Ini ialah perintah certutil yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
certutil - Urus kunci dan sijil dalam kedua-dua pangkalan data NSS dan token NSS lain
SINOPSIS
certutil [pilihan] [[hujah]]
STATUS
Dokumentasi ini masih dalam proses. Sila menyumbang kepada semakan awal dalam
Mozilla NSS pepijat 836477[1]
DESCRIPTION
Alat Pangkalan Data Sijil, certutil, ialah utiliti baris arahan yang boleh mencipta dan
ubah suai sijil dan pangkalan data utama. Ia secara khusus boleh menyenaraikan, menjana, mengubah suai, atau
padam sijil, cipta atau tukar kata laluan, jana kunci awam dan peribadi baharu
pasangan, paparkan kandungan pangkalan data kunci, atau padam pasangan kunci dalam kunci
pangkalan data.
Pengeluaran sijil, sebahagian daripada proses pengurusan kunci dan sijil, memerlukannya
kunci dan sijil dibuat dalam pangkalan data kunci. Dokumen ini membincangkan sijil
dan pengurusan pangkalan data utama. Untuk maklumat tentang pengurusan pangkalan data modul keselamatan,
melihat modulil halaman rumah.
COMMAND PILIHAN DAN HUJAH
Berlari certutil sentiasa memerlukan satu dan hanya satu pilihan arahan untuk menentukan jenis
operasi sijil. Setiap pilihan arahan mungkin mengambil sifar atau lebih argumen. Perintah itu
pilihan -H akan menyenaraikan semua pilihan arahan dan hujah yang berkaitan.
Perintah Pilihan
-A
Tambahkan sijil sedia ada pada pangkalan data sijil. Pangkalan data sijil sepatutnya
sudah wujud; jika satu tidak hadir, pilihan arahan ini akan memulakan satu demi satu
lalai.
-B
Jalankan satu siri arahan daripada fail kelompok yang ditentukan. Ini memerlukan -i hujah.
-C
Cipta fail sijil binari baharu daripada fail permintaan sijil binari. Menggunakan
-i hujah untuk menentukan fail permintaan sijil. Jika hujah ini tidak digunakan,
certutil menggesa untuk nama fail.
-D
Padamkan sijil daripada pangkalan data sijil.
--menamakan semula
Tukar nama panggilan pangkalan data sijil.
-E
Tambahkan sijil e-mel pada pangkalan data sijil.
-F
Padamkan kunci peribadi daripada pangkalan data kunci. Tentukan kunci untuk dipadam dengan -n
hujah. Tentukan pangkalan data untuk memadamkan kunci dengan -d hujah. guna
yang -k hujah untuk menentukan secara eksplisit sama ada untuk memadamkan kunci DSA, RSA atau ECC. Jika awak
jangan gunakan -k hujah, pilihan mencari kunci RSA yang sepadan dengan yang ditentukan
nama samaran.
Apabila anda memadamkan kunci, pastikan anda juga mengalih keluar sebarang sijil yang dikaitkan dengannya
kunci dari pangkalan data sijil, dengan menggunakan -D. Sesetengah kad pintar tidak membenarkan anda
alih keluar kunci awam yang telah anda hasilkan. Dalam kes sedemikian, hanya kunci persendirian sahaja
dipadamkan daripada pasangan kunci. Anda boleh memaparkan kunci awam dengan arahan certutil -K
-h nama token.
-G
Hasilkan pasangan kunci awam dan peribadi baharu dalam pangkalan data utama. Pangkalan data utama
sepatutnya sudah wujud; jika satu tidak hadir, pilihan arahan ini akan memulakan satu
secara lalai. Sesetengah kad pintar boleh menyimpan hanya satu pasangan kunci. Jika anda mencipta pasangan kunci baharu
untuk kad sedemikian, pasangan sebelumnya ditimpa.
-H
Paparkan senarai pilihan arahan dan hujah.
-K
Senaraikan ID kunci kunci dalam pangkalan data kunci. ID kunci ialah modulus kunci RSA atau
nilai awam kunci DSA. ID dipaparkan dalam perenambelasan ("0x" tidak ditunjukkan).
-L
Senaraikan semua sijil, atau paparkan maklumat tentang sijil bernama, dalam a
pangkalan data sijil. Gunakan argumen nama token -h untuk menentukan sijil
pangkalan data pada perkakasan atau token perisian tertentu.
-M
Ubah suai atribut amanah sijil menggunakan nilai argumen -t.
-N
Buat sijil baharu dan pangkalan data utama.
-O
Cetak rantai sijil.
-R
Buat fail permintaan sijil yang boleh diserahkan kepada Pihak Berkuasa Sijil
(CA) untuk diproses menjadi sijil siap. Output lalai kepada standard keluar
melainkan anda menggunakan -o output-file argumen. Gunakan argumen -a untuk menentukan output ASCII.
-S
Buat sijil individu dan tambahkannya pada pangkalan data sijil.
-T
Tetapkan semula pangkalan data atau token kunci.
-U
Senaraikan semua modul yang tersedia atau cetak satu modul bernama.
-V
Semak kesahihan sijil dan atributnya.
-W
Tukar kata laluan kepada pangkalan data utama.
--bercantum
Gabungkan dua pangkalan data menjadi satu.
