cassl — Online w chmurze

Uruchom cassl w bezpłatnym dostawcy hostingu OnWorks w systemie Ubuntu Online, Fedora Online, emulatorze online systemu Windows lub emulatorze online systemu MAC OS

To jest polecenie cassl, które można uruchomić w bezpłatnym dostawcy hostingu OnWorks przy użyciu jednej z naszych wielu bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online systemu MAC OS

Uruchom w Ubuntu Uruchom w Fedorze Uruchom w Windows Sim Uruchom w systemie MACOS Sim

PROGRAM:

IMIĘ

ca - przykładowa minimalna aplikacja CA

STRESZCZENIE

openssl ca [-gadatliwy] [-konfiguracja filename] [-Nazwa Sekcja] [-gencrl] [-unieważnić filet] [-status
seryjny] [-zaktualizowano] [-crl_powód powód] [-crl_hold instrukcja] [-crl_kompromis czas]
[-crl_CA_kompromis czas] [-krlddays dni] [-krlgodziny godzin] [-kryksety Sekcja] [-Data rozpoczęcia
dane] [-Data końcowa dane] [-dni arg] [-md arg] [-polityka arg] [-plik klucza arg] [-klawisz
PEM|DER] [-klawisz arg] [-przechodzą w arg] [-certyfikat filet] [-samopodpis] [-W filet] [-na zewnątrz filet]
[-brak tekstu] [-zewnętrzny reż] [-wpliki] [-spkac filet] [-ss_cert filet] [-zachowajDN]
[-noe-mailDN] [-seria] [-msie_hack] [-rozszerzenia Sekcja] [-rozszerz Sekcja] [-silnik id]
[-podmiot arg] [-utf8] [-wielowartościowy-rdn]

OPIS

Połączenia ca polecenie jest minimalną aplikacją CA. Można go używać do podpisywania żądań certyfikatów
różnorodnych formularzy i generuje listy CRL, utrzymuje także tekstową bazę danych wydanych
certyfikaty i ich status.

Opisy opcji zostaną podzielone ze względu na cel.

CA OPCJE

-konfiguracja filename
określa plik konfiguracyjny, którego należy użyć.

-Nazwa Sekcja
określa sekcję pliku konfiguracyjnego do użycia (overrides domyślna_ca ca
Sekcja).

-W filename
nazwa pliku wejściowego zawierająca żądanie pojedynczego certyfikatu do podpisania przez urząd certyfikacji.

-ss_cert filename
pojedynczy certyfikat z podpisem własnym, który ma zostać podpisany przez urząd certyfikacji.

-spkac filename
plik zawierający pojedynczy klucz publiczny podpisany przez Netscape oraz wyzwanie i dodatkowe
wartości pól do podpisania przez urząd certyfikacji. Zobacz SPKAC FORMAT sekcja zawierająca informacje nt
wymagany format wejściowy i wyjściowy.

-wpliki
jeśli jest obecna, powinna to być ostatnia opcja, wszystkie kolejne argumenty są przyjmowane
nazwy plików zawierających żądania certyfikatów.

-na zewnątrz filename
plik wyjściowy, do którego mają być wysyłane certyfikaty. Wartość domyślna to standardowe wyjście. The
szczegóły certyfikatu zostaną również wydrukowane w tym pliku w formacie PEM (z wyjątkiem pliku
-spkac wyprowadza w formacie DER).

-zewnętrzny katalog
katalog, do którego mają być wysyłane certyfikaty. Certyfikat zostanie zapisany w nazwie pliku
składający się z numeru seryjnego w formacie szesnastkowym z dodatkiem „.pem”.

-certyfikat
plik certyfikatu urzędu certyfikacji.

-plik klucza filename
klucz prywatny, za pomocą którego można podpisywać żądania.

-klawisz PEM|DER
format danych w pliku klucza prywatnego. Wartość domyślna to PEM.

-klawisz password
hasło używane do szyfrowania klucza prywatnego. Ponieważ w niektórych systemach wiersz poleceń
argumenty są widoczne (np. Unix z narzędziem „ps”) należy skorzystać z tej opcji
z ostrożnością.

