นี่คือใบรับรองคำสั่งที่สามารถเรียกใช้ในผู้ให้บริการโฮสต์ฟรีของ OnWorks โดยใช้เวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
certutil - จัดการคีย์และใบรับรองทั้งในฐานข้อมูล NSS และโทเค็น NSS อื่นๆ
เรื่องย่อ
certutil [ตัวเลือก-ข้อโต้แย้ง]]
สถานภาพ
เอกสารนี้ยังคงดำเนินการอยู่ โปรดมีส่วนร่วมในการตรวจสอบเบื้องต้นใน
Mozilla เอ็นเอส ข้อผิดพลาด 836477[1]
DESCRIPTION
เครื่องมือฐานข้อมูลใบรับรอง certutil, เป็นยูทิลิตี้บรรทัดคำสั่งที่สามารถสร้างและ
แก้ไขใบรับรองและฐานข้อมูลคีย์ โดยสามารถระบุรายการ สร้าง แก้ไข หรือ
ลบใบรับรอง สร้างหรือเปลี่ยนรหัสผ่าน สร้างคีย์สาธารณะและส่วนตัวใหม่
คู่ แสดงเนื้อหาของฐานข้อมูลคีย์ หรือลบคู่คีย์ภายในคีย์
ฐานข้อมูล
การออกใบรับรอง ซึ่งเป็นส่วนหนึ่งของกระบวนการจัดการคีย์และใบรับรอง กำหนดให้
คีย์และใบรับรองจะถูกสร้างขึ้นในฐานข้อมูลคีย์ เอกสารนี้กล่าวถึงใบรับรอง
และการจัดการฐานข้อมูลที่สำคัญ สำหรับข้อมูลเกี่ยวกับการจัดการฐานข้อมูลโมดูลความปลอดภัย
ดู โมดูลาล หน้าเพจ
คำสั่ง OPTIONS AND อาร์กิวเมนต์
เล่น certutil ต้องใช้ตัวเลือกคำสั่งเดียวเท่านั้นเพื่อระบุประเภทของ
การดำเนินการใบรับรอง แต่ละตัวเลือกคำสั่งอาจไม่มีอาร์กิวเมนต์เป็นศูนย์หรือมากกว่า คำสั่ง
ตัวเลือก -H จะแสดงรายการตัวเลือกคำสั่งทั้งหมดและอาร์กิวเมนต์ที่เกี่ยวข้อง
คำสั่ง Options
-A
เพิ่มใบรับรองที่มีอยู่ไปยังฐานข้อมูลใบรับรอง ฐานข้อมูลใบรับรองควร
มีอยู่แล้ว; หากไม่มีอยู่ ตัวเลือกคำสั่งนี้จะเริ่มต้นทีละตัวโดย
ค่าเริ่มต้น.
-B
รันชุดคำสั่งจากแบตช์ไฟล์ที่ระบุ สิ่งนี้ต้องการ -i ข้อโต้แย้ง.
-C
สร้างไฟล์ใบรับรองไบนารีใหม่จากไฟล์คำขอใบรับรองไบนารี ใช้
-i อาร์กิวเมนต์เพื่อระบุไฟล์คำขอใบรับรอง หากไม่ได้ใช้อาร์กิวเมนต์นี้
certutil แจ้งชื่อไฟล์
-D
ลบใบรับรองออกจากฐานข้อมูลใบรับรอง
--เปลี่ยนชื่อ
เปลี่ยนชื่อเล่นฐานข้อมูลของใบรับรอง
-E
เพิ่มใบรับรองอีเมลไปยังฐานข้อมูลใบรับรอง
-F
ลบคีย์ส่วนตัวออกจากฐานข้อมูลคีย์ ระบุคีย์ที่จะลบด้วย -n
การโต้เถียง. ระบุฐานข้อมูลที่จะลบคีย์ด้วย -d การโต้แย้ง. ใช้
-k อาร์กิวเมนต์เพื่อระบุอย่างชัดเจนว่าจะลบคีย์ DSA, RSA หรือ ECC ถ้าคุณ
อย่าใช้ -k อาร์กิวเมนต์ ตัวเลือกจะค้นหาคีย์ RSA ที่ตรงกับที่ระบุ
ชื่อเล่น.
เมื่อคุณลบคีย์ อย่าลืมลบใบรับรองที่เกี่ยวข้องกับสิ่งเหล่านั้นด้วย
คีย์จากฐานข้อมูลใบรับรอง โดยใช้ -D สมาร์ทการ์ดบางตัวไม่ให้คุณ
ลบกุญแจสาธารณะที่คุณสร้างขึ้น ในกรณีเช่นนี้ เฉพาะคีย์ส่วนตัวเท่านั้นคือ
ลบออกจากคู่คีย์ คุณสามารถแสดงกุญแจสาธารณะด้วยคำสั่ง certutil -K
-h ชื่อโทเค็น
-G
สร้างคู่คีย์สาธารณะและส่วนตัวใหม่ภายในฐานข้อมูลคีย์ ฐานข้อมูลที่สำคัญ
ควรมีอยู่แล้ว หากไม่มีตัวเลือกคำสั่งนี้จะเริ่มต้นหนึ่ง
โดยค่าเริ่มต้น. สมาร์ทการ์ดบางตัวสามารถเก็บคีย์คู่ได้เพียงคู่เดียว หากคุณสร้างคู่คีย์ใหม่
สำหรับการ์ดดังกล่าว คู่ก่อนหน้าจะถูกเขียนทับ
-H
แสดงรายการตัวเลือกคำสั่งและอาร์กิวเมนต์
-K
แสดงรายการรหัสคีย์ของคีย์ในฐานข้อมูลคีย์ รหัสคีย์คือโมดูลัสของคีย์ RSA หรือ
publicValue ของคีย์ DSA รหัสจะแสดงเป็นเลขฐานสิบหก (ไม่แสดง "0x")
-L
แสดงรายการใบรับรองทั้งหมด หรือแสดงข้อมูลเกี่ยวกับใบรับรองที่มีชื่อใน a
ฐานข้อมูลใบรับรอง ใช้อาร์กิวเมนต์ -h tokenname เพื่อระบุใบรับรอง
ฐานข้อมูลบนโทเค็นฮาร์ดแวร์หรือซอฟต์แวร์เฉพาะ
-M
แก้ไขแอตทริบิวต์ trust ของใบรับรองโดยใช้ค่าของอาร์กิวเมนต์ -t
-N
สร้างใบรับรองและฐานข้อมูลคีย์ใหม่
-O
พิมพ์ห่วงโซ่ใบรับรอง
-R
สร้างไฟล์คำขอใบรับรองที่สามารถส่งไปยังผู้ออกใบรับรอง
(CA) สำหรับการประมวลผลเป็นใบรับรองสำเร็จรูป ค่าเริ่มต้นของเอาต์พุตเป็นมาตรฐานออก
เว้นแต่คุณจะใช้อาร์กิวเมนต์ -o output-file ใช้อาร์กิวเมนต์ -a เพื่อระบุเอาต์พุต ASCII
-S
สร้างใบรับรองแต่ละรายการและเพิ่มลงในฐานข้อมูลใบรับรอง
-T
รีเซ็ตฐานข้อมูลคีย์หรือโทเค็น
-U
แสดงรายการโมดูลที่มีอยู่ทั้งหมดหรือพิมพ์โมดูลที่มีชื่อเดียว
-V
ตรวจสอบความถูกต้องของใบรับรองและคุณสมบัติของใบรับรอง
-W
เปลี่ยนรหัสผ่านเป็นฐานข้อมูลคีย์
--ผสาน
รวมสองฐานข้อมูลเป็นหนึ่งเดียว
