EnglezăFrancezăSpaniolă

Ubuntu | Fedora | VPN | File sharing

Ad


Favicon OnWorks

cassl - Online în cloud

Rulați cassl în furnizorul de găzduire gratuit OnWorks prin Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS

Aceasta este comanda cassl care poate fi rulată în furnizorul de găzduire gratuit OnWorks folosind una dintre multiplele noastre stații de lucru online gratuite, cum ar fi Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS

PROGRAM:

NUME


ca - eșantion de aplicație CA minimă

REZUMAT


OpenSSL ca [-verbos] [-config nume de fișier] [-Yam secțiune] [-gencrl] [-revoca fişier] [-stare
de serie] [-actualizatb] [-crl_motiv motiv] [-crl_hold instrucție] [-crl_compromis timp]
[-crl_CA_compromis timp] [-crldays zile] [-crlhours ore] [-crlexturi secțiune] [-data de început
data] [-Data de încheiere data] [-zile arg] [-md arg] [-politică arg] [-cheie arg] [-forma cheie
PEM|DER] [-cheie arg] [-trece în arg] [-cert fişier] [-autosemnare] [-în fişier] [-afară fişier]
[-notext] [-outdir dir] [-infiles] [-spkac fişier] [-ss_cert fişier] [-preserveDN]
[-noemailDN] [-lot] [-msie_hack] [-extensii secțiune] [-extfile secțiune] [-motor id]
[-subj arg] [-utf8] [-multivaloare-rdn]

DESCRIERE


ca comanda este o aplicație CA minimă. Poate fi folosit pentru a semna cereri de certificat
o varietate de formulare și generează CRL-uri, menține, de asemenea, o bază de date text de emise
certificate și statutul acestora.

Descrierile opțiunilor vor fi împărțite în fiecare scop.

CA OPŢIUNI


-config nume de fișier
specifică fișierul de configurare de utilizat.

-Yam secțiune
specifică secțiunea fișierului de configurare de utilizat (înlocuiește implicit_ca în ca
secțiune).

-în nume de fișier
un nume de fișier de intrare care conține o singură cerere de certificat care urmează să fie semnată de CA.

-ss_cert nume de fișier
un singur certificat autosemnat care trebuie semnat de CA.

-spkac nume de fișier
un fișier care conține o singură cheie publică semnată Netscape și provocare și suplimentar
valorile câmpului care urmează să fie semnate de CA. Vezi SPKAC FORMAT secțiune pentru informații despre
formatul de intrare și de ieșire necesar.

-infiles
dacă este prezentă, aceasta ar trebui să fie ultima opțiune, toate argumentele ulterioare sunt presupuse la
numele fișierelor care conțin cereri de certificat.

-afară nume de fișier
fișierul de ieșire pentru a trimite certificatele. Valoarea implicită este ieșirea standard. The
Detaliile certificatului vor fi, de asemenea, tipărite în acest fișier în format PEM (cu excepția faptului că
-spkac iese formatul DER).

-outdir director
directorul în care să scoată certificatele. Certificatul va fi scris într-un nume de fișier
constând din numărul de serie în hexadecimal cu „.pem” anexat.

-cert
fișierul certificatului CA.

-cheie nume de fișier
cheia privată cu care să semnați cererile.

-forma cheie PEM|DER
formatul datelor din fișierul cheii private. Valoarea implicită este PEM.

-cheie parola
parola folosită pentru a cripta cheia privată. Deoarece pe unele sisteme linia de comandă
argumentele sunt vizibile (de ex. Unix cu utilitarul „ps”) această opțiune ar trebui folosită
Cu grijă.

-autosemnare
indică că certificatele emise trebuie semnate cu cheia certificatului
cererile au fost semnate cu (date cu -cheie). Cererile de certificat semnate cu a
chei diferite sunt ignorate. Dacă -spkac, -ss_cert or -gencrl sunt date, -autosemnare is
ignorat.

O consecință a utilizării -autosemnare este că certificatul autosemnat apare printre
intrări în baza de date de certificate (vezi opțiunea de configurare Baza de date), și utilizări
același număr de serie ca toate celelalte certificate semnează cu autosemnatul
certificat.