-samopodpis
wskazuje, że wydawane certyfikaty mają być podpisane kluczem certyfikatu
wnioski zostały podpisane za pomocą (podane za pomocą -plik klucza). Żądania certyfikatu podpisane za pomocą a
inny klucz są ignorowane. Jeśli -spkac, -ss_cert or -gencrl są podane, -samopodpis is
ignorowane.

Konsekwencja użycia -samopodpis jest to, że certyfikat z podpisem własnym pojawia się wśród plików
wpisy w bazie certyfikatów (patrz opcja konfiguracji baza danych) i używa
ten sam licznik numeru seryjnego, co wszystkie inne certyfikaty podpisane z podpisem własnym
certyfikat.

-przechodzą w arg
źródło hasła klucza. Aby uzyskać więcej informacji na temat formatu arg zobacz PASS
WYRAŻENIE ARGUMENTY sekcja w openssl(1).

-gadatliwy
powoduje to wydrukowanie dodatkowych szczegółów na temat wykonywanych operacji.

-brak tekstu
nie wyprowadzaj tekstowej formy certyfikatu do pliku wyjściowego.

-Data rozpoczęcia dane
pozwala to na wyraźne ustawienie daty początkowej. Format daty to
YYMMDDHHMMSSZ (taki sam jak struktura ASN1 UTCTime).

-Data końcowa dane
pozwala to na jednoznaczne ustawienie daty ważności. Format daty to
YYMMDDHHMMSSZ (taki sam jak struktura ASN1 UTCTime).

-dni arg
liczba dni, przez którą certyfikat ma być certyfikowany.

-md ALG
skrót wiadomości, który ma zostać użyty. Możliwe wartości to md5, sha1 i mdc2. Ta opcja
dotyczy również list CRL.

-polityka arg
ta opcja definiuje „politykę” urzędu certyfikacji, której należy użyć. To jest sekcja konfiguracji
plik, który decyduje, które pola powinny być obowiązkowe lub odpowiadać certyfikatowi CA. Sprawdzać
obecnie POLITYKA FORMAT sekcja po więcej informacji.

-msie_hack
jest to starsza opcja ca pracuj z bardzo starymi wersjami certyfikatu IE
kontrola rejestracji „certenr3”. Używał UniversalStrings do prawie wszystkiego. Od
stara kontrola ma różne błędy bezpieczeństwa, zdecydowanie odradza się jej używanie. Nowszy
sterowanie „Xenroll” nie potrzebuje tej opcji.

-zachowajDN
Zwykle kolejność nazw wyróżniających certyfikatu jest taka sama, jak kolejność pól w pliku
odpowiednią sekcję dotyczącą polityki. Gdy ta opcja jest ustawiona, kolejność jest taka sama jak żądanie.
Dotyczy to głównie zgodności ze starszą kontrolą rejestracji IE, która by to robiła
akceptują certyfikaty tylko wtedy, gdy ich nazwy wyróżniające odpowiadają kolejności żądania. To nie jest
potrzebne do Xenrolla.

-noe-mailDN
Nazwa wyróżniająca certyfikatu może zawierać pole EMAIL, jeśli występuje w żądaniu DN,
jednakże dobrą zasadą jest ustawienie adresu e-mail w rozszerzeniu altName pliku
certyfikat. Gdy ta opcja jest włączona, pole EMAIL zostanie usunięte z certyfikatu'
podmiot i osadzony jedynie w ewentualnie obecnych rozszerzeniach. The email_in_dn keyword
można użyć w pliku konfiguracyjnym, aby włączyć to zachowanie.

-seria
ustawia to tryb wsadowy. W tym trybie nie będą zadawane żadne pytania i wszystkie certyfikaty
zostanie certyfikowany automatycznie.

-rozszerzenia Sekcja
sekcja pliku konfiguracyjnego zawierająca rozszerzenia certyfikatów, które mają zostać dodane
po wydaniu certyfikatu (domyślnie jest to rozszerzenia_x509 dopóki -rozszerz opcja
Jest używane). Jeśli nie ma sekcji rozszerzenia, tworzony jest certyfikat V1. Jeśli
sekcja rozszerzenia jest obecna (nawet jeśli jest pusta), wówczas tworzony jest certyfikat V3.
Zobacz: w x509v3_config(5) strona podręcznika zawierająca szczegółowe informacje na temat formatu sekcji rozszerzenia.

