Dit is de opdracht certutil die kan worden uitgevoerd in de gratis hostingprovider van OnWorks met behulp van een van onze meerdere gratis online werkstations zoals Ubuntu Online, Fedora Online, Windows online-emulator of MAC OS online-emulator
PROGRAMMA:
NAAM
certutil - Beheer sleutels en certificaten in zowel NSS-databases als andere NSS-tokens
KORTE INHOUD
certutil [opties] [[argumenten]]
STATUS
Aan deze documentatie wordt nog gewerkt. Draag bij aan de eerste beoordeling in
mozilla NSS kever 836477[1]
PRODUCTBESCHRIJVING
De Certificate Database-tool, certutil, is een opdrachtregelhulpprogramma waarmee u en
certificaat- en sleuteldatabases wijzigen. Het kan specifiek een lijst maken, genereren, wijzigen of
verwijder certificaten, maak of verander het wachtwoord, genereer een nieuwe publieke en private sleutel
paren, de inhoud van de sleuteldatabase weergeven of sleutelparen in de sleutel verwijderen
database.
Certificaatuitgifte, onderdeel van het sleutel- en certificaatbeheerproces, vereist dat
sleutels en certificaten worden aangemaakt in de sleuteldatabase. Dit document bespreekt het certificaat
en sleuteldatabasebeheer. Voor informatie over het databasebeheer van de beveiligingsmodule,
zie modutil manpagina.
COMMAND OPTIES EN ARGUMENTEN
Hardlopen certutil vereist altijd één en slechts één opdrachtoptie om het type van te specificeren
certificaat werking. Elke opdrachtoptie kan nul of meer argumenten hebben. Het bevel
optie -H zal alle opdrachtopties en hun relevante argumenten opsommen.
commando Opties
-A
Voeg een bestaand certificaat toe aan een certificaatdatabase. De certificatendatabase moet
bestaat al; als er geen aanwezig is, zal deze opdrachtoptie één voor één initialiseren
standaard.
-B
Voer een reeks opdrachten uit vanuit het opgegeven batchbestand. Dit vereist de -i argument.
-C
Maak een nieuw binair certificaatbestand van een binair certificaataanvraagbestand. Gebruik de
-i argument om het certificaataanvraagbestand op te geven. Als dit argument niet wordt gebruikt,
certutil vraagt om een bestandsnaam.
-D
Verwijder een certificaat uit de certificaatdatabase.
--hernoemen
Wijzig de database-bijnaam van een certificaat.
-E
Voeg een e-mailcertificaat toe aan de certificaatdatabase.
-F
Verwijder een persoonlijke sleutel uit een sleuteldatabase. Specificeer de sleutel die verwijderd moet worden met de -n
argument. Geef de database op waaruit de sleutel moet worden verwijderd met de -d argument. Gebruik
de -k argument om expliciet aan te geven of een DSA-, RSA- of ECC-sleutel moet worden verwijderd. als jij
gebruik de niet -k argument zoekt de optie naar een RSA-sleutel die overeenkomt met de opgegeven
bijnaam.
Als u sleutels verwijdert, zorg er dan voor dat u ook alle bijbehorende certificaten verwijdert
sleutels uit de certificaatdatabase, met behulp van -D. Sommige smartcards laten je niet toe
verwijder een openbare sleutel die u heeft gegenereerd. In zo'n geval is alleen de privésleutel
verwijderd uit het sleutelpaar. U kunt de openbare sleutel weergeven met het commando certutil -K
-h tokennaam.
-G
Genereer een nieuw paar openbare en privésleutels binnen een sleuteldatabase. De sleuteldatabase
zou al moeten bestaan; als er geen aanwezig is, zal deze opdrachtoptie er een initialiseren
standaard. Sommige smartcards kunnen slechts één sleutelpaar opslaan. Als u een nieuw sleutelpaar maakt
voor zo'n kaart wordt het vorige paar overschreven.
-H
Geef een lijst weer met de opdrachtopties en argumenten.
-K
Maak een lijst van de sleutel-ID van sleutels in de sleuteldatabase. Een sleutel-ID is de modulus van de RSA-sleutel of
de publicValue van de DSA-sleutel. ID's worden weergegeven in hexadecimaal ("0x" wordt niet weergegeven).
-L
Maak een lijst van alle certificaten, of toon informatie over een benoemd certificaat, in een
certificaat database. Gebruik het argument -h tokenname om het certificaat op te geven
database op een bepaald hardware- of softwaretoken.
-M
Wijzig de vertrouwenskenmerken van een certificaat met behulp van de waarden van het argument -t.
-N
Nieuwe certificaat- en sleuteldatabases maken.
-O
Druk de certificaatketen af.
-R
Maak een certificaataanvraagbestand dat kan worden ingediend bij een certificeringsinstantie
(CA) voor verwerking tot een afgewerkt certificaat. Uitvoer is standaard ingesteld op standaard uit
tenzij u het argument -o uitvoerbestand gebruikt. Gebruik het argument -a om ASCII-uitvoer op te geven.
-S
Maak een individueel certificaat aan en voeg het toe aan een certificaatdatabase.
-T
Stel de sleuteldatabase of het token opnieuw in.
-U
Maak een lijst van alle beschikbare modules of print een enkele benoemde module.
-V
Controleer de geldigheid van een certificaat en zijn attributen.
