certutil - Online w chmurze

PROGRAM:

IMIĘ

certutil - Zarządzaj kluczami i certyfikatami w obu bazach danych NSS i innych tokenach NSS

STRESZCZENIE

certutil [Opcje] [[argumenty]]

STATUS

Ta dokumentacja jest wciąż w toku. Prosimy o udział w wstępnej recenzji w
Mozilla NSS pluskwa 836477[1]

OPIS

Narzędzie bazy danych certyfikatów, certutil, to narzędzie wiersza poleceń, które może tworzyć i
modyfikować bazy danych certyfikatów i kluczy. Może konkretnie wymieniać, generować, modyfikować lub
usuń certyfikaty, utwórz lub zmień hasło, wygeneruj nowy klucz publiczny i prywatny
par, wyświetl zawartość bazy danych kluczy lub usuń pary kluczy w kluczu
Baza danych.

Wydanie certyfikatu, będącego częścią procesu zarządzania kluczami i certyfikatami, wymaga tego
klucze i certyfikaty są tworzone w bazie kluczy. Ten dokument omawia certyfikat
oraz zarządzanie kluczową bazą danych. Aby uzyskać informacje na temat zarządzania bazą danych modułu bezpieczeństwa,
zobacz moduł strona podręcznika.

COMMAND OPCJE ROLNICZE ARGUMENTY

Bieganie certutil zawsze wymaga jednej i tylko jednej opcji polecenia, aby określić typ
operacja certyfikatu. Każda opcja polecenia może przyjmować zero lub więcej argumentów. Komenda
opcja -H wyświetli listę wszystkich opcji poleceń i ich odpowiednich argumentów.

Command Opcje

-A
Dodaj istniejący certyfikat do bazy danych certyfikatów. Baza certyfikatów powinna:
już istnieje; jeśli go nie ma, ta opcja polecenia zainicjuje go przez
domyślna.

-B
Uruchom serię poleceń z określonego pliku wsadowego. Wymaga to -i argumenty.

-C
Utwórz nowy plik certyfikatu binarnego z pliku żądania certyfikatu binarnego. Użyj
-i argument, aby określić plik żądania certyfikatu. Jeśli ten argument nie jest używany,
certutil monituje o nazwę pliku.

-D
Usuń certyfikat z bazy danych certyfikatów.

--Przemianować
Zmień pseudonim bazy danych certyfikatu.

-E
Dodaj certyfikat e-mail do bazy danych certyfikatów.

-F
Usuń klucz prywatny z bazy danych kluczy. Określ klucz do usunięcia za pomocą -n
argument. Określ bazę danych, z której chcesz usunąć klucz za pomocą -d argument. Posługiwać się
dotychczasowy -k argument określający jawnie, czy usunąć klucz DSA, RSA czy ECC. Jeśli ty
nie używaj -k argument, opcja szuka klucza RSA pasującego do podanego
przezwisko.

Usuwając klucze, pamiętaj, aby usunąć również wszystkie powiązane z nimi certyfikaty
klucze z bazy danych certyfikatów za pomocą -D. Niektóre karty inteligentne nie pozwalają
usuń wygenerowany klucz publiczny. W takim przypadku tylko klucz prywatny jest
usunięte z pary kluczy. Możesz wyświetlić klucz publiczny za pomocą polecenia certutil -K
-h nazwa tokena.

-G
Wygeneruj nową parę kluczy publicznego i prywatnego w bazie danych kluczy. Kluczowa baza danych
powinien już istnieć; jeśli go nie ma, ta opcja polecenia zainicjuje go
domyślnie. Niektóre karty inteligentne mogą przechowywać tylko jedną parę kluczy. Jeśli utworzysz nową parę kluczy
dla takiej karty poprzednia para jest nadpisywana.

-H
Wyświetl listę opcji i argumentów polecenia.

-K
Wymień identyfikatory kluczy w bazie danych kluczy. Identyfikator klucza to moduł klucza RSA lub
publicValue klucza DSA. Identyfikatory są wyświetlane w postaci szesnastkowej („0x” nie jest wyświetlane).

-L
Wymień wszystkie certyfikaty lub wyświetl informacje o nazwanym certyfikacie w
baza certyfikatów. Użyj argumentu -h tokenname, aby określić certyfikat
bazy danych na konkretnym tokenie sprzętowym lub programowym.

-M
Zmodyfikuj atrybuty zaufania certyfikatu, używając wartości argumentu -t.

-N
Utwórz nowe bazy danych certyfikatów i kluczy.

-O
Wydrukuj łańcuch certyfikatów.

-R
Utwórz plik żądania certyfikatu, który można przesłać do urzędu certyfikacji
(CA) do przetworzenia na gotowy certyfikat. Domyślne wyjście to standardowe wyjście
chyba że użyjesz argumentu -o plik-wyj. Użyj argumentu -a, aby określić dane wyjściowe ASCII.

-S
Utwórz indywidualny certyfikat i dodaj go do bazy certyfikatów.

-T
Zresetuj bazę danych kluczy lub token.

-U
Wymień wszystkie dostępne moduły lub wydrukuj jeden nazwany moduł.

-V
Sprawdź ważność certyfikatu i jego atrybuty.

-W
Zmień hasło do bazy danych kluczy.

--łączyć
Scal dwie bazy danych w jedną.

--upgrade-scalanie
Zaktualizuj starą bazę danych i połącz ją z nową bazą danych. Służy do migracji
starsze bazy danych NSS (cert8.db i key3.db) do nowszych baz danych SQLite (cert9.db
i klucz4.db).

Argumenty

Argumenty modyfikują opcję polecenia i są zwykle małymi literami, liczbami lub symbolami.