--อัพเกรด-ผสาน
อัพเกรดฐานข้อมูลเก่าและรวมเข้ากับฐานข้อมูลใหม่ ใช้สำหรับโยกย้าย
ฐานข้อมูล NSS ดั้งเดิม (cert8.db และ key3.db) ลงในฐานข้อมูล SQLite ที่ใหม่กว่า (cert9.db
และ key4.db)
ข้อโต้แย้ง
อาร์กิวเมนต์แก้ไขตัวเลือกคำสั่งและมักจะเป็นตัวพิมพ์เล็ก ตัวเลข หรือสัญลักษณ์
-a
ใช้รูปแบบ ASCII หรืออนุญาตให้ใช้รูปแบบ ASCII สำหรับอินพุตหรือเอาต์พุต การจัดรูปแบบนี้
ตาม RFC 1113 สำหรับคำขอใบรับรอง เอาต์พุต ASCII เริ่มต้นเป็นเอาต์พุตมาตรฐาน
เว้นแต่จะเปลี่ยนเส้นทาง
-b ความถูกต้อง-เวลา
ระบุเวลาที่ใบรับรองจะต้องถูกต้อง ใช้เมื่อตรวจสอบ
ความถูกต้องของใบรับรองกับ -V ตัวเลือก. รูปแบบของ ความถูกต้อง-เวลา อาร์กิวเมนต์คือ
YYMMDDHHMMSS[+HHMM|-HHMM|Z]ซึ่งช่วยให้สามารถตั้งค่าออฟเซ็ตสัมพันธ์กับความถูกต้อง
เวลาสิ้นสุด ระบุวินาที (SS) เป็นทางเลือก เมื่อระบุเวลาที่ชัดเจน ให้ใช้ a
Z เมื่อสิ้นสุดภาคการศึกษา ปปปปปปปปปปปปปปปปปปปปปปปปปปปป,เพื่อปิด เมื่อระบุเวลาออฟเซ็ต
ใช้ ปปปปปปปปปปป+ปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปป or YYMMDDHHMMSS-HHMM สำหรับการบวกหรือลบเวลา
ตามลำดับ
หากไม่ได้ใช้ตัวเลือกนี้ การตรวจสอบความถูกต้องจะมีค่าเริ่มต้นเป็นเวลาของระบบปัจจุบัน
-c ผู้ออก
ระบุใบรับรองของ CA ที่ใบรับรองใหม่จะได้รับ
ความถูกต้อง ใช้ชื่อเล่นหรือนามแฝงที่ถูกต้องของใบรับรอง CA หรือใช้ CA's
ที่อยู่อีเมล. ยึดสตริงผู้ออกด้วยเครื่องหมายคำพูดหากมีช่องว่าง
-d [คำนำหน้า] ไดเรกทอรี
ระบุไดเร็กทอรีฐานข้อมูลที่มีไฟล์ใบรับรองและฐานข้อมูลคีย์
certutil รองรับฐานข้อมูลสองประเภท: ฐานข้อมูลความปลอดภัยดั้งเดิม (cert8.db,
key3.db และ secmod.db) และฐานข้อมูล SQLite ใหม่ (cert9.db, key4.db และ pkcs11.txt)
NSS รู้จักคำนำหน้าต่อไปนี้:
· ฐานข้อมูล: ขอฐานข้อมูลที่ใหม่กว่า
· ดีบีเอ็ม: ขอฐานข้อมูลเดิม
หากไม่ได้ระบุคำนำหน้าไว้ ระบบจะเรียกประเภทเริ่มต้นจาก NSS_DEFAULT_DB_TYPE ถ้า
ไม่ได้ตั้งค่า NSS_DEFAULT_DB_TYPE ไว้ ดีบีเอ็ม: เป็นค่าเริ่มต้น
--dump-ext-val OID
สำหรับใบรับรองเดียว ให้พิมพ์การเข้ารหัส DER แบบไบนารีของส่วนขยาย OID
-e
ตรวจสอบลายเซ็นของใบรับรองในระหว่างกระบวนการตรวจสอบใบรับรอง
--email ที่อยู่อีเมล
ระบุที่อยู่อีเมลของใบรับรองที่จะแสดงรายการ ใช้กับอ็อพชันคำสั่ง -L
--extGeneric OID:critical-flag:filename[,OID:critical-flag:filename]...
เพิ่มหนึ่งหรือหลายส่วนขยายที่ certutil ยังเข้ารหัสไม่ได้ โดยการโหลด
การเข้ารหัสจากไฟล์ภายนอก
· OID (ตัวอย่าง): 1.2.3.4
· แฟล็กวิกฤต: วิกฤตหรือไม่สำคัญ
· ชื่อไฟล์: เส้นทางแบบเต็มไปยังไฟล์ที่มีนามสกุลที่เข้ารหัส
-f รหัสผ่าน-ไฟล์
ระบุไฟล์ที่จะใส่รหัสผ่านโดยอัตโนมัติเพื่อรวมไว้ในใบรับรอง
หรือเพื่อเข้าถึงฐานข้อมูลใบรับรอง นี่คือไฟล์ข้อความธรรมดาที่มีหนึ่ง
รหัสผ่าน. อย่าลืมป้องกันการเข้าถึงไฟล์นี้โดยไม่ได้รับอนุญาต
-g ขนาดคีย์
กำหนดขนาดคีย์ที่จะใช้เมื่อสร้างคู่คีย์สาธารณะและส่วนตัวใหม่ ขั้นต่ำคือ
512 บิตและสูงสุดคือ 16384 บิต ค่าเริ่มต้นคือ 2048 บิต ขนาดใดก็ได้ระหว่าง
อนุญาตขั้นต่ำและสูงสุด
-h โทเค็นชื่อ
ระบุชื่อของโทเค็นที่จะใช้หรือดำเนินการ หากไม่ได้ระบุโทเค็นเริ่มต้นคือ
สล็อตฐานข้อมูลภายใน
-i input_file
ส่งไฟล์อินพุตไปยังคำสั่ง ขึ้นอยู่กับตัวเลือกคำสั่ง ไฟล์อินพุตสามารถ
เป็นใบรับรองเฉพาะ ไฟล์คำขอใบรับรอง หรือไฟล์แบตช์ของคำสั่ง
-k คีย์-type-or-id
ระบุประเภทหรือ ID เฉพาะของคีย์
ตัวเลือกประเภทคีย์ที่ถูกต้องคือ rsa, dsa, ec หรือทั้งหมด ค่าเริ่มต้นคือ rsa
การระบุประเภทของคีย์สามารถหลีกเลี่ยงข้อผิดพลาดที่เกิดจากชื่อเล่นที่ซ้ำกันได้ ให้
ประเภทคีย์สร้างคู่คีย์ใหม่ การให้ ID ของคีย์ที่มีอยู่จะนำมาใช้ใหม่กับคีย์นั้น
คู่ (ซึ่งจำเป็นต้องต่ออายุใบรับรอง)
-l
แสดงข้อมูลโดยละเอียดเมื่อตรวจสอบใบรับรองด้วยตัวเลือก -V
-m หมายเลขซีเรียล
กำหนดหมายเลขซีเรียลเฉพาะให้กับใบรับรองที่กำลังสร้าง การดำเนินการนี้ควรเป็น
ดำเนินการโดย CA หากไม่ได้ระบุหมายเลขซีเรียลไว้ ระบบจะสร้างหมายเลขซีเรียลเริ่มต้นขึ้น
จากเวลาปัจจุบัน หมายเลขซีเรียลจำกัดอยู่ที่จำนวนเต็ม
-n ชื่อเล่น