--upgrade-merge
Tingkatkan pangkalan data lama dan gabungkannya ke pangkalan data baharu. Ini digunakan untuk berhijrah
pangkalan data NSS warisan (cert8.db dan key3.db) ke dalam pangkalan data SQLite yang lebih baharu (cert9.db
dan kekunci4.db).
Argumen
Argumen mengubah suai pilihan arahan dan biasanya huruf kecil, nombor atau simbol.
-a
Gunakan format ASCII atau benarkan penggunaan format ASCII untuk input atau output. Pemformatan ini
mengikuti RFC 1113. Untuk permintaan sijil, output ASCII lalai kepada output standard
melainkan diubah hala.
-b masa sah
Nyatakan masa di mana sijil diperlukan untuk sah. Gunakan semasa menyemak
kesahan sijil dengan -V pilihan. Format bagi masa sah hujah ialah
YYMMDDHHMMSS[+HHMM|-HHMM|Z], yang membenarkan offset ditetapkan secara relatif kepada kesahihan
masa tamat. Menentukan detik (SS) adalah pilihan. Apabila menyatakan masa yang jelas, gunakan a
Z pada akhir penggal, YYMMDDHHMMSSZ, untuk menutupnya. Apabila menentukan masa offset,
penggunaan YYMMDDHHMMSS+HHMM or YYMMDDHHMMSS-HHMM untuk menambah atau menolak masa,
masing-masing.
Jika pilihan ini tidak digunakan, semakan kesahihan lalai kepada masa sistem semasa.
-c pengeluar
Kenal pasti sijil CA yang mana sijil baharu akan diperolehi
ketulenan. Gunakan nama panggilan atau alias yang tepat bagi sijil CA, atau gunakan CA
alamat emel. Kurungkan rentetan pengeluar dengan tanda petikan jika ia mengandungi ruang.
-d [awalan]direktori
Tentukan direktori pangkalan data yang mengandungi sijil dan fail pangkalan data utama.
certutil menyokong dua jenis pangkalan data: pangkalan data keselamatan warisan (cert8.db,
key3.db dan secmod.db) dan pangkalan data SQLite baharu (cert9.db, key4.db dan pkcs11.txt).
NSS mengenali awalan berikut:
· sql: meminta pangkalan data yang lebih baharu
· dbm: meminta pangkalan data warisan
Jika tiada awalan ditentukan jenis lalai diambil daripada NSS_DEFAULT_DB_TYPE. Jika
NSS_DEFAULT_DB_TYPE tidak ditetapkan kemudian dbm: adalah lalai.
--dump-ext-val OID
Untuk sijil tunggal, cetak pengekodan DER binari bagi sambungan OID.
-e
Semak tandatangan sijil semasa proses pengesahan sijil.
--e-mel alamat e-mel
Tentukan alamat e-mel sijil untuk disenaraikan. Digunakan dengan pilihan arahan -L.
--extGeneric OID:critical-flag:filename[,OID:critical-flag:filename]...
Tambahkan satu atau berbilang sambungan yang belum boleh dikodkan oleh certutil, dengan memuatkan sambungan itu
pengekodan daripada fail luaran.
· OID (contoh): 1.2.3.4
· bendera kritikal: kritikal atau tidak kritikal
· nama fail: laluan penuh ke fail yang mengandungi sambungan yang dikodkan
-f fail kata laluan
Tentukan fail yang akan membekalkan kata laluan secara automatik untuk disertakan dalam sijil
atau untuk mengakses pangkalan data sijil. Ini ialah fail teks biasa yang mengandungi satu
kata laluan. Pastikan anda menghalang akses tanpa kebenaran kepada fail ini.
-g saiz kekunci
Tetapkan saiz kunci untuk digunakan apabila menjana pasangan kunci awam dan peribadi baharu. Minimum adalah
512 bit dan maksimum ialah 16384 bit. Lalai ialah 2048 bit. Sebarang saiz antara
minimum dan maksimum dibenarkan.
-h nama token
Nyatakan nama token untuk digunakan atau bertindak. Jika tidak dinyatakan token lalai ialah
slot pangkalan data dalaman.
-i input_file
Hantar fail input kepada arahan. Bergantung pada pilihan arahan, fail input boleh
menjadi sijil tertentu, fail permintaan sijil atau fail kumpulan perintah.
-k key-type-or-id
Nyatakan jenis atau ID khusus sesuatu kunci.
Pilihan jenis kunci yang sah ialah rsa, dsa, ec atau semua. Nilai lalai ialah rsa.
Menentukan jenis kunci boleh mengelakkan kesilapan yang disebabkan oleh nama panggilan pendua. Memberi a
jenis kunci menjana pasangan kunci baharu; memberikan ID kunci sedia ada menggunakan semula kunci itu
pasangan (yang diperlukan untuk memperbaharui sijil).
-l
Paparkan maklumat terperinci semasa mengesahkan sijil dengan pilihan -V.
-m nombor siri
Berikan nombor siri unik kepada sijil yang sedang dibuat. Operasi ini sepatutnya
dilakukan oleh CA. Jika tiada nombor siri disediakan, nombor siri lalai dibuat
dari masa sekarang. Nombor siri adalah terhad kepada integer
-n nama samaran
Nyatakan nama panggilan sijil atau kunci untuk menyenaraikan, mencipta, menambah pada pangkalan data,
mengubah suai, atau mengesahkan. Kurungkan rentetan nama panggilan dengan tanda petikan jika mengandungi
ruang.