-W
Wijzig het wachtwoord in een sleuteldatabase.
--samenvoegen
Voeg twee databases samen tot één.
--upgrade-samenvoegen
Upgrade een oude database en voeg deze samen in een nieuwe database. Dit wordt gebruikt om te migreren
verouderde NSS-databases (cert8.db en key3.db) in de nieuwere SQLite-databases (cert9.db
en sleutel4.db).
argumenten
Argumenten wijzigen een opdrachtoptie en zijn meestal kleine letters, cijfers of symbolen.
-a
Gebruik ASCII-indeling of sta het gebruik van ASCII-indeling toe voor invoer of uitvoer. Deze opmaak
volgt RFC 1113. Voor certificaataanvragen is ASCII-uitvoer standaard ingesteld op standaarduitvoer
tenzij omgeleid.
-b geldigheidstijd
Geef een tijdstip op waarop een certificaat geldig moet zijn. Gebruik bij het controleren
geldigheid van het certificaat met de -V keuze. Het formaat van de geldigheidstijd argument is:
JJMMDDUUMMSS[+UUMM|-UUMM|Z], waarmee offsets kunnen worden ingesteld ten opzichte van de geldigheid
eindtijd. Seconden specificeren (SS) is optioneel. Gebruik bij het specificeren van een expliciete tijd a
Z aan het einde van de looptijd, JJMMDDDUUMMSZ, om het te sluiten. Bij het specificeren van een offsettijd,
. JJMMDDUUMMSS+UUMM or JJMMDDUUMMSS-UUMM voor het optellen of aftrekken van tijd,
respectievelijk.
Als deze optie niet wordt gebruikt, wordt de geldigheidscontrole standaard ingesteld op de huidige systeemtijd.
-c uitgever
Identificeer het certificaat van de CA waarvan een nieuw certificaat zal worden afgeleid
authenticiteit. Gebruik de exacte bijnaam of alias van het CA-certificaat, of gebruik de CA's
e-mailadres. Zet de uitgeversreeks tussen aanhalingstekens als deze spaties bevat.
-d [voorvoegsel]map
Geef de databasedirectory op die de certificaat- en sleuteldatabasebestanden bevat.
certutil ondersteunt twee soorten databases: de verouderde beveiligingsdatabases (cert8.db,
key3.db en secmod.db) en nieuwe SQLite-databases (cert9.db, key4.db en pkcs11.txt).
NSS herkent de volgende voorvoegsels:
· sql: vraagt om de nieuwere database
· dbm: vraagt de oude database op
Als er geen voorvoegsel is opgegeven, wordt het standaardtype opgehaald uit NSS_DEFAULT_DB_TYPE. Als
NSS_DEFAULT_DB_TYPE is dan niet ingesteld dbm: is de standaard.
--dump-ext-val OID
Voor een enkel certificaat drukt u de binaire DER-codering van de extensie-OID af.
-e
Controleer de handtekening van een certificaat tijdens het validatieproces van een certificaat.
--email e-mailadres
Geef het e-mailadres op van een te vermelden certificaat. Wordt gebruikt met de opdrachtoptie -L.
--extGeneric OID:kritieke-vlag:bestandsnaam[,OID:kritieke-vlag:bestandsnaam]...
Voeg een of meerdere extensies toe die certutil nog niet kan coderen, door hun
coderingen van externe bestanden.
· OID (voorbeeld): 1.2.3.4
· kritische-vlag: kritisch of niet-kritisch
· bestandsnaam: volledig pad naar een bestand met een gecodeerde extensie
-f wachtwoordbestand
Geef een bestand op dat automatisch het wachtwoord levert dat in een certificaat moet worden opgenomen
of om toegang te krijgen tot een certificaatdatabase. Dit is een bestand met platte tekst dat er een bevat
wachtwoord. Zorg ervoor dat ongeautoriseerde toegang tot dit bestand wordt voorkomen.
-g sleutelgrootte
Stel een sleutelgrootte in die moet worden gebruikt bij het genereren van nieuwe openbare en persoonlijke sleutelparen. Het minimum is
512 bits en het maximum is 16384 bits. De standaardwaarde is 2048 bits. Elke maat tussen de
minimum en maximum is toegestaan.
-h tokennaam
Geef de naam op van een token dat moet worden gebruikt of waarop moet worden gereageerd. Indien niet opgegeven, is het standaard token
het interne databaseslot.
-i invoer_bestand
Geef een invoerbestand door aan de opdracht. Afhankelijk van de opdrachtoptie kan een invoerbestand dat wel
een specifiek certificaat, een certificaataanvraagbestand of een batchbestand met opdrachten zijn.
-k sleuteltype-of-id
Geef het type of specifieke ID van een sleutel op.
De geldige sleuteltype-opties zijn rsa, dsa, ec of all. De standaardwaarde is rsa.
Door het type sleutel op te geven, kunt u fouten voorkomen die worden veroorzaakt door dubbele bijnamen. Een geven
sleuteltype genereert een nieuw sleutelpaar; het geven van de ID van een bestaande sleutel hergebruikt die sleutel
pair (wat vereist is om certificaten te vernieuwen).
-l
Geef gedetailleerde informatie weer bij het valideren van een certificaat met de optie -V.
