certutil - Online na nuvem

PROGRAMA:

NOME

certutil - Gerenciar chaves e certificados em bancos de dados NSS e outros tokens NSS

SINOPSE

certutil [opções] [[argumentos]]

STATUS

Esta documentação ainda está em andamento. Por favor, contribua para a revisão inicial em
Mozilla NSS erro 836477[1]

DESCRIÇÃO

A ferramenta de banco de dados de certificados, certutil, é um utilitário de linha de comando que pode criar e
modificar certificados e bancos de dados de chaves. Ele pode listar, gerar, modificar ou
excluir certificados, criar ou alterar a senha, gerar nova chave pública e privada
pares, exibir o conteúdo do banco de dados de chaves ou excluir pares de chaves dentro da chave
base de dados.

A emissão de certificado, parte do processo de gerenciamento de chave e certificado, requer que
chaves e certificados sejam criados no banco de dados de chaves. Este documento discute o certificado
e gerenciamento de banco de dados de chaves. Para obter informações sobre o gerenciamento do banco de dados do módulo de segurança,
ver o modutil página do manual.

COMANDO OPÇÕES E ARGUMENTOS

Corrida certutil sempre requer uma e apenas uma opção de comando para especificar o tipo de
operação de certificado. Cada opção de comando pode ter zero ou mais argumentos. O comando
opção -H irá listar todas as opções de comando e seus argumentos relevantes.

Command Opções

-A
Adicione um certificado existente a um banco de dados de certificados. O banco de dados de certificados deve
já existe; se um não estiver presente, esta opção de comando irá inicializar um por
padrão.

-B
Execute uma série de comandos do arquivo em lote especificado. Isso requer o -i argumento.

-C
Crie um novo arquivo de certificado binário a partir de um arquivo de solicitação de certificado binário. Use o
-i argumento para especificar o arquivo de solicitação de certificado. Se este argumento não for usado,
certutil solicita um nome de arquivo.

-D
Exclua um certificado do banco de dados de certificados.

--renomear
Altere o apelido do banco de dados de um certificado.

-E
Adicione um certificado de e-mail ao banco de dados de certificados.

-F
Exclua uma chave privada de um banco de dados de chaves. Especifique a chave a ser excluída com o -n
argumento. Especifique o banco de dados do qual deseja excluir a chave com o -d argumento. Usar
que o -k argumento para especificar explicitamente se deseja excluir uma chave DSA, RSA ou ECC. Se você
não use o -k argumento, a opção procura por uma chave RSA que corresponda ao especificado
apelido.

Ao excluir chaves, certifique-se de remover também quaisquer certificados associados a essas
chaves do banco de dados de certificados, usando -D. Alguns cartões inteligentes não permitem
remova uma chave pública que você gerou. Nesse caso, apenas a chave privada é
excluído do par de chaves. Você pode exibir a chave pública com o comando certutil -K
-h nome do token.

-G
Gere um novo par de chaves públicas e privadas em um banco de dados de chaves. O banco de dados de chaves
já deve existir; se um não estiver presente, esta opção de comando irá inicializar um
por padrão. Alguns cartões inteligentes podem armazenar apenas um par de chaves. Se você criar um novo par de chaves
para tal cartão, o par anterior é sobrescrito.

-H
Exibe uma lista das opções e argumentos do comando.

-K
Liste o ID da chave das chaves no banco de dados de chaves. Um ID de chave é o módulo da chave RSA ou
o publicValue da chave DSA. Os IDs são exibidos em hexadecimal ("0x" não é mostrado).

-L
Liste todos os certificados ou exiba informações sobre um certificado nomeado em um
banco de dados de certificados. Use o argumento -h tokenname para especificar o certificado
banco de dados em um hardware ou token de software específico.

-M
Modifique os atributos de confiança de um certificado usando os valores do argumento -t.

-N
Crie novos certificados e bancos de dados de chaves.

-O
Imprima a cadeia de certificação.

-R
Crie um arquivo de solicitação de certificado que pode ser enviado a uma Autoridade de Certificação
(CA) para processamento em um certificado acabado. A saída padrão é saída padrão
a menos que você use o argumento -o output-file. Use o argumento -a para especificar a saída ASCII.

-S
Crie um certificado individual e adicione-o a um banco de dados de certificados.

-T
Redefina o banco de dados de chaves ou token.

-U
Liste todos os módulos disponíveis ou imprima um único módulo nomeado.

-V
Verifique a validade de um certificado e seus atributos.

-W
Altere a senha para um banco de dados de chaves.

--mesclar
Mescle dois bancos de dados em um.

--upgrade-merge
Atualize um banco de dados antigo e mescle-o em um novo banco de dados. Isso é usado para migrar
bancos de dados NSS legados (cert8.db e key3.db) nos bancos de dados SQLite mais novos (cert9.db
e key4.db).

Argumentos

Os argumentos modificam uma opção de comando e geralmente são minúsculas, números ou símbolos.

