Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi emülatörü veya MAC OS çevrimiçi emülatörü gibi birden fazla ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen certutil komutudur.
Program:
ADI
certutil - Hem NSS veritabanlarında hem de diğer NSS belirteçlerinde anahtarları ve sertifikayı yönetin
SİNOPSİS
certutil [seçenekleri] [[argümanlar]]
DURUMU
Bu dokümantasyon çalışmaları devam etmektedir. Lütfen ilk incelemeye katkıda bulunun
mozilla NSS böcek 836477[1]
TANIM
Sertifika Veritabanı Aracı, certutil, oluşturabilen bir komut satırı yardımcı programıdır ve
sertifika ve anahtar veritabanlarını değiştirin. Özel olarak listeleyebilir, oluşturabilir, değiştirebilir veya
sertifikaları silin, parola oluşturun veya değiştirin, yeni genel ve özel anahtar oluşturun
çiftleri, anahtar veritabanının içeriğini görüntüleyin veya anahtar içindeki anahtar çiftlerini silin
veri tabanı.
Anahtar ve sertifika yönetim sürecinin bir parçası olan sertifika verilmesi, şunları gerektirir:
anahtar veritabanında anahtarlar ve sertifikalar oluşturulur. Bu belge sertifikayı tartışıyor
ve anahtar veritabanı yönetimi. Güvenlik modülü veritabanı yönetimi hakkında bilgi için,
bakın modül kılavuz sayfası.
KOMUT SEÇENEKLER VE ARGÜMANLAR
Koşu certutil türünü belirtmek için her zaman bir ve yalnızca bir komut seçeneği gerektirir.
sertifika işlemi. Her komut seçeneği sıfır veya daha fazla argüman alabilir. Komuta
seçenek -H tüm komut seçeneklerini ve ilgili argümanlarını listeler.
Komuta Opsiyonlar
-A
Bir sertifika veritabanına mevcut bir sertifika ekleyin. Sertifika veritabanı,
zaten var; biri yoksa, bu komut seçeneği birer birer başlatılacaktır.
Varsayılan.
-B
Belirtilen toplu iş dosyasından bir dizi komut çalıştırın. Bu, şunları gerektirir: -i argüman.
-C
İkili sertifika istek dosyasından yeni bir ikili sertifika dosyası oluşturun. Kullan
-i sertifika istek dosyasını belirtmek için bağımsız değişken. Bu argüman kullanılmazsa,
certutil bir dosya adı ister.
-D
Sertifika veritabanından bir sertifikayı silin.
--Adını değiştirmek
Bir sertifikanın veritabanı takma adını değiştirin.
-E
Sertifika veritabanına bir e-posta sertifikası ekleyin.
-F
Bir anahtar veritabanından özel bir anahtarı silin. -n ile silinecek anahtarı belirtin
argüman. Anahtarın silineceği veritabanını belirtin. -d argüman. Kullanmak
the -k bir DSA, RSA veya ECC anahtarının silinip silinmeyeceğini açıkça belirtmek için bağımsız değişken. Eğer sen
kullanma -k bağımsız değişken, seçenek belirtilenle eşleşen bir RSA anahtarı arar.
Takma ad.
Anahtarları sildiğinizde, bunlarla ilişkili sertifikaları da kaldırdığınızdan emin olun.
-D kullanarak sertifika veritabanından anahtarlar. Bazı akıllı kartlar izin vermez
oluşturduğunuz bir ortak anahtarı kaldırın. Böyle bir durumda, yalnızca özel anahtar
anahtar çiftinden silindi. Genel anahtarı certutil -K komutuyla görüntüleyebilirsiniz.
-h belirteç adı.
-G
Bir anahtar veritabanında yeni bir genel ve özel anahtar çifti oluşturun. anahtar veritabanı
zaten var olmalıdır; biri yoksa, bu komut seçeneği bir tane başlatır
varsayılan olarak. Bazı akıllı kartlar yalnızca bir anahtar çifti saklayabilir. Yeni bir anahtar çifti oluşturursanız
böyle bir kart için önceki çiftin üzerine yazılır.
-H
Komut seçeneklerinin ve bağımsız değişkenlerin bir listesini görüntüleyin.
-K
Anahtar veritabanındaki anahtarların anahtar kimliğini listeleyin. Anahtar kimliği, RSA anahtarının modülüdür veya
DSA anahtarının publicValue değeri. Kimlikler onaltılı olarak görüntülenir ("0x" gösterilmez).
-L
Tüm sertifikaları listeleyin veya adlandırılmış bir sertifika hakkındaki bilgileri bir
sertifika veritabanı. Sertifikayı belirtmek için -h belirteç adı bağımsız değişkenini kullanın
belirli bir donanım veya yazılım belirtecindeki veritabanı.
-M
-t bağımsız değişkeninin değerlerini kullanarak bir sertifikanın güven özelliklerini değiştirin.
-N
Yeni sertifika ve anahtar veritabanları oluşturun.
-O
Sertifika zincirini yazdırın.
-R
Bir Sertifika Yetkilisine gönderilebilecek bir sertifika istek dosyası oluşturun
(CA) bitmiş bir sertifikaya işlenmek üzere. Çıkış varsayılanları standart çıkışa
-o çıktı dosyası argümanını kullanmadığınız sürece. ASCII çıktısını belirtmek için -a bağımsız değişkenini kullanın.
-S
Bireysel bir sertifika oluşturun ve bunu bir sertifika veritabanına ekleyin.
-T
Anahtar veritabanını veya belirteci sıfırlayın.
