certutil - Online in Cloud

PROGRAM:

NUME

certutil - Gestionați cheile și certificatul atât în ​​bazele de date NSS, cât și în alte jetoane NSS

REZUMAT

certutil [Opțiuni] [[argumente]]

STAREA

Această documentație este încă în lucru. Vă rugăm să contribuiți la revizuirea inițială în
Mozilla NSS bug 836477[1]

DESCRIERE

Instrumentul de bază de date pentru certificate, certutil, este un utilitar de linie de comandă care poate crea și
modificați certificatele și bazele de date cu chei. Poate lista, genera, modifica în mod specific sau
ștergeți certificate, creați sau modificați parola, generați o nouă cheie publică și privată
perechi, afișați conținutul bazei de date de chei sau ștergeți perechile de chei din cheie
Bază de date.

Eliberarea certificatului, parte a procesului de gestionare a cheilor și certificatelor, necesită acest lucru
cheile și certificatele să fie create în baza de date a cheilor. Acest document discută despre certificat
și managementul bazei de date cheie. Pentru informații despre gestionarea bazei de date a modulului de securitate,
a se vedea modutil pagina de manual.

COMMAND OPŢIUNI AND ARGUMENTE

Alergare certutil necesită întotdeauna una și o singură opțiune de comandă pentru a specifica tipul de
operare certificat. Fiecare opțiune de comandă poate lua zero sau mai multe argumente. Comanda
opțiune -H va lista toate opțiunile de comandă și argumentele lor relevante.

Comandă Opţiuni

-A
Adăugați un certificat existent la o bază de date de certificate. Baza de date cu certificate ar trebui
Există deja; dacă nu există una, această opțiune de comandă se va inițializa una după
Mod implicit.

-B
Rulați o serie de comenzi din fișierul batch specificat. Acest lucru necesită -i a susținut.

-C
Creați un nou fișier de certificat binar dintr-un fișier de solicitare de certificat binar. Folosește
-i argument pentru a specifica fișierul de cerere de certificat. Dacă acest argument nu este folosit,
certutil solicită un nume de fișier.

-D
Ștergeți un certificat din baza de date de certificate.

--redenumiți
Schimbați porecla bazei de date a unui certificat.

-E
Adăugați un certificat de e-mail la baza de date de certificate.

-F
Ștergeți o cheie privată dintr-o bază de date de chei. Specificați cheia de șters cu -n
argument. Specificați baza de date din care să ștergeți cheia cu -d argument. Utilizare
il -k argument pentru a specifica în mod explicit dacă să ștergeți o cheie DSA, RSA sau ECC. daca tu
nu folosi -k argument, opțiunea caută o cheie RSA care se potrivește cu cea specificată
poreclă.

Când ștergeți cheile, asigurați-vă că eliminați și toate certificatele asociate cu acestea
chei din baza de date de certificate, folosind -D. Unele carduri inteligente nu vă lasă
eliminați o cheie publică pe care ați generat-o. Într-un astfel de caz, doar cheia privată este
șterse din perechea de chei. Puteți afișa cheia publică cu comanda certutil -K
-h nume de simbol.

-G
Generați o nouă pereche de chei publice și private într-o bază de date de chei. Baza de date a cheilor
ar trebui să existe deja; dacă nu există una, această opțiune de comandă va inițializa una
în mod implicit. Unele carduri inteligente pot stoca doar o pereche de chei. Dacă creați o nouă pereche de chei
pentru un astfel de card, perechea anterioară este suprascrisă.

-H
Afișează o listă cu opțiunile și argumentele comenzii.

-K
Listați ID-ul cheilor din baza de date a cheilor. Un ID de cheie este modulul cheii RSA sau
publicValue a cheii DSA. ID-urile sunt afișate în hexazecimal („0x” nu este afișat).

-L
Listați toate certificatele sau afișați informații despre un certificat numit, într-un
baza de date de certificate. Utilizați argumentul -h tokenname pentru a specifica certificatul
baza de date pe un anumit token hardware sau software.

-M
Modificați atributele de încredere ale unui certificat folosind valorile argumentului -t.

-N
Creați noi baze de date de certificate și chei.

-O
Imprimați lanțul de certificate.

-R
Creați un fișier de cerere de certificat care poate fi trimis unei autorități de certificare
(CA) pentru procesare într-un certificat finit. Ieșirea este implicită la ieșire standard
cu excepția cazului în care utilizați argumentul -o fișier de ieșire. Utilizați argumentul -a pentru a specifica ieșirea ASCII.

-S
Creați un certificat individual și adăugați-l la o bază de date de certificate.

-T
Resetați baza de date a cheilor sau jetonul.

-U
Listați toate modulele disponibile sau imprimați un singur modul numit.

-V
Verificați valabilitatea unui certificat și atributele acestuia.

-W
Schimbați parola într-o bază de date cu chei.

--combina
Îmbină două baze de date într-una singură.