-a
Use o formato ASCII ou permita o uso do formato ASCII para entrada ou saída. Esta formatação
segue RFC 1113. Para solicitações de certificado, o padrão de saída ASCII é a saída padrão
a menos que seja redirecionado.

-b tempo de validade
Especifique uma hora em que um certificado deve ser válido. Use ao verificar
validade do certificado com o -V opção. O formato do tempo de validade argumento é
AAMMDDHHMMSS [+ HHMM | -HHMM | Z], que permite que os deslocamentos sejam definidos em relação à validade
Fim do tempo. Especificando segundos (SS) é opcional. Ao especificar uma hora explícita, use um
Z no final do prazo, AAMMDDHHMMSSZ, para fechá-lo. Ao especificar um tempo de deslocamento,
usar AAMMDDHHMMSS + HHMM or AAMMDDHHMMSS-HHMM para adicionar ou subtrair o tempo,
respectivamente.

Se esta opção não for usada, a verificação de validade será padronizada para a hora atual do sistema.

-c emissor
Identifique o certificado da CA da qual um novo certificado derivará seu
autenticidade. Use o apelido ou apelido exato do certificado CA, ou use o CA's
endereço de e-mail. Coloque a string do emissor entre aspas, se ela contiver espaços.

-d [prefixo] diretório
Especifique o diretório do banco de dados que contém o certificado e os arquivos do banco de dados de chaves.

certutil suporta dois tipos de bancos de dados: os bancos de dados de segurança legados (cert8.db,
key3.db e secmod.db) e novos bancos de dados SQLite (cert9.db, key4.db e pkcs11.txt).

O NSS reconhece os seguintes prefixos:

· SQL: solicita o banco de dados mais recente

· banco de dados: solicita o banco de dados legado

Se nenhum prefixo for especificado, o tipo padrão é recuperado de NSS_DEFAULT_DB_TYPE. Se
NSS_DEFAULT_DB_TYPE não está definido então banco de dados: é o padrão.

--dump-ext-val OID
Para certificado único, imprima a codificação DER binária da extensão OID.

-e
Verifique a assinatura de um certificado durante o processo de validação de um certificado.

--e-mail endereço de e-mail
Especifique o endereço de e-mail de um certificado a ser listado. Usado com a opção de comando -L.

--extGeneric OID: sinalizador crítico: nome do arquivo [, OID: sinalizador crítico: nome do arquivo] ...
Adicione uma ou várias extensões que o certutil ainda não pode codificar, carregando seus
codificações de arquivos externos.

· OID (exemplo): 1.2.3.4

· Sinalizador crítico: crítico ou não crítico

· Nome do arquivo: caminho completo para um arquivo contendo uma extensão codificada

-f arquivo de senha
Especifique um arquivo que fornecerá automaticamente a senha para incluir em um certificado
ou para acessar um banco de dados de certificados. Este é um arquivo de texto simples contendo um
senha. Certifique-se de evitar o acesso não autorizado a este arquivo.

-g tamanho da chave
Defina um tamanho de chave a ser usado ao gerar novos pares de chaves públicas e privadas. O mínimo é
512 bits e o máximo é 16384 bits. O padrão é 2048 bits. Qualquer tamanho entre o
mínimo e máximo são permitidos.

-h nome do token
Especifique o nome de um token para usar ou agir. Se não for especificado, o token padrão é
o slot de banco de dados interno.

-i arquivo_entrada
Passe um arquivo de entrada para o comando. Dependendo da opção de comando, um arquivo de entrada pode
ser um certificado específico, um arquivo de solicitação de certificado ou um arquivo em lote de comandos.

-k chave-tipo-ou-id
Especifique o tipo ou ID específico de uma chave.

As opções de tipo de chave válidas são rsa, dsa, ec ou all. O valor padrão é rsa.
Especificar o tipo de chave pode evitar erros causados ​​por apelidos duplicados. Dando um
tipo de chave gera um novo par de chaves; fornecer o ID de uma chave existente reutiliza essa chave
par (que é necessário para renovar certificados).

-l
Exibe informações detalhadas ao validar um certificado com a opção -V.

-m número de série
Atribua um número de série exclusivo a um certificado que está sendo criado. Esta operação deve ser
realizado por um CA. Se nenhum número de série for fornecido, um número de série padrão será criado
da hora atual. Os números de série são limitados a inteiros

-n apelido
Especifique o apelido de um certificado ou chave para listar, criar, adicionar a um banco de dados,
modificar ou validar. Coloque a string do apelido entre aspas, se ela contiver
espaços.

-o arquivo de saída
Especifique o nome do arquivo de saída para novos certificados ou solicitações de certificados binários.
Coloque a string do arquivo de saída entre aspas, se ela contiver espaços. Se este
o argumento não é usado, o destino de saída é padronizado para a saída padrão.

