นี่คือคำสั่ง cassl ที่สามารถเรียกใช้ในผู้ให้บริการโฮสต์ฟรีของ OnWorks โดยใช้เวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
ca - ตัวอย่างใบสมัคร CA ขั้นต่ำ
เรื่องย่อ
OpenSSL ca [-รายละเอียด] [- กำหนดค่า ชื่อไฟล์] [-แยม ส่วน] [-gencrl] [-ถอน ไฟล์] [-สถานะ
อนุกรม] [-updatedb] [-crl_reason เหตุผล] [-crl_hold การแนะนำ] [-crl_compromise เวลา]
[-crl_CA_ประนีประนอม เวลา] [-crldays วัน] [-crlhours ชั่วโมง] [-crlexts ส่วน] [-วันที่เริ่มต้น
ข้อมูล] [-วันที่สิ้นสุด ข้อมูล] [- วัน หาเรื่อง] [-MD หาเรื่อง] [-นโยบาย หาเรื่อง] [-คีย์ไฟล์ หาเรื่อง] [-คีย์ฟอร์ม
PEM|เดอร์] [-สำคัญ หาเรื่อง] [-พาสซิน หาเรื่อง] [-ใบรับรอง ไฟล์] [-ตัวเอง] [-in ไฟล์] [-ออก ไฟล์]
[-หมายเหตุ] [-นอก dir] [-infiles] [-spkac ไฟล์] [-ss_cert ไฟล์] [-อนุรักษ์DN]
[-noemailDN] [-แบทช์] [-msie_hack] [-ส่วนขยาย ส่วน] [-extfile ส่วน] [- เครื่องยนต์ id]
[-เรื่อง หาเรื่อง] [-utf8] [-หลายค่า-rdn]
DESCRIPTION
พื้นที่ ca คำสั่งเป็นแอปพลิเคชัน CA ขั้นต่ำ สามารถใช้เพื่อลงนามคำขอใบรับรองใน
หลากหลายรูปแบบและสร้าง CRLs มันยังรักษาฐานข้อมูลข้อความของออก
ใบรับรองและสถานะของพวกเขา
คำอธิบายตัวเลือกจะแบ่งออกเป็นแต่ละวัตถุประสงค์
CA OPTIONS
- กำหนดค่า ชื่อไฟล์
ระบุไฟล์คอนฟิกูเรชันที่จะใช้
-แยม ส่วน
ระบุส่วนไฟล์การกำหนดค่าที่จะใช้ (แทนที่ default_ca ใน ca
มาตรา).
-in ชื่อไฟล์
ชื่อไฟล์อินพุตที่มีคำขอใบรับรองเดียวที่จะลงนามโดย CA
-ss_cert ชื่อไฟล์
ใบรับรองที่ลงนามด้วยตนเองฉบับเดียวที่จะลงนามโดย CA
-spkac ชื่อไฟล์
ไฟล์ที่มีหนึ่ง Netscape ลงนามกุญแจสาธารณะและความท้าทายและเพิ่มเติม
ค่าฟิลด์ที่จะลงนามโดย CA ดู สพร FORMAT ส่วนสำหรับข้อมูลเกี่ยวกับ
รูปแบบอินพุตและเอาต์พุตที่ต้องการ
-infiles
หากมีอยู่ นี่ควรเป็นตัวเลือกสุดท้าย อาร์กิวเมนต์ที่ตามมาทั้งหมดจะถือว่าเป็น
ชื่อของไฟล์ที่มีการร้องขอใบรับรอง
-ออก ชื่อไฟล์
ไฟล์ที่ส่งออกไปยังใบรับรองการส่งออก ค่าเริ่มต้นคือเอาต์พุตมาตรฐาน NS
รายละเอียดใบรับรองจะถูกพิมพ์ออกมาเป็นไฟล์นี้ในรูปแบบ PEM (ยกเว้นว่า
-spkac เอาต์พุตรูปแบบ DER)
-นอก ไดเรกทอรี
ไดเร็กทอรีที่จะส่งออกใบรับรองไปที่ ใบรับรองจะถูกเขียนไปยังชื่อไฟล์
ประกอบด้วยหมายเลขซีเรียลในหน่วยฐานสิบหกที่มี ".pem" ต่อท้าย
-ใบรับรอง
ไฟล์ใบรับรอง CA