-m serienummer
Wijs een uniek serienummer toe aan een certificaat dat wordt gemaakt. Deze operatie zou moeten zijn
uitgevoerd door een CA. Als er geen serienummer is opgegeven, wordt een standaard serienummer gemaakt
uit de huidige tijd. Serienummers zijn beperkt tot gehele getallen
-n bijnaam
Specificeer de bijnaam van een certificaat of sleutel om te vermelden, aan te maken, toe te voegen aan een database,
wijzigen of valideren. Zet de bijnaamreeks tussen aanhalingstekens als deze bevat
ruimten.
-o uitvoerbestand
Geef de naam van het uitvoerbestand op voor nieuwe certificaten of aanvragen voor binaire certificaten.
Zet tussen aanhalingstekens tussen de tekenreeks van het uitvoerbestand als deze spaties bevat. Als dit
argument niet wordt gebruikt, wordt de uitvoerbestemming standaard ingesteld op standaarduitvoer.
-P dbVoorvoegsel
Geef het voorvoegsel op dat wordt gebruikt op het certificaat en het sleuteldatabasebestand. Dit betoog is
geleverd ter ondersteuning van legacy-servers. De meeste toepassingen gebruiken geen databasevoorvoegsel.
-p telefoon
Geef een telefoonnummer op om op te nemen in nieuwe certificaten of certificaten
aanvragen. Zet deze tekenreeks tussen aanhalingstekens als deze spaties bevat.
-q pqgbestand of krommenaam
Lees een alternatieve PQG-waarde uit het opgegeven bestand bij het genereren van DSA-sleutelparen. Als
dit argument wordt niet gebruikt, certutil genereert zijn eigen PQG-waarde. Er worden PQG-bestanden gemaakt
met een apart DSA-hulpprogramma.
Elliptische kromme naam is een van die van SUITE B: nistp256, nistp384, nistp521
Als NSS is gecompileerd met ondersteuningscurven buiten SUITE B: sect163k1, nistk163,
sekte163r1, sekte163r2, nistb163, sekte193r1, sekte193r2, sekte233k1, nistk233, sekte233r1,
nistb233, sect239k1, sect283k1, nistk283, sect283r1, nistb283, sect409k1, nistk409,
sect409r1, nistb409, sect571k1, nistk571, sect571r1, nistb571, secp160k1, secp160r1,
secp160r2, secp192k1, secp192r1, nistp192, secp224k1, secp224r1, nistp224, secp256k1,
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2
-r
Toon de binaire DER-codering van een certificaat bij het vermelden van informatie daarover
certificaat met de optie -L.
-s onderwerp
Identificeer een bepaalde certificaateigenaar voor nieuwe certificaten of certificaataanvragen.
Zet deze tekenreeks tussen aanhalingstekens als deze spaties bevat. Het onderwerp
identificatieformaat volgt RFC #1485.
-t vertrouwt
Geef de vertrouwenskenmerken op die u wilt wijzigen in een bestaand certificaat of die u wilt toepassen op een
certificaat wanneer u het maakt of toevoegt aan een database. Er zijn er drie beschikbaar
vertrouwenscategorieën voor elk certificaat, uitgedrukt in de volgorde SSL-, e, object
het ondertekenen van voor elke vertrouwensinstelling. Gebruik in elke categoriepositie geen, enige of alle
de attribuutcodes:
· p - Geldige peer
· P - Vertrouwde peer (impliceert p)
· c - Geldige CA
· T - Vertrouwde CA (impliceert c)
· C - vertrouwde CA voor clientauthenticatie (alleen ssl-server)
· u - gebruiker
De attribuutcodes voor de categorieën worden gescheiden door komma's en de volledige set van
attributen tussen aanhalingstekens. Bijvoorbeeld:
-t "TCu,Cu,Tu"
Gebruik de optie -L om een lijst te zien van de huidige certificaten en vertrouwenskenmerken in een
certificaat database.
-u zekerheid
Geef een gebruikscontext op die moet worden toegepast bij het valideren van een certificaat met de optie -V.
De contexten zijn de volgende:
· C (als een SSL-client)
· V (als een SSL-server)
· L (als een SSL CA)
· A (zoals elke CA)
· Y (Verifieer CA)
· S (als e-mailondertekenaar)
· R (als e-mailontvanger)
· O (als een OCSP-statusresponder)
· J (als objectondertekenaar)
-v geldig-maanden
Stel het aantal maanden in dat een nieuw certificaat geldig is. De geldigheidsperiode begint
op de huidige systeemtijd tenzij een offset wordt toegevoegd of afgetrokken met de -w optie.
Als dit argument niet wordt gebruikt, is de standaard geldigheidsperiode drie maanden.
-w offset-maanden
Stel een afwijking in ten opzichte van de huidige systeemtijd, in maanden, voor het begin van a
geldigheidsduur van het certificaat. Gebruiken bij het maken van het certificaat of toevoegen aan een
databank. Druk de offset uit in gehele getallen, gebruik een minteken (-) om a aan te geven
negatieve offset. Als dit argument niet wordt gebruikt, begint de geldigheidsperiode bij de
huidige systeemtijd. De lengte van de geldigheidsperiode wordt ingesteld met het argument -v.
-X
Forceer de sleutel- en certificaatdatabase om te openen in lees-schrijfmodus. Dit wordt gebruikt met
de -U en -L commando opties.
-x
Te gebruiken certutil om de handtekening te genereren voor een certificaat dat wordt gemaakt of toegevoegd aan een
database, in plaats van een handtekening te verkrijgen van een afzonderlijke CA.
