Ito ang command certutil na maaaring patakbuhin sa OnWorks na libreng hosting provider gamit ang isa sa aming maramihang libreng online na workstation gaya ng Ubuntu Online, Fedora Online, Windows online emulator o MAC OS online emulator
PROGRAMA:
NAME
certutil - Pamahalaan ang mga susi at sertipiko sa parehong mga database ng NSS at iba pang mga token ng NSS
SINOPSIS
sertipikasyon [pagpipilian] [[argumento]]
STATUS
Ang dokumentasyong ito ay ginagawa pa rin. Mangyaring mag-ambag sa paunang pagsusuri sa
Mozilla NSS kulisap 836477[1]
DESCRIPTION
Ang Tool sa Database ng Sertipiko, sertipikasyon, ay isang command-line utility na maaaring lumikha at
baguhin ang sertipiko at mga pangunahing database. Maaari itong partikular na maglista, bumuo, magbago, o
tanggalin ang mga certificate, gumawa o baguhin ang password, bumuo ng bagong pampubliko at pribadong key
pares, ipakita ang mga nilalaman ng key database, o tanggalin ang mga pares ng key sa loob ng key
database.
Ang pagpapalabas ng sertipiko, bahagi ng susi at proseso ng pamamahala ng sertipiko, ay nangangailangan nito
ang mga susi at sertipiko ay gagawin sa pangunahing database. Tinatalakay ng dokumentong ito ang sertipiko
at pangunahing pamamahala ng database. Para sa impormasyon sa pamamahala ng database ng module ng seguridad,
tingnan ang modutil manpage.
COMMAND Opsyon AT MGA PANGANGATWIRANG
Tumatakbo sertipikasyon palaging nangangailangan ng isa at isa lamang na opsyon sa command upang tukuyin ang uri ng
pagpapatakbo ng sertipiko. Ang bawat opsyon sa command ay maaaring tumagal ng zero o higit pang mga argumento. Ang utos
opsyon -H ililista ang lahat ng mga opsyon sa command at ang kanilang mga nauugnay na argumento.
Utos Options
-A
Magdagdag ng isang umiiral na sertipiko sa isang database ng sertipiko. Ang database ng sertipiko ay dapat
mayroon na; kung ang isa ay wala, ang command na opsyon na ito ay magsisimula ng isa-isa
default.
-B
Magpatakbo ng isang serye ng mga command mula sa tinukoy na batch file. Ito ay nangangailangan ng -i argumento.
-C
Gumawa ng bagong binary certificate file mula sa binary certificate request file. Gamitin ang
-i argumento upang tukuyin ang file ng kahilingan sa sertipiko. Kung hindi ginagamit ang argumentong ito,
sertipikasyon prompt para sa isang filename.
-D
Tanggalin ang isang sertipiko mula sa database ng sertipiko.
--palitan ang pangalan
Baguhin ang database nickname ng isang certificate.
-E
Magdagdag ng email certificate sa database ng certificate.
-F
Tanggalin ang isang pribadong key mula sa isang pangunahing database. Tukuyin ang susi na tatanggalin gamit ang -n
argumento. Tukuyin ang database kung saan tatanggalin ang susi gamit ang -d argumento. Gamitin
ang -k argumento upang tahasang tukuyin kung tatanggalin ang isang DSA, RSA, o ECC key. kung ikaw
huwag gamitin ang -k argumento, ang opsyon ay naghahanap ng isang RSA key na tumutugma sa tinukoy
palayaw.
Kapag nag-delete ka ng mga key, siguraduhing alisin din ang anumang mga certificate na nauugnay sa mga iyon
mga susi mula sa database ng sertipiko, sa pamamagitan ng paggamit -D. Hindi ka pinapayagan ng ilang smart card
alisin ang isang pampublikong susi na iyong nabuo. Sa ganoong kaso, tanging ang pribadong susi ay
tinanggal mula sa key pair. Maaari mong ipakita ang pampublikong susi gamit ang utos na certutil -K
-h tokenname.
-G
Bumuo ng bagong pampubliko at pribadong pares ng key sa loob ng isang pangunahing database. Ang pangunahing database
dapat mayroon na; kung ang isa ay wala, ang command na opsyon na ito ay magpapasimula ng isa
bilang default. Ang ilang mga smart card ay maaaring mag-imbak lamang ng isang key pair. Kung gagawa ka ng bagong key pair
para sa naturang card, ang nakaraang pares ay na-overwrite.
-H
Magpakita ng listahan ng mga opsyon sa command at argumento.
-K
Ilista ang key ID ng mga key sa key database. Ang key ID ay ang modulus ng RSA key o
ang publicValue ng DSA key. Ang mga ID ay ipinapakita sa hexadecimal ("0x" ay hindi ipinapakita).
-L
Ilista ang lahat ng mga sertipiko, o ipakita ang impormasyon tungkol sa isang pinangalanang sertipiko, sa a
database ng sertipiko. Gamitin ang -h tokenname argument upang tukuyin ang certificate
database sa isang partikular na hardware o software token.
-M
Baguhin ang mga katangian ng tiwala ng isang sertipiko gamit ang mga halaga ng -t argument.
-N
Lumikha ng bagong sertipiko at mga pangunahing database.
-O
I-print ang chain ng certificate.
-R
Gumawa ng file ng kahilingan sa certificate na maaaring isumite sa isang Certificate Authority
(CA) para sa pagproseso sa isang tapos na sertipiko. Mga default na output sa standard out
maliban kung gumamit ka ng -o output-file argument. Gamitin ang -a argument upang tukuyin ang ASCII output.
-S
Lumikha ng isang indibidwal na sertipiko at idagdag ito sa isang database ng sertipiko.
-T
I-reset ang key database o token.
