Это команда certutil, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
certutil - управление ключами и сертификатом как в базах данных NSS, так и в других токенах NSS.
СИНТАКСИС
Certutil [кредита] [[Аргументы]]
статус
Работа над этой документацией все еще продолжается. Пожалуйста, внесите свой вклад в первоначальный обзор в
Mozilla NSS ошибка 836477[1]
ОПИСАНИЕ
Инструмент базы данных сертификатов, Certutil, это утилита командной строки, которая может создавать и
изменять базы данных сертификатов и ключей. Он может специально перечислять, генерировать, изменять или
удалить сертификаты, создать или изменить пароль, сгенерировать новый открытый и закрытый ключ
пары, отобразить содержимое базы данных ключей или удалить пары ключей внутри ключа
база данных.
Для выдачи сертификата, являющейся частью процесса управления ключами и сертификатами, необходимо, чтобы
ключи и сертификаты должны быть созданы в базе данных ключей. В этом документе обсуждается сертификат
и управление базой данных ключей. Для получения информации об управлении базой данных модуля безопасности,
см. модуль справочная страница.
КОМАНДА ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ И АРГУМЕНТЫ
Бег Certutil всегда требует одного и только одного параметра команды, чтобы указать тип
сертификат операции. Каждая опция команды может принимать ноль или более аргументов. Команда
вариант -H перечислит все параметры команды и их соответствующие аргументы.
Command Опции
-A
Добавьте существующий сертификат в базу данных сертификатов. База данных сертификатов должна
уже существует; если его нет, этот параметр команды будет инициализирован один за другим.
по умолчанию.
-B
Выполните серию команд из указанного командного файла. Это требует -i аргумент.
-C
Создайте новый файл двоичного сертификата из файла запроса двоичного сертификата. Использовать
-i аргумент для указания файла запроса сертификата. Если этот аргумент не используется,
Certutil запрашивает имя файла.
-D
Удалите сертификат из базы данных сертификатов.
--переименовать
Измените псевдоним базы данных сертификата.
-E
Добавьте сертификат электронной почты в базу данных сертификатов.
-F
Удалить закрытый ключ из базы данных ключей. Укажите ключ для удаления с помощью -n
аргумент. Укажите базу данных, из которой нужно удалить ключ, с помощью -d аргумент. Использовать
домен -k аргумент, чтобы явно указать, следует ли удалить ключ DSA, RSA или ECC. если ты
не используйте -k аргумент, опция ищет ключ RSA, соответствующий указанному
ник.
При удалении ключей обязательно удалите все сертификаты, связанные с ними.
ключи из базы данных сертификатов, используя -D. Некоторые смарт-карты не позволяют
удалите сгенерированный вами открытый ключ. В таком случае только закрытый ключ
удален из пары ключей. Вы можете отобразить открытый ключ с помощью команды certutil -K
-h имя токена.
-G
Создайте новую пару открытого и закрытого ключей в базе данных ключей. База данных ключей
уже должен существовать; если его нет, этот параметр команды инициализирует один
по умолчанию. Некоторые смарт-карты могут хранить только одну пару ключей. Если вы создадите новую пару ключей
для такой карты перезаписывается предыдущая пара.
-H
Отобразите список параметров и аргументов команды.
-K
Перечислите идентификатор ключа ключей в базе данных ключей. Идентификатор ключа - это модуль ключа RSA или
publicValue ключа DSA. Идентификаторы отображаются в шестнадцатеричном формате («0x» не отображается).
-L
Перечислить все сертификаты или отобразить информацию об именованном сертификате в
база данных сертификатов. Используйте аргумент -h tokenname, чтобы указать сертификат
база данных на конкретном аппаратном или программном токене.
-M
Измените атрибуты доверия сертификата, используя значения аргумента -t.
-N
Создайте новые базы данных сертификатов и ключей.
-O
Распечатайте цепочку сертификатов.
-R
Создайте файл запроса сертификата, который можно отправить в центр сертификации.
(CA) для преобразования в готовый сертификат. Выход по умолчанию - стандартный выход
если вы не используете аргумент -o выходной файл. Используйте аргумент -a, чтобы указать вывод ASCII.
-S
Создайте индивидуальный сертификат и добавьте его в базу данных сертификатов.
-T
Сбросьте базу данных ключей или токен.
-U
Перечислите все доступные модули или распечатайте один именованный модуль.
-V
Проверить действительность сертификата и его атрибутов.
-W
Измените пароль к базе данных ключей.
- объединить
Объедините две базы данных в одну.
--обновление-слияние
Обновите старую базу данных и объедините ее с новой базой данных. Это используется для переноса
устаревшие базы данных NSS (cert8.db и key3.db) в новые базы данных SQLite (cert9.db
и key4.db).