-rozszerz filet
dodatkowy plik konfiguracyjny, z którego można odczytać rozszerzenia certyfikatów (przy użyciu rozszerzenia
sekcja domyślna, chyba że -rozszerzenia opcja jest również używana).

-silnik id
określenie silnika (poprzez jego unikatowe id ciąg) spowoduje ca próbować uzyskać
funkcjonalne odniesienie do określonego silnika, tym samym inicjując go w razie potrzeby. ten
silnik zostanie wtedy ustawiony jako domyślny dla wszystkich dostępnych algorytmów.

-podmiot arg
zastępuje nazwę podmiotu podaną we wniosku. Arg musi być sformatowany jako
/type0=value0/type1=value1/type2=..., znaki mogą być poprzedzone znakiem \ (ukośnik odwrotny), nie
spacje są pomijane.

-utf8
ta opcja powoduje, że wartości pól są interpretowane jako ciągi UTF8, domyślnie tak jest
interpretowane jako ASCII. Oznacza to, że wartości pól, niezależnie od tego, czy są monitowane przez a
terminalu lub uzyskane z pliku konfiguracyjnego, muszą mieć prawidłowe ciągi znaków w formacie UTF8.

-wielowartościowy-rdn
ta opcja powoduje, że argument -subj będzie interpretowany z pełną obsługą
wielowartościowe RDN. Przykład:

/DC=org/DC=OpenSSL/DC=użytkownicy/UID=123456+CN=John Łania

Jeżeli -multi-rdn nie zostanie użyte, wówczas będzie to wartość UID 123456+CN=Jan Łania.

C.R.L. OPCJE

-gencrl
ta opcja generuje listę CRL na podstawie informacji zawartych w pliku indeksu.

-krlddays num
liczba dni do terminu płatności kolejnej listy CRL. To są dni, w które należy teraz umieścić
pole CRL nextUpdate.

-krlgodziny num
liczba godzin do terminu następnej listy CRL.

-unieważnić filename
nazwa pliku zawierająca certyfikat do unieważnienia.

-status seryjny
wyświetla status unieważnienia certyfikatu o podanym numerze seryjnym i
wyjść.

-zaktualizowano
Aktualizuje indeks bazy danych w celu usunięcia wygasłych certyfikatów.

-crl_powód powód
powód odwołania, gdzie powód jest jednym z: nieokreślone, kluczKompromis, CAKompromis,
przynależnośćZmieniono, zastąpione, zaprzestanie Działalności, certyfikatPrzytrzymaj or
usuńZCRL. Dopasowanie powód wielkość liter nie jest uwzględniana. Ustawianie dowolnego odwołania
powód sprawi, że lista CRL v2.

W praktyce usuńZCRL nie jest szczególnie przydatny, ponieważ jest używany tylko w delcie
Listy CRL, które nie są obecnie zaimplementowane.

-crl_hold instrukcja
Spowoduje to ustawienie kodu przyczyny odwołania listy CRL na certyfikatPrzytrzymaj i instrukcja wstrzymania
do instrukcja który musi być OID. Chociaż dowolny OID może być używany tylko
przytrzymajInstrukcjęBrak (którego użycie jest odradzane przez RFC2459)
holdInstructionCallIssuer or przytrzymajInstrukcjęOdrzuć będzie normalnie używany.

-crl_kompromis czas
Ustawia to powód odwołania na kluczKompromis i czas na kompromis czas. czas
powinien być w formacie GeneralizedTime RRRRMMDDHMMSSSZ.

-crl_CA_kompromis czas
To to samo co crl_kompromis z wyjątkiem tego, że powód unieważnienia jest ustawiony na
CAKompromis.

