Это команда cassl, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
ca - образец минимального приложения CA
СИНТАКСИС
OpenSSL ca [-подробный] [-конфигурация имя файла] [-имя .] [-gencrl] [-отменить файл] [-положение дел
последовательный] [-обновленоb] [-crl_причина причина] [-crl_hold инструкция] [-crl_compromise время]
[-crl_CA_compromise время] [-crldays дня] [-crlчасы часов] [-crlexts .] [-Дата начала
даты] [-Дата окончания даты] [-дней аргумент] [-md аргумент] [-политика аргумент] [-ключевой файл аргумент] [ключевая форма
PEM | DER] [-ключ аргумент] [-пассин аргумент] [-серт файл] [-самоподпись] [-in файл] [-вне файл]
[-без текста] [-внешний каталог директория] [-файлы] [-спкач файл] [-ss_cert файл] [-preserveDN]
[-noemailDN] [-партия] [-msie_hack] [-расширения .] [-extfile .] [-движок id]
[-subj аргумент] [-utf8] [-многозначный-rdn]
ОПИСАНИЕ
Ассоциация ca команда - это минимальное приложение CA. Его можно использовать для подписи запросов на сертификаты в
различные формы и создание списков отзыва сертификатов, он также поддерживает текстовую базу данных выданных
сертификаты и их статус.
Описание опций будет разделено на каждую цель.
CA ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
-конфигурация имя файла
указывает используемый файл конфигурации.
-имя .
указывает используемый раздел файла конфигурации (переопределяет default_ca в ca
раздел).
-in имя файла
входное имя файла, содержащее один запрос сертификата, который должен быть подписан ЦС.
-ss_cert имя файла
один самозаверяющий сертификат, который должен быть подписан ЦС.
-спкач имя файла
файл, содержащий один подписанный Netscape открытый ключ, а также запрос и дополнительные
значения полей должны быть подписаны центром сертификации. Увидеть СПКАЦ ФОРМАТ раздел для информации о
требуемый формат ввода и вывода.
-файлы
если присутствует, это должна быть последняя опция, все последующие аргументы принимаются
имена файлов, содержащих запросы сертификатов.
-вне имя файла
выходной файл, в который выводятся сертификаты. По умолчанию используется стандартный вывод. В
данные сертификата также будут распечатаны в этот файл в формате PEM (за исключением
-спкач выводит формат МЭД).
-внешний каталог каталог
каталог, в который выводятся сертификаты. Сертификат будет записан в имя файла
состоящий из серийного номера в шестнадцатеричном формате с добавленным ".pem".
-серт
файл сертификата ЦС.
-ключевой файл имя файла
закрытый ключ для подписи запросов.
ключевая форма PEM | DER
формат данных в файле закрытого ключа. По умолчанию - PEM.
-ключ password
пароль, используемый для шифрования закрытого ключа. Поскольку в некоторых системах командная строка
аргументы видны (например, Unix с утилитой 'ps') следует использовать эту опцию
с осторожностью.
-самоподпись
указывает, что выданные сертификаты должны быть подписаны ключом сертификата
запросы были подписаны (переданы с -ключевой файл). Сертификатные запросы, подписанные
разные ключи игнорируются. Если -спкач, -ss_cert or -gencrl даны, -самоподпись is
игнорируются.
Следствие использования -самоподпись заключается в том, что самозаверяющий сертификат появляется среди
записи в базе сертификатов (см. параметр конфигурации база данных) и использует
тот же счетчик серийного номера, что и все остальные сертификаты, подписанные самоподписанным
сертификат.
-пассин аргумент
источник ключевого пароля. Для получения дополнительной информации о формате аргумент см. ПАСС
ФРАЗА АРГУМЕНТЫ в разделе OpenSSL(1).
-подробный
это печатает дополнительную информацию о выполняемых операциях.
-без текста
не выводить текстовую форму сертификата в выходной файл.