-o output-fail
Tentukan nama fail output untuk sijil baharu atau permintaan sijil binari.
Kurungkan rentetan fail keluaran dengan tanda petikan jika ia mengandungi ruang. Jika ini
argumen tidak digunakan destinasi output lalai kepada output standard.
-P dbAwalan
Tentukan awalan yang digunakan pada sijil dan fail pangkalan data kunci. Hujah ini adalah
disediakan untuk menyokong pelayan lama. Kebanyakan aplikasi tidak menggunakan awalan pangkalan data.
-p telefon
Tentukan nombor telefon kenalan untuk disertakan dalam sijil atau sijil baharu
permintaan. Kurungkan rentetan ini dengan tanda petikan jika ia mengandungi ruang.
-q pqgfile atau nama lengkung
Baca nilai PQG ganti daripada fail yang ditentukan apabila menjana pasangan kunci DSA. Jika
hujah ini tidak digunakan, certutil menjana nilai PQG sendiri. Fail PQG dicipta
dengan utiliti DSA yang berasingan.
Nama lengkung eliptik ialah salah satu daripada SUITE B: nistp256, nistp384, nistp521
Jika NSS telah disusun dengan keluk sokongan di luar SUITE B: sect163k1, nistk163,
sect163r1, sect163r2, nistb163, sect193r1, sect193r2, sect233k1, nistk233, sect233r1,
nistb233, sect239k1, sect283k1, nistk283, sect283r1, nistb283, sect409k1, nistk409,
sect409r1, nistb409, sect571k1, nistk571, sect571r1, nistb571, secp160k1, secp160r1,
secp160r2, secp192k1, secp192r1, nistp192, secp224k1, secp224r1, nistp224, secp256k1,
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2
-r
Paparkan pengekodan DER binari sijil apabila menyenaraikan maklumat tentang itu
sijil dengan pilihan -L.
-s subjek
Kenal pasti pemilik sijil tertentu untuk sijil atau permintaan sijil baharu.
Kurungkan rentetan ini dengan tanda petikan jika ia mengandungi ruang. Subjek
format pengenalan mengikut RFC #1485.
-t trustargs
Tentukan atribut amanah untuk diubah suai dalam sijil sedia ada atau untuk digunakan pada a
sijil semasa menciptanya atau menambahkannya pada pangkalan data. Terdapat tiga yang tersedia
kategori amanah untuk setiap sijil, dinyatakan dalam susunan ssl, e-mel, objek
menandatangani untuk setiap tetapan amanah. Dalam setiap kedudukan kategori, jangan gunakan satu, mana-mana, atau semua
kod atribut:
· p - Rakan sebaya yang sah
· P - Rakan sebaya yang dipercayai (menyiratkan p)
· c - CA yang sah
· T - CA yang dipercayai (menyiratkan c)
· C - CA dipercayai untuk pengesahan pelanggan (pelayan ssl sahaja)
· u - pengguna
Kod atribut untuk kategori dipisahkan dengan koma dan keseluruhan set
atribut yang disertakan dengan tanda petikan. Sebagai contoh:
-t "TCu, Cu, Tu"
Gunakan pilihan -L untuk melihat senarai sijil semasa dan atribut amanah dalam a
pangkalan data sijil.
-u certusage
Tentukan konteks penggunaan untuk digunakan semasa mengesahkan sijil dengan pilihan -V.
Konteksnya adalah seperti berikut:
· C (sebagai pelanggan SSL)
· V (sebagai pelayan SSL)
· L (sebagai SSL CA)
· A (sebagaimana CA)
· Y (Sahkan CA)
· S (sebagai penandatangan e-mel)
· R (sebagai penerima e-mel)
· O (sebagai responder status OCSP)
· J (sebagai penandatangan objek)
-v sah-bulan
Tetapkan bilangan bulan sijil baharu akan sah. Tempoh sah bermula
pada masa sistem semasa melainkan offset ditambah atau ditolak dengan -w pilihan.
Jika hujah ini tidak digunakan, tempoh sah lalai ialah tiga bulan.
-w mengimbangi-bulan
Tetapkan offset daripada masa sistem semasa, dalam bulan, untuk permulaan a
tempoh sah laku sijil. Gunakan semasa membuat sijil atau menambahkannya pada a
pangkalan data. Ungkapkan offset dalam integer, menggunakan tanda tolak (-) untuk menunjukkan a
offset negatif. Jika hujah ini tidak digunakan, tempoh sah bermula pada
masa sistem semasa. Panjang tempoh sah ditetapkan dengan hujah -v.
-X
Paksa pangkalan data kunci dan sijil dibuka dalam mod baca-tulis. Ini digunakan dengan
yang -U and -L pilihan arahan.
-x
Penggunaan certutil untuk menjana tandatangan bagi sijil yang dibuat atau ditambah pada a
pangkalan data, dan bukannya mendapatkan tandatangan daripada CA yang berasingan.
-y exp
Tetapkan nilai eksponen ganti untuk digunakan dalam menjana kunci awam RSA baharu untuk
pangkalan data, bukannya nilai lalai 65537. Nilai ganti yang tersedia ialah 3
dan 17.