-U
Ilista ang lahat ng magagamit na mga module o mag-print ng isang solong pinangalanang module.
-V
Suriin ang bisa ng isang sertipiko at mga katangian nito.
-W
Baguhin ang password sa isang pangunahing database.
--pagsamahin
Pagsamahin ang dalawang database sa isa.
--upgrade-merge
Mag-upgrade ng lumang database at pagsamahin ito sa isang bagong database. Ito ay ginagamit upang mag-migrate
legacy na mga database ng NSS (cert8.db at key3.db) sa mas bagong mga database ng SQLite (cert9.db
at susi4.db).
Mga argumento
Binabago ng mga argumento ang isang command na opsyon at kadalasan ay lower case, numero, o simbolo.
-a
Gamitin ang ASCII format o payagan ang paggamit ng ASCII format para sa input o output. Ang pag-format na ito
sumusunod sa RFC 1113. Para sa mga kahilingan sa sertipiko, ang ASCII output ay nagde-default sa karaniwang output
maliban kung na-redirect.
-b validity-time
Tukuyin ang oras kung kailan kinakailangan na maging wasto ang isang sertipiko. Gamitin kapag nagsusuri
bisa ng sertipiko kasama ang -V opsyon. Ang pormat ng validity-time argumento ay
YYMMDDHHMMSS[+HHMM|-HHMM|Z], na nagbibigay-daan sa mga offset na maitakda kaugnay ng validity
oras ng pagtatapos. Pagtukoy ng mga segundo (SS) ay opsyonal. Kapag nagsasaad ng tahasang oras, gumamit ng a
Z sa pagtatapos ng termino, YYMMDDHHMMSSZ, para isara ito. Kapag tinukoy ang isang offset na oras,
gamitin YYMMDDHHMMSS+HHMM or YYMMDDHHMMSS-HHMM para sa pagdaragdag o pagbabawas ng oras,
ayon sa pagkakabanggit.
Kung ang opsyong ito ay hindi ginagamit, ang validity check ay magiging default sa kasalukuyang oras ng system.
-c tagapagbigay
Tukuyin ang sertipiko ng CA kung saan kukuha ang isang bagong sertipiko
pagiging tunay. Gamitin ang eksaktong palayaw o alyas ng CA certificate, o gamitin ang CA's
email address. I-bracket ang nagbigay ng string na may mga panipi kung naglalaman ito ng mga puwang.
-d [prefix]direktoryo
Tukuyin ang direktoryo ng database na naglalaman ng sertipiko at mga pangunahing file ng database.
sertipikasyon sumusuporta sa dalawang uri ng mga database: ang mga legacy na database ng seguridad (cert8.db,
key3.db, at secmod.db) at mga bagong database ng SQLite (cert9.db, key4.db, at pkcs11.txt).
Kinikilala ng NSS ang mga sumusunod na prefix:
· sql: humihiling ng mas bagong database
· dbm: humihiling ng legacy database
Kung walang prefix na tinukoy ang default na uri ay kinukuha mula sa NSS_DEFAULT_DB_TYPE. Kung
Ang NSS_DEFAULT_DB_TYPE ay hindi nakatakda noon dbm: ay ang default.
--dump-ext-val OID
Para sa iisang cert, i-print ang binary DER encoding ng extension OID.
-e
Suriin ang pirma ng isang sertipiko sa panahon ng proseso ng pagpapatunay ng isang sertipiko.
--email na email-address
Tukuyin ang email address ng isang certificate na ililista. Ginamit kasama ang -L command na opsyon.
--extGeneric OID:critical-flag:filename[,OID:critical-flag:filename]...
Magdagdag ng isa o maramihang mga extension na hindi pa ma-encode ng certutil, sa pamamagitan ng paglo-load ng mga ito
pag-encode mula sa mga panlabas na file.
· OID (halimbawa): 1.2.3.4
· critical-flag: kritikal o hindi kritikal
· filename: buong path sa isang file na naglalaman ng naka-encode na extension
-f password-file
Tumukoy ng file na awtomatikong magbibigay ng password na isasama sa isang certificate
o upang ma-access ang isang database ng sertipiko. Ito ay isang plain-text na file na naglalaman ng isa
password. Tiyaking pigilan ang hindi awtorisadong pag-access sa file na ito.
-g laki ng key
Magtakda ng laki ng key na gagamitin kapag bumubuo ng mga bagong pampubliko at pribadong pares ng key. Ang pinakamababa ay
512 bits at ang maximum ay 16384 bits. Ang default ay 2048 bits. Anumang sukat sa pagitan ng
pinapayagan ang minimum at maximum.
-h tokenname
Tukuyin ang pangalan ng isang token na gagamitin o aaksyunan. Kung hindi tinukoy ang default na token ay
ang panloob na puwang ng database.
-i input_file
Magpasa ng input file sa command. Depende sa opsyon ng command, maaaring ang isang input file
maging isang partikular na sertipiko, isang file ng kahilingan sa sertipiko, o isang batch na file ng mga utos.
-k key-type-or-id
Tukuyin ang uri o partikular na ID ng isang susi.
Ang mga wastong opsyon sa uri ng key ay rsa, dsa, ec, o lahat. Ang default na halaga ay rsa.
Ang pagtukoy sa uri ng susi ay maaaring maiwasan ang mga pagkakamali na dulot ng mga duplicate na palayaw. Pagbibigay ng a
ang uri ng key ay bumubuo ng bagong key pair; ang pagbibigay ng ID ng isang umiiral na key ay muling ginagamit ang key na iyon
pares (na kinakailangan upang mag-renew ng mga sertipiko).
-l
Ipakita ang detalyadong impormasyon kapag nagpapatunay ng isang sertipiko gamit ang opsyong -V.
