InglêsFrancêsEspanhol

Ubuntu | Fedora | VPN | File sharing

Ad


favicon do OnWorks

cassl - Online na nuvem

Execute cassl no provedor de hospedagem gratuita OnWorks no Ubuntu Online, Fedora Online, emulador online do Windows ou emulador online do MAC OS

Este é o comando cassl que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online do Windows ou emulador online do MAC OS

PROGRAMA:

NOME


ca - amostra de aplicativo CA mínimo

SINOPSE


openssl ca [-verboso] [-config nome do arquivo] [-nome seção] [-gencrl] [-revogar lima] [-status
serial] [-atualizadob] [-crl_razão razão] [-crl_hold instrução] [-crl_compromisso tempo]
[-crl_CA_compromete tempo] [-crldays dias] [-crlhores horas] [-crlexts seção] [-data de início
dados] [-data final dados] [-dias arg] [-md arg] [-política arg] [-arquivo-chave arg] [-forma de chave
PEM | DER] [-chave arg] [-passando arg] [-certificado lima] [-sign] [-em lima] [-Fora lima]
[-nenhum texto] [-outdir dir] [-arquivos] [-spkac lima] [-ss_cert lima] [-preserveDN]
[-noemailDN] [-lote] [-msie_hack] [-extensões seção] [-extfile seção] [-motor id]
[-sujeito arg] [-utf8] [-multivalor-rdn]

DESCRIÇÃO


A ca comando é um aplicativo CA mínimo. Pode ser usado para assinar pedidos de certificado em
uma variedade de formulários e gerar CRLs, ele também mantém um banco de dados de texto de
certificados e seu status.

As descrições das opções serão divididas em cada finalidade.

CA OPÇÕES


-config nome do arquivo
especifica o arquivo de configuração a ser usado.

-nome seção
especifica a seção do arquivo de configuração a usar (substitui padrão_ca no ca
seção).

-em nome do arquivo
um nome de arquivo de entrada contendo um único pedido de certificado a ser assinado pela CA.

-ss_cert nome do arquivo
um único certificado autoassinado a ser assinado pela CA.

-spkac nome do arquivo
um arquivo contendo uma única chave pública assinada pelo Netscape e um desafio e outros
valores de campo a serem assinados pelo CA. Veja o SPKAC FORMATO seção para informações sobre
o formato de entrada e saída necessário.

-arquivos
se presente, esta deve ser a última opção, todos os argumentos subsequentes são assumidos para o
os nomes dos arquivos que contêm solicitações de certificado.

-Fora nome do arquivo
o arquivo de saída para o qual enviar os certificados. O padrão é a saída padrão. O
detalhes do certificado também serão impressos neste arquivo no formato PEM (exceto que
-spkac emite o formato DER).

-outdir anuário
o diretório para o qual enviar os certificados. O certificado será gravado em um nome de arquivo
consistindo no número de série em hexadecimal com ".pem" anexado.

-certificado
o arquivo de certificado CA.

-arquivo-chave nome do arquivo
a chave privada com a qual assinar solicitações.

-forma de chave PEM | DER
o formato dos dados no arquivo de chave privada. O padrão é PEM.

-chave senha
a senha usada para criptografar a chave privada. Uma vez que em alguns sistemas a linha de comando
os argumentos são visíveis (por exemplo, Unix com o utilitário 'ps') esta opção deve ser usada
com cuidado.

-sign
indica que os certificados emitidos devem ser assinados com a chave do certificado
pedidos foram assinados com (dados com -arquivo-chave) Solicitações de certificado assinadas com um
chaves diferentes são ignoradas. Se -spkac, -ss_cert or -gencrl são dados, -sign is
ignorado.

Uma consequência de usar -sign é que o certificado autoassinado aparece entre os
entradas na base de dados de certificados (veja a opção de configuração banco de dados), e usa
o mesmo contador de número de série que todos os outros certificados assinam com o autoassinado
certificado.

-passando arg
a fonte da senha da chave. Para obter mais informações sobre o formato do arg ver o PASSAR
FRASE ARGUMENTOS seção em openssl(1).

-verboso
isso imprime detalhes extras sobre as operações que estão sendo realizadas.

-nenhum texto
não envie a forma de texto de um certificado para o arquivo de saída.

-data de início dados
isso permite que a data de início seja definida explicitamente. O formato da data é
YYMMDDHHMMSSZ (o mesmo que uma estrutura ASN1 UTCTime).

