Aceasta este comanda crlutil care poate fi rulată în furnizorul de găzduire gratuit OnWorks folosind una dintre multiplele noastre stații de lucru online gratuite, cum ar fi Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS
PROGRAM:
NUME
crlutil - Listează, generează, modifică sau șterge CRL-uri din fișierele bazei de date de securitate NSS
și enumerați, creați, modificați sau ștergeți intrările de certificate într-un anumit CRL.
REZUMAT
crlutil [Opțiuni] [[argumente]]
STAREA
Această documentație este încă în lucru. Vă rugăm să contribuiți la revizuirea inițială în
Mozilla NSS bug 836477[1]
DESCRIERE
Instrumentul de gestionare a listei de revocare a certificatelor (CRL), crlutil, este un utilitar de linie de comandă
care poate lista, genera, modifica sau șterge CRL-uri din fișierele bazei de date de securitate NSS
și enumerați, creați, modificați sau ștergeți intrările de certificate într-un anumit CRL.
Procesul de gestionare a cheilor și certificatelor începe în general cu crearea cheilor în cheie
baza de date, apoi generarea și gestionarea certificatelor în baza de date de certificate (vezi
instrument certutil) și continuă cu expirarea sau revocarea certificatelor.
Acest document discută gestionarea listei de revocare a certificatelor. Pentru informatii despre
gestionarea bazei de date a modulelor de securitate, consultați Utilizarea instrumentului de bază de date pentru modulul de securitate. Pentru
informații despre gestionarea certificatelor și a bazei de date cu chei, consultați Utilizarea bazei de date pentru certificate
Instrument.
Pentru a rula Instrumentul de gestionare a listei de revocare a certificatelor, tastați comanda
opțiunea crlutil [argumente]
unde opțiunile și argumentele sunt combinații ale opțiunilor și argumentelor enumerate în
secțiunea următoare. Fiecare comandă are o opțiune. Fiecare opțiune poate dura zero sau mai mult
argumente. Pentru a vedea un șir de utilizare, lansați comanda fără opțiuni sau cu -H
opțiune.
OPŢIUNI AND ARGUMENTE
Opţiuni
Opțiunile specifică o acțiune. Argumentele opțiunii modifică o acțiune. Opțiuni și argumente
pentru comanda crlutil sunt definite după cum urmează:
-D
Ștergeți lista de revocare a certificatelor din baza de date cert.
-E
Ștergeți toate CRL-urile de tipul specificat din baza de date cert
-G
Creați o nouă listă de revocare a certificatelor (CRL).
-I
Importați un CRL în baza de date de certificare
-L
Listați CRL existente aflate în fișierul bazei de date cert.
-M
Modificați CRL existent care poate fi localizat în cert db sau într-un fișier arbitrar. Dacă se află
în fișier ar trebui să fie codificat în format de codificare ASN.1.
-S
Afișați conținutul unui fișier CRL care nu este stocat în baza de date.
Argumente
Argumentele opțiunii modifică o acțiune.
-a
Utilizați formatul ASCII sau permiteți utilizarea formatului ASCII pentru intrare și ieșire. Acest
formatarea urmează RFC #1113.
-B
Ocoliți verificările semnăturii CA.
-c crl-gen-file
Specificați fișierul script care va fi folosit pentru a controla generarea/modificarea crl. Vedea
formatul crl-script-file de mai jos. Dacă opțiunile -M|-G sunt folosite și -c crl-script-file nu este
specificat, crlutil va citi datele de script din intrarea standard.
directorul -d
Specificați directorul bazei de date care conține certificatul și fișierele bazei de date cu chei. Pe
Instrumentul de bază de date pentru certificate Unix este implicit $HOME/.netscape (adică ~/.netscape).
Pe Windows NT, implicit este directorul curent.
Fișierele bazei de date NSS trebuie să se afle în același director.
-f fișier-parolă
Specificați un fișier care va furniza automat parola de inclus într-un certificat
sau pentru a accesa o bază de date de certificate. Acesta este un fișier text simplu care conține unul
parola. Asigurați-vă că împiedicați accesul neautorizat la acest fișier.