--upgrade-merge
Actualizați o bază de date veche și îmbinați-o într-o bază de date nouă. Acesta este folosit pentru a migra
bazele de date vechi NSS (cert8.db și key3.db) în bazele de date SQLite mai noi (cert9.db
și cheia4.db).

Argumente

Argumentele modifică o opțiune de comandă și sunt de obicei litere mici, numere sau simboluri.

-a
Utilizați formatul ASCII sau permiteți utilizarea formatului ASCII pentru intrare sau ieșire. Această formatare
urmează RFC 1113. Pentru cererile de certificat, ieşirea ASCII este implicită la ieşirea standard
dacă nu este redirecționat.

-b valabilitate-timp
Specificați o oră la care este necesar ca un certificat să fie valabil. Utilizați când verificați
valabilitatea certificatului cu -V opțiune. Formatul valabilitate-timp argumentul este
AAMMDDDHHMMSS[+HHMM|-HHMM|Z], care permite setarea compensațiilor în raport cu valabilitatea
Sfârșitul timpului. Specificarea secundelor (SS) este opțională. Când specificați o oră explicită, utilizați a
Z la sfârșitul termenului, AAAMMDDDHHMMSSZ, să-l închidă. Când specificați un timp de compensare,
utilizare YYMMDDHHMMSS+HHMM or AAAMMDDDHHMMSS-HHMM pentru adăugarea sau scăderea timpului,
respectiv.

Dacă această opțiune nu este utilizată, verificarea validității este implicită la ora curentă a sistemului.

-c emitent
Identificați certificatul CA din care își va deriva un nou certificat
autenticitate. Utilizați pseudonimul exact sau aliasul certificatului CA sau folosiți CA-urile
adresa de email. Încadrați șirul emitentului cu ghilimele dacă conține spații.

-d [prefix]director
Specificați directorul bazei de date care conține certificatul și fișierele bazei de date cu chei.

certutil acceptă două tipuri de baze de date: bazele de date vechi de securitate (cert8.db,
key3.db și secmod.db) și noile baze de date SQLite (cert9.db, key4.db și pkcs11.txt).

NSS recunoaște următoarele prefixe:

· sql: solicită baza de date mai nouă

· dbm: solicită baza de date moștenită

Dacă nu este specificat niciun prefix, tipul implicit este preluat din NSS_DEFAULT_DB_TYPE. Dacă
NSS_DEFAULT_DB_TYPE nu este setat atunci dbm: este implicit.

--dump-ext-val OID
Pentru un singur certificat, imprimați codificarea DER binară a OID-ului extensiei.

-e
Verificați semnătura unui certificat în timpul procesului de validare a unui certificat.

--adresă de e-mail
Specificați adresa de e-mail a unui certificat de listat. Folosit cu opțiunea de comandă -L.

--extGeneric OID:critical-flag:filename[,OID:critical-flag:filename]...
Adăugați una sau mai multe extensii pe care certutil nu le poate codifica încă, încărcându-le
codificări din fișiere externe.

· OID (exemplu): 1.2.3.4

· critic-flag: critic sau necritic

· nume de fișier: cale completă către un fișier care conține o extensie codificată

-f fișier-parolă
Specificați un fișier care va furniza automat parola de inclus într-un certificat
sau pentru a accesa o bază de date de certificate. Acesta este un fișier text simplu care conține unul
parola. Asigurați-vă că împiedicați accesul neautorizat la acest fișier.

-g dimensiunea tastei
Setați o dimensiune a cheii pe care să o utilizați atunci când generați noi perechi de chei publice și private. Minimul este
512 biți și maximul este de 16384 biți. Valoarea implicită este 2048 de biți. Orice dimensiune între
minim și maxim este permis.

-h nume de simbol
Specificați numele unui token pe care să îl utilizați sau să acționați. Dacă nu este specificat, simbolul implicit este
slotul intern al bazei de date.

-i fisier_intrare
Transmiteți un fișier de intrare la comandă. În funcție de opțiunea de comandă, un fișier de intrare poate
fie un certificat specific, un fișier de cerere de certificat sau un fișier de comenzi în serie.

-k tip-cheie-sau-id
Specificați tipul sau ID-ul specific al unei chei.

Opțiunile de tip cheie valide sunt rsa, dsa, ec sau all. Valoarea implicită este rsa.
Specificarea tipului de cheie poate evita greșelile cauzate de poreclele duplicat. Dând o
tipul cheii generează o nouă pereche de chei; oferind ID-ul unei chei existente reutiliza acea cheie
pereche (care este necesară pentru reînnoirea certificatelor).

-l
Afișează informații detaliate la validarea unui certificat cu opțiunea -V.