аргументы
Аргументы изменяют параметр команды и обычно представляют собой строчные буквы, числа или символы.
-a
Используйте формат ASCII или разрешите использование формата ASCII для ввода или вывода. Это форматирование
соответствует RFC 1113. Для запросов сертификатов вывод ASCII по умолчанию соответствует стандартному выводу.
если не перенаправлен.
-b срок действия
Укажите время, в которое сертификат должен быть действительным. Использовать при проверке
срок действия сертификата с -V вариант. Формат срок действия аргумент
ГГММДДЧЧММСС [+ ЧЧММ | -ЧЧММ | Z], что позволяет устанавливать смещения относительно срока действия
время окончания. Указание секунд (SS) не является обязательным. При указании точного времени используйте
Z в конце срока, ГГММДДЧЧММССЗ, чтобы закрыть его. При указании времени смещения
использование ГГММДДЧЧММСС + ЧЧММ or ГГММДДЧЧММСС-ЧЧММ для добавления или вычитания времени,
соответственно.
Если этот параметр не используется, по умолчанию при проверке действительности используется текущее системное время.
-c эмитент
Определите сертификат ЦС, из которого будет получен новый сертификат.
подлинность. Используйте точное имя или псевдоним сертификата ЦС или используйте
адрес электронной почты. Заключите строку эмитента в кавычки, если она содержит пробелы.
-d [префикс] каталог
Укажите каталог базы данных, содержащий файлы базы данных сертификатов и ключей.
Certutil поддерживает два типа баз данных: устаревшие базы данных безопасности (cert8.db,
key3.db и secmod.db) и новые базы данных SQLite (cert9.db, key4.db и pkcs11.txt).
NSS распознает следующие префиксы:
· SQL: запрашивает новую базу данных
· дБм: запрашивает устаревшую базу данных
Если префикс не указан, тип по умолчанию извлекается из NSS_DEFAULT_DB_TYPE. Если
NSS_DEFAULT_DB_TYPE не установлен тогда дБм: по умолчанию.
--dump-ext-val OID
Для одиночного сертификата выведите двоичную кодировку DER расширения OID.
-e
Проверьте подпись сертификата в процессе проверки сертификата.
- адрес электронной почты
Укажите адрес электронной почты сертификата для списка. Используется с параметром команды -L.
--extGeneric OID: критический-флаг: имя файла [, OID: критический-флаг: имя файла] ...
Добавьте одно или несколько расширений, которые certutil еще не может кодировать, загрузив их
кодировки из внешних файлов.
· OID (пример): 1.2.3.4
· Критический-флаг: критический или некритический
· Filename: полный путь к файлу, содержащему закодированное расширение
-f файл-паролей
Укажите файл, который будет автоматически содержать пароль для включения в сертификат.
или для доступа к базе данных сертификатов. Это простой текстовый файл, содержащий один
пароль. Обязательно предотвратите несанкционированный доступ к этому файлу.
-g размер ключа
Установите размер ключа, который будет использоваться при создании новых пар открытого и закрытого ключей. Минимум
512 бит, максимум - 16384 бит. По умолчанию 2048 бит. Любой размер между
минимум и максимум допустимы.
-h имя токена
Укажите имя токена, который будет использоваться или действовать. Если не указано, токен по умолчанию
внутренний слот базы данных.
-i входной_файл
Передайте команде входной файл. В зависимости от параметра команды входной файл может
быть конкретным сертификатом, файлом запроса сертификата или пакетным файлом команд.
-k тип-ключа-или-идентификатор
Укажите тип или конкретный идентификатор ключа.
Допустимые варианты типа ключа: rsa, dsa, ec или all. Значение по умолчанию - rsa.
Указав тип ключа, вы сможете избежать ошибок, связанных с дублированием псевдонимов. Давая
тип ключа генерирует новую пару ключей; предоставление идентификатора существующего ключа повторно использует этот ключ
пара (необходимая для обновления сертификатов).
-l
Отображать подробную информацию при проверке сертификата с параметром -V.
-m серийный номер
Присвойте создаваемому сертификату уникальный серийный номер. Эта операция должна быть
выполняется CA. Если серийный номер не указан, используется серийный номер по умолчанию.
с текущего времени. Серийные номера ограничены целыми числами
-n ник
Укажите псевдоним сертификата или ключа для включения в список, создания, добавления в базу данных,
изменить или проверить. Заключите строку псевдонима в кавычки, если она содержит
пространства.
-o выходной файл
Укажите имя выходного файла для новых сертификатов или запросов двоичных сертификатов.
Заключите строку выходного файла в кавычки, если она содержит пробелы. Если это
Аргумент не используется, по умолчанию для вывода используется стандартный вывод.
-P префикс базы данных
Укажите префикс, используемый в файле базы данных сертификатов и ключей. Этот аргумент
предоставляется для поддержки устаревших серверов. Большинство приложений не используют префикс базы данных.