-trece în arg
sursa parolei cheie. Pentru mai multe informații despre formatul de arg a se vedea TRECERE
FRAZA ARGUMENTE secțiune în OpenSSL(1).

-verbos
aceasta imprimă detalii suplimentare despre operațiunile efectuate.

-notext
nu trimiteți forma text a unui certificat în fișierul de ieșire.

-data de început data
aceasta permite setarea explicită a datei de începere. Formatul datei este
YYMMDDHHMMSSZ (la fel ca o structură ASN1 UTCTime).

-Data de încheiere data
aceasta permite setarea explicită a datei de expirare. Formatul datei este
YYMMDDHHMMSSZ (la fel ca o structură ASN1 UTCTime).

-zile arg
numărul de zile pentru care se certifică certificatul.

-md ALG
rezumatul mesajului de utilizat. Valorile posibile includ md5, sha1 și mdc2. Această opțiune
se aplică și CRL-urilor.

-politică arg
această opțiune definește „politica” CA de utilizat. Aceasta este o secțiune din configurație
fișier care decide ce câmpuri ar trebui să fie obligatorii sau să se potrivească cu certificatul CA. Verifica
afară POLITICĂ FORMAT secțiune pentru mai multe informații.

-msie_hack
aceasta este o opțiune moștenită de făcut ca lucrează cu versiuni foarte vechi ale certificatului IE
control de înscriere „certenr3”. A folosit UniversalStrings pentru aproape orice. De cand
Vechiul control are diverse erori de securitate utilizarea sa este puternic descurajată. Mai nou
controlul „Xenroll” nu are nevoie de această opțiune.

-preserveDN
În mod normal, ordinea DN a unui certificat este aceeași cu ordinea câmpurilor din
secțiunea relevantă de politică. Când această opțiune este setată, ordinea este aceeași cu cererea.
Acest lucru este în mare măsură pentru compatibilitatea cu controlul de înscriere IE mai vechi, care ar fi
acceptă certificate numai dacă DN-urile lor se potrivesc cu ordinea solicitării. Acest lucru nu este
necesare pentru Xenroll.

-noemailDN
DN-ul unui certificat poate conține câmpul EMAIL dacă este prezent în DN-ul cererii,
totuși, este o politică bună să ai e-mailul setat în extensia altName a
certificat. Când această opțiune este setată, câmpul EMAIL este eliminat din certificat'
subiect și așezat numai în extensiile, eventual prezente. The email_in_dn cuvinte cheie
poate fi folosit în fișierul de configurare pentru a activa acest comportament.

-lot
aceasta setează modul lot. În acest mod nu se vor pune întrebări și toate certificatele
vor fi certificate automat.

-extensii secțiune
secțiunea fișierului de configurare care conține extensii de certificat care urmează să fie adăugată
atunci când se eliberează un certificat (implicit la x509_extensions cu excepția cazului în care -extfile opțiune
este folosit). Dacă nu este prezentă nicio secțiune de extensie, atunci este creat un certificat V1. Dacă
secțiunea de extensie este prezentă (chiar dacă este goală), atunci este creat un certificat V3.
Vezi:w x509v3_config(5) pagina de manual pentru detalii despre formatul secțiunii de extensie.

-extfile fişier
un fișier de configurare suplimentar din care să citească extensiile de certificat (folosind fișierul
secțiunea implicită, cu excepția cazului în care -extensii este folosită și opțiunea).

-motor id
specificarea unui motor (prin unic id șir) va cauza ca a încerca să obțină a
referință funcțională la motorul specificat, astfel inițialându-l dacă este necesar. The
motorul va fi apoi setat ca implicit pentru toți algoritmii disponibili.

-subj arg
înlocuiește numele subiectului dat în cerere. Arg-ul trebuie să fie formatat ca
/type0=value0/type1=value1/type2=..., caracterele pot fi evadate de \ (bară oblică inversă), nr
spațiile sunt sărite.