-m număr de serie
Atribuiți un număr de serie unic unui certificat care este creat. Această operațiune ar trebui să fie
efectuat de un CA. Dacă nu este furnizat un număr de serie, este creat un număr de serie implicit
din timpul curent. Numerele de serie sunt limitate la numere întregi

-n porecla
Specificați porecla unui certificat sau cheie pentru a lista, crea, adăuga la o bază de date,
modifica sau valida. Parantezele șirul de poreclă cu ghilimele dacă conține
spații.

-o fișier de ieșire
Specificați numele fișierului de ieșire pentru certificate noi sau cereri de certificate binare.
Parantezele șirul fișierului de ieșire cu ghilimele dacă conține spații. Dacă aceasta
argumentul nu este utilizat, destinația de ieșire implicită la ieșirea standard.

-P dbPrefix
Specificați prefixul utilizat în fișierul baza de date a certificatului și a cheilor. Acest argument este
furnizate pentru a sprijini serverele vechi. Majoritatea aplicațiilor nu folosesc un prefix de bază de date.

-p telefon
Specificați un număr de telefon de contact pe care să îl includeți în noile certificate sau certificate
cereri. Paranteze acest șir cu ghilimele dacă conține spații.

-q pqgfile sau curve-name
Citiți o valoare PQG alternativă din fișierul specificat atunci când generați perechi de chei DSA. Dacă
acest argument nu este folosit, certutil generează propria sa valoare PQG. Fișierele PQG sunt create
cu un utilitar DSA separat.

Numele curbei eliptice este unul dintre cele din SUITE B: nistp256, nistp384, nistp521

Dacă NSS a fost compilat cu curbe suport în afara SUITEI B: sect163k1, nistk163,
sect163r1, sect163r2, nistb163, sect193r1, sect193r2, sect233k1, nistk233, sect233r1,
nistb233, sect239k1, sect283k1, nistk283, sect283r1, nistb283, sect409k1, nistk409,
sect409r1, nistb409, sect571k1, nistk571, sect571r1, nistb571, secp160k1, secp160r1,
secp160r2, secp192k1, secp192r1, nistp192, secp224k1, secp224r1, nistp224, secp256k1,
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2

-r
Afișați codificarea DER binară a unui certificat atunci când enumerați informații despre aceasta
certificat cu opțiunea -L.

-s subiect
Identificați un anumit proprietar de certificat pentru certificate noi sau solicitări de certificate.
Paranteze acest șir cu ghilimele dacă conține spații. Subiectul
formatul de identificare urmează RFC #1485.

-t încredere
Specificați atributele de încredere de modificat într-un certificat existent sau de aplicat la a
certificat atunci când îl creați sau îl adăugați la o bază de date. Sunt trei disponibile
categorii de încredere pentru fiecare certificat, exprimate în comandă ssl, e-mail, obiect
semnare pentru fiecare setare de încredere. În fiecare poziție de categorie, utilizați niciunul, oricare sau toate
codurile atributelor:

· p - Peer valid

· P - Peer de încredere (implică p)

· c - CA valabil

· T - CA de încredere (implică c)

· C - CA de încredere pentru autentificarea clientului (numai serverul ssl)

· u - utilizator

Codurile de atribute pentru categorii sunt separate prin virgule, iar întregul set de
atribute cuprinse între ghilimele. De exemplu:

-t "TCu,Cu,Tu"

Utilizați opțiunea -L pentru a vedea o listă a certificatelor curente și a atributelor de încredere în a
baza de date de certificate.

-u certusage
Specificați un context de utilizare care să fie aplicat la validarea unui certificat cu opțiunea -V.

Contextele sunt următoarele:

· C (ca client SSL)

· V (ca server SSL)

· L (ca SSL CA)

· A (ca orice CA)

· Y (Verificați CA)

· S (ca semnatar de e-mail)

· R (ca destinatar de e-mail)

· O (ca răspuns la starea OCSP)

· J (ca semnatar de obiect)

-v luni valabile
Setați numărul de luni în care va fi valabil un nou certificat. Începe perioada de valabilitate
la ora curentă a sistemului, cu excepția cazului în care se adaugă sau se scade un offset cu -w opțiune.
Dacă acest argument nu este utilizat, perioada de valabilitate implicită este de trei luni.

-w compensare-luni
Setați un decalaj față de ora curentă a sistemului, în luni, pentru începutul a
perioada de valabilitate a certificatului. Utilizați atunci când creați certificatul sau îl adăugați la a
Bază de date. Exprimați decalajul în numere întregi, folosind semnul minus (-) pentru a indica a
compensare negativă. Dacă acest argument nu este utilizat, perioada de valabilitate începe la data
ora curentă a sistemului. Lungimea perioadei de valabilitate este setată cu argumentul -v.

-X
Forțați baza de date a cheilor și a certificatelor să se deschidă în modul citire-scriere. Acesta este folosit cu
il -U și -L opțiunile de comandă.

-x
Utilizare certutil pentru a genera semnătura pentru un certificat care este creat sau adăugat la un
baza de date, mai degrabă decât obținerea unei semnături de la un CA separat.

