ນີ້ແມ່ນຄໍາສັ່ງ cassl ທີ່ສາມາດດໍາເນີນການໄດ້ໃນ OnWorks ຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຟຣີໂດຍໃຊ້ຫນຶ່ງໃນຫຼາຍໆບ່ອນເຮັດວຽກອອນໄລນ໌ຂອງພວກເຮົາເຊັ່ນ Ubuntu Online, Fedora Online, Windows online emulator ຫຼື MAC OS online emulator
ໂຄງການ:
NAME
ca - ຕົວຢ່າງຄໍາຮ້ອງສະຫມັກ CA ຫນ້ອຍທີ່ສຸດ
ສະຫຼຸບສັງລວມ
opensl ca [- ກະດູກ] [-ການຕັ້ງຄ່າ ຊື່ເອກະສານ] [-yam ສ່ວນ] [-gencrl] [- ຖອນຄືນ ເອກະສານ] [- ສະຖານະພາບ
serial] [- ການປັບປຸງ] [-crl_ເຫດຜົນ ເຫດຜົນ] [-crl_hold ຄໍາແນະນໍາແລະ] [-crl_compromise ທີ່ໃຊ້ເວລາ]
[-crl_CA_ປະນີປະນອມ ທີ່ໃຊ້ເວລາ] [- crldays ວັນ] [-crl ຊົ່ວໂມງ ຊົ່ວໂມງ] [- crlexts ສ່ວນ] [-ວັນທີ່ເລີ່ມ
ວັນ] [- ວັນທີສິ້ນສຸດ ວັນ] [- ມື້ arg] [-md arg] [- ນະໂຍບາຍ arg] [-keyfile arg] [-keyform
PEM|DER] [- ກຸນແຈ arg] [-passin arg] [- ໃບຢັ້ງຢືນ ເອກະສານ] [- ຂຽນຕົນເອງ] [-ໃນ ເອກະສານ] [- ອອກ ເອກະສານ]
[-notext] [- outdir dir] [-infiles] [-spkac ເອກະສານ] [-ss_cert ເອກະສານ] [- ປົກປັກຮັກສາ DN]
[-nomailDN] [- ຊຸດ] [-msie_hack] [- ການຂະຫຍາຍ ສ່ວນ] [-extfile ສ່ວນ] [- ເຄື່ອງຈັກ id]
[- ຍ່ອຍ arg] [-utf8] [-multivalue-rdn]
ລາຍລະອຽດ
ໄດ້ ca ຄໍາສັ່ງແມ່ນຄໍາຮ້ອງສະຫມັກ CA ຫນ້ອຍທີ່ສຸດ. ມັນສາມາດຖືກນໍາໃຊ້ເພື່ອເຊັນຄໍາຮ້ອງຂໍໃບຢັ້ງຢືນໃນ
ຫຼາຍໆຮູບແບບແລະສ້າງ CRLs ມັນຍັງຮັກສາຖານຂໍ້ມູນຂໍ້ຄວາມທີ່ອອກ
ໃບຢັ້ງຢືນແລະສະຖານະພາບຂອງພວກເຂົາ.
ຄໍາອະທິບາຍທາງເລືອກຈະຖືກແບ່ງອອກເປັນແຕ່ລະຈຸດປະສົງ.
CA OPTIONS
-ການຕັ້ງຄ່າ ຊື່ເອກະສານ
ລະບຸໄຟລ໌ການຕັ້ງຄ່າທີ່ຈະໃຊ້.
-yam ສ່ວນ
ລະບຸພາກສ່ວນໄຟລ໌ການຕັ້ງຄ່າທີ່ຈະໃຊ້ (overrides default_ca ໃນ ca
ພາກ).
-ໃນ ຊື່ເອກະສານ
ຊື່ໄຟລ໌ທີ່ບັນຈຸມີໃບຮັບຮອງອັນດຽວທີ່ຮ້ອງຂໍໃຫ້ເຊັນໂດຍ CA.
-ss_cert ຊື່ເອກະສານ
ໃບຢັ້ງຢືນການເຊັນດ້ວຍຕົນເອງດຽວທີ່ຈະລົງນາມໂດຍ CA.
-spkac ຊື່ເອກະສານ
ໄຟລ໌ທີ່ມີລະຫັດສາທາລະນະ Netscape ອັນດຽວທີ່ໄດ້ເຊັນແລະສິ່ງທ້າທາຍແລະເພີ່ມເຕີມ
ຄ່າພາກສະຫນາມທີ່ຈະເຊັນໂດຍ CA. ເບິ່ງ SPKAC ຮູບແບບ ພາກສ່ວນສໍາລັບຂໍ້ມູນກ່ຽວກັບ
ການປ້ອນຂໍ້ມູນ ແລະຮູບແບບຜົນຜະລິດທີ່ຕ້ອງການ.
-infiles
ຖ້າປະຈຸບັນນີ້ຄວນຈະເປັນທາງເລືອກສຸດທ້າຍ, ການໂຕ້ຖຽງຕໍ່ໄປທັງຫມົດແມ່ນສົມມຸດວ່າ
ຊື່ຂອງໄຟລ໌ທີ່ມີການຮ້ອງຂໍໃບຢັ້ງຢືນ.
- ອອກ ຊື່ເອກະສານ
ໄຟລ໌ຜົນຜະລິດເພື່ອອອກໃບຢັ້ງຢືນການ. ຄ່າເລີ່ມຕົ້ນແມ່ນຜົນຜະລິດມາດຕະຖານ. ໄດ້
ລາຍລະອຽດໃບຢັ້ງຢືນຍັງຈະຖືກພິມອອກໄປໃນໄຟລ໌ນີ້ໃນຮູບແບບ PEM (ຍົກເວັ້ນວ່າ
-spkac ຜົນໄດ້ຮັບໃນຮູບແບບ DER).
- outdir ລະບົບ
ໄດເລກະທໍລີທີ່ຈະອອກໃບຢັ້ງຢືນໃຫ້. ໃບຮັບຮອງຈະຖືກຂຽນໃສ່ຊື່ໄຟລ໌
ປະກອບດ້ວຍຈໍານວນ serial ໃນ hex ກັບ ".pem" ຕໍ່ທ້າຍ.
