ນີ້ແມ່ນຄໍາສັ່ງ certutil ທີ່ສາມາດດໍາເນີນການໄດ້ໃນ OnWorks ຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຟຣີໂດຍໃຊ້ຫນຶ່ງໃນຫຼາຍສະຖານີເຮັດວຽກອອນໄລນ໌ຂອງພວກເຮົາເຊັ່ນ Ubuntu Online, Fedora Online, Windows online emulator ຫຼື MAC OS online emulator
ໂຄງການ:
NAME
certutil - ຈັດການກະແຈແລະໃບຢັ້ງຢືນໃນທັງຖານຂໍ້ມູນ NSS ແລະ tokens NSS ອື່ນໆ
ສະຫຼຸບສັງລວມ
ໃບຢັ້ງຢືນ [ທາງເລືອກໃນການ][[ກະທູ້ທີ່]]
STATUS
ເອກະສານນີ້ຍັງເຮັດວຽກຢູ່. ກະລຸນາປະກອບສ່ວນເຂົ້າໃນການກວດສອບເບື້ອງຕົ້ນໃນ
Mozilla NSS bug 836477[1]
ລາຍລະອຽດ
ເຄື່ອງມືຖານຂໍ້ມູນໃບຢັ້ງຢືນ, ໃບຢັ້ງຢືນ, ເປັນເຄື່ອງໃຊ້ຄໍາສັ່ງທີ່ສາມາດສ້າງແລະ
ແກ້ໄຂໃບຢັ້ງຢືນ ແລະຖານຂໍ້ມູນຫຼັກ. ມັນໂດຍສະເພາະສາມາດບັນຊີລາຍການ, ສ້າງ, ປັບປຸງແກ້ໄຂ, ຫຼື
ລຶບໃບຮັບຮອງ, ສ້າງ ຫຼືປ່ຽນລະຫັດຜ່ານ, ສ້າງລະຫັດສາທາລະນະ ແລະສ່ວນຕົວໃໝ່
ຄູ່, ສະແດງເນື້ອໃນຂອງຖານຂໍ້ມູນທີ່ສໍາຄັນ, ຫຼືລຶບຄູ່ທີ່ສໍາຄັນພາຍໃນຄີ
ຖານຂໍ້ມູນ.
ການອອກໃບຢັ້ງຢືນ, ສ່ວນຫນຶ່ງຂອງຂະບວນການຄຸ້ມຄອງຫລັກແລະໃບຢັ້ງຢືນ, ຮຽກຮ້ອງໃຫ້
ລະຫັດແລະໃບຢັ້ງຢືນຖືກສ້າງຂື້ນໃນຖານຂໍ້ມູນທີ່ສໍາຄັນ. ເອກະສານນີ້ສົນທະນາກ່ຽວກັບໃບຢັ້ງຢືນ
ແລະການຄຸ້ມຄອງຖານຂໍ້ມູນທີ່ສໍາຄັນ. ສໍາລັບຂໍ້ມູນກ່ຽວກັບການຄຸ້ມຄອງຖານຂໍ້ມູນໂມດູນຄວາມປອດໄພ,
ເບິ່ງໄດ້ modutil manpage.
ຄໍາສັ່ງ OPTIONS ແລະ ການໂຕ້ຖຽງ
ເຮັດວຽກ ໃບຢັ້ງຢືນ ສະເຫມີຮຽກຮ້ອງໃຫ້ມີຫນຶ່ງແລະພຽງແຕ່ຫນຶ່ງທາງເລືອກຄໍາສັ່ງທີ່ຈະລະບຸປະເພດຂອງ
ການດໍາເນີນງານໃບຢັ້ງຢືນ. ແຕ່ລະທາງເລືອກຄໍາສັ່ງອາດຈະໃຊ້ເວລາສູນຫຼືຫຼາຍກວ່າ argument. ຄໍາສັ່ງ
ທາງເລືອກ -H ຈະລາຍຊື່ຕົວເລືອກຄໍາສັ່ງທັງຫມົດແລະການໂຕ້ຖຽງທີ່ກ່ຽວຂ້ອງຂອງພວກເຂົາ.
ຄໍາສັ່ງ ທາງເລືອກໃນການ
-A
ເພີ່ມໃບຮັບຮອງທີ່ມີຢູ່ແລ້ວໃສ່ຖານຂໍ້ມູນໃບຮັບຮອງ. ຖານຂໍ້ມູນໃບຢັ້ງຢືນຄວນ
ມີຢູ່ແລ້ວ; ຖ້າອັນໃດບໍ່ຢູ່, ຕົວເລືອກຄຳສັ່ງນີ້ຈະເລີ່ມຕົ້ນເທື່ອໜຶ່ງ
Default
-B
ດໍາເນີນການຊຸດຂອງຄໍາສັ່ງຈາກໄຟລ໌ batch ທີ່ລະບຸ. ນີ້ຮຽກຮ້ອງໃຫ້ມີ -i ການໂຕ້ຖຽງ.
-C
ສ້າງໄຟລ໌ໃບຮັບຮອງຄູ່ໃໝ່ຈາກໄຟລ໌ຄໍາຮ້ອງຂໍໃບຮັບຮອງຄູ່. ໃຊ້
-i argument ເພື່ອລະບຸໄຟລ໌ຄໍາຮ້ອງຂໍໃບຢັ້ງຢືນ. ຖ້າການໂຕ້ຖຽງນີ້ບໍ່ຖືກນໍາໃຊ້,
ໃບຢັ້ງຢືນ ເຕືອນສໍາລັບຊື່ໄຟລ໌.
-D
ລຶບໃບຮັບຮອງຈາກຖານຂໍ້ມູນໃບຮັບຮອງ.
--ປ່ຽນຊື່
ປ່ຽນຊື່ຖານຂໍ້ມູນຂອງໃບຢັ້ງຢືນ.
-E
ເພີ່ມໃບຢັ້ງຢືນອີເມວໃສ່ຖານຂໍ້ມູນໃບຮັບຮອງ.
-F
ລຶບກະແຈສ່ວນຕົວອອກຈາກຖານຂໍ້ມູນຫຼັກ. ລະບຸລະຫັດເພື່ອລຶບດ້ວຍເຄື່ອງໝາຍ -n
ການໂຕ້ຖຽງ. ລະບຸຖານຂໍ້ມູນທີ່ຈະລຶບຄີທີ່ມີ -d ການໂຕ້ຖຽງ. ໃຊ້
ໄດ້ -k ການໂຕ້ຖຽງເພື່ອລະບຸຢ່າງຊັດເຈນວ່າຈະລຶບລະຫັດ DSA, RSA, ຫຼື ECC. ຖ້າເຈົ້າ
ຢ່າໃຊ້ -k ການໂຕ້ຖຽງ, ທາງເລືອກຊອກຫາລະຫັດ RSA ທີ່ກົງກັບທີ່ລະບຸ
nickname
ເມື່ອທ່ານລຶບກະແຈ, ໃຫ້ແນ່ໃຈວ່າຈະເອົາໃບຮັບຮອງໃດໆກໍຕາມທີ່ກ່ຽວຂ້ອງກັບອັນນັ້ນອອກ
ລະຫັດຈາກຖານຂໍ້ມູນໃບຢັ້ງຢືນ, ໂດຍໃຊ້ -D. ບາງບັດ smart ບໍ່ໃຫ້ທ່ານ
ເອົາກະແຈສາທາລະນະທີ່ເຈົ້າໄດ້ສ້າງ. ໃນກໍລະນີດັ່ງກ່າວ, ມີພຽງແຕ່ລະຫັດສ່ວນຕົວເທົ່ານັ້ນ
ລຶບອອກຈາກຄູ່ຄີ. ທ່ານສາມາດສະແດງລະຫັດສາທາລະນະດ້ວຍຄໍາສັ່ງ certutil -K
-h tokenname.
-G
ສ້າງຄູ່ຄີສາທາລະນະ ແລະສ່ວນຕົວໃໝ່ພາຍໃນຖານຂໍ້ມູນຫຼັກ. ຖານຂໍ້ມູນທີ່ສໍາຄັນ
ຄວນມີຢູ່ແລ້ວ; ຖ້າອັນໃດບໍ່ຢູ່, ຕົວເລືອກຄຳສັ່ງນີ້ຈະເລີ່ມອັນໜຶ່ງ
ໂດຍຄ່າເລີ່ມຕົ້ນ. ບັດອັດສະລິຍະບາງອັນສາມາດເກັບຮັກສາຄີຄູ່ອັນດຽວເທົ່ານັ້ນ. ຖ້າທ່ານສ້າງຄູ່ຄີໃຫມ່
ສຳລັບບັດດັ່ງກ່າວ, ຄູ່ກ່ອນໜ້າຈະຖືກຂຽນທັບ.
-H
ສະແດງບັນຊີລາຍຊື່ຂອງຕົວເລືອກຄໍາສັ່ງແລະການໂຕ້ຖຽງ.
-K
ລາຍຊື່ລະຫັດລະຫັດຂອງລະຫັດໃນຖານຂໍ້ມູນທີ່ສໍາຄັນ. ID ຫຼັກແມ່ນໂມດູລຂອງລະຫັດ RSA ຫຼື
ມູນຄ່າສາທາລະນະຂອງລະຫັດ DSA. ID ຈະຖືກສະແດງເປັນເລກຖານສິບຫົກ ("0x" ບໍ່ສະແດງ).
-L
ລາຍຊື່ໃບຢັ້ງຢືນທັງໝົດ, ຫຼືສະແດງຂໍ້ມູນກ່ຽວກັບໃບຢັ້ງຢືນທີ່ມີຊື່, ໃນ a
ຖານຂໍ້ມູນໃບຢັ້ງຢືນ. ໃຊ້ -h tokenname argument ເພື່ອລະບຸໃບຢັ້ງຢືນ
ຖານຂໍ້ມູນກ່ຽວກັບຮາດແວໂດຍສະເພາະຫຼືຊອບແວ token.
-M
ແກ້ໄຂຄຸນລັກສະນະຄວາມໄວ້ວາງໃຈຂອງໃບຢັ້ງຢືນໂດຍໃຊ້ຄ່າຂອງອາກິວເມັນ -t.
-N
ສ້າງໃບຢັ້ງຢືນໃຫມ່ແລະຖານຂໍ້ມູນທີ່ສໍາຄັນ.
-O
ພິມຕ່ອງໂສ້ໃບຢັ້ງຢືນ.
-R
ສ້າງໄຟລ໌ຄໍາຮ້ອງຂໍໃບຢັ້ງຢືນທີ່ສາມາດສົ່ງກັບອົງການໃບຢັ້ງຢືນ
(CA) ສໍາລັບການປຸງແຕ່ງເຂົ້າໄປໃນໃບຢັ້ງຢືນສໍາເລັດຮູບ. ຜົນຜະລິດເລີ່ມຕົ້ນເປັນມາດຕະຖານອອກ
ເວັ້ນເສຍແຕ່ວ່າທ່ານໃຊ້ -o output-file argument. ໃຊ້ -a argument ເພື່ອລະບຸຜົນຜະລິດ ASCII.