-data final dados
isso permite que a data de expiração seja explicitamente definida. O formato da data é
YYMMDDHHMMSSZ (o mesmo que uma estrutura ASN1 UTCTime).

-dias arg
o número de dias para certificar o certificado.

-md alg
o resumo da mensagem a ser usado. Os valores possíveis incluem md5, sha1 e mdc2. Esta opção
também se aplica a CRLs.

-política arg
esta opção define a "política" de CA a ser usada. Esta é uma seção na configuração
arquivo que decide quais campos devem ser obrigatórios ou corresponder ao certificado CA. Verificar
o POLÍTICA FORMATO seção para mais informações.

-msie_hack
esta é uma opção legada de fazer ca trabalhar com versões muito antigas do certificado do IE
controle de inscrição "certenr3". Ele usou UniversalStrings para quase tudo. Desde a
o controle antigo tem vários bugs de segurança; seu uso é fortemente desencorajado. O mais novo
o controle "Xenroll" não precisa dessa opção.

-preserveDN
Normalmente, a ordem DN de um certificado é a mesma que a ordem dos campos no
seção de política relevante. Quando esta opção é definida, o pedido é igual ao pedido.
Isso é em grande parte para compatibilidade com o controle de inscrição do IE mais antigo, que
só aceite certificados se seus DNs corresponderem à ordem da solicitação. Isso não é
necessário para o Xenroll.

-noemailDN
O DN de um certificado pode conter o campo EMAIL, se presente no DN do pedido,
no entanto, é uma boa política apenas ter o e-mail definido na extensão altName do
certificado. Quando esta opção é definida, o campo EMAIL é removido do certificado '
assunto e definido apenas nas extensões eventualmente presentes. O email_in_dn palavra chave
pode ser usado no arquivo de configuração para habilitar esse comportamento.

-lote
isso define o modo em lote. Neste modo, nenhuma pergunta será feita e todos os certificados
será certificado automaticamente.

-extensões seção
a seção do arquivo de configuração que contém extensões de certificado a serem adicionadas
quando um certificado é emitido (o padrão é x509_extensões a menos que -extfile opção
é usado). Se nenhuma seção de extensão estiver presente, um certificado V1 será criado. Se o
seção de extensão está presente (mesmo se estiver vazia), então um certificado V3 é criado.
Veja o: w x509v3_config(5) página de manual para detalhes do formato da seção de extensão.

-extfile lima
um arquivo de configuração adicional para ler extensões de certificado (usando o
seção padrão, a menos que o -extensões opção também é usada).

-motor id
especificando um motor (por seu exclusivo id string) irá causar ca para tentar obter um
referência funcional ao motor especificado, inicializando-o, assim, se necessário. o
mecanismo será então definido como o padrão para todos os algoritmos disponíveis.

-sujeito arg
substitui o nome do assunto fornecido na solicitação. O argumento deve ser formatado como
/type0=value0/type1=value1/type2=..., os caracteres podem ser escapados por \ (barra invertida), não
os espaços são ignorados.

-utf8
esta opção faz com que os valores dos campos sejam interpretados como strings UTF8, por padrão eles são
interpretado como ASCII. Isso significa que os valores do campo, sejam solicitados a partir de um
terminal ou obtido de um arquivo de configuração, devem ser strings UTF8 válidas.

-multivalor-rdn
esta opção faz com que o argumento -subj seja interpretado com suporte total para
RDNs multivalorados. Exemplo:

/ DC = org / DC = OpenSSL / DC = users / UID = 123456 + CN = John Corça

Se -multi-rdn não for usado, o valor UID será 123456 + CN = John Corça.

CRL OPÇÕES


-gencrl
esta opção gera uma CRL com base nas informações do arquivo de índice.

-crldays Números
o número de dias antes do vencimento da próxima CRL. Esses são os dias a partir de agora para colocar em
o campo CRL nextUpdate.

-crlhores Números
o número de horas antes do próximo CRL ser devido.

-revogar nome do arquivo
um nome de arquivo contendo um certificado a ser revogado.

-status serial
exibe o status de revogação do certificado com o número de série especificado e
saídas.

-atualizadob
Atualiza o índice do banco de dados para limpar certificados expirados.

-crl_razão razão
motivo de revogação, onde razão é um dos: indeterminado, keyComprometer, CACompromisso,
afiliaçãoAlterada, suplantada, cessação da operação, certificadoReter or
removerFromCRL. A correspondência de razão não faz distinção entre maiúsculas e minúsculas. Definir qualquer revogação
razão fará com que o CRL v2.

Na prática removerFromCRL não é particularmente útil porque só é usado em delta
CRLs que não estão implementados atualmente.