-a
Użyj formatu ASCII lub zezwól na użycie formatu ASCII dla danych wejściowych lub wyjściowych. To formatowanie
jest zgodny z RFC 1113. W przypadku żądań certyfikatów wyjście ASCII domyślnie jest wyjściem standardowym
chyba że zostaną przekierowane.

-b czas ważności
Określ czas, w którym certyfikat musi być ważny. Użyj podczas sprawdzania
ważność certyfikatu z -V opcja. Format czas ważności argumentem jest
RRMMDDGGMMSS[+GGMM|-GGMM|Z], co pozwala na ustawianie offsetów względem ważności
Koniec czasu. Określanie sekund (SS) jest opcjonalne. Określając dokładny czas, użyj a
Z na koniec semestru, RRMMDDGGMMSZ, aby go zamknąć. Określając czas przesunięcia,
posługiwać się RRMMDDGGMMSS+GGMM or RRMMDDGGMMSS-GGMM do dodawania lub odejmowania czasu,
odpowiednio.

Jeśli ta opcja nie jest używana, sprawdzanie poprawności jest domyślnie ustawione na bieżący czas systemowy.

-c wydawca
Zidentyfikuj certyfikat urzędu certyfikacji, z którego będzie pochodzić nowy certyfikat
autentyczność. Użyj dokładnego pseudonimu lub aliasu certyfikatu CA lub użyj certyfikatu CA
adres e-mail. Ujmij łańcuch wystawcy w cudzysłów, jeśli zawiera spacje.

-d [prefiks]katalog
Określ katalog bazy danych zawierający pliki bazy danych certyfikatów i kluczy.

certutil obsługuje dwa rodzaje baz danych: starsze bazy bezpieczeństwa (cert8.db,
key3.db i secmod.db) oraz nowe bazy danych SQLite (cert9.db, key4.db i pkcs11.txt).

NSS rozpoznaje następujące przedrostki:

· sql: żąda nowszej bazy danych

· dbm: żąda starszej bazy danych

Jeśli nie określono prefiksu, domyślny typ jest pobierany z NSS_DEFAULT_DB_TYPE. Jeśli
NSS_DEFAULT_DB_TYPE nie jest wtedy ustawiony dbm: jest wartością domyślną.

--dump-ext-val OID
W przypadku pojedynczego certyfikatu wydrukuj binarne kodowanie DER rozszerzenia OID.

-e
Sprawdź podpis certyfikatu podczas procesu walidacji certyfikatu.

--e-mail-adres e-mail
Podaj adres e-mail certyfikatu do wyświetlenia. Używany z opcją polecenia -L.

--extGeneric OID:flaga-krytyczna:nazwapliku[,OID:flaga-krytyczna:nazwapliku]...
Dodaj jedno lub wiele rozszerzeń, których certutil nie może jeszcze zakodować, ładując ich
kodowania z plików zewnętrznych.

· OID (przykład): 1.2.3.4

· flaga krytyczna: krytyczna lub niekrytyczna

· nazwa pliku: pełna ścieżka do pliku zawierającego zakodowane rozszerzenie

-f plik-hasła
Określ plik, który automatycznie dostarczy hasło do dołączenia do certyfikatu
lub uzyskać dostęp do bazy danych certyfikatów. To jest zwykły plik tekstowy zawierający jeden
hasło. Pamiętaj, aby zapobiec nieautoryzowanemu dostępowi do tego pliku.

-g rozmiar klucza
Ustaw rozmiar klucza do użycia podczas generowania nowych par kluczy publicznych i prywatnych. Minimum to
512 bitów, a maksymalna to 16384 bity. Wartość domyślna to 2048 bitów. Dowolny rozmiar między
dozwolone jest minimum i maksimum.

-h nazwa tokena
Podaj nazwę tokena, którego chcesz użyć lub na którym chcesz działać. Jeśli nie określono, domyślnym tokenem jest
gniazdo wewnętrznej bazy danych.

-i plik_wejściowy
Przekaż plik wejściowy do polecenia. W zależności od opcji polecenia, plik wejściowy może:
być konkretnym certyfikatem, plikiem żądania certyfikatu lub plikiem wsadowym poleceń.

-k typ-klucza lub identyfikator
Określ typ lub konkretny identyfikator klucza.

Prawidłowe opcje typu klucza to rsa, dsa, ec lub all. Wartość domyślna to rsa.
Określenie typu klucza pozwala uniknąć błędów spowodowanych zduplikowanymi pseudonimami. Dając
typ klucza generuje nową parę kluczy; podanie identyfikatora istniejącego klucza powoduje ponowne wykorzystanie tego klucza
para (która jest wymagana do odnowienia certyfikatów).

-l
Wyświetlaj szczegółowe informacje podczas walidacji certyfikatu z opcją -V.

-m numer seryjny
Przypisz unikalny numer seryjny do tworzonego certyfikatu. Ta operacja powinna być
wykonywane przez urząd certyfikacji. Jeśli nie podano numeru seryjnego, tworzony jest numer domyślny
od aktualnego czasu. Numery seryjne są ograniczone do liczb całkowitych

-n pseudonim
Określ pseudonim certyfikatu lub klucza do wyświetlenia, utworzenia, dodania do bazy danych,
modyfikować lub sprawdzać. Ujmij w nawias ciąg pseudonimu w cudzysłowie, jeśli zawiera
spacje.

-o plik-wyjściowy
Określ nazwę pliku wyjściowego dla nowych certyfikatów lub żądań certyfikatów binarnych.
Ujmij łańcuch pliku wyjściowego w nawias cudzysłowami, jeśli zawiera spacje. Jeśli to
argument nie jest używany, domyślną wartością docelową wyjścia jest standardowe wyjście.

