Este é o comando crlutil que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online do Windows ou emulador online do MAC OS
PROGRAMA:
NOME
crlutil - Listar, gerar, modificar ou excluir CRLs dentro do (s) arquivo (s) de banco de dados de segurança NSS
e listar, criar, modificar ou excluir entradas de certificados em uma determinada CRL.
SINOPSE
crlutil [opções] [[argumentos]]
STATUS
Esta documentação ainda está em andamento. Por favor, contribua para a revisão inicial em
Mozilla NSS erro 836477[1]
DESCRIÇÃO
A Ferramenta de Gerenciamento da Lista de Revogação de Certificados (CRL), crlutil, é um utilitário de linha de comando
que pode listar, gerar, modificar ou excluir CRLs dentro do (s) arquivo (s) de banco de dados de segurança NSS
e listar, criar, modificar ou excluir entradas de certificados em uma determinada CRL.
O processo de gerenciamento de chave e certificado geralmente começa com a criação de chaves na chave
banco de dados, gerando e gerenciando certificados no banco de dados de certificados (consulte
ferramenta certutil) e continua com a expiração ou revogação de certificados.
Este documento discute o gerenciamento da lista de certificados revogados. Para obter informações sobre
gerenciamento do banco de dados do módulo de segurança, consulte Usando a ferramenta Security Module Database. Para
informações sobre certificado e gerenciamento de banco de dados de chaves, consulte Usando o Banco de Dados de Certificados
Tool.
Para executar a Ferramenta de Gerenciamento da Lista de Revogação de Certificados, digite o comando
opção crlutil [argumentos]
onde opções e argumentos são combinações das opções e argumentos listados no
seção seguinte. Cada comando tem uma opção. Cada opção pode levar zero ou mais
argumentos. Para ver uma string de uso, emita o comando sem opções ou com o -H
opção.
OPÇÕES E ARGUMENTOS
Opções
As opções especificam uma ação. Os argumentos da opção modificam uma ação. As opções e argumentos
para o comando crlutil são definidos da seguinte forma:
-D
Exclua a lista de revogação de certificados do banco de dados de certificados.
-E
Apaga todas as CRLs do tipo especificado do banco de dados de certificados
-G
Crie uma nova Lista de Revogação de Certificados (CRL).
-I
Importar uma CRL para o banco de dados certificado
-L
Lista a CRL existente localizada no arquivo de banco de dados certificado.
-M
Modifique a CRL existente que pode estar localizada em um banco de dados certificado ou em um arquivo arbitrário. Se localizado
no arquivo, deve ser codificado no formato de codificação ASN.1.
-S
Mostra o conteúdo de um arquivo CRL que não está armazenado no banco de dados.
Argumentos
Os argumentos da opção modificam uma ação.
-a
Use o formato ASCII ou permita o uso do formato ASCII para entrada e saída. Esse
a formatação segue RFC # 1113.
-B
Ignore as verificações de assinatura do CA.
-c arquivo crl-gen
Especifique o arquivo de script que será usado para controlar a geração / modificação crl. Ver
formato de arquivo crl-cript abaixo. Se as opções -M | -G forem usadas e -c crl-script-file não for
especificado, crlutil lerá os dados do script da entrada padrão.
-d diretório
Especifique o diretório do banco de dados que contém o certificado e os arquivos do banco de dados de chaves. Sobre
Unix, a ferramenta de banco de dados de certificados é padronizada para $ HOME / .netscape (ou seja, ~ / .netscape).
No Windows NT, o padrão é o diretório atual.
Os arquivos de banco de dados NSS devem residir no mesmo diretório.
-f arquivo de senha
Especifique um arquivo que fornecerá automaticamente a senha para incluir em um certificado
ou para acessar um banco de dados de certificados. Este é um arquivo de texto simples contendo um
senha. Certifique-se de evitar o acesso não autorizado a este arquivo.
-i arquivo crl
Especifique o arquivo que contém a CRL para importar ou mostrar.
-l algoritmo-nome
Especifique um algoritmo de assinatura específico. Lista de algoritmos possíveis: MD2 | MD4 | MD5 |
SHA1 | SHA256 | SHA384 | SHA512
-n apelido
Especifique o apelido de um certificado ou chave para listar, criar, adicionar a um banco de dados,
modificar ou validar. Coloque a string do apelido entre aspas, se ela contiver
espaços.
-o arquivo de saída
Especifique o nome do arquivo de saída para a nova CRL. Encaixe a string do arquivo de saída com
aspas se contiver espaços. Se este argumento não for usado, a saída
o destino é padronizado para a saída padrão.
-P dbprefixo
Especifique o prefixo usado nos arquivos de banco de dados de segurança NSS (por exemplo, my_cert8.db
e my_key3.db). Esta opção é fornecida como um caso especial. Mudando os nomes do
certificados e bancos de dados de chaves não são recomendados.
-t tipo crl
Especifique o tipo de CRL. os tipos possíveis são: 0 - SEC_KRL_TYPE, 1 - SEC_CRL_TYPE. Esse
opção é obsoleta
-você URL
Especifique o url.
-w string-pwd
Forneça a senha do banco de dados na linha de comando.
Algoritmo -Z
Especifique o algoritmo de hash a ser usado para assinar a CRL.
CRL GERAÇÃO SCRIPT SINTAXE
O arquivo de script de geração de CRL tem a seguinte sintaxe:
* A linha com comentários deve ter # como primeiro símbolo de uma linha
* Defina os campos CRL "esta atualização" ou "próxima atualização":
update = YYYYMMDDhhmmssZ nextupdate = YYYYMMDDhhmmssZ
O campo "próxima atualização" é opcional. A hora deve estar no formato GeneralizedTime
(AAAAMMDDhhmmssZ). Por exemplo: 20050204153000Z
* Adicione uma extensão a uma CRL ou uma entrada de certificado crl:
nome de extensão addext crítico / não crítico [arg1 [arg2 ...]]