-S
ສ້າງໃບຢັ້ງຢືນສ່ວນບຸກຄົນແລະເພີ່ມມັນໃສ່ຖານຂໍ້ມູນໃບຢັ້ງຢືນ.
-T
ຣີເຊັດຖານຂໍ້ມູນຫຼັກ ຫຼືໂທເຄັນ.
-U
ລາຍຊື່ໂມດູນທີ່ມີຢູ່ທັງຫມົດຫຼືພິມໂມດູນທີ່ມີຊື່ດຽວ.
-V
ກວດເບິ່ງຄວາມຖືກຕ້ອງຂອງໃບຢັ້ງຢືນ ແລະຄຸນລັກສະນະຂອງມັນ.
-W
ປ່ຽນລະຫັດຜ່ານເປັນຖານຂໍ້ມູນທີ່ສໍາຄັນ.
--ລວມເຂົ້າກັນ
ລວມສອງຖານຂໍ້ມູນເຂົ້າໄປໃນອັນດຽວ.
--upgrade-merge
ອັບເກຣດຖານຂໍ້ມູນເກົ່າ ແລະຮວມມັນເຂົ້າໄປໃນຖານຂໍ້ມູນໃໝ່. ອັນນີ້ໃຊ້ເພື່ອເຄື່ອນຍ້າຍ
ຖານຂໍ້ມູນ NSS ແບບເກົ່າ (cert8.db ແລະ key3.db) ເຂົ້າໄປໃນຖານຂໍ້ມູນ SQLite ໃໝ່ກວ່າ (cert9.db
ແລະ key4.db).
Arguments
ການໂຕ້ຖຽງດັດແປງທາງເລືອກຄໍາສັ່ງແລະປົກກະຕິແລ້ວແມ່ນຕົວພິມນ້ອຍ, ຕົວເລກ, ຫຼືສັນຍາລັກ.
-a
ໃຊ້ຮູບແບບ ASCII ຫຼືອະນຸຍາດໃຫ້ໃຊ້ຮູບແບບ ASCII ສໍາລັບການປ້ອນຂໍ້ມູນຫຼືຜົນຜະລິດ. ການຈັດຮູບແບບນີ້
ປະຕິບັດຕາມ RFC 1113. ສໍາລັບການຮ້ອງຂໍໃບຢັ້ງຢືນ, ASCII output defaults ເປັນຜົນຜະລິດມາດຕະຖານ
ເວັ້ນເສຍແຕ່ຈະປ່ຽນເສັ້ນທາງ.
-b validity-time
ລະບຸເວລາທີ່ຕ້ອງມີໃບຢັ້ງຢືນໃຫ້ຖືກຕ້ອງ. ໃຊ້ໃນເວລາກວດສອບ
ໃບຢັ້ງຢືນຄວາມຖືກຕ້ອງກັບ -V ທາງເລືອກ. ຮູບແບບຂອງ ເວລາທີ່ຖືກຕ້ອງ ການໂຕ້ຖຽງແມ່ນ
YYMMDDHHMMSS[+HHMM|-HHMM|Z], ເຊິ່ງອະນຸຍາດໃຫ້ມີການຊົດເຊີຍທີ່ຖືກກໍານົດໄວ້ທີ່ກ່ຽວຂ້ອງກັບຄວາມຖືກຕ້ອງ
ເວລາສິ້ນສຸດ. ກໍານົດວິນາທີ (SS) ເປັນທາງເລືອກ. ເມື່ອກໍານົດເວລາທີ່ຊັດເຈນ, ໃຊ້ a
Z ໃນຕອນທ້າຍຂອງໄລຍະ, YYMMDDHHMMSZ, ເພື່ອປິດມັນ. ເມື່ອກໍານົດເວລາຊົດເຊີຍ,
ການນໍາໃຊ້ YYMMDDHHMMSS+HHMM or YYMMDDHHMMSS-HHMM ສໍາລັບການເພີ່ມຫຼືລົບເວລາ,
ຕາມລໍາດັບ.
ຖ້າຕົວເລືອກນີ້ບໍ່ຖືກໃຊ້, ການກວດສອບຄວາມຖືກຕ້ອງຈະຕັ້ງໄວ້ໃນຕອນຕົ້ນຂອງລະບົບປັດຈຸບັນ.
-c ຜູ້ອອກ
ກໍານົດໃບຢັ້ງຢືນຂອງ CA ທີ່ໃບຢັ້ງຢືນໃຫມ່ຈະມາຈາກມັນ
ແທ້ຈິງ. ໃຊ້ຊື່ຫຼິ້ນທີ່ແນ່ນອນ ຫຼືນາມແຝງຂອງໃບຢັ້ງຢືນ CA, ຫຼືໃຊ້ CA's
ທີ່ຢູ່ອີເມວ. ວົງເລັບສະຕຣິງຜູ້ອອກດ້ວຍເຄື່ອງໝາຍວົງຢືມຖ້າມັນມີຊ່ອງຫວ່າງ.
-d [prefix] directory
ລະບຸໄດເລກະທໍລີຖານຂໍ້ມູນທີ່ມີໃບຢັ້ງຢືນແລະໄຟລ໌ຖານຂໍ້ມູນທີ່ສໍາຄັນ.
ໃບຢັ້ງຢືນ ຮອງຮັບຖານຂໍ້ມູນສອງປະເພດ: ຖານຂໍ້ມູນຄວາມປອດໄພແບບເກົ່າ (cert8.db,
key3.db, ແລະ secmod.db) ແລະຖານຂໍ້ມູນ SQLite ໃຫມ່ (cert9.db, key4.db, ແລະ pkcs11.txt).
NSS ຮັບຮູ້ຄຳນຳໜ້າຕໍ່ໄປນີ້:
· sql: ຮ້ອງຂໍໃຫ້ມີຖານຂໍ້ມູນທີ່ໃໝ່ກວ່າ
· dbm: ຮ້ອງຂໍຖານຂໍ້ມູນເກົ່າ
ຖ້າບໍ່ມີການລະບຸຄຳນຳໜ້າປະເພດເລີ່ມຕົ້ນຈະຖືກດຶງມາຈາກ NSS_DEFAULT_DB_TYPE. ຖ້າ
NSS_DEFAULT_DB_TYPE ບໍ່ໄດ້ຕັ້ງເວລານັ້ນ dbm: ເປັນຄ່າເລີ່ມຕົ້ນ.
--dump-ext-val OID
ສໍາລັບໃບຢັ້ງຢືນດຽວ, ພິມການເຂົ້າລະຫັດ DER binary ຂອງນາມສະກຸນ OID.
-e
ກວດເບິ່ງລາຍເຊັນຂອງໃບຢັ້ງຢືນໃນລະຫວ່າງຂະບວນການກວດສອບໃບຢັ້ງຢືນ.
--email ທີ່ຢູ່ອີເມວ
ລະບຸທີ່ຢູ່ອີເມວຂອງໃບຢັ້ງຢືນທີ່ຈະລາຍຊື່. ໃຊ້ກັບຕົວເລືອກຄໍາສັ່ງ -L.
--extGeneric OID:critical-flag:filename[,OID:critical-flag:filename]...
ເພີ່ມໜຶ່ງ ຫຼືຫຼາຍສ່ວນຂະຫຍາຍທີ່ certutil ບໍ່ສາມາດເຂົ້າລະຫັດໄດ້ເທື່ອ, ໂດຍການໂຫຼດຂອງພວກມັນ
ການເຂົ້າລະຫັດຈາກໄຟລ໌ພາຍນອກ.
· OID (ຕົວຢ່າງ): 1.2.3.4
· ທຸງສຳຄັນ: ສຳຄັນ ຫຼື ບໍ່ສຳຄັນ
· ຊື່ໄຟລ໌: ເສັ້ນທາງເຕັມໄປຫາໄຟລ໌ທີ່ມີນາມສະກຸນທີ່ຖືກເຂົ້າລະຫັດ
-f ລະຫັດຜ່ານໄຟລ໌
ລະບຸໄຟລ໌ທີ່ຈະສະໜອງລະຫັດຜ່ານອັດຕະໂນມັດເພື່ອປະກອບເຂົ້າໃນໃບຢັ້ງຢືນ
ຫຼືເພື່ອເຂົ້າເຖິງຖານຂໍ້ມູນໃບຢັ້ງຢືນ. ນີ້ແມ່ນໄຟລ໌ຂໍ້ຄວາມທຳມະດາທີ່ມີອັນໜຶ່ງ
ລະຫັດຜ່ານ. ໃຫ້ແນ່ໃຈວ່າຈະປ້ອງກັນການເຂົ້າເຖິງໄຟລ໌ນີ້ໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ.
-g keysize
ຕັ້ງຂະໜາດກະແຈເພື່ອໃຊ້ເມື່ອສ້າງຄູ່ຄີສາທາລະນະ ແລະສ່ວນຕົວໃໝ່. ຕໍາ່ສຸດທີ່ແມ່ນ
512 bits ແລະສູງສຸດແມ່ນ 16384 bits. ຄ່າເລີ່ມຕົ້ນແມ່ນ 2048 bits. ຂະຫນາດໃດໆລະຫວ່າງ
ຕໍາ່ສຸດທີ່ແລະສູງສຸດແມ່ນອະນຸຍາດ.
-h tokenname
ລະບຸຊື່ຂອງໂທເຄັນທີ່ຈະໃຊ້ ຫຼືດຳເນີນການ. ຖ້າບໍ່ໄດ້ລະບຸ, token ເລີ່ມຕົ້ນແມ່ນ
ຊ່ອງໃສ່ຖານຂໍ້ມູນພາຍໃນ.
-i input_file
ຜ່ານໄຟລ໌ປ້ອນຂໍ້ມູນໃສ່ຄໍາສັ່ງ. ອີງຕາມຕົວເລືອກຄໍາສັ່ງ, ໄຟລ໌ປ້ອນຂໍ້ມູນສາມາດ
ເປັນໃບຢັ້ງຢືນສະເພາະ, ໄຟລ໌ຄໍາຮ້ອງສະຫມັກໃບຢັ້ງຢືນ, ຫຼືໄຟລ໌ batch ຂອງຄໍາສັ່ງ.
-k key-type-or-id
ລະບຸປະເພດ ຫຼື ID ສະເພາະຂອງກະແຈ.
ຕົວເລືອກປະເພດລະຫັດທີ່ຖືກຕ້ອງແມ່ນ rsa, dsa, ec, ຫຼືທັງໝົດ. ຄ່າເລີ່ມຕົ້ນແມ່ນ rsa.
