Ini ialah arahan pkcs12ssl yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS
JADUAL:
NAMA
pkcs12 - utiliti fail PKCS#12
SINOPSIS
OpenSSL pkcs12 [-eksport] [-rantai] [-inkey nama fail] [-fail sijil nama fail] [-yam nama]
[-canname nama] [-in nama fail] [-keluar nama fail] [-noout] [-nomacver] [-nocerts] [-clcerts]
[-cacerts] [-nokeys] [-maklumat] [-daripada | -des3 | -idea | -aes128 | -aes192 | -aes256 |
-camellia128 | -camellia192 | -camellia256 | -nod] [-noiter] [-maciter | -nomaciter |
-nomac] [-dua laluan] [-descert] [-certpbe cipher] [-keypbe cipher] [-macalg digest] [-keyex]
[-keysig] [-password berhujah] [-passin berhujah] [-pengsan berhujah] [-rand fail (s)] [-CAfail fail]
[-CApath dir] [-CSP nama]
DESCRIPTION
. pkcs12 arahan membenarkan fail PKCS#12 (kadangkala dirujuk sebagai fail PFX) dicipta
dan dihuraikan. Fail PKCS#12 digunakan oleh beberapa program termasuk Netscape, MSIE dan MS
Prospek.
COMMAND PILIHAN
Terdapat banyak pilihan makna sesetengah bergantung sama ada fail PKCS#12 sedang dijalankan
dicipta atau dihuraikan. Secara lalai, fail PKCS#12 dihuraikan. Fail PKCS#12 boleh dibuat oleh
menggunakan -eksport pilihan (lihat di bawah).
PARSING PILIHAN
-in nama fail
Ini menentukan nama fail fail PKCS#12 untuk dihuraikan. Input standard digunakan oleh
lalai.
-keluar nama fail
Nama fail untuk menulis sijil dan kunci peribadi, output standard secara lalai.
Kesemuanya ditulis dalam format PEM.
-passin berhujah
sumber kata laluan fail PKCS#12 (iaitu fail input). Untuk maklumat lanjut tentang
format daripada berhujah melihat PAS PHRASE HUJAH bahagian dalam OpenSSL(1).
-pengsan berhujah
lulus sumber frasa untuk menyulitkan mana-mana kunci peribadi yang dikeluarkan dengan. Untuk maklumat lanjut
tentang format berhujah melihat PAS PHRASE HUJAH bahagian dalam OpenSSL(1).
-password berhujah
Dengan -eksport, -kata laluan bersamaan dengan -passout. Jika tidak, -kata laluan adalah setara
kepada -passin.
-noout
pilihan ini menghalang output kunci dan sijil kepada versi fail output
fail PKCS#12.
-clcerts
hanya sijil pelanggan keluaran (bukan sijil CA).
-cacerts
hanya mengeluarkan sijil CA (bukan sijil pelanggan).
-nocerts
tiada sijil sama sekali akan dikeluarkan.
-nokeys
tiada kunci peribadi akan dikeluarkan.
-maklumat
keluarkan maklumat tambahan tentang struktur fail PKCS#12, algoritma yang digunakan dan
kiraan lelaran.
-daripada
gunakan DES untuk menyulitkan kunci peribadi sebelum mengeluarkannya.
-des3
gunakan triple DES untuk menyulitkan kunci peribadi sebelum mengeluarkan, ini adalah lalai.
-idea
gunakan IDEA untuk menyulitkan kunci peribadi sebelum mengeluarkannya.
-aes128, -aes192, -aes256
gunakan AES untuk menyulitkan kunci peribadi sebelum mengeluarkannya.
-camellia128, -camellia192, -camellia256
gunakan Camellia untuk menyulitkan kunci peribadi sebelum mengeluarkannya.
-nod
jangan menyulitkan kunci peribadi sama sekali.
-nomacver
jangan cuba untuk mengesahkan integriti MAC sebelum membaca fail.
-dua laluan
gesaan untuk kata laluan integriti dan penyulitan berasingan: kebanyakan perisian sentiasa menganggap
ini adalah sama jadi pilihan ini akan menyebabkan fail PKCS#12 sedemikian tidak boleh dibaca.
FAIL CIPTAAN PILIHAN
-eksport
Pilihan ini menentukan bahawa fail PKCS#12 akan dibuat dan bukannya dihuraikan.
-keluar nama fail
Ini menentukan nama fail untuk menulis fail PKCS#12. Keluaran standard digunakan oleh
lalai.