-P dbPrefiks
Określ prefiks używany w pliku bazy danych certyfikatów i kluczy. Ten argument jest
dostarczane do obsługi starszych serwerów. Większość aplikacji nie używa prefiksu bazy danych.

-p telefon
Podaj numer telefonu kontaktowego do dołączenia do nowych certyfikatów lub certyfikatu
upraszanie. Ujmij ten ciąg w nawias cudzysłowami, jeśli zawiera spacje.

-q plik pqg lub nazwa-krzywej
Odczytaj alternatywną wartość PQG z określonego pliku podczas generowania par kluczy DSA. Jeśli
ten argument nie jest używany, certutil generuje własną wartość PQG. Tworzone są pliki PQG
z oddzielnym narzędziem DSA.

Nazwa krzywej eliptycznej jest jedną z tych z SUITE B: nistp256, nistp384, nistp521

Jeśli NSS został skompilowany z krzywymi wsparcia poza SUITE B: sect163k1, nistk163,
sekt163r1, sekt163r2, nistb163, sekt193r1, sekt193r2, sekt233k1, nistk233, sekt233r1,
nistb233, sekt239k1, sekt283k1, nistk283, sekt283r1, nistb283, sekt409k1, nistk409,
sect409r1, nistb409, sect571k1, nistk571, sect571r1, nistb571, secp160k1, secp160r1,
secp160r2, secp192k1, secp192r1, nistp192, secp224k1, secp224r1, nistp224, secp256k1,
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2

-r
Wyświetlaj binarne kodowanie DER certyfikatu podczas wyświetlania informacji na ten temat
certyfikat z opcją -L.

-s temat
Zidentyfikuj konkretnego właściciela certyfikatu dla nowych certyfikatów lub żądań certyfikatów.
Ujmij ten ciąg w nawias cudzysłowami, jeśli zawiera spacje. Temat
format identyfikacji zgodny z RFC #1485.

-t argumenty zaufania
Określ atrybuty zaufania, które chcesz zmodyfikować w istniejącym certyfikacie lub zastosować do
certyfikat podczas jego tworzenia lub dodawania do bazy danych. Dostępne są trzy
kategorie zaufania dla każdego certyfikatu wyrażone w zamówieniu SSL, e-mail, przedmiot
podpisywanie dla każdego ustawienia zaufania. W każdej pozycji kategorii użyj żadnego, żadnego lub wszystkich
kody atrybutów:

· p - Prawidłowy partner

· P - Zaufany partner (oznacza p)

· c - Ważny CA

· T - Zaufany urząd certyfikacji (oznacza c)

· C - zaufane CA do uwierzytelniania klienta (tylko serwer SSL)

· u - użytkownik

Kody atrybutów dla kategorii są oddzielone przecinkami, a cały zestaw
atrybuty ujęte w cudzysłów. Na przykład:

-t „TCu,Cu,Wt”

Użyj opcji -L, aby wyświetlić listę bieżących certyfikatów i atrybutów zaufania w a
baza certyfikatów.

-u świadectwo
Określ kontekst użycia do zastosowania podczas sprawdzania poprawności certyfikatu za pomocą opcji -V.

Konteksty są następujące:

· C (jako klient SSL)

· V (jako serwer SSL)

· L (jako urząd certyfikacji SSL)

· A (jak każdy urząd certyfikacji)

· Y (Zweryfikuj urząd certyfikacji)

· S (jako sygnatariusz e-maili)

· R (jako odbiorca e-maila)

· O (jako responder statusu OCSP)

· J (jako podpisujący obiekt)

-v ważne-miesięcy
Ustaw liczbę miesięcy ważności nowego certyfikatu. Rozpoczyna się okres ważności
w bieżącym czasie systemowym, chyba że przesunięcie jest dodawane lub odejmowane za pomocą -w opcja.
Jeśli ten argument nie zostanie użyty, domyślny okres ważności wynosi trzy miesiące.

-w przesuniętych-miesięcy
Ustaw przesunięcie od aktualnego czasu systemowego, w miesiącach, na początek a
okres ważności certyfikatu. Użyj podczas tworzenia certyfikatu lub dodawania go do
Baza danych. Wyraź przesunięcie w liczbach całkowitych, używając znaku minus (-), aby wskazać a
przesunięcie ujemne. Jeśli ten argument nie zostanie użyty, okres ważności rozpoczyna się w dniu
aktualny czas systemowy. Długość okresu ważności ustawia się za pomocą argumentu -v.

-X
Wymuś otwarcie bazy danych kluczy i certyfikatów w trybie do odczytu i zapisu. Jest używany z
dotychczasowy -U i -L opcje poleceń.

-x
Zastosowanie certutil do wygenerowania podpisu dla certyfikatu tworzonego lub dodawanego do
bazy danych, zamiast uzyskiwania podpisu z oddzielnego urzędu certyfikacji.

-y eksp
Ustaw alternatywną wartość wykładnika do użycia podczas generowania nowego klucza publicznego RSA dla
bazy danych, zamiast domyślnej wartości 65537. Dostępne wartości alternatywne to 3
i 17.

-z plik-szumu
Odczytaj wartość seeda z określonego pliku, aby wygenerować nowy klucz prywatny i publiczny
para. Ten argument umożliwia użycie wartości seed generowanych sprzętowo lub
ręcznie utwórz wartość z klawiatury. Minimalny rozmiar pliku to 20 bajtów.

-Z skrót Alg
Określ algorytm mieszania, który ma być używany z opcjami polecenia -C, -S lub -R. Możliwy
słowa kluczowe:

· MD2

· MD4

· MD5

· SHA1

· SHA224

· SHA256

· SHA384

· SHA512

-0 SSO_hasło
Ustaw hasło pracownika ds. bezpieczeństwa witryny w tokenie.