- ໃບຢັ້ງຢືນ
ໄຟລ໌ໃບຢັ້ງຢືນ CA.
-keyfile ຊື່ເອກະສານ
ກະແຈສ່ວນຕົວເພື່ອເຊັນການຮ້ອງຂໍດ້ວຍ.
-keyform PEM|DER
ຮູບແບບຂອງຂໍ້ມູນໃນໄຟລ໌ກະແຈສ່ວນຕົວ. ຄ່າເລີ່ມຕົ້ນແມ່ນ PEM.
- ກຸນແຈ ລະຫັດຜ່ານ
ລະຫັດຜ່ານທີ່ໃຊ້ເພື່ອເຂົ້າລະຫັດສ່ວນຕົວ. ນັບຕັ້ງແຕ່ບາງລະບົບເສັ້ນຄໍາສັ່ງ
arguments ແມ່ນເຫັນໄດ້ (ຕົວຢ່າງ: Unix ກັບ 'ps' utility) ທາງເລືອກນີ້ຄວນຈະຖືກນໍາໃຊ້
ດ້ວຍຄວາມລະມັດລະວັງ.
- ຂຽນຕົນເອງ
ຊີ້ບອກວ່າໃບຮັບຮອງທີ່ອອກໃຫ້ຈະຕ້ອງໄດ້ເຊັນດ້ວຍກະແຈຂອງໃບຢັ້ງຢືນ
ຄໍາຮ້ອງສະຫມັກໄດ້ຮັບການລົງນາມກັບ (ໃຫ້ກັບ -keyfile). ຄໍາຮ້ອງສະຫມັກໃບຢັ້ງຢືນການເຊັນກັບ a
ກະແຈທີ່ແຕກຕ່າງກັນຖືກລະເລີຍ. ຖ້າ -spkac, -ss_cert or -gencrl ແມ່ນໄດ້ຮັບການໃຫ້, - ຂຽນຕົນເອງ is
ບໍ່ສົນໃຈ.
ຜົນສະທ້ອນຂອງການນໍາໃຊ້ - ຂຽນຕົນເອງ ແມ່ນ ວ່າ ໃບ ຢັ້ງ ຢືນ ການ ເຊັນ ຕົນ ເອງ ປະ ກົດ ວ່າ ໃນ ບັນ ດາ
ລາຍການຢູ່ໃນຖານຂໍ້ມູນໃບຢັ້ງຢືນ (ເບິ່ງຕົວເລືອກການຕັ້ງຄ່າ ຖານຂໍ້ມູນ), ແລະການນໍາໃຊ້
ຕົວນັບເລກລໍາດັບດຽວກັນກັບໃບຢັ້ງຢືນອື່ນໆທັງໝົດທີ່ເຊັນດ້ວຍຕົວຕົນ
ໃບຢັ້ງຢືນ.
-passin arg
ແຫຼ່ງລະຫັດລັບ. ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບຮູບແບບຂອງ arg ເບິ່ງໄດ້ ຜ່ານ
PHRASE ການໂຕ້ຖຽງ ສ່ວນໃນ opensl(1).
- ກະດູກ
ນີ້ພິມລາຍລະອຽດເພີ່ມເຕີມກ່ຽວກັບການດໍາເນີນການທີ່ກໍາລັງປະຕິບັດ.
-notext
ຢ່າສົ່ງແບບຟອມຂໍ້ຄວາມຂອງໃບຢັ້ງຢືນໄປຫາໄຟລ໌ຜົນຜະລິດ.
-ວັນທີ່ເລີ່ມ ວັນ
ນີ້ອະນຸຍາດໃຫ້ກໍານົດວັນທີເລີ່ມຕົ້ນຢ່າງຈະແຈ້ງ. ຮູບແບບຂອງວັນທີແມ່ນ
YYMMDDHHMMSZ (ຄືກັນກັບໂຄງສ້າງ ASN1 UTCTime).
- ວັນທີສິ້ນສຸດ ວັນ
ນີ້ອະນຸຍາດໃຫ້ກໍານົດວັນທີຫມົດອາຍຸຢ່າງຈະແຈ້ງ. ຮູບແບບຂອງວັນທີແມ່ນ
YYMMDDHHMMSZ (ຄືກັນກັບໂຄງສ້າງ ASN1 UTCTime).
- ມື້ arg
ຈໍານວນຂອງມື້ທີ່ຈະຢັ້ງຢືນໃບຢັ້ງຢືນການສໍາລັບການ.
-md ພຶຊະຄະນິດ
ຂໍ້ຄວາມຍ່ອຍທີ່ຈະໃຊ້. ຄ່າທີ່ເປັນໄປໄດ້ລວມມີ md5, sha1 ແລະ mdc2. ທາງເລືອກນີ້
ຍັງໃຊ້ກັບ CRLs.
- ນະໂຍບາຍ arg
ຕົວເລືອກນີ້ກໍານົດ "ນະໂຍບາຍ" CA ເພື່ອໃຊ້. ນີ້ແມ່ນພາກສ່ວນໃນການຕັ້ງຄ່າ
ໄຟລ໌ທີ່ຕັດສິນໃຈວ່າຊ່ອງຂໍ້ມູນໃດຄວນຈະຖືກບັງຄັບ ຫຼືກົງກັບໃບຢັ້ງຢືນ CA. ກວດສອບ
ອອກຈາກ POLICY ຮູບແບບ ສ່ວນ ສຳ ລັບຂໍ້ມູນເພີ່ມເຕີມ.
-msie_hack
ນີ້ແມ່ນທາງເລືອກທີ່ເປັນມໍລະດົກທີ່ຈະເຮັດ ca ເຮັດວຽກກັບສະບັບເກົ່າຫຼາຍຂອງໃບຢັ້ງຢືນ IE
ການຄວບຄຸມການລົງທະບຽນ "certenr3". ມັນໃຊ້ UniversalStrings ສໍາລັບເກືອບທຸກຢ່າງ. ນັບຕັ້ງແຕ່
ການຄວບຄຸມອາຍຸມີແມງໄມ້ຄວາມປອດໄພຕ່າງໆການນໍາໃຊ້ຂອງຕົນແມ່ນທໍ້ຖອຍໃຈຢ່າງແຂງແຮງ. ໃໝ່ກວ່າ
ການຄວບຄຸມ "Xenroll" ບໍ່ຕ້ອງການທາງເລືອກນີ້.