-P dbPrefixo
Especifique o prefixo usado no certificado e no arquivo de banco de dados de chaves. Este argumento é
fornecido para oferecer suporte a servidores legados. A maioria dos aplicativos não usa um prefixo de banco de dados.

-p telefone
Especifique um número de telefone de contato para incluir em novos certificados ou certificados
solicitações de. Coloque esta string entre aspas, se ela contiver espaços.

-q pqgfile ou curve-name
Leia um valor PQG alternativo do arquivo especificado ao gerar pares de chaves DSA. Se
este argumento não é usado, certutil gera seu próprio valor PQG. Arquivos PQG são criados
com um utilitário DSA separado.

O nome da curva elíptica é um dos da SUITE B: nistp256, nistp384, nistp521

Se o NSS foi compilado com curvas de suporte fora da SUITE B: sect163k1, nistk163,
sect163r1, sect163r2, nistb163, sect193r1, sect193r2, sect233k1, nistk233, sect233r1,
nistb233, sect239k1, sect283k1, nistk283, sect283r1, nistb283, sect409k1, nistk409,
sect409r1, nistb409, sect571k1, nistk571, sect571r1, nistb571, secp160k1, secp160r1,
secp160r2, secp192k1, secp192r1, nistp192, secp224k1, secp224r1, nistp224, secp256k1,
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2

-r
Exibir a codificação DER binária de um certificado ao listar informações sobre isso
certificado com a opção -L.

-s assunto
Identifique um proprietário de certificado específico para novos certificados ou solicitações de certificado.
Coloque esta string entre aspas, se ela contiver espaços. O sujeito
o formato de identificação segue RFC # 1485.

-t confiar em tags
Especifique os atributos de confiança para modificar em um certificado existente ou para aplicar a um
certificado ao criá-lo ou adicioná-lo a um banco de dados. Existem três disponíveis
categorias de confiança para cada certificado, expressas no pedido ssl, e-mail, objeto
assinatura para cada configuração de confiança. Em cada posição de categoria, use nenhum, nenhum ou todos
os códigos de atributo:

· p - Par válido

· P - Ponto confiável (implica p)

· c - CA válido

· T - CA confiável (implica c)

· C - CA confiável para autenticação de cliente (somente servidor SSL)

· u - do utilizador

Os códigos de atributo para as categorias são separados por vírgulas e todo o conjunto de
atributos colocados entre aspas. Por exemplo:

-t "TCu, Cu, Tu"

Use a opção -L para ver uma lista dos certificados atuais e atributos de confiança em um
banco de dados de certificados.

-u certificado
Especifique um contexto de uso a ser aplicado ao validar um certificado com a opção -V.

Os contextos são os seguintes:

· C (como um cliente SSL)

· V (como um servidor SSL)

· L (como um SSL CA)

· A (como qualquer CA)

· Y (Verifique CA)

· S (como um signatário de e-mail)

· R (como um destinatário de e-mail)

· O (como um respondente de status OCSP)

· J (como um signatário de objeto)

-v meses válidos
Defina o número de meses que um novo certificado será válido. O período de validade começa
na hora atual do sistema, a menos que um deslocamento seja adicionado ou subtraído com o -w opção.
Se este argumento não for usado, o período de validade padrão é de três meses.

-w meses de compensação
Defina um deslocamento da hora atual do sistema, em meses, para o início de um
período de validade do certificado. Use ao criar o certificado ou adicioná-lo a um
base de dados. Expresse o deslocamento em inteiros, usando um sinal de menos (-) para indicar um
deslocamento negativo. Se este argumento não for usado, o período de validade começa no
hora atual do sistema. A duração do período de validade é definida com o argumento -v.

-X
Força a chave e o banco de dados de certificado a abrir no modo de leitura e gravação. Isso é usado com
que o -U e -L opções de comando.

-x
Use certutil para gerar a assinatura de um certificado que está sendo criado ou adicionado a um
banco de dados, em vez de obter uma assinatura de uma CA separada.

-y exp
Defina um valor de expoente alternativo para usar na geração de uma nova chave pública RSA para o
banco de dados, em vez do valor padrão de 65537. Os valores alternativos disponíveis são 3
e 17.

-z arquivo de ruído
Leia um valor de semente do arquivo especificado para gerar uma nova chave privada e pública
par. Este argumento torna possível usar valores de semente gerados por hardware ou
crie manualmente um valor a partir do teclado. O tamanho mínimo do arquivo é de 20 bytes.

-Z hashAlg
Especifique o algoritmo de hash a ser usado com as opções de comando -C, -S ou -R. Possível
Palavras-chave:

·MD2

·MD4

·MD5

· SHA1

· SHA224

· SHA256

· SHA384

· SHA512

-0 SSO_senha
Defina uma senha de oficial de segurança do site em um token.