-1 | --keyUsage słowo kluczowe, słowo kluczowe
Ustaw rozszerzenie typu certyfikatu X.509 V3 w certyfikacie. Istnieje kilka
dostępne słowa kluczowe:

· podpis cyfrowy

· niezaprzeczalności

· kluczSzyfrowanie

· szyfrowanie danych

· kluczUmowa

· certPodpisywanie

· crlPodpisywanie

· krytyczny

-2
Dodaj podstawowe rozszerzenie ograniczenia do certyfikatu, który jest tworzony lub dodawany do
Baza danych. To rozszerzenie obsługuje proces weryfikacji łańcucha certyfikatów.
certutil monituje o wybranie rozszerzenia ograniczenia certyfikatu.

Rozszerzenia certyfikatów X.509 są opisane w RFC 5280.

-3
Dodaj rozszerzenie identyfikatora klucza urzędu do certyfikatu, który jest tworzony lub dodawany do
Baza danych. To rozszerzenie obsługuje identyfikację konkretnego certyfikatu, od
wśród wielu certyfikatów powiązanych z jedną nazwą podmiotu, jako poprawny wystawca
certyfikat. Narzędzie bazy danych certyfikatów wyświetli monit o wybranie urzędu
rozszerzenie identyfikatora klucza.

Rozszerzenia certyfikatów X.509 są opisane w RFC 5280.

-4
Dodaj rozszerzenie punktu dystrybucji listy CRL do tworzonego lub dodawanego certyfikatu
do bazy danych. To rozszerzenie identyfikuje adres URL powiązanego certyfikatu
lista unieważnionych certyfikatów (CRL). certutil monituje o adres URL.

Rozszerzenia certyfikatów X.509 są opisane w RFC 5280.

-5 | --nsCertType słowo kluczowe, słowo kluczowe
Dodaj rozszerzenie typu certyfikatu X.509 V3 do tworzonego certyfikatu lub
dodane do bazy danych. Dostępnych jest kilka słów kluczowych:

· Klient ssl

· Serwer ssl

· uśmiech

· Podpisywanie obiektów

· sslCA

· smimeCA

· obiektPodpisywanie CA

· krytyczny

Rozszerzenia certyfikatów X.509 są opisane w RFC 5280.

-6 | --extKeyUsage słowo kluczowe, słowo kluczowe
Dodaj rozszerzone rozszerzenie użycia klucza do certyfikatu, który jest tworzony lub dodawany do
baza danych. Dostępnych jest kilka słów kluczowych:

· Uwierzytelnianie serwera

· Uwierzytelnianie klienta

· Podpisywanie kodu

· Ochrona poczty

· znak czasu

· ocspResponder

· tworzyć coś

· msTrustListSign

· krytyczny

Rozszerzenia certyfikatów X.509 są opisane w RFC 5280.

-7 adresów e-mail
Dodaj listę adresów e-mail rozdzielonych przecinkami do alternatywnej nazwy tematu
rozszerzenie certyfikatu lub żądania certyfikatu, który jest tworzony lub dodawany do
baza danych. Alternatywne rozszerzenia nazwy podmiotu są opisane w sekcji 4.2.1.7 z
RFC3280.

-8 nazw-dns
Dodaj listę rozdzielonych przecinkami nazw DNS do alternatywnego rozszerzenia nazwy podmiotu w a
certyfikat lub żądanie certyfikatu, które jest tworzone lub dodawane do bazy danych.
Alternatywne rozszerzenia nazwy podmiotu opisano w sekcji 4.2.1.7 dokumentu RFC 3280.

--extAIA
Dodaj rozszerzenie dostępu do informacji o urzędach do certyfikatu. Certyfikat X.509
rozszerzenia są opisane w RFC 5280.

--extSIA
Dodaj rozszerzenie Dostęp do informacji o podmiotach do certyfikatu. Certyfikat X.509
rozszerzenia są opisane w RFC 5280.

--zewnętrznyCP
Dodaj rozszerzenie zasad certyfikatów do certyfikatu. Certyfikat X.509
rozszerzenia są opisane w RFC 5280.

--popołudnie zewnętrzne
Dodaj rozszerzenie mapowania zasad do certyfikatu. Rozszerzenia certyfikatów X.509 są
opisane w RFC 5280.

--zewnętrzny komputer
Dodaj rozszerzenie Ograniczenia zasad do certyfikatu. Rozszerzenia certyfikatów X.509
są opisane w RFC 5280.

--extIA
Dodaj rozszerzenie Zabroń dostępu do wszystkich zasad do certyfikatu. Certyfikat X.509
rozszerzenia są opisane w RFC 5280.

--extSKID
Dodaj rozszerzenie Identyfikator klucza podmiotu do certyfikatu. Rozszerzenia certyfikatów X.509 są
opisane w RFC 5280.

--extNC
Dodaj rozszerzenie Ograniczenie nazwy do certyfikatu. Rozszerzenia certyfikatów X.509 są
opisane w RFC 5280.

--extSAN typ:nazwa[,typ:nazwa]...
Utwórz rozszerzenie alternatywnej nazwy podmiotu z jedną lub wieloma nazwami.

-typ: katalog, dn, dns, edi, ediparty, email, ip, ipaddr, inny, registerid,
rfc822, uri, x400, x400addr

--puste-hasło
Użyj pustego hasła podczas tworzenia nowej bazy danych certyfikatów z opcją -N.