-crl_hold instrução
Isso define o código do motivo da revogação da CRL para certificadoReter e a instrução de espera
para instrução que deve ser um OID. Embora qualquer OID possa ser usado apenas
holdInstruçãoNenhum (cujo uso é desencorajado pela RFC2459)
holdInstructionCallIssuer or holdInstruçãoRejeitar normalmente será usado.

-crl_compromisso tempo
Isso define o motivo da revogação para keyComprometer e o tempo de compromisso para tempo. tempo
deve estar no formato GeneralizedTime que é AAAAMMDDHHMMSSZ.

-crl_CA_compromete tempo
Este é o mesmo que crl_compromete exceto que o motivo da revogação é definido como
CACompromisso.

-crlexts seção
a seção do arquivo de configuração que contém as extensões CRL a serem incluídas. Se não houver CRL
seção de extensão está presente, então uma CRL V1 é criada, se a seção de extensão CRL é
presente (mesmo se estiver vazio), uma CRL V2 é criada. As extensões CRL especificadas
são extensões CRL e não Extensões de entrada CRL. Deve-se notar que alguns
software (por exemplo, Netscape) não pode lidar com V2 CRLs. Ver x509v3_config(5) página do manual
para obter detalhes sobre o formato da seção de extensão.

CONFIGURAÇÃO ARQUIVO OPÇÕES


A seção do arquivo de configuração que contém opções para ca é encontrado da seguinte forma: Se
que o -nome opção de linha de comando é usada e, em seguida, nomeia a seção a ser usada. Caso contrário, o
seção a ser usada deve ser nomeada no padrão_ca opção do ca secção do
arquivo de configuração (ou na seção padrão do arquivo de configuração). além do mais
padrão_ca, as seguintes opções são lidas diretamente do ca seção:
RANDFILE preservar
msie_hack Com exceção de ARQUIVO ALEATÓRIO, este é provavelmente um bug e pode mudar no futuro
Lançamentos.

Muitas das opções do arquivo de configuração são idênticas às opções da linha de comando. Onde o
opção está presente no arquivo de configuração e a linha de comando o valor da linha de comando é
usava. Quando uma opção é descrita como obrigatória, ela deve estar presente no
arquivo de configuração ou o equivalente de linha de comando (se houver) usado.

arquivo_oid
Isso especifica um arquivo contendo OBJETO IDENTIFICADORES. Cada linha do arquivo
deve consistir na forma numérica do identificador do objeto seguido por um espaço em branco
em seguida, o nome abreviado seguido de um espaço em branco e, finalmente, o nome longo.

seção_oid
Isso especifica uma seção no arquivo de configuração contendo objeto extra
identificadores. Cada linha deve consistir no nome abreviado do identificador do objeto
seguido = e a forma numérica. Os nomes curtos e longos são os mesmos quando este
opção é usada.

new_certs_dir
o mesmo que o -outdir opção de linha de comando. Ele especifica o diretório onde novo
certificados serão colocados. Obrigatoriedade.

certificado
a mesma -certificado. Ele fornece o arquivo que contém o certificado CA. Obrigatoriedade.

chave privada
mesmo que o -arquivo-chave opção. O arquivo que contém a chave privada da CA. Obrigatoriedade.

ARQUIVO ALEATÓRIO
um arquivo usado para ler e escrever informações de semente de número aleatório, ou um soquete EGD (ver
RAND_egd(3)).

dias_padrão
o mesmo que o -dias opção. O número de dias para certificar um certificado.

data_de início_padrão
o mesmo que o -data de início opção. A data de início para a qual certificar um certificado. Se não
definir a hora atual é usada.

data_fim_padrão
o mesmo que o -data final opção. Ou esta opção ou dias_padrão (ou o comando
equivalentes de linha) devem estar presentes.

default_crl_hours default_crl_days
o mesmo que o -crlhores e os votos de -crldays opções. Eles só serão usados ​​se nenhum
opção de linha de comando está presente. Pelo menos um deles deve estar presente para gerar um
CRL.

padrão_md
o mesmo que o -md opção. O resumo da mensagem a ser usado. Obrigatoriedade.

banco de dados
o arquivo de banco de dados de texto a ser usado. Obrigatoriedade. Este arquivo deve estar presente, embora inicialmente
estará vazio.