-1 | --keyUsage palavra-chave, palavra-chave
Defina uma extensão de tipo de certificado X.509 V3 no certificado. Existem vários
palavras-chave disponíveis:

· assinatura digital

· Não repúdio

· KeyEncipherment

· DataEncipherment

· KeyAgreement

· CertSigning

· CrlSigning

· crítico

-2
Adicione uma extensão de restrição básica a um certificado que está sendo criado ou adicionado a um
base de dados. Esta extensão oferece suporte ao processo de verificação da cadeia de certificados.
certutil solicita que a extensão de restrição de certificado seja selecionada.

As extensões de certificado X.509 são descritas em RFC 5280.

-3
Adicionar uma extensão de ID de chave de autoridade a um certificado que está sendo criado ou adicionado a um
base de dados. Esta extensão suporta a identificação de um determinado certificado, de
entre vários certificados associados a um nome de assunto, como o emissor correto de
Um certificado. A ferramenta de banco de dados de certificados solicitará que você selecione a autoridade
extensão de ID de chave.

As extensões de certificado X.509 são descritas em RFC 5280.

-4
Adicionar uma extensão de ponto de distribuição CRL a um certificado que está sendo criado ou adicionado
para um banco de dados. Esta extensão identifica o URL de um certificado associado
lista de certificados revogados (CRL). certutil solicita o URL.

As extensões de certificado X.509 são descritas em RFC 5280.

-5 | --nsCertType palavra-chave, palavra-chave
Adicionar uma extensão de tipo de certificado X.509 V3 a um certificado que está sendo criado ou
adicionado ao banco de dados. Existem várias palavras-chave disponíveis:

· SslClient

· SslServer

· Smime

· ObjectSigning

· SslCA

· SmimeCA

· ObjectSigningCA

· crítico

As extensões de certificado X.509 são descritas em RFC 5280.

-6 | --extKeyUsage palavra-chave, palavra-chave
Adicionar uma extensão de uso de chave estendida a um certificado que está sendo criado ou adicionado ao
o banco de dados. Várias palavras-chave estão disponíveis:

· ServerAuth

· ClientAuth

· CodeSigning

· Proteção de email

· TimeStamp

· OcspResponder

· um passo adiante

· MsTrustListSign

· crítico

As extensões de certificado X.509 são descritas em RFC 5280.

-7 endereços de e-mail
Adicione uma lista de endereços de e-mail separados por vírgulas ao nome alternativo do assunto
extensão de um certificado ou pedido de certificado que está sendo criado ou adicionado a
o banco de dados. As extensões de nome alternativas do assunto são descritas na Seção 4.2.1.7 do
RFC 3280.

-8 nomes de DNS
Adicione uma lista separada por vírgulas de nomes DNS à extensão de nome alternativo do assunto de um
certificado ou pedido de certificado que está sendo criado ou adicionado ao banco de dados.
As extensões de nome alternativas do assunto são descritas na Seção 4.2.1.7 do RFC 3280.

--extAIA
Adicione a extensão de Acesso a Informações da Autoridade ao certificado. Certificado X.509
as extensões são descritas no RFC 5280.

--extSIA
Adicione a extensão de acesso a informações do assunto ao certificado. Certificado X.509
as extensões são descritas no RFC 5280.

--extCP
Adicione a extensão de políticas de certificado ao certificado. Certificado X.509
as extensões são descritas no RFC 5280.

--extPM
Adicione a extensão Policy Mappings ao certificado. As extensões de certificado X.509 são
descrito em RFC 5280.

--extPC
Adicione a extensão Policy Constraints ao certificado. Extensões de certificado X.509
são descritos em RFC 5280.

--extIA
Adicione a extensão Inhibit Any Policy Access ao certificado. Certificado X.509
as extensões são descritas no RFC 5280.

--extSKID
Adicione a extensão do ID da chave do assunto ao certificado. As extensões de certificado X.509 são
descrito em RFC 5280.

--extNC
Adicione uma extensão de restrição de nome ao certificado. As extensões de certificado X.509 são
descrito em RFC 5280.

--extSAN tipo: nome [, tipo: nome] ...
Crie uma extensão de nome alternativo de assunto com um ou vários nomes.

-tipo: diretório, dn, dns, edi, ediparty, e-mail, ip, ipaddr, outro, registerid,
rfc822, uri, x400, x400addr

--senha vazia
Use uma senha vazia ao criar um novo banco de dados de certificado com -N.

--keyAttrFlags attrflags
Atributos chave PKCS # 11. Lista separada por vírgulas de sinalizadores de atributos-chave, selecionados de
a seguinte lista de opções: {token | sessão} {público | privado} {sensível |
insensível} {modificável | não modificável} {extraível | intratável}

--keyOpFlagsOn opflags, --keyOpFlagsOff opflags
Sinalizadores de operação chave PKCS # 11. Lista separada por vírgulas de um ou mais dos seguintes:
{token | sessão} {público | privado} {sensível | insensível} {modificável |
não modificável} {extraível | intratável}

--novo apelido
Um novo apelido, usado ao renomear um certificado.