--keyAttrFlags flagi attr
Atrybuty klucza PKCS #11. Lista oddzielonych przecinkami flag kluczowych atrybutów, wybranych z
następująca lista wyborów: {token | sesja} {publiczny | prywatny} {wrażliwy |
niewrażliwy} {modyfikowalny | niemodyfikowalny} {wyodrębnialny | nie do wyekstrahowania}

--keyOpFlagsOn flagi opcji, --keyOpFlagsOff flagi opcji
Klawisz PKCS #11 Flagi operacji. Lista oddzielona przecinkami zawierająca co najmniej jeden z następujących elementów:
{token | sesja} {publiczny | prywatny} {wrażliwy | niewrażliwy} {modyfikowalny |
niemodyfikowalny} {wyodrębnialny | nie do wyekstrahowania}

--nowy-n pseudonim
Nowy pseudonim używany podczas zmiany nazwy certyfikatu.

--katalog-źródłowy katalog certyfikatu
Zidentyfikuj katalog bazy danych certyfikatów do uaktualnienia.

--przedrostek-źródła katalog certyfikatu
Podaj prefiks bazy danych certyfikatów i kluczy do uaktualnienia.

--upgrade-id unikalny identyfikator
Podaj unikalny identyfikator bazy danych do aktualizacji.

--upgrade-nazwa-tokenu
Ustaw nazwę tokena, który ma być używany podczas uaktualniania.

@pwfile
Podaj nazwę pliku haseł, który ma być używany dla aktualizowanej bazy danych.

ZASTOSOWANIE ROLNICZE PRZYKŁADY

Większość opcji poleceń w przykładach wymienionych tutaj ma więcej dostępnych argumentów. ten
argumenty zawarte w tych przykładach są najczęstsze lub służą do zilustrowania
konkretny scenariusz. Użyj -H możliwość wyświetlenia pełnej listy argumentów dla każdego
opcja polecenia.

Tworzenie Nowości Bezpieczeństwo Bazy danych

Certyfikaty, klucze i moduły bezpieczeństwa związane z zarządzaniem certyfikatami są przechowywane w
trzy powiązane bazy danych:

· cert8.db lub cert9.db

· key3.db lub key4.db

· secmod.db lub pkcs11.txt

Te bazy danych muszą zostać utworzone przed wygenerowaniem certyfikatów lub kluczy.

certutil -N -d [sql:]katalog

Tworzenie a Certyfikat PROŚBA

Żądanie certyfikatu zawiera większość lub wszystkie informacje, które są używane do wygenerowania
świadectwo końcowe. To żądanie jest przesyłane osobno do urzędu certyfikacji i jest
następnie zatwierdzone przez jakiś mechanizm (automatycznie lub przez weryfikację przez człowieka). Gdy żądanie jest
zatwierdzone, a następnie generowany jest certyfikat.

$ certutil -R -k klucz-typ-lub-id [-q pqgfile|nazwa-krzywej] -g rozmiar-klucza -s temat [-h nazwa-tokenu] -d [sql:]katalog [-p telefon] [-o plik-wyjściowy] [-a]

Połączenia -R opcje poleceń wymagają czterech argumentów:

· -k aby określić typ klucza do wygenerowania lub, podczas odnawiania certyfikatu,
istniejąca para kluczy do użycia

· -g aby ustawić rozmiar klucza klucza do wygenerowania

· -s ustawić nazwę podmiotu certyfikatu

· -d podać katalog bazy danych bezpieczeństwa

Nowe żądanie certyfikatu można wyprowadzić w formacie ASCII (-a) lub można go zapisać w a
określony plik (-o).

Na przykład:

$ certutil -R -k rsa -g 1024 -s "CN=Jan Kowalski,O=Example Corp,L=Widok na góry,ST=Kalifornia,C=US" -d sql:$HOME/nssdb -p 650-555- 0123 -a -o cert.cer

Generowanie klucza. Może to chwilę potrwać...

Tworzenie a Certyfikat

Ważny certyfikat musi być wystawiony przez zaufany urząd certyfikacji. Można to zrobić, określając CA
certyfikat (-c), który jest przechowywany w bazie danych certyfikatów. Jeśli para kluczy urzędu certyfikacji nie jest
dostępne, możesz utworzyć certyfikat z podpisem własnym za pomocą -x kłótnia z -S
opcja polecenia.

$ certutil -S -k rsa|dsa|ec -n nazwacertyfikatu -s temat [-c wystawca |-x] -t trustargs -d [sql:]katalog [-m numer-seryjny] [-v ważne-miesiące] [ -w offset-miesiące] [-p telefon] [-1] [-2] [-3] [-4] [-5 słowo kluczowe] [-6 słowo kluczowe] [-7 adres e-mail] [-8 dns-names] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]

Seria liczb i --dod* opcje ustawiają rozszerzenia certyfikatów, które można dodać do
certyfikat, gdy jest generowany przez urząd certyfikacji. Pojawią się interaktywne podpowiedzi.

Na przykład tworzy to certyfikat z podpisem własnym:

$ certutil -S -s "CN=Przykład CA" -n my-ca-cert -x -t "C,C,C" -1 -2 -5 -m 3650

Interaktywne podpowiedzi dotyczące użycia klucza i tego, czy jakiekolwiek rozszerzenia są krytyczne, oraz odpowiedzi
zostały pominięte dla zwięzłości.