-z fail bunyi
Baca nilai benih daripada fail yang ditentukan untuk menjana kunci peribadi dan awam baharu
sepasang. Argumen ini memungkinkan untuk menggunakan nilai benih yang dijana perkakasan atau
mencipta nilai secara manual daripada papan kekunci. Saiz fail minimum ialah 20 bait.
-Z hashAlg
Tentukan algoritma cincang untuk digunakan dengan pilihan arahan -C, -S atau -R. mungkin
kata kunci:
· MD2
· MD4
· MD5
· SHA1
· SHA224
· SHA256
· SHA384
· SHA512
-0 SSO_kata laluan
Tetapkan kata laluan pegawai keselamatan tapak pada token.
-1 | --keyUsage kata kunci, kata kunci
Tetapkan Sambungan Jenis Sijil X.509 V3 dalam sijil. Terdapat beberapa
kata kunci yang tersedia:
· tandatangan digital
· bukan Penolakan
· kunciEncipherment
· DataEncipherment
· keyAgreement
· penandatanganan perakuan
· crlMenandatangani
· kritikal
-2
Tambahkan sambungan kekangan asas pada sijil yang sedang dibuat atau ditambahkan pada a
pangkalan data. Sambungan ini menyokong proses pengesahan rantaian sijil.
certutil menggesa untuk sambungan kekangan sijil untuk dipilih.
Sambungan sijil X.509 diterangkan dalam RFC 5280.
-3
Tambahkan sambungan ID kunci kuasa pada sijil yang sedang dibuat atau ditambahkan pada a
pangkalan data. Sambungan ini menyokong pengenalpastian sijil tertentu, daripada
antara berbilang sijil yang dikaitkan dengan satu nama subjek, sebagai pengeluar yang betul
sijil. Alat Pangkalan Data Sijil akan menggesa anda untuk memilih pihak berkuasa
sambungan ID kunci.
Sambungan sijil X.509 diterangkan dalam RFC 5280.
-4
Tambahkan sambungan titik pengedaran CRL pada sijil yang sedang dibuat atau ditambahkan
kepada pangkalan data. Sambungan ini mengenal pasti URL sijil yang berkaitan
senarai pembatalan sijil (CRL). certutil gesaan untuk URL.
Sambungan sijil X.509 diterangkan dalam RFC 5280.
-5 | --nsCertType kata kunci, kata kunci
Tambahkan sambungan jenis sijil X.509 V3 pada sijil yang sedang dibuat atau
ditambah ke pangkalan data. Terdapat beberapa kata kunci yang tersedia:
· sslClient
· sslServer
· smime
· Penandatanganan objek
· sslCA
· smimeCA
· objectSigningCA
· kritikal
Sambungan sijil X.509 diterangkan dalam RFC 5280.
-6 | --extKeyUsage kata kunci,kata kunci
Tambahkan sambungan penggunaan kunci lanjutan pada sijil yang sedang dibuat atau ditambahkan pada
pangkalan data. Beberapa kata kunci tersedia:
· serverAuth
· clientAuth
· Penandatanganan kod
· e-melPerlindungan
· Cap masa
· ocspResponder
· meningkatkan
· msTrustListSign
· kritikal
Sambungan sijil X.509 diterangkan dalam RFC 5280.
-7 e-melTambah
Tambahkan senarai alamat e-mel yang dipisahkan koma pada nama alternatif subjek
lanjutan permintaan sijil atau sijil yang sedang dibuat atau ditambahkan pada
pangkalan data. Sambungan nama alternatif subjek diterangkan dalam Bahagian 4.2.1.7 daripada
RFC 3280.
-8 dns-nama
Tambahkan senarai nama DNS yang dipisahkan koma pada sambungan nama alternatif subjek bagi a
permintaan sijil atau sijil yang sedang dibuat atau ditambahkan pada pangkalan data.
Sambungan nama alternatif subjek diterangkan dalam Bahagian 4.2.1.7 RFC 3280.
--extAIA
Tambahkan sambungan Akses Maklumat Pihak Berkuasa pada sijil. Sijil X.509
sambungan diterangkan dalam RFC 5280.
--extSIA
Tambahkan sambungan Akses Maklumat Subjek pada sijil. Sijil X.509
sambungan diterangkan dalam RFC 5280.
--extCP
Tambahkan sambungan Polisi Sijil pada sijil. Sijil X.509
sambungan diterangkan dalam RFC 5280.
--extPM
Tambahkan sambungan Pemetaan Dasar pada sijil. Sambungan sijil X.509 ialah
diterangkan dalam RFC 5280.
--extPC
Tambahkan sambungan Kekangan Dasar pada sijil. Sambungan sijil X.509
diterangkan dalam RFC 5280.
--extIA
Tambahkan sambungan Inhibit Any Policy Access pada sijil. Sijil X.509
sambungan diterangkan dalam RFC 5280.
--extSKID
Tambahkan sambungan ID Kunci Subjek pada sijil. Sambungan sijil X.509 ialah
diterangkan dalam RFC 5280.
--extNC
Tambahkan sambungan Kekangan Nama pada sijil. Sambungan sijil X.509 ialah
diterangkan dalam RFC 5280.
--extSAN type:name[,type:name]...
Buat sambungan Nama Alt Subjek dengan satu atau berbilang nama.