--source-dir certificadodir
Identifique o diretório do banco de dados do certificado para atualizar.

--source-prefix certificado
Forneça o prefixo do certificado e dos bancos de dados de chaves a serem atualizados.

--upgrade-id ID único
Forneça o ID exclusivo do banco de dados a ser atualizado.

--upgrade-token-name nome
Defina o nome do token a ser usado durante o upgrade.

- @ pwfile
Forneça o nome de um arquivo de senha a ser usado para o banco de dados que está sendo atualizado.

USO E EXEMPLOS

A maioria das opções de comando nos exemplos listados aqui têm mais argumentos disponíveis. o
argumentos incluídos nestes exemplos são os mais comuns ou são usados ​​para ilustrar um
cenário específico. Use o -H opção para mostrar a lista completa de argumentos para cada
opção de comando.

Criar Novo Segurança Bases de dados

Certificados, chaves e módulos de segurança relacionados ao gerenciamento de certificados são armazenados em
três bancos de dados relacionados:

· Cert8.db ou cert9.db

· Key3.db ou key4.db

· Secmod.db ou pkcs11.txt

Esses bancos de dados devem ser criados antes que os certificados ou chaves possam ser gerados.

diretório certutil -N -d [sql:]

Criar a Certificado SOLICITAÇÃO

Um pedido de certificado contém a maioria ou todas as informações que são usadas para gerar o
certificado final. Esta solicitação é enviada separadamente a uma autoridade de certificação e é
então aprovado por algum mecanismo (automaticamente ou por revisão humana). Assim que o pedido for
aprovado, então o certificado é gerado.

$ certutil -R -k key-type-or-id [-q pqgfile | curve-name] -g key-size -s subject [-h tokenname] -d [sql:] diretório [-p phone] [-o arquivo de saída] [-a]

A -R as opções de comando requerem quatro argumentos:

· -k para especificar o tipo de chave a ser gerado ou, ao renovar um certificado, o
par de chaves existente para usar

· -g para definir o tamanho da chave para gerar

· -s para definir o nome do assunto do certificado

· -d para fornecer o diretório do banco de dados de segurança

O novo pedido de certificado pode ser enviado em formato ASCII (-a) ou pode ser escrito para um
arquivo especificado (-o).

Por exemplo:

$ certutil -R -k rsa -g 1024 -s "CN = John Smith, O = Example Corp, L = Mountain View, ST = California, C = US" -d sql: $ HOME / nssdb -p 650-555- 0123 -a -o cert.cer

Gerando chave. Isso pode levar algum tempo...

Criar a Certificado

Um certificado válido deve ser emitido por uma CA confiável. Isso pode ser feito especificando um CA
certificado (-c) que está armazenado no banco de dados de certificados. Se um par de chaves CA não for
disponível, você pode criar um certificado autoassinado usando o -x argumento com o -S
opção de comando.

$ certutil -S -k rsa | dsa | ec -n certname -s assunto [-c emissor | -x] -t trustargs -d [sql:] diretório [-m serial-number] [-v válido-meses] [ -w offset-months] [-p phone] [-1] [-2] [-3] [-4] [-5 keyword] [-6 keyword] [-7 emailAddress] [-8 dns-names] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]

A série de números e --ext * opções definir extensões de certificado que podem ser adicionadas a
o certificado quando é gerado pela CA. Resultarão prompts interativos.

Por exemplo, isso cria um certificado autoassinado:

$ certutil -S -s "CN = Exemplo CA" -n my-ca-cert -x -t "C, C, C" -1 -2 -5 -m 3650

Os avisos interativos para o uso da chave e se as extensões são críticas e respostas
foram omitidos por questões de brevidade.

A partir daí, novos certificados podem fazer referência ao certificado autoassinado:

$ certutil -S -s "CN = My Server Cert" -n my-server-cert -c "my-ca-cert" -t "u, u, u" -1 -5 -6 -8 -m 730

Gerando a Certificado da a Certificado SOLICITAÇÃO

Quando um pedido de certificado é criado, um certificado pode ser gerado usando o pedido
e, em seguida, referenciando um certificado de assinatura de autoridade de certificação (o emissor Especificado em
que o -c argumento). O certificado de emissão deve estar no banco de dados de certificados no
diretório especificado.

certutil -C -c emissor -i cert-request-file -o output-file [-m serial-number] [-v valid-months] [-w offset-months] -d [sql:] diretório [-1] [-2] [-3] [-4] [-5 palavra-chave] [-6 palavra-chave] [-7 emailAddress] [-8 dns-nomes]

Por exemplo:

$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql: $ HOME / nssdb -1 nonRepudiation, dataEncipherment -5 sslClient -6 clientAuth -7 [email protegido]

listagem Certificados

A -L A opção de comando lista todos os certificados listados no banco de dados de certificados.
O caminho para o diretório (-d) É necessário.

