한 대화식 프롬프트 및 확장이 중요한지 여부 및 응답
간결함을 위해 생략되었습니다.

여기에서 새 인증서는 자체 서명된 인증서를 참조할 수 있습니다.

$ certutil -S -s "CN=내 서버 인증서" -n my-server-cert -c "my-ca-cert" -t "u,u,u" -1 -5 -6 -8 -m 730

생성 a 자질 에 a 자질 의뢰

인증서 요청이 생성되면 요청을 사용하여 인증서를 생성할 수 있습니다.
그런 다음 인증 기관 서명 인증서( 발행자 지정
전에, -c 논쟁). 발급 인증서는 인증서 데이터베이스에 있어야 합니다.
지정된 디렉토리.

certutil -C -c 발급자 -i cert-request-file -o 출력 파일 [-m 일련 번호] [-v 유효 월] [-w 오프셋 월] -d [sql:]디렉토리 [-1] [-2] [-3] [-4] [-5 키워드] [-6 키워드] [-7 이메일 주소] [-8 DNS 이름]

예 :

$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql:$HOME/nssdb -1 nonRepudiation,dataEncipherment -5 SSL 클라이언트 -6 클라이언트 인증 -7 [이메일 보호]

ICO정보제출 인증서

XNUMXD덴탈의 -L 명령 옵션은 인증서 데이터베이스에 나열된 모든 인증서를 나열합니다.
디렉토리 경로(-d)이 필요합니다.

$ certutil -L -d SQL:/home/my/sharednssdb

인증서 별명 신뢰 속성
SSL, S/MIME, JAR/XPI

인스턴스 pki-ca1의 CA 관리자 예시 도메인 ID u,u,u
TPS 관리자의 예시 도메인 ID u,u,u
구글 인터넷 기관 ,,
인증 기관 - 예시 도메인 CT,C,C

추가 인수 사용 -L 단일 정보를 반환하고 인쇄할 수 있습니다.
특정 인증서. 예를 들어, -n 인수는 인증서 이름을 전달하는 반면
-a 인수는 ASCII 형식으로 인증서를 인쇄합니다.

$ certutil -L -d SQL:$HOME/nssdb -a -n my-ca-cert
----- 인증서 시작 -----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----- 종료 증명서 -----
사람이 읽을 수 있는 디스플레이용

$ certutil -L -d SQL:$HOME/nssdb -n my-ca-cert
증명서 :
날짜 :
버전: 3(0x2)
일련 번호: 3650(0xe42)
서명 알고리즘: RSA 암호화를 사용하는 PKCS #1 SHA-1
발급자: "CN=예제 CA"
효력:
이전 아님: 13년 19월 10일 수요일 29:2013:XNUMX
Not After : 13년 19월 10일 목 29:2013:XNUMX
제목: "CN=예제 CA"
주제 공개 키 정보:
공개 키 알고리즘: PKCS #1 RSA 암호화
RSA 공개 키:
모듈러스 :
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
지수: 65537(0x10001)
서명된 확장:
이름: 인증서 유형
데이터: 없음

이름: 인증서 기본 제약 조건
데이터: 최대 경로 길이가 없는 CA입니다.

이름: 인증서 키 사용
크리티컬: 사실
사용법: 인증서 서명

서명 알고리즘: RSA 암호화를 사용하는 PKCS #1 SHA-1
서명 :
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
지문(MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
지문(SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7

인증서 신뢰 플래그:
SSL 플래그:
유효한 CA
신뢰할 수 있는 CA
사용자
이메일 플래그:
유효한 CA
신뢰할 수 있는 CA
사용자
객체 서명 플래그:
유효한 CA
신뢰할 수 있는 CA
사용자

ICO정보제출 키

키는 인증서 데이터를 암호화하는 데 사용되는 원본 자료입니다. 에 대해 생성된 키
인증서는 키 데이터베이스에 별도로 저장됩니다.

데이터베이스의 모든 키를 나열하려면 다음을 사용하십시오. -K 명령 옵션 및 (필수) -d 논의
디렉토리에 대한 경로를 제공합니다.