-p телефон
Укажите номер контактного телефона для включения в новые сертификаты или сертификаты
Запросы. Заключите эту строку в кавычки, если она содержит пробелы.
-q pqgfile или имя-кривой
Прочтите альтернативное значение PQG из указанного файла при создании пар ключей DSA. Если
этот аргумент не используется, Certutil генерирует собственное значение PQG. Файлы PQG создаются
с отдельной утилитой DSA.
Имя эллиптической кривой - одно из названий ЛЮКСА B: nistp256, nistp384, nistp521.
Если NSS был скомпилирован с опорными кривыми за пределами SUITE B: sect163k1, nistk163,
sect163r1, sect163r2, nistb163, sect193r1, sect193r2, sect233k1, nistk233, sect233r1,
nistb233, sect239k1, sect283k1, nistk283, sect283r1, nistb283, sect409k1, nistk409,
sect409r1, nistb409, sect571k1, nistk571, sect571r1, nistb571, secp160k1, secp160r1,
secp160r2, secp192k1, secp192r1, nistp192, secp224k1, secp224r1, nistp224, secp256k1,
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2
-r
Отображать двоичную кодировку DER сертификата при перечислении информации об этом
сертификат с параметром -L.
-s тема
Определите конкретного владельца сертификата для новых сертификатов или запросов сертификатов.
Заключите эту строку в кавычки, если она содержит пробелы. Предмет
формат идентификации соответствует RFC # 1485.
-t доверять
Укажите атрибуты доверия для изменения в существующем сертификате или для применения к
сертификат при его создании или добавлении в базу данных. Доступны три
категории доверия для каждого сертификата, выраженные в порядке SSL, Эл. адрес, объект
подписание для каждой настройки доверия. В каждой позиции категории не используйте ни один, ни один или все
коды атрибутов:
· p - Действительный партнер
· P - Надежный партнер (подразумевается p)
· c - Действительный CA
· T - Надежный CA (подразумевает c)
· C - доверенный ЦС для аутентификации клиента (только ssl-сервер)
· u - Пользователь
Коды атрибутов для категорий разделяются запятыми, и весь набор
атрибуты заключены в кавычки. Например:
-t «ТЦу, Си, Вт»
Используйте параметр -L, чтобы просмотреть список текущих сертификатов и атрибутов доверия в
база данных сертификатов.
-у сертификат
Укажите контекст использования, который будет применяться при проверке сертификата с параметром -V.
Контексты следующие:
· C (как SSL-клиент)
· V (как SSL-сервер)
· L (как SSL CA)
· A (как любой CA)
· Y (Проверить ЦС)
· S (как лицо, подписывающее электронную почту)
· R (как получатель электронной почты)
· O (как ответчик статуса OCSP)
· J (как лицо, подписывающее объект)
-v действительные месяцы
Установите количество месяцев, в течение которых новый сертификат будет действителен. Срок действия начинается
в текущее системное время, если только смещение не добавляется или не вычитается с -w опцию.
Если этот аргумент не используется, срок действия по умолчанию составляет три месяца.
-w смещение-месяцев
Установите смещение от текущего системного времени в месяцах для начала
срок действия сертификата. Используйте при создании сертификата или добавлении его в
база данных. Выразите смещение в целых числах, используя знак минус (-), чтобы указать
отрицательное смещение. Если этот аргумент не используется, срок действия начинается с
текущее системное время. Продолжительность срока действия устанавливается аргументом -v.
-X
Принудительно открыть базу данных ключей и сертификатов в режиме чтения-записи. Это используется с
домен -U и -L параметры команды.
-x
Используйте Certutil для генерации подписи для сертификата, который создается или добавляется в
базу данных, а не получать подпись из отдельного центра сертификации.
-у опыт
Задайте альтернативное значение экспоненты для использования при создании нового открытого ключа RSA для
база данных, вместо значения по умолчанию 65537. Доступные альтернативные значения: 3
и 17.
-z шумовой файл
Прочтите начальное значение из указанного файла, чтобы сгенерировать новый закрытый и открытый ключи
пара. Этот аргумент позволяет использовать начальные значения, генерируемые оборудованием, или
вручную создать значение с клавиатуры. Минимальный размер файла - 20 байт.
-Z хэшалг
Укажите алгоритм хеширования для использования с параметрами команды -C, -S или -R. Возможный
ключевые слова:
· МД2
· МД4
· МД5
· ША1
· ША224
· ША256
· ША384
· ША512
-0 SSO_пароль
Установите пароль сотрудника службы безопасности сайта на токен.