-คีย์ไฟล์ ชื่อไฟล์
คีย์ส่วนตัวเพื่อลงนามคำขอด้วย
-คีย์ฟอร์ม PEM|เดอร์
รูปแบบของข้อมูลในไฟล์ไพรเวตคีย์ ค่าเริ่มต้นคือ PEM
-สำคัญ รหัสผ่าน
รหัสผ่านที่ใช้เข้ารหัสคีย์ส่วนตัว เนื่องจากในบางระบบบรรทัดคำสั่ง
อาร์กิวเมนต์สามารถมองเห็นได้ (เช่น Unix ที่มียูทิลิตี้ 'ps') ควรใช้ตัวเลือกนี้
ด้วยความระมัดระวัง
-ตัวเอง
ระบุว่าใบรับรองที่ออกให้จะต้องลงนามด้วยรหัสใบรับรอง
คำขอถูกลงนามด้วย (ให้ด้วย -คีย์ไฟล์). คำขอใบรับรองที่ลงนามกับ a
คีย์อื่นจะถูกละเว้น ถ้า -spkac, -ss_cert or -gencrl จะได้รับ -ตัวเอง is
ละเว้น
ผลของการใช้ -ตัวเอง คือใบรับรองที่ลงนามเองปรากฏในหมู่
รายการในฐานข้อมูลใบรับรอง (ดูตัวเลือกการกำหนดค่า ฐานข้อมูล) และการใช้งาน
ตัวนับหมายเลขซีเรียลเดียวกันกับใบรับรองอื่น ๆ ทั้งหมดลงนามด้วยตัวลงนามเอง
ใบรับรอง
-พาสซิน หาเรื่อง
แหล่งรหัสผ่านที่สำคัญ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับรูปแบบของ หาเรื่อง ดู PASS
วลี อาร์กิวเมนต์ ส่วนเข้า OpenSSL(1)
-รายละเอียด
ซึ่งจะพิมพ์รายละเอียดเพิ่มเติมเกี่ยวกับการดำเนินการที่กำลังดำเนินการ
-หมายเหตุ
อย่าส่งออกรูปแบบข้อความของใบรับรองไปยังไฟล์ที่ส่งออก
-วันที่เริ่มต้น ข้อมูล
ทำให้สามารถกำหนดวันที่เริ่มต้นได้อย่างชัดเจน รูปแบบของวันที่คือ
YYMMDDHHMMSSZ (เหมือนกับโครงสร้าง ASN1 UTCTime)
-วันที่สิ้นสุด ข้อมูล
ทำให้สามารถกำหนดวันหมดอายุได้อย่างชัดเจน รูปแบบของวันที่คือ
YYMMDDHHMMSSZ (เหมือนกับโครงสร้าง ASN1 UTCTime)
- วัน หาเรื่อง
จำนวนวันในการรับรองใบรับรองสำหรับ
-MD ALG
ข้อความย่อยที่จะใช้ ค่าที่เป็นไปได้ ได้แก่ md5, sha1 และ mdc2 ตัวเลือกนี้
ยังใช้กับ CRL
-นโยบาย หาเรื่อง
ตัวเลือกนี้กำหนด "นโยบาย" ของ CA ที่จะใช้ นี่คือส่วนในการกำหนดค่า
ซึ่งกำหนดว่าฟิลด์ใดควรเป็นฟิลด์บังคับหรือตรงกับใบรับรอง CA ตรวจสอบ
ออก นโยบาย FORMAT สำหรับข้อมูลเพิ่มเติม
-msie_hack
นี่คือตัวเลือกดั้งเดิมที่จะทำให้ ca ทำงานกับใบรับรอง IE เวอร์ชันเก่ามาก
การควบคุมการลงทะเบียน "certenr3" ใช้ UniversalStrings สำหรับเกือบทุกอย่าง ตั้งแต่
การควบคุมแบบเก่ามีจุดบกพร่องด้านความปลอดภัยต่างๆ ห้ามใช้อย่างยิ่ง ใหม่กว่า
ตัวควบคุม "Xenroll" ไม่ต้องการตัวเลือกนี้
-อนุรักษ์DN
โดยปกติลำดับ DN ของใบรับรองจะเหมือนกับลำดับของฟิลด์ใน
ส่วนนโยบายที่เกี่ยวข้อง เมื่อตั้งค่าตัวเลือกนี้ ลำดับจะเหมือนกับคำขอ