ການລະບຸປະເພດຂອງກະແຈສາມາດຫຼີກເວັ້ນຄວາມຜິດພາດທີ່ເກີດຈາກຊື່ຫຼິ້ນຊໍ້າກັນ. ການໃຫ້
ປະເພດຄີສ້າງຄູ່ຄີໃຫມ່; ການໃຫ້ ID ຂອງກະແຈທີ່ມີຢູ່ແລ້ວຈະໃຊ້ລະຫັດນັ້ນຄືນໃໝ່
ຄູ່ (ເຊິ່ງຈໍາເປັນຕ້ອງໄດ້ຕໍ່ອາຍຸໃບຢັ້ງຢືນ).
-l
ສະແດງຂໍ້ມູນລະອຽດເມື່ອກວດສອບໃບຢັ້ງຢືນດ້ວຍຕົວເລືອກ -V.
-m ເລກລໍາດັບ
ມອບຫມາຍເລກລໍາດັບທີ່ເປັນເອກະລັກໃຫ້ກັບໃບຢັ້ງຢືນທີ່ກໍາລັງສ້າງ. ການດໍາເນີນງານນີ້ຄວນຈະເປັນ
ປະຕິບັດໂດຍ CA. ຖ້າບໍ່ມີໝາຍເລກ serial ໃຫ້ ໝາຍເລກ serial ເລີ່ມຕົ້ນຈະຖືກສ້າງ
ຈາກເວລາປະຈຸບັນ. ຕົວເລກ Serial ແມ່ນຈໍາກັດເປັນຈໍານວນເຕັມ
-n ຊື່ຫຼິ້ນ
ລະບຸຊື່ຫຼິ້ນຂອງໃບຢັ້ງຢືນ ຫຼືກະແຈເພື່ອລາຍຊື່, ສ້າງ, ເພີ່ມໃສ່ຖານຂໍ້ມູນ,
ປັບປຸງແກ້ໄຂ, ຫຼືການກວດສອບ. ວົງເລັບຊື່ຫຼິ້ນດ້ວຍເຄື່ອງໝາຍວົງຢືມຖ້າມັນມີ
ສະຖານທີ່.
-o output-file
ລະບຸຊື່ໄຟລ໌ຜົນໄດ້ຮັບສໍາລັບໃບຢັ້ງຢືນໃຫມ່ຫຼືຄໍາຮ້ອງຂໍໃບຮັບຮອງຄູ່.
ວົງເລັບໄຟລ໌ output-file ທີ່ມີເຄື່ອງຫມາຍວົງຢືມຖ້າມັນມີຊ່ອງຫວ່າງ. ຖ້ານີ້
argument ບໍ່ໄດ້ໃຊ້ ປາຍທາງ output defaults ມາດຕະຖານ output.
-P db ຄໍານໍາຫນ້າ
ລະບຸຄໍານໍາຫນ້າທີ່ໃຊ້ໃນໃບຢັ້ງຢືນແລະໄຟລ໌ຖານຂໍ້ມູນທີ່ສໍາຄັນ. ການໂຕ້ຖຽງນີ້ແມ່ນ
ສະຫນອງໃຫ້ເພື່ອສະຫນັບສະຫນູນເຄື່ອງແມ່ຂ່າຍເກົ່າ. ຄໍາຮ້ອງສະຫມັກສ່ວນໃຫຍ່ບໍ່ໄດ້ໃຊ້ຄໍານໍາຫນ້າຖານຂໍ້ມູນ.
-p ໂທລະສັບ
ລະບຸເບີໂທລະສັບຕິດຕໍ່ເພື່ອລວມຢູ່ໃນໃບຢັ້ງຢືນ ຫຼືໃບຢັ້ງຢືນໃໝ່
ການຮ້ອງຂໍ. ຍຶດສະຕຣິງນີ້ດ້ວຍເຄື່ອງໝາຍວົງຢືມ ຖ້າມັນມີຍະຫວ່າງ.
-q pqgfile ຫຼື curve-name
ອ່ານຄ່າ PQG ສຳຮອງຈາກໄຟລ໌ທີ່ລະບຸເມື່ອສ້າງຄູ່ຄີ DSA. ຖ້າ
ການໂຕ້ຖຽງນີ້ບໍ່ໄດ້ຖືກນໍາໃຊ້, ໃບຢັ້ງຢືນ ສ້າງມູນຄ່າ PQG ຂອງຕົນເອງ. ໄຟລ໌ PQG ຖືກສ້າງຂື້ນ
ກັບຜົນປະໂຫຍດ DSA ແຍກຕ່າງຫາກ.
ຊື່ເສັ້ນໂຄ້ງຮູບຮີແມ່ນໜຶ່ງໃນຊຸດຈາກ SUITE B: nistp256, nistp384, nistp521
ຖ້າ NSS ໄດ້ຖືກລວບລວມດ້ວຍເສັ້ນໂຄ້ງສະຫນັບສະຫນູນນອກ SUITE B: sect163k1, nistk163,
sect163r1, sect163r2, nistb163, sect193r1, sect193r2, sect233k1, nistk233, sect233r1,
nistb233, sect239k1, sect283k1, nistk283, sect283r1, nistb283, sect409k1, nistk409,
sect409r1, nistb409, sect571k1, nistk571, sect571r1, nistb571, secp160k1, secp160r1,
secp160r2, secp192k1, secp192r1, nistp192, secp224k1, secp224r1, nistp224, secp256k1,
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2
-r
ສະແດງການເຂົ້າລະຫັດ DER ຄູ່ຂອງໃບຢັ້ງຢືນການໃນເວລາທີ່ລາຍການຂໍ້ມູນກ່ຽວກັບການທີ່
ໃບຢັ້ງຢືນທີ່ມີທາງເລືອກ -L.
-s ວິຊາ
ກໍານົດເຈົ້າຂອງໃບຢັ້ງຢືນສະເພາະສໍາລັບໃບຢັ້ງຢືນໃຫມ່ຫຼືຄໍາຮ້ອງຂໍໃບຢັ້ງຢືນ.
ຍຶດສະຕຣິງນີ້ດ້ວຍເຄື່ອງໝາຍວົງຢືມ ຖ້າມັນມີຍະຫວ່າງ. ວິຊາ
ຮູບແບບການກໍານົດປະຕິບັດຕາມ RFC #1485.
-t trustargs
ລະບຸຄຸນສົມບັດຄວາມເຊື່ອຖືເພື່ອແກ້ໄຂໃນໃບຢັ້ງຢືນທີ່ມີຢູ່ແລ້ວ ຫຼືເພື່ອນຳໃຊ້ກັບ a
ໃບຢັ້ງຢືນເມື່ອສ້າງມັນຫຼືເພີ່ມມັນໃສ່ຖານຂໍ້ມູນ. ມີສາມສາມາດໃຊ້ໄດ້
ປະເພດຄວາມໄວ້ວາງໃຈສໍາລັບແຕ່ລະໃບຢັ້ງຢືນ, ສະແດງຢູ່ໃນຄໍາສັ່ງ ssl, ອີເມວ, ຈຸດປະສົງ
ການເຊັນ ສໍາລັບແຕ່ລະການຕັ້ງຄ່າຄວາມໄວ້ວາງໃຈ. ໃນແຕ່ລະຕໍາແຫນ່ງປະເພດ, ໃຊ້ບໍ່ມີ, ໃດ, ຫຼືທັງຫມົດຂອງ
ລະຫັດຄຸນລັກສະນະ:
· p - ມິດສະຫາຍທີ່ຖືກຕ້ອງ
· P - ເພື່ອນທີ່ເຊື່ອຖືໄດ້ (ຫມາຍຄວາມວ່າ p)
· c - CA ທີ່ຖືກຕ້ອງ
· T - CA ທີ່ເຊື່ອຖືໄດ້ (ຫມາຍຄວາມວ່າ c)
· C - CA ທີ່ເຊື່ອຖືໄດ້ສໍາລັບການກວດສອບລູກຄ້າ (ssl server ເທົ່ານັ້ນ)
· u - ຜູ້ໃຊ້
ລະຫັດຄຸນສົມບັດສຳລັບໝວດໝູ່ແມ່ນແຍກອອກດ້ວຍເຄື່ອງໝາຍຈຸດ, ແລະຊຸດທັງໝົດຂອງ
ຄຸນລັກສະນະລວມໂດຍເຄື່ອງຫມາຍວົງຢືມ. ຍົກຕົວຢ່າງ:
-t "TCu, Cu, Tu"
ໃຊ້ຕົວເລືອກ -L ເພື່ອເບິ່ງລາຍຊື່ຂອງໃບຢັ້ງຢືນປະຈຸບັນ ແລະຄຸນລັກສະນະຄວາມໄວ້ວາງໃຈໃນ a
ຖານຂໍ້ມູນໃບຢັ້ງຢືນ.
-u certusage
ລະບຸບໍລິບົດການນຳໃຊ້ເພື່ອນຳໃຊ້ເມື່ອກວດສອບໃບຢັ້ງຢືນດ້ວຍຕົວເລືອກ -V.
ສະພາບການມີດັ່ງນີ້:
· C (ເປັນລູກຄ້າ SSL)
· V (ເປັນເຊີບເວີ SSL)
· L (ເປັນ SSL CA)
· A (ເປັນ CA ໃດ)
· Y (ຢັ້ງຢືນ CA)
· S (ເປັນຜູ້ເຊັນອີເມວ)
· R (ໃນຖານະຜູ້ຮັບອີເມລ໌)
· O (ເປັນຕົວຕອບສະຖານະ OCSP)
· J (ເປັນຜູ້ເຊັນວັດຖຸ)
-v ໃຊ້ໄດ້-ເດືອນ
ກໍານົດຈໍານວນເດືອນໃບຢັ້ງຢືນໃຫມ່ຈະສາມາດໃຊ້ໄດ້. ໄລຍະເວລາທີ່ຖືກຕ້ອງເລີ່ມຕົ້ນ
ໃນເວລາຂອງລະບົບປະຈຸບັນ ເວັ້ນເສຍແຕ່ວ່າການຊົດເຊີຍຈະຖືກເພີ່ມ ຫຼືຫັກອອກດ້ວຍ -w ທາງເລືອກ.
ຖ້າອາກິວເມັນນີ້ບໍ່ຖືກໃຊ້, ໄລຍະເວລາທີ່ຖືກຕ້ອງເລີ່ມຕົ້ນແມ່ນສາມເດືອນ.