-y exp
Setați o valoare de exponent alternativă pe care să o utilizați la generarea unei noi chei publice RSA pentru
baza de date, în loc de valoarea implicită de 65537. Valorile alternative disponibile sunt 3
și 17.

-z fişier de zgomot
Citiți o valoare inițială din fișierul specificat pentru a genera o nouă cheie privată și publică
pereche. Acest argument face posibilă utilizarea valorilor de semințe generate de hardware sau
creați manual o valoare de la tastatură. Dimensiunea minimă a fișierului este de 20 de octeți.

-Z hashAlg
Specificați algoritmul hash de utilizat cu opțiunile de comandă -C, -S sau -R. Posibil
Cuvinte cheie:

· MD2

· MD4

· MD5

· SHA1

· SHA224

· SHA256

· SHA384

· SHA512

-0 SSO_parolă
Setați o parolă de ofițer de securitate a site-ului pe un simbol.

-1 | --keyUsage cuvânt cheie,cuvânt cheie
Setați o extensie de tip certificat X.509 V3 în certificat. Sunt câteva
cuvinte cheie disponibile:

· semnatura digitala

· nerepudierea

· KeyEncipherment

· cifrarea datelor

· KeyAgreement

· certSigning

· crlSigning

· critic

-2
Adăugați o extensie de constrângere de bază la un certificat care este creat sau adăugat la un
Bază de date. Această extensie acceptă procesul de verificare a lanțului de certificate.
certutil solicită selectarea extensiei constrângerii de certificat.

Extensiile de certificat X.509 sunt descrise în RFC 5280.

-3
Adăugați o extensie a ID-ului cheii de autoritate la un certificat care este creat sau adăugat la un
Bază de date. Această extensie acceptă identificarea unui anumit certificat, de la
dintre mai multe certificate asociate cu un nume de subiect, ca emitent corect al
un certificat. Instrumentul de bază de date pentru certificate vă va solicita să selectați autoritatea
extensia ID-ului cheii.

Extensiile de certificat X.509 sunt descrise în RFC 5280.

-4
Adăugați o extensie de punct de distribuție CRL la un certificat care este creat sau adăugat
la o bază de date. Această extensie identifică adresa URL asociată unui certificat
lista de revocare a certificatelor (CRL). certutil solicită adresa URL.

Extensiile de certificat X.509 sunt descrise în RFC 5280.

-5 | --nsCertType cuvânt cheie,cuvânt cheie
Adăugați o extensie de tip certificat X.509 V3 la un certificat care este creat sau
adăugat la baza de date. Există mai multe cuvinte cheie disponibile:

· sslClient

· sslServer

· smime

· obiectSigning

· sslCA

· smimeCA

· obiectSigningCA

· critic

Extensiile de certificat X.509 sunt descrise în RFC 5280.

-6 | --extKeyUsage cuvânt cheie,cuvânt cheie
Adăugați o extensie extinsă de utilizare a cheii la un certificat care este creat sau la care este adăugat
baza de date. Sunt disponibile mai multe cuvinte cheie:

· serverAuth

· clientAuth

· semnarea codului

· EmailProtection

· timestamp-ul

· ocspResponder

· StepUp

· msTrustListSign

· critic

Extensiile de certificat X.509 sunt descrise în RFC 5280.

-7 adrese de e-mail
Adăugați o listă de adrese de e-mail separate prin virgulă la numele alternativ al subiectului
extinderea unui certificat sau a unei cereri de certificat care este creată sau adăugată
baza de date. Extensiile de nume alternative ale subiectului sunt descrise în Secțiunea 4.2.1.7 din
RFC 3280.

-8 nume dns
Adăugați o listă de nume DNS separate prin virgulă la extensia de nume alternativă a subiectului a
certificat sau cerere de certificat care este creată sau adăugată la baza de date.
Extensiile de nume alternative ale subiectului sunt descrise în Secțiunea 4.2.1.7 din RFC 3280.

--extAIA
Adăugați extensia Authority Information Access la certificat. certificat X.509
extensiile sunt descrise în RFC 5280.

--extSIA
Adăugați extensia Subject Information Access la certificat. certificat X.509
extensiile sunt descrise în RFC 5280.

--extCP
Adăugați extensia Politici de certificat la certificat. certificat X.509
extensiile sunt descrise în RFC 5280.

--extPM
Adăugați extensia Policy Mappings la certificat. Extensiile de certificat X.509 sunt
descrise în RFC 5280.

--extPC
Adăugați extensia Policy Constraints la certificat. Extensii de certificat X.509
sunt descrise în RFC 5280.

--extIA
Adăugați extensia Inhibit Any Policy Access la certificat. certificat X.509
extensiile sunt descrise în RFC 5280.

--extSKID
Adăugați extensia Subject Key ID la certificat. Extensiile de certificat X.509 sunt
descrise în RFC 5280.