-Дата начала даты
это позволяет явно установить дату начала. Формат даты:
ГГММДДЧЧММССЗ (то же, что и структура ASN1 UTCTime).
-Дата окончания даты
это позволяет явно установить дату истечения срока годности. Формат даты:
ГГММДДЧЧММССЗ (то же, что и структура ASN1 UTCTime).
-дней аргумент
количество дней для сертификации сертификата.
-md ALG
дайджест сообщения для использования. Возможные значения включают md5, sha1 и mdc2. Этот вариант
также относится к спискам отзыва сертификатов.
-политика аргумент
эта опция определяет используемую «политику» CA. Это раздел в конфигурации
файл, который определяет, какие поля должны быть обязательными или соответствовать сертификату ЦС. Проверять
снаружи ПОЛИТИКА ФОРМАТ раздел для получения дополнительной информации.
-msie_hack
это устаревший вариант сделать ca работать с очень старыми версиями сертификата IE
приемный контроль "certenr3". Он использовал UniversalStrings почти для всего. С
старый элемент управления имеет различные ошибки безопасности, его использование категорически не рекомендуется. Новее
элементу управления "Xenroll" эта опция не нужна.
-preserveDN
Обычно порядок DN сертификата совпадает с порядком полей в
соответствующий раздел политики. Когда этот параметр установлен, порядок совпадает с порядком запроса.
Это в основном для совместимости со старым элементом управления регистрацией IE, который
принимать сертификаты только в том случае, если их DN соответствуют порядку запроса. Это не
необходимо для Xenroll.
-noemailDN
DN сертификата может содержать поле EMAIL, если оно присутствует в DN запроса,
однако хорошей политикой является установка адреса электронной почты в расширение altName
сертификат. Когда этот параметр установлен, поле EMAIL удаляется из сертификата.
subject и устанавливается только в расширениях, которые в конечном итоге будут присутствовать. В электронная почта_in_dn ключевое слово
можно использовать в файле конфигурации, чтобы включить такое поведение.
-партия
это устанавливает пакетный режим. В этом режиме не будут заданы вопросы и все сертификаты
будет сертифицирован автоматически.
-расширения .
раздел конфигурационного файла, содержащий добавляемые расширения сертификатов
при выдаче сертификата (по умолчанию x509_extensions если только -extfile вариант
используется). Если раздел расширения отсутствует, создается сертификат V1. Если
присутствует раздел extension (даже если он пуст), то создается сертификат V3.
Смотрите: w x509v3_config(5) страница руководства для получения подробной информации о формате раздела расширения.
-extfile файл
дополнительный файл конфигурации для чтения расширений сертификатов (с использованием
раздел по умолчанию, если -расширения вариант тоже используется).
-движок id
указание двигателя (по его уникальному id строка) вызовет ca попытаться получить
функциональная ссылка на указанный двигатель, таким образом инициализируя его при необходимости. В
Engine будет установлен по умолчанию для всех доступных алгоритмов.
-subj аргумент
заменяет имя субъекта, указанное в запросе. Аргумент должен быть отформатирован как
/type0=value0/type1=value1/type2=..., символы могут быть экранированы \ (обратная косая черта), нет
пробелы пропускаются.
-utf8
эта опция заставляет значения поля интерпретироваться как строки UTF8, по умолчанию они
интерпретируется как ASCII. Это означает, что значения поля, независимо от того, запрашиваются ли они из
терминал или полученный из файла конфигурации, должны быть допустимые строки UTF8.
-многозначный-rdn
эта опция вызывает интерпретацию аргумента -subj с полной поддержкой
многозначные RDN. Пример:
/ DC = org / DC = OpenSSL / DC = users / UID = 123456 + CN = John лань
Если -multi-rdn не используется, то значение UID равно 123456 + CN = Джон лань.
CRL ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
-gencrl
эта опция генерирует CRL на основе информации в индексном файле.