-utf8
această opțiune face ca valorile câmpurilor să fie interpretate ca șiruri UTF8, implicit acestea sunt
interpretat ca ASCII. Aceasta înseamnă că valorile câmpului, indiferent dacă sunt solicitate de la a
terminal sau obținut dintr-un fișier de configurare, trebuie să fie șiruri UTF8 valide.

-multivaloare-rdn
această opțiune face ca argumentul -subj să fie interpretat cu suport complet pentru
RDN-uri cu mai multe valori. Exemplu:

/DC=org/DC=OpenSSL/DC=users/UID=123456+CN=John Căprioară

Dacă -multi-rdn nu este utilizat, atunci valoarea UID este 123456+CN=Ioan Căprioară.

CRL OPŢIUNI


-gencrl
această opțiune generează un CRL pe baza informațiilor din fișierul index.

-crldays o
numărul de zile înainte ca următorul CRL să fie scadent. Acestea sunt zilele de acum până la loc
câmpul CRL nextUpdate.

-crlhours o
numărul de ore înainte ca următorul CRL să fie scadent.

-revoca nume de fișier
un nume de fișier care conține un certificat de revocat.

-stare de serie
afișează starea de revocare a certificatului cu numărul de serie specificat și
iesirile.

-actualizatb
Actualizează indexul bazei de date pentru a elimina certificatele expirate.

-crl_motiv motiv
motiv de revocare, unde motiv este unul din: nespecificat, cheie Compromis, CACompromis,
afiliereSchimbată, înlocuit, cesationOfOperation, certificateHold or
removeFromCRL. Potrivirea de motiv este insensibilă la majuscule. Stabilirea oricărei revocări
motivul va face CRL v2.

În practică removeFromCRL nu este deosebit de util deoarece este folosit doar în delta
CRL-uri care nu sunt implementate în prezent.

-crl_hold instrucție
Aceasta setează codul motivului revocării CRL la certificateHold și instrucțiunea de reținere
la instrucție care trebuie să fie un OID. Deși orice OID poate fi folosit numai
holdInstructionNone (a cărui utilizare este descurajată de RFC2459)
holdInstructionCallIssuer or holdInstructionReject va fi folosit în mod normal.

-crl_compromis timp
Acest lucru stabilește motivul revocării la cheie Compromis iar timpul de compromis pentru timp. timp
ar trebui să fie în format GeneralizedTime, adică AAAAMMDDDHHMMSSZ.

-crl_CA_compromis timp
Aceasta este la fel ca crl_compromis cu excepția faptului că motivul revocării este setat la
CACompromis.

-crlexturi secțiune
secțiunea fișierului de configurare care conține extensii CRL de inclus. Dacă nu există CRL
secțiunea de extensie este prezentă, atunci este creată un CRL V1, dacă secțiunea de extensie CRL este
prezent (chiar dacă este gol), atunci este creat un CRL V2. Extensiile CRL specificate
sunt extensii CRL și nu Extensii de intrare CRL. Trebuie remarcat faptul că unele
software-ul (de exemplu Netscape) nu poate gestiona CRL-urile V2. Vedea x509v3_config(5) pagina de manual
pentru detalii despre formatul secțiunii de extensie.

CONFIGURARE FILE OPŢIUNI


Secțiunea fișierului de configurare care conține opțiuni pentru ca se regăseşte astfel: Dacă
il -Yam este folosită opțiunea de linie de comandă, apoi denumește secțiunea care va fi utilizată. Altfel cel
secțiunea care urmează să fie utilizată trebuie să fie denumită în implicit_ca opțiunea ca secţiunea de
fișier de configurare (sau în secțiunea implicită a fișierului de configurare). in afara de asta
implicit_ca, următoarele opțiuni sunt citite direct din ca secțiune:
RANDFILE conserva
msie_hack Cu excepția RANDFILE, acesta este probabil o eroare și se poate schimba în viitor
de presă.