$ certutil -K -d SQL:$HOME/nssdb
certutil: "NSS 사용자 개인 키 및 인증서 서비스" 슬롯에서 "NSS 인증서 DB" 토큰 확인 중
< 0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d Thawte Freemail 회원의 Thawte Consulting (Pty) Ltd. ID
< 1> rsa 40defeeb522ade11090eacebaaf1196a172127df 도메인 관리자 인증서 예
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert

검색 결과에 나열된 키를 좁히는 방법이 있습니다.

· 특정 키를 반환하려면 -nname 키 이름이 있는 인수.

· 여러 보안 장치가 로드된 경우 -h토큰 이름 인수 수
특정 토큰 또는 모든 토큰을 검색합니다.

· 사용 가능한 키 유형이 여러 개인 경우 -k키 유형 인수는 검색할 수 있습니다.
RSA, DSA 또는 ECC와 같은 특정 유형의 키.

ICO정보제출 보안 모듈

인증서를 저장하는 데 사용할 수 있는 장치 - 내부 데이터베이스 및 외부
스마트 카드와 같은 장치는 보안 모듈을 로드하여 인식하고 사용합니다. 그만큼 -U
명령 옵션은 secmod.db 데이터베이스에 나열된 모든 보안 모듈을 나열합니다. 그만큼
디렉토리 경로(-d)이 필요합니다.

$ certutil -U -d SQL:/home/my/sharednssdb

슬롯: NSS 사용자 개인 키 및 인증서 서비스
토큰: NSS 인증서 DB

슬롯: NSS 내부 암호화 서비스
토큰: NSS 일반 암호화 서비스

첨가 인증서 에 전에, 데이터베이스

기존 인증서 또는 인증서 요청을 인증서에 수동으로 추가할 수 있습니다.
다른 곳에서 생성된 경우에도 마찬가지입니다. 이것은 사용 -A 명령 옵션.

certutil -A -n certname -t trustargs -d [sql:]디렉토리 [-a] [-i 입력 파일]

예 :

$ certutil -A -n "CN=내 SSL 인증서" -t "u,u,u" -d sql:/home/my/sharednssdb -i /home/example-certs/cert.cer

관련 명령 옵션, -E, 특히 이메일 인증서를 추가하는 데 사용됩니다.
인증서 데이터베이스. 그만큼 -E 명령에는 다음과 같은 인수가 있습니다. -A 명령. 믿음
인증서에 대한 인수 형식은 SSL, S/MIME, 코드 서명, 그래서 중간 신뢰
설정은 대부분 이메일 인증서와 관련이 있습니다(다른 설정은 가능함). 예를 들어:

$ certutil -E -n "CN=John Smith 이메일 인증서" -t ",Pu," -d sql:/home/my/sharednssdb -i /home/example-certs/email.cer

삭제 인증서 에 전에, 데이터베이스

인증서는 다음을 사용하여 데이터베이스에서 삭제할 수 있습니다. -D 옵션. 유일한 필수 옵션
보안 데이터베이스 디렉토리를 부여하고 인증서 별명을 식별합니다.

certutil -D -d [sql:]디렉토리 -n "별명"

예 :

$ certutil -D -d SQL:/home/my/sharednssdb -n "my-ssl-cert"

검증 중 인증서

인증서는 자체 만료 날짜를 포함하고 만료된 인증서는 쉽게
거부되었습니다. 그러나 인증서는 만료 날짜에 도달하기 전에 취소할 수도 있습니다.
인증서가 해지되었는지 확인하려면 인증서를 확인해야 합니다.
유효성 검사는 인증서가 목적으로만 사용되는지 확인하는 데 사용할 수도 있습니다.
그것은 처음에 발행되었습니다. 검증은 -V 명령 옵션.

certutil -V -n 인증서 이름 [-b 시간] [-e] [-u 인증서 사용] -d [sql:]디렉토리

예를 들어, 이메일 인증서를 확인하려면:

$ certutil -V -n "John Smith의 이메일 인증서" -e -u S,R -d sql:/home/my/sharednssdb

수정 자질 믿어 설정

신뢰 설정(인증서가 허용되는 작업과 관련된
에 사용됨)은 인증서가 생성되거나 데이터베이스에 추가된 후 변경할 수 있습니다. 이것은
CA 인증서에 특히 유용하지만 모든 유형의 인증서에 대해 수행할 수 있습니다.
증명서.

certutil -M -n 인증서 이름 -t ​​trust-args -d [sql:]디렉토리

예 :

$ certutil -M -n "내 CA 인증서" -d sql:/home/my/sharednssdb -t "CTu,CTu,CTu"

인쇄 전에, 자질 체인

에서 인증서를 발급할 수 있습니다. 쇠사슬 모든 인증 기관 자체에
자격증; CA는 인증서를 발급할 때 기본적으로 해당 인증서에 스탬프를 찍습니다.
자신의 지문. 그만큼 -O 초기 단계부터 인증서의 전체 체인을 인쇄합니다.
CA(루트 CA)는 이제까지 중간 CA를 통해 실제 인증서로 이동합니다. 예를 들어,
체인에 두 개의 CA가 있는 이메일 인증서:

$ certutil -d SQL:/home/my/sharednssdb -O -n "[이메일 보호]"
"내장 개체 토큰: Thawte Personal Freemail CA" [E=[이메일 보호],CN=Thawte Personal Freemail CA,OU=인증 서비스 부서,O=Thawte Consulting,L=케이프 타운,ST=웨스턴 케이프,C=ZA]

"Thawte Personal Freemail Issuing CA - Thawte Consulting" [CN=Thawte Personal Freemail Issuing CA,O=Thawte Consulting(Pty) Ltd.,C=ZA]

"(널)" [E=[이메일 보호],CN=Thawte 프리메일 회원]

재설정 중 a Token

인증서를 저장하는 장치 - 외부 하드웨어 장치와 내부 장치 모두
소프트웨어 데이터베이스 -- 비워두고 재사용할 수 있습니다. 이 작업은 장치에서 수행됩니다.
보안 데이터베이스에 직접 저장하지 않고 데이터를 저장하므로 위치는 다음과 같아야 합니다.
토큰 이름(-h) 뿐만 아니라 모든 디렉토리 경로. 없는 경우
외부 토큰이 사용되는 경우 기본값은 내부입니다.

certutil -T -d [sql:]디렉토리 -h 토큰 이름 -0 보안 책임자 비밀번호

많은 네트워크에는 보안 토큰(보안
장교). 이 사람은 지정된 토큰에 액세스하려면 암호를 제공해야 합니다. 예를 들어:

$ certutil -T -d SQL:/home/my/sharednssdb -h nethsm -0 비밀

업그레 이드 or 병합 전에, 보안 데이터베이스

많은 네트워크 또는 애플리케이션이 이전 BerkeleyDB 버전의 인증서를 사용 중일 수 있습니다.
데이터베이스(cert8.db). 데이터베이스를 새로운 SQLite 버전의 데이터베이스로 업그레이드할 수 있습니다.
(cert9.db)를 사용하여 --업그레이드 병합 명령 옵션 또는 기존 데이터베이스 병합 가능
새로운 cert9.db 데이터베이스를 사용하여 ---병합 명령.

XNUMXD덴탈의 --업그레이드 병합 명령은 원본 데이터베이스에 대한 정보를 제공한 다음 다음을 사용해야 합니다.
표준 인수(예: -d) 새 데이터베이스에 대한 정보를 제공합니다. 그만큼
명령은 또한 도구가 프로세스를 업그레이드하고 쓰는 데 사용하는 정보가 필요합니다.
원본 데이터베이스를 통해.

certutil --upgrade-merge -d [sql:]디렉토리 [-P dbprefix] --source-dir 디렉토리 --source-prefix dbprefix --upgrade-id id --upgrade-token-name 이름 [-@ 암호 파일 ]

예 :

