นี่คือคำสั่ง crlutil ที่สามารถเรียกใช้ในผู้ให้บริการโฮสต์ฟรีของ OnWorks โดยใช้เวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
crlutil - แสดงรายการ สร้าง แก้ไข หรือลบ CRL ภายในไฟล์ฐานข้อมูลความปลอดภัย NSS
และแสดงรายการ สร้าง แก้ไข หรือลบรายการใบรับรองใน CRL เฉพาะ
เรื่องย่อ
คลูทิล [ตัวเลือก-ข้อโต้แย้ง]]
สถานภาพ
เอกสารนี้ยังคงดำเนินการอยู่ โปรดมีส่วนร่วมในการตรวจสอบเบื้องต้นใน
Mozilla เอ็นเอส ข้อผิดพลาด 836477[1]
DESCRIPTION
เครื่องมือการจัดการรายการเพิกถอนใบรับรอง (CRL) คลูทิล, เป็นยูทิลิตี้บรรทัดคำสั่ง
ที่สามารถแสดงรายการ สร้าง แก้ไข หรือลบ CRL ภายในไฟล์ฐานข้อมูลความปลอดภัย NSS
และแสดงรายการ สร้าง แก้ไข หรือลบรายการใบรับรองใน CRL เฉพาะ
กระบวนการจัดการคีย์และใบรับรองโดยทั่วไปเริ่มต้นด้วยการสร้างคีย์ในคีย์
ฐานข้อมูล จากนั้นสร้างและจัดการใบรับรองในฐานข้อมูลใบรับรอง (ดู
เครื่องมือ certutil) และดำเนินการต่อด้วยใบรับรองการหมดอายุหรือเพิกถอน
เอกสารนี้กล่าวถึงการจัดการรายการเพิกถอนใบรับรอง สำหรับข้อมูลเกี่ยวกับ
การจัดการฐานข้อมูลโมดูลความปลอดภัย โปรดดูที่ การใช้เครื่องมือฐานข้อมูลโมดูลความปลอดภัย สำหรับ
ข้อมูลเกี่ยวกับใบรับรองและการจัดการฐานข้อมูลคีย์ โปรดดูที่ การใช้ฐานข้อมูลใบรับรอง
เครื่องมือ.
เมื่อต้องการเรียกใช้เครื่องมือการจัดการรายการเพิกถอนใบรับรอง ให้พิมพ์คำสั่ง
ตัวเลือก crlutil [อาร์กิวเมนต์]
โดยที่ตัวเลือกและอาร์กิวเมนต์เป็นการรวมกันของตัวเลือกและอาร์กิวเมนต์ที่ระบุไว้ใน
ส่วนต่อไปนี้ แต่ละคำสั่งใช้ตัวเลือกเดียว แต่ละตัวเลือกอาจใช้ศูนย์หรือมากกว่า
อาร์กิวเมนต์ หากต้องการดูสตริงการใช้งาน ให้ออกคำสั่งโดยไม่มีตัวเลือกหรือใช้ -H
ตัวเลือก
OPTIONS AND อาร์กิวเมนต์
Options
ตัวเลือกระบุการดำเนินการ อาร์กิวเมนต์ตัวเลือกปรับเปลี่ยนการดำเนินการ ตัวเลือกและข้อโต้แย้ง
สำหรับคำสั่ง crlutil ถูกกำหนดดังนี้:
-D
ลบรายการเพิกถอนใบรับรองจากฐานข้อมูลใบรับรอง
-E
ลบ CRL ของประเภทที่ระบุทั้งหมดออกจากฐานข้อมูลใบรับรอง
-G
สร้างรายการเพิกถอนใบรับรองใหม่ (CRL)
-I
นำเข้า CRL ไปยังฐานข้อมูลใบรับรอง
-L
แสดงรายการ CRL ที่มีอยู่ซึ่งอยู่ในไฟล์ฐานข้อมูลใบรับรอง
-M
แก้ไข CRL ที่มีอยู่ซึ่งสามารถอยู่ใน cert db หรือในไฟล์ที่กำหนดเอง ถ้าอยู่
ในไฟล์ควรเข้ารหัสในรูปแบบการเข้ารหัส ASN.1
-S
แสดงเนื้อหาของไฟล์ CRL ที่ไม่ได้จัดเก็บไว้ในฐานข้อมูล
ข้อโต้แย้ง
อาร์กิวเมนต์ตัวเลือกปรับเปลี่ยนการดำเนินการ
-a
ใช้รูปแบบ ASCII หรืออนุญาตให้ใช้รูปแบบ ASCII สำหรับอินพุตและเอาต์พุต นี้
การจัดรูปแบบตาม RFC #1113
-B
บายพาสการตรวจสอบลายเซ็น CA
-c crl-gen-ไฟล์
ระบุไฟล์สคริปต์ที่จะใช้ควบคุมการสร้าง/แก้ไข crl ดู
รูปแบบไฟล์ crl-cript ด้านล่าง หากใช้ตัวเลือก -M|-G และ -c crl-script-file ไม่ใช่
ระบุไว้ crlutil จะอ่านข้อมูลสคริปต์จากอินพุตมาตรฐาน
-d ไดเรกทอรี
ระบุไดเร็กทอรีฐานข้อมูลที่มีไฟล์ใบรับรองและฐานข้อมูลคีย์ บน
Unix เครื่องมือฐานข้อมูลใบรับรองมีค่าเริ่มต้นเป็น $HOME/.netscape (นั่นคือ ~/.netscape).