Multe dintre opțiunile fișierului de configurare sunt identice cu opțiunile din linia de comandă. Unde
opțiunea este prezentă în fișierul de configurare și linia de comandă este valoarea liniei de comandă
folosit. Acolo unde o opțiune este descrisă ca fiind obligatorie, atunci aceasta trebuie să fie prezentă în
fișierul de configurare sau echivalentul liniei de comandă (dacă există) utilizat.

oid_file
Aceasta specifică un fișier care conține suplimentar OBIECT IDENTIFICATORI. Fiecare linie a fișierului
ar trebui să conțină forma numerică a identificatorului de obiect urmată de spațiu alb
apoi numele scurt urmat de spațiu alb și în final numele lung.

oid_section
Aceasta specifică o secțiune din fișierul de configurare care conține un obiect suplimentar
identificatori. Fiecare linie ar trebui să fie compusă din numele scurt al identificatorului de obiect
urmată de = și forma numerică. Numele scurt și lung sunt aceleași atunci când acest lucru
este folosită opțiunea.

new_certs_dir
la fel ca -outdir opțiunea de linie de comandă. Specifică directorul unde este nou
vor fi depuse certificate. Obligatoriu.

certificat
la fel ca -cert. Acesta oferă fișierul care conține certificatul CA. Obligatoriu.

cheie_privată
la fel ca și -cheie opțiune. Fișierul care conține cheia privată CA. Obligatoriu.

RANDFILE
un fișier folosit pentru a citi și a scrie informații de generare a numărului aleatoriu sau un soclu EGD (vezi
RAND_egd(3)).

default_days
la fel ca -zile opțiune. Numărul de zile pentru care se certifică un certificat.

default_startdate
la fel ca -data de început opțiune. Data de început pentru certificarea unui certificat. Dacă nu
setați ora curentă utilizată.

default_enddate
la fel ca -Data de încheiere opțiune. Fie această opțiune, fie default_days (sau comanda
echivalente de linie) trebuie să fie prezente.

default_crl_hours default_crl_days
la fel ca -crlhours si -crldays Opțiuni. Acestea vor fi folosite numai dacă niciuna dintre ele
opțiunea de linie de comandă este prezentă. Cel puțin unul dintre acestea trebuie să fie prezent pentru a genera a
CRL.

default_md
la fel ca -md opțiune. Rezumatul mesajului de utilizat. Obligatoriu.

Baza de date
fișierul baza de date text de utilizat. Obligatoriu. Acest fișier trebuie să fie prezent totuși inițial
va fi gol.

subiect_unic
dacă valoarea da este dat, trebuie să aibă intrările certificatelor valide din baza de date
subiecte unice. dacă valoarea Nu. este dat, mai multe intrări valide de certificat pot avea
exact acelasi subiect. Valoarea implicită este da, pentru a fi compatibil cu mai vechi (pre
0.9.8) versiunile OpenSSL. Cu toate acestea, pentru a facilita transferul certificatului CA, este
se recomandă utilizarea valorii Nu., mai ales dacă este combinat cu -autosemnare comandă
opțiunea de linie.

de serie
un fișier text care conține următorul număr de serie de utilizat în hexadecimal. Obligatoriu. Acest fișier
trebuie să fie prezent și să conțină un număr de serie valid.

crlnumber
un fișier text care conține următorul număr CRL de utilizat în hex. Numărul crl va fi
inserat în CRL-uri numai dacă acest fișier există. Dacă acest fișier este prezent, trebuie
conține un număr CRL valid.

x509_extensions
la fel ca -extensii.

crl_extensions
la fel ca -crlexturi.

păstra
la fel ca -preserveDN

email_in_dn
la fel ca -noemailDN. Dacă doriți ca câmpul EMAIL să fie eliminat din DN-ul
certificat pur și simplu setați acest lucru la „nu”. Dacă nu este prezent, implicit este de a permite
EMAIL depus în DN-ul certificatului.

msie_hack
la fel ca -msie_hack

Politica
la fel ca -politică. Obligatoriu. Vezi POLITICĂ FORMAT secțiune pentru mai multe informații.

nume_opt, cert_opt
aceste opțiuni permit formatul utilizat pentru afișarea detaliilor certificatului atunci când se solicită
utilizator pentru a confirma semnarea. Toate opțiunile acceptate de x509 utilitati -nameopt și
-certopt comutatoarele pot fi folosite aici, cu excepția no_signame și no_sigdump sunt
setat permanent și nu poate fi dezactivat (acest lucru se datorează faptului că semnătura certificatului
nu poate fi afișat deoarece certificatul nu a fost semnat în acest moment).