-jenis: direktori, dn, dns, edi, ediparty, e-mel, ip, ipaddr, lain, registerid,
rfc822, uri, x400, x400addr
--kosong-kata laluan
Gunakan kata laluan kosong apabila mencipta pangkalan data sijil baharu dengan -N.
--keyAttrFlags attrflags
Atribut utama PKCS #11. Senarai tanda atribut utama yang dipisahkan koma, dipilih daripada
senarai pilihan berikut: {token | sesi} {awam | peribadi} {sensitif |
tidak sensitif} {boleh diubah suai | tidak boleh diubah suai} {boleh diekstrak | tidak boleh diekstrak}
--keyOpFlagsOn opflags, --keyOpFlagsOff opflags
Bendera Operasi utama PKCS #11. Senarai dipisahkan koma satu atau lebih daripada yang berikut:
{token | sesi} {awam | peribadi} {sensitif | tidak sensitif} {boleh diubah suai |
tidak boleh diubah suai} {boleh diekstrak | tidak boleh diekstrak}
--nama samaran baru
Nama panggilan baharu, digunakan semasa menamakan semula sijil.
--source-dir certdir
Kenal pasti direktori pangkalan data sijil untuk dinaik taraf.
--source-prefix certdir
Berikan awalan sijil dan pangkalan data utama untuk dinaik taraf.
--upgrade-id uniqueID
Berikan ID unik pangkalan data untuk dinaik taraf.
--upgrade-token-nama nama
Tetapkan nama token untuk digunakan semasa ia sedang dinaik taraf.
-@ pwfile
Berikan nama fail kata laluan untuk digunakan untuk pangkalan data yang sedang dinaik taraf.
PENGGUNAAN DAN CONTOH
Kebanyakan pilihan arahan dalam contoh yang disenaraikan di sini mempunyai lebih banyak hujah yang tersedia. The
hujah yang disertakan dalam contoh ini adalah yang paling biasa atau digunakan untuk menggambarkan a
senario tertentu. Menggunakan -H pilihan untuk menunjukkan senarai lengkap hujah bagi setiap satu
pilihan perintah.
mewujudkan Baru Keselamatan Pangkalan data lain
Sijil, kunci dan modul keselamatan yang berkaitan dengan pengurusan sijil disimpan dalam
tiga pangkalan data berkaitan:
· cert8.db atau cert9.db
· key3.db atau key4.db
· secmod.db atau pkcs11.txt
Pangkalan data ini mesti dibuat sebelum sijil atau kunci boleh dijana.
certutil -N -d [sql:]direktori
mewujudkan a Sijil Meminta
Permintaan sijil mengandungi kebanyakan atau semua maklumat yang digunakan untuk menjana
sijil akhir. Permintaan ini dikemukakan secara berasingan kepada pihak berkuasa sijil dan adalah
kemudian diluluskan oleh beberapa mekanisme (secara automatik atau melalui semakan manusia). Sebaik sahaja permintaan itu
diluluskan, maka sijil dijana.
$ certutil -R -k key-type-or-id [-q pqgfile|curve-name] -g key-size -s subject [-h tokenname] -d [sql:]direktori [-p phone] [-o fail keluaran] [-a]
. -R pilihan arahan memerlukan empat hujah:
· -k untuk menentukan sama ada jenis kunci untuk dijana atau, apabila memperbaharui sijil,
pasangan kunci sedia ada untuk digunakan
· -g untuk menetapkan saiz kunci untuk dijana
· -s untuk menetapkan nama subjek sijil
· -d untuk memberikan direktori pangkalan data keselamatan
Permintaan sijil baharu boleh dikeluarkan dalam format ASCII (-a) atau boleh ditulis kepada a
fail yang ditentukan (-o).
Sebagai contoh:
$ certutil -R -k rsa -g 1024 -s "CN=John Smith,O=Example Corp,L=Mountain View,ST=California,C=US" -d sql:$HOME/nssdb -p 650-555- 0123 -a -o sijil.cer
Menjana kunci. Ini mungkin mengambil masa beberapa saat...
mewujudkan a Sijil
Sijil yang sah mesti dikeluarkan oleh CA yang dipercayai. Ini boleh dilakukan dengan menentukan CA
sijil (-c) yang disimpan dalam pangkalan data sijil. Jika pasangan kunci CA tidak
tersedia, anda boleh mencipta sijil yang ditandatangani sendiri menggunakan -x hujah dengan -S
pilihan perintah.
$ certutil -S -k rsa|dsa|ec -n nama sijil -s subjek [-c issuer |-x] -t trustargs -d [sql:]direktori [-m siri-nombor] [-v sah-bulan] [ -w offset-bulan] [-p telefon] [-1] [-2] [-3] [-4] [-5 kata kunci] [-6 kata kunci] [-7 alamat e-mel] [-8 nama-dns] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]
Siri nombor dan --ext* pilihan menetapkan sambungan sijil yang boleh ditambah kepada
sijil apabila ia dijana oleh CA. Gesaan interaktif akan terhasil.
Sebagai contoh, ini mencipta sijil yang ditandatangani sendiri:
$ certutil -S -s "CN=Contoh CA" -n my-ca-cert -x -t "C,C,C" -1 -2 -5 -m 3650
Gesaan interaktif untuk penggunaan utama dan sama ada sebarang sambungan adalah kritikal dan respons
telah diabaikan kerana ringkasnya.