$ certutil -L -d sql: / home / my / sharednssdb

Atributos de confiança de apelido de certificado
SSL, S / MIME, JAR / XPI

Administrador de CA da instância de exemplo de pki-ca1 ID de domínio u, u, u
Exemplo de ID de domínio do administrador TPS u, u, u
Autoridade da Internet do Google ,,
Autoridade de Certificação - Exemplo de Domínio CT, C, C

Usando argumentos adicionais com -L pode retornar e imprimir as informações de um único,
certificado específico. Por exemplo, o -n argumento passa o nome do certificado, enquanto o
-a argumento imprime o certificado em formato ASCII:

$ certutil -L -d sql: $ HOME / nssdb -a -n my-ca-cert
----- COMEÇAR CERTIFICADO -----
MIIB1DCCAT2gAwIBAGICDkIwDQYJKoZIhvcNAQEFBQAwFTETMBEGA1UEAxMKRXhh
bXBsZSBDQTAeFw0xMzAzMTMxOTEwMjlaFw0xMzA2MTMxOTEwMjlaMBUXEzARBgNV
BAMTCkV4YW1wbGUgQ0EwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAJ4Kzqvz
JyBVgFqDXRYSyTBNw1DrxUU/3GvWA/ngjAwHEv0Cul/6sO/gsCvnABHiH6unns6x
XRzPORlC2WY3gkk7vmlsLvYpyecNazAi/NAwVnU/66HOsaoVFWE+gBQo99UrN2yk
0BiK/GMFlLm5dXQROgA9ZKKyFdI0LIXtf6SbAgMBAAGjMzAxMBEGCWCGSAGG+EIB
AQQEAwIHADAMBgNVHRMEBTADAQH / MA4GA1UdDwEB / wQEAwICBDANBgkqhkiG9w0B
AQUFAAOBgQA6chkzkACN281d1jKMrc+RHG2UMaQyxiteaLVZO+Ro1nnRUvseDf09
XKYFwPMJjWCihVku6bw/ihZfuMHhxK22Nue6inNQ6eDu7WmrqL8z3iUrQwxs+WiF
ob2rb8XRVVJkzXdXxlk4uo3UtNvw8sAz7sWD71qxKaIHU5q49zijfg==

----- TERMINAR CERTIFICADO -----
Para uma tela legível

$ certutil -L -d sql: $ HOME / nssdb -n my-ca-cert
Certificado:
Data:
Versão: 3 (0x2)
Número de série: 3650 (0xe42)
Algoritmo de assinatura: PKCS # 1 SHA-1 com criptografia RSA
Emissor: "CN = Exemplo CA"
Validade:
Antes: Quarta, 13 de março 19:10:29 de 2013
Não depois: quinta, 13 de junho, 19:10:29 de 2013
Assunto: "CN = Exemplo CA"
Informações da chave pública do assunto:
Algoritmo de chave pública: criptografia PKCS # 1 RSA
Chave pública RSA:
Módulo:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
Expoente: 65537 (0x10001)
Extensões assinadas:
Nome: Tipo de Certificado
Dados: nenhum

Nome: Restrições Básicas do Certificado
Dados: é uma CA sem comprimento máximo de caminho.

Nome: Uso da chave do certificado
Crítico: Verdadeiro
Usos: Assinatura de certificado

Algoritmo de assinatura: PKCS # 1 SHA-1 com criptografia RSA
Assinatura:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
Impressão digital (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
Impressão digital (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7

Sinalizadores de confiança de certificado:
Sinalizadores SSL:
CA válido
CA confiável
Utilizador
Sinalizadores de email:
CA válido
CA confiável
Utilizador
Sinalizadores de assinatura de objeto:
CA válido
CA confiável
Utilizador

listagem As chaves

As chaves são o material original usado para criptografar os dados do certificado. As chaves geradas para
os certificados são armazenados separadamente, no banco de dados de chaves.

Para listar todas as chaves no banco de dados, use o -K opção de comando e o (obrigatório) -d argumento
para fornecer o caminho para o diretório.

$ certutil -K -d sql: $ HOME / nssdb
certutil: Verificando o token "Banco de dados do certificado NSS" no slot "Chave privada do usuário NSS e serviços de certificado"
<0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d Thawte Freemail Membro Thawte Consulting (Pty) Ltd. ID
<1> rsa 40defeeb522ade11090eacebaaf1196a172127df Exemplo de certificado de administrador de domínio
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert

Existem maneiras de restringir as chaves listadas nos resultados da pesquisa:

· Para retornar uma chave específica, use o -nnome argumento com o nome da chave.

· Se houver vários dispositivos de segurança carregados, o -hnome do token argumento pode
pesquise um token específico ou todos os tokens.