บน Windows NT ค่าเริ่มต้นคือไดเร็กทอรีปัจจุบัน
ไฟล์ฐานข้อมูล NSS ต้องอยู่ในไดเร็กทอรีเดียวกัน
-f รหัสผ่าน-ไฟล์
ระบุไฟล์ที่จะใส่รหัสผ่านโดยอัตโนมัติเพื่อรวมไว้ในใบรับรอง
หรือเพื่อเข้าถึงฐานข้อมูลใบรับรอง นี่คือไฟล์ข้อความธรรมดาที่มีหนึ่ง
รหัสผ่าน. อย่าลืมป้องกันการเข้าถึงไฟล์นี้โดยไม่ได้รับอนุญาต
-i crl-ไฟล์
ระบุไฟล์ที่มี CRL ที่จะนำเข้าหรือแสดง
-l อัลกอริทึม-ชื่อ
ระบุอัลกอริธึมลายเซ็นเฉพาะ รายการอัลกอริทึมที่เป็นไปได้: MD2 | MD4 | MD5 |
SHA1 | SHA256 | SHA384 | SHA512
-n ชื่อเล่น
ระบุชื่อเล่นของใบรับรองหรือคีย์เพื่อแสดงรายการ สร้าง เพิ่มไปยังฐานข้อมูล
แก้ไขหรือตรวจสอบ ยึดสตริงชื่อเล่นด้วยเครื่องหมายคำพูดถ้ามี
ช่องว่าง
-o ไฟล์เอาต์พุต
ระบุชื่อไฟล์เอาต์พุตสำหรับ CRL ใหม่ ยึดสตริงไฟล์เอาต์พุตด้วย
เครื่องหมายคำพูดหากมีช่องว่าง หากอาร์กิวเมนต์นี้ไม่ได้ใช้ผลลัพธ์
ค่าเริ่มต้นปลายทางเป็นเอาต์พุตมาตรฐาน
-P dbคำนำหน้า
ระบุคำนำหน้าที่ใช้ในไฟล์ฐานข้อมูลความปลอดภัย NSS (เช่น my_cert8.db
และ my_key3.db) ตัวเลือกนี้มีให้เป็นกรณีพิเศษ เปลี่ยนชื่อของ
ไม่แนะนำให้ใช้ฐานข้อมูลใบรับรองและคีย์
-t crl-ประเภท
ระบุประเภทของ CRL ประเภทที่เป็นไปได้คือ: 0 - SEC_KRL_TYPE, 1 - SEC_CRL_TYPE นี้
ตัวเลือกล้าสมัย
-คุณ URL
ระบุ URL
-w pwd-สตริง
ระบุรหัสผ่าน db ในบรรทัดคำสั่ง
-Z อัลกอริธึม
ระบุอัลกอริทึมแฮชที่จะใช้สำหรับการลงนาม CRL
ซี.อาร์.แอล. เจนเนอเรชั่น สคริปต์ ซิงค์
ไฟล์สคริปต์การสร้าง CRL มีไวยากรณ์ต่อไปนี้:
* บรรทัดที่มีความคิดเห็นควรมี # เป็นสัญลักษณ์แรกของบรรทัด
* ตั้งค่าช่อง CRL "อัปเดตนี้" หรือ "อัปเดตถัดไป":
อัพเดต=ปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปป
ฟิลด์ "การอัปเดตครั้งต่อไป" เป็นทางเลือก เวลาควรอยู่ในรูปแบบ GeneralizedTime
(ปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปปป····เท่าไรเท่าไหร่ ห่ะ ห่ะ ห๊ะ ห๊ะ Z). ตัวอย่างเช่น: 20050204153000Z
* เพิ่มส่วนขยายให้กับ CRL หรือรายการใบรับรอง crl:
นามสกุล addext สำคัญ/ไม่สำคัญ [arg1[arg2 ...]]