ระบุชื่อเล่นของใบรับรองหรือคีย์เพื่อแสดงรายการ สร้าง เพิ่มไปยังฐานข้อมูล
แก้ไขหรือตรวจสอบ ยึดสตริงชื่อเล่นด้วยเครื่องหมายคำพูดถ้ามี
ช่องว่าง
-o ไฟล์เอาต์พุต
ระบุชื่อไฟล์เอาต์พุตสำหรับใบรับรองใหม่หรือคำขอใบรับรองไบนารี
ยึดสตริงเอาต์พุตไฟล์ด้วยเครื่องหมายคำพูดหากมีช่องว่าง ถ้านี้
อาร์กิวเมนต์ไม่ได้ใช้ค่าเริ่มต้นปลายทางของเอาต์พุตเป็นเอาต์พุตมาตรฐาน
-P dbคำนำหน้านาม
ระบุคำนำหน้าที่ใช้ในใบรับรองและไฟล์ฐานข้อมูลคีย์ อาร์กิวเมนต์นี้คือ
เพื่อรองรับเซิร์ฟเวอร์รุ่นเก่า แอปพลิเคชันส่วนใหญ่ไม่ใช้คำนำหน้าฐานข้อมูล
-p โทรศัพท์
ระบุหมายเลขโทรศัพท์ติดต่อเพื่อรวมในใบรับรองหรือใบรับรองใหม่
คำขอ ยึดสตริงนี้ด้วยเครื่องหมายคำพูดหากมีช่องว่าง
-q pqgfile หรือชื่อโค้ง
อ่านค่า PQG ทางเลือกจากไฟล์ที่ระบุเมื่อสร้างคู่คีย์ DSA ถ้า
อาร์กิวเมนต์นี้ไม่ได้ใช้ certutil สร้างมูลค่า PQG ของตัวเอง ไฟล์ PQG ถูกสร้างขึ้น
ด้วยยูทิลิตี้ DSA แยกต่างหาก
ชื่อเส้นโค้งวงรีเป็นหนึ่งในชื่อจาก SUITE B: nistp256, nistp384, nistp521
หาก NSS ถูกคอมไพล์ด้วยเส้นโค้งรองรับนอก SUITE B: sect163k1, nistk163,
sect163r1, sect163r2, nistb163, sect193r1, sect193r2, sect233k1, nistk233, sect233r1,
nistb233, sect239k1, sect283k1, nistk283, sect283r1, nistb283, sect409k1, nistk409,
sect409r1, nistb409, sect571k1, nistk571, sect571r1, nistb571, secp160k1, secp160r1,
วินาที
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2
-r
แสดงการเข้ารหัส DER ไบนารีของใบรับรองเมื่อแสดงรายการข้อมูลเกี่ยวกับสิ่งนั้น
ใบรับรองพร้อมตัวเลือก -L
-เรื่อง
ระบุเจ้าของใบรับรองเฉพาะสำหรับใบรับรองใหม่หรือคำขอใบรับรอง
ยึดสตริงนี้ด้วยเครื่องหมายคำพูดหากมีช่องว่าง เรื่อง
รูปแบบการระบุตาม RFC #1485
-t ความไว้วางใจ
ระบุแอตทริบิวต์ trust เพื่อแก้ไขในใบรับรองที่มีอยู่หรือนำไปใช้กับa
ใบรับรองเมื่อสร้างหรือเพิ่มลงในฐานข้อมูล มีสามแบบให้เลือก
หมวดหมู่ความน่าเชื่อถือสำหรับแต่ละใบรับรองที่แสดงในคำสั่ง เอสเอสแอล อีเมล วัตถุ
การลงชื่อ สำหรับแต่ละการตั้งค่าความน่าเชื่อถือ ในแต่ละตำแหน่งหมวดหมู่ ใช้ none, any หรือ all of
รหัสแอตทริบิวต์:
· p - เพียร์ที่ถูกต้อง
· P - เพื่อนที่เชื่อถือได้ (หมายถึง p)
· c - CA . ที่ถูกต้อง
· T - CA ที่เชื่อถือได้ (หมายถึง c)
· C - CA ที่เชื่อถือได้สำหรับการรับรองความถูกต้องของไคลเอ็นต์ (เซิร์ฟเวอร์ SSL เท่านั้น)
· u - ผู้ใช้
รหัสแอตทริบิวต์สำหรับหมวดหมู่ต่างๆ คั่นด้วยเครื่องหมายจุลภาค และชุดของ
คุณลักษณะที่ล้อมรอบด้วยเครื่องหมายคำพูด ตัวอย่างเช่น:
-t “ทีคิว คู ตู”
ใช้ตัวเลือก -L เพื่อดูรายการใบรับรองปัจจุบันและแอตทริบิวต์ความน่าเชื่อถือในa
ฐานข้อมูลใบรับรอง
-u ใบรับรอง
ระบุบริบทการใช้งานที่จะใช้เมื่อตรวจสอบใบรับรองด้วยตัวเลือก -V
บริบทมีดังต่อไปนี้:
· C (ในฐานะไคลเอ็นต์ SSL)
· V (เป็นเซิร์ฟเวอร์ SSL)
· L (ในฐานะ SSL CA)
· A (เช่น CA ใด ๆ )
· Y (ยืนยัน CA)
· S (ในฐานะผู้ลงนามในอีเมล)
· R (ในฐานะผู้รับอีเมล)
· O (ในฐานะผู้ตอบกลับสถานะ OCSP)
· J (ในฐานะผู้ลงนามในวัตถุ)
-v ที่ถูกต้อง-เดือน
กำหนดจำนวนเดือนที่ใบรับรองใหม่จะมีผลบังคับใช้ ช่วงเวลาที่มีผลใช้บังคับเริ่มต้นขึ้น
ณ เวลาของระบบปัจจุบัน เว้นแต่จะมีการเพิ่มหรือลบออฟเซ็ตด้วย -w ตัวเลือก
หากไม่ได้ใช้อาร์กิวเมนต์นี้ ระยะเวลาที่ใช้ได้เริ่มต้นคือสามเดือน
-w ชดเชยเดือน
ตั้งค่าออฟเซ็ตจากเวลาของระบบปัจจุบัน เป็นเดือน สำหรับจุดเริ่มต้นของ a
อายุการใช้งานของใบรับรอง ใช้เมื่อสร้างใบรับรองหรือเพิ่มลงใน a
ฐานข้อมูล แสดงออฟเซ็ตเป็นจำนวนเต็มโดยใช้เครื่องหมายลบ (-) เพื่อระบุ a
ออฟเซ็ตเชิงลบ หากไม่ได้ใช้อาร์กิวเมนต์นี้ ระยะเวลาที่ใช้ได้จะเริ่มต้นที่
เวลาของระบบปัจจุบัน ระยะเวลาที่ใช้ได้ถูกกำหนดด้วยอาร์กิวเมนต์ -v
-X
บังคับให้ฐานข้อมูลคีย์และใบรับรองเปิดในโหมดอ่าน-เขียน ใช้กับ
-U และ -L ตัวเลือกคำสั่ง
-x
ใช้ certutil เพื่อสร้างลายเซ็นสำหรับใบรับรองที่กำลังสร้างหรือเพิ่มในa
ฐานข้อมูล แทนที่จะได้รับลายเซ็นจาก CA แยกต่างหาก
-y ประสบการณ์