-m serial-number
Magtalaga ng natatanging serial number sa isang certificate na ginagawa. Ang operasyong ito ay dapat
ginanap ng isang CA. Kung walang ibinigay na serial number, isang default na serial number ang ginawa
mula sa kasalukuyang panahon. Ang mga serial number ay limitado sa mga integer
-n palayaw
Tukuyin ang palayaw ng isang sertipiko o susi upang ilista, likhain, idagdag sa isang database,
baguhin, o patunayan. I-bracket ang string ng palayaw na may mga panipi kung naglalaman ito
mga puwang.
-o output-file
Tukuyin ang pangalan ng output file para sa mga bagong certificate o binary na kahilingan sa certificate.
I-bracket ang output-file string na may mga panipi kung naglalaman ito ng mga puwang. Kung ito
argument ay hindi ginagamit ang output destination default sa karaniwang output.
-P dbPrefix
Tukuyin ang prefix na ginamit sa certificate at key database file. Ang argumentong ito ay
ibinigay upang suportahan ang mga legacy na server. Karamihan sa mga application ay hindi gumagamit ng database prefix.
-p telepono
Tumukoy ng numero ng telepono sa pakikipag-ugnayan na isasama sa mga bagong sertipiko o sertipiko
mga kahilingan. I-bracket ang string na ito ng mga panipi kung naglalaman ito ng mga puwang.
-q pqgfile o curve-name
Magbasa ng kahaliling halaga ng PQG mula sa tinukoy na file kapag bumubuo ng mga pares ng DSA key. Kung
hindi ginagamit ang argumentong ito, sertipikasyon bumubuo ng sarili nitong halaga ng PQG. Ang mga PQG file ay nilikha
na may hiwalay na DSA utility.
Ang pangalan ng elliptic curve ay isa sa mga mula sa SUITE B: nistp256, nistp384, nistp521
Kung ang NSS ay pinagsama-sama ng mga curve ng suporta sa labas ng SUITE B: sect163k1, nistk163,
sect163r1, sect163r2, nistb163, sect193r1, sect193r2, sect233k1, nistk233, sect233r1,
nistb233, sect239k1, sect283k1, nistk283, sect283r1, nistb283, sect409k1, nistk409,
sect409r1, nistb409, sect571k1, nistk571, sect571r1, nistb571, secp160k1, secp160r1,
secp160r2, secp192k1, secp192r1, nistp192, secp224k1, secp224r1, nistp224, secp256k1,
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2
-r
Ipakita ang binary DER encoding ng certificate kapag naglilista ng impormasyon tungkol doon
sertipiko na may opsyong -L.
-s paksa
Tukuyin ang isang partikular na may-ari ng certificate para sa mga bagong certificate o kahilingan sa certificate.
I-bracket ang string na ito ng mga panipi kung naglalaman ito ng mga puwang. Ang paksa
Ang format ng pagkakakilanlan ay sumusunod sa RFC #1485.
-t trustargs
Tukuyin ang mga katangian ng tiwala na babaguhin sa isang umiiral nang certificate o ilapat sa a
sertipiko kapag ginagawa ito o idinaragdag ito sa isang database. Mayroong tatlong magagamit
mga kategorya ng tiwala para sa bawat sertipiko, na ipinahayag sa pagkakasunud-sunod ssl, email, bagay
-sign para sa bawat setting ng tiwala. Sa bawat posisyon ng kategorya, gumamit ng wala, anuman, o lahat ng
ang mga code ng katangian:
· p - Wastong peer
· P - Pinagkakatiwalaang kasamahan (nagpapahiwatig ng p)
· c - Wastong CA
· T - Pinagkakatiwalaang CA (nagpapahiwatig c)
· C - pinagkakatiwalaang CA para sa pagpapatunay ng kliyente (ssl server lamang)
· u - gumagamit
Ang mga attribute code para sa mga kategorya ay pinaghihiwalay ng mga kuwit, at ang buong hanay ng
mga katangiang nakapaloob sa pamamagitan ng mga panipi. Halimbawa:
-t "TCu, Cu, Tu"
Gamitin ang -L na opsyon upang makita ang isang listahan ng kasalukuyang mga certificate at trust attribute sa a
database ng sertipiko.
-u certusage
Tumukoy ng konteksto ng paggamit na ilalapat kapag nagpapatunay ng isang sertipiko gamit ang opsyong -V.
Ang mga konteksto ay ang mga sumusunod:
· C (bilang isang SSL client)
· V (bilang isang SSL server)
· L (bilang isang SSL CA)
· A (bilang Any CA)
· Y (I-verify ang CA)
· S (bilang isang email signer)
· R (bilang isang tatanggap ng email)
· O (bilang isang OCSP status responder)
· J (bilang isang object signer)
-v wastong-buwan
Itakda ang bilang ng mga buwan na magiging wasto ang isang bagong sertipiko. Magsisimula na ang validity period
sa kasalukuyang oras ng system maliban kung ang isang offset ay idinagdag o ibinawas sa -w pagpipilian.
Kung hindi ginamit ang argumentong ito, ang default na panahon ng bisa ay tatlong buwan.
-w offset-buwan
Magtakda ng offset mula sa kasalukuyang oras ng system, sa mga buwan, para sa simula ng a
panahon ng bisa ng sertipiko. Gamitin kapag lumilikha ng sertipiko o idinaragdag ito sa a
database. Ipahayag ang offset sa integer, gamit ang minus sign (-) upang ipahiwatig ang a
negatibong offset. Kung hindi ginamit ang argumentong ito, magsisimula ang validity period sa
kasalukuyang oras ng system. Ang haba ng validity period ay nakatakda sa -v argument.