-kryksety Sekcja
sekcja pliku konfiguracyjnego zawierająca rozszerzenia CRL, które należy uwzględnić. Jeśli nie ma listy CRL
sekcja rozszerzenia jest obecna, tworzona jest lista CRL V1, jeśli sekcja rozszerzenia CRL jest obecna
obecny (nawet jeśli jest pusty), wówczas tworzona jest lista CRL V2. Określone rozszerzenia listy CRL
to rozszerzenia CRL i nie Rozszerzenia wpisów CRL. Warto zaznaczyć, że niektórzy
oprogramowanie (na przykład Netscape) nie obsługuje list CRL w wersji 2. Widzieć x509v3_config(5) strona podręcznika
aby uzyskać szczegółowe informacje na temat formatu sekcji rozszerzenia.

KONFIGURACJA FILE OPCJE

Sekcja pliku konfiguracyjnego zawierająca opcje dla ca znajduje się w następujący sposób: Jeśli
dotychczasowy -Nazwa używana jest opcja wiersza poleceń, następnie określa ona sekcję, która ma zostać użyta. W przeciwnym razie
Sekcja, która ma zostać wykorzystana, musi być nazwana w pliku domyślna_ca opcja ca odcinek
plik konfiguracyjny (lub w domyślnej sekcji pliku konfiguracyjnego). Oprócz
domyślna_ca, następujące opcje są odczytywane bezpośrednio z pliku ca sekcja:
Zachowaj plik RANDFILE
msie_hack Z wyjątkiem PLIK LOSOWY, jest to prawdopodobnie błąd, który może ulec zmianie w przyszłości
Wydania.

Wiele opcji pliku konfiguracyjnego jest identycznych z opcjami wiersza poleceń. Gdzie
opcja jest obecna w pliku konfiguracyjnym, a w wierszu poleceń jest to wartość wiersza poleceń
używany. Jeżeli opcja jest opisana jako obowiązkowa, musi ona być obecna w
plik konfiguracyjny lub odpowiednik wiersza poleceń (jeśli istnieje).

plik_oid
Określa plik zawierający dodatkowe OBIEKT IDENTYFIKATORY. Każda linia pliku
powinien składać się z postaci numerycznej identyfikatora obiektu, po której następuje spacja
następnie krótka nazwa, po której następuje spacja i na końcu długa nazwa.

sekcja_oid
Określa sekcję w pliku konfiguracyjnym zawierającą dodatkowy obiekt
identyfikatory. Każda linia powinna składać się z krótkiej nazwy identyfikatora obiektu
następnie = i postać liczbowa. W tym przypadku krótkie i długie nazwy są takie same
używana jest opcja.

nowy_katalog_certyfikatów
Taki sam jak -zewnętrzny opcja wiersza poleceń. Określa katalog, w którym jest nowy
zostaną umieszczone certyfikaty. Obowiązkowy.

świadectwo
sama, jak -certyfikat. Daje plik zawierający certyfikat CA. Obowiązkowy.

prywatny klucz
tak samo jak -plik klucza opcja. Plik zawierający klucz prywatny urzędu certyfikacji. Obowiązkowy.

PLIK LOSOWY
plik używany do odczytu i zapisu informacji o ziarnie liczb losowych lub gniazdo EGD (patrz
RAND_egd(3)).

domyślne_dni
Taki sam jak -dni opcja. Liczba dni, przez które ma być certyfikowany certyfikat.

domyślna_data_początkowa
Taki sam jak -Data rozpoczęcia opcja. Data rozpoczęcia certyfikacji certyfikatu. Jeśli nie
ustawić używany bieżący czas.

domyślna_data_końcowa
Taki sam jak -Data końcowa opcja. Albo ta opcja, albo domyślne_dni (lub polecenie
odpowiedniki linii) muszą być obecne.

default_crl_hours default_crl_days
Taki sam jak -krlgodziny oraz -krlddays opcje. Zostaną one użyte tylko wtedy, gdy żadne z nich nie zostanie zastosowane
dostępna jest opcja wiersza poleceń. Aby wygenerować plik, musi być obecny co najmniej jeden z nich
Lista CRL.

domyślny_md
Taki sam jak -md opcja. Skrót wiadomości do użycia. Obowiązkowy.

baza danych
plik tekstowej bazy danych, który ma zostać użyty. Obowiązkowy. Jednak plik ten musi być obecny początkowo
będzie pusto.