-crldays Num
количество дней до следующего CRL. Это те дни, которые нужно разместить в
поле CRL nextUpdate.
-crlчасы Num
количество часов до следующего CRL.
-отменить имя файла
имя файла, содержащее сертификат, который нужно отозвать.
-положение дел последовательный
отображает статус отзыва сертификата с указанным серийным номером и
выходы.
-обновленоb
Обновляет индекс базы данных для очистки сертификатов с истекшим сроком действия.
-crl_причина причина
причина отзыва, где причина один из: неопределенных, ключКомпромисс, CACкомпромисс,
принадлежностьИзменено, вытеснены, прекращение работы, сертификатHold or
удалить из CRL. Соответствие причина нечувствителен к регистру. Установка любого отзыва
причина сделает CRL v2.
В практическом удалить из CRL не особенно полезен, потому что он используется только в дельте
CRL, которые в настоящее время не реализованы.
-crl_hold инструкция
Это устанавливает код причины отзыва CRL на сертификатHold и инструкция по удержанию
в инструкция который должен быть OID. Хотя любой OID можно использовать только
HoldИнструкцияНет (использование которого не рекомендуется RFC2459)
HoldInstructionCallIssuer or HoldInstructionReject обычно будет использоваться.
-crl_compromise время
Это устанавливает причину отзыва ключКомпромисс и время компромисса, чтобы время. время
должен быть в формате GeneralizedTime, т.е. ГГГГММДДЧЧММССЗ.
-crl_CA_compromise время
Это то же самое, что и crl_compromise за исключением того, что причина отзыва установлена на
CACкомпромисс.
-crlexts .
раздел файла конфигурации, содержащий расширения CRL, которые необходимо включить. Если нет CRL
присутствует раздел расширения, то создается CRL V1, если раздел расширения CRL
присутствует (даже если он пуст), то создается CRL V2. Указанные расширения CRL
являются расширениями CRL и не Расширения записи CRL. Следует отметить, что некоторые
программное обеспечение (например, Netscape) не может обрабатывать списки отзыва сертификатов V2. Видеть x509v3_config(5) страница руководства
для получения подробной информации о формате раздела расширения.
КОНФИГУРАЦИЯ ФАЙЛОВ ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
Раздел конфигурационного файла, содержащий параметры для ca находится следующим образом: Если
домен -имя используется параметр командной строки, затем он называет раздел, который будет использоваться. В противном случае
используемый раздел должен быть назван в default_ca вариант ca раздел
файл конфигурации (или в разделе файла конфигурации по умолчанию). Помимо
default_ca, следующие параметры считываются непосредственно из ca раздел:
RANDFILE сохранить
msie_hack За исключением СЛУЧАЙНЫЙ ФАЙЛ, это, вероятно, ошибка и может измениться в будущем
релизы.
Многие параметры файла конфигурации идентичны параметрам командной строки. Где
опция присутствует в файле конфигурации, а в командной строке значение командной строки
использовал. Если опция описана как обязательная, она должна присутствовать в
файл конфигурации или эквивалент командной строки (если есть).
oid_file
Это указывает файл, содержащий дополнительные ОБЪЕКТ ИДЕНТИФИКАТОРЫ. Каждая строка файла
должен состоять из числовой формы идентификатора объекта, за которым следует пробел
затем короткое имя, за которым следует пробел и, наконец, длинное имя.
oid_section
Это определяет раздел в файле конфигурации, содержащий дополнительный объект
идентификаторы. Каждая строка должна состоять из краткого названия идентификатора объекта.
последующей = и числовая форма. Короткие и длинные имена совпадают, когда это
опция используется.
new_certs_dir
так же, как и -внешний каталог параметр командной строки. Он указывает каталог, в котором находятся новые
сертификаты будут размещены. Обязательный.
сертификат
так же, как -серт. Он дает файл, содержащий сертификат CA. Обязательный.