Pentru comoditate valorile ca_default sunt acceptate de ambii pentru a produce un rezonabil
ieșire.

Dacă nicio opțiune nu este prezentă, se folosește formatul folosit în versiunile anterioare de OpenSSL.
Utilizarea vechiului format este tare descurajat deoarece afișează doar câmpuri
menționat în Politica secțiune, gestionează greșit tipurile de șiruri cu mai multe caractere și nu
extensii de afișare.

copy_extensions
determină modul în care ar trebui gestionate extensiile în cererile de certificat. Dacă este setat la nici unul
sau această opțiune nu este prezentă, atunci extensiile sunt ignorate și nu sunt copiate în
certificat. Dacă este setat la copiaţi apoi orice prelungiri prezente în cerere care nu sunt
deja prezente sunt copiate pe certificat. Dacă este setat la copyall apoi toate extensiile
în cerere sunt copiate pe certificat: dacă extensia este deja prezentă în
certificatul este șters mai întâi. Vezi AVERTISMENTE secțiunea înainte de a utiliza aceasta
opțiune.

Utilizarea principală a acestei opțiuni este de a permite unei cereri de certificat pentru a furniza valori pentru
anumite extensii, cum ar fi subiectAltName.

POLITICĂ FORMAT


Secțiunea de politică constă dintr-un set de variabile corespunzătoare câmpurilor DN certificatului.
Dacă valoarea este „potrivire”, atunci valoarea câmpului trebuie să se potrivească cu același câmp din CA
certificat. Dacă valoarea este „furnizată”, atunci trebuie să fie prezentă. Dacă valoarea este
„opțional”, atunci poate fi prezent. Orice câmpuri care nu sunt menționate în secțiunea de politici sunt
șters în tăcere, cu excepția cazului în care -preserveDN opțiunea este setată, dar aceasta poate fi considerată mai mult a
ciudat decât comportamentul intenționat.

SPKAC FORMAT


Intrarea către -spkac opțiunea de linie de comandă este o cheie publică și o provocare semnată Netscape.
Acest lucru va veni de obicei de la KEYGEN eticheta într-un formular HTML pentru a crea o nouă cheie privată.
Cu toate acestea, este posibil să creați SPKAC-uri folosind spkac utilitate.

Fișierul ar trebui să conțină variabila SPKAC setată la valoarea SPKAC și, de asemenea, la
componentele DN necesare ca perechi valori nume. Dacă trebuie să includeți aceeași componentă
de două ori apoi poate fi precedat de un număr și de un „.”.

La procesarea formatului SPKAC, rezultatul este DER dacă -afară este folosit flag, dar formatul PEM
dacă trimite la stdout sau la -outdir este folosit steag.

EXEMPLE


Notă: aceste exemple presupun că ca Structura directorului este deja configurată și
fișierele relevante există deja. Aceasta implică de obicei crearea unui certificat CA și privat
cheie cu cer, un fișier cu numărul de serie și un fișier index gol și plasarea acestora în fișierul
directoare relevante.

Pentru a utiliza exemplul de fișier de configurare de sub directoarele demoCA, demoCA/private și
ar fi creat demoCA/newcerts. Certificatul CA va fi copiat pe demoCA/cacert.pem
și cheia sa privată la demoCA/private/cakey.pem. Ar fi creat un fișier demoCA/serial
care conține de exemplu „01” și fișierul index gol demoCA/index.txt.