นี่เป็นส่วนใหญ่สำหรับความเข้ากันได้กับการควบคุมการลงทะเบียน IE รุ่นเก่าซึ่งจะ
ยอมรับเฉพาะใบรับรองหาก DN ตรงกับลำดับของคำขอ มันไม่ใช่
จำเป็นสำหรับ Xenroll
-noemailDN
DN ของใบรับรองสามารถมีฟิลด์ EMAIL หากมีอยู่ใน DN คำขอ
อย่างไรก็ตาม เป็นนโยบายที่ดีเพียงแค่ตั้งค่าอีเมลเป็นส่วนขยาย altName ของ
ใบรับรอง. เมื่อตั้งค่าตัวเลือกนี้ ฟิลด์ EMAIL จะถูกลบออกจากใบรับรอง'
เรื่องและตั้งค่าเฉพาะใน, นำเสนอในที่สุด, นามสกุล. NS อีเมล_in_dn คีย์เวิร์ด
สามารถใช้ในไฟล์กำหนดค่าเพื่อเปิดใช้งานลักษณะการทำงานนี้
-แบทช์
สิ่งนี้กำหนดโหมดแบทช์ ในโหมดนี้จะไม่ถามคำถามและใบรับรองทั้งหมด
จะได้รับการรับรองโดยอัตโนมัติ
-ส่วนขยาย ส่วน
ส่วนของไฟล์การกำหนดค่าที่มีนามสกุลใบรับรองที่จะเพิ่ม
เมื่อออกใบรับรอง (ค่าเริ่มต้นเป็น x509_extensions เว้นแต่ไฟล์ -extfile ตัวเลือก
ถูกนำมาใช้). หากไม่มีส่วนส่วนขยาย ใบรับรอง V1 จะถูกสร้างขึ้น ถ้า
ส่วนส่วนขยายมีอยู่ (แม้ว่าจะว่างเปล่า) จากนั้นใบรับรอง V3 จะถูกสร้างขึ้น
ดู:w x509v3_config.xXNUMXvXNUMX_config(5) หน้าคู่มือสำหรับรายละเอียดของรูปแบบส่วนต่อขยาย
-extfile ไฟล์
ไฟล์การกำหนดค่าเพิ่มเติมเพื่ออ่านนามสกุลใบรับรองจาก (โดยใช้
ส่วนเริ่มต้นเว้นแต่ -ส่วนขยาย ใช้ตัวเลือกด้วย)
- เครื่องยนต์ id
การระบุเครื่องยนต์ (โดยเอกลักษณ์ของมัน id string) จะทำให้ ca เพื่อพยายามที่จะได้รับ
การอ้างอิงการทำงานกับเอ็นจิ้นที่ระบุ ดังนั้นจึงเริ่มต้นได้หากจำเป็น NS
เอ็นจิ้นจะถูกตั้งค่าเป็นค่าเริ่มต้นสำหรับอัลกอริธึมที่มีอยู่ทั้งหมด
-เรื่อง หาเรื่อง
แทนที่ชื่อเรื่องที่ให้ไว้ในคำขอ หาเรื่องต้องอยู่ในรูปแบบเป็น
/type0=value0/type1=value1/type2=..., อักขระอาจถูกหลีกเลี่ยงโดย \ (แบ็กสแลช), no
ช่องว่างจะถูกข้าม
-utf8
ตัวเลือกนี้ทำให้ค่าของฟิลด์ถูกตีความว่าเป็นสตริง UTF8 โดยค่าเริ่มต้นคือ
ตีความว่าเป็น ASCII ซึ่งหมายความว่าค่าของฟิลด์ ไม่ว่าจะได้รับแจ้งจาก a
เทอร์มินัลหรือได้รับจากไฟล์การกำหนดค่า ต้องเป็นสตริง UTF8 ที่ถูกต้อง
-หลายค่า-rdn
ตัวเลือกนี้ทำให้อาร์กิวเมนต์ -subj ถูกตีความด้วยการสนับสนุนอย่างเต็มที่สำหรับ
RDN แบบหลายค่า ตัวอย่าง:
/DC=org/DC=OpenSSL/DC=ผู้ใช้/UID=123456+CN=จอห์น กวางตัวเมีย
หากไม่ได้ใช้ -multi-rdn ค่า UID จะเป็น 123456+CN=จอห์น กวางตัวเมีย.