-w offset-ເດືອນ
ກໍານົດການຊົດເຊີຍຈາກເວລາຂອງລະບົບປະຈຸບັນ, ເປັນເດືອນ, ສໍາລັບການເລີ່ມຕົ້ນຂອງ a
ໄລຍະເວລາທີ່ຖືກຕ້ອງຂອງໃບຢັ້ງຢືນ. ໃຊ້ໃນເວລາທີ່ສ້າງໃບຢັ້ງຢືນຫຼືເພີ່ມມັນໃສ່ a
ຖານຂໍ້ມູນ. ສະແດງຄ່າຊົດເຊີຍເປັນຈຳນວນເຕັມ, ໂດຍໃຊ້ເຄື່ອງໝາຍລົບ (-) ເພື່ອຊີ້ບອກ a
ການຊົດເຊີຍທາງລົບ. ຖ້າການໂຕ້ຖຽງນີ້ບໍ່ຖືກນໍາໃຊ້, ໄລຍະເວລາທີ່ຖືກຕ້ອງຈະເລີ່ມຕົ້ນຢູ່ທີ່
ເວລາຂອງລະບົບປະຈຸບັນ. ຄວາມຍາວຂອງໄລຍະເວລາທີ່ຖືກຕ້ອງແມ່ນຖືກກໍານົດດ້ວຍອາກິວເມັນ -v.
-X
ບັງຄັບໃຫ້ກະແຈ ແລະຖານຂໍ້ມູນໃບຮັບຮອງເປີດໃນໂໝດອ່ານ-ຂຽນ. ອັນນີ້ໃຊ້ກັບ
ໄດ້ -U ແລະ -L ຕົວເລືອກຄໍາສັ່ງ.
-x
ການນໍາໃຊ້ ໃບຢັ້ງຢືນ ເພື່ອສ້າງລາຍເຊັນສໍາລັບໃບຢັ້ງຢືນທີ່ກໍາລັງສ້າງຫຼືເພີ່ມໃສ່ a
ຖານຂໍ້ມູນ, ແທນທີ່ຈະໄດ້ຮັບລາຍເຊັນຈາກ CA ແຍກຕ່າງຫາກ.
-y exp
ກຳນົດຄ່າເລກກຳລັງສຳຮອງເພື່ອໃຊ້ໃນການສ້າງລະຫັດສາທາລະນະ RSA ໃໝ່ສຳລັບ
ຖານຂໍ້ມູນ, ແທນທີ່ຈະເປັນຄ່າເລີ່ມຕົ້ນຂອງ 65537. ຄ່າທາງເລືອກທີ່ມີຢູ່ແມ່ນ 3
ແລະ 17.
-z noise-file
ອ່ານຄ່າແກ່ນຈາກໄຟລ໌ທີ່ລະບຸເພື່ອສ້າງລະຫັດສ່ວນຕົວ ແລະສາທາລະນະໃໝ່
ຄູ່. ການໂຕ້ຖຽງນີ້ເຮັດໃຫ້ມັນເປັນໄປໄດ້ທີ່ຈະໃຊ້ມູນຄ່າເມັດທີ່ຜະລິດໂດຍຮາດແວຫຼື
ສ້າງຄ່າດ້ວຍຕົນເອງຈາກແປ້ນພິມ. ຂະໜາດໄຟລ໌ຕໍ່າສຸດແມ່ນ 20 bytes.
-Z hashAlg
ລະບຸສູດການຄິດໄລ່ຂອງ hash ເພື່ອໃຊ້ກັບຕົວເລືອກຄຳສັ່ງ -C, -S ຫຼື -R. ເປັນໄປໄດ້
ຄຳ ສຳ ຄັນ:
· MD2
· MD4
· MD5
· SHA1
· SHA224
· SHA256
· SHA384
· SHA512
-0 SSO_password
ຕັ້ງລະຫັດຜ່ານຂອງເຈົ້າໜ້າທີ່ຄວາມປອດໄພຂອງເວັບໄຊໃນ token.
-1 | --key ໃຊ້ຄໍາສໍາຄັນ, ຄໍາສໍາຄັນ
ກໍານົດການຂະຫຍາຍປະເພດໃບຢັ້ງຢືນ X.509 V3 ໃນໃບຢັ້ງຢືນ. ມີຫຼາຍ
ຄໍາທີ່ໃຊ້ໄດ້:
· DigitalSignature
· ການບໍ່ປະຕິເສດ
· ການເຂົ້າລະຫັດ
· ການເຂົ້າລະຫັດຂໍ້ມູນ
· ຂໍ້ຕົກລົງຫຼັກ
· ການລົງນາມ
· crl ເຊັນຊື່
· ສໍາຄັນ
-2
ເພີ່ມການຂະຫຍາຍຂໍ້ຈໍາກັດພື້ນຖານໃຫ້ກັບໃບຢັ້ງຢືນທີ່ກໍາລັງສ້າງຫຼືເພີ່ມໃສ່ a
ຖານຂໍ້ມູນ. ສ່ວນຂະຫຍາຍນີ້ຮອງຮັບຂະບວນການກວດສອບລະບົບຕ່ອງໂສ້ໃບຢັ້ງຢືນ.
ໃບຢັ້ງຢືນ prompts ສໍາລັບການຂະຫຍາຍຂໍ້ຈໍາກັດໃບຢັ້ງຢືນທີ່ຈະເລືອກເອົາ.
ການຂະຫຍາຍໃບຢັ້ງຢືນ X.509 ແມ່ນອະທິບາຍໄວ້ໃນ RFC 5280.
-3
ເພີ່ມການຂະຫຍາຍ ID ລະຫັດສິດອຳນາດໃສ່ໃບຢັ້ງຢືນທີ່ກຳລັງຖືກສ້າງ ຫຼືເພີ່ມໃສ່ a
ຖານຂໍ້ມູນ. ການຂະຫຍາຍນີ້ສະຫນັບສະຫນູນການກໍານົດໃບຢັ້ງຢືນສະເພາະ, ຈາກ
ໃນບັນດາໃບຢັ້ງຢືນຫຼາຍທີ່ກ່ຽວຂ້ອງກັບຊື່ວິຊາການ, ເປັນຜູ້ອອກທີ່ຖືກຕ້ອງຂອງ
ໃບຮັບຮອງ. ເຄື່ອງມືຖານຂໍ້ມູນໃບຢັ້ງຢືນຈະເຕືອນໃຫ້ທ່ານເລືອກສິດອໍານາດ
ການຂະຫຍາຍ ID ຫຼັກ.
ການຂະຫຍາຍໃບຢັ້ງຢືນ X.509 ແມ່ນອະທິບາຍໄວ້ໃນ RFC 5280.
-4
ເພີ່ມການຂະຫຍາຍຈຸດການແຈກຢາຍ CRL ໃຫ້ກັບໃບຢັ້ງຢືນທີ່ກໍາລັງສ້າງ ຫຼືເພີ່ມ
ກັບຖານຂໍ້ມູນ. ສ່ວນຂະຫຍາຍນີ້ລະບຸ URL ຂອງໃບຢັ້ງຢືນທີ່ກ່ຽວຂ້ອງ
ບັນຊີລາຍຊື່ການຖອນໃບຢັ້ງຢືນ (CRL). ໃບຢັ້ງຢືນ ເຕືອນສໍາລັບ URL.
ການຂະຫຍາຍໃບຢັ້ງຢືນ X.509 ແມ່ນອະທິບາຍໄວ້ໃນ RFC 5280.
-5 | --nsCertType ຄໍາສໍາຄັນ, ຄໍາສໍາຄັນ
ເພີ່ມການຂະຫຍາຍປະເພດໃບຮັບຮອງ X.509 V3 ໃສ່ໃບຮັບຮອງທີ່ກຳລັງສ້າງ ຫຼື
ເພີ່ມໃສ່ຖານຂໍ້ມູນ. ມີຫຼາຍຄໍາທີ່ໃຊ້ໄດ້:
· sslClient
· sslServer
· ຍິ້ມ
· Object Signing
· sslCA
· smimeCA
· objectSigningCA
· ສໍາຄັນ
ການຂະຫຍາຍໃບຢັ້ງຢືນ X.509 ແມ່ນອະທິບາຍໄວ້ໃນ RFC 5280.
-6 | --extKeyUsage ຄໍາສໍາຄັນ, ຄໍາສໍາຄັນ
ເພີ່ມການຂະຫຍາຍການໃຊ້ກະແຈທີ່ຂະຫຍາຍອອກໄປໃສ່ໃບຢັ້ງຢືນທີ່ກຳລັງສ້າງ ຫຼືເພີ່ມໃສ່
ຖານຂໍ້ມູນ. ມີຫຼາຍຄໍາທີ່ໃຊ້ໄດ້:
· serverAuth
· clientAuth
· ການເຊັນລະຫັດ
· email Protection
· timeStamp
· ocspResponder
· ກ້າວຂຶ້ນ
· msTrustListSign
· ສໍາຄັນ
ການຂະຫຍາຍໃບຢັ້ງຢືນ X.509 ແມ່ນອະທິບາຍໄວ້ໃນ RFC 5280.
-7 emailAddrs
ເພີ່ມລາຍຊື່ທີ່ຢູ່ອີເມວທີ່ຂັ້ນດ້ວຍເຄື່ອງໝາຍຈຸດໄປຫາຊື່ສຳຮອງຂອງຫົວຂໍ້
ການຂະຫຍາຍໃບຮັບຮອງ ຫຼືຄຳຮ້ອງຂໍໃບຮັບຮອງທີ່ກຳລັງຖືກສ້າງ ຫຼືເພີ່ມໃສ່
ຖານຂໍ້ມູນ. ຫົວຂໍ້ການຂະຫຍາຍຊື່ທາງເລືອກແມ່ນໄດ້ອະທິບາຍຢູ່ໃນພາກ 4.2.1.7 ຂອງ
RFC 3280 .
-8 dns-names
ເພີ່ມບັນຊີລາຍຊື່ທີ່ແຍກດ້ວຍເຄື່ອງໝາຍຈຸດຂອງຊື່ DNS ກັບຫົວຂໍ້ການຂະຫຍາຍຊື່ທາງເລືອກຂອງ a
ໃບຮັບຮອງ ຫຼືການຮ້ອງຂໍໃບຢັ້ງຢືນທີ່ກຳລັງຖືກສ້າງ ຫຼືເພີ່ມໃສ່ຖານຂໍ້ມູນ.
ການຂະຫຍາຍຊື່ທີ່ເປັນທາງເລືອກແມ່ນໄດ້ອະທິບາຍໄວ້ໃນພາກທີ 4.2.1.7 ຂອງ RFC 3280.
--extAIA
ຕື່ມການຂະຫຍາຍການເຂົ້າເຖິງຂໍ້ມູນຂ່າວສານ Authority ກັບໃບຢັ້ງຢືນ. ໃບຮັບຮອງ X.509
ສ່ວນຂະຫຍາຍແມ່ນໄດ້ອະທິບາຍໄວ້ໃນ RFC 5280.