-y exp
Stel een alternatieve exponentwaarde in om te gebruiken bij het genereren van een nieuwe openbare RSA-sleutel voor de
database, in plaats van de standaardwaarde van 65537. De beschikbare alternatieve waarden zijn 3
en 17.
-z noise-bestand
Lees een seed-waarde uit het opgegeven bestand om een nieuwe private en publieke sleutel te genereren
paar. Dit argument maakt het mogelijk om door hardware gegenereerde seed-waarden of te gebruiken
handmatig een waarde creëren vanaf het toetsenbord. De minimale bestandsgrootte is 20 bytes.
-Z hashAlg
Geef het hash-algoritme op dat moet worden gebruikt met de opdrachtopties -C, -S of -R. Mogelijk
trefwoorden:
· MD2
· MD4
· MD5
· SHA1
· SHA224
· SHA256
· SHA384
· SHA512
-0 SSO_wachtwoord
Stel een wachtwoord voor een beveiligingsbeambte in op een token.
-1 | --keyUsage trefwoord, trefwoord
Stel een X.509 V3-certificaattype-extensie in het certificaat in. Er zijn meerdere
beschikbare trefwoorden:
· digitale handtekening
· niet-afwijzing
· sleutelcodering
· gegevenscodering
· sleutelovereenkomst
· certOndertekening
· crlOndertekenen
· kritisch
-2
Voeg een basisbeperkingsuitbreiding toe aan een certificaat dat wordt gemaakt of toegevoegd aan een
databank. Deze extensie ondersteunt het verificatieproces van de certificaatketen.
certutil vraagt om de certificaatbeperkingsextensie die moet worden geselecteerd.
X.509-certificaatuitbreidingen worden beschreven in RFC 5280.
-3
Voeg een machtigingssleutel-ID-extensie toe aan een certificaat dat wordt gemaakt of toegevoegd aan een
databank. Deze extensie ondersteunt de identificatie van een bepaald certificaat, van
onder meerdere certificaten die aan één onderwerpnaam zijn gekoppeld, als de juiste uitgever van
een certificaat. De Certificate Database Tool zal u vragen om de autoriteit te selecteren
sleutel-ID-extensie.
X.509-certificaatuitbreidingen worden beschreven in RFC 5280.
-4
Voeg een CRL-distributiepuntextensie toe aan een certificaat dat wordt gemaakt of toegevoegd
naar een databank. Deze extensie identificeert de URL van het bijbehorende certificaat
certificaatintrekkingslijst (CRL). certutil vraagt om de URL.
X.509-certificaatuitbreidingen worden beschreven in RFC 5280.
-5 | --nsCertType trefwoord, trefwoord
Voeg een X.509 V3-certificaattype-extensie toe aan een certificaat dat wordt gemaakt of
toegevoegd aan de databank. Er zijn verschillende beschikbare trefwoorden:
· sslClient
· sslServer
· glimlach
· objectOndertekenen
· sslCA
· smimeCA
· objectSigningCA
· kritisch
X.509-certificaatuitbreidingen worden beschreven in RFC 5280.
-6 | --extKeyUsage trefwoord, trefwoord
Voeg een uitgebreide extensie voor sleutelgebruik toe aan een certificaat dat wordt gemaakt of waaraan wordt toegevoegd
de databank. Er zijn verschillende trefwoorden beschikbaar:
· serverAuth
· clientauth
· codeOndertekenen
· e-mailbescherming
· tijdstempel
· ocspResponder
· stap op
· msTrustListSign
· kritisch
X.509-certificaatuitbreidingen worden beschreven in RFC 5280.
-7 e-mailadresAdd
Voeg een door komma's gescheiden lijst met e-mailadressen toe aan de alternatieve naam van het onderwerp
verlenging van een certificaat of certificaataanvraag dat wordt aangemaakt of waaraan wordt toegevoegd
de databank. Onderwerp alternatieve naamextensies worden beschreven in paragraaf 4.2.1.7 van
RFC3280.
-8 dns-namen
Voeg een door komma's gescheiden lijst met DNS-namen toe aan de alternatieve naamextensie van a
certificaat of certificaatverzoek dat wordt gemaakt of toegevoegd aan de database.
Onderwerp alternatieve naamextensies worden beschreven in sectie 4.2.1.7 van RFC 3280.
--extAIA
Voeg de extensie Authority Information Access toe aan het certificaat. X.509-certificaat
extensies worden beschreven in RFC 5280.
--extSIA
Voeg de extensie Subject Information Access toe aan het certificaat. X.509-certificaat
extensies worden beschreven in RFC 5280.
--extCP
Voeg de Certificate Policies-extensie toe aan het certificaat. X.509-certificaat
extensies worden beschreven in RFC 5280.
--extPM
Voeg de extensie Policy Mappings toe aan het certificaat. X.509-certificaatextensies zijn dat wel
beschreven in RFC 5280.
--extPC
Voeg de extensie Beleidsbeperkingen toe aan het certificaat. X.509-certificaatuitbreidingen
worden beschreven in RFC 5280.
--extIA
Voeg de extensie Inhibit Any Policy Access toe aan het certificaat. X.509-certificaat
extensies worden beschreven in RFC 5280.