ซี.อาร์.แอล. OPTIONS
-gencrl
ตัวเลือกนี้จะสร้าง CRL ตามข้อมูลในไฟล์ดัชนี
-crldays NUM
จำนวนวันก่อนถึงกำหนด CRL ถัดไป นั่นคือวันต่อจากนี้ที่จะวางใน
ฟิลด์ CRL nextUpdate
-crlhours NUM
จำนวนชั่วโมงก่อนถึงกำหนดส่ง CRL ถัดไป
-ถอน ชื่อไฟล์
ชื่อไฟล์ที่มีใบรับรองที่จะเพิกถอน
-สถานะ อนุกรม
แสดงสถานะการเพิกถอนใบรับรองด้วยหมายเลขซีเรียลที่ระบุและ
ทางออก
-updatedb
อัพเดตดัชนีฐานข้อมูลเพื่อล้างใบรับรองที่หมดอายุ
-crl_reason เหตุผล
เหตุเพิกถอน โดยที่ เหตุผล เป็นหนึ่งใน: ยังไม่ระบุ, คีย์ประนีประนอม, CAประนีประนอม,
สังกัดเปลี่ยนแล้ว, แทนที่, การยุติการดำเนินงาน, ใบรับรองถือ or
เอาออกจากCRL. การจับคู่ของ เหตุผล ไม่คำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่ การตั้งค่าเพิกถอนใด ๆ
เหตุผลจะทำให้ CRL v2.
ในทางปฏิบัติ เอาออกจากCRL ไม่มีประโยชน์อย่างยิ่งเพราะใช้ใน delta . เท่านั้น
CRL ที่ไม่ได้ใช้งานในปัจจุบัน
-crl_hold การแนะนำ
ซึ่งตั้งค่ารหัสเหตุผลการเพิกถอน CRL เป็น ใบรับรองถือ และคำสั่งระงับ
ไปยัง การแนะนำ ซึ่งจะต้องเป็น OID แม้ว่า OID ใด ๆ ก็ใช้ได้เท่านั้น
ถือคำสั่งไม่มี (ซึ่ง RFC2459) ห้ามใช้
HoldInstructionCallIssuer or ถือคำสั่งปฏิเสธ ตามปกติจะถูกนำมาใช้
-crl_compromise เวลา
สิ่งนี้ทำให้เหตุผลในการเพิกถอนเป็น คีย์ประนีประนอม และเวลาประนีประนอมกับ เวลา. เวลา
ควรอยู่ในรูปแบบ GeneralizedTime ที่เป็น ปปปปปปปปปปปปปปปปปปปปปป.
-crl_CA_ประนีประนอม เวลา
นี่ก็เหมือนกับ crl_ประนีประนอม เว้นแต่จะตั้งเหตุผลการเพิกถอนเป็น
CAประนีประนอม.