--extSIA
ຕື່ມການຂະຫຍາຍການເຂົ້າເຖິງຂໍ້ມູນວິຊາໃສ່ໃບຢັ້ງຢືນ. ໃບຮັບຮອງ X.509
ສ່ວນຂະຫຍາຍແມ່ນໄດ້ອະທິບາຍໄວ້ໃນ RFC 5280.
--extCP
ຕື່ມການຂະຫຍາຍນະໂຍບາຍໃບຢັ້ງຢືນໃສ່ໃບຢັ້ງຢືນ. ໃບຮັບຮອງ X.509
ສ່ວນຂະຫຍາຍແມ່ນໄດ້ອະທິບາຍໄວ້ໃນ RFC 5280.
--extPM
ເພີ່ມການຂະຫຍາຍແຜນທີ່ນະໂຍບາຍໃສ່ໃບຢັ້ງຢືນ. ການຂະຫຍາຍໃບຢັ້ງຢືນ X.509 ແມ່ນ
ອະທິບາຍໄວ້ໃນ RFC 5280.
--extPC
ເພີ່ມການຂະຫຍາຍການຈໍາກັດນະໂຍບາຍໃສ່ໃບຢັ້ງຢືນ. ການຂະຫຍາຍໃບຢັ້ງຢືນ X.509
ຖືກອະທິບາຍໄວ້ໃນ RFC 5280.
--extIA
ເພີ່ມການຍັບຍັ້ງການເຂົ້າເຖິງນະໂຍບາຍໃດໆກັບໃບຢັ້ງຢືນ. ໃບຮັບຮອງ X.509
ສ່ວນຂະຫຍາຍແມ່ນໄດ້ອະທິບາຍໄວ້ໃນ RFC 5280.
--extSKID
ເພີ່ມການຂະຫຍາຍ Subject Key ID ໃສ່ໃບຮັບຮອງ. ການຂະຫຍາຍໃບຢັ້ງຢືນ X.509 ແມ່ນ
ອະທິບາຍໄວ້ໃນ RFC 5280.
--extNC
ເພີ່ມການຂະຫຍາຍການຈໍາກັດຊື່ໃສ່ໃບຢັ້ງຢືນ. ການຂະຫຍາຍໃບຢັ້ງຢືນ X.509 ແມ່ນ
ອະທິບາຍໄວ້ໃນ RFC 5280.
--extSAN ປະເພດ:ຊື່[,ປະເພດ:ຊື່]...
ສ້າງນາມສະກຸນ Subject Alt ທີ່ມີຊື່ໜຶ່ງ ຫຼືຫຼາຍຊື່.
-type: directory, dn, dns, edi, ediparty, email, ip, ipaddr, ອື່ນໆ, registerid,
rfc822, uri, x400, x400addr
--empty-password
ໃຊ້ລະຫັດຜ່ານຫວ່າງເປົ່າເມື່ອສ້າງຖານຂໍ້ມູນໃບຮັບຮອງໃໝ່ດ້ວຍ -N.
--keyAttrFlags attrflags
ຄຸນລັກສະນະຫຼັກ PKCS #11. ບັນຊີລາຍຊື່ທີ່ແຍກດ້ວຍເຄື່ອງໝາຍຈຸດຂອງທຸງຄຸນລັກສະນະຫຼັກ, ເລືອກຈາກ
ບັນຊີລາຍຊື່ຕໍ່ໄປນີ້ຂອງທາງເລືອກ: {token | session} {ສາທາລະນະ | ສ່ວນຕົວ} {sensitive |
insensitive} {ແກ້ໄຂໄດ້ | unmodifiable} {extractable | unextractable}
--keyOpFlagsOn opflags, --keyOpFlagsOff opflags
PKCS #11 ທຸງການດໍາເນີນງານທີ່ສໍາຄັນ. ບັນຊີລາຍຊື່ທີ່ແຍກດ້ວຍເຄື່ອງໝາຍຈຸດຂອງນຶ່ງ ຫຼືຫຼາຍກວ່ານັ້ນ:
{ໂທເຄັນ | session} {ສາທາລະນະ | ສ່ວນຕົວ} {sensitive | insensitive} {ແກ້ໄຂໄດ້ |
unmodifiable} {extractable | unextractable}
--new-n ຊື່ຫຼິ້ນ
ຊື່ຫຼິ້ນໃໝ່, ໃຊ້ໃນເວລາປ່ຽນຊື່ໃບຮັບຮອງ.
--source-dir certdir
ກໍານົດໄດເລກະທໍລີຖານຂໍ້ມູນໃບຢັ້ງຢືນເພື່ອຍົກລະດັບ.
--source-prefix certdir
ໃຫ້ຄໍານໍາຫນ້າຂອງໃບຢັ້ງຢືນແລະຖານຂໍ້ມູນທີ່ສໍາຄັນເພື່ອຍົກລະດັບ.
--upgrade-id uniqueID
ໃຫ້ ID ເປັນເອກະລັກຂອງຖານຂໍ້ມູນເພື່ອຍົກລະດັບ.
--upgrade-token-name ຊື່
ຕັ້ງຊື່ຂອງ token ທີ່ຈະໃຊ້ໃນຂະນະທີ່ມັນຖືກປັບປຸງ.
-@ pwfile
ໃຫ້ຊື່ຂອງໄຟລ໌ລະຫັດຜ່ານເພື່ອໃຊ້ສໍາລັບຖານຂໍ້ມູນທີ່ຖືກປັບປຸງ.
ການນໍາໃຊ້ ແລະ ຕົວຢ່າງ
ຕົວເລືອກຄໍາສັ່ງສ່ວນໃຫຍ່ໃນຕົວຢ່າງທີ່ລະບຸໄວ້ໃນທີ່ນີ້ມີການໂຕ້ຖຽງເພີ່ມເຕີມທີ່ມີຢູ່. ໄດ້
ການໂຕ້ຖຽງທີ່ລວມຢູ່ໃນຕົວຢ່າງເຫຼົ່ານີ້ແມ່ນເປັນຄໍາທີ່ໃຊ້ທົ່ວໄປທີ່ສຸດຫຼືຖືກນໍາໃຊ້ເພື່ອສະແດງໃຫ້ເຫັນເຖິງ a
ສະຖານະການສະເພາະ. ໃຊ້ -H ທາງເລືອກທີ່ຈະສະແດງບັນຊີລາຍຊື່ເຕັມຂອງການໂຕ້ຖຽງສໍາລັບແຕ່ລະຄົນ
ຕົວເລືອກ ຄຳ ສັ່ງ.
ການສ້າງ ໃຫມ່ ຄວາມປອດໄພ ຖານຂໍ້ມູນ
ໃບຢັ້ງຢືນ, ລະຫັດ, ແລະໂມດູນຄວາມປອດໄພທີ່ກ່ຽວຂ້ອງກັບການຄຸ້ມຄອງໃບຢັ້ງຢືນຖືກເກັບໄວ້ໃນ
ສາມຖານຂໍ້ມູນທີ່ກ່ຽວຂ້ອງ:
· cert8.db ຫຼື cert9.db
· key3.db ຫຼື key4.db
· secmod.db ຫຼື pkcs11.txt
ຖານຂໍ້ມູນເຫຼົ່ານີ້ຈະຕ້ອງຖືກສ້າງຂື້ນກ່ອນທີ່ຈະສ້າງໃບຢັ້ງຢືນ ຫຼືລະຫັດໄດ້.
certutil -N -d [sql:]ໄດເລກະທໍລີ
ການສ້າງ a ໃບຢັ້ງຢືນການ ການຮ້ອງຂໍ
ຄໍາຮ້ອງຂໍໃບຢັ້ງຢືນປະກອບມີຂໍ້ມູນສ່ວນໃຫຍ່ຫຼືທັງຫມົດທີ່ຖືກໃຊ້ເພື່ອສ້າງ
ໃບຮັບຮອງສຸດທ້າຍ. ຄໍາຮ້ອງສະຫມັກນີ້ແມ່ນໄດ້ຖືກສົ່ງແຍກຕ່າງຫາກກັບອໍານາດການຢັ້ງຢືນແລະແມ່ນ
ຫຼັງຈາກນັ້ນໄດ້ຮັບການອະນຸມັດໂດຍກົນໄກບາງຢ່າງ (ອັດຕະໂນມັດຫຼືໂດຍການທົບທວນຂອງມະນຸດ). ເມື່ອຄໍາຮ້ອງຂໍແມ່ນ
ອະນຸມັດ, ຫຼັງຈາກນັ້ນໃບຢັ້ງຢືນແມ່ນຖືກສ້າງຂຶ້ນ.
$ certutil -R -k key-type-or-id [-q pqgfile|curve-name] -g key-size -s subject [-h tokenname] -d [sql:]directory [-p phone] [-o ໄຟລ໌ຜົນຜະລິດ] [-a]
ໄດ້ -R ຕົວເລືອກຄໍາສັ່ງຕ້ອງການສີ່ການໂຕ້ຖຽງ:
· -k ເພື່ອລະບຸປະເພດຫຼັກເພື່ອສ້າງ ຫຼື, ເມື່ອຕໍ່ອາຍຸໃບຢັ້ງຢືນ, the
ຄູ່ຄີທີ່ມີຢູ່ເພື່ອໃຊ້
· -g ເພື່ອກໍານົດຂະຫນາດຂອງປຸ່ມກົດເພື່ອສ້າງ
· -s ເພື່ອກໍານົດຊື່ວິຊາຂອງໃບຢັ້ງຢືນ
· -d ເພື່ອໃຫ້ໄດເລກະທໍລີຖານຂໍ້ມູນຄວາມປອດໄພ
ການຮ້ອງຂໍໃບຢັ້ງຢືນໃຫມ່ສາມາດອອກໃນຮູບແບບ ASCII (-a) ຫຼືສາມາດຂຽນເປັນ A
ໄຟລ໌ທີ່ລະບຸ (-o).
ຍົກຕົວຢ່າງ:
$ certutil -R -k rsa -g 1024 -s "CN=John Smith,O=Example Corp,L=Mountain View,ST=California,C=US" -d sql:$HOME/nssdb -p 650-555- 0123 -a -o cert.cer
ກຳລັງສ້າງລະຫັດ. ອັນນີ້ອາດຈະໃຊ້ເວລາເລັກນ້ອຍ...
ການສ້າງ a ໃບຢັ້ງຢືນການ
ໃບຢັ້ງຢືນທີ່ຖືກຕ້ອງຈະຕ້ອງອອກໃຫ້ໂດຍ CA ທີ່ເຊື່ອຖືໄດ້. ນີ້ສາມາດເຮັດໄດ້ໂດຍການລະບຸ CA
ໃບຢັ້ງຢືນ (-c) ທີ່ເກັບໄວ້ໃນຖານຂໍ້ມູນໃບຢັ້ງຢືນ. ຖ້າຄູ່ຄີ CA ບໍ່ແມ່ນ
ມີ, ທ່ານສາມາດສ້າງໃບຢັ້ງຢືນການເຊັນດ້ວຍຕົນເອງໂດຍໃຊ້ -x ການໂຕ້ຖຽງກັບ -S
ຕົວເລືອກ ຄຳ ສັ່ງ.