--extNC
Adăugați o extensie Name Constraint la certificat. Extensiile de certificat X.509 sunt
descrise în RFC 5280.

--extSAN tip:nume[,tip:nume]...
Creați o extensie Subject Alt Name cu unul sau mai multe nume.

-tip: director, dn, dns, edi, ediparty, e-mail, ip, ipaddr, alt, registerid,
rfc822, uri, x400, x400addr

--parolă-goală
Utilizați parola goală când creați o nouă bază de date de certificate cu -N.

--keyAttrFlags attrflags
PKCS #11 Atribute cheie. Listă separată prin virgulă de steaguri de atribute cheie, selectate din
următoarea listă de opțiuni: {token | sesiune} {public | privat} {sensibil |
insensibil} {modificabil | nemodificabil} {extractabil | inextractabil}

--keyOpFlagsOn opflags, --keyOpFlagsOff opflags
Tasta PKCS #11 Indicatoare de operare. Lista separată prin virgulă cu una sau mai multe dintre următoarele:
{token | sesiune} {public | privat} {sensibil | insensibil} {modificabil |
nemodificabil} {extractabil | inextractabil}

--new-n porecla
O poreclă nouă, folosită la redenumirea unui certificat.

--source-dir certdir
Identificați directorul bazei de date de certificate pentru upgrade.

--source-prefix certdir
Dați prefixul certificatului și bazelor de date cheie pentru a face upgrade.

--upgrade-id unic ID
Dați ID-ul unic al bazei de date pentru upgrade.

--upgrade-token-name nume
Setați numele jetonului de utilizat în timp ce acesta este actualizat.

-@ pwfile
Dați numele unui fișier cu parole de utilizat pentru baza de date care este actualizată.

UTILIZARE AND EXEMPLE

Majoritatea opțiunilor de comandă din exemplele enumerate aici au mai multe argumente disponibile. The
argumentele incluse în aceste exemple sunt cele mai comune sau sunt folosite pentru a ilustra a
scenariu specific. Folosește -H opțiunea de a afișa lista completă de argumente pentru fiecare
opțiune de comandă.

Crearea Nou Securitate Baze de date

Certificatele, cheile și modulele de securitate legate de gestionarea certificatelor sunt stocate în
trei baze de date conexe:

· cert8.db sau cert9.db

· key3.db sau key4.db

· secmod.db sau pkcs11.txt

Aceste baze de date trebuie create înainte de a putea fi generate certificate sau chei.

certutil -N -d [sql:]director

Crearea a Certificat Cerere

O solicitare de certificat conține majoritatea sau toate informațiile care sunt utilizate pentru a genera
certificat final. Această solicitare este transmisă separat unei autorități de certificare și este
apoi aprobat printr-un mecanism (automat sau prin revizuire umană). Odată ce cererea este
aprobat, apoi se generează certificatul.

$ certutil -R -k tip-sau-id-cheie [-q pqgfile|nume-curba] -g dimensiunea cheii -s subiect [-h nume de simbol] -d [sql:]director [-p telefon] [-o fișier de ieșire] [-a]

-R opțiunile de comandă necesită patru argumente:

· -k pentru a specifica fie tipul de cheie de generat, fie, la reînnoirea unui certificat,
perechea de chei existentă de utilizat

· -g pentru a seta dimensiunea cheii de generat

· -s pentru a seta numele subiectului certificatului

· -d pentru a da directorul bazei de date de securitate

Noua cerere de certificat poate fi scoasă în format ASCII (-a) sau poate fi scris la a
fișier specificat (-o).

De exemplu:

$ certutil -R -k rsa -g 1024 -s "CN=John Smith,O=Example Corp,L=Mountain View,ST=California,C=US" -d sql:$HOME/nssdb -p 650-555- 0123 -a -o cert.cer

Generare cheie. Acest lucru poate dura câteva momente...

Crearea a Certificat

Un certificat valid trebuie să fie emis de o CA de încredere. Acest lucru se poate face prin specificarea unui CA
certificat (-c) care este stocat în baza de date de certificate. Dacă o pereche de chei CA nu este
disponibil, puteți crea un certificat autosemnat folosind -x argument cu -S
opțiune de comandă.

$ certutil -S -k rsa|dsa|ec -n certname -s subiect [-c emitent |-x] -t trustargs -d [sql:]director [-m număr de serie] [-v luni valide] [ -w offset-months] [-p telefon] [-1] [-2] [-3] [-4] [-5 cuvânt cheie] [-6 cuvânt cheie] [-7 adresa de e-mail] [-8 dns-names] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]

Seria de numere și --ext* opțiunile setează extensii de certificat la care pot fi adăugate
certificatul atunci când este generat de CA. Vor rezulta solicitări interactive.