-crlexts ส่วน
ส่วนของไฟล์คอนฟิกูเรชันที่มีนามสกุล CRL ที่จะรวมไว้ ถ้าไม่มี CRL
ส่วนส่วนขยายมีอยู่ แสดงว่า V1 CRL จะถูกสร้างขึ้น ถ้าส่วนส่วนขยาย CRL เป็น
ปัจจุบัน (แม้ว่าจะว่างเปล่า) จากนั้น V2 CRL จะถูกสร้างขึ้น ส่วนขยาย CRL ที่ระบุ
คือส่วนขยาย CRL และ ไม่ ส่วนขยายรายการ CRL ควรสังเกตว่าบาง
ซอฟต์แวร์ (เช่น Netscape) ไม่สามารถจัดการ V2 CRL ได้ ดู x509v3_config.xXNUMXvXNUMX_config(5) หน้าคู่มือ
สำหรับรายละเอียดของรูปแบบส่วนต่อขยาย
การกำหนดค่า ไฟล์ OPTIONS
ส่วนของไฟล์การกำหนดค่าที่มีตัวเลือกสำหรับ ca ได้ดังนี้ ถ้า
-แยม ใช้ตัวเลือกบรรทัดคำสั่ง แล้วตั้งชื่อส่วนที่จะใช้ มิฉะนั้น
ส่วนที่จะใช้จะต้องตั้งชื่อใน default_ca ตัวเลือกของ ca ส่วนของ
ไฟล์การกำหนดค่า (หรือในส่วนเริ่มต้นของไฟล์การกำหนดค่า) นอกจาก
default_ca, ตัวเลือกต่อไปนี้อ่านได้โดยตรงจาก ca ส่วน:
RANDFILE รักษา
msie_hack ยกเว้น แรนเดลไฟล์, นี่อาจเป็นจุดบกพร่องและอาจเปลี่ยนแปลงได้ในอนาคต
เผยแพร่
อ็อพชันไฟล์คอนฟิกูเรชันจำนวนมากเหมือนกับอ็อพชันบรรทัดคำสั่ง ที่ไหน
ตัวเลือกมีอยู่ในไฟล์การกำหนดค่าและบรรทัดคำสั่งค่าบรรทัดคำสั่งคือ
ใช้แล้ว. ในกรณีที่มีการอธิบายตัวเลือกว่าบังคับ ก็จะต้องอยู่ใน
ไฟล์คอนฟิกูเรชันหรือเทียบเท่ากับบรรทัดคำสั่ง (ถ้ามี) ที่ใช้
oid_file
ระบุไฟล์ที่มีเพิ่มเติม วัตถุ ตัวระบุ. แต่ละบรรทัดของไฟล์
ควรประกอบด้วยรูปแบบตัวเลขของตัวระบุวัตถุตามด้วยช่องว่าง
แล้วชื่อย่อตามด้วยช่องว่างและสุดท้ายชื่อยาว
oid_section
ระบุส่วนในไฟล์การกำหนดค่าที่มีอ็อบเจกต์พิเศษ
ตัวระบุ แต่ละบรรทัดควรประกอบด้วยชื่อย่อของตัวระบุวัตถุ
ตามมาด้วย = และรูปแบบตัวเลข ชื่อสั้นและยาวจะเหมือนกันเมื่อสิ่งนี้
ใช้ตัวเลือก
new_certs_dir
เช่นเดียวกับ -นอก ตัวเลือกบรรทัดคำสั่ง ระบุไดเร็กทอรีที่ new
ใบรับรองจะถูกวางไว้ บังคับ.
ใบรับรอง
เช่นเดียวกับ -ใบรับรอง. มันให้ไฟล์ที่มีใบรับรอง CA บังคับ.
คีย์ส่วนตัว
เช่นเดียวกับ -คีย์ไฟล์ ตัวเลือก. ไฟล์ที่มีคีย์ส่วนตัวของ CA บังคับ.