Stamtąd nowe certyfikaty mogą odwoływać się do certyfikatu z podpisem własnym:

$ certutil -S -s "CN=Mój certyfikat serwera" -n mój-serwer-cert -c "mój-ca-cert" -t "u,u,u" -1 -5 -6 -8 -m 730

Generowanie a Certyfikat od a Certyfikat PROŚBA

Po utworzeniu żądania certyfikatu można wygenerować certyfikat za pomocą żądania
a następnie odwołuje się do certyfikatu podpisującego urząd certyfikacji ( emitent określone w
dotychczasowy -c argument). Wydający certyfikat musi znajdować się w bazie certyfikatów w
określony katalog.

certutil -C -c wystawca -i plik-żądania-certyfikatu -o plik-wyjściowy [-m numer-seryjny] [-v miesiące-ważności] [-w miesiące-przesunięcia] -d [sql:]katalog [-1] [-2] [-3] [-4] [-5 słowo kluczowe] [-6 słowo kluczowe] [-7 adres e-mail] [-8 dns-names]

Na przykład:

$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql:$HOME/nssdb -1 nonRepudiation,dataEncipherment -5 sslClient -6 ClientAuth -7 [email chroniony]

Notowania certyfikaty

Połączenia -L opcja polecenia wyświetla listę wszystkich certyfikatów znajdujących się w bazie danych certyfikatów.
Ścieżka do katalogu (-d) jest wymagane.

$ certutil -L -d sql:/home/my/sharednssdb

Atrybuty zaufania pseudonimu certyfikatu
SSL, S/MIME, JAR/XPI

Administrator CA instancji Przykładowy identyfikator domeny pki-ca1 u,u,u
Przykładowy identyfikator domeny administratora TPS u,u,u
Urząd internetowy Google ,,
Urząd certyfikacji — przykładowa domena CT,C,C

Używanie dodatkowych argumentów z -L może zwrócić i wydrukować informacje dla jednej osoby,
konkretny certyfikat. Na przykład -n argument przekazuje nazwę certyfikatu, podczas gdy
-a argument wyświetla certyfikat w formacie ASCII:

$ certutil -L -d sql:$HOME/nssdb -a -n mój-ca-cert
-----POCZĄTEK CERTYFIKATU-----
MIIB1DCCAT2gAwIBAgICDkIwDQYJKoZIhvcNAQEFBQAwFTETMBEGA1UEAxMKRXhh
bXBsZSBDQTAeFw0xMzAzMTMxOTEwMjlaFw0xMzA2MTMxOTEwMjlaMBUxEzaRBgNV
BAMTCkV4YW1wbGUgQ0EwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAJ4Kzqvz
JyBVgFqDXRYSyTBNw1DrxUU/3GvWA/ngjAwHEv0Cul/6sO/gsCvnABHiH6unns6x
XRzPORlC2WY3gkk7vmlsLvYpyecNazAi/NAwVnU/66HOsaoVFWE+gBQo99UrN2yk
0BiK/GMFlLm5dXQROgA9ZKKyFdI0LIXtf6SbAgMBAAGjMzAxMBEGCWCGSAGG+EIB
AQQEAwIHADAMBgNVHRMEBTADAQH/MA4GA1UdDwEB/wQEAwICBDANBgkqhkiG9w0B
AQUFAAOBgQA6chkzkACN281d1jKMrc+RHG2UMaQyxiteaLVZO+Ro1nnRUvseDf09
XKYFwPMJjWCihVku6bw/ihZfuMHhxK22Nue6inNQ6eDu7WmrqL8z3iUrQwxs+WiF
ob2rb8XRVVJkzXdXxlk4uo3UtNvw8sAz7sWD71qxKaIHU5q49zijfg==

-----KONIEC CERTYFIKATU-----
Wyświetlacz czytelny dla człowieka

$ certutil -L -d sql:$HOME/nssdb -n mój-ca-cert
Certyfikat:
Data:
Wersja: 3 (0x2)
Numer seryjny: 3650 (0xe42)
Algorytm podpisu: PKCS #1 SHA-1 z szyfrowaniem RSA
Wystawca: „CN=przykładowy urząd certyfikacji”
Ważność:
Nie wcześniej: śr. mar 13 19:10:29 2013
Nie później : czw 13 czerwca 19:10:29 2013
Temat: „CN=Przykładowy urząd certyfikacji”
Informacje o kluczu publicznym podmiotu:
Algorytm klucza publicznego: szyfrowanie PKCS #1 RSA
Klucz publiczny RSA:
Moduł:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
Wykładnik: 65537 (0x10001)
Podpisane rozszerzenia:
Nazwa: Typ certyfikatu
Dane: brak

Nazwa: Podstawowe ograniczenia certyfikatu
Dane: to urząd certyfikacji bez maksymalnej długości ścieżki.

Nazwa: Użycie klucza certyfikatu
Krytyczny: prawda
Zastosowania: podpisywanie certyfikatów

Algorytm podpisu: PKCS #1 SHA-1 z szyfrowaniem RSA
Podpis:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
Odcisk palca (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
Odcisk palca (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7

Flagi zaufania certyfikatów:
Flagi SSL:
Ważny CA
Zaufany urząd certyfikacji
Użytkownik
Flagi e-mail:
Ważny CA
Zaufany urząd certyfikacji
Użytkownik
Flagi podpisywania obiektów:
Ważny CA
Zaufany urząd certyfikacji
Użytkownik

Notowania Klucze

Klucze to oryginalny materiał używany do szyfrowania danych certyfikatu. Klucze wygenerowane dla
certyfikaty są przechowywane oddzielnie, w bazie danych kluczy.

Aby wyświetlić wszystkie klucze w bazie danych, użyj -K opcja polecenia i (wymagane) -d argument
aby podać ścieżkę do katalogu.

$ certutil -K -d sql:$HOME/nssdb
certutil: Sprawdzanie tokena „NSS Certificate DB” w gnieździe „NSS User Private Key and Certificate Services”
< 0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d Thawte Freemail Członek Thawte Consulting (Pty) Ltd. ID
< 1> rsa 40defeeb522ade11090eacebaaf1196a172127df Przykładowy certyfikat administratora domeny
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert

Istnieją sposoby na zawężenie kluczy wymienionych w wynikach wyszukiwania:

· Aby zwrócić określony klucz, użyj -nNazwa argument z nazwą klucza.