-i crl-file
Specificați fișierul care conține CRL de importat sau afișat.
-l nume-algoritm
Specificați un algoritm de semnătură specific. Lista de algoritmi posibili: MD2 | MD4 | MD5 |
SHA1 | SHA256 | SHA384 | SHA512
-n porecla
Specificați porecla unui certificat sau cheie pentru a lista, crea, adăuga la o bază de date,
modifica sau valida. Parantezele șirul de poreclă cu ghilimele dacă conține
spații.
-o fișier de ieșire
Specificați numele fișierului de ieșire pentru noul CRL. Încadrați șirul fișierului de ieșire cu
ghilimele dacă conține spații. Dacă acest argument nu este utilizat, rezultatul
destinația este implicită la ieșirea standard.
-P dbprefix
Specificați prefixul utilizat în fișierele bazei de date de securitate NSS (de exemplu, my_cert8.db
și my_key3.db). Această opțiune este oferită ca caz special. Schimbarea numelor
certificatul și bazele de date cu chei nu sunt recomandate.
-t tip crl
Specificați tipul de CRL. tipurile posibile sunt: 0 - SEC_KRL_TYPE, 1 - SEC_CRL_TYPE. Acest
opțiunea este învechită
-u URL
Specificați adresa URL.
-w pwd-string
Furnizați parola db în linia de comandă.
-Algoritmul Z
Specificați algoritmul hash de utilizat pentru semnarea CRL.
CRL GENERAREA SCRIPT SINTAXĂ
Fișierul script de generare CRL are următoarea sintaxă:
* Linia cu comentarii ar trebui să aibă # ca prim simbol al unei linii
* Setați câmpurile CRL „această actualizare” sau „următoarea actualizare”:
update=AAAAMMDDhhmmssZ nextupdate=AAAAMMDDhhmmssZ
Câmpul „următoarea actualizare” este opțional. Ora ar trebui să fie în format GeneralizedTime
(AAAAMMDDhhmmssZ). De exemplu: 20050204153000Z
* Adăugați o extensie la un CRL sau o intrare de certificat CRL:
addext nume-extensie critic/non-critic [arg1[arg2 ...]]
Unde:
nume-extensie: valoarea șirului unui nume de extensii cunoscute. critic/non-critic: este 1
când extensia este critică și 0 în caz contrar. arg1, arg2: specific tipului de extensie
parametri de extensie
addext folosește intervalul care a fost setat anterior de addcert și va instala o extensie la
fiecare intrare de certificat din interval.
* Adăugați intrări de certificat la CRL:
addcert interval data
interval: două valori întregi separate prin liniuță: interval de certificate care vor fi adăugate prin
această comandă. liniuta este folosita ca delimitator. Va fi adăugat un singur certificat dacă nu există
delimitator. data: data revocarii unui certificat. Data ar trebui să fie reprezentată în GeneralizedTime
format (AAAAMMDDhhmmssZ).
* Eliminați intrările de certificat din CRL
gama rmcert
Unde:
interval: două valori întregi separate prin liniuță: interval de certificate care vor fi adăugate prin
această comandă. liniuta este folosita ca delimitator. Va fi adăugat un singur certificat dacă nu există
delimitator.
* Modificați intervalul de intrări de certificat în CRL
gama noua-gama
Unde:
new-range: două valori întregi separate prin liniuță: interval de certificate care vor fi adăugate
prin această comandă. liniuta este folosita ca delimitator. Va fi adăugat un singur certificat dacă nu există
delimitator.
Extensii implementate
Extensiile definite pentru CRL oferă metode de asociere cu atribute suplimentare
CRL-uri ale intrărilor lor. Pentru mai multe informații, consultați RFC #3280
* Adăugați extensia de identificare a cheii de autoritate:
Extensia de identificare a cheii de autoritate oferă un mijloc de identificare a cheii publice
corespunzătoare cheii private utilizate pentru a semna un CRL.
authKeyId critic [key-id | dn cert-serial]
Unde:
authKeyIdent: identifică numele unei extensii critice: valoarea 1 din 0. Ar trebui setat
la 1 dacă această extensie este critică sau la 0 în caz contrar. key-id: identificatorul cheii reprezentat în
șir de octeți. dn:: este un nume distinct CA cert-serial: serial certificat de autoritate
număr.