-in nama fail
Nama fail untuk membaca sijil dan kunci peribadi daripada, input standard secara lalai.
Kesemuanya mestilah dalam format PEM. Perintah itu tidak penting tetapi satu kunci peribadi dan kuncinya
sijil yang sepadan hendaklah ada. Jika ada sijil tambahan
ia juga akan disertakan dalam fail PKCS#12.
-inkey nama fail
fail untuk membaca kunci peribadi daripada. Jika tidak ada maka kunci peribadi mesti ada
fail input.
-yam nama mesra
Ini menentukan "nama mesra" untuk sijil dan kunci peribadi. Nama ini ialah
biasanya dipaparkan dalam kotak senarai oleh perisian yang mengimport fail.
-fail sijil nama fail
Nama fail untuk membaca sijil tambahan daripada.
-canname nama mesra
Ini menentukan "nama mesra" untuk sijil lain. Pilihan ini boleh digunakan
beberapa kali untuk menentukan nama bagi semua sijil mengikut susunan yang ditunjukkan.
Netscape mengabaikan nama mesra pada sijil lain manakala MSIE memaparkannya.
-lulus berhujah, -pengsan berhujah
sumber kata laluan fail PKCS#12 (iaitu fail output). Untuk maklumat lanjut tentang
format daripada berhujah melihat PAS PHRASE HUJAH bahagian dalam OpenSSL(1).
-passin kata laluan
lulus sumber frasa untuk menyahsulit sebarang kunci peribadi input dengan. Untuk maklumat lanjut tentang
format daripada berhujah melihat PAS PHRASE HUJAH bahagian dalam OpenSSL(1).
-rantai
jika pilihan ini ada maka percubaan dibuat untuk memasukkan keseluruhan sijil
rantaian sijil pengguna. Kedai CA standard digunakan untuk carian ini. Sekiranya
carian gagal ia dianggap ralat maut.
-descert
menyulitkan sijil menggunakan triple DES, ini mungkin menyebabkan fail PKCS#12 tidak boleh dibaca
oleh beberapa perisian "gred eksport". Secara lalai, kunci peribadi disulitkan menggunakan triple
DES dan sijil menggunakan 40 bit RC2.
-keypbe alga, -certpbe alga
pilihan ini membenarkan algoritma yang digunakan untuk menyulitkan kunci peribadi dan sijil untuk
dipilih. Mana-mana nama algoritma PKCS#5 v1.5 atau PKCS#12 PBE boleh digunakan (lihat NOTA
bahagian untuk maklumat lanjut). Jika nama sifir (sebagai output oleh sifir senarai-
algoritma arahan ditentukan kemudian ia digunakan dengan PKCS#5 v2.0. Untuk kebolehoperasian
sebab adalah dinasihatkan untuk menggunakan algoritma PKCS#12 sahaja.
-keyex|-keysig
menentukan bahawa kunci persendirian akan digunakan untuk pertukaran kunci atau hanya menandatangani. ini
pilihan hanya ditafsirkan oleh MSIE dan perisian MS yang serupa. Biasanya "gred eksport"
perisian hanya akan membenarkan kunci RSA 512 bit digunakan untuk tujuan penyulitan tetapi
kekunci panjang sewenang-wenangnya untuk menandatangani. The -keysig pilihan menandakan kunci untuk menandatangani sahaja.
Kekunci tandatangan sahaja boleh digunakan untuk tandatangan S/MIME, kod pengesahan (kawalan ActiveX
menandatangani) dan pengesahan klien SSL, namun disebabkan pepijat hanya MSIE 5.0 dan lebih baru
menyokong penggunaan tandatangan kunci sahaja untuk pengesahan klien SSL.
-macalg digest
tentukan algoritma digest MAC. Jika tidak disertakan, SHA1 akan digunakan.
-nomaciter, -noiter
pilihan ini mempengaruhi kiraan lelaran pada MAC dan algoritma utama. Melainkan awak
ingin menghasilkan fail yang serasi dengan MSIE 4.0 anda harus meninggalkan pilihan ini sahaja.