De exemplu, aceasta creează un certificat autosemnat:

$ certutil -S -s "CN=Exemplu CA" -n my-ca-cert -x -t "C,C,C" -1 -2 -5 -m 3650

Solicitările interactive pentru utilizarea cheii și dacă extensiile sunt critice și răspunsuri
au fost omise din motive de concizie.

De acolo, certificatele noi pot face referire la certificatul autosemnat:

$ certutil -S -s "CN=My Server Cert" -n my-server-cert -c "my-ca-cert" -t "u,u,u" -1 -5 -6 -8 -m 730

Generator a Certificat din a Certificat Cerere

Când este creată o cerere de certificat, un certificat poate fi generat utilizând cererea
și apoi trimiterea unui certificat de semnare a unei autorități de certificare ( emitent specificat în
il -c argument). Certificatul emitent trebuie să fie în baza de date de certificate din
directorul specificat.

certutil -C -c emitent -i fișier-cerere-cert -o fișier-ieșire [-m număr-serie] [-v luni-valide] [-w luni-offset] -d [sql:]director [-1] [-2] [-3] [-4] [-5 cuvânt cheie] [-6 cuvânt cheie] [-7 adresa de e-mail] [-8 nume-dns]

De exemplu:

$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql:$HOME/nssdb -1 nonRepudiation,dataEncipherment -5 sslClient -6 clientAuth -7 [e-mail protejat]

listarea certificate

-L opțiunea de comandă listează toate certificatele listate în baza de date de certificate.
Calea către director (-d) este necesară.

$ certutil -L -d sql:/home/my/sharednssdb

Pseudonim certificat Atribute de încredere
SSL, S/MIME, JAR/XPI

Exemplu de ID de domeniu al administratorului CA al instanței pki-ca1 u,u,u
Exemplu de cod de domeniu al administratorului TPS u,u,u
Google Internet Authority ,,
Autoritate de certificare - Exemplu Domeniul CT,C,C

Folosind argumente suplimentare cu -L poate returna și imprima informațiile pentru un singur,
certificat specific. De exemplu, cel -n argumentul transmite numele certificatului, în timp ce
-a argumentul imprimă certificatul în format ASCII:

$ certutil -L -d sql:$HOME/nssdb -a -n my-ca-cert
-----ÎNCEPE CERTIFICAT-----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-----CERTIFICAT FINAL-----
Pentru un afișaj care poate fi citit de om

$ certutil -L -d sql:$HOME/nssdb -n my-ca-cert
Certificat:
Date:
Versiune: 3 (0x2)
Număr de serie: 3650 (0xe42)
Algoritm de semnătură: PKCS #1 SHA-1 cu criptare RSA
Emitent: „CN=Exemplu CA”
Valabilitate:
Nu înainte de: miercuri 13 mar 19:10:29 2013
Nu după: joi 13 iunie 19:10:29 2013
Subiect: „CN=Exemplu CA”
Informații despre cheia publică a subiectului:
Algoritmul cheii publice: Criptare RSA PKCS #1
Cheie publică RSA:
Modul:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
Exponent: 65537 (0x10001)
Extensii semnate:
Nume: Tip certificat
Date: niciuna

Nume: Constrângeri de bază pentru certificat
Date: este un CA fără lungime maximă a căii.

Nume: Utilizarea cheii de certificat
Critic: Adevărat
Utilizări: Semnarea certificatelor

Algoritm de semnătură: PKCS #1 SHA-1 cu criptare RSA
Semnătura:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
Amprentă (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
Amprentă (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7

Indicatori de încredere pentru certificat:
Steaguri SSL:
CA valabil
CA de încredere
Utilizator
Steaguri de e-mail:
CA valabil
CA de încredere
Utilizator
Semnarea obiectelor:
CA valabil
CA de încredere
Utilizator

listarea Taste

Cheile sunt materialul original folosit pentru a cripta datele certificatului. Cheile generate pentru
certificatele sunt stocate separat, în baza de date a cheilor.

Pentru a lista toate cheile din baza de date, utilizați -K opțiunea de comandă și (obligatoriu) -d argument
pentru a da calea către director.

$ certutil -K -d sql:$HOME/nssdb
certutil: Se verifică simbolul „NSS Certificate DB” în slotul „NSS User Private Key and Certificate Services”
< 0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d Thawte Freemail Membru Thawte Consulting (Pty) Ltd. ID.
< 1> rsa 40defeeb522ade11090eacebaaf1196a172127df Exemplu de certificat de administrator de domeniu
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert

Există modalități de a restrânge cheile enumerate în rezultatele căutării:

· Pentru a returna o anumită cheie, utilizați -nnume argument cu numele cheii.

· Dacă sunt încărcate mai multe dispozitive de securitate, atunci -hnume de simbol argumentul poate
căutați un anumit token sau toate tokenurile.