- ປົກປັກຮັກສາ DN
ໂດຍປົກກະຕິຄໍາສັ່ງ DN ຂອງໃບຢັ້ງຢືນແມ່ນຄືກັນກັບຄໍາສັ່ງຂອງຊ່ອງຂໍ້ມູນໃນ
ພາກສ່ວນນະໂຍບາຍທີ່ກ່ຽວຂ້ອງ. ເມື່ອຕົວເລືອກນີ້ຖືກຕັ້ງຄໍາສັ່ງແມ່ນຄືກັນກັບຄໍາຮ້ອງຂໍ.
ນີ້ແມ່ນສ່ວນໃຫຍ່ສໍາລັບຄວາມເຂົ້າກັນໄດ້ກັບການຄວບຄຸມການລົງທະບຽນ IE ເກົ່າທີ່ຈະ
ພຽງແຕ່ຍອມຮັບໃບຢັ້ງຢືນຖ້າ DNs ຂອງພວກເຂົາກົງກັບຄໍາສັ່ງຂອງຄໍາຮ້ອງຂໍ. ນີ້ບໍ່ແມ່ນ
ຕ້ອງການສໍາລັບ Xenroll.
-nomailDN
DN ຂອງໃບຢັ້ງຢືນສາມາດມີຊ່ອງຂໍ້ມູນ EMAIL ຖ້າມີຢູ່ໃນຄໍາຮ້ອງຂໍ DN,
ແນວໃດກໍ່ຕາມມັນເປັນນະໂຍບາຍທີ່ດີພຽງແຕ່ມີ e-mail ທີ່ກໍານົດໄວ້ເຂົ້າໄປໃນສ່ວນຂະຫຍາຍ altName ຂອງ
ໃບຮັບຮອງ. ເມື່ອຕົວເລືອກນີ້ຖືກຕັ້ງ, ຊ່ອງຂໍ້ມູນ EMAIL ຈະຖືກລຶບອອກຈາກໃບຢັ້ງຢືນ'
ຫົວຂໍ້ແລະກໍານົດພຽງແຕ່ຢູ່ໃນ, ໃນທີ່ສຸດ, ປະຈຸບັນ, ສ່ວນຂະຫຍາຍ. ໄດ້ email_in_dn ຄໍາ
ສາມາດໃຊ້ໃນໄຟລ໌ການຕັ້ງຄ່າເພື່ອເປີດໃຊ້ພຶດຕິກໍານີ້.
- ຊຸດ
ນີ້ກໍານົດຮູບແບບ batch. ໃນຮູບແບບນີ້ຈະບໍ່ຖາມຄໍາຖາມແລະໃບຢັ້ງຢືນທັງຫມົດ
ຈະໄດ້ຮັບການຢັ້ງຢືນອັດຕະໂນມັດ.
- ການຂະຫຍາຍ ສ່ວນ
ພາກສ່ວນຂອງໄຟລ໌ການຕັ້ງຄ່າທີ່ມີສ່ວນຂະຫຍາຍໃບຢັ້ງຢືນທີ່ຈະເພີ່ມ
ເມື່ອໃບຢັ້ງຢືນອອກມາ (ຄ່າເລີ່ມຕົ້ນແມ່ນ x509_extensions ເວັ້ນເສຍແຕ່ວ່າ -extfile ທາງເລືອກ
ຖືກນໍາໃຊ້). ຖ້າບໍ່ມີສ່ວນຂະຫຍາຍຢູ່ແລ້ວ, ໃບຢັ້ງຢືນ V1 ຈະຖືກສ້າງຂື້ນ. ຖ້າ
ພາກສ່ວນການຂະຫຍາຍແມ່ນມີຢູ່ (ເຖິງແມ່ນວ່າມັນຫວ່າງເປົ່າ), ຫຼັງຈາກນັ້ນໃບຢັ້ງຢືນ V3 ແມ່ນຖືກສ້າງຂຶ້ນ.
ເບິ່ງ: ວ x509v3_config(5) ຫນ້າຄູ່ມືສໍາລັບລາຍລະອຽດຂອງຮູບແບບສ່ວນຂະຫຍາຍ.
-extfile ເອກະສານ
ໄຟລ໌ການຕັ້ງຄ່າເພີ່ມເຕີມເພື່ອອ່ານການຂະຫຍາຍໃບຢັ້ງຢືນຈາກ (ໂດຍໃຊ້
ພາກສ່ວນເລີ່ມຕົ້ນເວັ້ນເສຍແຕ່ໄດ້ - ການຂະຫຍາຍ ທາງເລືອກຍັງຖືກນໍາໃຊ້).
- ເຄື່ອງຈັກ id
ການລະບຸເຄື່ອງຈັກ (ໂດຍເປັນເອກະລັກຂອງມັນ id string) ຈະເຮັດໃຫ້ເກີດ ca ເພື່ອພະຍາຍາມທີ່ຈະໄດ້ຮັບ a
ການອ້າງອິງທີ່ເປັນປະໂຫຍດຕໍ່ເຄື່ອງຈັກທີ່ລະບຸ, ດັ່ງນັ້ນການເລີ່ມຕົ້ນມັນຖ້າຈໍາເປັນ. ໄດ້
ຫຼັງຈາກນັ້ນ, ເຄື່ອງຈັກຈະຖືກຕັ້ງເປັນຄ່າເລີ່ມຕົ້ນຂອງ algorithms ທີ່ມີຢູ່ທັງໝົດ.
- ຍ່ອຍ arg
ແທນທີ່ຊື່ຫົວຂໍ້ທີ່ລະບຸໄວ້ໃນຄໍາຮ້ອງຂໍ. Arg ຕ້ອງຖືກຈັດຮູບແບບເປັນ
/type0=value0/type1=value1/type2=..., ຕົວອັກສອນອາດຈະຖືກຫລົບຫນີໂດຍ \ (backslash), ບໍ່ມີ
ຊ່ອງຫວ່າງຖືກຂ້າມ.