Dari sana, sijil baharu boleh merujuk sijil yang ditandatangani sendiri:
$ certutil -S -s "CN=My Server Cert" -n my-server-cert -c "my-ca-cert" -t "u,u,u" -1 -5 -6 -8 -m 730
Menjana a Sijil dari a Sijil Meminta
Apabila permintaan sijil dibuat, sijil boleh dijana dengan menggunakan permintaan tersebut
dan kemudian merujuk sijil penandatanganan pihak berkuasa sijil (the penerbit dinyatakan dalam
yang -c hujah). Sijil yang dikeluarkan mestilah dalam pangkalan data sijil dalam
direktori yang ditentukan.
certutil -C -c issuer -i cert-request-file -o output-file [-m siri-nombor] [-v sah-bulan] [-w offset-bulan] -d [sql:]direktori [-1] [-2] [-3] [-4] [-5 kata kunci] [-6 kata kunci] [-7 emailAddress] [-8 dns-nama]
Sebagai contoh:
$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql:$HOME/nssdb -1 nonRepudiation,dataEncipherment -5 sslClient -6 clientAuth -7 [e-mel dilindungi]
penyenaraian sijil
. -L pilihan arahan menyenaraikan semua sijil yang disenaraikan dalam pangkalan data sijil.
Laluan ke direktori (-d) adalah diperlukan.
$ certutil -L -d sql:/home/my/sharednssdb
Atribut Amanah Nama Panggilan Sijil
SSL,S/MIME,JAR/XPI
Pentadbir CA Contoh ID Domain pki-ca1 u,u,u
ID Domain Contoh Pentadbir TPS u,u,u
Pihak Berkuasa Internet Google ,,
Pihak Berkuasa Sijil - Contoh Domain CT,C,C
Menggunakan hujah tambahan dengan -L boleh mengembalikan dan mencetak maklumat untuk satu,
sijil tertentu. Sebagai contoh, yang -n argumen melepasi nama sijil, manakala
-a argumen mencetak sijil dalam format ASCII:
$ certutil -L -d sql:$HOME/nssdb -a -n my-ca-cert
-----MULAKAN SIJIL-----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-----SIJIL TAMAT-----
Untuk paparan yang boleh dibaca manusia
$ certutil -L -d sql:$HOME/nssdb -n my-ca-cert
Sijil:
tarikh:
Versi: 3 (0x2)
Nombor Siri: 3650 (0xe42)
Algoritma Tandatangan: PKCS #1 SHA-1 Dengan Penyulitan RSA
Pengeluar: "CN=Contoh CA"
Kesahan:
Bukan Sebelum: Rabu 13 Mac 19:10:29 2013
Tidak Selepas : Kha Jun 13 19:10:29 2013
Subjek: "CN=Contoh CA"
Maklumat Kunci Awam Subjek:
Algoritma Kunci Awam: Penyulitan RSA PKCS #1
Kunci Awam RSA:
Modulus:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
Eksponen: 65537 (0x10001)
Sambungan yang Ditandatangani:
Nama: Jenis Sijil
Data: tiada
Nama: Kekangan Asas Sijil
Data: Merupakan CA tanpa panjang laluan maksimum.
Nama: Penggunaan Kunci Sijil
Kritikal: Betul
Kegunaan: Menandatangani Sijil
Algoritma Tandatangan: PKCS #1 SHA-1 Dengan Penyulitan RSA
Tandatangan:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
Cap jari (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
Cap jari (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7
Bendera Amanah Sijil:
Bendera SSL:
CA yang sah
CA yang dipercayai
pengguna
Bendera E-mel:
CA yang sah
CA yang dipercayai
pengguna
Bendera Penandatanganan Objek:
CA yang sah
CA yang dipercayai
pengguna
penyenaraian Kekunci
Kunci ialah bahan asal yang digunakan untuk menyulitkan data sijil. Kekunci yang dihasilkan untuk
sijil disimpan secara berasingan, dalam pangkalan data utama.
Untuk menyenaraikan semua kunci dalam pangkalan data, gunakan -K pilihan arahan dan (diperlukan) -d hujah
untuk memberikan laluan kepada direktori.
$ certutil -K -d sql:$HOME/nssdb
certutil: Menyemak token "NSS Certificate DB" dalam slot "NSS User Private Key and Certificate Services "
< 0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d Thawte Freemail Ahli Thawte Consulting (Pty) Ltd. ID
< 1> rsa 40defeeb522ade11090eacebaaf1196a172127df Contoh Sijil Pentadbir Domain
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert
Terdapat cara untuk mengecilkan kekunci yang disenaraikan dalam hasil carian:
· Untuk mengembalikan kunci tertentu, gunakan -nnama hujah dengan nama kunci.
· Jika terdapat berbilang peranti keselamatan dimuatkan, maka -hnama token hujah boleh
cari token tertentu atau semua token.
· Jika terdapat berbilang jenis kunci yang tersedia, maka -kjenis kunci hujah boleh mencari a
jenis kunci tertentu, seperti RSA, DSA atau ECC.
penyenaraian Keselamatan Modul
Peranti yang boleh digunakan untuk menyimpan sijil -- kedua-dua pangkalan data dalaman dan luaran
peranti seperti kad pintar -- diiktiraf dan digunakan dengan memuatkan modul keselamatan. The -U
pilihan arahan menyenaraikan semua modul keselamatan yang disenaraikan dalam pangkalan data secmod.db. The
laluan ke direktori (-d) adalah diperlukan.