-X
Piliting buksan ang key at database ng certificate sa read-write mode. Ito ay ginagamit sa
ang -U at -L mga pagpipilian sa command.
-x
paggamit sertipikasyon para makabuo ng lagda para sa isang certificate na ginagawa o idinaragdag sa a
database, sa halip na kumuha ng lagda mula sa isang hiwalay na CA.
-y exp
Magtakda ng kahaliling exponent value na gagamitin sa pagbuo ng bagong RSA public key para sa
database, sa halip na ang default na halaga ng 65537. Ang magagamit na mga alternatibong halaga ay 3
at 17.
-z ingay-file
Magbasa ng seed value mula sa tinukoy na file para makabuo ng bagong pribado at pampublikong key
pares. Ginagawang posible ng argumentong ito na gumamit ng mga halaga ng binhi na binuo ng hardware o
manu-manong lumikha ng isang halaga mula sa keyboard. Ang pinakamababang laki ng file ay 20 bytes.
-Z hashAlg
Tukuyin ang hash algorithm na gagamitin sa mga pagpipilian sa command na -C, -S o -R. Maaari
keyword:
· MD2
· MD4
· MD5
· SHA1
· SHA224
· SHA256
· SHA384
· SHA512
-0 SSO_password
Magtakda ng password ng opisyal ng seguridad ng site sa isang token.
-1 | --keyUsage keyword,keyword
Magtakda ng X.509 V3 Certificate Type Extension sa certificate. Mayroong ilang
magagamit na mga keyword:
· digital Signature
· hindi Pagtatanggi
· KeyEncipherment
· DataEncipherment
· keyAgreement
· certSigning
· Pag-sign ng crl
· mapanganib
-2
Magdagdag ng pangunahing constraint extension sa isang certificate na ginagawa o idinaragdag sa a
database. Sinusuportahan ng extension na ito ang proseso ng pag-verify ng chain ng certificate.
sertipikasyon mga senyas para piliin ang extension ng pagpigil sa sertipiko.
Ang mga extension ng X.509 na certificate ay inilarawan sa RFC 5280.
-3
Magdagdag ng extension ng authority key ID sa isang certificate na ginagawa o idinaragdag sa a
database. Sinusuportahan ng extension na ito ang pagkakakilanlan ng isang partikular na sertipiko, mula sa
sa maraming mga sertipiko na nauugnay sa isang pangalan ng paksa, bilang tamang nagbigay ng
isang sertipiko. Ipo-prompt ka ng Certificate Database Tool na piliin ang awtoridad
extension ng key ID.
Ang mga extension ng X.509 na certificate ay inilarawan sa RFC 5280.
-4
Magdagdag ng extension ng CRL distribution point sa isang certificate na ginagawa o idinaragdag
sa isang database. Tinutukoy ng extension na ito ang URL ng nauugnay na certificate
listahan ng pagbawi ng sertipiko (CRL). sertipikasyon mga prompt para sa URL.
Ang mga extension ng X.509 na certificate ay inilarawan sa RFC 5280.
-5 | --nsCertType keyword, keyword
Magdagdag ng extension ng uri ng certificate ng X.509 V3 sa isang certificate na ginagawa o
idinagdag sa database. Mayroong ilang magagamit na mga keyword:
· sslClient
· sslServer
· ngiti
· objectSigning
· sslCA
· smimeCA
· objectSigningCA
· mapanganib
Ang mga extension ng X.509 na certificate ay inilarawan sa RFC 5280.
-6 | --extKeyUsage keyword,keyword
Magdagdag ng pinalawig na extension ng paggamit ng key sa isang certificate na ginagawa o idinaragdag sa
ang database. Maraming mga keyword ang magagamit:
· serverAuth
· clientAuth
· CodeSigning
· EmailProtection
· timestamp
· ocspResponder
· stepUp
· msTrustListSign
· mapanganib
Ang mga extension ng X.509 na certificate ay inilarawan sa RFC 5280.
-7 emailAddrs
Magdagdag ng listahan ng mga email address na pinaghihiwalay ng kuwit sa pangalan ng alternatibong paksa
extension ng isang kahilingan sa sertipiko o sertipiko na ginagawa o idinaragdag sa
ang database. Ang mga alternatibong extension ng pangalan ng paksa ay inilarawan sa Seksyon 4.2.1.7 ng
RFC 3280.
-8 dns-pangalan
Magdagdag ng listahan ng mga pangalan ng DNS na pinaghihiwalay ng kuwit sa paksa na alternatibong extension ng pangalan ng a
sertipiko o kahilingan sa sertipiko na ginagawa o idinaragdag sa database.
Ang mga alternatibong extension ng pangalan ng paksa ay inilarawan sa Seksyon 4.2.1.7 ng RFC 3280.
--extAIA
Idagdag ang extension ng Authority Information Access sa certificate. Sertipiko ng X.509
Ang mga extension ay inilarawan sa RFC 5280.
--extSIA
Idagdag ang extension ng Access sa Impormasyon ng Paksa sa certificate. Sertipiko ng X.509
Ang mga extension ay inilarawan sa RFC 5280.
--extCP
Idagdag ang extension ng Mga Patakaran sa Sertipiko sa sertipiko. Sertipiko ng X.509
Ang mga extension ay inilarawan sa RFC 5280.
--extPM
Idagdag ang extension ng Policy Mappings sa certificate. Ang mga extension ng X.509 certificate ay
inilarawan sa RFC 5280.
--extPC
Idagdag ang extension ng Policy Constraints sa certificate. Mga extension ng sertipiko ng X.509
ay inilarawan sa RFC 5280.
--extIA
Idagdag ang extension ng Inhibit Any Policy Access sa certificate. Sertipiko ng X.509
Ang mga extension ay inilarawan sa RFC 5280.