-U
Mevcut tüm modülleri listeleyin veya tek bir adlandırılmış modül yazdırın.
-V
Bir sertifikanın geçerliliğini ve niteliklerini kontrol edin.
-W
Şifreyi bir anahtar veritabanına değiştirin.
--birleştirmek
İki veritabanını tek bir veritabanında birleştirin.
--yükseltme-birleştirme
Eski bir veritabanını yükseltin ve yeni bir veritabanıyla birleştirin. Bu, göç etmek için kullanılır
eski NSS veritabanlarını (cert8.db ve key3.db) daha yeni SQLite veritabanlarına (cert9.db)
ve key4.db).
Argümanlar
Bağımsız değişkenler bir komut seçeneğini değiştirir ve genellikle küçük harf, sayı veya semboldür.
-a
ASCII biçimini kullanın veya giriş veya çıkış için ASCII biçiminin kullanılmasına izin verin. Bu biçimlendirme
RFC 1113'ü takip eder. Sertifika istekleri için, ASCII çıktısı varsayılan olarak standart çıktıdır
yönlendirilmedikçe.
-b geçerlilik süresi
Bir sertifikanın geçerli olması gereken bir zaman belirtin. Kontrol ederken kullanın
sertifika geçerliliği -V seçenek. biçimi geçerlilik süresi argüman
YYMMDDHHMMSS[+SSMM|-HHMM|Z], geçerliliğe göre ofsetlerin ayarlanmasına izin verir
bitiş zamanı. Saniye belirtme (SS) İsteğe bağlı. Açık bir zaman belirtirken, bir
Dönem sonunda Z, YYMMDDDHHMMSSZ, kapatmak için. Bir ofset zamanı belirtirken,
kullanım YYMMDDHHMMSS+SSMM or YYMMDDDHHMSS-HHMM zaman eklemek veya çıkarmak için,
respectivamente.
Bu seçenek kullanılmazsa, geçerlilik denetimi varsayılan olarak geçerli sistem saatine döner.
-c veren
Yeni bir sertifikanın kendisinden türeyeceği CA'nın sertifikasını tanımlayın.
özgünlük. CA sertifikasının tam takma adını veya takma adını kullanın veya CA'ların
e. Boşluk içeriyorsa, veren dizesini tırnak işaretleri içine alın.
-d [önek]dizini
Sertifika ve anahtar veritabanı dosyalarını içeren veritabanı dizinini belirtin.
certutil iki tür veritabanını destekler: eski güvenlik veritabanları (cert8.db,
key3.db ve secmod.db) ve yeni SQLite veritabanları (cert9.db, key4.db ve pkcs11.txt).
NSS aşağıdaki önekleri tanır:
· SQL: daha yeni veritabanını ister
· dbm: eski veritabanını ister
Ön ek belirtilmezse, varsayılan tür NSS_DEFAULT_DB_TYPE'den alınır. Eğer
NSS_DEFAULT_DB_TYPE o zaman ayarlanmadı dbm: varsayılandır.
--dump-ext-val OID
Tek sertifika için, OID uzantısının ikili DER kodlamasını yazdırın.
-e
Bir sertifikayı doğrulama işlemi sırasında bir sertifikanın imzasını kontrol edin.
--e-posta e-posta adresi
Listelenecek bir sertifikanın e-posta adresini belirtin. -L komut seçeneğiyle kullanılır.
--extGeneric OID:kritik-bayrak:dosyaadı[,OID:kritik-bayrak:dosyaadı]...
certutil'in henüz kodlayamadığı bir veya birden fazla uzantıyı yükleyerek ekleyin.
harici dosyalardan kodlamalar.
· OID (örnek): 1.2.3.4
· kritik işaret: kritik veya kritik olmayan
· dosya adı: kodlanmış bir uzantı içeren bir dosyanın tam yolu
-f şifre dosyası
Bir sertifikaya dahil edilecek parolayı otomatik olarak sağlayacak bir dosya belirtin
veya bir sertifika veritabanına erişmek için. Bu, bir tane içeren düz metin dosyasıdır.
parola. Bu dosyaya yetkisiz erişimi engellediğinizden emin olun.
-g anahtar boyutu
Yeni genel ve özel anahtar çiftleri oluştururken kullanılacak bir anahtar boyutu ayarlayın. minimum
512 bit ve maksimum 16384 bittir. Varsayılan değer 2048 bittir. arasında herhangi bir boyut
minimum ve maksimum izin verilir.
-h belirteç adı
Kullanılacak veya üzerinde işlem yapılacak bir belirtecin adını belirtin. Belirtilmezse, varsayılan belirteç
dahili veritabanı yuvası.
-i girdi_dosyası
Komuta bir girdi dosyası iletin. Komut seçeneğine bağlı olarak, bir girdi dosyası
belirli bir sertifika, sertifika istek dosyası veya toplu komut dosyası olabilir.
-k anahtar türü veya kimliği
Bir anahtarın türünü veya belirli kimliğini belirtin.
Geçerli anahtar türü seçenekleri rsa, dsa, ec veya tümü şeklindedir. Varsayılan değer rsa'dır.
Anahtar türünün belirtilmesi, yinelenen takma adların neden olduğu hataları önleyebilir. vermek
anahtar türü, yeni bir anahtar çifti oluşturur; mevcut bir anahtarın kimliğini vermek, o anahtarı yeniden kullanır
çifti (sertifikaları yenilemek için gereklidir).
-l
-V seçeneğiyle bir sertifikayı doğrularken ayrıntılı bilgileri görüntüleyin.
