To jest polecenie crlutil, które można uruchomić w darmowym dostawcy usług hostingowych OnWorks przy użyciu jednej z wielu naszych bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online MAC OS
PROGRAM:
IMIĘ
crlutil — wyświetla, generuje, modyfikuje lub usuwa listy CRL w plikach bazy danych zabezpieczeń NSS
oraz wyświetlać, tworzyć, modyfikować lub usuwać wpisy certyfikatów w określonej liście CRL.
STRESZCZENIE
krlutil [Opcje] [[argumenty]]
STATUS
Ta dokumentacja jest wciąż w toku. Prosimy o udział w wstępnej recenzji w
Mozilla NSS pluskwa 836477[1]
OPIS
Narzędzie do zarządzania listą unieważnionych certyfikatów (CRL), krlutil, to narzędzie wiersza poleceń
które mogą wyświetlać, generować, modyfikować lub usuwać listy CRL w plikach bazy danych zabezpieczeń NSS
oraz wyświetlać, tworzyć, modyfikować lub usuwać wpisy certyfikatów w określonej liście CRL.
Proces zarządzania kluczami i certyfikatami zazwyczaj rozpoczyna się od utworzenia kluczy w kluczu
bazy danych, następnie generowanie i zarządzanie certyfikatami w bazie certyfikatów (zob
certutil) i kontynuuje wygasanie lub unieważnianie certyfikatów.
Ten dokument omawia zarządzanie listą unieważnionych certyfikatów. Aby uzyskać informacje nt
zarządzania bazą danych modułów zabezpieczeń, patrz Korzystanie z narzędzia bazy danych modułów zabezpieczeń. Dla
Więcej informacji na temat zarządzania bazą certyfikatów i kluczy znajdziesz w rozdziale Korzystanie z Bazy certyfikatów
Narzędziem.
Aby uruchomić narzędzie do zarządzania listą odwołań certyfikatów, wpisz polecenie
opcja crlutil [argumenty]
gdzie opcje i argumenty są kombinacjami opcji i argumentów wymienionych w
następna sekcja. Każde polecenie przyjmuje jedną opcję. Każda opcja może zająć zero lub więcej
argumenty. Aby zobaczyć ciąg użycia, wydaj polecenie bez opcji lub z opcją -H
opcja.
OPCJE ROLNICZE ARGUMENTY
Opcje
Opcje określają akcję. Argumenty opcji modyfikują akcję. Opcje i argumenty
dla polecenia crlutil są zdefiniowane w następujący sposób:
-D
Usuń listę unieważnionych certyfikatów z bazy danych certyfikatów.
-E
Usuń wszystkie listy CRL określonego typu z bazy danych certyfikatów
-G
Utwórz nową listę unieważnionych certyfikatów (CRL).
-I
Zaimportuj listę CRL do bazy danych certyfikatów
-L
Wyświetl istniejącą listę CRL znajdującą się w pliku bazy danych certyfikatów.
-M
Zmodyfikuj istniejącą listę CRL, która może znajdować się w db certyfikatu lub w dowolnym pliku. Jeśli znajduje się
w pliku powinien być zakodowany w formacie kodowania ASN.1.
-S
Pokaż zawartość pliku CRL, który nie jest przechowywany w bazie danych.
Argumenty
Argumenty opcji modyfikują akcję.
-a
Użyj formatu ASCII lub zezwól na użycie formatu ASCII do wejścia i wyjścia. Ten
formatowanie jest zgodne z dokumentem RFC nr 1113.
-B
Pomiń sprawdzanie podpisów urzędu certyfikacji.
-c crl-gen-plik
Określ plik skryptu, który będzie używany do sterowania generowaniem/modyfikacją listy kontrolnej. Widzieć
crl-cript-format pliku poniżej. Jeśli użyto opcji -M|-G, a nie -c crl-script-file
określony, crlutil odczyta dane skryptu ze standardowego wejścia.
-d katalog
Określ katalog bazy danych zawierający pliki bazy danych certyfikatów i kluczy. NA
Unix Narzędzie Bazy Danych Certyfikatów ma domyślną wartość $HOME/.netscape (tzn. ~/.netscape).
W systemie Windows NT domyślnym katalogiem jest bieżący katalog.
Pliki bazy danych NSS muszą znajdować się w tym samym katalogu.
-f plik-hasła
Określ plik, który automatycznie dostarczy hasło do dołączenia do certyfikatu
lub uzyskać dostęp do bazy danych certyfikatów. To jest zwykły plik tekstowy zawierający jeden
hasło. Pamiętaj, aby zapobiec nieautoryzowanemu dostępowi do tego pliku.
-i plik-crl
Określ plik zawierający listę CRL do zaimportowania lub wyświetlenia.