--extSKID
Idagdag ang extension ng Subject Key ID sa certificate. Ang mga extension ng X.509 certificate ay
inilarawan sa RFC 5280.
--extNC
Magdagdag ng extension ng Name Constraint sa certificate. Ang mga extension ng X.509 certificate ay
inilarawan sa RFC 5280.
--extSAN type:name[,type:name]...
Gumawa ng extension ng Subject Alt Name na may isa o maraming pangalan.
-uri: direktoryo, dn, dns, edi, ediparty, email, ip, ipaddr, iba pa, registerid,
rfc822, uri, x400, x400addr
--walang laman-password
Gumamit ng walang laman na password kapag gumagawa ng bagong database ng certificate na may -N.
--keyAttrFlags attrflags
Mga pangunahing katangian ng PKCS #11. Comma separated list ng mga key attribute flag, pinili mula sa
ang sumusunod na listahan ng mga pagpipilian: {token | session} {pampubliko | pribado} {sensitibo |
insensitive} {nababago | unmodifiable} {extractable | hindi ma-extract}
--keyOpFlagsOn opflags, --keyOpFlagsOff opflags
PKCS #11 key na Operation Flags. Comma separated list ng isa o higit pa sa mga sumusunod:
{token | session} {pampubliko | pribado} {sensitibo | insensitive} {nababago |
unmodifiable} {extractable | hindi ma-extract}
--bagong-n palayaw
Isang bagong palayaw, na ginagamit kapag pinapalitan ang pangalan ng isang sertipiko.
--source-dir certdir
Tukuyin ang direktoryo ng database ng sertipiko upang i-upgrade.
--source-prefix certdir
Ibigay ang prefix ng certificate at mga pangunahing database upang mag-upgrade.
--upgrade-id uniqueID
Ibigay ang natatanging ID ng database upang mag-upgrade.
--upgrade-token-name na pangalan
Itakda ang pangalan ng token na gagamitin habang ito ay ina-upgrade.
-@ pwfile
Ibigay ang pangalan ng isang password file na gagamitin para sa database na ina-upgrade.
PAGGAMIT AT HALIMBAWA
Karamihan sa mga opsyon sa command sa mga halimbawang nakalista dito ay may mas maraming magagamit na argumento. Ang
Ang mga argumentong kasama sa mga halimbawang ito ay ang pinakakaraniwan o ginagamit upang ilarawan ang a
tiyak na senaryo. Gamitin ang -H opsyon upang ipakita ang kumpletong listahan ng mga argumento para sa bawat isa
pagpipilian ng utos.
Paglikha bago Katiwasayan Databases
Ang mga certificate, key, at security module na nauugnay sa pamamahala ng mga certificate ay naka-store sa
tatlong nauugnay na database:
· cert8.db o cert9.db
· key3.db o key4.db
· secmod.db o pkcs11.txt
Ang mga database na ito ay dapat gawin bago mabuo ang mga certificate o key.
certutil -N -d [sql:] direktoryo
Paglikha a Sertipiko Hiling
Ang isang kahilingan sa sertipiko ay naglalaman ng karamihan o lahat ng impormasyon na ginagamit upang bumuo ng
huling sertipiko. Ang kahilingang ito ay isinumite nang hiwalay sa isang awtoridad sa sertipiko at ito ay
pagkatapos ay inaprubahan ng ilang mekanismo (awtomatiko o sa pamamagitan ng pagsusuri ng tao). Kapag ang kahilingan ay
naaprubahan, pagkatapos ay nabuo ang sertipiko.
$ certutil -R -k key-type-or-id [-q pqgfile|curve-name] -g key-size -s subject [-h tokenname] -d [sql:]directory [-p phone] [-o output-file] [-a]
Ang -R Ang mga pagpipilian sa command ay nangangailangan ng apat na argumento:
· -k upang tukuyin ang alinman sa uri ng key na bubuo o, kapag nagre-renew ng isang sertipiko, ang
umiiral na key pair na gagamitin
· -g para itakda ang keysize ng key na bubuuin
· -s upang itakda ang pangalan ng paksa ng sertipiko
· -d upang ibigay ang direktoryo ng database ng seguridad
Ang bagong kahilingan sa sertipiko ay maaaring i-output sa ASCII na format (-a) o maaaring isulat sa a
tinukoy na file (-o).
Halimbawa:
$ certutil -R -k rsa -g 1024 -s "CN=John Smith,O=Example Corp,L=Mountain View,ST=California,C=US" -d sql:$HOME/nssdb -p 650-555- 0123 -a -o cert.cer
Pagbuo ng susi. Maaaring tumagal ito ng ilang sandali...
Paglikha a Sertipiko
Ang isang wastong sertipiko ay dapat na maibigay ng isang pinagkakatiwalaang CA. Magagawa ito sa pamamagitan ng pagtukoy ng CA
sertipiko (-c) na nakaimbak sa database ng sertipiko. Kung ang CA key pair ay hindi
available, maaari kang lumikha ng self-signed certificate gamit ang -x argumento sa -S
pagpipilian ng utos.
$ certutil -S -k rsa|dsa|ec -n certname -s paksa [-c issuer |-x] -t trustargs -d [sql:]directory [-m serial-number] [-v valid-months] [ -w offset-months] [-p phone] [-1] [-2] [-3] [-4] [-5 keyword] [-6 keyword] [-7 emailAddress] [-8 dns-name] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]
Ang serye ng mga numero at --ext* ang mga opsyon ay nagtakda ng mga extension ng sertipiko na maaaring idagdag sa
ang sertipiko kapag ito ay nabuo ng CA. Magreresulta ang mga interactive na prompt.