Unique_subject
se o valor sim é fornecido, as entradas de certificado válidas no banco de dados devem ter
assuntos únicos. se o valor não é fornecido, várias entradas de certificados válidos podem ter
exatamente o mesmo assunto. o valor padrão é sim, para ser compatível com os mais antigos (pré
0.9.8) versões do OpenSSL. No entanto, para tornar a substituição do certificado CA mais fácil, é
recomendado usar o valor não, especialmente se combinado com o -sign comando
opção de linha.

serial
um arquivo de texto contendo o próximo número de série a ser usado em hexadecimal. Obrigatoriedade. Este ficheiro
deve estar presente e conter um número de série válido.

número crl
um arquivo de texto contendo o próximo número CRL a ser usado em hexadecimal. O número crl será
inserido nas CRLs apenas se este arquivo existir. Se este arquivo estiver presente, ele deve
contém um número CRL válido.

x509_extensões
a mesma -extensões.

crl_extensions
a mesma -crlexts.

preservar
a mesma -preserveDN

email_in_dn
a mesma -noemailDN. Se você deseja que o campo EMAIL seja removido do DN do
certificado simplesmente defina-o como 'não'. Se não estiver presente, o padrão é permitir o
EMAIL arquivado no DN do certificado.

msie_hack
a mesma -msie_hack

Privacidade
a mesma -política. Obrigatoriedade. Veja o POLÍTICA FORMATO seção para mais informações.

nome_opt, certificado_opt
essas opções permitem que o formato usado para exibir os detalhes do certificado ao solicitar o
usuário para confirmar a assinatura. Todas as opções suportadas pelo x509 utilitários -nameopt e
-certopt interruptores podem ser usados ​​aqui, exceto o no_signname e no_sigdump e guarante que os mesmos estão
definido permanentemente e não pode ser desativado (isto porque a assinatura do certificado
não pode ser exibido porque o certificado não foi assinado neste ponto).

Por conveniência os valores ca_default são aceitos por ambos para produzir um razoável
saída.

Se nenhuma opção estiver presente, o formato usado nas versões anteriores do OpenSSL será usado.
O uso do formato antigo é discordaram desanimado porque só exibe campos
mencionado no Privacidade seção, manipula mal tipos de string com vários caracteres e não
extensões de exibição.

copy_extensions
determina como as extensões nas solicitações de certificado devem ser tratadas. Se definido para Nenhum
ou esta opção não está presente, então as extensões são ignoradas e não copiadas para o
certificado. Se definido para cópia então, quaisquer extensões presentes na solicitação que não sejam
já presentes são copiados para o certificado. Se definido para copiar tudo então todas as extensões
na solicitação são copiados para o certificado: se a extensão já estiver presente em
o certificado é excluído primeiro. Veja o AVISOS seção antes de usar este
opção.

O principal uso desta opção é permitir que um pedido de certificado forneça valores para
certas extensões, como subjectAltName.

POLÍTICA FORMATO


A seção de política consiste em um conjunto de variáveis ​​correspondentes aos campos de DN do certificado.
Se o valor for "compatível", o valor do campo deve corresponder ao mesmo campo no CA
certificado. Se o valor for "fornecido", ele deve estar presente. Se o valor for
"opcional", então pode estar presente. Quaisquer campos não mencionados na seção de política são
excluído silenciosamente, a menos que o -preserveDN opção está definida, mas isso pode ser considerado mais como um
peculiaridade do que o comportamento pretendido.

SPKAC FORMATO


A entrada para o -spkac A opção de linha de comando é uma chave pública assinada pelo Netscape e um desafio.
Isso geralmente virá do KEYGEN tag em um formulário HTML para criar uma nova chave privada.
No entanto, é possível criar SPKACs usando o spkac utilidade.

O arquivo deve conter a variável SPKAC definida para o valor do SPKAC e também o
componentes DN necessários como pares de valor de nome. Se você precisar incluir o mesmo componente
duas vezes, pode ser precedido por um número e um '.'.

Ao processar o formato SPKAC, a saída é DER se o -Fora sinalizador é usado, mas o formato PEM
se enviando para stdout ou o -outdir bandeira é usada.

EXEMPLOS


Nota: esses exemplos presumem que o ca estrutura de diretório já está configurada e o
arquivos relevantes já existem. Isso geralmente envolve a criação de um certificado CA e privado
chave com req, um arquivo de número de série e um arquivo de índice vazio e colocando-os no
diretórios relevantes.

Para usar o arquivo de configuração de amostra abaixo dos diretórios demoCA, demoCA / private e
demoCA / newcerts seriam criados. O certificado CA seria copiado para demoCA / cacert.pem
e sua chave privada para demoCA / private / cakey.pem. Um arquivo demoCA / serial seria criado
contendo por exemplo "01" e o arquivo de índice vazio demoCA / index.txt.