$ certutil -S -k rsa|dsa|ec -n certname -s subject [-c issuer |-x] -t trustargs -d [sql:]directory [-m serial-number] [-v valid-months] [ -w offset-months] [-p phone] [-1] [-2] [-3] [-4] [-5 keyword] [-6 keyword] [-7 emailAddress] [-8 dns-names] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]
ຊຸດຂອງຕົວເລກແລະ --ext* ຕົວເລືອກກໍານົດການຂະຫຍາຍໃບຢັ້ງຢືນທີ່ສາມາດເພີ່ມໃສ່
ໃບຢັ້ງຢືນເມື່ອມັນຖືກສ້າງໂດຍ CA. ການເຕືອນແບບໂຕ້ຕອບຈະສົ່ງຜົນ.
ຕົວຢ່າງ, ອັນນີ້ສ້າງໃບຢັ້ງຢືນການເຊັນດ້ວຍຕົນເອງ:
$ certutil -S -s "CN=Example CA" -n my-ca-cert -x -t "C,C,C" -1 -2 -5 -m 3650
ການໂຕ້ຕອບກະຕຸ້ນເຕືອນສໍາລັບການນໍາໃຊ້ທີ່ສໍາຄັນແລະບໍ່ວ່າຈະເປັນສ່ວນຂະຫຍາຍໃດໆທີ່ມີຄວາມສໍາຄັນແລະການຕອບສະຫນອງ
ໄດ້ຖືກລະເວັ້ນສໍາລັບການຫຍໍ້.
ຈາກບ່ອນນັ້ນ, ໃບຢັ້ງຢືນໃຫມ່ສາມາດອ້າງເຖິງໃບຢັ້ງຢືນການເຊັນດ້ວຍຕົນເອງ:
$ certutil -S -s "CN=My Server Cert" -n my-server-cert -c "my-ca-cert" -t "u,u,u" -1 -5 -6 -8 -m 730
ກຳ ລັງຜະລິດ a ໃບຢັ້ງຢືນການ ຈາກ a ໃບຢັ້ງຢືນການ ການຮ້ອງຂໍ
ເມື່ອການຮ້ອງຂໍໃບຢັ້ງຢືນຖືກສ້າງຂຶ້ນ, ໃບຢັ້ງຢືນສາມາດຖືກສ້າງຂື້ນໂດຍການໃຊ້ຄໍາຮ້ອງຂໍ
ແລະຫຼັງຈາກນັ້ນອ້າງເຖິງໃບຢັ້ງຢືນການເຊັນໃບຢັ້ງຢືນຂອງເຈົ້າຫນ້າທີ່ (the ຜູ້ອອກ ລະບຸໄວ້ໃນ
ໄດ້ -c ການໂຕ້ຖຽງ). ໃບຢັ້ງຢືນການອອກຈະຕ້ອງຢູ່ໃນຖານຂໍ້ມູນໃບຢັ້ງຢືນຢູ່ໃນ
ໄດເລກະທໍລີທີ່ລະບຸ.
certutil -C -c issuer -i cert-request-file -o output-file [-m serial-number] [-v valid-months] [-w offset-months] -d [sql:]directory [-1] [-2] [-3] [-4] [-5 keyword] [-6 keyword] [-7 emailAddress] [-8 dns-names]
ຍົກຕົວຢ່າງ:
$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql:$HOME/nssdb -1 nonRepudiation,dataEncipherment -5 sslClient -6 clientAuth -7 [email protected]
ລາຍຊື່ ໃບຢັ້ງຢືນການ
ໄດ້ -L ທາງເລືອກຄໍາສັ່ງລາຍຊື່ໃບຢັ້ງຢືນທັງຫມົດທີ່ລະບຸໄວ້ໃນຖານຂໍ້ມູນໃບຢັ້ງຢືນ.
ເສັ້ນທາງໄປຫາໄດເລກະທໍລີ (-d) ຈໍາເປັນ.
$ certutil -L -d sql:/home/my/sharednssdb
ຄຸນລັກສະນະຄວາມໄວ້ວາງໃຈຂອງໃບຢັ້ງຢືນຊື່ຫຼິ້ນ
SSL,S/MIME,JAR/XPI
CA Administrator ຂອງ Instance pki-ca1's Example Domain ID u,u,u
ຕົວຢ່າງຜູ້ບໍລິຫານ TPS ໂດເມນ ID u,u,u
Google Internet Authority ,,
ອຳນາດການຢັ້ງຢືນ - ຕົວຢ່າງໂດເມນ CT,C,C
ການນໍາໃຊ້ການໂຕ້ຖຽງເພີ່ມເຕີມກັບ -L ສາມາດກັບຄືນແລະພິມຂໍ້ມູນສໍາລັບການດຽວ,
ໃບຮັບຮອງສະເພາະ. ສໍາລັບຕົວຢ່າງ, ໄດ້ -n argument ຜ່ານຊື່ໃບຢັ້ງຢືນ, ໃນຂະນະທີ່
-a argument ພິມໃບຢັ້ງຢືນໃນຮູບແບບ ASCII:
$ certutil -L -d sql:$HOME/nssdb -a -n my-ca-cert
----- ເລີ່ມຕົ້ນໃບຢັ້ງຢືນ-----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----- ຈົບໃບຢັ້ງຢືນ-----
ສໍາລັບການສະແດງທີ່ມະນຸດສາມາດອ່ານໄດ້
$ certutil -L -d sql:$HOME/nssdb -n my-ca-cert
ໃບຢັ້ງຢືນ:
ຂໍ້ມູນ:
ລຸ້ນ: 3 (0x2)
ໝາຍເລກ Serial: 3650 (0xe42)
ສູດການຄິດໄລ່ລາຍເຊັນ: PKCS #1 SHA-1 ດ້ວຍການເຂົ້າລະຫັດ RSA
ຜູ້ອອກ: "CN = ຕົວຢ່າງ CA"
ຄວາມຖືກຕ້ອງ:
ບໍ່ແມ່ນກ່ອນ: Wed Mar 13 19:10:29 2013
Not After : Thu Jun 13 19:10:29 2013
ຫົວຂໍ້: "CN = ຕົວຢ່າງ CA"
Subject Public Key ຂໍ້ມູນ:
ຂັ້ນຕອນການລະຫັດສາທາລະນະ: PKCS #1 ການເຂົ້າລະຫັດ RSA
ກະແຈສາທາລະນະ RSA:
ໂມດູນ:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
ເລກກຳລັງ: 65537 (0x10001)
ສ່ວນຂະຫຍາຍທີ່ລົງນາມ:
ຊື່: ປະເພດໃບຢັ້ງຢືນ
ຂໍ້ມູນ: ບໍ່ມີ
ຊື່: ໃບຢັ້ງຢືນພື້ນຖານຂໍ້ຈໍາກັດ
ຂໍ້ມູນ: ເປັນ CA ທີ່ບໍ່ມີຄວາມຍາວສູງສຸດຂອງເສັ້ນທາງ.
ຊື່: ການນໍາໃຊ້ລະຫັດໃບຢັ້ງຢືນ
ສໍາຄັນ: ຄວາມຈິງ
ການນໍາໃຊ້: ການເຊັນໃບຢັ້ງຢືນ
ສູດການຄິດໄລ່ລາຍເຊັນ: PKCS #1 SHA-1 ດ້ວຍການເຂົ້າລະຫັດ RSA
ລາຍເຊັນ:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
ລາຍນິ້ວມື (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
ລາຍນິ້ວມື (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7
ທຸງຄວາມໄວ້ວາງໃຈຂອງໃບຢັ້ງຢືນ:
ທຸງ SSL:
CA ທີ່ຖືກຕ້ອງ
CA ທີ່ເຊື່ອຖືໄດ້
ຜູ້ໃຊ້
ທຸງອີເມລ໌:
CA ທີ່ຖືກຕ້ອງ
CA ທີ່ເຊື່ອຖືໄດ້
ຜູ້ໃຊ້
ທຸງການເຊັນວັດຖຸ:
CA ທີ່ຖືກຕ້ອງ
CA ທີ່ເຊື່ອຖືໄດ້
ຜູ້ໃຊ້
ລາຍຊື່ Keys
ກະແຈແມ່ນອຸປະກອນຕົ້ນສະບັບທີ່ໃຊ້ເພື່ອເຂົ້າລະຫັດຂໍ້ມູນໃບຢັ້ງຢືນ. ກະແຈທີ່ສ້າງຂຶ້ນສໍາລັບ
ໃບຢັ້ງຢືນຖືກເກັບໄວ້ແຍກຕ່າງຫາກ, ໃນຖານຂໍ້ມູນທີ່ສໍາຄັນ.
ເພື່ອລາຍຊື່ຄີທັງໝົດໃນຖານຂໍ້ມູນ, ໃຫ້ໃຊ້ປຸ່ມ -K ທາງເລືອກຄໍາສັ່ງແລະ (ຕ້ອງການ) -d ການໂຕ້ຖຽງ
ເພື່ອໃຫ້ເສັ້ນທາງໄປຫາໄດເລກະທໍລີ.
$ certutil -K -d sql:$HOME/nssdb
certutil: ການກວດສອບ token "NSS Certificate DB" ໃນຊ່ອງ "NSS User Private Key and Certificate Services"
< 0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d Thawte Freemail Member's Thawte Consulting (Pty) Ltd. ID.
< 1> rsa 40defeeb522ade11090eacebaaf1196a172127df ຕົວຢ່າງ Domain Administrator Cert
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert
ມີວິທີທີ່ຈະແຄບລະຫັດທີ່ລະບຸໄວ້ໃນຜົນການຄົ້ນຫາ:
· ເພື່ອສົ່ງຄືນລະຫັດສະເພາະ, ໃຫ້ໃຊ້ປຸ່ມ -nຊື່ ການໂຕ້ຖຽງກັບຊື່ຂອງກຸນແຈ.
· ຖ້າຫາກວ່າມີອຸປະກອນຄວາມປອດໄພຫຼາຍ loaded, ຫຼັງຈາກນັ້ນ -hຊື່ເຄື່ອງໝາຍ ການໂຕ້ຖຽງສາມາດ
ຊອກຫາໂທເຄັນສະເພາະ ຫຼືໂທເຄັນທັງໝົດ.