· Jeśli załadowanych jest wiele urządzeń zabezpieczających, wówczas -hnazwa tokena argument może
przeszukaj konkretny token lub wszystkie tokeny.

· Jeśli dostępnych jest wiele typów kluczy, wówczas -ktyp klucza argument może przeszukiwać a
określony typ klucza, taki jak RSA, DSA lub ECC.

Notowania Bezpieczeństwo Moduły

Urządzenia, których można używać do przechowywania certyfikatów — zarówno wewnętrznych, jak i zewnętrznych baz danych
urządzenia takie jak karty inteligentne — są rozpoznawane i używane przez ładowanie modułów bezpieczeństwa. ten -U
opcja polecenia wyświetla listę wszystkich modułów bezpieczeństwa wymienionych w bazie danych secmod.db. ten
ścieżka do katalogu (-d) jest wymagane.

$ certutil -U -d sql:/home/my/sharednssdb

slot: Klucz prywatny użytkownika NSS i usługi certyfikatów
token: Baza danych certyfikatów NSS

slot: Wewnętrzne usługi kryptograficzne NSS
token: Ogólne usługi kryptograficzne NSS

Dodawanie certyfikaty do dotychczasowy Baza danych

Istniejące certyfikaty lub żądania certyfikatów można dodać ręcznie do certyfikatu
bazy danych, nawet jeśli zostały wygenerowane gdzie indziej. To używa -A opcja polecenia.

certutil -A -n nazwacertyfikatu -t trustargs -d [sql:]katalog [-a] [-i plik-wejściowy]

Na przykład:

$ certutil -A -n "CN=Mój certyfikat SSL" -t "u,u,u" -d sql:/home/my/sharednssdb -i /home/example-certs/cert.cer

Powiązana opcja polecenia, -E, służy w szczególności do dodawania certyfikatów e-mail do
baza certyfikatów. ten -E polecenie ma takie same argumenty jak -A Komenda. Zaufanie
argumenty dla certyfikatów mają format SSL, S/MIME, podpisywanie kodu, więc średnie zaufanie
ustawienia odnoszą się najbardziej do certyfikatów e-mail (chociaż inne można ustawić). Na przykład:

$ certutil -E -n "CN=John Smith Email Cert" -t ",Pu" -d sql:/home/my/sharednssdb -i /home/example-certs/email.cer

Usuwanie certyfikaty do dotychczasowy Baza danych

Certyfikaty można usunąć z bazy danych za pomocą -D opcja. Jedyne wymagane opcje
są podanie katalogu bazy danych zabezpieczeń oraz określenie pseudonimu certyfikatu.

certutil -D -d [sql:]katalog -n "pseudonim"

Na przykład:

$ certutil -D -d sql:/home/my/sharednssdb -n "mój-ssl-cert"

Sprawdzanie poprawności certyfikaty

Certyfikat zawiera w sobie datę wygaśnięcia, a wygasłe certyfikaty są łatwo
odrzucony. Jednak certyfikaty można również unieważnić, zanim osiągną datę wygaśnięcia.
Sprawdzenie, czy certyfikat został unieważniony, wymaga weryfikacji certyfikatu.
Walidacja może być również wykorzystana do zapewnienia, że ​​certyfikat jest używany wyłącznie do celów
został pierwotnie wydany dla. Walidacja jest przeprowadzana przez -V opcja polecenia.

certutil -V -n nazwa-certyfikatu [-b czas] [-e] [-u cert-usage] -d [sql:]katalog

Na przykład, aby zweryfikować certyfikat e-mail:

$ certutil -V -n "Cert e-mail Johna Smitha" -e -u S,R -d sql:/home/my/sharednssdb

Modyfikacja Certyfikat Zaufaj Ustawienia

Ustawienia zaufania (odnoszące się do operacji, którym certyfikat może być)
używane dla) można zmienić po utworzeniu certyfikatu lub dodaniu go do bazy danych. To jest
szczególnie przydatne w przypadku certyfikatów CA, ale można to wykonać dla każdego typu
certyfikat.

certutil -M -n nazwa-certyfikatu -t argumenty-zaufania -d [sql:]katalog

Na przykład:

$ certutil -M -n "Mój certyfikat CA" -d sql:/home/my/sharednssdb -t "CTu,CTu,CTu"

Druk dotychczasowy Certyfikat Łańcuch

Certyfikaty mogą być wydawane w więzy ponieważ każdy urząd certyfikacji sam ma
certyfikat; kiedy urząd certyfikacji wystawia certyfikat, zasadniczo stempluje ten certyfikat za pomocą
własny odcisk palca. ten -O drukuje pełny łańcuch certyfikatu, począwszy od inicjału
CA (root CA) przez zawsze pośredni CA do rzeczywistego certyfikatu. Na przykład dla
certyfikat e-mail z dwoma urzędami certyfikacji w łańcuchu:

$ certutil -d sql:/home/my/sharednssdb -O -n "[email chroniony]"
„Wbudowany token obiektu: Thawte Personal Freemail CA” [E =[email chroniony],CN=Thawte Personal Freemail CA,OU=Certification Services Division,O=Thawte Consulting,L=Kapsztad,ST=Western Cape,C=ZA]

„CA wydający pocztę prywatną Thawte — Thawte Consulting” [CN = CA wydający pocztę prywatną Thawte, O= Thawte Consulting (Pty) Ltd., C = ZA]

„(null)” [E=[email chroniony],CN = Członek Thawte Freemail]