ที่ไหน:
extension-name: ค่าสตริงของชื่อนามสกุลที่รู้จัก สำคัญ/ไม่สำคัญ: คือ 1
เมื่อส่วนขยายมีความสำคัญและ 0 มิฉะนั้น arg1, arg2: เฉพาะสำหรับประเภทส่วนขยาย
พารามิเตอร์ส่วนขยาย
addext ใช้ช่วงที่ตั้งค่าไว้ก่อนหน้านี้โดย addcert และจะติดตั้งส่วนขยายเป็น
ทุกรายการใบรับรองภายในช่วง
* เพิ่มรายการใบรับรองไปยัง CRL:
วันที่ของช่วง addcert
ช่วง: ค่าจำนวนเต็มสองค่าคั่นด้วยเส้นประ: ช่วงของใบรับรองที่จะถูกเพิ่มโดย
คำสั่งนี้ ใช้ dash เป็นตัวคั่น จะเพิ่มใบรับรองเดียวเท่านั้นหากไม่มี
ตัวคั่น วันที่: วันที่เพิกถอนใบรับรอง วันที่ควรแสดงใน GeneralizedTime
รูปแบบ (YYYYMMDDhhmmssZ)
* ลบรายการใบรับรองจาก CRL
ช่วง rmcert
ที่ไหน:
ช่วง: ค่าจำนวนเต็มสองค่าคั่นด้วยเส้นประ: ช่วงของใบรับรองที่จะถูกเพิ่มโดย
คำสั่งนี้ ใช้ dash เป็นตัวคั่น จะเพิ่มใบรับรองเดียวเท่านั้นหากไม่มี
ตัวคั่น
* เปลี่ยนช่วงของรายการใบรับรองใน CRL
ช่วงใหม่ ช่วงใหม่
ที่ไหน:
ช่วงใหม่: ค่าจำนวนเต็มสองค่าคั่นด้วยเส้นประ: ช่วงของใบรับรองที่จะถูกเพิ่ม
โดยคำสั่งนี้ ใช้ dash เป็นตัวคั่น จะเพิ่มใบรับรองเดียวเท่านั้นหากไม่มี
ตัวคั่น
ส่วนขยายที่นำไปใช้
ส่วนขยายที่กำหนดไว้สำหรับ CRL มีวิธีการเชื่อมโยงแอตทริบิวต์เพิ่มเติมกับ
CRL ของรายการของพวกเขา สำหรับข้อมูลเพิ่มเติม โปรดดู RFC #3280
* เพิ่มส่วนขยาย The Authority Key Identifier:
ส่วนขยายตัวระบุคีย์สิทธิ์ให้วิธีการระบุคีย์สาธารณะ
สอดคล้องกับคีย์ส่วนตัวที่ใช้ในการลงนาม CRL
authKeyId สำคัญ [รหัสคีย์ | dn ใบรับรองซีเรียล]
ที่ไหน:
authKeyIdent: ระบุชื่อของส่วนขยายที่สำคัญ: ค่า 1 จาก 0 ควรตั้งค่า
เป็น 1 หากส่วนขยายนี้มีความสำคัญหรือ 0 อย่างอื่น key-id: ตัวระบุคีย์ที่แสดงใน
สตริงออคเต็ต dn:: เป็นชื่อที่แตกต่างของ CA cert-serial: ใบรับรองอำนาจ serial
จำนวน.