-1 | --keyUsage ключевое слово, ключевое слово
Задайте в сертификате расширение типа сертификата X.509 V3. Есть несколько
доступные ключевые слова:
· цифровой подписи
· Безответственность
· KeyEncipherment
· DataEncipherment
· KeyAgreement
· CertSigning
· CrlSigning
· Критический
-2
Добавьте базовое расширение ограничения к сертификату, который создается или добавляется в
база данных. Это расширение поддерживает процесс проверки цепочки сертификатов.
Certutil предлагает выбрать расширение ограничения сертификата.
Расширения сертификатов X.509 описаны в RFC 5280.
-3
Добавьте расширение идентификатора ключа центра сертификации к сертификату, который создается или добавляется в
база данных. Это расширение поддерживает идентификацию конкретного сертификата от
среди нескольких сертификатов, связанных с одним именем субъекта, как правильный эмитент
сертификат. Инструмент базы данных сертификатов предложит вам выбрать центр сертификации.
расширение идентификатора ключа.
Расширения сертификатов X.509 описаны в RFC 5280.
-4
Добавление расширения точки распространения CRL к сертификату, который создается или добавляется
в базу данных. Это расширение определяет URL-адрес связанного с сертификатом
список отзыва сертификатов (CRL). Certutil запрашивает URL-адрес.
Расширения сертификатов X.509 описаны в RFC 5280.
-5 | --nsCertType ключевое слово, ключевое слово
Добавьте расширение типа сертификата X.509 V3 к создаваемому сертификату или
добавлен в базу. Есть несколько доступных ключевых слов:
· SslClient
· SslServer
· Дым
· ObjectSigning
· SslCA
· SmimeCA
· ObjectSigningCA
· Критический
Расширения сертификатов X.509 описаны в RFC 5280.
-6 | --extKeyUsage ключевое слово, ключевое слово
Добавьте расширение расширенного использования ключа к сертификату, который создается или добавляется к
база данных. Доступно несколько ключевых слов:
· ServerAuth
· ClientAuth
· CodeSigning
· EmailProtection
· TimeStamp
· OcspResponder
· StepUp
· MsTrustListSign
· Критический
Расширения сертификатов X.509 описаны в RFC 5280.
-7 адресов электронной почты
Добавьте список адресов электронной почты, разделенных запятыми, к альтернативному имени темы
расширение сертификата или запроса сертификата, который создается или добавляется к
база данных. Расширения альтернативных имен субъектов описаны в разделе 4.2.1.7.
РФС 3280.
-8 DNS-имен
Добавьте разделенный запятыми список имен DNS к расширению альтернативного имени субъекта
сертификат или запрос сертификата, который создается или добавляется в базу данных.
Расширения альтернативных имен субъектов описаны в разделе 4.2.1.7 RFC 3280.
--extAIA
Добавьте к сертификату расширение доступа к информации о полномочиях. Сертификат X.509
расширения описаны в RFC 5280.
--extSIA
Добавьте к сертификату расширение «Доступ к информации о субъекте». Сертификат X.509
расширения описаны в RFC 5280.
--extCP
Добавьте к сертификату расширение политик сертификатов. Сертификат X.509
расширения описаны в RFC 5280.
--extPM
Добавьте к сертификату расширение Policy Mappings. Расширения сертификата X.509
описан в RFC 5280.
--extPC
Добавьте к сертификату расширение ограничений политики. Расширения сертификата X.509
описаны в RFC 5280.
--extIA
Добавьте к сертификату расширение Inhibit Any Policy Access. Сертификат X.509
расширения описаны в RFC 5280.
--extSKID
Добавьте в сертификат расширение Subject Key ID. Расширения сертификата X.509
описан в RFC 5280.
--extNC
Добавьте к сертификату расширение ограничения имени. Расширения сертификата X.509
описан в RFC 5280.
--extSAN тип: имя [, тип: имя] ...
Создайте расширение альтернативного имени субъекта с одним или несколькими именами.
-тип: каталог, dn, dns, edi, ediparty, электронная почта, ip, ipaddr, другое, registerid,
rfc822, ури, x400, x400addr
- пустой пароль
Используйте пустой пароль при создании новой базы данных сертификатов с помощью -N.
--keyAttrFlags флаги атрибутов
Атрибуты ключа PKCS # 11. Разделенный запятыми список флагов ключевых атрибутов, выбранных из
следующий список вариантов: {token | сессия} {общедоступная | частный} {конфиденциальный |
нечувствительный} {изменяемый | неизменяемый} {извлекаемый | не извлекаемый}
--keyOpFlagsOn opflags, --keyOpFlagsOff opflags
PKCS # 11 ключевые операционные флаги. Список, разделенный запятыми, из одного или нескольких из следующего:
{токен | сессия} {общедоступная | частный} {конфиденциальный | нечувствительный} {изменяемый |
неизменяемый} {извлекаемый | не извлекаемый}
--new-n ник
Новый псевдоним, используемый при переименовании сертификата.