แรนเดลไฟล์
ไฟล์ที่ใช้อ่านและเขียนข้อมูลเมล็ดพันธุ์สุ่มตัวเลข หรือซ็อกเก็ต EGD (ดู
RAND_egd(พ.ศ. 3)).
default_days
เช่นเดียวกับ - วัน ตัวเลือก. จำนวนวันในการรับรองใบรับรองสำหรับ
default_startdate
เช่นเดียวกับ -วันที่เริ่มต้น ตัวเลือก. วันที่เริ่มต้นการรับรองใบรับรองสำหรับ ถ้าไม่
ตั้งเวลาปัจจุบันที่ใช้
วันที่เริ่มต้น
เช่นเดียวกับ -วันที่สิ้นสุด ตัวเลือก. ไม่ว่าจะเป็นตัวเลือกนี้หรือ default_days (หรือคำสั่ง
ต้องมีรายการเทียบเท่า)
default_crl_hours default_crl_days
เช่นเดียวกับ -crlhours และ -crldays ตัวเลือก. จะใช้ได้ก็ต่อเมื่อไม่มี
ตัวเลือกบรรทัดคำสั่งมีอยู่ ต้องมีอย่างน้อยหนึ่งรายการเพื่อสร้าง
ซีอาร์แอล
default_md
เช่นเดียวกับ -MD ตัวเลือก. ข้อความย่อยที่จะใช้ บังคับ.
ฐานข้อมูล
ไฟล์ฐานข้อมูลข้อความที่จะใช้ บังคับ. ไฟล์นี้จะต้องมีอยู่แม้ว่าในตอนแรก
มันจะว่างเปล่า
ไม่ซ้ำกัน_หัวเรื่อง
ถ้าค่า ใช่ จะได้รับรายการใบรับรองที่ถูกต้องในฐานข้อมูลต้องมี
วิชาที่ไม่ซ้ำ ถ้าค่า ไม่ จะได้รับ รายการใบรับรองที่ถูกต้องหลายรายการอาจมี
เรื่องเดียวกันแน่นอน ค่าเริ่มต้นคือ ใช่, เพื่อให้เข้ากันได้กับเก่า (pre
0.9.8) เวอร์ชันของ OpenSSL อย่างไรก็ตาม เพื่อให้การโรลโอเวอร์ใบรับรอง CA ง่ายขึ้นคือ
แนะนำให้ใช้ค่า ไม่โดยเฉพาะอย่างยิ่งถ้ารวมกับ -ตัวเอง คำสั่ง
ตัวเลือกบรรทัด
อนุกรม
ไฟล์ข้อความที่มีหมายเลขซีเรียลถัดไปเพื่อใช้เป็นเลขฐานสิบหก บังคับ. ไฟล์นี้
จะต้องมีอยู่และมีหมายเลขซีเรียลที่ถูกต้อง
clnumber
ไฟล์ข้อความที่มีหมายเลข CRL ถัดไปเพื่อใช้เป็นเลขฐานสิบหก หมายเลข crl จะเป็น
แทรกใน CRL เฉพาะเมื่อมีไฟล์นี้อยู่ หากมีไฟล์นี้ จะต้อง
มีหมายเลข CRL ที่ถูกต้อง
x509_extensions
เช่นเดียวกับ -ส่วนขยาย.
crl_extensions
เช่นเดียวกับ -crlexts.