Semnează o cerere de certificat:

openssl ca -in req.pem -out newcert.pem

Semnați o cerere de certificat, folosind extensii CA:

openssl ca -in req.pem -extensions v3_ca -out newcert.pem

Generați un CRL

openssl ca -gencrl -out crl.pem

Semnează mai multe cereri:

openssl ca -infiles req1.pem req2.pem req3.pem

Certificați un SPKAC Netscape:

openssl ca -spkac spkac.txt

Un exemplu de fișier SPKAC (linia SPKAC a fost trunchiată pentru claritate):

SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN=Steve Test
emailAddress=[e-mail protejat]
0.OU=Grup OpenSSL
1.OU=Un alt grup

Un exemplu de fișier de configurare cu secțiunile relevante pentru ca:

[ca]
default_ca = CA_default # Secțiunea implicită ca

[ CA_default ]

dir = ./demoCA # top dir
baza de date = $dir/index.txt # fișier index.
new_certs_dir = $dir/newcerts # dir.cert noi

certificat = $dir/cacert.pem # Certificatul CA
serial = $dir/serial # serial fără fișier
cheie_privată = $dir/private/cakey.pem# Cheie privată CA
RANDFILE = $dir/private/.rand # fișier cu numere aleatorii

default_days = 365 # pentru cât timp se certifică
default_crl_days= 30 # cât timp înaintează următorul CRL
default_md = md5 # md de utilizat

policy = policy_any # politică implicită
email_in_dn = nu # Nu adăugați e-mailul în cert DN

name_opt = ca_default # Opțiunea de afișare a numelui subiectului
cert_opt = ca_default # Opțiune de afișare a certificatului
copy_extensions = none # Nu copiați extensiile din solicitare

[ policy_any ]
countryName = furnizat
stateOrProvinceName = opțional
organizationName = opțional
organizationalUnitName = opțional
commonName = furnizat
emailAddress = opțional

Utilizați cassl online folosind serviciile onworks.net


Servere și stații de lucru gratuite

>>


Descărcați aplicații Windows și Linux

>>


  • 1
    Zabbix
    Zabbix
    Zabbix este o companie deschisă de clasă enterprise
    soluție de monitorizare distribuită la sursă
    conceput pentru a monitoriza și urmări
    performanța și disponibilitatea rețelei
    servere, dispozitive...
    Descărcați Zabbix
  • 2
    KDiff3
    KDiff3
    Acest depozit nu mai este întreținut
    și se păstrează în scop de arhivă. Vedea
    https://invent.kde.org/sdk/kdiff3 for
    cel mai nou cod și
    https://download.kde.o...
    Descărcați KDiff3
  • 3
    USBLoaderGX
    USBLoaderGX
    USBLoaderGX este o interfață grafică pentru
    Încărcătorul USB al lui Waninkoko, bazat pe
    libwiigui. Permite listarea și
    lansarea de jocuri Wii, jocuri Gamecube și
    homebrew pe Wii și WiiU...
    Descărcați USBLoaderGX
  • 4
    Firebird
    Firebird
    Firebird RDBMS oferă caracteristici ANSI SQL
    și rulează pe Linux, Windows și
    mai multe platforme Unix. Caracteristici
    concurență și performanță excelente
    & putere...
    Descărcați Firebird
  • 5
    KompoZer
    KompoZer
    KompoZer este un editor HTML wysiwyg care utilizează
    baza de cod Mozilla Composer. La fel de
    Dezvoltarea Nvu a fost oprită
    în 2005, KompoZer remediază multe erori și
    adaugă un f...
    Descărcați KompoZer
  • 6
    Descărcător gratuit de manga
    Descărcător gratuit de manga
    Free Manga Downloader (FMD) este un
    aplicație open source scrisă în
    Object-Pascal pentru gestionarea și
    descărcarea manga de pe diverse site-uri web.
    Aceasta este o oglindă...
    Descărcați gratuit Manga Downloader
  • Mai mult »

Comenzi Linux

Ad




DESPRE ONWORKS®

OnWorks este un furnizor de găzduire VPS online gratuit care oferă servicii cloud cum ar fi stații de lucru gratuite, AntiVirus online, proxy VPN gratuit și e-mail personal și de afaceri gratuit. VPS-ul nostru gratuit poate fi bazat pe CentOS, Fedora, Ubuntu și Debian. Unele dintre ele sunt personalizate pentru a fi ca Windows online sau MacOS online.

Link-uri de site
Site-urile noastre

Copyright ©2023 OffiDocs Group OU. Toate drepturile rezervate. OnWorks® este o marcă înregistrată.