--source-dir каталог сертификата
Определите каталог базы данных сертификатов для обновления.
--source-prefix каталог сертификата
Дайте префикс сертификата и ключевых баз для обновления.
--upgrade-id уникальный идентификатор
Укажите уникальный идентификатор базы данных для обновления.
--upgrade-token-name имя
Задайте имя токена, который будет использоваться во время обновления.
- @ pwfile
Укажите имя файла паролей, который будет использоваться для обновляемой базы данных.
ИСПОЛЬЗОВАНИЕ И ПРИМЕРЫ
Для большинства параметров команд в приведенных здесь примерах доступно больше аргументов. В
аргументы, включенные в эти примеры, являются наиболее распространенными или используются для иллюстрации
конкретный сценарий. Использовать -H возможность показать полный список аргументов для каждого
опция команды.
Создающий Новые Безопасность Databases
Сертификаты, ключи и модули безопасности, связанные с управлением сертификатами, хранятся в
три связанных базы данных:
· Cert8.db или cert9.db
· Key3.db или key4.db
· Secmod.db или pkcs11.txt
Эти базы данных должны быть созданы до создания сертификатов или ключей.
certutil -N -d [sql:] каталог
Создающий a Сертификация Запрос
Запрос на сертификат содержит большую часть или всю информацию, которая используется для создания
итоговый сертификат. Этот запрос подается отдельно в центр сертификации и
затем утверждается каким-либо механизмом (автоматически или путем проверки человеком). Как только запрос
утвержден, затем создается сертификат.
$ certutil -R -k тип-ключа-или-идентификатор [-q pqgfile | имя-кривой] -g размер-ключа -s тема [-h имя токена] -d [sql:] каталог [-p телефон] [-o выходной файл] [-a]
Ассоциация -R Параметры команды требуют четырех аргументов:
· -k чтобы указать либо тип ключа для генерации, либо, при обновлении сертификата,
существующая пара ключей для использования
· -g чтобы установить размер ключа для генерации
· -s установить имя субъекта сертификата
· -d предоставить каталог базы данных безопасности
Новый запрос сертификата может быть выведен в формате ASCII (-a) или можно записать в
указанный файл (-o).
Например:
$ certutil -R -k rsa -g 1024 -s "CN = John Smith, O = Example Corp, L = Mountain View, ST = California, C = US" -d sql: $ HOME / nssdb -p 650-555- 0123 -a -o cert.cer
Генерация ключа. Это может занять некоторое время ...
Создающий a Сертификация
Действительный сертификат должен быть выдан доверенным центром сертификации. Это можно сделать, указав ЦС.
сертификат (-c), который хранится в базе данных сертификатов. Если пара ключей CA не
доступен, вы можете создать самозаверяющий сертификат, используя -x аргумент с -S
опция команды.
$ certutil -S -k rsa | dsa | ec -n имя сертификата -s subject [-c издатель | -x] -t trustargs -d [sql:] каталог [-m серийный-номер] [-v допустимые-месяцы] [ -w смещение-месяцев] [-p телефон] [-1] [-2] [-3] [-4] [-5 ключевое слово] [-6 ключевое слово] [-7 адрес электронной почты] [-8 DNS-имена] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]
Ряд чисел и --ext * параметры устанавливают расширения сертификатов, которые могут быть добавлены к
сертификат, когда он генерируется центром сертификации. В результате появятся интерактивные подсказки.
Например, это создает самозаверяющий сертификат:
$ certutil -S -s "CN = Пример CA" -n my-ca-cert -x -t "C, C, C" -1-2-5 -m 3650
Интерактивные подсказки об использовании ключа и о том, являются ли какие-либо расширения важными, и ответы
для краткости опущены.
Оттуда новые сертификаты могут ссылаться на самозаверяющий сертификат:
$ certutil -S -s "CN = My Server Cert" -n my-server-cert -c "my-ca-cert" -t "u, u, u" -1-5-6-8 -m 730
Порождающий a Сертификация от a Сертификация Запрос
Когда создается запрос сертификата, сертификат может быть сгенерирован с помощью запроса
а затем ссылку на сертификат подписи центра сертификации ( эмитент указано в
домен -c аргумент). Выдающий сертификат должен быть в базе данных сертификатов в
указанный каталог.
certutil -C -c издатель -i файл-запроса-сертификата -o выходной-файл [-m серийный-номер] [-v допустимые-месяцы] [-w смещение-месяцев] -d [sql:] каталог [-1] [-2] [-3] [-4] [-5 ключевое слово] [-6 ключевое слово] [-7 адрес электронной почты] [-8 DNS-имена]
Например:
$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql: $ HOME / nssdb -1 nonRepudiation, dataEncipherment -5 sslClient -6 clientAuth -7 [электронная почта защищена]
Список Сертификаты
Ассоциация -L Параметр команды перечисляет все сертификаты, перечисленные в базе данных сертификатов.