приватный_ключ
так же, как и -ключевой файл вариант. Файл, содержащий закрытый ключ CA. Обязательный.
СЛУЧАЙНЫЙ ФАЙЛ
файл, используемый для чтения и записи информации о начальных числах случайных чисел, или сокет EGD (см.
RAND_egd(3 г.)).
default_days
так же, как и -дней вариант. Количество дней для сертификации сертификата.
default_startdate
так же, как и -Дата начала вариант. Дата начала сертификации сертификата. Если не
установить текущее время.
default_enddate
так же, как и -Дата окончания вариант. Либо этот вариант, либо default_days (или команда
эквиваленты строк) должны присутствовать.
default_crl_hours default_crl_days
так же, как и -crlчасы и -crldays параметры. Они будут использоваться только в том случае, если ни один из
опция командной строки присутствует. По крайней мере, один из них должен присутствовать для создания
СРЛ.
default_md
так же, как и -md вариант. Дайджест сообщения, который нужно использовать. Обязательный.
база данных
текстовый файл базы данных для использования. Обязательный. Этот файл должен присутствовать, хотя изначально
он будет пустым.
уникальная_тема
если значение Да задано, действительные записи сертификата в базе данных должны иметь
уникальные предметы. если значение нет дано, несколько действительных записей сертификата могут иметь
тот же предмет. Значение по умолчанию - Да, чтобы быть совместимым со старыми (до
0.9.8) версии OpenSSL. Однако, чтобы упростить перенос сертификата CA,
рекомендуется использовать значение нет, особенно в сочетании с -самоподпись команду
вариант линии.
последовательный
текстовый файл, содержащий следующий серийный номер в шестнадцатеричном формате. Обязательный. Этот файл
должен присутствовать и содержать действительный серийный номер.
номер crl
текстовый файл, содержащий следующий номер CRL в шестнадцатеричном формате. Номер crl будет
вставляется в списки отзыва сертификатов, только если этот файл существует. Если этот файл присутствует, он должен
содержать действительный номер CRL.
x509_extensions
так же, как -расширения.
crl_extensions
так же, как -crlexts.
сохранять
так же, как -preserveDN
электронная почта_in_dn
так же, как -noemailDN. Если вы хотите, чтобы поле EMAIL было удалено из DN
сертификат просто установите это значение 'нет'. Если нет, по умолчанию разрешено
EMAIL указан в DN сертификата.
msie_hack
так же, как -msie_hack
политика
так же, как -политика. Обязательный. Увидеть ПОЛИТИКА ФОРМАТ раздел для получения дополнительной информации.
name_opt, cert_opt
эти параметры позволяют использовать формат для отображения сведений о сертификате при запросе
пользователь для подтверждения подписи. Все варианты, поддерживаемые x509 коммунальные услуги -nameopt и
-сертопт здесь можно использовать переключатели, кроме no_signame и no_sigdump Он
установлен постоянно и не может быть отключен (это связано с тем, что подпись сертификата
не может быть отображен, потому что сертификат еще не подписан).
Для удобства значения ca_default принимаются обеими сторонами для получения разумного
вывод.
Если ни один из вариантов не указан, используется формат, используемый в более ранних версиях OpenSSL.
Использование старого формата сильно не рекомендуется, потому что он отображает только поля
упоминается в политика раздел, неправильно обрабатывает типы строк с несколькими символами и не
медийные расширения.
copy_extensions
определяет, как должны обрабатываться расширения в запросах сертификатов. Если установлено на никто
или эта опция отсутствует, тогда расширения игнорируются и не копируются в
сертификат. Если установлено на копия тогда любые расширения, присутствующие в запросе, которые не
уже присутствующие копируются в сертификат. Если установлено на копировать затем все расширения
в запрос копируются в сертификат: если расширение уже присутствует в
сертификат удаляется первым. Увидеть ПРЕДУПРЕЖДЕНИЯ раздел перед использованием этого
опцию.