· Dacă există mai multe tipuri de chei disponibile, atunci -ktip cheie argumentul poate căuta a
tip specific de cheie, cum ar fi RSA, DSA sau ECC.

listarea Securitate Module

Dispozitivele care pot fi folosite pentru a stoca certificate -- atât baze de date interne, cât și externe
dispozitive precum cardurile inteligente -- sunt recunoscute și utilizate prin încărcarea modulelor de securitate. The -U
opțiunea de comandă listează toate modulele de securitate listate în baza de date secmod.db. The
calea către director (-d) este necesară.

$ certutil -U -d sql:/home/my/sharednssdb

slot: cheie privată de utilizator NSS și servicii de certificat
token: NSS Certificat DB

slot: NSS Internal Cryptographic Services
jeton: NSS Generic Crypto Services

Adăugare certificate la il Baza de date

Certificatele existente sau cererile de certificate pot fi adăugate manual la certificat
baza de date, chiar dacă au fost generate în altă parte. Aceasta folosește -A opțiune de comandă.

certutil -A -n certname -t trustargs -d [sql:]director [-a] [-i fisier de intrare]

De exemplu:

$ certutil -A -n "CN=Certificatul meu SSL" -t "u,u,u" -d sql:/home/my/sharednssdb -i /home/example-certs/cert.cer

O opțiune de comandă asociată, -E, este folosit în mod special pentru a adăuga certificate de e-mail la
baza de date de certificate. The -E comanda are aceleași argumente ca și comanda -A comanda. Increderea
argumentele pentru certificate au formatul SSL, S/MIME, semnare cod, deci mijlocul de încredere
setările se referă cel mai mult la certificatele de e-mail (deși celelalte pot fi setate). De exemplu:

$ certutil -E -n "CN=John Smith Email Cert" -t ",Pu," -d sql:/home/my/sharednssdb -i /home/example-certs/email.cer

Ștergerea certificate la il Baza de date

Certificatele pot fi șterse dintr-o bază de date folosind -D opțiune. Singurele opțiuni necesare
trebuie să dea directorul bazei de date de securitate și să identifice porecla certificatului.

certutil -D -d [sql:]director -n "porecla"

De exemplu:

$ certutil -D -d sql:/home/my/sharednssdb -n "my-ssl-cert"

Validare certificate

Un certificat conține o dată de expirare în sine, iar certificatele expirate sunt ușor
respins. Cu toate acestea, certificatele pot fi, de asemenea, revocate înainte de a ajunge la data de expirare.
Verificarea dacă un certificat a fost revocat necesită validarea certificatului.
Validarea poate fi, de asemenea, utilizată pentru a se asigura că certificatul este utilizat numai în scopuri
a fost emis initial pentru. Validarea este efectuată de către -V opțiune de comandă.

certutil -V -n nume-certificat [-b time] [-e] [-u cert-usage] -d [sql:]director

De exemplu, pentru a valida un certificat de e-mail:

$ certutil -V -n „Cert de e-mail al lui John Smith” -e -u S,R -d sql:/home/my/sharednssdb

Modificatoare Certificat Încredere setări cont

Setările de încredere (care se referă la operațiunile pe care un certificat este permis să le facă
folosit pentru) poate fi schimbat după ce un certificat este creat sau adăugat la baza de date. Aceasta este
util mai ales pentru certificatele CA, dar poate fi efectuat pentru orice tip de
certificat.

certutil -M -n nume-certificat -t trust-args -d [sql:]director

De exemplu:

$ certutil -M -n „Certificatul meu CA” -d sql:/home/my/sharednssdb -t „CTu,CTu,CTu”

tipărire il Certificat Lanţ

Certificatele pot fi eliberate în lanţuri deoarece fiecare autoritate de certificare are în sine un
certificat; atunci când o CA emite un certificat, în esență ștampilă acel certificat cu
propria amprentă. The -O tipărește întregul lanț al unui certificat, mergând de la inițială
CA (CA rădăcină) prin orice CA intermediară către certificatul real. De exemplu, pentru
un certificat de e-mail cu două CA în lanț:

$ certutil -d sql:/home/my/sharednssdb -O -n "[e-mail protejat]"
„Builtin Object Token:Thawte Personal Freemail CA” [E=[e-mail protejat],CN=Thawte Personal Freemail CA,OU=Divizia Servicii de Certificare,O=Thawte Consulting,L=Cape Town,ST=Western Cape,C=ZA]

„Thawte Personal Freemail Issuing CA - Thawte Consulting” [CN=Thawte Personal Freemail Issuing CA,O=Thawte Consulting (Pty) Ltd.,C=ZA]

„(nulă)” [E=[e-mail protejat],CN=Membru Thawte Freemail]

Resetarea a Simbol

Dispozitivul care stochează certificate -- atât dispozitive hardware externe, cât și interne
baze de date software -- pot fi golite și reutilizate. Această operație se efectuează pe dispozitiv
care stochează datele, nu direct pe bazele de date de securitate, deci locația trebuie să fie
referit prin numele simbolului (-h), precum și orice cale de director. Dacă nu există
simbol extern utilizat, valoarea implicită este internă.