-utf8
ທາງເລືອກນີ້ເຮັດໃຫ້ຄ່າພາກສະຫນາມໄດ້ຮັບການຕີລາຄາເປັນ UTF8 ສະຕຣິງ, ໂດຍຄ່າເລີ່ມຕົ້ນພວກເຂົາເຈົ້າແມ່ນ
ແປເປັນ ASCII. ນີ້ຫມາຍຄວາມວ່າຄ່າພາກສະຫນາມ, ບໍ່ວ່າຈະຖືກກະຕຸ້ນຈາກ a
terminal ຫຼືໄດ້ມາຈາກໄຟລ໌ການຕັ້ງຄ່າ, ຕ້ອງເປັນສາຍ UTF8 ທີ່ຖືກຕ້ອງ.
-multivalue-rdn
ຕົວເລືອກນີ້ເຮັດໃຫ້ການໂຕ້ຖຽງ -subj ໄດ້ຮັບການຕີຄວາມຫມາຍດ້ວຍການສະຫນັບສະຫນູນຢ່າງເຕັມທີ່ສໍາລັບ
RDNs ຫຼາຍມູນຄ່າ. ຕົວຢ່າງ:
/DC=org/DC=OpenSSL/DC=users/UID=123456+CN=John Doe
ຖ້າ -multi-rdn ບໍ່ໄດ້ໃຊ້ແລ້ວຄ່າ UID ແມ່ນ 123456+CN=ຈອນ Doe.
C.R.L. OPTIONS
-gencrl
ຕົວເລືອກນີ້ສ້າງ CRL ໂດຍອີງໃສ່ຂໍ້ມູນໃນເອກະສານດັດສະນີ.
- crldays num
ຈຳນວນມື້ກ່ອນ CRL ຕໍ່ໄປຈະຮອດກຳນົດ. ນັ້ນແມ່ນມື້ນັບແຕ່ນີ້ໄປສູ່ບ່ອນຢູ່
ພາກສະຫນາມ CRL nextUpdate.
-crl ຊົ່ວໂມງ num
ຈຳນວນຊົ່ວໂມງກ່ອນ CRL ຕໍ່ໄປຈະຮອດກຳນົດ.
- ຖອນຄືນ ຊື່ເອກະສານ
ຊື່ໄຟລ໌ທີ່ມີໃບຢັ້ງຢືນທີ່ຈະຖອນຄືນ.
- ສະຖານະພາບ serial
ສະແດງສະຖານະການຍົກເລີກໃບຢັ້ງຢືນການທີ່ມີຈໍານວນ serial ທີ່ກໍານົດໄວ້ແລະ
ອອກ.
- ການປັບປຸງ
ປັບປຸງດັດສະນີຖານຂໍ້ມູນເພື່ອລຶບໃບຮັບຮອງໝົດອາຍຸອອກ.
-crl_ເຫດຜົນ ເຫດຜົນ
ເຫດຜົນການຍົກເລີກ, ບ່ອນທີ່ ເຫດຜົນ ແມ່ນຫນຶ່ງໃນ: unspecified, ການປະນີປະນອມທີ່ສໍາຄັນ, CACompromise,
ການພົວພັນການປ່ຽນແປງ, ແທນ, ການຢຸດເຊົາການປະຕິບັດ, ຖືໃບຢັ້ງຢືນ or
ເອົາອອກຈາກCRL. ການຈັບຄູ່ຂອງ ເຫດຜົນ ແມ່ນກໍລະນີທີ່ບໍ່ລະອຽດອ່ອນ. ການຕັ້ງຄ່າການຍົກເລີກໃດໆ
ເຫດຜົນຈະເຮັດໃຫ້ CRL v2.
ໃນການປະຕິບັດ ເອົາອອກຈາກCRL ບໍ່ເປັນປະໂຫຍດໂດຍສະເພາະເນື່ອງຈາກວ່າມັນຖືກນໍາໃຊ້ພຽງແຕ່ໃນ delta
CRLs ທີ່ບໍ່ໄດ້ປະຕິບັດໃນປັດຈຸບັນ.
-crl_hold ຄໍາແນະນໍາແລະ
ນີ້ກໍານົດລະຫັດເຫດຜົນການຖອນ CRL ເປັນ ຖືໃບຢັ້ງຢືນ ແລະຄໍາແນະນໍາການຖື
to ຄໍາແນະນໍາແລະ ເຊິ່ງຕ້ອງເປັນ OID. ເຖິງແມ່ນວ່າ OID ໃດສາມາດຖືກນໍາໃຊ້ເທົ່ານັ້ນ
ຖືຄໍາແນະນໍາບໍ່ມີ (ການນໍາໃຊ້ທີ່ທໍ້ຖອຍໃຈໂດຍ RFC2459)
ຖື InstructionCallIssuer or ປະຕິເສດການສັ່ງສອນ ປົກກະຕິແລ້ວຈະຖືກນໍາໃຊ້.
-crl_compromise ທີ່ໃຊ້ເວລາ
ນີ້ກໍານົດເຫດຜົນການຖອນຄືນ ການປະນີປະນອມທີ່ສໍາຄັນ ແລະເວລາປະນີປະນອມກັບ ທີ່ໃຊ້ເວລາ. ທີ່ໃຊ້ເວລາ
ຄວນຢູ່ໃນຮູບແບບ GeneralizedTime ທີ່ເປັນ YYYYMMDDHHMMSZ.
-crl_CA_ປະນີປະນອມ ທີ່ໃຊ້ເວລາ
ນີ້ແມ່ນຄືກັນກັບ crl_compromise ຍົກເວັ້ນເຫດຜົນການຍົກເລີກແມ່ນກໍານົດໄວ້
CACompromise.