--extSKID
Voeg de Subject Key ID-extensie toe aan het certificaat. X.509-certificaatextensies zijn dat wel
beschreven in RFC 5280.
--extNC
Voeg een naambeperkingsextensie toe aan het certificaat. X.509-certificaatextensies zijn dat wel
beschreven in RFC 5280.
--extSAN type:naam[,type:naam]...
Maak een Subject Alt Name-extensie met een of meerdere namen.
-type: directory, dn, dns, edi, ediparty, e-mail, ip, ipaddr, andere, registerid,
rfc822, uri, x400, x400adr
--leeg wachtwoord
Gebruik een leeg wachtwoord bij het maken van een nieuwe certificaatdatabase met -N.
--keyAttrFlags attrflags
PKCS #11 sleutelkenmerken. Door komma's gescheiden lijst met vlaggen van sleutelattribuut, geselecteerd uit
de volgende keuzelijst: {token | sessie} {openbaar | privé} {gevoelig |
ongevoelig} {aanpasbaar | niet te wijzigen} {uittrekbaar | onuittrekbaar}
--keyOpFlagsOn vlaggen, --keyOpFlagsOff vlaggen
PKCS #11-toets Bedieningsvlaggen. Door komma's gescheiden lijst van een of meer van de volgende:
{teken | sessie} {openbaar | privé} {gevoelig | ongevoelig} {aanpasbaar |
niet te wijzigen} {uittrekbaar | onuittrekbaar}
--nieuwe-n bijnaam
Een nieuwe bijnaam, gebruikt bij het hernoemen van een certificaat.
--bron-dir certdir
Identificeer de directory van de certificaatdatabase die u wilt upgraden.
--source-voorvoegsel certdir
Geef het voorvoegsel op van het certificaat en de sleuteldatabases om te upgraden.
--upgrade-id unieke ID
Geef de unieke ID op van de database die u wilt upgraden.
--upgrade-tokennaam naam
Stel de naam in van het token dat moet worden gebruikt terwijl het wordt geüpgraded.
-@ pwbestand
Geef de naam op van een wachtwoordbestand dat moet worden gebruikt voor de database die wordt geüpgraded.
GEBRUIK EN Voorbeelden
Voor de meeste opdrachtopties in de hier vermelde voorbeelden zijn meer argumenten beschikbaar. De
argumenten in deze voorbeelden zijn de meest voorkomende of worden gebruikt om a te illustreren
specifiek scenario. Gebruik de -H optie om de volledige lijst met argumenten voor elk weer te geven
commando optie.
Wij creëren New Security databases
Certificaten, sleutels en beveiligingsmodules met betrekking tot het beheer van certificaten worden opgeslagen in
drie gerelateerde databases:
· cert8.db of cert9.db
· sleutel3.db of sleutel4.db
· secmod.db of pkcs11.txt
Deze databases moeten worden gemaakt voordat certificaten of sleutels kunnen worden gegenereerd.
certutil -N -d [sql:]map
Wij creëren a Certificaat Aanvraag
Een certificaataanvraag bevat de meeste of alle informatie die wordt gebruikt om het certificaat te genereren
definitief certificaat. Dit verzoek wordt separaat ingediend bij een certificeringsinstantie en is
vervolgens goedgekeurd door een of ander mechanisme (automatisch of door menselijke beoordeling). Zodra het verzoek is
goedgekeurd, dan wordt het certificaat gegenereerd.
$ certutil -R -k sleuteltype-of-id [-q pqgbestand|krommenaam] -g sleutelgrootte -s onderwerp [-h tokennaam] -d [sql:]directory [-p telefoon] [-o uitvoerbestand] [-a]
De -R opdrachtopties vereist vier argumenten:
· -k om het sleuteltype op te geven dat moet worden gegenereerd of, bij het vernieuwen van een certificaat, het
bestaand sleutelpaar te gebruiken
· -g om de sleutelgrootte van de te genereren sleutel in te stellen
· -s om de onderwerpnaam van het certificaat in te stellen
· -d om de directory van de beveiligingsdatabase op te geven
Het nieuwe certificaatverzoek kan worden uitgevoerd in ASCII-indeling (-a) of kan worden geschreven naar een
opgegeven bestand (-o).
Bijvoorbeeld:
$ certutil -R -k rsa -g 1024 -s "CN=John Smith,O=Example Corp,L=Mountain View,ST=California,C=US" -d sql:$HOME/nssdb -p 650-555- 0123 -a -o cert.cer
Sleutel genereren. Dit kan even duren...
Wij creëren a Certificaat
Een geldig certificaat moet zijn uitgegeven door een vertrouwde CA. Dit kan worden gedaan door een CA op te geven
certificaat (-c) die is opgeslagen in de certificaatdatabase. Als een CA-sleutelpaar dat niet is
beschikbaar, kunt u een zelfondertekend certificaat maken met behulp van de -x ruzie met de -S
commando optie.
$ certutil -S -k rsa|dsa|ec -n certname -s subject [-c uitgever |-x] -t trustargs -d [sql:]directory [-m serienummer] [-v geldig-maanden] [ -w offset-maanden] [-p telefoon] [-1] [-2] [-3] [-4] [-5 trefwoord] [-6 trefwoord] [-7 e-mailadres] [-8 dns-namen] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]
De reeks getallen en --ext* opties stellen certificaatextensies in waaraan kan worden toegevoegd
het certificaat wanneer het is gegenereerd door de CA. Interactieve prompts zullen het resultaat zijn.