Halimbawa, lumilikha ito ng self-signed certificate:
$ certutil -S -s "CN=Example CA" -n my-ca-cert -x -t "C,C,C" -1 -2 -5 -m 3650
Ang interative na senyales para sa pangunahing paggamit at kung ang anumang mga extension ay kritikal at mga tugon
ay tinanggal para sa kaiklian.
Mula doon, maaaring i-reference ng mga bagong certificate ang self-signed certificate:
$ certutil -S -s "CN=My Server Cert" -n my-server-cert -c "my-ca-cert" -t "u,u,u" -1 -5 -6 -8 -m 730
Bumubuo a Sertipiko mula a Sertipiko Hiling
Kapag ang isang kahilingan sa sertipiko ay ginawa, ang isang sertipiko ay maaaring mabuo sa pamamagitan ng paggamit ng kahilingan
at pagkatapos ay tumutukoy sa isang sertipiko ng awtoridad sa pagpirma ng sertipiko (ang issuer tinukoy sa
ang -c argumento). Ang nagbibigay ng sertipiko ay dapat nasa database ng sertipiko sa
tinukoy na direktoryo.
certutil -C -c issuer -i cert-request-file -o output-file [-m serial-number] [-v valid-months] [-w offset-months] -d [sql:]directory [-1] [-2] [-3] [-4] [-5 keyword] [-6 keyword] [-7 emailAddress] [-8 dns-name]
Halimbawa:
$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql:$HOME/nssdb -1 nonRepudiation,dataEncipherment -5 sslClient -6 clientAuth -7 [protektado ng email]
Listing Certificates
Ang -L Ang opsyon sa command ay naglilista ng lahat ng mga sertipiko na nakalista sa database ng sertipiko.
Ang landas patungo sa direktoryo (-d) ay kinakailangan.
$ certutil -L -d sql:/home/my/sharednssdb
Mga Katangian ng Pagtitiwala sa Palayaw ng Certificate
SSL,S/MIME,JAR/XPI
CA Administrator ng Halimbawang Domain ID ng Instance pki-ca1 u,u,u
Halimbawa ng Domain ID ng TPS Administrator u,u,u
Google Internet Authority ,,
Certificate Authority - Halimbawa ng Domain CT,C,C
Paggamit ng mga karagdagang argumento na may -L maaaring ibalik at i-print ang impormasyon para sa isang solong,
tiyak na sertipiko. Halimbawa, ang -n argument ay pumasa sa pangalan ng sertipiko, habang ang
-a ini-print ng argumento ang sertipiko sa format na ASCII:
$ certutil -L -d sql:$HOME/nssdb -a -n my-ca-cert
-----SIMULA ANG CERTIFICATE-----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-----END CERTIFICATE-----
Para sa isang display na nababasa ng tao
$ certutil -L -d sql:$HOME/nssdb -n my-ca-cert
Certificate:
Data:
Bersyon: 3 (0x2)
Serial Number: 3650 (0xe42)
Signature Algorithm: PKCS #1 SHA-1 Gamit ang RSA Encryption
Tagapagbigay: "CN=Example CA"
Katunayan:
Hindi Bago: Miy Mar 13 19:10:29 2013
Hindi Pagkatapos : Hun Hun 13 19:10:29 2013
Paksa: "CN=Example CA"
Paksa Pampublikong Pangunahing Impormasyon:
Public Key Algorithm: PKCS #1 RSA Encryption
RSA Public Key:
Modulus:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
Exponent: 65537 (0x10001)
Mga Nilagdaan na Extension:
Pangalan: Uri ng Sertipiko
Data: wala
Pangalan: Mga Pangunahing Limitasyon sa Sertipiko
Data: Ay isang CA na walang maximum na haba ng path.
Pangalan: Paggamit ng Susi ng Sertipiko
Kritikal: Totoo
Mga Paggamit: Pagpirma ng Sertipiko
Signature Algorithm: PKCS #1 SHA-1 Gamit ang RSA Encryption
Lagda:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
Fingerprint (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
Fingerprint (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7
Mga Flag ng Certificate Trust:
Mga Flag ng SSL:
Wastong CA
Pinagkakatiwalaang CA
gumagamit
Mga Flag ng Email:
Wastong CA
Pinagkakatiwalaang CA
gumagamit
Mga Flag ng Object Signing:
Wastong CA
Pinagkakatiwalaang CA
gumagamit
Listing Keys
Ang mga susi ay ang orihinal na materyal na ginamit upang i-encrypt ang data ng certificate. Ang mga susi na nabuo para sa
Ang mga sertipiko ay naka-imbak nang hiwalay, sa pangunahing database.
Upang ilista ang lahat ng mga susi sa database, gamitin ang -K command na opsyon at ang (kinakailangan) -d argumento
upang ibigay ang landas sa direktoryo.
$ certutil -K -d sql:$HOME/nssdb
certutil: Sinusuri ang token na "NSS Certificate DB" sa slot na "NSS User Private Key at Certificate Services "
< 0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d Thawte Freemail Member's Thawte Consulting (Pty) Ltd. ID
< 1> rsa 40defeeb522ade11090eacebaaf1196a172127df Halimbawa ng Domain Administrator Cert
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert
May mga paraan upang paliitin ang mga susi na nakalista sa mga resulta ng paghahanap:
· Upang ibalik ang isang partikular na key, gamitin ang -npangalan argumento na may pangalan ng susi.
· Kung mayroong maraming mga aparatong panseguridad na na-load, ang -htokenname maaaring argumento
maghanap ng partikular na token o lahat ng token.
· Kung mayroong maraming uri ng key na magagamit, ang -kuri ng susi argument ay maaaring maghanap a
partikular na uri ng key, tulad ng RSA, DSA, o ECC.