-m seri numarası
Oluşturulmakta olan bir sertifikaya benzersiz bir seri numarası atayın. Bu işlem olmalıdır
CA tarafından gerçekleştirilir. Seri numarası sağlanmazsa, varsayılan bir seri numarası yapılır
şimdiki zamandan. Seri numaraları tamsayılarla sınırlıdır
-n takma ad
Listelemek, oluşturmak, bir veritabanına eklemek için bir sertifikanın veya anahtarın takma adını belirtin,
değiştirin veya onaylayın. Takma ad dizesini içeriyorsa tırnak işaretleri içine alın
alanlarda.
-o çıktı dosyası
Yeni sertifikalar veya ikili sertifika istekleri için çıktı dosyası adını belirtin.
Boşluk içeriyorsa, çıktı dosyası dizesini tırnak işaretleri içine alın. Eğer bu
bağımsız değişken kullanılmaz, çıktı hedefi varsayılanları standart çıktıya ayarlar.
-P dbÖnek
Sertifika ve anahtar veritabanı dosyasında kullanılan öneki belirtin. Bu argüman
eski sunucuları desteklemek için sağlanır. Çoğu uygulama bir veritabanı öneki kullanmaz.
-p telefon
Yeni sertifikalara veya sertifikaya dahil edilecek bir irtibat telefon numarası belirtin
istekler. Bu dize boşluk içeriyorsa tırnak işaretleri içine alın.
-q pqgfile veya eğri adı
DSA anahtar çiftleri oluştururken belirtilen dosyadan alternatif bir PQG değeri okuyun. Eğer
bu argüman kullanılmaz, certutil kendi PQG değerini üretir. PQG dosyaları oluşturulur
ayrı bir DSA yardımcı programı ile.
Eliptik eğri adı SUITE B'den olanlardan biridir: nistp256, nistp384, nistp521
NSS, SUITE B'nin dışındaki destek eğrileriyle derlenmişse: sect163k1, nistk163,
sect163r1, sect163r2, nistb163, sect193r1, sect193r2, sect233k1, nistk233, sect233r1,
nistb233, sect239k1, sect283k1, nistk283, sect283r1, nistb283, sect409k1, nistk409,
sect409r1, nistb409, sect571k1, nistk571, sect571r1, nistb571, secp160k1, secp160r1,
secp160r2, secp192k1, secp192r1, nistp192, secp224k1, secp224r1, nistp224, secp256k1,
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2
-r
Bununla ilgili bilgileri listelerken bir sertifikanın ikili DER kodlamasını görüntüleyin
-L seçeneği ile sertifika.
-s konusu
Yeni sertifikalar veya sertifika istekleri için belirli bir sertifika sahibi tanımlayın.
Bu dize boşluk içeriyorsa tırnak işaretleri içine alın. Konu
tanımlama formatı RFC #1485'i takip eder.
-t güvenilenler
Mevcut bir sertifikada değiştirilecek veya bir sertifikaya uygulanacak güven özniteliklerini belirtin.
oluştururken veya bir veritabanına eklerken sertifika. üç tane mevcut
sırayla ifade edilen her sertifika için güven kategorileri ssl, e-posta, nesne
imza her güven ayarı için. Her kategori konumunda, hiçbirini, herhangi birini veya tümünü kullanın.
nitelik kodları:
· p - Geçerli eş
· P - Güvenilir eş (p anlamına gelir)
· c - Geçerli CA
· T - Güvenilir CA (c anlamına gelir)
· C - istemci kimlik doğrulaması için güvenilir CA (yalnızca ssl sunucusu)
· u - kullanıcı
Kategoriler için öznitelik kodları virgülle ayrılır ve tüm
tırnak içine alınmış nitelikler. Örneğin:
-t "TCu,Cu,Tu"
Geçerli sertifikaların ve güven özelliklerinin bir listesini görmek için -L seçeneğini kullanın.
sertifika veritabanı.
-u sertifika
-V seçeneğiyle bir sertifikayı doğrularken uygulanacak bir kullanım bağlamı belirtin.
Bağlamlar aşağıdaki gibidir:
· C (SSL istemcisi olarak)
· V (SSL sunucusu olarak)
· L (SSL CA olarak)
· A (Herhangi bir CA olarak)
· Y (CA'yı doğrulayın)
· S (bir e-posta imzalayan olarak)
· R (e-posta alıcısı olarak)
· O (OCSP durum yanıtlayıcısı olarak)
· J (nesne imzalayan olarak)
-v geçerli-ay
Yeni bir sertifikanın geçerli olacağı ay sayısını ayarlayın. Geçerlilik süresi başlar
ile bir ofset eklenmedikçe veya çıkarılmadıkça mevcut sistem zamanında -w seçeneği.
Bu argüman kullanılmazsa, varsayılan geçerlilik süresi üç aydır.
-w ofset-ay
Bir başlangıcın başlangıcı için, mevcut sistem zamanından ay cinsinden bir sapma ayarlayın.
sertifikanın geçerlilik süresi. Sertifikayı oluştururken veya bir sertifikaya eklerken kullanın.
veri tabanı. Bir eksi işareti (-) kullanarak ofseti tam sayılarla ifade edin.
negatif ofset. Bu argüman kullanılmazsa, geçerlilik süresi
mevcut sistem zamanı. Geçerlilik süresinin uzunluğu -v argümanı ile belirlenir.
-X
Anahtar ve sertifika veritabanını okuma-yazma modunda açılmaya zorlayın. Bu ile kullanılır
the -U ve -L komut seçenekleri.