- crlexts ສ່ວນ
ພາກສ່ວນຂອງໄຟລ໌ການຕັ້ງຄ່າທີ່ມີສ່ວນຂະຫຍາຍ CRL ທີ່ຈະລວມເອົາ. ຖ້າບໍ່ມີ CRL
ພາກຂະຫຍາຍແມ່ນປະຈຸບັນຫຼັງຈາກນັ້ນ V1 CRL ຖືກສ້າງຂື້ນ, ຖ້າສ່ວນຂະຫຍາຍ CRL ແມ່ນ
ປະຈຸບັນ (ເຖິງແມ່ນວ່າມັນຫວ່າງເປົ່າ) ຫຼັງຈາກນັ້ນ V2 CRL ຖືກສ້າງຂື້ນ. ສ່ວນຂະຫຍາຍ CRL ທີ່ລະບຸໄວ້
ແມ່ນການຂະຫຍາຍ CRL ແລະ ບໍ່ ສ່ວນຂະຫຍາຍການເຂົ້າ CRL. ຄວນສັງເກດວ່າບາງ
ຊອບແວ (ຕົວຢ່າງ Netscape) ບໍ່ສາມາດຈັດການກັບ V2 CRLs. ເບິ່ງ x509v3_config(5) ຫນ້າຄູ່ມື
ສໍາລັບລາຍລະອຽດຂອງຮູບແບບສ່ວນຂະຫຍາຍ.
CONFIGURATION ເອກະສານ OPTIONS
ພາກສ່ວນຂອງໄຟລ໌ການຕັ້ງຄ່າທີ່ມີທາງເລືອກສໍາລັບ ca ພົບເຫັນດັ່ງນີ້: ຖ້າ
ໄດ້ -yam ທາງເລືອກເສັ້ນຄໍາສັ່ງຖືກນໍາໃຊ້, ຫຼັງຈາກນັ້ນມັນຕັ້ງຊື່ພາກສ່ວນທີ່ຈະນໍາໃຊ້. ຖ້າບໍ່ດັ່ງນັ້ນ
ພາກສ່ວນທີ່ຈະນໍາໃຊ້ຕ້ອງໄດ້ຮັບການຕັ້ງຊື່ໃນ default_ca ທາງເລືອກຂອງ ca ພາກສ່ວນຂອງ
ໄຟລ໌ການຕັ້ງຄ່າ (ຫຼືຢູ່ໃນພາກເລີ່ມຕົ້ນຂອງໄຟລ໌ການຕັ້ງຄ່າ). ນອກຈາກນັ້ນ
default_ca, ທາງເລືອກຕໍ່ໄປນີ້ແມ່ນອ່ານໂດຍກົງຈາກ ca ສ່ວນ:
ເກັບຮັກສາ RANDFILE
msie_hack ມີຂໍ້ຍົກເວັ້ນຂອງ RANDFILE, ນີ້ອາດຈະເປັນ bug ແລະອາດຈະມີການປ່ຽນແປງໃນອະນາຄົດ
ປ່ອຍອອກມາ.
ຕົວເລືອກໄຟລ໌ການຕັ້ງຄ່າຫຼາຍອັນແມ່ນຄືກັນກັບຕົວເລືອກແຖວຄຳສັ່ງ. ບ່ອນທີ່
ທາງເລືອກແມ່ນມີຢູ່ໃນໄຟລ໌ການຕັ້ງຄ່າແລະບັນຊີຄໍາສັ່ງທີ່ຄ່າເສັ້ນຄໍາສັ່ງແມ່ນ
ໃຊ້. ບ່ອນທີ່ທາງເລືອກຖືກອະທິບາຍວ່າເປັນການບັງຄັບຫຼັງຈາກນັ້ນມັນຕ້ອງມີຢູ່ໃນ
ໄຟລ໌ການຕັ້ງຄ່າຫຼືເສັ້ນຄໍາສັ່ງທຽບເທົ່າ (ຖ້າມີ) ໃຊ້.
oid_file
ນີ້ລະບຸໄຟລ໌ທີ່ປະກອບດ້ວຍເພີ່ມເຕີມ ເປົ້າ ໝາຍ ຕົວລະບຸຕົວຕົນ. ແຕ່ລະແຖວຂອງໄຟລ໌
ຄວນປະກອບດ້ວຍຮູບແບບຕົວເລກຂອງຕົວລະບຸວັດຖຸຕາມດ້ວຍພື້ນທີ່ສີຂາວ
ຫຼັງຈາກນັ້ນ, ຊື່ສັ້ນຕິດຕາມດ້ວຍຊ່ອງສີຂາວແລະສຸດທ້າຍຊື່ຍາວ.
oid_section
ນີ້ລະບຸພາກສ່ວນໃນໄຟລ໌ການຕັ້ງຄ່າທີ່ມີວັດຖຸພິເສດ
ຕົວລະບຸ. ແຕ່ລະແຖວຄວນປະກອບດ້ວຍຊື່ສັ້ນຂອງຕົວລະບຸວັດຖຸ
ປະຕິບັດຕາມໂດຍ = ແລະຮູບແບບຕົວເລກ. ຊື່ສັ້ນແລະຍາວແມ່ນຄືກັນເມື່ອນີ້
ທາງເລືອກແມ່ນຖືກນໍາໃຊ້.
new_certs_dir
ເຊັ່ນດຽວກັນກັບ - outdir ທາງເລືອກແຖວຄໍາສັ່ງ. ມັນກໍານົດໄດເລກະທໍລີບ່ອນທີ່ໃຫມ່
ໃບຮັບຮອງຈະຖືກວາງໄວ້. ບັງຄັບ.
ໃບຢັ້ງຢືນການ
ຄືກັນກັບ - ໃບຢັ້ງຢືນ. ມັນໃຫ້ໄຟລ໌ທີ່ມີໃບຢັ້ງຢືນ CA. ບັງຄັບ.
ລະຫັດສ່ວນຕົວ
ເຊັ່ນດຽວກັນກັບ -keyfile ທາງເລືອກ. ໄຟລ໌ທີ່ມີລະຫັດສ່ວນຕົວ CA. ບັງຄັບ.