Listing Katiwasayan Module
Ang mga device na maaaring magamit upang mag-imbak ng mga sertipiko -- parehong panloob na database at panlabas
mga device tulad ng mga smart card -- ay kinikilala at ginagamit sa pamamagitan ng pag-load ng mga security module. Ang -U
Ang opsyon sa command ay naglilista ng lahat ng mga module ng seguridad na nakalista sa database ng secmod.db. Ang
landas patungo sa direktoryo (-d) ay kinakailangan.
$ certutil -U -d sql:/home/my/sharednssdb
slot: NSS User Private Key at Certificate Services
token: NSS Certificate DB
slot: NSS Internal Cryptographic Services
token: NSS Generic Crypto Services
Pagdaragdag Certificates sa ang Database
Ang mga umiiral nang sertipiko o mga kahilingan sa sertipiko ay maaaring idagdag nang manu-mano sa sertipiko
database, kahit na nabuo ang mga ito sa ibang lugar. Ito ay gumagamit ng -A pagpipilian ng utos.
certutil -A -n certname -t trustargs -d [sql:]directory [-a] [-i input-file]
Halimbawa:
$ certutil -A -n "CN=My SSL Certificate" -t "u,u,u" -d sql:/home/my/sharednssdb -i /home/example-certs/cert.cer
Isang kaugnay na opsyon sa command, -E, ay partikular na ginagamit upang magdagdag ng mga sertipiko ng email sa
database ng sertipiko. Ang -E Ang utos ay may parehong mga argumento gaya ng -A utos. Ang tiwala
ang mga argumento para sa mga sertipiko ay may format SSL, S/MIME, Code-signing, kaya ang gitnang tiwala
ang mga setting ay higit na nauugnay sa mga email certificate (bagama't ang iba ay maaaring itakda). Halimbawa:
$ certutil -E -n "CN=John Smith Email Cert" -t ",Pu," -d sql:/home/my/sharednssdb -i /home/example-certs/email.cer
Ang pagtatanggal Certificates sa ang Database
Maaaring tanggalin ang mga sertipiko mula sa isang database gamit ang -D opsyon. Ang tanging kinakailangang mga pagpipilian
ay upang bigyan ang direktoryo ng database ng seguridad at upang tukuyin ang palayaw ng sertipiko.
certutil -D -d [sql:] direktoryo -n "palayaw"
Halimbawa:
$ certutil -D -d sql:/home/my/sharednssdb -n "my-ssl-cert"
Pagpapatunay Certificates
Ang isang sertipiko ay naglalaman ng mismong petsa ng pag-expire, at ang mga nag-expire na sertipiko ay madali
tinanggihan. Gayunpaman, maaari ding bawiin ang mga sertipiko bago maabot ang petsa ng pag-expire nito.
Ang pagsuri kung ang isang sertipiko ay binawi ay nangangailangan ng pagpapatunay sa sertipiko.
Ang pagpapatunay ay maaari ding gamitin upang matiyak na ang sertipiko ay ginagamit lamang para sa mga layunin
ito ay unang inilabas para sa. Ang pagpapatunay ay isinasagawa ng -V pagpipilian ng utos.
certutil -V -n certificate-name [-b time] [-e] [-u cert-usage] -d [sql:]directory
Halimbawa, upang patunayan ang isang email certificate:
$ certutil -V -n "Ang Email Cert ni John Smith" -e -u S,R -d sql:/home/my/sharednssdb
Pagbabago Sertipiko Pagkatiwalaan Setting
Ang mga setting ng tiwala (na nauugnay sa mga pagpapatakbo kung saan pinapayagan ang isang sertipiko
na ginagamit para sa) ay maaaring mabago pagkatapos malikha o maidagdag ang isang sertipiko sa database. Ito ay
lalong kapaki-pakinabang para sa mga sertipiko ng CA, ngunit maaari itong isagawa para sa anumang uri ng
sertipiko
certutil -M -n certificate-name -t trust-args -d [sql:] directory
Halimbawa:
$ certutil -M -n "Aking CA Certificate" -d sql:/home/my/sharednssdb -t "CTu,CTu,CTu"
imprenta ang Sertipiko kadena
Maaaring magbigay ng mga sertipiko sa chains dahil ang bawat awtoridad ng sertipiko mismo ay may a
sertipiko; kapag ang isang CA ay nag-isyu ng isang sertipiko, ito ay mahalagang nakatatak sa sertipiko na iyon
sarili nitong fingerprint. Ang -O nagpi-print ng buong chain ng isang certificate, mula sa inisyal
CA (ang ugat na CA) sa pamamagitan ng palaging tagapamagitan na CA sa aktwal na sertipiko. Halimbawa, para sa
isang email certificate na may dalawang CA sa chain:
$ certutil -d sql:/home/my/sharednssdb -O -n "[protektado ng email]"
"Builtin Object Token:Thawte Personal Freemail CA" [E=[protektado ng email],CN=Thawte Personal Freemail CA,OU=Certification Services Division,O=Thawte Consulting,L=Cape Town,ST=Western Cape,C=ZA]
"Thawte Personal Freemail Issuing CA - Thawte Consulting" [CN=Thawte Personal Freemail Issuing CA,O=Thawte Consulting (Pty) Ltd.,C=ZA]
"(null)" [E=[protektado ng email],CN=Thawte Freemail Member]
Pag-reset a Token
Ang device na nag-iimbak ng mga certificate -- parehong external na hardware device at internal
mga database ng software -- maaaring blangko at magamit muli. Ginagawa ang operasyong ito sa device
na nag-iimbak ng data, hindi direkta sa mga database ng seguridad, kaya dapat ang lokasyon
isinangguni sa pamamagitan ng pangalan ng token (-h) pati na rin ang anumang path ng direktoryo. Kung wala
panlabas na token na ginamit, ang default na halaga ay panloob.