Путь к каталогу (-d) необходимо.
$ certutil -L -d sql: / home / my / sharednssdb
Атрибуты доверия псевдонима сертификата
SSL, S / MIME, JAR / XPI
Администратор CA экземпляра pki-ca1: пример идентификатора домена u, u, u
Пример идентификатора домена администратора TPS u, u, u
Интернет-администрация Google ,,
Центр сертификации - пример домена CT, C, C
Использование дополнительных аргументов с -L может вернуть и распечатать информацию для одного,
конкретный сертификат. Например, -n аргумент передает имя сертификата, в то время как
-a аргумент печатает сертификат в формате ASCII:
$ certutil -L -d sql: $ HOME / nssdb -a -n мой-ca-cert
----- НАЧАТЬ СЕРТИФИКАТ -----
MIIB1DCCAT2gAwIBAgICDkIwDQYJKoZIhvcNAQEFBQAwFTETMBEGA1UEAxMKRXhh
bXBsZSBDQTAeFw0xMzAzMTMxOTEwMjlaFw0xMzA2MTMxOTEwMjlaMBuxEzARBgNV
BAMTCkV4YW1wbGUgQ0EwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAJ4Kzqvz
JyBVgFqDXRYSyTBNw1DrxUU/3GvWA/ngjAwHEv0Cul/6sO/gsCvnABHiH6unns6x
XRzPORlC2WY3gkk7vmlsLvYpyecNazAi/NAwVnU/66HOsaoVFWE+gBQo99UrN2yk
0BiK/GMFlLm5dXQROgA9ZKKyFdI0LIXtf6SbAgMBAAGjMzAxMBEGCWCGSAGG+EIB
AQQEAwIHADAMBgNVHRMEBTADAQH / MA4GA1UdDwEB / wQEAwICBDANBgkqhkiG9w0B
AQUFAAOBgQA6chkzkACN281d1jKMrc+RHG2UMaQyxiteaLVZO+Ro1nnRUvseDf09
XKYFwPMJjWCihVku6bw/ihZfuMHhxK22Nue6inNQ6eDu7WmrqL8z3iUrQwxs+WiF
ob2rb8XRVVJkzXdXxlk4uo3UtNvw8sAz7sWD71qxKaIHU5q49zijfg==
----- КОНЕЦ СЕРТИФИКАТА -----
Для удобочитаемого дисплея
$ certutil -L -d sql: $ HOME / nssdb -n мой-ca-cert
Сертификат:
Данные:
Версия: 3 (0x2)
Серийный номер: 3650 (0xe42)
Алгоритм подписи: PKCS # 1 SHA-1 с шифрованием RSA
Эмитент: "CN = Example CA"
Срок действия:
Не раньше: 13 марта, среда, 19:10:29 2013 г.
Не после: 13 июня, четверг, 19:10:29 2013 г.
Тема: "CN = Пример CA"
Информация об открытом ключе субъекта:
Алгоритм открытого ключа: шифрование PKCS # 1 RSA
Открытый ключ RSA:
Модуль:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
Показатель степени: 65537 (0x10001)
Подписанные расширения:
Имя: Тип сертификата
Данные: нет
Имя: Основные ограничения сертификата
Данные: ЦС без максимальной длины пути.
Имя: Использование ключа сертификата
Критическое: верно
Использование: подпись сертификата
Алгоритм подписи: PKCS # 1 SHA-1 с шифрованием RSA
Подпись:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
Отпечаток пальца (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
Отпечаток пальца (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7
Флаги доверия к сертификату:
Флаги SSL:
Действительный CA
Надежный ЦС
Информация о пользователе
Флаги электронной почты:
Действительный CA
Надежный ЦС
Информация о пользователе
Флаги подписи объекта:
Действительный CA
Надежный ЦС
Информация о пользователе
Список Ключи
Ключи - это исходный материал, используемый для шифрования данных сертификата. Ключи, сгенерированные для
сертификаты хранятся отдельно, в базе данных ключей.
Чтобы перечислить все ключи в базе данных, используйте -K параметр команды и (обязательно) -d аргумент
чтобы указать путь к каталогу.
$ certutil -K -d sql: $ HOME / nssdb
certutil: Проверка токена «База данных сертификатов NSS» в слоте «Секретный ключ пользователя NSS и службы сертификации»
<0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d ID участника Thawte Freemail Thawte Consulting (Pty) Ltd.
<1> rsa 40defeeb522ade11090eacebaaf1196a172127df Пример сертификата администратора домена
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert
Есть способы сузить список ключей, перечисленных в результатах поиска:
· Чтобы вернуть конкретный ключ, используйте -nимя аргумент с именем ключа.