unikalny_temat
jeśli wartość tak jest podany, muszą posiadać ważne wpisy certyfikatów w bazie danych
unikalne tematy. jeśli wartość Nie jest podany, może zawierać kilka ważnych wpisów certyfikatów
dokładnie ten sam temat. Wartość domyślna to tak, aby był kompatybilny ze starszymi (pre
0.9.8) wersje OpenSSL. Aby jednak ułatwić przenoszenie certyfikatu CA, jest to możliwe
zaleca się użycie tej wartości Nie, zwłaszcza w połączeniu z -samopodpis komenda
opcja linii.

seryjny
plik tekstowy zawierający następny numer seryjny do użycia w formacie szesnastkowym. Obowiązkowy. Ten plik
musi być obecny i zawierać ważny numer seryjny.

numer crl
plik tekstowy zawierający następny numer listy CRL do użycia w formacie szesnastkowym. Numer crl będzie
wstawiane do list CRL tylko wtedy, gdy taki plik istnieje. Jeśli ten plik istnieje, musi
zawierać prawidłowy numer CRL.

rozszerzenia_x509
sama, jak -rozszerzenia.

crl_extensions
sama, jak -kryksety.

zachować
sama, jak -zachowajDN

email_in_dn
sama, jak -noe-mailDN. Jeśli chcesz, aby pole EMAIL zostało usunięte z nazwy wyróżniającej domeny
certyfikat po prostu ustaw to na „nie”. Jeśli nie jest obecny, domyślnie zezwala się na
EMAIL podany w nazwie wyróżniającej certyfikatu.

msie_hack
sama, jak -msie_hack

polityka
sama, jak -polityka. Obowiązkowy. Zobacz POLITYKA FORMAT sekcja po więcej informacji.

nazwa_opcja, certyfikat_opt
opcje te pozwalają na format używany do wyświetlania szczegółów certyfikatu podczas pytania
użytkownika, aby potwierdzić podpisanie. Wszystkie opcje obsługiwane przez x509 Użytkowe -nazwa opt i
-pewno Można tu używać przełączników, z wyjątkiem brak_sygnału i no_sigdump jest
ustawiony na stałe i nie można go wyłączyć (wynika to z faktu, że podpis certyfikatu
nie można wyświetlić, ponieważ certyfikat nie został jeszcze podpisany).

Dla wygody wartości ca_default są akceptowane przez obie strony w celu uzyskania rozsądnego rozwiązania
wyjście.

Jeśli żadna z opcji nie jest dostępna, używany jest format używany we wcześniejszych wersjach OpenSSL.
Użycie starego formatu jest strongly zniechęcany, ponieważ wyświetla tylko pola
wspomniane w polityka sekcji, źle obsługuje typy ciągów wieloznakowych, ale tak nie jest
rozszerzenia wyświetlania.

kopiowanie_rozszerzeń
określa sposób obsługi rozszerzeń w żądaniach certyfikatów. Jeśli ustawione na Żaden
lub ta opcja nie jest dostępna, wówczas rozszerzenia są ignorowane i nie są kopiowane do pliku
certyfikat. Jeśli ustawione na kopia następnie wszelkie rozszerzenia obecne w żądaniu, które nie są
już obecne, są kopiowane do certyfikatu. Jeśli ustawione na skopiuj wszystko następnie wszystkie rozszerzenia
w żądaniu są kopiowane do certyfikatu: jeśli rozszerzenie jest już obecne w
certyfikat jest najpierw usuwany. Zobacz OSTRZEŻENIA sekcję przed użyciem tego
opcja.

Głównym zastosowaniem tej opcji jest umożliwienie żądania certyfikatu dostarczenia wartości dla
niektóre rozszerzenia, takie jak topicAltName.

POLITYKA FORMAT

Sekcja polityki składa się z zestawu zmiennych odpowiadających polom nazwy wyróżniającej certyfikatu.
Jeśli wartość to „dopasuj”, wartość pola musi odpowiadać temu samemu polu w urzędzie certyfikacji
certyfikat. Jeśli wartość jest „podana”, to musi być obecna. Jeśli wartość jest
„opcjonalny”, wówczas może być obecny. Wszelkie pola niewymienione w sekcji zasad są
dyskretnie usunięte, chyba że -zachowajDN opcja jest ustawiona, ale można to uznać raczej za
dziwaczne niż zamierzone zachowanie.