ตั้งค่าเลขชี้กำลังสำรองเพื่อใช้ในการสร้างคีย์สาธารณะ RSA ใหม่สำหรับ
ฐานข้อมูล แทนที่จะเป็นค่าเริ่มต้น 65537 ค่าทางเลือกที่มีคือ 3
และ 17
ไฟล์เสียง -z
อ่านค่าเมล็ดจากไฟล์ที่ระบุเพื่อสร้างคีย์ส่วนตัวและสาธารณะใหม่
คู่. อาร์กิวเมนต์นี้ทำให้สามารถใช้ค่าเมล็ดพันธุ์ที่สร้างโดยฮาร์ดแวร์หรือ
สร้างค่าจากแป้นพิมพ์ด้วยตนเอง ขนาดไฟล์ขั้นต่ำคือ 20 ไบต์
-Z แฮชอัลก
ระบุอัลกอริธึมแฮชเพื่อใช้กับอ็อพชันคำสั่ง -C, -S หรือ -R เป็นไปได้
คำสำคัญ:
· เอ็มดี2
· เอ็มดี4
· เอ็มดี5
· SHA1
· SHA224
· SHA256
· SHA384
· SHA512
-0 SSO_รหัสผ่าน
ตั้งรหัสผ่านเจ้าหน้าที่รักษาความปลอดภัยเว็บไซต์บนโทเค็น
-1 | --keyUsage คีย์เวิร์ด, คีย์เวิร์ด
ตั้งค่าส่วนขยายประเภทใบรับรอง X.509 V3 ในใบรับรอง มีหลายอย่าง
คีย์เวิร์ดที่ใช้ได้:
· ลายเซ็นดิจิทัล
· ไม่ปฏิเสธ
·การเข้ารหัสคีย์
·การเข้ารหัสข้อมูล
· ข้อตกลงที่สำคัญ
· ใบรับรองการลงนาม
· การลงนาม crl
· วิกฤต
-2
เพิ่มส่วนขยายข้อจำกัดพื้นฐานให้กับใบรับรองที่กำลังสร้างหรือเพิ่มในa
ฐานข้อมูล ส่วนขยายนี้สนับสนุนกระบวนการตรวจสอบห่วงโซ่ใบรับรอง
certutil แจ้งให้เลือกส่วนขยายข้อจำกัดใบรับรอง
ส่วนขยายใบรับรอง X.509 อธิบายไว้ใน RFC 5280
-3
เพิ่มส่วนขยาย ID คีย์สิทธิ์ในใบรับรองที่กำลังสร้างหรือเพิ่มในa
ฐานข้อมูล ส่วนขยายนี้รองรับการระบุใบรับรองเฉพาะ จาก
ในใบรับรองหลายฉบับที่เกี่ยวข้องกับชื่อเรื่องเดียวในฐานะผู้ออกที่ถูกต้องของ
ใบรับรอง เครื่องมือฐานข้อมูลใบรับรองจะแจ้งให้คุณเลือกหน่วยงาน
ส่วนขยายรหัสคีย์
ส่วนขยายใบรับรอง X.509 อธิบายไว้ใน RFC 5280
-4
เพิ่มส่วนขยายจุดแจกจ่าย CRL ให้กับใบรับรองที่กำลังสร้างหรือเพิ่ม
ไปยังฐานข้อมูล ส่วนขยายนี้ระบุ URL ของใบรับรองที่เกี่ยวข้อง
รายการเพิกถอนใบรับรอง (CRL) certutil พร้อมท์สำหรับ URL
ส่วนขยายใบรับรอง X.509 อธิบายไว้ใน RFC 5280
-5 | --nsCertType คีย์เวิร์ด, คีย์เวิร์ด
เพิ่มส่วนขยายประเภทใบรับรอง X.509 V3 ให้กับใบรับรองที่กำลังสร้างหรือ
เพิ่มไปยังฐานข้อมูล มีคำหลักหลายคำที่ใช้ได้:
· sslClient
· เซิร์ฟเวอร์ ssl
· ยิ้ม
· การลงนามวัตถุ
· sslCA
· สมีมซีเอ
· objectSigningCA
· วิกฤต
ส่วนขยายใบรับรอง X.509 อธิบายไว้ใน RFC 5280
-6 | --extKeyUsage คีย์เวิร์ด, คีย์เวิร์ด
เพิ่มส่วนขยายการใช้งานคีย์แบบขยายให้กับใบรับรองที่กำลังสร้างหรือเพิ่มลงใน
ฐานข้อมูล มีคำหลักหลายคำ:
· เซิฟเวอร์ Auth
· การรับรองความถูกต้องของลูกค้า
· การเซ็นรหัส
· การป้องกันอีเมล
·ประทับเวลา
· ocspResponder
· ก้าวขึ้น
· msTrustListSign
· วิกฤต
ส่วนขยายใบรับรอง X.509 อธิบายไว้ใน RFC 5280
-7 อีเมลแอดเดรส
เพิ่มรายการที่อยู่อีเมลที่คั่นด้วยเครื่องหมายจุลภาคในชื่อทางเลือกเรื่อง
ส่วนขยายของใบรับรองหรือคำขอใบรับรองที่กำลังสร้างหรือเพิ่มไปยัง
ฐานข้อมูล นามสกุลอื่นของหัวเรื่องได้อธิบายไว้ในหัวข้อ 4.2.1.7 ของ
อาร์เอฟซี 3280
-8 DNS-ชื่อ
เพิ่มรายการชื่อ DNS ที่คั่นด้วยเครื่องหมายจุลภาคให้กับส่วนขยายชื่ออื่นของหัวเรื่อง a
ใบรับรองหรือคำขอใบรับรองที่กำลังสร้างหรือเพิ่มลงในฐานข้อมูล
นามสกุลทางเลือกของหัวเรื่องได้อธิบายไว้ในหัวข้อ 4.2.1.7 ของ RFC 3280
--extเอไอเอ
เพิ่มส่วนขยายการเข้าถึงข้อมูลผู้มีอำนาจในใบรับรอง ใบรับรอง X.509
ส่วนขยายได้อธิบายไว้ใน RFC 5280
--ต่อ SIA
เพิ่มส่วนขยายการเข้าถึงข้อมูลหัวเรื่องลงในใบรับรอง ใบรับรอง X.509
ส่วนขยายได้อธิบายไว้ใน RFC 5280
--extCP
เพิ่มส่วนขยายนโยบายใบรับรองให้กับใบรับรอง ใบรับรอง X.509
ส่วนขยายได้อธิบายไว้ใน RFC 5280
--ต่อPM
เพิ่มส่วนขยายการแมปนโยบายไปยังใบรับรอง นามสกุลใบรับรอง X.509 คือ
อธิบายไว้ใน RFC 5280
--extPC
เพิ่มส่วนขยายข้อจำกัดของนโยบายในใบรับรอง นามสกุลใบรับรอง X.509
อธิบายไว้ใน RFC 5280
--extIA
เพิ่มส่วนขยาย Inhibit Any Policy Access ลงในใบรับรอง ใบรับรอง X.509
ส่วนขยายได้อธิบายไว้ใน RFC 5280
--extSKID
เพิ่มส่วนขยาย Subject Key ID ในใบรับรอง นามสกุลใบรับรอง X.509 คือ
อธิบายไว้ใน RFC 5280
--ต่อNC
เพิ่มส่วนขยายข้อจำกัดชื่อให้กับใบรับรอง นามสกุลใบรับรอง X.509 คือ
อธิบายไว้ใน RFC 5280
--extSAN ประเภท:ชื่อ[,ประเภท:ชื่อ]...