* เพิ่มนามสกุลทางเลือกของผู้ออก:
ส่วนขยายชื่ออื่นของผู้ออกช่วยให้สามารถเชื่อมโยงกับข้อมูลประจำตัวเพิ่มเติมได้
ผู้ออก CRL ตัวเลือกที่กำหนด ได้แก่ ชื่อ rfc822 (ที่อยู่อีเมลอิเล็กทรอนิกส์) a
ชื่อ DNS, ที่อยู่ IP และ URI
IssuerAltNames รายชื่อที่ไม่สำคัญ
ที่ไหน:
subjAltNames: ระบุชื่อของส่วนขยายควรตั้งค่าเป็น 0 เนื่องจากเป็น
รายการนามสกุลที่ไม่สำคัญ: รายการที่คั่นด้วยจุลภาคของชื่อ
* เพิ่มส่วนขยายหมายเลข CRL:
หมายเลข CRL เป็นส่วนขยาย CRL ที่ไม่สำคัญซึ่งแสดงถึงการเพิ่มขึ้นแบบจำเจ
หมายเลขลำดับสำหรับขอบเขต CRL ที่กำหนดและผู้ออก CRL ส่วนขยายนี้อนุญาตให้ผู้ใช้
กำหนดได้อย่างง่ายดายเมื่อ CRL เฉพาะแทนที่ CRL . อื่น
crlNumber หมายเลขไม่สำคัญ
ที่ไหน:
crlNumber: ระบุชื่อของส่วนขยายที่สำคัญ: ควรตั้งค่าเป็น 0 เนื่องจากเป็น
หมายเลขขยายที่ไม่สำคัญ: ค่าของความยาวซึ่งระบุหมายเลขลำดับของa
ซีอาร์แอล
* เพิ่มส่วนขยายรหัสเหตุผลการเพิกถอน:
รหัสเหตุผลคือส่วนขยายรายการ CRL ที่ไม่สำคัญซึ่งระบุสาเหตุของ
การเพิกถอนใบรับรอง
รหัสเหตุผล รหัสที่ไม่สำคัญ
ที่ไหน:
ReasonCode: ระบุชื่อของส่วนขยายที่ไม่สำคัญ: ควรตั้งค่าเป็น 0 ตั้งแต่
นี่คือรหัสส่วนขยายที่ไม่สำคัญ: มีรหัสต่อไปนี้:
ไม่ระบุ (0), keyCompromise (1), cACompromise (2), affiliationChanged (3), แทนที่
(4), การหยุดทำงาน (5), ใบรับรองถือ (6), removeFromCRL (8), สิทธิ์ถอนออก
(9), ประนีประนอม (10)
* เพิ่มส่วนขยายวันที่ไม่ถูกต้อง:
วันที่ที่ไม่ถูกต้องเป็นส่วนขยายรายการ CRL ที่ไม่สำคัญซึ่งระบุวันที่ซึ่ง
เป็นที่ทราบหรือสงสัยว่าคีย์ส่วนตัวถูกบุกรุกหรือใบรับรอง
มิฉะนั้นจะกลายเป็นโมฆะ
validityDate วันที่ไม่สำคัญ
ที่ไหน:
crlNumber: ระบุชื่อของส่วนขยายที่ไม่สำคัญ: ควรตั้งค่าเป็น 0 ตั้งแต่ this
เป็นวันที่ขยายที่ไม่สำคัญ: วันที่ที่ไม่ถูกต้องของใบรับรอง วันที่ควรแสดงเป็น
รูปแบบเวลาทั่วไป (YYYYMMDDhhmmssZ)
การใช้
ความสามารถของเครื่องมือจัดการรายการเพิกถอนใบรับรองถูกจัดกลุ่มดังนี้
โดยใช้ตัวเลือกและอาร์กิวเมนต์เหล่านี้รวมกัน ตัวเลือกและอาร์กิวเมนต์ใน square
วงเล็บเป็นตัวเลือก ส่วนที่ไม่มีวงเล็บเหลี่ยมก็จำเป็น
ดู "ส่วนขยายที่นำไปใช้" สำหรับข้อมูลเพิ่มเติมเกี่ยวกับส่วนขยายและ
พารามิเตอร์
* การสร้างหรือแก้ไข CRL:
crlutil -G|-M -c crl-gen-file -n ชื่อเล่น [-i crl] [-u url] [-d keydir] [-P dbprefix] [-l alg] [-a] [-B]
* รายการ CRls ทั้งหมดหรือชื่อ CRL:
crlutil -L [-n crl-ชื่อ] [-d krydir]
* การลบ CRL จาก db:
crlutil -D -n ชื่อเล่น [-d keydir] [-P dbprefix]
* การลบ CRL จาก db:
crlutil -E [-d คีย์ไดร์] [-P dbprefix]
* การลบ CRL จาก db:
crlutil -D -n ชื่อเล่น [-d keydir] [-P dbprefix]
* การลบ CRL จาก db:
crlutil -E [-d คีย์ไดร์] [-P dbprefix]
* นำเข้า CRL จากไฟล์:
crlutil -I -i crl [-t crlType] [-u url] [-d keydir] [-P dbprefix] [-B]
ใช้ crlutil ออนไลน์โดยใช้บริการ onworks.net