· ຖ້າມີຫຼາຍປະເພດຫຼັກທີ່ມີຢູ່, ຫຼັງຈາກນັ້ນ -kປະເພດກະແຈ ການໂຕ້ຖຽງສາມາດຄົ້ນຫາ a
ປະເພດລະຫັດສະເພາະ, ເຊັ່ນ RSA, DSA, ຫຼື ECC.
ລາຍຊື່ ຄວາມປອດໄພ ໂມດູນ
ອຸປະກອນທີ່ສາມາດນໍາໃຊ້ເພື່ອເກັບຮັກສາໃບຢັ້ງຢືນ -- ທັງຖານຂໍ້ມູນພາຍໃນແລະພາຍນອກ
ອຸປະກອນເຊັ່ນບັດອັດສະລິຍະ -- ຖືກຮັບຮູ້ ແລະໃຊ້ໂດຍການໂຫຼດໂມດູນຄວາມປອດໄພ. ໄດ້ -U
ຕົວເລືອກຄໍາສັ່ງຈະລາຍຊື່ໂມດູນຄວາມປອດໄພທັງໝົດທີ່ມີລາຍຊື່ຢູ່ໃນຖານຂໍ້ມູນ secmod.db. ໄດ້
ເສັ້ນທາງໄປຫາໄດເລກະທໍລີ (-d) ຈໍາເປັນ.
$ certutil -U -d sql:/home/my/sharednssdb
slot: NSS User Private Key ແລະການບໍລິການໃບຢັ້ງຢືນ
token: NSS Certificate DB
ສະລັອດຕິງ: NSS Internal Cryptographic Services
token: NSS Generic Crypto Services
ເພີ່ມຕື່ມ ໃບຢັ້ງຢືນການ to ໄດ້ ຖານຂໍ້ມູນ
ໃບຢັ້ງຢືນທີ່ມີຢູ່ແລ້ວຫຼືການຮ້ອງຂໍໃບຢັ້ງຢືນສາມາດຖືກເພີ່ມໃສ່ໃບຢັ້ງຢືນດ້ວຍຕົນເອງ
ຖານຂໍ້ມູນ, ເຖິງແມ່ນວ່າພວກເຂົາຖືກສ້າງຂື້ນຢູ່ບ່ອນອື່ນ. ນີ້ໃຊ້ -A ຕົວເລືອກ ຄຳ ສັ່ງ.
certutil -A -n certname -t trustargs -d [sql:]directory [-a] [-i input-file]
ຍົກຕົວຢ່າງ:
$ certutil -A -n "CN = ໃບຢັ້ງຢືນ SSL ຂອງຂ້ອຍ" -t "u,u,u" -d sql:/home/my/sharednssdb -i /home/example-certs/cert.cer
ທາງເລືອກຄໍາສັ່ງທີ່ກ່ຽວຂ້ອງ, -E, ຖືກນໍາໃຊ້ໂດຍສະເພາະເພື່ອເພີ່ມໃບຢັ້ງຢືນອີເມລ໌ກັບ
ຖານຂໍ້ມູນໃບຢັ້ງຢືນ. ໄດ້ -E ຄໍາສັ່ງມີການໂຕ້ຖຽງດຽວກັນກັບ -A ຄໍາສັ່ງ. ຄວາມໄວ້ວາງໃຈ
ການໂຕ້ຖຽງສໍາລັບໃບຢັ້ງຢືນມີຮູບແບບ SSL,S/MIME,ການເຊັນລະຫັດ, ດັ່ງນັ້ນຄວາມໄວ້ວາງໃຈກາງ
ການຕັ້ງຄ່າກ່ຽວຂ້ອງກັບໃບຢັ້ງຢືນອີເມລ໌ຫຼາຍທີ່ສຸດ (ເຖິງແມ່ນວ່າອັນອື່ນສາມາດຕັ້ງໄດ້). ຍົກຕົວຢ່າງ:
$ certutil -E -n "CN=John Smith Email Cert" -t ",Pu," -d sql:/home/my/sharednssdb -i /home/example-certs/email.cer
ລຶບ ໃບຢັ້ງຢືນການ to ໄດ້ ຖານຂໍ້ມູນ
ໃບຢັ້ງຢືນສາມາດຖືກລຶບອອກຈາກຖານຂໍ້ມູນໂດຍໃຊ້ -D ທາງເລືອກ. ທາງເລືອກທີ່ຕ້ອງການເທົ່ານັ້ນ
ແມ່ນເພື່ອໃຫ້ໄດເລກະທໍລີຖານຂໍ້ມູນຄວາມປອດໄພແລະກໍານົດຊື່ຂອງໃບຢັ້ງຢືນ.
certutil -D -d [sql:]directory -n "ຊື່ຫຼິ້ນ"
ຍົກຕົວຢ່າງ:
$ certutil -D -d sql:/home/my/sharednssdb -n "my-ssl-cert"
ການກວດສອບຄວາມຖືກຕ້ອງ ໃບຢັ້ງຢືນການ
ໃບຮັບຮອງມີວັນໝົດອາຍຸຢູ່ໃນຕົວຂອງມັນເອງ, ແລະໃບຢັ້ງຢືນໝົດອາຍຸແມ່ນງ່າຍ
ປະຕິເສດ. ຢ່າງໃດກໍ່ຕາມ, ໃບຢັ້ງຢືນຍັງສາມາດຖືກຖອນຄືນກ່ອນທີ່ມັນຈະຮອດວັນຫມົດອາຍຸຂອງພວກເຂົາ.
ການກວດສອບວ່າໃບຮັບຮອງໄດ້ຖືກຖອນຄືນແລ້ວ ຮຽກຮ້ອງໃຫ້ມີການກວດສອບໃບຢັ້ງຢືນ.
ການກວດສອບຄວາມຖືກຕ້ອງຍັງສາມາດຖືກນໍາໃຊ້ເພື່ອຮັບປະກັນວ່າໃບຢັ້ງຢືນຖືກນໍາໃຊ້ເພື່ອຈຸດປະສົງເທົ່ານັ້ນ
ມັນໄດ້ຖືກອອກໃນເບື້ອງຕົ້ນສໍາລັບການ. ການກວດສອບແມ່ນດໍາເນີນການໂດຍ -V ຕົວເລືອກ ຄຳ ສັ່ງ.
certutil -V -n certificate-name [-b time] [-e] [-u cert-usage] -d [sql:] directory
ສໍາລັບຕົວຢ່າງ, ການກວດສອບໃບຢັ້ງຢືນອີເມລ໌:
$ certutil -V -n "ໃບຢັ້ງຢືນອີເມວຂອງ John Smith" -e -u S,R -d sql:/home/my/sharednssdb
ການດັດແກ້ ໃບຢັ້ງຢືນການ ຄວາມໄວ້ວາງໃຈ ການຕັ້ງຄ່າ
ການຕັ້ງຄ່າຄວາມເຊື່ອຖື (ທີ່ກ່ຽວຂ້ອງກັບການດໍາເນີນງານທີ່ໃບຢັ້ງຢືນອະນຸຍາດໃຫ້ເປັນ
ໃຊ້ສໍາລັບ) ສາມາດປ່ຽນແປງໄດ້ຫຼັງຈາກໃບຢັ້ງຢືນຖືກສ້າງຂຶ້ນຫຼືເພີ່ມໃສ່ຖານຂໍ້ມູນ. ນີ້ແມ່ນ
ໂດຍສະເພາະແມ່ນເປັນປະໂຫຍດສໍາລັບໃບຢັ້ງຢືນ CA, ແຕ່ມັນສາມາດປະຕິບັດໄດ້ສໍາລັບປະເພດໃດກໍ່ຕາມ
ໃບຢັ້ງຢືນ.
certutil -M -n certificate-name -t trust-args -d [sql:] directory
ຍົກຕົວຢ່າງ:
$ certutil -M -n "ໃບຮັບຮອງ CA ຂອງຂ້ອຍ" -d sql:/home/my/sharednssdb -t "CTu,CTu,CTu"
ການພິມ ໄດ້ ໃບຢັ້ງຢືນການ ລະບົບຕ່ອງໂສ້
ໃບຢັ້ງຢືນສາມາດອອກໄດ້ໃນ chains ເນື່ອງຈາກວ່າທຸກໆອົງການໃບຢັ້ງຢືນຕົວມັນເອງມີ a
ໃບຢັ້ງຢືນ; ເມື່ອ CA ອອກໃບຢັ້ງຢືນ, ມັນ ຈຳ ເປັນສະແຕມໃບຢັ້ງຢືນນັ້ນດ້ວຍ
ລາຍນິ້ວມືຂອງຕົນເອງ. ໄດ້ -O ພິມລະບົບຕ່ອງໂສ້ອັນເຕັມທີ່ຂອງໃບຢັ້ງຢືນ, ໄປຈາກເບື້ອງຕົ້ນ
CA (CA ຮາກ) ຜ່ານ CA ຕົວກາງທີ່ເຄີຍເປັນໃບຢັ້ງຢືນຕົວຈິງ. ຕົວຢ່າງ, ສໍາລັບ
ໃບຢັ້ງຢືນອີເມວທີ່ມີສອງ CA ໃນລະບົບຕ່ອງໂສ້:
$ certutil -d sql:/home/my/sharednssdb -O -n "[email protected]"
"Builtin Object Token:Thawte Personal Freemail CA" [E=[email protected],CN=Thawte Personal Freemail CA,OU=ພະແນກບໍລິການການຢັ້ງຢືນ,O=Thawte Consulting,L=Cape Town,ST=Western Cape,C=ZA]
"Thawte Personal Freemail Issuing CA - Thawte Consulting" [CN=Thawte Personal Freemail Issuing CA,O=Thawte Consulting (Pty) Ltd.,C=ZA]
"(null)" [E=[email protected],CN=Thawte Freemail ສະມາຊິກ]
ການຕັ້ງຄ່າໃຫມ່ a token
ອຸປະກອນທີ່ເກັບຮັກສາໃບຢັ້ງຢືນ -- ທັງອຸປະກອນຮາດແວພາຍນອກ ແລະພາຍໃນ
ຖານຂໍ້ມູນຊອບແວ -- ສາມາດຖືກເປົ່າຫວ່າງ ແລະໃຊ້ຄືນໄດ້. ການດໍາເນີນງານນີ້ແມ່ນດໍາເນີນຢູ່ໃນອຸປະກອນ
ທີ່ເກັບຮັກສາຂໍ້ມູນ, ບໍ່ແມ່ນໂດຍກົງຢູ່ໃນຖານຂໍ້ມູນຄວາມປອດໄພ, ສະນັ້ນສະຖານທີ່ຕ້ອງເປັນ
ອ້າງອິງຜ່ານຊື່ໂທເຄັນ (-h) ເຊັ່ນດຽວກັນກັບເສັ້ນທາງໄດເລກະທໍລີໃດໆ. ຖ້າບໍ່ມີ
token ພາຍນອກຖືກນໍາໃຊ້, ຄ່າເລີ່ມຕົ້ນແມ່ນພາຍໃນ.