Dit creëert bijvoorbeeld een zelfondertekend certificaat:
$ certutil -S -s "CN=Voorbeeld CA" -n my-ca-cert -x -t "C,C,C" -1 -2 -5 -m 3650
De interactieve prompts voor sleutelgebruik en of eventuele extensies kritiek zijn en reacties
kortheidshalve zijn weggelaten.
Van daaruit kunnen nieuwe certificaten verwijzen naar het zelfondertekende certificaat:
$ certutil -S -s "CN=My Server Cert" -n my-server-cert -c "my-ca-cert" -t "u,u,u" -1 -5 -6 -8 -m 730
Het genereren van a Certificaat oppompen van a Certificaat Aanvraag
Wanneer een certificaataanvraag wordt gemaakt, kan een certificaat worden gegenereerd met behulp van de aanvraag
en vervolgens verwijzen naar een ondertekeningscertificaat van een certificeringsinstantie (het emittent gespecificeerd in
de -c argument). Het uitgevende certificaat moet in de certificatendatabase in het
opgegeven map.
certutil -C -c issuer -i cert-request-file -o output-file [-m serienummer] [-v geldig-maanden] [-w offset-maanden] -d [sql:]directory [-1] [-2] [-3] [-4] [-5 trefwoord] [-6 trefwoord] [-7 e-mailadres] [-8 dns-namen]
Bijvoorbeeld:
$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql:$HOME/nssdb -1 nonRepudiation,dataEncipherment -5 sslClient -6 clientAuth -7 [e-mail beveiligd]
Listing Certificaten
De -L opdrachtoptie geeft een overzicht van alle certificaten die in de certificaatdatabase worden vermeld.
Het pad naar de map (-d) Is benodigd.
$ certutil -L -d sql:/home/mijn/sharednssdb
Certificaatbijnaam Vertrouwenskenmerken
SSL,S/MIME,JAR/XPI
CA-beheerder van instantie pki-ca1's voorbeelddomein-ID u,u,u
Voorbeeld domein-ID van TPS-beheerder u,u,u
Google Internet Autoriteit,,
Certificaatautoriteit - Voorbeelddomein CT,C,C
Aanvullende argumenten gebruiken met -L kan de informatie voor een enkele terugsturen en afdrukken,
specifiek certificaat. Bijvoorbeeld de -n argument geeft de certificaatnaam door, terwijl de
-a argument drukt het certificaat af in ASCII-indeling:
$ certutil -L -d sql:$HOME/nssdb -a -n mijn-ca-cert
-----BEGIN CERTIFICAAT-----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-----EINDE CERTIFICAAT-----
Voor een door mensen leesbaar display
$ certutil -L -d sql:$HOME/nssdb -n mijn-ca-cert
Certificaat:
Datum:
Versie: 3 (0x2)
Serienummer: 3650 (0xe42)
Handtekeningalgoritme: PKCS #1 SHA-1 met RSA-codering
Uitgever: "CN=Voorbeeld CA"
geldigheid:
Niet vóór: wo 13 maart 19:10:29 2013
Niet na: do 13 juni 19:10:29 2013
Onderwerp: "CN=Voorbeeld CA"
Onderwerp openbare sleutelinformatie:
Algoritme met openbare sleutel: PKCS nr. 1 RSA-codering
RSA openbare sleutel:
modulus:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
Exponent: 65537 (0x10001)
Ondertekende extensies:
Naam: Certificaattype
Gegevens: geen
Naam: Certificaat Basisbeperkingen
Gegevens: Is een CA zonder maximale padlengte.
Naam: Certificaatsleutelgebruik
Kritisch: waar
Gebruik: ondertekening van certificaten
Handtekeningalgoritme: PKCS #1 SHA-1 met RSA-codering
Signature:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
Vingerafdruk (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
Vingerafdruk (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7
Vlaggen van certificaatvertrouwen:
SSL-vlaggen:
Geldige CA
Vertrouwde CA
Gebruiker
E-mailvlaggen:
Geldige CA
Vertrouwde CA
Gebruiker
Vlaggen voor objectondertekening:
Geldige CA
Vertrouwde CA
Gebruiker
Listing Keys
Sleutels zijn het originele materiaal dat wordt gebruikt om certificaatgegevens te versleutelen. De sleutels gegenereerd voor
certificaten worden apart opgeslagen in de sleuteldatabase.
Om alle sleutels in de database weer te geven, gebruikt u de -K opdrachtoptie en de (verplichte) -d argument
om het pad naar de map te geven.
$ certutil -K -d sql:$HOME/nssdb
certutil: Controletoken "NSS Certificate DB" in slot "NSS User Private Key and Certificate Services"
< 0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d Thawte Freemail Lid's Thawte Consulting (Pty) Ltd. ID
< 1> rsa 40defeeb522ade11090eacebaaf1196a172127df Voorbeeld Domeinbeheerder Certificaat
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert
Er zijn manieren om de sleutels in de zoekresultaten te verfijnen:
· Gebruik de om een specifieke sleutel terug te geven -nnaam argument met de naam van de sleutel.
· Als er meerdere beveiligingsapparaten zijn geladen, dan is de -hsymbolische naam betoog kan
zoek een specifiek token of alle tokens.