สร้างนามสกุล Alt หัวเรื่องด้วยชื่อเดียวหรือหลายชื่อ
-type: ไดเร็กทอรี, dn, dns, edi, ediparty, อีเมล, ip, ipaddr, อื่นๆ, registerid,
rfc822, ยูริ, x400, x400addr
--empty-รหัสผ่าน
ใช้รหัสผ่านเปล่าเมื่อสร้างฐานข้อมูลใบรับรองใหม่ด้วย -N
--keyAttrFlags attrflags
คุณสมบัติหลักของ PKCS #11 รายการที่คั่นด้วยเครื่องหมายจุลภาคของแฟล็กแอตทริบิวต์คีย์ เลือกจาก
รายการตัวเลือกต่อไปนี้: {token | session} {สาธารณะ | ส่วนตัว} {อ่อนไหว |
ไม่อ่อนไหว} {แก้ไขได้ | แก้ไขไม่ได้} {แยกได้ | แยกไม่ออก}
--keyOpFlagsOn opflags --keyOpFlagsOff opflags
PKCS #11 ธงปฏิบัติการที่สำคัญ รายการที่คั่นด้วยเครื่องหมายจุลภาคอย่างน้อยหนึ่งรายการต่อไปนี้:
{โทเค็น | session} {สาธารณะ | ส่วนตัว} {อ่อนไหว | ไม่อ่อนไหว} {แก้ไขได้ |
แก้ไขไม่ได้} {แยกได้ | แยกไม่ออก}
--new-n ชื่อเล่น
ชื่อเล่นใหม่ ใช้เมื่อเปลี่ยนชื่อใบรับรอง
--แหล่งที่มา-dir certdir
ระบุไดเร็กทอรีฐานข้อมูลใบรับรองที่จะอัพเกรด
--แหล่งที่มา-คำนำหน้าcertdir
ระบุคำนำหน้าของใบรับรองและฐานข้อมูลคีย์ที่จะอัพเกรด
--upgrade-id รหัสที่ไม่ซ้ำกัน
ระบุ ID เฉพาะของฐานข้อมูลเพื่ออัพเกรด
--upgrade-token-name ชื่อ
ตั้งชื่อโทเค็นเพื่อใช้ในขณะที่กำลังอัปเกรด
-@pwfile
ตั้งชื่อไฟล์รหัสผ่านเพื่อใช้สำหรับฐานข้อมูลที่กำลังอัพเกรด
การใช้ AND ตัวอย่าง
ตัวเลือกคำสั่งส่วนใหญ่ในตัวอย่างที่แสดงในที่นี้มีอาร์กิวเมนต์มากกว่า ดิ
อาร์กิวเมนต์ที่รวมอยู่ในตัวอย่างเหล่านี้เป็นอาร์กิวเมนต์ที่พบบ่อยที่สุดหรือใช้เพื่อแสดง a
สถานการณ์เฉพาะ ใช้ -H ตัวเลือกเพื่อแสดงรายการอาร์กิวเมนต์ทั้งหมดสำหรับแต่ละ
ตัวเลือกคำสั่ง
การสร้าง ใหม่ Security ฐานข้อมูล
ใบรับรอง คีย์ และโมดูลความปลอดภัยที่เกี่ยวข้องกับการจัดการใบรับรองจะถูกเก็บไว้ใน
สามฐานข้อมูลที่เกี่ยวข้อง:
· cert8.db หรือ cert9.db
· key3.db หรือ key4.db
· secmod.db หรือ pkcs11.txt
ต้องสร้างฐานข้อมูลเหล่านี้ก่อนจึงจะสามารถสร้างใบรับรองหรือคีย์ได้
certutil -N -d [sql:] ไดเรกทอรี
การสร้าง a ใบรับรอง ขอร้อง
คำขอใบรับรองประกอบด้วยข้อมูลส่วนใหญ่หรือทั้งหมดที่ใช้เพื่อสร้าง
ใบรับรองสุดท้าย คำขอนี้ส่งแยกต่างหากไปยังผู้ออกใบรับรองและ is
จากนั้นอนุมัติโดยกลไกบางอย่าง (โดยอัตโนมัติหรือโดยการตรวจสอบโดยเจ้าหน้าที่) เมื่อคำขอคือ
อนุมัติแล้วใบรับรองจะถูกสร้างขึ้น
$ certutil -R -k key-type-or-id [-q pqgfile|curve-name] -g key-size -s subject [-h tokenname] -d [sql:]directory [-p phone] [-o ไฟล์เอาต์พุต] [-a]
พื้นที่ -R ตัวเลือกคำสั่งต้องการสี่อาร์กิวเมนต์:
· -k เพื่อระบุประเภทคีย์ที่จะสร้างหรือเมื่อต่ออายุใบรับรอง
คู่คีย์ที่มีอยู่เพื่อใช้
· -g เพื่อกำหนดขนาดคีย์ของคีย์เพื่อสร้าง
· -s เพื่อกำหนดชื่อเรื่องของใบรับรอง
· -d เพื่อให้ไดเร็กทอรีฐานข้อมูลความปลอดภัย
คำขอใบรับรองใหม่สามารถส่งออกในรูปแบบ ASCII (-a) หรือสามารถเขียนถึง a
ไฟล์ที่ระบุ (-o).
ตัวอย่างเช่น:
$ certutil -R -k rsa -g 1024 -s "CN=John Smith,O=Example Corp,L=Mountain View,ST=California,C=US" -d sql:$HOME/nssdb -p 650-555- 0123 -a -o cert.cer
กำลังสร้างคีย์ อาจใช้เวลาสักครู่...