certutil -T -d [sql:]ໄດເລກະທໍລີ -h token-name -0 security-officer-password
ຫຼາຍໆເຄືອຂ່າຍມີບຸກຄະລາກອນທີ່ອຸທິດຕົນທີ່ຈັດການກັບການປ່ຽນແປງຂອງໂທເຄັນຄວາມປອດໄພ (ຄວາມປອດໄພ
ເຈົ້າໜ້າທີ່). ບຸກຄົນນີ້ຕ້ອງສະໜອງລະຫັດຜ່ານເພື່ອເຂົ້າເຖິງໂທເຄັນທີ່ລະບຸໄວ້. ຍົກຕົວຢ່າງ:
$ certutil -T -d sql:/home/my/sharednssdb -h nethsm -0 ຄວາມລັບ
ການອັບເກດ or ການໂຮມເຂົ້າກັນ ໄດ້ ຄວາມປອດໄພ ຖານຂໍ້ມູນ
ຫຼາຍເຄືອຂ່າຍ ຫຼືແອັບພລິເຄຊັນອາດຈະໃຊ້ໃບຮັບຮອງ BerkeleyDB ເວີຊັນເກົ່າ
ຖານຂໍ້ມູນ (cert8.db). ຖານຂໍ້ມູນສາມາດຖືກຍົກລະດັບເປັນ SQLite ຮຸ່ນໃຫມ່ຂອງຖານຂໍ້ມູນ
(cert9.db) ການນໍາໃຊ້ --upgrade-merge ທາງເລືອກຄໍາສັ່ງຫຼືຖານຂໍ້ມູນທີ່ມີຢູ່ແລ້ວສາມາດຖືກລວມເຂົ້າກັນ
ກັບຖານຂໍ້ມູນ cert9.db ໃຫມ່ໂດຍໃຊ້ --- ລວມ ຄໍາສັ່ງ.
ໄດ້ --upgrade-merge command ຕ້ອງໃຫ້ຂໍ້ມູນກ່ຽວກັບຖານຂໍ້ມູນຕົ້ນສະບັບແລະຫຼັງຈາກນັ້ນນໍາໃຊ້
ການໂຕ້ຖຽງມາດຕະຖານ (ເຊັ່ນ -d) ເພື່ອໃຫ້ຂໍ້ມູນກ່ຽວກັບຖານຂໍ້ມູນໃຫມ່. ໄດ້
ຄໍາສັ່ງຍັງຕ້ອງການຂໍ້ມູນທີ່ເຄື່ອງມືໃຊ້ສໍາລັບຂະບວນການຍົກລະດັບແລະຂຽນ
ຫຼາຍກວ່າຖານຂໍ້ມູນຕົ້ນສະບັບ.
certutil --upgrade-merge -d [sql:]directory [-P dbprefix] --source-dir directory --source-prefix dbprefix --upgrade-id id --upgrade-token-name name [-@ password-file ]
ຍົກຕົວຢ່າງ:
$ certutil --upgrade-merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp- --upgrade-id 1 --upgrade-token- ຊື່ພາຍໃນ
ໄດ້ --ລວມເຂົ້າກັນ ຄໍາສັ່ງພຽງແຕ່ຕ້ອງການຂໍ້ມູນກ່ຽວກັບສະຖານທີ່ຂອງຖານຂໍ້ມູນຕົ້ນສະບັບ;
ເນື່ອງຈາກວ່າມັນບໍ່ປ່ຽນແປງຮູບແບບຂອງຖານຂໍ້ມູນ, ມັນສາມາດຂຽນຂໍ້ມູນໄດ້ໂດຍບໍ່ມີຂໍ້ມູນ
ປະຕິບັດຂັ້ນຕອນຊົ່ວຄາວ.
certutil --merge -d [sql:]directory [-P dbprefix] --source-dir directory --source-prefix dbprefix [-@ password-file]
ຍົກຕົວຢ່າງ:
$ certutil --merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp-
ເຮັດວຽກ ໃບຢັ້ງຢືນ ຄໍາສັ່ງ ຈາກ a Batch ເອກະສານ
ຊຸດຂອງຄໍາສັ່ງສາມາດດໍາເນີນການຕາມລໍາດັບຈາກໄຟລ໌ຂໍ້ຄວາມທີ່ມີ -B ຕົວເລືອກ ຄຳ ສັ່ງ.
ການໂຕ້ຖຽງພຽງແຕ່ສໍາລັບການນີ້ລະບຸໄຟລ໌ປ້ອນຂໍ້ມູນ.
$ certutil -B -i /path/to/batch-file
NSS DATABASE TYPES
NSS ໃນເບື້ອງຕົ້ນໄດ້ໃຊ້ຖານຂໍ້ມູນ BerkeleyDB ເພື່ອເກັບຮັກສາຂໍ້ມູນຄວາມປອດໄພ. ຮຸ່ນຫຼ້າສຸດ
ຂອງເຫຼົ່ານີ້ legacy ຖານຂໍ້ມູນແມ່ນ:
· cert8.db ສໍາລັບໃບຢັ້ງຢືນ
· key3.db ສໍາລັບກະແຈ
· secmod.db ສໍາລັບ PKCS #11 ຂໍ້ມູນໂມດູນ
BerkeleyDB ມີຂໍ້ຈໍາກັດດ້ານການປະຕິບັດ, ເຖິງແມ່ນວ່າ, ເຊິ່ງປ້ອງກັນບໍ່ໃຫ້ມັນຖືກນໍາໃຊ້ໄດ້ງ່າຍໂດຍ
ຫຼາຍແອັບພລິເຄຊັນພ້ອມໆກັນ. NSS ມີຄວາມຍືດຫຍຸ່ນບາງຢ່າງທີ່ອະນຸຍາດໃຫ້ແອັບພລິເຄຊັນຕ່າງໆ
ໃຊ້ເຄື່ອງຈັກຖານຂໍ້ມູນເອກະລາດຂອງຕົນເອງໃນຂະນະທີ່ຮັກສາຖານຂໍ້ມູນທີ່ແບ່ງປັນແລະເຮັດວຽກ
ກ່ຽວກັບບັນຫາການເຂົ້າເຖິງ. ຢ່າງໃດກໍຕາມ, NSS ຮຽກຮ້ອງໃຫ້ມີຄວາມຍືດຫຍຸ່ນຫຼາຍຂຶ້ນເພື່ອສະຫນອງການແບ່ງປັນຢ່າງແທ້ຈິງ
ຖານຂໍ້ມູນຄວາມປອດໄພ.
ໃນປີ 2009, NSS ໄດ້ນໍາສະເຫນີຊຸດຖານຂໍ້ມູນໃຫມ່ທີ່ເປັນຖານຂໍ້ມູນ SQLite ແທນທີ່ຈະ
BerkeleyDB. ຖານຂໍ້ມູນໃຫມ່ເຫຼົ່ານີ້ສະຫນອງການເຂົ້າເຖິງແລະປະສິດທິພາບເພີ່ມເຕີມ:
· cert9.db ສໍາລັບໃບຢັ້ງຢືນ
· key4.db ສໍາລັບກະແຈ
· pkcs11.txt, ລາຍຊື່ຂອງໂມດູນ PKCS #11 ທັງໝົດ, ທີ່ມີຢູ່ໃນບັນຊີຍ່ອຍໃໝ່
ໃນໄດເລກະທໍລີຖານຂໍ້ມູນຄວາມປອດໄພ
ເນື່ອງຈາກວ່າຖານຂໍ້ມູນ SQLite ຖືກອອກແບບມາເພື່ອແບ່ງປັນ, ເຫຼົ່ານີ້ແມ່ນ ແບ່ງປັນ ຖານຂໍ້ມູນ
ປະເພດ. ປະເພດຖານຂໍ້ມູນທີ່ແບ່ງປັນແມ່ນມັກ; ຮູບແບບທີ່ເປັນມູນເຊື້ອແມ່ນລວມສໍາລັບການກັບຄືນໄປບ່ອນ
ຄວາມເຂົ້າກັນໄດ້.
ໂດຍຄ່າເລີ່ມຕົ້ນ, ເຄື່ອງມື (ໃບຢັ້ງຢືນ, pk12util, modutil) ສົມມຸດວ່າຄວາມປອດໄພທີ່ໄດ້ຮັບ
ຖານຂໍ້ມູນປະຕິບັດຕາມປະເພດມໍລະດົກທົ່ວໄປກວ່າ. ການໃຊ້ຖານຂໍ້ມູນ SQLite ຕ້ອງເປັນດ້ວຍຕົນເອງ
ກໍານົດໂດຍການນໍາໃຊ້ sql: ຄໍານໍາຫນ້າກັບໄດເລກະທໍລີຄວາມປອດໄພທີ່ໃຫ້. ຍົກຕົວຢ່າງ:
$ certutil -L -d sql:/home/my/sharednssdb
ເພື່ອກໍານົດປະເພດຖານຂໍ້ມູນທີ່ແບ່ງປັນເປັນປະເພດມາດຕະຖານສໍາລັບເຄື່ອງມື, ຕັ້ງຄ່າ
NSS_DEFAULT_DB_TYPE ສະພາບແວດລ້ອມປ່ຽນແປງໄດ້ sql:
ສົ່ງອອກ NSS_DEFAULT_DB_TYPE="sql"
ເສັ້ນນີ້ສາມາດຖືກຕັ້ງຄ່າເພີ່ມໃສ່ ~ / bashrc ໄຟລ໌ເພື່ອເຮັດໃຫ້ການປ່ຽນແປງຖາວອນ.
ແອັບພລິເຄຊັນສ່ວນໃຫຍ່ບໍ່ໄດ້ໃຊ້ຖານຂໍ້ມູນທີ່ແບ່ງປັນໂດຍຄ່າເລີ່ມຕົ້ນ, ແຕ່ພວກເຂົາສາມາດຕັ້ງຄ່າໄດ້
ໃຊ້ພວກມັນ. ຕົວຢ່າງ, ບົດຄວາມວິທີການນີ້ກວມເອົາວິທີການກໍາຫນົດຄ່າ Firefox ແລະ Thunderbird
ເພື່ອໃຊ້ຖານຂໍ້ມູນ NSS ທີ່ແບ່ງປັນໃໝ່:
· https://wiki.mozilla.org/NSS_Shared_DB_Howto
ສໍາລັບຮ່າງວິສະວະກໍາກ່ຽວກັບການປ່ຽນແປງໃນຖານຂໍ້ມູນ NSS ທີ່ແບ່ງປັນ, ເບິ່ງໂຄງການ NSS
ວິກີ:
· https://wiki.mozilla.org/NSS_Shared_DB
ໃຊ້ certutil ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net