RANDFILE
ໄຟລ໌ທີ່ໃຊ້ໃນການອ່ານ ແລະຂຽນຂໍ້ມູນເມັດພັນຕົວເລກແບບສຸ່ມ, ຫຼືຊ່ອງສຽບ EGD (ເບິ່ງ
RAND_eg(3)).
default_days
ເຊັ່ນດຽວກັນກັບ - ມື້ ທາງເລືອກ. ຈໍານວນຂອງມື້ເພື່ອຮັບຮອງເອົາໃບຢັ້ງຢືນການສໍາລັບການ.
default_startdate
ເຊັ່ນດຽວກັນກັບ -ວັນທີ່ເລີ່ມ ທາງເລືອກ. ວັນທີເລີ່ມຕົ້ນເພື່ອຢັ້ງຢືນໃບຢັ້ງຢືນສໍາລັບ. ຖ້າບໍ່
ກໍານົດເວລາປະຈຸບັນຖືກນໍາໃຊ້.
default_enddate
ເຊັ່ນດຽວກັນກັບ - ວັນທີສິ້ນສຸດ ທາງເລືອກ. ບໍ່ວ່າທາງເລືອກນີ້ຫຼື default_days (ຫຼືຄໍາສັ່ງ
line equivalents) ຕ້ອງມີ.
default_crl_hours default_crl_days
ເຊັ່ນດຽວກັນກັບ -crl ຊົ່ວໂມງ ແລະ - crldays ທາງເລືອກ. ເຫຼົ່ານີ້ຈະຖືກນໍາໃຊ້ພຽງແຕ່ຖ້າຫາກວ່າທັງສອງ
ທາງເລືອກແຖວຄໍາສັ່ງແມ່ນມີຢູ່. ຢ່າງໜ້ອຍໜຶ່ງອັນຈະຕ້ອງມີຢູ່ເພື່ອສ້າງ a
CRL.
default_md
ເຊັ່ນດຽວກັນກັບ -md ທາງເລືອກ. ຂໍ້ຄວາມຍ່ອຍທີ່ຈະໃຊ້. ບັງຄັບ.
ຖານຂໍ້ມູນ
ໄຟລ໌ຖານຂໍ້ມູນຂໍ້ຄວາມທີ່ຈະໃຊ້. ບັງຄັບ. ໄຟລ໌ນີ້ຈະຕ້ອງຢູ່ໃນຕອນຕົ້ນ
ມັນຈະຫວ່າງເປົ່າ.
unique_subject
ຖ້າມູນຄ່າ yes ແມ່ນໃຫ້, ໃບຢັ້ງຢືນທີ່ຖືກຕ້ອງໃນຖານຂໍ້ມູນຕ້ອງມີ
ວິຊາສະເພາະ. ຖ້າມູນຄ່າ no ໄດ້ຖືກມອບໃຫ້, ຫຼາຍລາຍການໃບຢັ້ງຢືນທີ່ຖືກຕ້ອງອາດມີ
ວິຊາດຽວກັນຄືກັນອ້ອຍຕ້ອຍ. ຄ່າເລີ່ມຕົ້ນແມ່ນ yes, ເພື່ອໃຫ້ເຂົ້າກັນໄດ້ກັບເກົ່າ (pre
0.9.8) ລຸ້ນ OpenSSL. ຢ່າງໃດກໍຕາມ, ເພື່ອເຮັດໃຫ້ໃບຮັບຮອງ CA roll-over ງ່າຍຂຶ້ນ, ມັນເປັນ
ແນະນໍາໃຫ້ໃຊ້ມູນຄ່າ no, ໂດຍສະເພາະຖ້າຫາກວ່າລວມກັບ - ຂຽນຕົນເອງ ຄໍາສັ່ງ
ທາງເລືອກເສັ້ນ.
serial
ໄຟລ໌ຂໍ້ຄວາມທີ່ມີເລກລໍາດັບຕໍ່ໄປເພື່ອໃຊ້ໃນ hex. ບັງຄັບ. ໄຟລ໌ນີ້
ຕ້ອງມີ serial number ທີ່ຖືກຕ້ອງ.
ໝາຍເລກ crln
ໄຟລ໌ຂໍ້ຄວາມທີ່ມີຕົວເລກ CRL ຕໍ່ໄປເພື່ອໃຊ້ໃນ hex. ຕົວເລກ crl ຈະເປັນ
ໃສ່ໃນ CRLs ພຽງແຕ່ຖ້າໄຟລ໌ນີ້ມີຢູ່. ຖ້າໄຟລ໌ນີ້ມີຢູ່, ມັນຕ້ອງ
ມີໝາຍເລກ CRL ທີ່ຖືກຕ້ອງ.
x509_extensions
ຄືກັນກັບ - ການຂະຫຍາຍ.
crl_extensions
ຄືກັນກັບ - crlexts.
ຮັກສາ
ຄືກັນກັບ - ປົກປັກຮັກສາ DN
email_in_dn
ຄືກັນກັບ -nomailDN. ຖ້າທ່ານຕ້ອງການໃຫ້ຊ່ອງຂໍ້ມູນ EMAIL ອອກຈາກ DN ຂອງ
ໃບຢັ້ງຢືນພຽງແຕ່ຕັ້ງນີ້ເປັນ 'ບໍ່'. ຖ້າຫາກວ່າບໍ່ໄດ້ນໍາສະເຫນີໃນຕອນຕົ້ນແມ່ນເພື່ອອະນຸຍາດໃຫ້ສໍາລັບການ
EMAIL ຍື່ນໃນ DN ຂອງໃບຢັ້ງຢືນ.
msie_hack
ຄືກັນກັບ -msie_hack
ນະໂຍບາຍ
ຄືກັນກັບ - ນະໂຍບາຍ. ບັງຄັບ. ເບິ່ງ POLICY ຮູບແບບ ສ່ວນ ສຳ ລັບຂໍ້ມູນເພີ່ມເຕີມ.