เก็บ
เช่นเดียวกับ -อนุรักษ์DN
อีเมล_in_dn
เช่นเดียวกับ -noemailDN. หากคุณต้องการให้ลบฟิลด์ EMAIL จาก DN ของ
ใบรับรองเพียงแค่ตั้งค่านี้เป็น 'ไม่' หากไม่มีอยู่ ค่าเริ่มต้นคืออนุญาตสำหรับ
EMAIL อยู่ใน DN ของใบรับรอง
msie_hack
เช่นเดียวกับ -msie_hack
นโยบาย
เช่นเดียวกับ -นโยบาย. บังคับ. ดู นโยบาย FORMAT สำหรับข้อมูลเพิ่มเติม
name_opt, ใบรับรอง_opt
ตัวเลือกเหล่านี้อนุญาตให้ใช้รูปแบบเพื่อแสดงรายละเอียดใบรับรองเมื่อถาม
ผู้ใช้เพื่อยืนยันการลงนาม ตัวเลือกทั้งหมดที่รองรับโดย x509 ยูทิลิตี้ - เลือกชื่อ และ
- ใบรับรอง สามารถใช้สวิตช์ได้ที่นี่ ยกเว้น no_signname และ no_sigdump เป็น
ตั้งค่าถาวรและไม่สามารถปิดใช้งานได้ (นี่เป็นเพราะลายเซ็นใบรับรอง
ไม่สามารถแสดงได้เนื่องจากใบรับรองยังไม่ได้ลงนาม ณ จุดนี้)
เพื่อความสะดวกค่า ca_default ได้รับการยอมรับจากทั้งในการผลิตอย่างสมเหตุสมผล
เอาท์พุต
หากไม่มีตัวเลือกใดเลย ระบบจะใช้รูปแบบที่ใช้ใน OpenSSL เวอร์ชันก่อนหน้า
การใช้รูปแบบเก่าคือ เสถียร ท้อแท้เพราะแสดงแต่ช่อง
กล่าวถึงใน นโยบาย ส่วน จัดการประเภทสตริงที่มีอักขระหลายตัวผิดพลาดและไม่
ส่วนขยายการแสดงผล
copy_extensions
กำหนดวิธีจัดการส่วนขยายในคำขอใบรับรอง หากตั้งค่าเป็น ไม่มี
หรือตัวเลือกนี้ไม่มีอยู่ ส่วนขยายจะถูกละเว้นและไม่ถูกคัดลอกไปยัง
ใบรับรอง. หากตั้งค่าเป็น สำเนา แล้วส่วนขยายใด ๆ ที่มีอยู่ในคำขอที่ไม่ใช่
ที่มีอยู่แล้วจะถูกคัดลอกไปยังใบรับรอง หากตั้งค่าเป็น คัดลอก แล้วนามสกุลทั้งหมด
ในคำขอจะถูกคัดลอกไปยังใบรับรอง: หากมีส่วนขยายอยู่แล้วใน
ใบรับรองจะถูกลบออกก่อน ดู คำเตือน ก่อนใช้งานส่วนนี้
ตัวเลือก
การใช้งานหลักของตัวเลือกนี้คืออนุญาตให้คำขอใบรับรองระบุค่าสำหรับ
ส่วนขยายบางอย่างเช่น subjectAltName
นโยบาย FORMAT
ส่วนนโยบายประกอบด้วยชุดของตัวแปรที่สอดคล้องกับฟิลด์ DN ของใบรับรอง
หากค่าเป็น "match" ค่าของฟิลด์จะต้องตรงกับฟิลด์เดียวกันใน CA
ใบรับรอง. หากค่าเป็น "ที่จัดหา" ก็จะต้องมีอยู่ ถ้าค่าเป็น
"ทางเลือก" นั้นก็อาจจะมีอยู่ ฟิลด์ใด ๆ ที่ไม่ได้ระบุไว้ในส่วนนโยบายคือ
ลบอย่างเงียบ ๆ เว้นแต่ -อนุรักษ์DN ตั้งค่าตัวเลือกไว้ แต่สิ่งนี้ถือได้ว่าเป็น a . มากกว่า
กิริยาแปลกกว่าที่ตั้งใจไว้
สพร FORMAT
ข้อมูลเข้าที่ -spkac ตัวเลือกบรรทัดคำสั่งคือกุญแจสาธารณะและความท้าทายที่ลงนามโดย Netscape
ซึ่งมักจะมาจาก คีย์เจน แท็กในรูปแบบ HTML เพื่อสร้างคีย์ส่วนตัวใหม่
อย่างไรก็ตาม เป็นไปได้ที่จะสร้าง SPKAC โดยใช้คำสั่ง สเป็ค ประโยชน์
ไฟล์ควรมีตัวแปร SPKAC ที่ตั้งค่าเป็น SPKAC และ
ส่วนประกอบ DN ที่จำเป็นเป็นคู่ค่าชื่อ หากคุณต้องการรวมส่วนประกอบเดียวกัน
สองครั้ง สามารถนำหน้าด้วยตัวเลขและ '.'