การสร้าง a ใบรับรอง
ใบรับรองที่ถูกต้องจะต้องออกโดย CA ที่เชื่อถือได้ ซึ่งสามารถทำได้โดยการระบุCA
ใบรับรอง (-c) ที่เก็บไว้ในฐานข้อมูลใบรับรอง หากคู่คีย์ CA ไม่ใช่
ที่มีอยู่ คุณสามารถสร้างใบรับรองที่ลงนามเองโดยใช้ -x โต้แย้งกับ -S
ตัวเลือกคำสั่ง
$ certutil -S -k rsa|dsa|ec -n certname -s subject [-c Issuer |-x] -t trustargs -d [sql:]directory [-m serial-number] [-v valid-months] [ -w offset-months] [-p phone] [-1] [-2] [-3] [-4] [-5 คำสำคัญ] [-6 คำสำคัญ] [-7 emailAddress] [-8 dns-names] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]
ชุดของตัวเลขและ --ต่อ* ตัวเลือกตั้งค่าส่วนขยายใบรับรองที่สามารถเพิ่มได้
ใบรับรองเมื่อสร้างโดย CA การแจ้งเตือนแบบโต้ตอบจะส่งผลให้
ตัวอย่างเช่น สิ่งนี้จะสร้างใบรับรองที่ลงนามเอง:
$ certutil -S -s "CN=Example CA" -n my-ca-cert -x -t "C,C,C" -1 -2 -5 -m 3650
อินเทอร์เนทีฟพร้อมท์สำหรับการใช้งานคีย์และส่วนขยายใด ๆ ที่มีความสำคัญและการตอบสนอง
ถูกละไว้เพื่อความกระชับ
จากที่นั่น ใบรับรองใหม่สามารถอ้างอิงใบรับรองที่ลงนามเองได้:
$ certutil -S -s "CN=My Server Cert" -n my-server-cert -c "my-ca-cert" -t "u,u,u" -1 -5 -6 -8 -m 730
ฝ่ายผลิต a ใบรับรอง ราคาเริ่มต้นที่ a ใบรับรอง ขอร้อง
เมื่อมีการสร้างคำขอใบรับรอง สามารถสร้างใบรับรองได้โดยใช้คำขอ
แล้วอ้างอิงใบรับรองการลงนามผู้ออกใบรับรอง (the บริษัท ผู้ออกหลักทรัพย์ ระบุไว้ใน
-c การโต้เถียง). ใบรับรองที่ออกจะต้องอยู่ในฐานข้อมูลใบรับรองใน
ไดเร็กทอรีที่ระบุ
certutil -C -c Issuer -i cert-request-file -o output-file [-m serial-number] [-v valid-months] [-w offset-months] -d [sql:]directory [-1] [-2] [-3] [-4] [-5 คำสำคัญ] [-6 คำสำคัญ] [-7 emailAddress] [-8 dns-names]
ตัวอย่างเช่น:
$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql:$HOME/nssdb -1 nonRepudiation,dataEncipherment -5 sslClient -6 clientAuth -7 [ป้องกันอีเมล]
รายชื่อ ใบรับรอง
พื้นที่ -L ตัวเลือกคำสั่งแสดงรายการใบรับรองทั้งหมดที่ระบุไว้ในฐานข้อมูลใบรับรอง
เส้นทางไปยังไดเร็กทอรี (-d) ต้องระบุ.
$ ใบรับรอง -L -d sql:/home/my/sharednssdb
ใบรับรองชื่อเล่นคุณสมบัติความน่าเชื่อถือ
SSL,S/MIME,จาร์/XPI
CA ผู้ดูแลระบบของอินสแตนซ์ ID โดเมนตัวอย่างของ pki-ca1 u,u,u
รหัสโดเมนตัวอย่างของผู้ดูแลระบบ TPS u,u,u
อำนาจอินเทอร์เน็ตของ Google ,,
ผู้ออกใบรับรอง - ตัวอย่างโดเมน CT,C,C
การใช้อาร์กิวเมนต์เพิ่มเติมกับ -L สามารถส่งคืนและพิมพ์ข้อมูลสำหรับรายการเดียว
ใบรับรองเฉพาะ ตัวอย่างเช่น -n อาร์กิวเมนต์ส่งชื่อใบรับรองในขณะที่
-a อาร์กิวเมนต์พิมพ์ใบรับรองในรูปแบบ ASCII:
$ ใบรับรอง -L -d sql:$HOME/nssdb -a -n my-ca-cert
----- เริ่มต้นใบรับรอง -----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----- สิ้นสุดใบรับรอง -----
สำหรับจอแสดงผลที่มนุษย์อ่านได้
$ ใบรับรอง -L -d sql:$HOME/nssdb -n my-ca-cert
ใบรับรอง:
วันที่:
เวอร์ชัน: 3 (0x2)
หมายเลขซีเรียล: 3650 (0xe42)
อัลกอริทึมลายเซ็น: PKCS #1 SHA-1 พร้อมการเข้ารหัส RSA
ผู้ออก: "CN=Example CA"
ตั้งแต่วันที่
ไม่ก่อน: Wed 13 มี.ค. 19:10:29 2013
Not After : พฤ 13 มิ.ย. 19:10:29 2013
เรื่อง: "CN=ตัวอย่าง CA"
ข้อมูลคีย์สาธารณะของหัวเรื่อง:
อัลกอริธึมคีย์สาธารณะ: การเข้ารหัส PKCS #1 RSA
คีย์สาธารณะ RSA:
โมดูลัส:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
เลขชี้กำลัง: 65537 (0x10001)
นามสกุลที่ลงนาม:
ชื่อ: ประเภทใบรับรอง
ข้อมูล: none
ชื่อ: ข้อจำกัดพื้นฐานของใบรับรอง
ข้อมูล: เป็น CA ที่ไม่มีความยาวเส้นทางสูงสุด
ชื่อ: การใช้คีย์ใบรับรอง
สำคัญ: จริง
ประเพณี: การลงนามใบรับรอง
อัลกอริทึมลายเซ็น: PKCS #1 SHA-1 พร้อมการเข้ารหัส RSA
ลายเซ็น:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
ลายนิ้วมือ (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
ลายนิ้วมือ (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7
ใบรับรองความเชื่อถือแฟล็ก:
แฟล็ก SSL:
CA . ที่ถูกต้อง
CA . ที่เชื่อถือได้
ผู้ใช้งาน
แฟล็กอีเมล:
CA . ที่ถูกต้อง
CA . ที่เชื่อถือได้
ผู้ใช้งาน
แฟล็กการลงนามอ็อบเจ็กต์:
CA . ที่ถูกต้อง
CA . ที่เชื่อถือได้
ผู้ใช้งาน
รายชื่อ คีย์
คีย์เป็นสื่อดั้งเดิมที่ใช้ในการเข้ารหัสข้อมูลใบรับรอง กุญแจที่สร้างขึ้นสำหรับ
ใบรับรองถูกจัดเก็บแยกต่างหากในฐานข้อมูลหลัก
ในการแสดงรายการคีย์ทั้งหมดในฐานข้อมูล ให้ใช้ -K ตัวเลือกคำสั่งและ (จำเป็น) -d อาร์กิวเมนต์
เพื่อให้เส้นทางไปยังไดเร็กทอรี
$certutil -K -d sql:$HOME/nssdb
certutil: กำลังตรวจสอบโทเค็น "NSS Certificate DB" ในสล็อต "NSS User Private Key และ Certificate Services"
< 0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d Thawte Freemail Member's Thawte Consulting (Pty) Ltd. ID
< 1> rsa 40defeeb522ade11090eacebaaf1196a172127df ตัวอย่างใบรับรองผู้ดูแลระบบโดเมน
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert
มีวิธีจำกัดคีย์ที่ระบุไว้ในผลการค้นหา:
· หากต้องการคืนคีย์เฉพาะ ให้ใช้ปุ่ม -nชื่อ อาร์กิวเมนต์กับชื่อของคีย์
· หากมีการโหลดอุปกรณ์รักษาความปลอดภัยหลายเครื่อง แสดงว่า -hชื่อโทเค็น อาร์กิวเมนต์สามารถ
ค้นหาโทเค็นเฉพาะหรือโทเค็นทั้งหมด
· หากมีคีย์หลายประเภทให้เลือก -kประเภทคีย์ อาร์กิวเมนต์สามารถค้นหา a
คีย์เฉพาะประเภท เช่น RSA, DSA หรือ ECC
รายชื่อ Security โมดูล
อุปกรณ์ที่ใช้เก็บใบรับรองได้ทั้งฐานข้อมูลภายในและภายนอก
อุปกรณ์เช่นสมาร์ทการ์ด - ได้รับการยอมรับและใช้งานโดยการโหลดโมดูลความปลอดภัย ดิ -U
ตัวเลือกคำสั่งแสดงรายการโมดูลความปลอดภัยทั้งหมดที่แสดงอยู่ในฐานข้อมูล secmod.db ดิ
เส้นทางไปยังไดเร็กทอรี (-d) ต้องระบุ.