$ certutil -U -d sql:/home/my/sharednssdb
slot: Perkhidmatan Kunci Peribadi dan Sijil Pengguna NSS
token: Sijil NSS DB
slot: Perkhidmatan Kriptografi Dalaman NSS
token: Perkhidmatan Kripto Generik NSS
Menambah sijil kepada yang Pangkalan Data
Sijil atau permintaan sijil sedia ada boleh ditambah secara manual pada sijil
pangkalan data, walaupun ia dijana di tempat lain. Ini menggunakan -A pilihan perintah.
certutil -A -n certname -t trustargs -d [sql:]direktori [-a] [-i input-file]
Sebagai contoh:
$ certutil -A -n "CN=Sijil SSL Saya" -t "u,u,u" -d sql:/home/my/sharednssdb -i /home/example-certs/cert.cer
Pilihan arahan yang berkaitan, -E, digunakan khusus untuk menambah sijil e-mel pada
pangkalan data sijil. The -E arahan mempunyai hujah yang sama dengan -A perintah. Kepercayaan
hujah untuk sijil mempunyai format SSL, S/MIME, Penandatanganan kod, jadi amanah tengah
tetapan paling berkaitan dengan sijil e-mel (walaupun yang lain boleh ditetapkan). Sebagai contoh:
$ certutil -E -n "CN=Sijil E-mel John Smith" -t ",Pu," -d sql:/home/my/sharednssdb -i /home/example-certs/email.cer
memotong sijil kepada yang Pangkalan Data
Sijil boleh dipadamkan daripada pangkalan data menggunakan -D pilihan. Satu-satunya pilihan yang diperlukan
adalah untuk memberikan direktori pangkalan data keselamatan dan untuk mengenal pasti nama panggilan sijil.
certutil -D -d [sql:]direktori -n "nama panggilan"
Sebagai contoh:
$ certutil -D -d sql:/home/my/sharednssdb -n "my-ssl-cert"
Mengesahkan sijil
Sijil mengandungi tarikh tamat tempoh itu sendiri, dan sijil tamat tempoh adalah mudah
ditolak. Walau bagaimanapun, sijil juga boleh dibatalkan sebelum ia mencapai tarikh tamat tempohnya.
Menyemak sama ada sijil telah dibatalkan memerlukan pengesahan sijil.
Pengesahan juga boleh digunakan untuk memastikan sijil hanya digunakan untuk tujuan tersebut
ia pada mulanya dikeluarkan untuk. Pengesahan dijalankan oleh -V pilihan perintah.
certutil -V -n nama sijil [-b masa] [-e] [-u penggunaan sijil] -d [sql:] direktori
Contohnya, untuk mengesahkan sijil e-mel:
$ certutil -V -n "Sijil E-mel John Smith" -e -u S,R -d sql:/home/my/sharednssdb
Mengubahsuai Sijil Amanah Tetapan
Tetapan amanah (yang berkaitan dengan operasi yang dibenarkan oleh sijil
digunakan untuk) boleh ditukar selepas sijil dicipta atau ditambah ke pangkalan data. Ini adalah
amat berguna untuk sijil CA, tetapi ia boleh dilakukan untuk sebarang jenis
perakuan.
certutil -M -n nama sijil -t trust-args -d [sql:]direktori
Sebagai contoh:
$ certutil -M -n "Sijil CA Saya" -d sql:/home/my/sharednssdb -t "CTu,CTu,CTu"
Printing yang Sijil rantaian
Sijil boleh dikeluarkan dalam rantaian kerana setiap pihak berkuasa sijil itu sendiri mempunyai a
sijil; apabila CA mengeluarkan sijil, ia pada asasnya menyetem sijil itu dengan
cap jarinya sendiri. The -O mencetak rantaian penuh sijil, bermula dari awal
CA (CA akar) melalui CA perantara kepada sijil sebenar. Sebagai contoh, untuk
sijil e-mel dengan dua CA dalam rangkaian:
$ certutil -d sql:/home/my/sharednssdb -O -n "[e-mel dilindungi]"
"Token Objek Terbina:Thawte Personal Freemail CA" [E=[e-mel dilindungi],CN=Thawte Personal Freemail CA,OU=Bahagian Perkhidmatan Pensijilan,O=Thawte Consulting,L=Cape Town,ST=Western Cape,C=ZA]
"CA Pengeluar Mel Percuma Peribadi Thawte - Perunding Thawte" [CN=Pengeluar Mel Percuma Peribadi Thawte CA,O=Thawte Consulting (Pty) Ltd.,C=ZA]
"(null)" [E=[e-mel dilindungi],CN=Thawte Freemail Ahli]
Menetapkan semula a Token
Peranti yang menyimpan sijil -- kedua-dua peranti perkakasan luaran dan dalaman
pangkalan data perisian -- boleh dikosongkan dan digunakan semula. Operasi ini dilakukan pada peranti
yang menyimpan data, bukan secara langsung pada pangkalan data keselamatan, jadi lokasi mestilah
dirujuk melalui nama token (-h) serta mana-mana laluan direktori. Jika tiada
token luaran digunakan, nilai lalai adalah dalaman.