-x
kullanım certutil oluşturulan veya bir sertifikaya eklenen bir sertifikanın imzasını oluşturmak için
ayrı bir CA'dan imza almak yerine veritabanı.
-y deneyim
için yeni bir RSA ortak anahtarı oluştururken kullanılacak alternatif bir üs değeri ayarlayın.
65537 varsayılan değeri yerine veritabanı. Kullanılabilir alternatif değerler 3'tür.
ve 17.
-z gürültü dosyası
Yeni bir özel ve genel anahtar oluşturmak için belirtilen dosyadan bir tohum değeri okuyun
çift. Bu argüman, donanım tarafından oluşturulan çekirdek değerlerin veya
klavyeden manuel olarak bir değer oluşturun. Minimum dosya boyutu 20 bayttır.
-Z hashAlg
-C, -S veya -R komut seçenekleriyle kullanılacak karma algoritmayı belirtin. Mümkün
anahtar kelimeler:
· MD2
· MD4
· MD5
· SHA1
· SHA224
· SHA256
· SHA384
· SHA512
-0 SSO_parolası
Bir belirteç üzerinde bir site güvenlik görevlisi parolası ayarlayın.
-1 | --keyUsage anahtar kelime,anahtar kelime
Sertifikada bir X.509 V3 Sertifika Türü Uzantısı ayarlayın. Bir kaç tane var
mevcut anahtar kelimeler:
· elektronik imza
· Reddetmeme
· anahtarŞifreleme
· veriŞifreleme
· anahtarAnlaşma
· sertifika İmzalama
· crlİmzalama
· kritik
-2
Oluşturulan veya bir sertifikaya eklenen bir sertifikaya temel bir kısıtlama uzantısı ekleyin.
veri tabanı. Bu uzantı, sertifika zinciri doğrulama sürecini destekler.
certutil sertifika kısıtlama uzantısının seçilmesini ister.
X.509 sertifika uzantıları, RFC 5280'de açıklanmıştır.
-3
Oluşturulan veya bir sertifikaya eklenen bir sertifikaya bir yetki anahtarı kimliği uzantısı ekleyin.
veri tabanı. Bu uzantı, belirli bir sertifikanın tanımlanmasını destekler.
doğru veren olarak, bir konu adıyla ilişkili birden çok sertifika arasında
sertifika. Sertifika Veritabanı Aracı sizden yetkiliyi seçmenizi isteyecektir.
anahtar kimliği uzantısı.
X.509 sertifika uzantıları, RFC 5280'de açıklanmıştır.
-4
Oluşturulan veya eklenen bir sertifikaya CRL dağıtım noktası uzantısı ekleme
bir veritabanına. Bu uzantı, bir sertifikanın ilişkili URL'sini tanımlar.
sertifika iptal listesi (CRL). certutil URL'yi ister.
X.509 sertifika uzantıları, RFC 5280'de açıklanmıştır.
-5 | --nsCertType anahtar sözcük,anahtar sözcük
Oluşturulmakta olan bir sertifikaya bir X.509 V3 sertifika türü uzantısı ekleyin veya
veritabanına eklendi. Kullanılabilir birkaç anahtar kelime vardır:
· sslİstemci
· sslSunucusu
· gülümsemek
· nesneİmzalama
· SSLA
· smimeCA
· nesneSigningCA
· kritik
X.509 sertifika uzantıları, RFC 5280'de açıklanmıştır.
-6 | --extKeyUsage anahtar sözcük,anahtar sözcük
Oluşturulan veya sertifikaya eklenen bir sertifikaya genişletilmiş anahtar kullanım uzantısı ekleyin.
veritabanı. Birkaç anahtar kelime mevcuttur:
· sunucu Yetkilendirmesi
· müşteri Yetkilendirmesi
· kod İmzalama
· e-posta Koruması
· zaman Damgası
· ocspCevaplayıcı
· yükseltme
· msTrustListSign
· kritik
X.509 sertifika uzantıları, RFC 5280'de açıklanmıştır.
-7 e-postaAdresleri
Konu alternatif adına virgülle ayrılmış bir e-posta adresleri listesi ekleyin
oluşturulan veya eklenen bir sertifikanın veya sertifika isteğinin uzantısı
veritabanı. Konu alternatif ad uzantıları Bölüm 4.2.1.7'de açıklanmıştır.
RFC3280.
-8 dns-adları
Bir dosyanın konu alternatif ad uzantısına virgülle ayrılmış bir DNS adları listesi ekleyin.
oluşturulan veya veritabanına eklenen sertifika veya sertifika isteği.
Konu alternatif ad uzantıları, RFC 4.2.1.7 Bölüm 3280'de açıklanmıştır.
--extAIA
Yetki Bilgileri Erişim uzantısını sertifikaya ekleyin. X.509 sertifikası
uzantılar RFC 5280'de açıklanmıştır.
--extSIA
Sertifikaya Konu Bilgileri Erişim uzantısını ekleyin. X.509 sertifikası
uzantılar RFC 5280'de açıklanmıştır.
--extCP
Sertifikaya Sertifika İlkeleri uzantısını ekleyin. X.509 sertifikası
uzantılar RFC 5280'de açıklanmıştır.
--extPM
İlke Eşlemeleri uzantısını sertifikaya ekleyin. X.509 sertifika uzantıları
RFC 5280'de açıklanmıştır.
--extPC
İlke Kısıtlamaları uzantısını sertifikaya ekleyin. X.509 sertifika uzantıları
RFC 5280'de açıklanmıştır.
--extIA
Herhangi Bir İlke Erişimini Engelle uzantısını sertifikaya ekleyin. X.509 sertifikası
uzantılar RFC 5280'de açıklanmıştır.