Onde:
nome da extensão: valor da string de um nome de extensões conhecidas. crítico / não crítico: é 1
quando a extensão é crítica e 0 caso contrário. arg1, arg2: específico para o tipo de extensão
parâmetros de extensão
addext usa o intervalo que foi definido anteriormente por addcert e instalará uma extensão para
todas as entradas de certificado dentro do intervalo.
* Adicionar entrada (ões) de certificado (s) ao CRL:
data do intervalo addcert
intervalo: dois valores inteiros separados por traço: intervalo de certificados que serão adicionados por
este comando. traço é usado como um delimitador. Apenas um certificado será adicionado se não houver
delimitador. data: data de revogação de um certificado. A data deve ser representada em GeneralizedTime
formato (AAAAMMDDhhmmssZ).
* Remover entrada (ões) de certificado (s) do CRL
alcance rmcert
Onde:
intervalo: dois valores inteiros separados por traço: intervalo de certificados que serão adicionados por
este comando. traço é usado como um delimitador. Apenas um certificado será adicionado se não houver
delimitador.
* Alterar intervalo de entrada (ões) de certificado (s) em CRL
gama nova gama
Onde:
novo intervalo: dois valores inteiros separados por traço: intervalo de certificados que serão adicionados
por este comando. traço é usado como um delimitador. Apenas um certificado será adicionado se não houver
delimitador.
Extensões Implementadas
As extensões definidas para CRL fornecem métodos para associar atributos adicionais com
CRLs de suas entradas. Para obter mais informações, consulte RFC # 3280
* Adicionar extensão The Authority Key Identifier:
A extensão do identificador de chave de autoridade fornece um meio de identificar a chave pública
correspondente à chave privada usada para assinar uma CRL.
authKeyId crítico [id-chave | dn cert-serial]
Onde:
authKeyIdent: identifica o nome de uma extensão crítica: valor 1 de 0. Deve ser definido
para 1 se esta extensão for crítica ou 0 caso contrário. id-chave: identificador de chave representado em
string de octeto. dn :: é um nome distinto de CA cert-serial: serial do certificado de autoridade
número.
* Adicionar extensão de nome alternativo do emissor:
A extensão de nomes alternativos do emissor permite que identidades adicionais sejam associadas a
o emissor da CRL. As opções definidas incluem um nome rfc822 (endereço de correio eletrônico), um
Nome DNS, um endereço IP e um URI.
issuerAltNames lista de nomes não críticos
Onde:
subjAltNames: identifica o nome de uma extensão deve ser definido como 0, pois este é
lista de nomes de extensões não críticas: lista de nomes separados por vírgulas
* Adicionar extensão de número CRL:
O número CRL é uma extensão CRL não crítica que transmite um aumento monotônico
número de sequência para um determinado escopo e emissor de CRL. Esta extensão permite aos usuários
determinar facilmente quando uma determinada CRL substitui outra CRL
crlNumber número não crítico
Onde:
crlNumber: identifica o nome de uma extensão crítica: deve ser definido como 0, pois é
número de ramal não crítico: valor de long que identifica o número sequencial de um
CRL.
* Adicionar extensão de código de motivo de revogação:
O reasonCode é uma extensão de entrada CRL não crítica que identifica o motivo do
revogação de certificado.
código não crítico de reasonCode
Onde:
reasonCode: identifica o nome de uma extensão não crítica: deve ser definido como 0, pois
este é um código de extensão não crítico: os seguintes códigos estão disponíveis:
não especificado (0), keyCompromise (1), cACompromise (2), affiliationChanged (3), substituído
(4), cessationOfOperation (5), certificateHold (6), removeFromCRL (8), privilégioWithdrawn
(9), aACompromisso (10)
* Adicionar extensão de data de invalidez:
A data de invalidade é uma extensão de entrada CRL não crítica que fornece a data em que
sabe-se ou suspeita-se que a chave privada foi comprometida ou que o certificado
caso contrário, tornou-se inválido.
invalidityDate data não crítica
Onde:
crlNumber: identifica o nome de uma extensão não crítica: deve ser definido como 0, pois isso
é uma data de extensão não crítica: data de invalidade de um certificado. A data deve ser representada em
Formato GeneralizedTime (AAAAMMDDhhmmssZ).
USO
Os recursos da Ferramenta de Gerenciamento da Lista de Revogação de Certificados são agrupados da seguinte forma,
usando essas combinações de opções e argumentos. Opções e argumentos no quadrado
colchetes são opcionais, aqueles sem colchetes são obrigatórios.
Consulte "Extensões implementadas" para obter mais informações sobre extensões e seus
parâmetros.
* Criação ou modificação de uma CRL:
crlutil -G | -M -c crl-gen-arquivo -n apelido [-i crl] [-u url] [-d keydir] [-P dbprefix] [-l alg] [-a] [-B]
* Listando todos os CRls ou um CRL nomeado:
crlutil -L [-n nome-crl] [-d krydir]
* Excluindo CRL do banco de dados:
crlutil -D -n apelido [-d keydir] [-P dbprefix]
* Apagando CRLs do banco de dados:
crlutil -E [-d keydir] [-P dbprefix]
* Excluindo CRL do banco de dados:
crlutil -D -n apelido [-d keydir] [-P dbprefix]
* Apagando CRLs do banco de dados:
crlutil -E [-d keydir] [-P dbprefix]
* Importar CRL do arquivo:
crlutil -I -i crl [-t crlType] [-u url] [-d keydir] [-P dbprefix] [-B]
Use crlutil online usando serviços onworks.net