· Als er meerdere sleuteltypes beschikbaar zijn, dan is de -ksleutel type argument kan zoeken a
specifiek type sleutel, zoals RSA, DSA of ECC.
Listing Security Modules
De apparaten die kunnen worden gebruikt om certificaten op te slaan -- zowel interne als externe databases
apparaten zoals smartcards -- worden herkend en gebruikt door beveiligingsmodules te laden. De -U
opdrachtoptie geeft een overzicht van alle beveiligingsmodules die worden vermeld in de secmod.db-database. De
pad naar de map (-d) Is benodigd.
$ certutil -U -d sql:/home/mijn/sharednssdb
slot: NSS User Private Key en Certificate Services
token: NSS Certificaat DB
slot: NSS interne cryptografische diensten
token: NSS Generieke Crypto Services
Het toevoegen van Certificaten naar de Database
Bestaande certificaten of certificaataanvragen kunnen handmatig aan het certificaat worden toegevoegd
database, zelfs als ze elders zijn gegenereerd. Deze gebruikt de -A commando optie.
certutil -A -n certname -t trustargs -d [sql:]directory [-a] [-i invoerbestand]
Bijvoorbeeld:
$ certutil -A -n "CN=Mijn SSL-certificaat" -t "u,u,u" -d sql:/home/my/sharednssdb -i /home/example-certs/cert.cer
Een gerelateerde opdrachtoptie, -E, wordt specifiek gebruikt om e-mailcertificaten toe te voegen aan het
certificaat database. De -E commando heeft dezelfde argumenten als het -A commando. Het vertrouwen
argumenten voor certificaten hebben het formaat SSL,S/MIME,Code-ondertekening, dus het middelste vertrouwen
instellingen hebben het meest betrekking op e-mailcertificaten (hoewel de andere kunnen worden ingesteld). Bijvoorbeeld:
$ certutil -E -n "CN=John Smith Email Cert" -t ",Pu," -d sql:/home/my/sharednssdb -i /home/example-certs/email.cer
wissen Certificaten naar de Database
Certificaten kunnen uit een database worden verwijderd met behulp van de -D keuze. De enige vereiste opties
zijn om de directory van de beveiligingsdatabase te geven en om de bijnaam van het certificaat te identificeren.
certutil -D -d [sql:]directory -n "bijnaam"
Bijvoorbeeld:
$ certutil -D -d sql:/home/my/sharednssdb -n "my-ssl-cert"
Het valideren Certificaten
Een certificaat bevat op zich al een vervaldatum en verlopen certificaten zijn makkelijk
afgewezen. Certificaten kunnen echter ook worden ingetrokken voordat de vervaldatum is bereikt.
Om te controleren of een certificaat is ingetrokken, moet het certificaat worden gevalideerd.
Validatie kan ook worden gebruikt om ervoor te zorgen dat het certificaat alleen voor de doeleinden wordt gebruikt
waarvoor het in eerste instantie is uitgegeven. Validatie wordt uitgevoerd door de -V commando optie.
certutil -V -n certificaatnaam [-b tijd] [-e] [-u cert-gebruik] -d [sql:]directory
Om bijvoorbeeld een e-mailcertificaat te valideren:
$ certutil -V -n "John Smith's e-mailcertificaat" -e -u S,R -d sql:/home/my/sharednssdb
Het wijzigen Certificaat Trust Instellingen
De vertrouwensinstellingen (die betrekking hebben op de bewerkingen die een certificaat mag uitvoeren
gebruikt voor) kan worden gewijzigd nadat een certificaat is gemaakt of aan de database is toegevoegd. Dit is
vooral handig voor CA-certificaten, maar het kan voor elk type worden uitgevoerd
certificaat.
certutil -M -n certificaatnaam -t trust-args -d [sql:]directory
Bijvoorbeeld:
$ certutil -M -n "Mijn CA-certificaat" -d sql:/home/my/sharednssdb -t "CTu,CTu,CTu"
Printen de Certificaat Keten
Certificaten kunnen worden afgegeven in ketens omdat elke certificeringsinstantie zelf een
certificaat; wanneer een CA een certificaat uitgeeft, wordt dat certificaat in wezen afgestempeld
zijn eigen vingerafdruk. De -O drukt de volledige ketting van een certificaat af, beginnend bij de initiaal
CA (de root-CA) via elke tussenliggende CA naar het eigenlijke certificaat. Bijvoorbeeld voor
een e-mailcertificaat met twee CA's in de keten:
$ certutil -d sql:/home/my/sharednssdb -O -n "[e-mail beveiligd]"
"Ingebouwd objecttoken:Thawte Personal Freemail CA" [E=[e-mail beveiligd],CN=Thawte Personal Freemail CA,OU=Certification Services Division,O=Thawte Consulting,L=Kaapstad,ST=Western Cape,C=ZA]
"Thawte Personal Freemail Issuing CA - Thawte Consulting" [CN=Thawte Personal Freemail Issuing CA,O=Thawte Consulting (Pty) Ltd.,C=ZA]
"(nul)" [E=[e-mail beveiligd],CN=Thawte Freemail-lid]
Resetten a Token
Het apparaat waarop certificaten worden opgeslagen -- zowel externe als interne hardwareapparaten
softwaredatabases - kunnen worden leeggemaakt en opnieuw worden gebruikt. Deze bewerking wordt uitgevoerd op het apparaat
die de gegevens opslaat, niet rechtstreeks op de beveiligingsdatabases, dus de locatie moet zijn
waarnaar wordt verwezen via de tokennaam (-h) evenals elk mappad. Als er geen
extern token gebruikt, de standaardwaarde is intern.