* Adăugați extensia de nume alternativ al emitentului:
Extensia de nume alternative de emitent permite asocierea unor identități suplimentare
emitentul CRL. Opțiunile definite includ un nume rfc822 (adresă de poștă electronică), a
Nume DNS, o adresă IP și un URI.
issuerAltNames listă de nume non-critică
Unde:
subjAltNames: identifică că numele unei extensii ar trebui setat la 0, deoarece aceasta este
lista de nume de extensii non-critice: listă de nume separate prin virgulă
* Adăugați extensia pentru numărul CRL:
Numărul CRL este o extensie CRL non-critică, care transmite o creștere monotonă
numărul de secvență pentru un anumit domeniu CRL și emitent de CRL. Această extensie permite utilizatorilor să
determina cu ușurință când un anumit CRL înlocuiește un alt CRL
crlNumber număr necritic
Unde:
crlNumber: identifică numele unei extensii critice: ar trebui setat la 0 deoarece aceasta este
număr de extensie non-critică: valoarea lung care identifică numărul secvenţial al lui a
CRL.
* Adăugați extensia Cod de motiv pentru revocare:
reasonCode este o extensie de intrare CRL non-critică care identifică motivul
revocarea certificatului.
reasonCode cod non-critic
Unde:
reasonCode: identifică numele unei extensii non-critice: ar trebui să fie setat la 0 deoarece
acesta este un cod de extensie necritic: sunt disponibile următoarele coduri:
nespecificat (0), keyCompromise (1), cACompromise (2), affiliationChanged (3), înlocuit
(4), cessationOfOperation (5), certificateHold (6), removeFromCRL (8), privilegeWithdrawn
(9), aACompromis (10)
* Adăugați o extensie pentru data de invaliditate:
Data de invaliditate este o extensie de intrare CRL necritică care furnizează data la care
se știe sau se suspectează că cheia privată a fost compromisă sau că certificatul
altfel a devenit invalid.
invalidityDate dată necritică
Unde:
crlNumber: identifică numele unei extensii non-critice: ar trebui să fie setat la 0 deoarece aceasta
este data de prelungire necritică: data de invaliditate a unui certificat. Data ar trebui să fie reprezentată în
Format GeneralizedTime (AAAAMMDDhhmmssZ).
UTILIZARE
Capacitățile instrumentului de gestionare a listei de revocare a certificatelor sunt grupate după cum urmează:
folosind aceste combinații de opțiuni și argumente. Opțiuni și argumente în pătrat
parantezele sunt optionale, cele fara paranteze drepte sunt obligatorii.
Consultați „Extensii implementate” pentru mai multe informații despre extensii și acestea
parametri.
* Crearea sau modificarea unui CRL:
crlutil -G|-M -c crl-gen-file -n porecla [-i crl] [-u url] [-d keydir] [-P dbprefix] [-l alg] [-a] [-B]
* Listarea tuturor CR-urilor sau a unui CRL numit:
crlutil -L [-n nume-crl] [-d krydir]
* Ștergerea CRL din db:
crlutil -D -n porecla [-d keydir] [-P dbprefix]
* Ștergerea CRL-urilor din db:
crlutil -E [-d keydir] [-P dbprefix]
* Ștergerea CRL din db:
crlutil -D -n porecla [-d keydir] [-P dbprefix]
* Ștergerea CRL-urilor din db:
crlutil -E [-d keydir] [-P dbprefix]
* Import CRL din fișier:
crlutil -I -i crl [-t crlType] [-u url] [-d keydir] [-P dbprefix] [-B]
Utilizați crlutil online folosind serviciile onworks.net