--extSKID
Sertifikaya Konu Anahtarı Kimliği uzantısını ekleyin. X.509 sertifika uzantıları
RFC 5280'de açıklanmıştır.
--extNC
Sertifikaya bir Ad Kısıtlama uzantısı ekleyin. X.509 sertifika uzantıları
RFC 5280'de açıklanmıştır.
--extSAN türü:ad[,tür:ad]...
Bir veya birden çok adla bir Konu Alternatif Adı uzantısı oluşturun.
-type: dizin, dn, dns, edi, ediparty, e-posta, ip, ipaddr, diğer, registerid,
rfc822, uri, x400, x400addr
--boş-şifre
-N ile yeni sertifika veritabanı oluştururken boş parola kullanın.
--keyAttrFlags attrflags
PKCS #11 anahtar Nitelikler. Aşağıdakilerden seçilen anahtar nitelik bayraklarının virgülle ayrılmış listesi
aşağıdaki seçenekler listesi: {token | oturum} {genel | özel} {hassas |
duyarsız} {değiştirilebilir | değiştirilemez} {çıkarılabilir | çıkarılamaz}
--keyOpFlagsOn opbayrakları, --keyOpFlagsOff opbayrakları
PKCS #11 anahtar İşlem Bayrakları. Aşağıdakilerden birinin veya daha fazlasının virgülle ayrılmış listesi:
{belirteç | oturum} {genel | özel} {hassas | duyarsız} {değiştirilebilir |
değiştirilemez} {çıkarılabilir | çıkarılamaz}
--new-n takma ad
Bir sertifikayı yeniden adlandırırken kullanılan yeni bir takma ad.
--source-dir sertifika dizini
Yükseltilecek sertifika veritabanı dizinini tanımlayın.
--source-prefix sertifika dizini
Yükseltilecek sertifikanın ön ekini ve anahtar veritabanlarını verin.
--upgrade-id benzersiz kimlik
Yükseltilecek veritabanının benzersiz kimliğini verin.
--upgrade-token-name adı
Yükseltilirken kullanılacak belirtecin adını ayarlayın.
-@ şifre dosyası
Yükseltilen veritabanı için kullanılacak bir parola dosyasının adını verin.
KULLANIM VE ÖRNEKLER
Burada listelenen örneklerdeki komut seçeneklerinin çoğu daha fazla argümana sahiptir. bu
Bu örneklerde yer alan argümanlar en yaygın olanlardır veya bir konuyu açıklamak için kullanılırlar.
özel senaryo. Kullan -H her biri için argümanların tam listesini gösterme seçeneği
komut seçeneği.
Oluşturma yeni Güvenlik veritabanları
Sertifikaların yönetimiyle ilgili sertifikalar, anahtarlar ve güvenlik modülleri,
üç ilgili veritabanları:
· cert8.db veya cert9.db
· key3.db veya key4.db
· secmod.db veya pkcs11.txt
Bu veritabanları, sertifikalar veya anahtarlar oluşturulmadan önce oluşturulmalıdır.
certutil -N -d [sql:]dizini
Oluşturma a Sertifikalar Talep et
Bir sertifika isteği, sertifikayı oluşturmak için kullanılan bilgilerin çoğunu veya tamamını içerir.
nihai sertifika. Bu talep ayrı olarak bir sertifika yetkilisine sunulur ve
daha sonra bir mekanizma tarafından onaylanır (otomatik olarak veya insan incelemesi ile). Talep bir kez
onaylandıktan sonra sertifika oluşturulur.
$ certutil -R -k anahtar-türü-veya-kimliği [-q pqgfile|eğri-adı] -g anahtar-boyutu -s konu [-h belirteçadı] -d [sql:]dizin [-p telefon] [-o çıktı dosyası] [-a]
The -R komut seçenekleri dört bağımsız değişken gerektirir:
· -k ya oluşturulacak anahtar türünü belirtmek ya da bir sertifikayı yenilerken
kullanmak için mevcut anahtar çifti
· -g oluşturulacak anahtarın anahtar boyutunu ayarlamak için
· -s sertifikanın konu adını ayarlamak için
· -d güvenlik veritabanı dizinini vermek için
Yeni sertifika talebi, ASCII formatında (-a) veya yazılabilir
belirtilen dosya (-o).
Örneğin:
$ certutil -R -k rsa -g 1024 -s "CN=John Smith,O=Örnek Corp,L=Mountain View,ST=California,C=US" -d sql:$HOME/nssdb -p 650-555- 0123 -a -o cert.cer
Anahtar oluşturuluyor. Bu birkaç dakika sürebilir...
Oluşturma a Sertifikalar
Güvenilir bir CA tarafından geçerli bir sertifika verilmelidir. Bu, bir CA belirterek yapılabilir.
sertifika (-c) sertifika veritabanında depolanır. CA anahtar çifti değilse
mevcutsa, kullanarak kendinden imzalı bir sertifika oluşturabilirsiniz. -x ile tartışma -S
komut seçeneği.
$ sertifika -S -k rsa|dsa|ec -n sertifika adı -s konu [-c veren |-x] -t trustargs -d [sql:]dizin [-m seri-numarası] [-v geçerli aylar] [ -w offset-aylar] [-p telefon] [-1] [-2] [-3] [-4] [-5 anahtar kelime] [-6 anahtar kelime] [-7 emailAddress] [-8 dns-names] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]
Sayı dizisi ve --dış* seçenekler, eklenebilecek sertifika uzantılarını belirler
CA tarafından oluşturulduğunda sertifika. Etkileşimli istemler sonuçlanacaktır.