certutil -T -d [sql:]direktori -h token-nama -0 keselamatan-pegawai-kata laluan
Banyak rangkaian mempunyai kakitangan khusus yang mengendalikan perubahan kepada token keselamatan (sekuriti
pegawai). Orang ini mesti membekalkan kata laluan untuk mengakses token yang ditentukan. Sebagai contoh:
$ certutil -T -d sql:/home/my/sharednssdb -h nethsm -0 rahsia
Menaik taraf or Penggabungan yang Keselamatan Pangkalan data lain
Banyak rangkaian atau aplikasi mungkin menggunakan versi sijil BerkeleyDB yang lebih lama
pangkalan data (cert8.db). Pangkalan data boleh dinaik taraf kepada versi SQLite baharu pangkalan data
(cert9.db) menggunakan --upgrade-merge pilihan arahan atau pangkalan data sedia ada boleh digabungkan
dengan pangkalan data cert9.db baharu menggunakan ---bercantum perintah.
. --upgrade-merge arahan mesti memberikan maklumat tentang pangkalan data asal dan kemudian gunakan
hujah standard (seperti -d) untuk memberikan maklumat tentang pangkalan data baharu. The
arahan juga memerlukan maklumat yang digunakan oleh alat untuk proses menaik taraf dan menulis
atas pangkalan data asal.
certutil --upgrade-merge -d [sql:]direktori [-P dbprefix] --source-dir directory --source-prefix dbprefix --upgrade-id id --upgrade-token-name name [-@ password-file ]
Sebagai contoh:
$ certutil --upgrade-merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp- --upgrade-id 1 --upgrade-token- nama dalaman
. --bercantum arahan hanya memerlukan maklumat tentang lokasi pangkalan data asal;
kerana ia tidak mengubah format pangkalan data, ia boleh menulis maklumat tanpa
melaksanakan langkah sementara.
certutil --merge -d [sql:]direktori [-P dbprefix] --source-dir directory --source-prefix dbprefix [-@ password-file]
Sebagai contoh:
$ certutil --merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp-
Berlari certutil arahan dari a Batch File
Satu siri arahan boleh dijalankan secara berurutan daripada fail teks dengan -B pilihan perintah.
Satu-satunya hujah untuk ini menentukan fail input.
$ certutil -B -i /path/to/batch-file
NSS PANGKALAN DATA JENIS
NSS pada asalnya menggunakan pangkalan data BerkeleyDB untuk menyimpan maklumat keselamatan. Versi terakhir
ini legasi pangkalan data ialah:
· cert8.db untuk sijil
· key3.db untuk kekunci
· secmod.db untuk maklumat modul PKCS #11
BerkeleyDB mempunyai had prestasi, walaupun, yang menghalangnya daripada mudah digunakan oleh
berbilang aplikasi secara serentak. NSS mempunyai beberapa fleksibiliti yang membolehkan aplikasi untuk
menggunakan enjin pangkalan data bebas mereka sendiri sambil mengekalkan pangkalan data yang dikongsi dan berfungsi
sekitar isu akses. Namun, NSS memerlukan lebih fleksibiliti untuk menyediakan perkongsian yang benar-benar
pangkalan data keselamatan.
Pada tahun 2009, NSS memperkenalkan set pangkalan data baharu yang merupakan pangkalan data SQLite dan bukannya
BerkeleyDB. Pangkalan data baharu ini menyediakan lebih banyak kebolehaksesan dan prestasi:
· cert9.db untuk sijil
· key4.db untuk kekunci
· pkcs11.txt, senarai semua modul PKCS #11, terkandung dalam subdirektori baharu
dalam direktori pangkalan data keselamatan
Oleh kerana pangkalan data SQLite direka untuk dikongsi, ini adalah dikongsi pangkalan data
taip. Jenis pangkalan data yang dikongsi diutamakan; format warisan disertakan untuk ke belakang
keserasian.
Secara lalai, alatan (certutil, pk12util, modulil) menganggap bahawa keselamatan yang diberikan
pangkalan data mengikut jenis warisan yang lebih biasa. Menggunakan pangkalan data SQLite mestilah secara manual
ditentukan dengan menggunakan sql: awalan dengan direktori keselamatan yang diberikan. Sebagai contoh:
$ certutil -L -d sql:/home/my/sharednssdb
Untuk menetapkan jenis pangkalan data yang dikongsi sebagai jenis lalai untuk alatan, tetapkan
NSS_DEFAULT_DB_TYPE pemboleh ubah persekitaran ke sql:
eksport NSS_DEFAULT_DB_TYPE="sql"
Baris ini boleh ditetapkan ditambah pada ~ / .bashrc fail untuk membuat perubahan kekal.
Kebanyakan aplikasi tidak menggunakan pangkalan data dikongsi secara lalai, tetapi ia boleh dikonfigurasikan untuk
guna mereka. Sebagai contoh, artikel cara ini merangkumi cara mengkonfigurasi Firefox dan Thunderbird
untuk menggunakan pangkalan data NSS kongsi baharu:
· https://wiki.mozilla.org/NSS_Shared_DB_Howto
Untuk draf kejuruteraan tentang perubahan dalam pangkalan data NSS yang dikongsi, lihat projek NSS
wiki:
· https://wiki.mozilla.org/NSS_Shared_DB
Gunakan certutil dalam talian menggunakan perkhidmatan onworks.net