Assine um pedido de certificado:

openssl ca -in req.pem -out newcert.pem

Assine uma solicitação de certificado, usando extensões CA:

openssl ca -in req.pem -extensions v3_ca -out newcert.pem

Gerar uma CRL

openssl ca -gencrl -out crl.pem

Assine vários pedidos:

openssl ca -infiles req1.pem req2.pem req3.pem

Certificar um Netscape SPKAC:

openssl ca -spkac spkac.txt

Um arquivo SPKAC de amostra (a linha SPKAC foi truncada para maior clareza):

SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN = Teste de Steve
emailAddress =[email protegido]
0.OU = Grupo OpenSSL
1.OU = Outro Grupo

Um arquivo de configuração de amostra com as seções relevantes para ca:

[ca]
default_ca = CA_default # A seção ca padrão

[CA_default]

dir = ./demoCA # dir superior
banco de dados = $ dir / index.txt # arquivo de índice.
new_certs_dir = $ dir / newcerts # new certs dir

certificado = $ dir / cacert.pem # O certificado CA
serial = $ dir / serial # serial nenhum arquivo
private_key = $ dir / private / cakey.pem # chave privada CA
RANDFILE = $ dir / private / .rand # arquivo de número aleatório

default_days = 365 # por quanto tempo certificar-se
default_crl_days = 30 # quanto tempo antes da próxima CRL
default_md = md5 # md para usar

política = policy_any # política padrão
email_in_dn = no # Não adicione o e-mail ao DN de certificado

name_opt = ca_default # Opção de exibição do nome do assunto
cert_opt = ca_default # Opção de exibição de certificado
copy_extensions = none # Não copie extensões da solicitação

[policy_any]
countryName = fornecido
stateOrProvinceName = opcional
organizationName = opcional
organizationUnitName = opcional
commonName = fornecido
emailAddress = opcional

Use cassl online usando serviços onworks.net


Servidores e estações de trabalho gratuitos

>>


Baixar aplicativos Windows e Linux

>>


  • 1
    Zabbix
    Zabbix
    O Zabbix é um software aberto de classe empresarial
    solução de monitoramento distribuído de origem
    projetado para monitorar e rastrear
    desempenho e disponibilidade da rede
    servidores, dispositivos...
    Baixar Zabbix
  • 2
    KDiff3GenericName
    KDiff3GenericName
    Este repositório não é mais mantido
    e é mantido para fins de arquivamento. Ver
    https://invent.kde.org/sdk/kdiff3 for
    o código mais recente e
    https://download.kde.o...
    Baixar o KDiff3
  • 3
    USB Loader GX
    USB Loader GX
    USBLoaderGX é uma GUI para
    Carregador USB de Waninkoko, baseado em
    libwiigui. Permite listar e
    lançar jogos de Wii, jogos de Gamecube e
    homebrew no Wii e WiiU...
    Baixar USBLoaderGX
  • 4
    Firebird
    Firebird
    Firebird RDBMS oferece recursos ANSI SQL
    & roda em Linux, Windows &
    várias plataformas Unix. Características
    excelente simultaneidade e desempenho
    & potência...
    Baixar Firebird
  • 5
    KompoZer
    KompoZer
    KompoZer é um editor HTML wysiwyg usando
    a base de código do Mozilla Composer. Como
    O desenvolvimento do Nvu foi interrompido
    em 2005, KompoZer corrige muitos bugs e
    adiciona um f...
    Baixar KompoZer
  • 6
    Downloader de mangá grátis
    Downloader de mangá grátis
    O Free Manga Downloader (FMD) é um
    aplicativo de código aberto escrito em
    Object-Pascal para gerenciamento e
    baixando mangá de vários sites.
    Isso é um espelho...
    Baixe o Manga Downloader Gratuito
  • Mais "

Comandos Linux

Ad




SOBRE O ONWORKS®

OnWorks é um provedor de hospedagem VPS online gratuito que oferece serviços em nuvem, como estações de trabalho gratuitas, antivírus online, proxies seguros VPN gratuitos e e-mail pessoal e comercial gratuito. Nosso VPS gratuito pode ser baseado em CentOS, Fedora, Ubuntu e Debian. Alguns deles são personalizados para serem como o Windows online ou o MacOS online.

Links do Site
Nossos sites

Copyright ©2023 OffiDocs Group OU. Todos os direitos reservados. OnWorks® é uma marca registrada.