$ certutil --upgrade-merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp- --upgrade-id 1 --upgrade-token- 이름 내부

XNUMXD덴탈의 -병합 명령에는 원래 데이터베이스의 위치에 대한 정보만 필요합니다.
데이터베이스의 형식을 변경하지 않기 때문에 데이터 없이 정보를 덮어쓸 수 있습니다.
중간 단계를 수행합니다.

certutil --merge -d [sql:]디렉토리 [-P dbprefix] --source-dir 디렉토리 --source-prefix dbprefix [-@ 비밀번호 파일]

예 :
$ certutil --merge -d SQL:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp-
달리는 certutil에 명령 에 a 일괄 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에

일련의 명령은 다음을 사용하여 텍스트 파일에서 순차적으로 실행할 수 있습니다. -B 명령 옵션.
이에 대한 유일한 인수는 입력 파일을 지정합니다.

$ certutil -B -i /경로/to/배치 파일

NSS 데이터 베이스 타입

NSS는 원래 BerkeleyDB 데이터베이스를 사용하여 보안 정보를 저장했습니다. 마지막 버전
이들의 유산 데이터베이스는 다음과 같습니다.

· 인증서용 cert8.db

· 키용 key3.db

· PKCS #11 모듈 정보용 secmod.db

그러나 BerkeleyDB에는 성능 제한이 있어 쉽게 사용할 수 없습니다.
여러 응용 프로그램을 동시에. NSS에는 응용 프로그램이 다음을 수행할 수 있는 유연성이 있습니다.
공유 데이터베이스를 유지하고 작업하면서 자체 독립 데이터베이스 엔진을 사용합니다.
액세스 문제를 중심으로. 그러나 NSS는 진정한 공유를 제공하기 위해 더 많은 유연성이 필요합니다.
보안 데이터베이스.

2009년에 NSS는 SQLite 데이터베이스가 아닌 SQLite 데이터베이스인 새로운 데이터베이스 세트를 도입했습니다.
버클리DB. 다음과 같은 새로운 데이터베이스는 더 많은 접근성과 성능을 제공합니다.

· 인증서용 cert9.db

· 키용 key4.db

· pkcs11.txt, 새 하위 디렉토리에 포함된 모든 PKCS #11 모듈 목록
보안 데이터베이스 디렉토리

SQLite 데이터베이스는 공유하도록 설계되었기 때문에 공유 데이터베이스
유형. 공유 데이터베이스 유형이 선호됩니다. 레거시 형식은 이전 버전에 대해 포함됩니다.
호환성.

기본적으로 도구(certutil에, pk12util, 모듈 유틸리티) 주어진 보안을 가정
데이터베이스는 보다 일반적인 레거시 유형을 따릅니다. SQLite 데이터베이스를 사용하려면 수동으로
를 사용하여 지정 SQL: 주어진 보안 디렉토리로 접두어를 붙입니다. 예를 들어:

$ certutil -L -d SQL:/home/my/sharednssdb

공유 데이터베이스 유형을 도구의 기본 유형으로 설정하려면
NSS_DEFAULT_DB_TYPE 환경 변수 SQL:

NSS_DEFAULT_DB_TYPE="sql" 내보내기

이 라인은 다음과 같이 설정할 수 있습니다. ~ / .bashrc 파일을 변경하여 영구적으로 만듭니다.

대부분의 응용 프로그램은 기본적으로 공유 데이터베이스를 사용하지 않지만 다음과 같이 구성할 수 있습니다.
그것을 써. 예를 들어 이 방법 문서에서는 Firefox 및 Thunderbird를 구성하는 방법을 다룹니다.
새로운 공유 NSS 데이터베이스를 사용하려면:

· https://wiki.mozilla.org/NSS_Shared_DB_Howto

공유 NSS 데이터베이스의 변경 사항에 대한 엔지니어링 초안은 NSS 프로젝트를 참조하십시오.
위키 :

· https://wiki.mozilla.org/NSS_Shared_DB

onworks.net 서비스를 사용하여 certutil 온라인 사용