· Если загружено несколько устройств безопасности, то -hимя токена аргумент может
поиск по конкретному токену или по всем токенам.
· Если доступно несколько типов ключей, то -kтип ключа аргумент может искать
определенный тип ключа, например RSA, DSA или ECC.
Список Безопасность Модули
Устройства, которые можно использовать для хранения сертификатов - как внутренние базы данных, так и внешние
такие устройства, как смарт-карты, распознаются и используются путем загрузки модулей безопасности. В -U
Параметр command перечисляет все модули безопасности, перечисленные в базе данных secmod.db. В
путь к каталогу (-d) необходимо.
$ certutil -U -d sql: / home / my / sharednssdb
слот: закрытый ключ пользователя NSS и службы сертификации
токен: БД сертификатов NSS
слот: внутренние криптографические службы NSS
токен: Общие криптосервисы NSS
Добавление Сертификаты в домен База данных
Существующие сертификаты или запросы сертификатов можно добавить к сертификату вручную.
базы данных, даже если они были созданы в другом месте. Это использует -A опция команды.
certutil -A -n имя сертификата -t trustargs -d [sql:] каталог [-a] [-i входной файл]
Например:
$ certutil -A -n "CN = Мой сертификат SSL" -t "u, u, u" -d sql: / home / my / sharednssdb -i /home/example-certs/cert.cer
Связанный параметр команды, -E, используется специально для добавления сертификатов электронной почты в
база данных сертификатов. В -E команда имеет те же аргументы, что и -A команда. Доверие
аргументы для сертификатов имеют формат SSL, S / MIME, подпись кода, поэтому среднее доверие
настройки больше всего относятся к сертификатам электронной почты (хотя другие можно установить). Например:
$ certutil -E -n "CN = Сертификат электронной почты Джона Смита" -t ", Pu," -d sql: / home / my / sharednssdb -i /home/example-certs/email.cer
Удаление Сертификаты в домен База данных
Сертификаты можно удалить из базы данных с помощью -D вариант. Единственные необходимые опции
должны указать каталог базы данных безопасности и идентифицировать псевдоним сертификата.
certutil -D -d [sql:] каталог -n "ник"
Например:
$ certutil -D -d sql: / home / my / sharednssdb -n "мой-SSL-сертификат"
Пользователи Сертификаты
Сертификат сам по себе содержит дату истечения срока действия, и сертификаты с истекшим сроком действия легко
отклоненный. Однако сертификаты также могут быть отозваны до истечения срока их действия.
Проверка того, был ли сертификат отозван, требует проверки сертификата.
Проверка также может использоваться, чтобы гарантировать, что сертификат используется только для целей
изначально он был выпущен для. Валидация проводится -V опция команды.
certutil -V -n имя-сертификата [-b время] [-e] [-u использование-сертификата] -d [sql:] каталог
Например, чтобы проверить сертификат электронной почты:
$ certutil -V -n "Электронный сертификат Джона Смита" -e -u S, R -d sql: / home / my / sharednssdb
Изменение Сертификация Доверие Настройки
Параметры доверия (которые относятся к операциям, которые разрешено использовать для сертификата).
используется для) может быть изменен после создания сертификата или добавления в базу данных. Это
особенно полезно для сертификатов CA, но может быть выполнено для любого типа
сертификат.
certutil -M -n имя-сертификата -t аргументы-доверия -d [sql:] каталог
Например:
$ certutil -M -n "Мой сертификат ЦС" -d sql: / home / my / sharednssdb -t "CTu, CTu, CTu"
Печать домен Сертификация цепь
Сертификаты можно оформить в цепи потому что каждый центр сертификации имеет
сертификат; когда ЦС выдает сертификат, он, по сути, маркирует этот сертификат
собственный отпечаток пальца. В -O печатает полную цепочку сертификата, начиная с начальной
ЦС (корневой ЦС) через промежуточный ЦС к фактическому сертификату. Например, для
сертификат электронной почты с двумя центрами сертификации в цепочке:
$ certutil -d sql: / home / my / sharednssdb -O -n "[электронная почта защищена]"
«Встроенный токен объекта: Thawte Personal Freemail CA» [E =[электронная почта защищена], CN = Thawte Personal Freemail CA, OU = Certification Services Division, O = Thawte Consulting, L = Кейптаун, ST = Western Cape, C = ZA]
"Thawte Personal Freemail Issuing CA - Thawte Consulting" [CN = Thawte Personal Freemail Issuing CA, O = Thawte Consulting (Pty) Ltd., C = ZA]
"(null)" [E =[электронная почта защищена], CN = член бесплатной почты Thawte]
Сброс a Токены
Устройство, на котором хранятся сертификаты - как внешние аппаратные устройства, так и внутренние.