Örneğin, bu kendinden imzalı bir sertifika oluşturur:
$ certutil -S -s "CN=Örnek CA" -n my-ca-cert -x -t "C,C,C" -1 -2 -5 -m 3650
Anahtar kullanımı ve herhangi bir uzantının kritik olup olmadığı ve yanıtlar için etkileşimli istemler
kısa olması nedeniyle atlanmıştır.
Buradan, yeni sertifikalar kendinden imzalı sertifikaya başvurabilir:
$ certutil -S -s "CN=Sunucum Sertifikam" -n sunucum-sertifikam -c "benim-ca-cert" -t "u,u,u" -1 -5 -6 -8 -m 730
Yaratma a Sertifikalar itibaren a Sertifikalar Talep et
Bir sertifika talebi oluşturulduğunda, istek kullanılarak bir sertifika oluşturulabilir.
ve ardından bir sertifika yetkilisi imza sertifikasına atıfta bulunmak ( verenin belirtilen
the -c argüman). Veren sertifika, sertifika veritabanında olmalıdır.
belirtilen dizin
certutil -C -c veren -i cert-request-file -o çıktı-file [-m seri-numarası] [-v geçerli aylar] [-w ofset-aylar] -d [sql:]dizin [-1] [-2] [-3] [-4] [-5 anahtar kelime] [-6 anahtar kelime] [-7 e-postaAdresi] [-8 dns-adı]
Örneğin:
$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql:$HOME/nssdb -1 nonRepudiation,dataEncipherment -5 sslClient -6 clientAuth -7 [e-posta korumalı]
listeleme Sertifikalar
The -L komut seçeneği, sertifika veritabanında listelenen tüm sertifikaları listeler.
Dizine giden yol (-d) gerekli.
$ certutil -L -d sql:/home/my/sharednssdb
Sertifika Takma Adı Güven Nitelikleri
SSL,S/MIME,JAR/XPI
Örnek CA Yöneticisi pki-ca1'in Örnek Etki Alanı Kimliği u,u,u
TPS Yöneticisinin Örnek Etki Alanı Kimliği u,u,u
Google İnternet Otoritesi ,,
Sertifika Yetkilisi - Örnek Etki Alanı CT,C,C
ile ek argümanlar kullanma -L tek bir bilgi için geri dönebilir ve yazdırabilir,
özel sertifika. Örneğin, -n argüman sertifika adını geçirirken,
-a argüman sertifikayı ASCII formatında yazdırır:
$ certutil -L -d sql:$HOME/nssdb -a -n sertifikam
-----SERTİFİKA BAŞLANGIÇ -----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-----BİTİŞ BELGESİ-----
İnsan tarafından okunabilir bir ekran için
$ sertifika -L -d sql:$HOME/nssdb -n benim sertifikam
Sertifika:
Veri:
Sürüm: 3 (0x2)
Seri Numarası: 3650 (0xe42)
İmza Algoritması: RSA Şifrelemeli PKCS #1 SHA-1
Veren: "CN=Örnek CA"
Geçerlilik:
Daha Önce: 13 Mart Çar 19:10:29 2013
Sonrası Değil : 13 Haz Per 19:10:29 2013
Konu: "CN=Örnek CA"
Konu Genel Anahtar Bilgisi:
Genel Anahtar Algoritması: PKCS #1 RSA Şifrelemesi
RSA Genel Anahtarı:
Modülü:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
Üs: 65537 (0x10001)
İmzalı Uzantılar:
İsim: Sertifika Türü
Veri: yok
Ad: Sertifika Temel Kısıtlamaları
Veri: Maksimum yol uzunluğu olmayan bir CA'dır.
Ad: Sertifika Anahtarı Kullanımı
Kritik: Doğru
Kullanımlar: Sertifika İmzalama
İmza Algoritması: RSA Şifrelemeli PKCS #1 SHA-1
İmza:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
Parmak izi (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
Parmak izi (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7
Sertifika Güven İşaretleri:
SSL İşaretleri:
Geçerli CA
Güvenilir CA
kullanıcı
E-posta Bayrakları:
Geçerli CA
Güvenilir CA
kullanıcı
Nesne İmzalama Bayrakları:
Geçerli CA
Güvenilir CA
kullanıcı
listeleme Anahtarlar
Anahtarlar, sertifika verilerini şifrelemek için kullanılan orijinal malzemedir. için oluşturulan anahtarlar
sertifikalar, anahtar veritabanında ayrı olarak saklanır.
Veritabanındaki tüm anahtarları listelemek için -K komut seçeneği ve (gerekli) -d tartışma
dizinin yolunu vermek için.
$ sertifika -K -d sql:$HOME/nssdb
certutil: "NSS Kullanıcı Özel Anahtarı ve Sertifika Hizmetleri" yuvasında "NSS Sertifika DB" belirteci kontrol ediliyor
< 0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d Thawte Freemail Üyenin Thawte Consulting (Pty) Ltd. Kimliği
< 1> rsa 40defeeb522ade11090eacebaaf1196a172127df Örnek Etki Alanı Yöneticisi Sertifikası
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert
Arama sonuçlarında listelenen tuşları daraltmanın yolları vardır:
· Belirli bir anahtarı döndürmek için -nisim anahtarın adıyla argüman.
· Yüklenen birden fazla güvenlik aygıtı varsa, o zaman -hbelirteç adı argüman olabilir
belirli bir belirteci veya tüm belirteçleri arayın.