· Se houver vários tipos de chave disponíveis, o -kTipo de chave argumento pode pesquisar um
tipo específico de chave, como RSA, DSA ou ECC.

listagem Segurança Módulos

Os dispositivos que podem ser usados ​​para armazenar certificados - bancos de dados internos e externos
dispositivos como cartões inteligentes - são reconhecidos e usados ​​carregando módulos de segurança. o -U
a opção de comando lista todos os módulos de segurança listados no banco de dados secmod.db. o
caminho para o diretório (-d) É necessário.

$ certutil -U -d sql: / home / my / sharednssdb

slot: Chave privada do usuário NSS e serviços de certificado
token: Banco de dados de certificado NSS

slot: Serviços criptográficos internos do NSS
token: serviços criptográficos genéricos NSS

Adicionando Certificados para que o banco de dados

Certificados existentes ou solicitações de certificado podem ser adicionados manualmente ao certificado
banco de dados, mesmo se eles foram gerados em outro lugar. Isso usa o -A opção de comando.

certutil -A -n certname -t trustargs -d [sql:] diretório [-a] [-i arquivo de entrada]

Por exemplo:

$ certutil -A -n "CN = Meu certificado SSL" -t "u, u, u" -d sql: / home / my / sharednssdb -i /home/example-certs/cert.cer

Uma opção de comando relacionada, -E, é usado especificamente para adicionar certificados de e-mail ao
banco de dados de certificados. o -E comando tem os mesmos argumentos que o -A comando. A confiança
argumentos para certificados têm o formato SSL, S / MIME, assinatura de código, então a confiança média
as configurações estão relacionadas principalmente aos certificados de e-mail (embora as outras possam ser definidas). Por exemplo:

$ certutil -E -n "CN = John Smith Email Cert" -t ", Pu," -d sql: / home / my / sharednssdb -i /home/example-certs/email.cer

Excluindo Certificados para que o banco de dados

Os certificados podem ser excluídos de um banco de dados usando o -D opção. As únicas opções necessárias
são para fornecer o diretório do banco de dados de segurança e para identificar o apelido do certificado.

certutil -D -d [sql:] diretório -n "apelido"

Por exemplo:

$ certutil -D -d sql: / home / my / sharednssdb -n "my-ssl-cert"

Validando Certificados

Um certificado contém uma data de expiração em si, e certificados expirados são facilmente
rejeitado. No entanto, os certificados também podem ser revogados antes de atingirem a data de expiração.
Verificar se um certificado foi revogado requer a validação do certificado.
A validação também pode ser usada para garantir que o certificado seja usado apenas para os fins
foi inicialmente emitido para. A validação é realizada pelo -V opção de comando.

certutil -V -n nome-do-certificado [-b tempo] [-e] [-u cert-usage] -d [sql:] diretório

Por exemplo, para validar um certificado de e-mail:

$ certutil -V -n "John Smith's Email Cert" -e -u S, R -d sql: / home / my / sharednssdb

Modificando Certificado Confiança Configurações

As configurações de confiança (que se relacionam com as operações que um certificado pode ter
usado para) pode ser alterado depois que um certificado é criado ou adicionado ao banco de dados. Isto é
especialmente útil para certificados de CA, mas pode ser executado para qualquer tipo de
certificado.

certutil -M -n nome-do-certificado -t trust-args -d diretório [sql:]

Por exemplo:

$ certutil -M -n "Meu certificado CA" -d sql: / home / my / sharednssdb -t "CTu, CTu, CTu"

Impressão que o Certificado Cadeia

Os certificados podem ser emitidos em correntes porque cada autoridade de certificação tem uma
certificado; quando uma CA emite um certificado, essencialmente carimba esse certificado com
sua própria impressão digital. o -O imprime toda a cadeia de um certificado, desde o
CA (a CA raiz) por meio de CA intermediária ao certificado real. Por exemplo, para
um certificado de e-mail com duas CAs na cadeia:

$ certutil -d sql: / home / my / sharednssdb -O -n "[email protegido]"
"Token de objeto integrado: Thawte Personal Freemail CA" [E =[email protegido], CN = Thawte Personal Freemail CA, OU = Divisão de Serviços de Certificação, O = Thawte Consulting, L = Cidade do Cabo, ST = Western Cape, C = ZA]

"Thawte Personal Freemail Issuing CA - Thawte Consulting" [CN = Thawte Personal Freemail Issuing CA, O = Thawte Consulting (Pty) Ltd., C = ZA]

"(nulo)" [E =[email protegido], CN = membro Thawte Freemail]

Reportagem a Token

O dispositivo que armazena certificados - tanto dispositivos de hardware externos quanto internos
bancos de dados de software - podem ser apagados e reutilizados. Esta operação é realizada no dispositivo
que armazena os dados, não diretamente nos bancos de dados de segurança, portanto, o local deve ser
referenciado por meio do nome do token (-h), bem como qualquer caminho de diretório. Se não há
token externo usado, o valor padrão é interno.