базы данных программного обеспечения - могут быть очищены и использованы повторно. Эта операция выполняется на устройстве
который хранит данные, а не непосредственно в базах данных безопасности, поэтому местоположение должно быть
указывается через имя токена (-h), а также любой путь к каталогу. Если нет
используется внешний токен, значение по умолчанию - internal.
certutil -T -d [sql:] каталог -h имя-токена -0 пароль-сотрудника безопасности
Во многих сетях есть специальный персонал, который обрабатывает изменения в токенах безопасности (
офицер). Этот человек должен предоставить пароль для доступа к указанному токену. Например:
$ certutil -T -d sql: / home / my / sharednssdb -h nethsm -0 секрет
Модернизация or Объединение домен Безопасность Databases
Многие сети или приложения могут использовать более старые версии сертификата BerkeleyDB.
база данных (cert8.db). Базы данных можно обновить до новой версии SQLite.
(cert9.db) с помощью --обновление-слияние опция команды или существующие базы данных могут быть объединены
с новыми базами данных cert9.db, используя --- объединить команда.
Ассоциация --обновление-слияние команда должна предоставить информацию об исходной базе данных, а затем использовать
стандартные аргументы (например, -d) для предоставления информации о новых базах данных. В
команде также требуется информация, которую инструмент использует для процесса обновления и записи
над исходной базой данных.
certutil --upgrade-merge -d [sql:] каталог [-P dbprefix] --source-dir каталог --source-prefix dbprefix --upgrade-id id --upgrade-token-name name [- @ password-file ]
Например:
$ certutil --upgrade-merge -d sql: / home / my / sharednssdb --source-dir / opt / my-app / alias / --source-prefix serverapp- --upgrade-id 1 --upgrade-token- имя внутренний
Ассоциация - объединить команде требуется только информация о местонахождении исходной базы данных;
поскольку он не меняет формат базы данных, он может перезаписывать информацию без
выполнение промежуточного шага.
certutil --merge -d [sql:] каталог [-P dbprefix] --source-dir каталог --source-prefix dbprefix [- @ password-file]
Например:
$ certutil --merge -d sql: / home / my / sharednssdb --source-dir / opt / my-app / alias / --source-prefix serverapp-
Бег Certutil Команды от a Партия Файл
Ряд команд можно запускать последовательно из текстового файла с -B опция команды.
Единственный аргумент для этого указывает входной файл.
$ certutil -B -i / путь / к / пакетному файлу
NSS DATABASE ВИДЫ
Первоначально NSS использовала базы данных BerkeleyDB для хранения информации о безопасности. Последние версии
из этих наследие базы данных:
· Cert8.db для сертификатов
· Key3.db для ключей
· Secmod.db для информации о модуле PKCS # 11
Однако у BerkeleyDB есть ограничения производительности, которые не позволяют легко использовать его.
несколько приложений одновременно. NSS обладает некоторой гибкостью, что позволяет приложениям
использовать собственный, независимый движок базы данных, сохраняя при этом общую базу данных и работая
вокруг проблем с доступом. Тем не менее, NSS требует большей гибкости для обеспечения действительно общего
база данных безопасности.
В 2009 году NSS представила новый набор баз данных, которые являются базами данных SQLite, а не
BerkeleyDB. Эти новые базы данных обеспечивают большую доступность и производительность:
· Cert9.db для сертификатов
· Key4.db для ключей
· Pkcs11.txt, список всех модулей PKCS # 11, содержащихся в новом подкаталоге
в каталоге баз безопасности
Поскольку базы данных SQLite предназначены для совместного использования, это общие база данных
тип. Тип разделяемой базы данных является предпочтительным; унаследованный формат включен для обратного
Совместимость.
По умолчанию инструменты (Certutil, pk12util, модуль) предполагаем, что данная ценная бумага
базы данных следуют более распространенному унаследованному типу. Использование баз данных SQLite необходимо вручную
указывается с помощью SQL: префикс с указанным каталогом безопасности. Например:
$ certutil -L -d sql: / home / my / sharednssdb
Чтобы установить тип общей базы данных в качестве типа по умолчанию для инструментов, установите
NSS_DEFAULT_DB_TYPE переменная среды для SQL:
экспорт NSS_DEFAULT_DB_TYPE = "sql"
Эту строку можно добавить к ~ / .bashrc файл, чтобы сделать изменение постоянным.
Большинство приложений по умолчанию не используют общую базу данных, но их можно настроить на
используй их. Например, в этой статье с практическими рекомендациями рассказывается, как настроить Firefox и Thunderbird.
для использования новых общих баз данных NSS:
· Https://wiki.mozilla.org/NSS_Shared_DB_Howto
Технический черновик изменений в общих базах данных NSS см. В проекте NSS.
вики:
· Https://wiki.mozilla.org/NSS_Shared_DB
Используйте certutil онлайн с помощью сервисов onworks.net