· Birden fazla anahtar türü mevcutsa, o zaman -kanahtar türü argüman bir arama yapabilir
RSA, DSA veya ECC gibi belirli bir anahtar türü.
listeleme Güvenlik Modüller
Sertifikaları depolamak için kullanılabilecek cihazlar -- hem dahili veritabanları hem de harici
akıllı kartlar gibi cihazlar -- güvenlik modülleri yüklenerek tanınır ve kullanılır. bu -U
komut seçeneği, secmod.db veritabanında listelenen tüm güvenlik modüllerini listeler. bu
dizine giden yol (-d) gerekli.
$ certutil -U -d sql:/home/my/sharednssdb
yuva: NSS Kullanıcı Özel Anahtarı ve Sertifika Hizmetleri
belirteç: NSS Sertifikası DB
yuva: NSS Dahili Şifreleme Hizmetleri
belirteç: NSS Genel Kripto Hizmetleri
Ekleme Sertifikalar için the veritabanı
Mevcut sertifikalar veya sertifika istekleri, sertifikaya manuel olarak eklenebilir
veritabanı, başka bir yerde oluşturulmuş olsalar bile. Bu kullanır -A komut seçeneği.
certutil -A -n sertifika adı -t trustargs -d [sql:]dizin [-a] [-i girdi dosyası]
Örneğin:
$ certutil -A -n "CN=SSL Sertifikam" -t "u,u,u" -d sql:/home/my/sharednssdb -i /home/example-certs/cert.cer
İlgili bir komut seçeneği, -E, özellikle e-posta sertifikaları eklemek için kullanılır.
sertifika veritabanı. bu -E komutu ile aynı argümanlara sahiptir. -A emretmek. Güven
sertifikalar için argümanlar biçime sahiptir SSL,S/MIME,Kod imzalama, yani orta güven
ayarlar çoğunlukla e-posta sertifikalarıyla ilgilidir (ancak diğerleri ayarlanabilir). Örneğin:
$ certutil -E -n "CN=John Smith E-posta Sertifikası" -t ",Pu," -d sql:/home/my/sharednssdb -i /home/example-certs/email.cer
silme Sertifikalar için the veritabanı
Sertifikalar, aşağıdakiler kullanılarak bir veritabanından silinebilir: -D seçenek. Tek gerekli seçenekler
güvenlik veritabanı dizinini vermek ve sertifika takma adını belirlemektir.
certutil -D -d [sql:]dizin -n "takma ad"
Örneğin:
$ certutil -D -d sql:/home/my/sharednssdb -n "my-ssl-cert"
doğrulama Sertifikalar
Bir sertifika kendi içinde bir sona erme tarihi içerir ve süresi dolmuş sertifikalar kolayca
reddedilmiş. Ancak sertifikalar, geçerlilik süreleri dolmadan da iptal edilebilir.
Bir sertifikanın iptal edilip edilmediğinin kontrol edilmesi, sertifikanın doğrulanmasını gerektirir.
Doğrulama, sertifikanın yalnızca şu amaçlarla kullanılmasını sağlamak için de kullanılabilir.
için başlangıçta yayınlandı. Validasyon tarafından yapılır. -V komut seçeneği.
certutil -V -n sertifika-adı [-b zaman] [-e] [-u sertifika kullanımı] -d [sql:]dizin
Örneğin, bir e-posta sertifikasını doğrulamak için:
$ certutil -V -n "John Smith'in E-posta Sertifikası" -e -u S,R -d sql:/home/my/sharednssdb
Değiştirme Sertifikalar Güven Ayarlar
Güven ayarları (bir sertifikanın yapmasına izin verilen işlemlerle ilgilidir)
için kullanılır) bir sertifika oluşturulduktan veya veritabanına eklendikten sonra değiştirilebilir. Bu
özellikle CA sertifikaları için kullanışlıdır, ancak herhangi bir tür için gerçekleştirilebilir.
belgesi.
certutil -M -n sertifika-adı -t güven-args -d [sql:]dizini
Örneğin:
$ certutil -M -n "CA Sertifikam" -d sql:/home/my/sharednssdb -t "CTu,CTu,CTu"
Baskı the Sertifikalar zincir
Sertifikalar şurada verilebilir: zincirler çünkü her sertifika yetkilisinin kendisinin bir
sertifika; Bir CA bir sertifika verdiğinde, esasen bu sertifikayı şu şekilde damgalar:
kendi parmak izi. bu -O başlangıçtan başlayarak bir sertifikanın tam zincirini yazdırır
CA (kök CA) her zaman aracı CA aracılığıyla gerçek sertifikaya. örneğin, için
zincirde iki CA bulunan bir e-posta sertifikası:
$ certutil -d sql:/home/my/sharednssdb -O -n "[e-posta korumalı]"
"Yerleşik Nesne Simgesi: Thawte Kişisel Ücretsiz Posta CA" [E=[e-posta korumalı],CN=Thawte Personal Freemail CA,OU=Sertifikasyon Hizmetleri Bölümü,O=Thawte Consulting,L=Cape Town,ST=Western Cape,C=ZA]
"Thawte Personal Freemail Veren CA - Thawte Consulting" [CN=Thawte Personal Freemail Veren CA,O=Thawte Consulting (Pty) Ltd.,C=ZA]
"(boş)" [E=[e-posta korumalı],CN=Özgür Posta Üyesini Çöz]
sıfırlama a Simge
Sertifikaları depolayan aygıt -- hem harici donanım aygıtları hem de dahili
yazılım veritabanları -- silinebilir ve yeniden kullanılabilir. Bu işlem cihaz üzerinde gerçekleştirilir.