name_opt, cert_opt
ທາງເລືອກເຫຼົ່ານີ້ອະນຸຍາດໃຫ້ຮູບແບບການນໍາໃຊ້ເພື່ອສະແດງລາຍລະອຽດໃບຢັ້ງຢືນໃນເວລາທີ່ຮ້ອງຂໍໃຫ້
ຜູ້ໃຊ້ເພື່ອຢືນຢັນການລົງນາມ. ທາງເລືອກທັງຫມົດສະຫນັບສະຫນູນໂດຍ x509 ງົບປະມານຂອງ -nameopt ແລະ
-certopt ສະວິດສາມາດຖືກນໍາໃຊ້ຢູ່ທີ່ນີ້, ຍົກເວັ້ນ no_signame ແລະ no_sigdump ມີ
ກໍານົດຢ່າງຖາວອນແລະບໍ່ສາມາດປິດການໃຊ້ງານໄດ້ (ອັນນີ້ແມ່ນຍ້ອນວ່າລາຍເຊັນຂອງໃບຢັ້ງຢືນ
ບໍ່ສາມາດສະແດງໄດ້ເນື່ອງຈາກວ່າໃບຢັ້ງຢືນການບໍ່ໄດ້ຖືກເຊັນໃນຈຸດນີ້).
ເພື່ອຄວາມສະດວກຄຸນຄ່າ ca_default ໄດ້ຮັບການຍອມຮັບໂດຍທັງສອງເພື່ອຜະລິດສົມເຫດສົມຜົນ
ຜົນຜະລິດ.
ຖ້າບໍ່ມີທາງເລືອກໃດນຶ່ງ ຮູບແບບທີ່ໃຊ້ໃນ OpenSSL ລຸ້ນກ່ອນໜ້ານັ້ນຖືກໃຊ້.
ການນໍາໃຊ້ຮູບແບບເກົ່າແມ່ນ ຢ່າງແຂງແຮງ ທໍ້ຖອຍໃຈເພາະວ່າມັນພຽງແຕ່ສະແດງຊ່ອງຂໍ້ມູນ
ກ່າວເຖິງໃນ ນະໂຍບາຍ section, mishandles multicharacter string types and not
ສະແດງສ່ວນຂະຫຍາຍ.
copy_extensions
ກໍານົດວິທີການຂະຫຍາຍການຮ້ອງຂໍໃບຢັ້ງຢືນຄວນໄດ້ຮັບການຈັດການກັບ. ຖ້າຕັ້ງເປັນ none
ຫຼືຕົວເລືອກນີ້ບໍ່ມີຢູ່ແລ້ວ ສ່ວນຂະຫຍາຍຈະຖືກລະເລີຍ ແລະບໍ່ໄດ້ສຳເນົາໃສ່
ໃບຮັບຮອງ. ຖ້າຕັ້ງເປັນ ຄັດລອກ ຫຼັງຈາກນັ້ນ, ການຂະຫຍາຍໃດໆທີ່ມີຢູ່ໃນຄໍາຮ້ອງຂໍທີ່ບໍ່ແມ່ນ
ປະຈຸບັນໄດ້ຖືກຄັດລອກໃສ່ໃບຢັ້ງຢືນ. ຖ້າຕັ້ງເປັນ copyall ຫຼັງຈາກນັ້ນ, ການຂະຫຍາຍທັງຫມົດ
ໃນຄໍາຮ້ອງສະຫມັກໄດ້ຖືກຄັດລອກໄປໃນໃບຢັ້ງຢືນການ: ຖ້າຫາກວ່າການຂະຫຍາຍແມ່ນມີຢູ່ແລ້ວໃນ
ໃບຮັບຮອງມັນຖືກລຶບກ່ອນ. ເບິ່ງ ຄໍາເຕືອນ ພາກສ່ວນກ່ອນທີ່ຈະນໍາໃຊ້ນີ້
ທາງເລືອກ.
ການນໍາໃຊ້ຕົ້ນຕໍຂອງທາງເລືອກນີ້ແມ່ນເພື່ອອະນຸຍາດໃຫ້ຄໍາຮ້ອງຂໍໃບຢັ້ງຢືນການສະຫນອງມູນຄ່າສໍາລັບ
ສ່ວນຂະຫຍາຍສະເພາະເຊັ່ນ subjectAltName.
POLICY ຮູບແບບ
ພາກສ່ວນນະໂຍບາຍປະກອບດ້ວຍຊຸດຂອງຕົວແປທີ່ສອດຄ້ອງກັບຊ່ອງຂໍ້ມູນໃບຢັ້ງຢືນ DN.
ຖ້າຄ່າແມ່ນ "ກົງກັນ" ຫຼັງຈາກນັ້ນຄ່າພາກສະຫນາມຕ້ອງກົງກັບພາກສະຫນາມດຽວກັນໃນ CA
ໃບຮັບຮອງ. ຖ້າຄ່າແມ່ນ "ສະຫນອງ" ມັນຈະຕ້ອງປະຈຸບັນ. ຖ້າມູນຄ່າແມ່ນ
"ທາງເລືອກ" ຫຼັງຈາກນັ້ນມັນອາດຈະມີຢູ່. ຊ່ອງຂໍ້ມູນໃດໆທີ່ບໍ່ໄດ້ກ່າວເຖິງຢູ່ໃນພາກນະໂຍບາຍແມ່ນ
ລຶບອອກຢ່າງງຽບໆ, ເວັ້ນເສຍແຕ່ວ່າ - ປົກປັກຮັກສາ DN ທາງເລືອກທີ່ໄດ້ຖືກກໍານົດແຕ່ນີ້ສາມາດໄດ້ຮັບການຖືຫຼາຍກວ່າເປັນ
ແປກປະຫຼາດກວ່າພຶດຕິກໍາທີ່ຕັ້ງໃຈ.
SPKAC ຮູບແບບ
ການປ້ອນຂໍ້ມູນໃສ່ -spkac ຕົວເລືອກແຖວຄໍາສັ່ງແມ່ນລະຫັດສາທາລະນະທີ່ເຊັນ Netscape ແລະສິ່ງທ້າທາຍ.
ນີ້ປົກກະຕິແລ້ວຈະມາຈາກ ກະແຈ tag ໃນຮູບແບບ HTML ເພື່ອສ້າງລະຫັດສ່ວນຕົວໃຫມ່.