Resetowanie a żeton

Urządzenie przechowujące certyfikaty — zarówno zewnętrzne urządzenia sprzętowe, jak i wewnętrzne
bazy danych oprogramowania — można je wymazać i ponownie wykorzystać. Ta operacja jest wykonywana na urządzeniu
który przechowuje dane, a nie bezpośrednio w bazach danych bezpieczeństwa, więc lokalizacja musi być
do którego odwołuje się nazwa tokena (-h) oraz dowolną ścieżkę do katalogu. Jeżeli nie ma
używany token zewnętrzny, wartość domyślna to wewnętrzna.

certutil -T -d [sql:]katalog -h nazwa-tokenu -0 hasło oficera bezpieczeństwa

Wiele sieci ma dedykowany personel, który zajmuje się zmianami w tokenach bezpieczeństwa (bezpieczeństwo
oficer). Ta osoba musi podać hasło, aby uzyskać dostęp do określonego tokena. Na przykład:

$ certutil -T -d sql:/home/my/sharednssdb -h nethsm -0 sekret

Aktualizacja or Scalanie dotychczasowy Bezpieczeństwo Bazy danych

Wiele sieci lub aplikacji może używać starszych wersji certyfikatu BerkeleyDB
baza danych (cert8.db). Bazy danych można zaktualizować do nowej wersji bazy danych SQLite
(cert9.db) za pomocą --upgrade-scalanie opcja polecenia lub istniejące bazy danych mogą zostać połączone
z nowymi bazami danych cert9.db przy użyciu ---łączyć dowództwo.

Połączenia --upgrade-scalanie polecenie musi podać informacje o oryginalnej bazie danych, a następnie użyć
standardowe argumenty (np. -d), aby podać informacje o nowych bazach danych. ten
polecenie wymaga również informacji, których narzędzie używa w procesie aktualizacji i zapisu
nad oryginalną bazą danych.

certutil --upgrade-merge -d [sql:]katalog [-P dbprefix] --source-dir katalog --source-prefix dbprefix --upgrade-id id --upgrade-token-name nazwa [-@ hasło-file ]

Na przykład:

$ certutil --upgrade-merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp- --upgrade-id 1 --upgrade-token- nazwa wewnętrzna

Połączenia --łączyć polecenie wymaga jedynie informacji o lokalizacji oryginalnej bazy danych;
ponieważ nie zmienia formatu bazy danych, może nadpisywać informacje bez
wykonanie kroku pośredniego.

certutil --merge -d [sql:]katalog [-P dbprefix] --source-dir katalog --source-prefix dbprefix [-@ plik-hasła]

Na przykład:
$ certutil --merge -d sql:/home/my/sharednssdb --katalog-źródłowy /opt/moja-aplikacja/alias/ --prefiks źródłowy aplikacja serwerowa-
Bieganie certutil Polecenia od a Partia filet

Szereg poleceń można uruchomić sekwencyjnie z pliku tekstowego za pomocą -B opcja polecenia.
Jedynym argumentem do tego określa plik wejściowy.

$ certutil -B -i /ścieżka/do/pliku-wsadowego

NSS DATABASE TYPY

NSS pierwotnie używał baz danych BerkeleyDB do przechowywania informacji o bezpieczeństwie. Ostatnie wersje
tych dziedzictwo bazy danych to:

· cert8.db dla certyfikatów

· key3.db dla kluczy

· secmod.db dla informacji o module PKCS #11

BerkeleyDB ma jednak ograniczenia wydajnościowe, które uniemożliwiają łatwe użycie przez
wiele aplikacji jednocześnie. NSS ma pewną elastyczność, która pozwala aplikacjom na:
korzystać z własnego, niezależnego silnika bazodanowego przy zachowaniu wspólnej bazy danych i pracy
wokół kwestii dostępu. Mimo to, NSS wymaga większej elastyczności, aby zapewnić prawdziwie współdzielone
baza danych bezpieczeństwa.

W 2009 roku NSS wprowadziło nowy zestaw baz danych, które są bazami danych SQLite, a nie
BerkeleyDB. Te nowe bazy danych zapewniają większą dostępność i wydajność:

· cert9.db dla certyfikatów

· key4.db dla kluczy

· pkcs11.txt, lista wszystkich modułów PKCS #11, zawartych w nowym podkatalogu
w katalogu baz danych bezpieczeństwa

Ponieważ bazy danych SQLite są przeznaczone do udostępniania, są to shared baza danych
rodzaj. Preferowany jest typ udostępnionej bazy danych; starszy format jest dołączony do tyłu
kompatybilność.

Domyślnie narzędzia (certutil, pk12util, moduł) zakładamy, że dane zabezpieczenie
bazy danych są zgodne z bardziej powszechnym starszym typem. Korzystanie z baz danych SQLite musi odbywać się ręcznie
określone za pomocą sql: prefiks z podanym katalogiem bezpieczeństwa. Na przykład:

$ certutil -L -d sql:/home/my/sharednssdb

Aby ustawić typ udostępnionej bazy danych jako typ domyślny dla narzędzi, ustaw
NSS_DEFAULT_DB_TYPE zmienna środowiskowa do sql:

eksportuj NSS_DEFAULT_DB_TYPE = "sql"

Ta linia może być dodana do ~ / .bashrc plik, aby zmiana była trwała.

Większość aplikacji domyślnie nie korzysta ze współdzielonej bazy danych, ale można je skonfigurować tak, aby:
Użyj ich. Na przykład ten artykuł instruktażowy opisuje, jak skonfigurować Firefoksa i Thunderbirda
do korzystania z nowych współdzielonych baz danych NSS:

· https://wiki.mozilla.org/NSS_Shared_DB_Howto

Projekt techniczny dotyczący zmian we wspólnych bazach danych NSS można znaleźć w projekcie NSS
wiki:

· https://wiki.mozilla.org/NSS_Shared_DB

Korzystaj z certutil online za pomocą usług onworks.net