-l nazwa-algorytmu
Określ konkretny algorytm podpisu. Lista możliwych algorytmów: MD2 | MD4 | MD5 |
SHA1 | SHA256 | SHA384 | SHA512
-n pseudonim
Określ pseudonim certyfikatu lub klucza do wyświetlenia, utworzenia, dodania do bazy danych,
modyfikować lub sprawdzać. Ujmij w nawias ciąg pseudonimu w cudzysłowie, jeśli zawiera
spacje.
-o plik-wyjściowy
Określ nazwę pliku wyjściowego dla nowej listy CRL. Umieść w nawiasie ciąg pliku wyjściowego za pomocą
cudzysłów, jeśli zawiera spacje. Jeśli ten argument nie jest używany, wyjście
miejsce docelowe jest domyślnie ustawione na standardowe wyjście.
-P przedrostek bazy danych
Określ przedrostek używany w plikach bazy danych zabezpieczeń NSS (na przykład my_cert8.db
i mój_klucz3.db). Ta opcja jest przewidziana jako przypadek szczególny. Zmiana nazw tzw
Bazy danych certyfikatów i kluczy nie są zalecane.
-t typu crl
Określ typ listy CRL. możliwe typy to: 0 - SEC_KRL_TYPE, 1 - SEC_CRL_TYPE. Ten
opcja jest przestarzała
-u URL
Określ adres URL.
-w ciąg pwd
Podaj hasło db w wierszu poleceń.
-Z algorytm
Określ algorytm wyznaczania wartości skrótu, który ma być używany do podpisywania listy CRL.
C.R.L. GENERACJA SCRIPT SKŁADNIA
Plik skryptu generowania listy CRL ma następującą składnię:
* Linia z komentarzami powinna mieć # jako pierwszy symbol linii
* Ustaw pola CRL „ta aktualizacja” lub „następna aktualizacja”:
aktualizacja=RRRRMMDDhhmmssZ nextupdate=RRRRMMDDggmmssZ
Pole „następna aktualizacja” jest opcjonalne. Godzina powinna być w formacie GeneralizedTime
(RRRRMMDDggmmssZ). Na przykład: 20050204153000Z
* Dodaj rozszerzenie do listy CRL lub wpisu certyfikatu crl:
addext nazwa-rozszerzenia krytyczne/niekrytyczne [arg1[arg2 ...]]
Gdzie:
nazwa-rozszerzenia: wartość łańcuchowa nazwy znanych rozszerzeń. krytyczny/niekrytyczny: wynosi 1
gdy rozszerzenie jest krytyczne, a 0 w przeciwnym razie. arg1, arg2: specyficzne dla typu rozszerzenia
parametry rozszerzenia
addext używa zakresu ustawionego wcześniej przez addcert i zainstaluje rozszerzenie do
wszystkie wpisy certyfikatów w zakresie.
* Dodaj wpisy certyfikatów do listy CRL:
data zakresu addcert
zakres: dwie wartości całkowite oddzielone myślnikiem: zakres certyfikatów, które zostaną dodane przez
to polecenie. myślnik służy jako ogranicznik. Jeśli nie ma, zostanie dodany tylko jeden certyfikat
ogranicznik. data: data unieważnienia certyfikatu. Data powinna być reprezentowana w GeneralizedTime
format (RRRRMMDDggmmssZ).
* Usuń wpisy certyfikatu z listy CRL
zakres rmcert
Gdzie:
zakres: dwie wartości całkowite oddzielone myślnikiem: zakres certyfikatów, które zostaną dodane przez
to polecenie. myślnik służy jako ogranicznik. Jeśli nie ma, zostanie dodany tylko jeden certyfikat
ogranicznik.
* Zmień zakres wpisów certyfikatu na liście CRL
nowa seria
Gdzie:
nowy-zakres: dwie wartości całkowite oddzielone myślnikiem: zakres certyfikatów, które zostaną dodane
tym poleceniem. myślnik służy jako ogranicznik. Jeśli nie ma, zostanie dodany tylko jeden certyfikat
ogranicznik.
Zaimplementowane rozszerzenia
Rozszerzenia zdefiniowane dla listy CRL udostępniają metody kojarzenia dodatkowych atrybutów z listą
Listy CRL swoich wpisów. Aby uzyskać więcej informacji, zobacz dokument RFC nr 3280
* Dodaj rozszerzenie The Authority Key Identifier:
Rozszerzenie identyfikatora klucza urzędu zapewnia sposób identyfikowania klucza publicznego
odpowiadający kluczowi prywatnemu używanemu do podpisania listy CRL.
authKeyId krytyczny [identyfikator-klucza | dn cert-serial]
Gdzie:
authKeyIdent: identyfikuje nazwę rozszerzenia krytyczne: wartość 1 z 0. Należy ustawić
do 1, jeśli to rozszerzenie jest krytyczne lub 0 w przeciwnym razie. key-id: identyfikator klucza reprezentowany w
ciąg oktetów. dn:: to nazwa wyróżniająca urzędu certyfikacji cert-serial: serial certyfikatu urzędu
liczba.