certutil -T -d [sql:]directory -h token-name -0 security-officer-parola

Multe rețele au personal dedicat care se ocupă de modificările aduse jetoanelor de securitate (securitatea
ofiţer). Această persoană trebuie să furnizeze parola pentru a accesa simbolul specificat. De exemplu:

$ certutil -T -d sql:/home/my/sharednssdb -h nethsm -0 secret

Actualizarea or fuzionarea il Securitate Baze de date

Multe rețele sau aplicații pot folosi versiuni mai vechi ale certificatului BerkeleyDB
baza de date (cert8.db). Bazele de date pot fi actualizate la noua versiune SQLite a bazei de date
(cert9.db) folosind --upgrade-merge opțiunea de comandă sau bazele de date existente pot fi îmbinate
cu noile baze de date cert9.db folosind ---combina comanda.

--upgrade-merge comanda trebuie să ofere informații despre baza de date inițială și apoi să utilizeze
argumentele standard (cum ar fi -d) pentru a oferi informații despre noile baze de date. The
comanda necesită, de asemenea, informații pe care instrumentul le folosește pentru procesul de actualizare și scriere
peste baza de date originală.

certutil --upgrade-merge -d [sql:]directory [-P dbprefix] --source-dir director --source-prefix dbprefix --upgrade-id id --upgrade-token-name nume [-@ parola-fișier ]

De exemplu:

$ certutil --upgrade-merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp- --upgrade-id 1 --upgrade-token- nume intern

--combina comanda necesită doar informații despre locația bazei de date inițiale;
deoarece nu schimbă formatul bazei de date, poate scrie peste informații fără
efectuarea unei etape intermediare.

certutil --merge -d [sql:]directory [-P dbprefix] --source-dir director --source-prefix dbprefix [-@ parola-fișier]

De exemplu:
$ certutil --merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp-
Alergare certutil Comenzi din a Lot Fișier

O serie de comenzi pot fi executate secvenţial dintr-un fişier text cu -B opțiune de comandă.
Singurul argument pentru aceasta specifică fișierul de intrare.

$ certutil -B -i /path/to/batch-file

NSS BAZA DE DATE TIPURI

NSS a folosit inițial bazele de date BerkeleyDB pentru a stoca informații de securitate. Ultimele versiuni
din acestea moştenire bazele de date sunt:

· cert8.db pentru certificate

· key3.db pentru chei

· secmod.db pentru informații despre modulul PKCS #11

BerkeleyDB are totuși limitări de performanță, care împiedică utilizarea cu ușurință de către
mai multe aplicații simultan. NSS are o anumită flexibilitate care permite aplicațiilor
folosește propriul motor independent de baze de date, păstrând în același timp o bază de date partajată și lucrând
în jurul problemelor de acces. Totuși, NSS necesită mai multă flexibilitate pentru a oferi o cu adevărat partajată
baza de date de securitate.

În 2009, NSS a introdus un nou set de baze de date care sunt mai degrabă baze de date SQLite
BerkeleyDB. Aceste noi baze de date oferă mai multă accesibilitate și performanță:

· cert9.db pentru certificate

· key4.db pentru chei

· pkcs11.txt, o listă a tuturor modulelor PKCS #11, conținută într-un nou subdirector
în directorul bazelor de date de securitate

Deoarece bazele de date SQLite sunt concepute pentru a fi partajate, acestea sunt comun Baza de date
tip. Este de preferat tipul de bază de date partajată; formatul moștenit este inclus pentru înapoi
compatibilitate.

În mod implicit, instrumentele (certutil, pk12util, modutil) presupune că securitatea dată
bazele de date urmează tipul moștenit mai comun. Utilizarea bazelor de date SQLite trebuie să fie manuală
specificat prin utilizarea sql: prefix cu directorul de securitate dat. De exemplu:

$ certutil -L -d sql:/home/my/sharednssdb

Pentru a seta tipul de bază de date partajată ca tip implicit pentru instrumente, setați
NSS_DEFAULT_DB_TYPE variabila de mediu la sql:

exportă NSS_DEFAULT_DB_TYPE="sql"

Această linie poate fi setată adăugată la ~ / .bashrc fișier pentru a face modificarea permanentă.

Majoritatea aplicațiilor nu folosesc în mod implicit baza de date partajată, dar pot fi configurate pentru
utilizati-le. De exemplu, acest articol explicativ acoperă modul de configurare a Firefox și Thunderbird
pentru a utiliza noile baze de date partajate NSS:

· https://wiki.mozilla.org/NSS_Shared_DB_Howto

Pentru un proiect de inginerie cu privire la modificările din bazele de date partajate NSS, consultați proiectul NSS
wiki:

· https://wiki.mozilla.org/NSS_Shared_DB

Utilizați certutil online folosind serviciile onworks.net