$ ใบรับรอง -U -d sql:/home/my/sharednssdb
สล็อต: NSS User Private Key และ Certificate Services
โทเค็น: ใบรับรอง NSS DB
สล็อต: NSS Internal Cryptographic Services
โทเค็น: NSS Generic Crypto Services
เพิ่ม ใบรับรอง ไปยัง ฐานข้อมูล
ใบรับรองที่มีอยู่หรือคำขอใบรับรองสามารถเพิ่มด้วยตนเองในใบรับรอง
ฐานข้อมูลแม้ว่าจะถูกสร้างขึ้นที่อื่นก็ตาม สิ่งนี้ใช้ -A ตัวเลือกคำสั่ง
certutil -A -n certname -t trustargs -d [sql:] ไดเรกทอรี [-a] [-i อินพุตไฟล์]
ตัวอย่างเช่น:
$ certutil -A -n "CN=My SSL Certificate" -t "u,u,u" -d sql:/home/my/sharednssdb -i /home/example-certs/cert.cer
ตัวเลือกคำสั่งที่เกี่ยวข้อง -E, ใช้เฉพาะเพื่อเพิ่มใบรับรองอีเมลไปยัง
ฐานข้อมูลใบรับรอง ดิ -E คำสั่งมีอาร์กิวเมนต์เหมือนกับ the -A สั่งการ. ความไว้วางใจ
อาร์กิวเมนต์สำหรับใบรับรองมีรูปแบบ SSL,S/MIME,การลงนามโค้ดดังนั้นคนกลางจึงไว้วางใจ
การตั้งค่าเกี่ยวข้องกับใบรับรองอีเมลเป็นส่วนใหญ่ (แม้ว่าจะสามารถตั้งค่าอื่น ๆ ได้) ตัวอย่างเช่น:
$ certutil -E -n "CN=John Smith Email Cert" -t ",Pu," -d sql:/home/my/sharednssdb -i /home/example-certs/email.cer
ลบ ใบรับรอง ไปยัง ฐานข้อมูล
ใบรับรองสามารถลบออกจากฐานข้อมูลโดยใช้ -D ตัวเลือก. ตัวเลือกที่จำเป็นเท่านั้น
คือให้ไดเร็กทอรีฐานข้อมูลความปลอดภัยและระบุชื่อเล่นใบรับรอง
certutil -D -d [sql:] ไดเรกทอรี -n "ชื่อเล่น"
ตัวอย่างเช่น:
$ certutil -D -d sql:/home/my/sharednssdb -n "my-ssl-cert"
กำลังตรวจสอบ ใบรับรอง
ใบรับรองมีวันหมดอายุในตัวเอง และใบรับรองที่หมดอายุนั้นง่าย
ปฏิเสธ อย่างไรก็ตาม ใบรับรองสามารถเพิกถอนได้ก่อนที่จะถึงวันหมดอายุ
การตรวจสอบว่าใบรับรองถูกเพิกถอนหรือไม่ จำเป็นต้องมีการตรวจสอบใบรับรอง
การตรวจสอบความถูกต้องยังสามารถใช้เพื่อให้แน่ใจว่าใบรับรองนั้นใช้เพื่อวัตถุประสงค์เท่านั้น
มันถูกออกในขั้นต้นสำหรับ การตรวจสอบจะดำเนินการโดย -V ตัวเลือกคำสั่ง
certutil -V -n ชื่อใบรับรอง [-b เวลา] [-e] [-u cert-usage] -d [sql:] ไดเรกทอรี
ตัวอย่างเช่น ในการตรวจสอบใบรับรองอีเมล:
$ certutil -V -n "ใบรับรองอีเมลของ John Smith" -e -u S,R -d sql:/home/my/sharednssdb
การปรับเปลี่ยน ใบรับรอง วางใจ การตั้งค่า
การตั้งค่าความน่าเชื่อถือ (ซึ่งเกี่ยวข้องกับการดำเนินการที่ใบรับรองได้รับอนุญาตให้เป็น
ใช้สำหรับ) สามารถเปลี่ยนแปลงได้หลังจากสร้างหรือเพิ่มใบรับรองลงในฐานข้อมูล นี่คือ
มีประโยชน์อย่างยิ่งสำหรับใบรับรอง CA แต่สามารถใช้ได้กับ .ประเภทใดก็ได้
ใบรับรอง
certutil -M -n ชื่อใบรับรอง -t trust-args -d [sql:]directory
ตัวอย่างเช่น:
$ certutil -M -n "ใบรับรอง CA ของฉัน" -d sql:/home/my/sharednssdb -t "CTu,Ctu,CTu"
การพิมพ์ ใบรับรอง โซ่
สามารถออกใบรับรองได้ใน ห่วงโซ่ เพราะทุกหน่วยงานออกใบรับรองเองมี
ใบรับรอง; เมื่อ CA ออกใบรับรอง ก็ประทับตราใบรับรองนั้นด้วย
ลายนิ้วมือของตัวเอง ดิ -O พิมพ์ใบรับรองทั้งสายตั้งแต่เริ่มต้น
CA (CA รูท) ผ่าน CA ตัวกลางจนถึงใบรับรองจริง ตัวอย่างเช่น สำหรับ
ใบรับรองอีเมลที่มี CA สองแห่งในเครือ:
$ certutil -d sql:/home/my/sharednssdb -O -n "[ป้องกันอีเมล]"
"โทเค็นออบเจ็กต์ในตัว: Thawte Personal Freemail CA" [E=[ป้องกันอีเมล],CN=Thawte Personal Freemail CA,OU=แผนกบริการรับรอง,O=Thawte Consulting,L=เคปทาวน์,ST=เวสเทิร์น เคป,C=ZA]
"Thawte Personal Freemail Issuing CA - Thawte Consulting" [CN=Thawte Personal Freemail Issuing CA,O=Thawte Consulting (Pty) Ltd.,C=ZA]
"(null)" [E=[ป้องกันอีเมล],CN=Thawte Freemail สมาชิก]
การตั้งใหม่ a เหรียญ
อุปกรณ์ที่เก็บใบรับรอง - ทั้งอุปกรณ์ฮาร์ดแวร์ภายนอกและภายใน
ฐานข้อมูลซอฟต์แวร์ -- สามารถเว้นว่างไว้และนำกลับมาใช้ใหม่ได้ การดำเนินการนี้ดำเนินการบนอุปกรณ์
ซึ่งเก็บข้อมูลไว้ไม่ใช่โดยตรงบนฐานข้อมูลความปลอดภัย ดังนั้น ตำแหน่งจึงต้องเป็น
อ้างอิงโดยใช้ชื่อโทเค็น (-h) เช่นเดียวกับเส้นทางไดเร็กทอรีใดๆ ถ้าไม่มี
ใช้โทเค็นภายนอก ค่าเริ่มต้นคือภายใน
certutil -T -d [sql:] ไดเร็กทอรี -h token-name -0 security-officer-password
เครือข่ายหลายแห่งมีบุคลากรเฉพาะที่จัดการการเปลี่ยนแปลงโทเค็นการรักษาความปลอดภัย (การรักษาความปลอดภัย