certutil -T -d [sql:] diretório -h token-name -0 security-officer-password

Muitas redes têm funcionários dedicados que tratam das mudanças nos tokens de segurança (o
Policial). Essa pessoa deve fornecer a senha para acessar o token especificado. Por exemplo:

$ certutil -T -d sql: / home / my / sharednssdb -h nethsm -0 secret

Melhoramento or Mesclando que o Segurança Bases de dados

Muitas redes ou aplicativos podem estar usando versões mais antigas do BerkeleyDB do certificado
banco de dados (cert8.db). Os bancos de dados podem ser atualizados para a nova versão SQLite do banco de dados
(cert9.db) usando o --upgrade-merge opção de comando ou bancos de dados existentes podem ser mesclados
com os novos bancos de dados cert9.db usando o --- fundir comando.

A --upgrade-merge comando deve fornecer informações sobre o banco de dados original e, em seguida, usar
os argumentos padrão (como -d) para fornecer as informações sobre as novas bases de dados. o
comando também requer informações que a ferramenta usa para o processo de atualização e gravação
sobre o banco de dados original.

certutil --upgrade-merge -d [sql:] diretório [-P dbprefix] --source-dir diretório --source-prefix dbprefix --upgrade-id id --upgrade-token-name name [- @ password-file ]

Por exemplo:

$ certutil --upgrade-merge -d sql: / home / my / sharednssdb --source-dir / opt / my-app / alias / --source-prefix serverapp- --upgrade-id 1 --upgrade-token- nome interno

A --mesclar comando requer apenas informações sobre a localização do banco de dados original;
uma vez que não muda o formato do banco de dados, ele pode sobrescrever informações sem
realizar a etapa intermediária.

certutil --merge -d [sql:] diretório [-P dbprefix] --source-dir diretório --source-prefix dbprefix [- @ password-file]

Por exemplo:
$ certutil --merge -d sql: / home / my / sharednssdb --source-dir / opt / my-app / alias / --source-prefix serverapp-
Corrida certutil comandos da a Fornada Envie o

Uma série de comandos pode ser executada sequencialmente a partir de um arquivo de texto com o -B opção de comando.
O único argumento para isso especifica o arquivo de entrada.

$ certutil -B -i / path / to / batch-file

NSS DATABASE TIPOS

O NSS originalmente usava bancos de dados BerkeleyDB para armazenar informações de segurança. As últimas versões
destas legado os bancos de dados são:

· Cert8.db para certificados

· Key3.db para chaves

· Secmod.db para informações do módulo PKCS # 11

O BerkeleyDB tem limitações de desempenho, porém, que o impedem de ser facilmente usado por
vários aplicativos simultaneamente. O NSS tem alguma flexibilidade que permite que os aplicativos
usar seu próprio mecanismo de banco de dados independente, mantendo um banco de dados compartilhado e funcionando
em torno dos problemas de acesso. Ainda assim, o NSS requer mais flexibilidade para fornecer um ambiente verdadeiramente compartilhado
banco de dados de segurança.

Em 2009, o NSS introduziu um novo conjunto de bancos de dados que são bancos de dados SQLite em vez de
BerkeleyDB. Esses novos bancos de dados fornecem mais acessibilidade e desempenho:

· Cert9.db para certificados

· Key4.db para chaves

· Pkcs11.txt, uma lista de todos os módulos PKCS # 11, contidos em um novo subdiretório
no diretório de bancos de dados de segurança

Como os bancos de dados SQLite são projetados para serem compartilhados, esses são os compartilhado banco de dados
modelo. O tipo de banco de dados compartilhado é preferido; o formato legado é incluído para versões anteriores
compatibilidade.

Por padrão, as ferramentas (certutil, pk12util, modutil) presumir que a segurança fornecida
os bancos de dados seguem o tipo de legado mais comum. O uso de bancos de dados SQLite deve ser feito manualmente
especificado usando o SQL: prefixo com o diretório de segurança fornecido. Por exemplo:

$ certutil -L -d sql: / home / my / sharednssdb

Para definir o tipo de banco de dados compartilhado como o tipo padrão para as ferramentas, defina o
NSS_DEFAULT_DB_TYPE variável de ambiente para sql:

exportar NSS_DEFAULT_DB_TYPE = "sql"

Esta linha pode ser definida e adicionada ao ~ / .bashrc arquivo para tornar a mudança permanente.

A maioria dos aplicativos não usa o banco de dados compartilhado por padrão, mas eles podem ser configurados para
usa-os. Por exemplo, este artigo de instruções cobre como configurar o Firefox e Thunderbird
para usar os novos bancos de dados NSS compartilhados:

· Https://wiki.mozilla.org/NSS_Shared_DB_Howto

Para um rascunho de engenharia sobre as mudanças nos bancos de dados NSS compartilhados, consulte o projeto NSS
wiki:

· Https://wiki.mozilla.org/NSS_Shared_DB

Use certutil online usando serviços onworks.net