Основное использование этой опции - разрешить запрос сертификата предоставлять значения для
определенные расширения, такие как subjectAltName.
ПОЛИТИКА ФОРМАТ
Раздел политики состоит из набора переменных, соответствующих полям DN сертификата.
Если значение "соответствует", то значение поля должно соответствовать тому же полю в ЦС.
сертификат. Если значение «предоставлено», оно должно присутствовать. Если значение равно
"необязательный", тогда он может присутствовать. Любые поля, не упомянутые в разделе политики, являются
молча удаляется, если только -preserveDN установлен, но это можно рассматривать как
причуда, чем предполагаемое поведение.
СПКАЦ ФОРМАТ
Вход в -спкач Параметр командной строки - это открытый ключ, подписанный Netscape, и вызов.
Обычно это происходит из КЕЙГЕН в HTML-форме, чтобы создать новый закрытый ключ.
Однако можно создать SPKAC, используя Spkac утилита.
Файл должен содержать переменную SPKAC, установленную на значение SPKAC, а также
необходимые компоненты DN в виде пар имя-значение. Если вам нужно включить тот же компонент
дважды, тогда ему могут предшествовать число и '.'.
При обработке формата SPKAC выводом будет DER, если -вне флаг используется, но формат PEM
при отправке на стандартный вывод или -внешний каталог флаг используется.
ПРИМЕРЫ
Примечание: в этих примерах предполагается, что ca структура каталогов уже настроена и
соответствующие файлы уже существуют. Обычно это включает в себя создание сертификата CA и частного
ключ с REQ, файл серийного номера и пустой индексный файл и поместив их в
соответствующие каталоги.
Чтобы использовать образец файла конфигурации под каталогами demoCA, demoCA / private и
demoCA / newcerts будет создан. Сертификат CA будет скопирован в demoCA / cacert.pem
и его закрытый ключ к demoCA / private / cakey.pem. Будет создан файл demoCA / serial
содержащий, например, «01» и пустой индексный файл demoCA / index.txt.
Подпишите запрос на сертификат:
openssl ca -in req.pem -out newcert.pem
Подпишите запрос на сертификат, используя расширения CA:
openssl ca -in req.pem -extensions v3_ca -out newcert.pem
Создать CRL
openssl ca -gencrl -out crl.pem
Подпишите несколько запросов:
openssl ca -infiles req1.pem req2.pem req3.pem
Сертифицировать Netscape SPKAC:
openssl ca -spkac spkac.txt
Пример файла SPKAC (строка SPKAC для ясности усечена):
SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN = Стив Тест
emailAddress =[электронная почта защищена]
0.OU = Группа OpenSSL
1.OU = Другая группа
Пример файла конфигурации с соответствующими разделами для ca:
[ca]
default_ca = CA_default # Раздел CA по умолчанию
[CA_default]
dir = ./demoCA # верхний каталог
database = $ dir / index.txt # индексный файл.
new_certs_dir = $ dir / newcerts # новый каталог сертификатов
certificate = $ dir / cacert.pem # Сертификат CA
serial = $ dir / serial # серийный номер без файла
private_key = $ dir / private / cakey.pem # закрытый ключ CA
RANDFILE = $ dir / private / .rand # файл случайных чисел
default_days = 365 # сколько времени нужно сертифицировать
default_crl_days = 30 # сколько времени до следующего CRL
default_md = md5 # использовать md
policy = policy_any # политика по умолчанию
email_in_dn = no # Не добавлять адрес электронной почты в DN сертификата
name_opt = ca_default # Параметр отображения имени субъекта
cert_opt = ca_default # Параметр отображения сертификата
copy_extensions = none # Не копировать расширения из запроса
[policy_any]
countryName = предоставлено
stateOrProvinceName = необязательно
organizationName = необязательно
organizationUnitName = необязательно
commonName = поставляется
emailAddress = необязательно
Используйте cassl онлайн с помощью сервисов onworks.net