เจ้าหน้าที่). บุคคลนี้ต้องระบุรหัสผ่านเพื่อเข้าถึงโทเค็นที่ระบุ ตัวอย่างเช่น:
$ certutil -T -d sql:/home/my/sharednssdb -h nethsm -0 ลับ
การอัพเกรด or การผสม Security ฐานข้อมูล
เครือข่ายหรือแอปพลิเคชันจำนวนมากอาจใช้ใบรับรอง BerkeleyDB เวอร์ชันเก่ากว่า
ฐานข้อมูล (cert8.db) ฐานข้อมูลสามารถอัพเกรดเป็นเวอร์ชั่นใหม่ของฐานข้อมูล SQLite ได้
(cert9.db) โดยใช้ --อัพเกรด-ผสาน สามารถรวมตัวเลือกคำสั่งหรือฐานข้อมูลที่มีอยู่ได้
ด้วยฐานข้อมูล cert9.db ใหม่โดยใช้ the ---ผสาน คำสั่ง
พื้นที่ --อัพเกรด-ผสาน คำสั่งต้องให้ข้อมูลเกี่ยวกับฐานข้อมูลเดิมแล้วใช้
อาร์กิวเมนต์มาตรฐาน (like -d) เพื่อให้ข้อมูลเกี่ยวกับฐานข้อมูลใหม่ ดิ
คำสั่งยังต้องการข้อมูลที่เครื่องมือใช้สำหรับกระบวนการอัพเกรดและเขียน
บนฐานข้อมูลเดิม
certutil --upgrade-merge -d [sql:]directory [-P dbprefix] --source-dir directory --source-prefix dbprefix --upgrade-id id --upgrade-token-name name [-@ password-file ]
ตัวอย่างเช่น:
$ certutil --upgrade-merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp- --upgrade-id 1 --upgrade-token- ชื่อภายใน
พื้นที่ --ผสาน คำสั่งต้องการข้อมูลเกี่ยวกับตำแหน่งของฐานข้อมูลดั้งเดิมเท่านั้น
เนื่องจากไม่เปลี่ยนรูปแบบของฐานข้อมูลจึงสามารถเขียนทับข้อมูลได้โดยไม่ต้อง
ดำเนินการขั้นตอนชั่วคราว
certutil --merge -d [sql:] ไดเร็กทอรี [-P dbprefix] --source-dir ไดเร็กทอรี --source-prefix dbprefix [-@ password-file]
ตัวอย่างเช่น:
$ ใบรับรอง --merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp-
เล่น certutil คำสั่ง ราคาเริ่มต้นที่ a ชุด เนื้อไม่มีมัน
ชุดคำสั่งสามารถรันตามลำดับจากไฟล์ข้อความด้วยคำสั่ง -B ตัวเลือกคำสั่ง
อาร์กิวเมนต์เดียวสำหรับสิ่งนี้ระบุไฟล์อินพุต
$ ใบรับรอง -B -i /path/to/batch-file.php
เอ็นเอส ฐานข้อมูล ประเภท
เดิม NSS ใช้ฐานข้อมูล BerkeleyDB เพื่อเก็บข้อมูลความปลอดภัย เวอร์ชั่นล่าสุด
ของเหล่านี้ มรดก ฐานข้อมูลคือ:
· cert8.db สำหรับใบรับรอง
· key3.db สำหรับคีย์
· secmod.db สำหรับข้อมูลโมดูล PKCS #11
BerkeleyDB มีข้อ จำกัด ด้านประสิทธิภาพซึ่งทำให้ไม่สามารถใช้งานได้อย่างง่ายดายโดย
หลายแอพพลิเคชั่นพร้อมกัน NSS มีความยืดหยุ่นบางอย่างที่ช่วยให้แอปพลิเคชันสามารถ
ใช้กลไกฐานข้อมูลอิสระของตนเองในขณะที่รักษาฐานข้อมูลที่ใช้ร่วมกันและทำงานอยู่
เกี่ยวกับปัญหาการเข้าถึง ถึงกระนั้น NSS ก็ต้องการความยืดหยุ่นมากขึ้นในการแบ่งปันอย่างแท้จริง
ฐานข้อมูลความปลอดภัย
ในปี 2009 NSS ได้เปิดตัวฐานข้อมูลชุดใหม่ที่เป็นฐานข้อมูล SQLite แทนที่จะเป็น
เบิร์กลีย์ ดีบี. ฐานข้อมูลใหม่เหล่านี้ให้การเข้าถึงและประสิทธิภาพที่มากขึ้น:
· cert9.db สำหรับใบรับรอง
· key4.db สำหรับคีย์
· pkcs11.txt รายการของโมดูล PKCS #11 ทั้งหมดที่มีอยู่ในไดเรกทอรีย่อยใหม่
ในไดเร็กทอรีฐานข้อมูลความปลอดภัย
เนื่องจากฐานข้อมูล SQLite ถูกออกแบบมาให้แบ่งปัน สิ่งเหล่านี้คือ ที่ใช้ร่วมกัน ฐานข้อมูล
พิมพ์. ต้องการชนิดฐานข้อมูลที่ใช้ร่วมกัน รวมรูปแบบเดิมไว้สำหรับย้อนหลัง
ความเข้ากันได้
โดยค่าเริ่มต้น เครื่องมือ (certutil, pk12ยูทิลิตี้, โมดูลาล) ถือว่าการรักษาความปลอดภัยที่กำหนด
ฐานข้อมูลเป็นไปตามประเภทมรดกทั่วไป การใช้ฐานข้อมูล SQLite ต้องดำเนินการด้วยตนเอง
ระบุโดยใช้ ฐานข้อมูล: คำนำหน้าด้วยไดเร็กทอรีความปลอดภัยที่กำหนด ตัวอย่างเช่น:
$ ใบรับรอง -L -d sql:/home/my/sharednssdb
ในการตั้งค่าประเภทฐานข้อมูลที่ใช้ร่วมกันเป็นประเภทเริ่มต้นสำหรับเครื่องมือ ให้ตั้งค่า
NSS_DEFAULT_DB_TYPE ตัวแปรสภาพแวดล้อมถึง SQL:
ส่งออก NSS_DEFAULT_DB_TYPE="sql"
บรรทัดนี้สามารถตั้งค่าให้เพิ่มใน ~ / .bashrc ไฟล์เพื่อทำการเปลี่ยนแปลงอย่างถาวร
แอปพลิเคชั่นส่วนใหญ่ไม่ได้ใช้ฐานข้อมูลที่ใช้ร่วมกันโดยค่าเริ่มต้น แต่สามารถกำหนดค่าเป็น
ใช้มัน. ตัวอย่างเช่น บทความแสดงวิธีการนี้ครอบคลุมถึงวิธีกำหนดค่า Firefox และ Thunderbird
เพื่อใช้ฐานข้อมูล NSS ที่แชร์ใหม่:
· https://wiki.mozilla.org/NSS_Shared_DB_Howto
สำหรับร่างวิศวกรรมเกี่ยวกับการเปลี่ยนแปลงในฐานข้อมูล NSS ที่ใช้ร่วมกัน โปรดดูโครงการ NSS
วิกิ:
· https://wiki.mozilla.org/NSS_Shared_DB
ใช้ certutil ออนไลน์โดยใช้บริการ onworks.net