* Dodaj rozszerzenie nazwy alternatywnej wystawcy:
Rozszerzenie nazw alternatywnych wystawcy umożliwia powiązanie dodatkowych tożsamości
wystawca CRL. Zdefiniowane opcje obejmują nazwę rfc822 (adres poczty elektronicznej), a
Nazwa DNS, adres IP i identyfikator URI.
IssuerAltNames niekrytyczna lista nazw
Gdzie:
subjAltNames: identyfikuje nazwę rozszerzenia, która powinna być ustawiona na 0, ponieważ tak jest
niekrytyczna lista nazw rozszerzeń: lista nazw oddzielonych przecinkami
* Dodaj rozszerzenie numeru CRL:
Numer CRL jest niekrytycznym rozszerzeniem CRL, które przekazuje monotonicznie rosnący
numer kolejny dla danego zakresu CRL i wystawcy CRL. To rozszerzenie umożliwia użytkownikom
łatwo określić, kiedy dana lista CRL zastępuje inną listę CRL
crlNumber liczba niekrytyczna
Gdzie:
crlNumber: identyfikuje nazwę rozszerzenia krytyczne: powinno być ustawione na 0, ponieważ tak jest
niekrytyczny numer wewnętrzny: wartość long, która identyfikuje kolejny numer a
Lista CRL.
* Dodaj rozszerzenie kodu powodu odwołania:
Kod przyczyny to niekrytyczne rozszerzenie wpisu listy CRL, które identyfikuje przyczynę
unieważnienie certyfikatu.
ReasonCode kod niekrytyczny
Gdzie:
ReasonCode: identyfikuje nazwę rozszerzenia, które nie jest krytyczne: od tego czasu powinno być ustawione na 0
to jest niekrytyczny kod rozszerzenia: dostępne są następujące kody:
nieokreślony (0), keyCompromise (1), cACompromise (2), affiliationChanged (3), zastąpiony
(4), zaprzestanie operacji (5), wstrzymanie certyfikatu (6), usunięcieFromCRL (8), przywilejWycofany
(9), aKompromis (10)
* Dodaj rozszerzenie daty inwalidztwa:
Data unieważnienia to niekrytyczne rozszerzenie wpisu listy CRL, które podaje datę, w której
wiadomo lub podejrzewa się, że klucz prywatny został naruszony lub że certyfikat
inaczej stał się nieważny.
nieważna data niekrytyczna
Gdzie:
crlNumber: identyfikuje nazwę rozszerzenia niekrytycznego: od tego czasu powinno być ustawione na 0
to niekrytyczna data rozszerzenia: data ważności certyfikatu. Data powinna być przedstawiona w
Ogólny format czasu (RRRRMMDDggmmssZ).
ZASTOSOWANIE
Możliwości Narzędzia do zarządzania listą odwołań certyfikatów są pogrupowane w następujący sposób:
używając tych kombinacji opcji i argumentów. Opcje i argumenty w kwadracie
nawiasy są opcjonalne, te bez nawiasów kwadratowych są wymagane.
Zobacz „Zaimplementowane rozszerzenia”, aby uzyskać więcej informacji na temat rozszerzeń i ich funkcji
parametry.
* Tworzenie lub modyfikowanie listy CRL:
crlutil -G|-M -c crl-gen-file -n pseudonim [-i crl] [-u url] [-d katalog_kluczy] [-P przedrostek bazy danych] [-l alg] [-a] [-B]
* Lista wszystkich list CRl lub nazwanej listy CRL:
crlutil -L [-n nazwa-krl] [-d krydir]
* Usuwanie CRL z db:
crlutil -D -n pseudonim [-d katalog_kluczy] [-P przedrostek bazy danych]
* Usuwanie list CRL z bazy danych:
crlutil -E [-d katalog_kluczy] [-P przedrostek bazy danych]
* Usuwanie CRL z db:
crlutil -D -n pseudonim [-d katalog_kluczy] [-P przedrostek bazy danych]
* Usuwanie list CRL z bazy danych:
crlutil -E [-d katalog_kluczy] [-P przedrostek bazy danych]
* Importuj CRL z pliku:
crlutil -I -i crl [-t crlType] [-u url] [-d katalog_kluczy] [-P przedrostek bazy danych] [-B]
Korzystaj z crlutil online, korzystając z usług onworks.net