Untuk menghalang serangan dengan menggunakan kamus besar kata laluan biasa algoritma
yang memperoleh kunci daripada kata laluan boleh mempunyai kiraan lelaran digunakan padanya: ini
menyebabkan bahagian tertentu algoritma diulang dan memperlahankannya. MAC ialah
digunakan untuk menyemak integriti fail tetapi kerana ia biasanya mempunyai kata laluan yang sama seperti
kunci dan sijil ia juga boleh diserang. Secara lalai kedua-dua MAC dan
kiraan lelaran penyulitan ditetapkan kepada 2048, menggunakan pilihan ini MAC dan
kiraan lelaran penyulitan boleh ditetapkan kepada 1, kerana ini mengurangkan keselamatan fail anda
tidak seharusnya menggunakan pilihan ini melainkan anda benar-benar terpaksa. Kebanyakan perisian menyokong kedua-duanya
MAC dan kiraan lelaran kunci. MSIE 4.0 tidak menyokong kiraan lelaran MAC jadi ia
memerlukan -nomaciter pilihan.
-maciter
Pilihan ini disertakan untuk keserasian dengan versi sebelumnya, ia pernah diperlukan
untuk menggunakan kiraan lelaran MAC tetapi ia kini digunakan secara lalai.
-nomac
jangan cuba memberikan integriti MAC.
-rand fail (s)
fail atau fail yang mengandungi data rawak yang digunakan untuk menyemai penjana nombor rawak, atau a
Soket EGD (lihat RAND_egd(3)). Berbilang fail boleh ditentukan dipisahkan oleh OS-
watak bergantung. Pemisah adalah ; untuk MS-Windows, , untuk OpenVMS, dan : untuk semua
lain-lain.
-CAfail fail
Storan CA sebagai fail.
-CApath dir
Storan CA sebagai direktori. Direktori ini mestilah direktori sijil standard:
iaitu cincangan bagi setiap nama subjek (menggunakan x509 -cincang) hendaklah dikaitkan dengan setiap satu
perakuan.
-CSP nama
menulis nama sebagai nama Microsoft CSP.
NOTA
Walaupun terdapat sejumlah besar pilihan kebanyakannya sangat jarang digunakan. Untuk
Penghuraian fail PKCS#12 sahaja -in and -keluar perlu digunakan untuk penciptaan fail PKCS#12 -eksport
and -yam juga digunakan.
Sekiranya tiada -clcerts, -cacerts or -nocerts pilihan hadir kemudian semua sijil
akan menjadi output mengikut susunan yang dipaparkan dalam fail input PKCS#12. Tiada jaminan
bahawa sijil pertama yang ada ialah sijil yang sepadan dengan kunci persendirian. pasti
perisian yang memerlukan kunci peribadi dan sijil dan mengambil sijil pertama dalam
fail adalah yang sepadan dengan kunci peribadi: ini mungkin tidak selalu berlaku.
Menggunakan -clcerts pilihan akan menyelesaikan masalah ini dengan hanya mengeluarkan sijil
sepadan dengan kunci persendirian. Jika sijil CA diperlukan maka ia boleh
output ke fail berasingan menggunakan -nokeys -cacerts pilihan untuk hanya mengeluarkan CA
sijil.
. -keypbe and -certpbe algoritma membenarkan algoritma penyulitan yang tepat untuk peribadi
kunci dan sijil yang akan ditentukan. Biasanya lalai adalah baik tetapi kadang-kadang
perisian tidak boleh mengendalikan kunci peribadi yang disulitkan DES tiga kali ganda, maka pilihannya -keypbe
PBE-SHA1-RC2-40 boleh digunakan untuk mengurangkan penyulitan kunci persendirian kepada 40 bit RC2. A lengkap
perihalan semua algoritma terkandung dalam pkcs8 halaman manual.
CONTOH
Parsing fail PKCS#12 dan keluarkan ke fail:
openssl pkcs12 -dalam fail.p12 -keluar fail.pem
Keluarkan sijil pelanggan sahaja kepada fail:
openssl pkcs12 -dalam fail.p12 -clcerts -fail keluar.pem
Jangan menyulitkan kunci peribadi:
openssl pkcs12 -dalam fail.p12 -keluar fail.pem -nod
Cetak beberapa maklumat tentang fail PKCS#12:
openssl pkcs12 -dalam fail.p12 -info -noout
Buat fail PKCS#12:
openssl pkcs12 -eksport -dalam fail.pem -fail keluar.p12 -nama "Sijil Saya"
Sertakan beberapa sijil tambahan:
openssl pkcs12 -eksport -in file.pem -out file.p12 -nama "Sijil Saya" \
-certfile othercerts.pem
Gunakan pkcs12ssl dalam talian menggunakan perkhidmatan onworks.net