ຢ່າງໃດກໍຕາມ, ມັນເປັນໄປໄດ້ທີ່ຈະສ້າງ SPKACs ໂດຍໃຊ້ spkac utility
ໄຟລ໌ຄວນມີຕົວແປ SPKAC ທີ່ຕັ້ງເປັນຄ່າຂອງ SPKAC ແລະ
ອົງປະກອບ DN ທີ່ຕ້ອງການເປັນຄູ່ຄ່າຊື່. ຖ້າທ່ານຕ້ອງການປະກອບອົງປະກອບດຽວກັນ
ສອງຄັ້ງຫຼັງຈາກນັ້ນມັນສາມາດຖືກນໍາຫນ້າດ້ວຍຕົວເລກແລະ '.'.
ເມື່ອປະມວນຜົນຮູບແບບ SPKAC, ຜົນຜະລິດແມ່ນ DER ຖ້າ - ອອກ ທຸງຖືກນໍາໃຊ້, ແຕ່ຮູບແບບ PEM
ຖ້າສົ່ງໄປທີ່ stdout ຫຼື - outdir ທຸງຖືກໃຊ້.
ຕົວຢ່າງ
ຫມາຍເຫດ: ຕົວຢ່າງເຫຼົ່ານີ້ສົມມຸດວ່າ ca ໂຄງສ້າງໄດເລກະທໍລີຖືກຕັ້ງໄວ້ແລ້ວແລະ
ໄຟລ໌ທີ່ກ່ຽວຂ້ອງມີຢູ່ແລ້ວ. ນີ້ປົກກະຕິແລ້ວກ່ຽວຂ້ອງກັບການສ້າງໃບຢັ້ງຢືນ CA ແລະເອກະຊົນ
ຄີກັບ ຄວາມຕ້ອງການ, ໄຟລ໌ຈໍານວນ serial ແລະໄຟລ໌ດັດສະນີຫວ່າງເປົ່າແລະວາງໃຫ້ເຂົາເຈົ້າຢູ່ໃນ
ລາຍການທີ່ກ່ຽວຂ້ອງ.
ເພື່ອໃຊ້ໄຟລ໌ການຕັ້ງຄ່າຕົວຢ່າງຂ້າງລຸ່ມນີ້ໄດເລກະທໍລີ demoCA, demoCA/private ແລະ
demoCA/newcerts ຈະຖືກສ້າງຂຶ້ນ. ໃບຮັບຮອງ CA ຈະຖືກສຳເນົາໄປທີ່ demoCA/cacert.pem
ແລະກະແຈສ່ວນຕົວຂອງມັນໄປທີ່ demoCA/private/cakey.pem. ໄຟລ໌ demoCA/serial ຈະຖືກສ້າງຂຶ້ນ
ປະກອບມີຕົວຢ່າງ "01" ແລະໄຟລ໌ດັດສະນີເປົ່າຫວ່າງ demoCA/index.txt.
ເຊັນຊື່ຄໍາຮ້ອງຂໍໃບຢັ້ງຢືນ:
openssl ca -in req.pem -out newcert.pem
ເຊັນຊື່ຄໍາຮ້ອງຂໍໃບຢັ້ງຢືນ, ໂດຍໃຊ້ສ່ວນຂະຫຍາຍ CA:
openssl ca -in req.pem -extensions v3_ca -out newcert.pem
ສ້າງ CRL
openssl ca -gencrl -out crl.pem
ເຊັນຄໍາຮ້ອງສະຫມັກຈໍານວນຫນຶ່ງ:
openssl ca -infiles req1.pem req2.pem req3.pem
ຮັບຮອງ Netscape SPKAC:
openssl ca -spkac spkac.txt
ໄຟລ໌ SPKAC ຕົວຢ່າງ (ເສັ້ນ SPKAC ໄດ້ຖືກຕັດອອກເພື່ອຄວາມຊັດເຈນ):
SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN=Steve Test
emailAddress=[email protected]
0.OU=OpenSSL ກຸ່ມ
1.OU=ກຸ່ມອື່ນ
ໄຟລ໌ການຕັ້ງຄ່າຕົວຢ່າງທີ່ມີພາກສ່ວນທີ່ກ່ຽວຂ້ອງສໍາລັບ ca:
[ ca ]
default_ca = CA_default # ສ່ວນ ca ເລີ່ມຕົ້ນ
[ CA_default ]
dir = ./demoCA # ເທິງ dir
ຖານຂໍ້ມູນ = $dir/index.txt # ໄຟລ໌ດັດສະນີ.
new_certs_dir = $dir/newcerts # ໃບຢັ້ງຢືນໃໝ່ dir
certificate = $dir/cacert.pem # ໃບຢັ້ງຢືນ CA
serial = $dir/serial # serial ບໍ່ມີໄຟລ໌
private_key = $dir/private/cakey.pem# ກະແຈສ່ວນຕົວ CA
RANDFILE = $dir/private/.rand # ໄຟລ໌ຕົວເລກແບບສຸ່ມ
default_days = 365 # ດົນປານໃດເພື່ອຢັ້ງຢືນ
default_crl_days= 30 # ດົນປານໃດກ່ອນ CRL ຕໍ່ໄປ
default_md = md5 # md ທີ່ຈະໃຊ້
policy = policy_any # ນະໂຍບາຍເລີ່ມຕົ້ນ
email_in_dn = ບໍ່ # ຢ່າເພີ່ມອີເມວເຂົ້າໃນ cert DN
name_opt = ca_default # ຕົວເລືອກການສະແດງຊື່ຫົວຂໍ້
cert_opt = ca_default # ທາງເລືອກການສະແດງໃບຢັ້ງຢືນ
copy_extensions = none # ຢ່າສຳເນົາສ່ວນຂະຫຍາຍຈາກການຮ້ອງຂໍ
[ policy_any ]
countryName = ສະໜອງໃຫ້
stateOrProvinceName = ທາງເລືອກ
organizationName = ທາງເລືອກ
organizationalUnitName = ທາງເລືອກ
commonName = ສະໜອງໃຫ້
emailAddress = ທາງເລືອກ
ໃຊ້ cassl ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net