SPKAC FORMAT

Wejście do -spkac Opcja wiersza poleceń to klucz publiczny podpisany przez Netscape i wyzwanie.
Zwykle będzie to pochodzić z GENERATOR KLUCZY tag w formularzu HTML, aby utworzyć nowy klucz prywatny.
Możliwe jest jednak tworzenie SPKAC-ów przy użyciu pliku spkac użyteczność.

Plik powinien zawierać zmienną SPKAC ustawioną na wartość SPKAC oraz rozszerzenie
wymagane komponenty DN jako pary nazwa-wartość. Jeśli chcesz dołączyć ten sam komponent
dwukrotnie, wówczas może być poprzedzony cyfrą i znakiem „.”.

Podczas przetwarzania formatu SPKAC wyjściem jest DER, jeśli -na zewnątrz używana jest flaga, ale w formacie PEM
jeśli wysyłasz na standardowe wyjście lub -zewnętrzny używana jest flaga.

PRZYKŁADY

Uwaga: w tych przykładach założono, że ca Struktura katalogów jest już skonfigurowana i plik
odpowiednie pliki już istnieją. Zwykle wiąże się to z utworzeniem certyfikatu CA i prywatnego
klucz z req, plik numeru seryjnego i pusty plik indeksu i umieszczając je w
odpowiednie katalogi.

Aby skorzystać z przykładowego pliku konfiguracyjnego znajdującego się w katalogach demoCA, demoCA/private i
zostanie utworzony demoCA/newcerts. Certyfikat CA zostanie skopiowany do demoCA/cacert.pem
i jego klucz prywatny do demoCA/private/cakey.pem. Zostanie utworzony plik demoCA/serial
zawierający na przykład „01” i pusty plik indeksu demoCA/index.txt.

Podpisz prośbę o certyfikat:

openssl ca -in wymaganie.pem -out nowycert.pem

Podpisz żądanie certyfikatu, korzystając z rozszerzeń CA:

openssl ca -in req.pem -extensions v3_ca -out nowycert.pem

Wygeneruj listę CRL

openssl ca -gencrl -out crl.pem

Podpisz kilka próśb:

openssl ca -infiles req1.pem req2.pem req3.pem

Certyfikacja Netscape SPKAC:

openssl ca -spkac spkac.txt

Przykładowy plik SPKAC (wiersz SPKAC został obcięty dla przejrzystości):

SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN = Test Steve'a
Adres e-mail=[email chroniony]
0.OU=Grupa OpenSSL
1.OU=Inna grupa

Przykładowy plik konfiguracyjny z odpowiednimi sekcjami dla ca:

[ około ]
default_ca = CA_default # Domyślna sekcja ca

[ CA_domyślnie ]

dir = ./demoCA # górny katalog
baza danych = $dir/index.txt # plik indeksu.
new_certs_dir = $dir/newcerts # nowy katalog certyfikatów

certyfikat = $dir/cacert.pem # Certyfikat urzędu certyfikacji
serial = $katalog/serial # serial brak pliku
private_key = $dir/private/cakey.pem# Klucz prywatny CA
RANDFILE = $dir/private/.rand # plik liczb losowych

default_days = 365 # jak długo trwa certyfikacja
default_crl_days= 30 # ile czasu pozostało do następnej listy CRL
default_md = md5 # md do użycia

policy = policy_any # domyślna polityka
email_in_dn = no # Nie dodawaj adresu e-mail do nazwy wyróżniającej certyfikatu

name_opt = ca_default # Opcja wyświetlania nazwy podmiotu
cert_opt = ca_default # Opcja wyświetlania certyfikatu
copy_extensions = none # Nie kopiuj rozszerzeń z żądania

[polityka_dowolna]
nazwakraju = dostarczone
stateOrProvinceName = opcjonalne
nazwa organizacji = opcjonalnie
nazwajednostki organizacyjnej = opcjonalne
nazwa zwyczajowa = dostarczona
Adres e-mail = opcjonalny

Korzystaj z Cassl online, korzystając z usług onworks.net