เมื่อประมวลผลรูปแบบ SPKAC เอาต์พุตจะเป็น DER ถ้า -ออก ใช้แฟล็ก แต่รูปแบบ PEM
ถ้าส่งไปที่ stdout หรือ the -นอก ใช้ธง
ตัวอย่าง
หมายเหตุ: ตัวอย่างเหล่านี้ถือว่า ca โครงสร้างไดเร็กทอรีถูกตั้งค่าไว้แล้วและ
มีไฟล์ที่เกี่ยวข้องอยู่แล้ว ซึ่งมักจะเกี่ยวข้องกับการสร้างใบรับรอง CA และส่วนตัว
กุญแจด้วย ความต้องการ, ไฟล์หมายเลขซีเรียลและไฟล์ดัชนีว่างแล้ววางไว้ใน
ไดเรกทอรีที่เกี่ยวข้อง
ในการใช้ไฟล์การกำหนดค่าตัวอย่างด้านล่างไดเร็กทอรี demoCA, demoCA/private และ
demoCA/newcerts จะถูกสร้างขึ้น ใบรับรอง CA จะถูกคัดลอกไปที่ demoCA/cacert.pem
และคีย์ส่วนตัวของ demoCA/private/cakey.pem ไฟล์ demoCA/ซีเรียลจะถูกสร้างขึ้น
มีตัวอย่างเช่น "01" และไฟล์ดัชนีว่าง demoCA/index.txt
ลงนามในคำขอใบรับรอง:
opensl ca -in req.pem -out newcert.pem
ลงนามในคำขอใบรับรองโดยใช้ส่วนขยาย CA:
opensl ca -in req.pem -extensions v3_ca -out newcert.pem
สร้าง CRL
opensl ca -gencrl -out crl.pem
ลงนามคำขอหลายรายการ:
opensl ca -infiles req1.pem req2.pem req3.pem
รับรอง Netscape SPKAC:
opensl ca -spkac spkac.txt
ไฟล์ SPKAC ตัวอย่าง (บรรทัด SPKAC ถูกตัดทอนเพื่อความชัดเจน):
SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN=สตีฟ เทส
ที่อยู่อีเมล=[ป้องกันอีเมล]
0.OU=กลุ่ม OpenSSL
1.OU=อีกกลุ่ม
ไฟล์การกำหนดค่าตัวอย่างพร้อมส่วนที่เกี่ยวข้องสำหรับ ca:
[ แคลิฟอร์เนีย ]
default_ca = CA_default # ส่วน ca เริ่มต้น
[ CA_default ]
dir = ./demoCA # บนสุด
ฐานข้อมูล = $dir/index.txt # ไฟล์ดัชนี
new_certs_dir = $dir/newcerts # ใบรับรองใหม่ dir
ใบรับรอง = $dir/cacert.pem # ใบรับรอง CA
serial = $dir/serial # อนุกรมไม่มีไฟล์
private_key = $dir/private/cakey.pem# CA คีย์ส่วนตัว
RANDFILE = $dir/private/.rand # ไฟล์สุ่มตัวเลข
default_days = 365 # นานแค่ไหนที่จะรับรองสำหรับ
default_crl_days= 30 # นานแค่ไหนก่อน CRL . ถัดไป
default_md = md5 # md ที่จะใช้
นโยบาย = policy_any # นโยบายเริ่มต้น
email_in_dn = ไม่ # อย่าเพิ่มอีเมลในใบรับรอง DN
name_opt = ca_default # ตัวเลือกการแสดงชื่อหัวเรื่อง
cert_opt = ca_default # ตัวเลือกการแสดงใบรับรอง
copy_extensions = none # อย่าคัดลอกส่วนขยายจากคำขอ
[ นโยบาย_ใดๆ ]
ประเทศชื่อ = ให้มา
stateOrProvinceName = ทางเลือก
ชื่อองค์กร = ทางเลือก
organizationalUnitName = ทางเลือก
ชื่อสามัญ = จัดให้
emailAddress = ทางเลือก
ใช้ cassl ออนไลน์โดยใช้บริการ onworks.net