certutil -T -d [sql:]directory -h token-name -0 security-officer-password
Maraming mga network ang may dedikadong tauhan na humahawak ng mga pagbabago sa mga token ng seguridad (ang seguridad
opisyal). Ang taong ito ay dapat magbigay ng password upang ma-access ang tinukoy na token. Halimbawa:
$ certutil -T -d sql:/home/my/sharednssdb -h nethsm -0 lihim
Upgrade or Pagmumog ang Katiwasayan Databases
Maraming network o application ang maaaring gumagamit ng mas lumang BerkeleyDB na bersyon ng certificate
database (cert8.db). Maaaring i-upgrade ang mga database sa bagong bersyon ng SQLite ng database
(cert9.db) gamit ang --upgrade-merge command na opsyon o mga umiiral na database ay maaaring pagsamahin
gamit ang mga bagong cert9.db database gamit ang ---pagsamahin utos.
Ang --upgrade-merge Ang command ay dapat magbigay ng impormasyon tungkol sa orihinal na database at pagkatapos ay gamitin
ang mga karaniwang argumento (tulad ng -d) upang ibigay ang impormasyon tungkol sa mga bagong database. Ang
Ang command ay nangangailangan din ng impormasyon na ginagamit ng tool para sa proseso upang mag-upgrade at magsulat
sa orihinal na database.
certutil --upgrade-merge -d [sql:]directory [-P dbprefix] --source-dir directory --source-prefix dbprefix --upgrade-id id --upgrade-token-name name [-@ password-file ]
Halimbawa:
$ certutil --upgrade-merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp- --upgrade-id 1 --upgrade-token- pangalan panloob
Ang --pagsamahin Ang command ay nangangailangan lamang ng impormasyon tungkol sa lokasyon ng orihinal na database;
dahil hindi nito binabago ang format ng database, maaari nitong isulat ang impormasyon nang wala
pagsasagawa ng pansamantalang hakbang.
certutil --merge -d [sql:]directory [-P dbprefix] --source-dir directory --source-prefix dbprefix [-@ password-file]
Halimbawa:
$ certutil --merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp-
Tumatakbo sertipikasyon Command mula a Talaksan talaksan
Ang isang serye ng mga utos ay maaaring patakbuhin nang sunud-sunod mula sa isang text file na may -B pagpipilian ng utos.
Ang tanging argument para dito ay tumutukoy sa input file.
$ certutil -B -i /path/to/batch-file
NSS DATABASE MGA uRI
Orihinal na ginamit ng NSS ang mga database ng BerkeleyDB upang mag-imbak ng impormasyon sa seguridad. Ang mga huling bersyon
ng mga ito pamana ang mga database ay:
· cert8.db para sa mga sertipiko
· key3.db para sa mga susi
· secmod.db para sa PKCS #11 na impormasyon ng module
Ang BerkeleyDB ay may mga limitasyon sa pagganap, gayunpaman, na pumipigil dito na madaling gamitin ng
maramihang mga aplikasyon nang sabay-sabay. Ang NSS ay may ilang flexibility na nagbibigay-daan sa mga application na
gumamit ng kanilang sariling, independiyenteng database engine habang pinapanatili ang isang nakabahaging database at gumagana
sa paligid ng mga isyu sa pag-access. Gayunpaman, ang NSS ay nangangailangan ng higit na kakayahang umangkop upang magbigay ng isang tunay na ibinahagi
database ng seguridad.
Noong 2009, ipinakilala ng NSS ang isang bagong hanay ng mga database na mga database ng SQLite kaysa sa
BerkeleyDB. Ang mga bagong database na ito ay nagbibigay ng higit na accessibility at performance:
· cert9.db para sa mga sertipiko
· key4.db para sa mga susi
· pkcs11.txt, isang listahan ng lahat ng mga module ng PKCS #11, na nilalaman sa isang bagong subdirectory
sa direktoryo ng mga database ng seguridad
Dahil ang mga database ng SQLite ay idinisenyo upang maibahagi, ito ang mga Nagbahagi database
uri. Ang nakabahaging uri ng database ay ginustong; ang legacy na format ay kasama para sa paatras
compatibility.
Bilang default, ang mga tool (sertipikasyon, pk12util, modutil) ipagpalagay na ang ibinigay na seguridad
sinusunod ng mga database ang mas karaniwang uri ng legacy. Ang paggamit ng mga database ng SQLite ay dapat na manu-mano
tinukoy sa pamamagitan ng paggamit ng sql: prefix na may ibinigay na direktoryo ng seguridad. Halimbawa:
$ certutil -L -d sql:/home/my/sharednssdb
Upang itakda ang nakabahaging uri ng database bilang default na uri para sa mga tool, itakda ang
NSS_DEFAULT_DB_TYPE variable ng kapaligiran sa SQL:
i-export ang NSS_DEFAULT_DB_TYPE="sql"
Maaaring itakda ang linyang ito na idinagdag sa ~ / .bashrc file upang gawing permanente ang pagbabago.
Karamihan sa mga application ay hindi gumagamit ng nakabahaging database bilang default, ngunit maaari silang i-configure sa
gamitin mo. Halimbawa, ang artikulong ito ng how-to ay sumasaklaw sa kung paano i-configure ang Firefox at Thunderbird
para gamitin ang mga bagong nakabahaging database ng NSS:
· https://wiki.mozilla.org/NSS_Shared_DB_Howto
Para sa isang draft ng engineering sa mga pagbabago sa mga nakabahaging database ng NSS, tingnan ang proyekto ng NSS
wiki:
· https://wiki.mozilla.org/NSS_Shared_DB
Gumamit ng certutil online gamit ang mga serbisyo ng onworks.net