verileri doğrudan güvenlik veritabanlarında değil, depolayan, bu nedenle konum
belirteç adı aracılığıyla başvurulur (-h) yanı sıra herhangi bir dizin yolu. yoksa
kullanılan harici belirteç, varsayılan değer dahilidir.
certutil -T -d [sql:]dizin -h belirteç-adı -0 güvenlik görevlisi-şifresi
Birçok ağ, güvenlik belirteçlerinde (güvenlik
subay). Bu kişi, belirtilen simgeye erişmek için parolayı sağlamalıdır. Örneğin:
$ certutil -T -d sql:/home/my/sharednssdb -h nethsm -0 gizli
Yükseltme or Birleştirme the Güvenlik veritabanları
Birçok ağ veya uygulama, sertifikanın eski BerkeleyDB sürümlerini kullanıyor olabilir.
veritabanı (cert8.db). Veritabanları, veritabanının yeni SQLite sürümüne yükseltilebilir
(cert9.db) kullanarak --yükseltme-birleştirme komut seçeneği veya mevcut veritabanları birleştirilebilir
kullanarak yeni cert9.db veritabanları ile ---birleştirmek Komut.
The --yükseltme-birleştirme komut, orijinal veritabanı hakkında bilgi vermeli ve ardından kullanmalıdır.
standart argümanlar (gibi -d) yeni veritabanları hakkında bilgi vermek. bu
komutu ayrıca, aracın yükseltme ve yazma işlemi için kullandığı bilgileri de gerektirir.
orijinal veritabanı üzerinden.
certutil --upgrade-merge -d [sql:]dizin [-P dbprefix] --source-dir directory --source-prefix dbprefix --upgrade-id id --upgrade-token-name [-@ parola-dosyası ]
Örneğin:
$ certutil --upgrade-merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp- --upgrade-id 1 --upgrade-token- isim dahili
The --birleştirmek komut yalnızca orijinal veritabanının konumu hakkında bilgi gerektirir;
Veritabanının formatını değiştirmediği için bilgilerin üzerine herhangi bir işlem yapmadan yazabilir.
ara adım gerçekleştiriyor.
certutil --merge -d [sql:]dizin [-P dbprefix] --source-dir directory --source-prefix dbprefix [-@ parola-dosyası]
Örneğin:
$ certutil --merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix sunucusuapp-
Koşu certutil Komutları itibaren a Yığın fileto
Bir metin dosyasından sırayla bir dizi komut çalıştırılabilir. -B komut seçeneği.
Bunun için tek argüman girdi dosyasını belirtir.
$ certutil -B -i /yol/to/batch-file
NSS VERİTABANI TÜRLERİ
NSS, güvenlik bilgilerini depolamak için başlangıçta BerkeleyDB veritabanlarını kullandı. son sürümler
bunların miras veritabanları şunlardır:
· sertifikalar için cert8.db
· tuşlar için key3.db
· PKCS #11 modül bilgisi için secmod.db
BerkeleyDB tarafından kolayca kullanılmasını engelleyen performans sınırlamaları vardır.
aynı anda birden fazla uygulama. NSS, uygulamaların
paylaşılan bir veritabanı tutarken ve çalışırken kendi bağımsız veritabanı motorunu kullanın
erişim sorunları etrafında. Yine de, NSS, gerçekten paylaşılan bir ağ sağlamak için daha fazla esneklik gerektirir.
güvenlik veritabanı.
2009'da NSS, SQLite veritabanları olan yeni bir veritabanları seti tanıttı.
BerkeleyDB. Bu yeni veritabanları daha fazla erişilebilirlik ve performans sağlar:
· sertifikalar için cert9.db
· tuşlar için key4.db
· pkcs11.txt, yeni bir alt dizinde bulunan tüm PKCS #11 modüllerinin bir listesi
güvenlik veritabanları dizininde
SQLite veritabanları paylaşılmak üzere tasarlandığından, bunlar Paylaşılan veritabanı
tip. Paylaşılan veritabanı türü tercih edilir; eski biçim geriye dönük olarak dahil edilmiştir
uyumluluğu.
Varsayılan olarak, araçlar (certutil, pk12util, modül) verilen güvenliği varsayalım
veritabanları daha yaygın olan eski türü takip eder. SQLite veritabanlarının kullanımı manuel olarak yapılmalıdır.
kullanılarak belirtilen SQL: verilen güvenlik dizini ile önek. Örneğin:
$ certutil -L -d sql:/home/my/sharednssdb
Araçlar için varsayılan tür olarak paylaşılan veritabanı türünü ayarlamak için
NSS_DEFAULT_DB_TYPE ortam değişkeni sql:
NSS_DEFAULT_DB_TYPE="sql" dışa aktar
Bu satır eklenerek ayarlanabilir ~ / .bashrc Değişikliği kalıcı hale getirmek için dosya.
Çoğu uygulama varsayılan olarak paylaşılan veritabanını kullanmaz, ancak şu şekilde yapılandırılabilirler:
onları kullan. Örneğin, bu nasıl yapılır makalesinde Firefox ve Thunderbird'ün nasıl yapılandırılacağı anlatılmaktadır.
yeni paylaşılan NSS veritabanlarını kullanmak için:
· https://wiki.mozilla.org/NSS_Shared_DB_Howto
Paylaşılan NSS veritabanlarındaki değişikliklerle ilgili bir mühendislik taslağı için, bkz. NSS projesi
wiki:
· https://wiki.mozilla.org/NSS_Shared_DB
onworks.net hizmetlerini kullanarak certutil'i çevrimiçi kullanın