certutil -T -d [sql:]directory -h token-naam -0 security-officer-wachtwoord
Veel netwerken hebben speciaal personeel dat wijzigingen in beveiligingstokens afhandelt (de security
officier). Deze persoon moet het wachtwoord opgeven om toegang te krijgen tot het opgegeven token. Bijvoorbeeld:
$ certutil -T -d sql:/home/my/sharednssdb -h nethsm -0 geheim
Upgrading or Samenvoegen de Security databases
Veel netwerken of applicaties gebruiken mogelijk oudere BerkeleyDB-versies van het certificaat
database (cert8.db). Databases kunnen worden geüpgraded naar de nieuwe SQLite-versie van de database
(cert9.db) met behulp van de --upgrade-samenvoegen opdrachtoptie of bestaande databases kunnen worden samengevoegd
met de nieuwe cert9.db-databases met behulp van de ---samenvoegen opdracht.
De --upgrade-samenvoegen opdracht moet informatie geven over de oorspronkelijke database en vervolgens gebruiken
de standaardargumenten (zoals -d) om de informatie over de nieuwe databases te geven. De
opdracht vereist ook informatie die de tool gebruikt voor het proces om te upgraden en te schrijven
over de oorspronkelijke database.
certutil --upgrade-merge -d [sql:]directory [-P dbprefix] --source-dir directory --source-prefix dbprefix --upgrade-id id --upgrade-token-naam naam [-@ wachtwoordbestand ]
Bijvoorbeeld:
$ certutil --upgrade-merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp- --upgrade-id 1 --upgrade-token- naam intern
De --samenvoegen opdracht vereist alleen informatie over de locatie van de oorspronkelijke database;
aangezien het het formaat van de database niet verandert, kan het informatie overschrijven zonder
tussenstap uitvoeren.
certutil --merge -d [sql:]directory [-P dbprefix] --source-dir directory --source-prefix dbprefix [-@ wachtwoordbestand]
Bijvoorbeeld:
$ certutil --merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp-
Hardlopen certutil commando's oppompen van a Partij Dien in
Een reeks opdrachten kan achtereenvolgens worden uitgevoerd vanuit een tekstbestand met de -B commando optie.
Het enige argument hiervoor is het invoerbestand.
$ certutil -B -i /pad/naar/batchbestand
NSS DATABASE SOORTEN
NSS gebruikte oorspronkelijk BerkeleyDB-databases om beveiligingsinformatie op te slaan. De laatste versies
van deze nalatenschap databanken zijn:
· cert8.db voor certificaten
· key3.db voor sleutels
· secmod.db voor PKCS #11 module-informatie
BerkeleyDB heeft echter prestatiebeperkingen, waardoor het niet gemakkelijk kan worden gebruikt door
meerdere applicaties tegelijk. NSS heeft enige flexibiliteit waardoor toepassingen dat kunnen
gebruiken hun eigen, onafhankelijke database-engine terwijl ze een gedeelde database behouden en blijven werken
rond de toegangsproblemen. Toch heeft NSS meer flexibiliteit nodig om een echt gedeeld netwerk te bieden
beveiligingsdatabase.
In 2009 introduceerde NSS een nieuwe set databases die SQLite-databases zijn in plaats van
BerkeleyDB. Deze nieuwe databases bieden meer toegankelijkheid en prestaties:
· cert9.db voor certificaten
· key4.db voor sleutels
· pkcs11.txt, een lijst van alle PKCS #11-modules, in een nieuwe subdirectory
in de map met beveiligingsdatabases
Omdat de SQLite-databases zijn ontworpen om te worden gedeeld, zijn dit de gedeeld databank
type. Het gedeelde databasetype heeft de voorkeur; het verouderde formaat is inbegrepen voor achteruit
compatibiliteit.
Standaard zijn de hulpprogramma's (certutil, pk12util, modutil) neem aan dat de gegeven zekerheid
databases volgen het meer algemene legacy-type. Het gebruik van de SQLite-databases moet handmatig gebeuren
opgegeven met behulp van de sql: voorvoegsel met de opgegeven beveiligingsdirectory. Bijvoorbeeld:
$ certutil -L -d sql:/home/mijn/sharednssdb
Om het gedeelde databasetype in te stellen als het standaardtype voor de tools, stelt u de
NSS_DEFAULT_DB_TYPE omgevingsvariabele to sql:
export NSS_DEFAULT_DB_TYPE="sql"
Deze regel kan worden toegevoegd aan de ~ / .bashrc bestand om de wijziging permanent te maken.
De meeste toepassingen maken standaard geen gebruik van de gedeelde database, maar dit kan wel worden geconfigureerd
gebruik ze. Dit how-to-artikel behandelt bijvoorbeeld hoe u Firefox en Thunderbird configureert
om de nieuwe gedeelde NSS-databases te gebruiken:
· https://wiki.mozilla.org/NSS_Shared_DB_Howto
Zie het NSS-project voor een technisch ontwerp van de wijzigingen in de gedeelde NSS-databases
wiki:
· https://wiki.mozilla.org/NSS_Shared_DB
Gebruik certutil online met behulp van onworks.net-services
