Це команда cassl, яку можна запустити у безкоштовного хостинг-провайдера OnWorks за допомогою однієї з наших безкоштовних онлайн-робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS
ПРОГРАМА:
ІМ'Я
ca - зразок мінімальної заявки CA
СИНТАКСИС
OpenSSL ca [-вербозний] [-config ім'я файлу] [-ім'я розділ] [-gencrl] [-відкликати файл] [- статус
послідовний] [-оновленийb] [-crl_reason причина] [-crl_hold інструкція] [-crl_compromise час]
[-crl_CA_compromise час] [-crldays днів] [-crlгодини годин] [-crlexts розділ] [-дата початку
дата] [-Дата закінчення дата] [-день аргумент] [-мд аргумент] [- політика аргумент] [- ключовий файл аргумент] [- ключова форма
PEM|DER] [-кілька аргумент] [-пассін аргумент] [-сертифікат файл] [- самопідписати] [-в файл] [-від файл]
[-нотекст] [- outdir реж] [-інфайли] [-spkac файл] [-ss_cert файл] [-зберегтиDN]
[-noemailDN] [- партія] [-msie_hack] [- розширення розділ] [-extfile розділ] [- двигун id]
[-субй аргумент] [-utf8] [-багатозначний-rdn]
ОПИС
Команда ca команда є мінімальною програмою CA. Його можна використовувати для підпису запитів на сертифікати
різноманітні форми та генерувати CRL, він також підтримує текстову базу даних виданих
сертифікати та їх статус.
Опис параметрів буде розділено на кожну мету.
CA ВАРІАНТИ
-config ім'я файлу
визначає файл конфігурації для використання.
-ім'я розділ
вказує розділ файлу конфігурації для використання (замінює default_ca в ca
розділ)
-в ім'я файлу
ім'я вхідного файлу, що містить єдиний запит на сертифікат, який має бути підписаний ЦС.
-ss_cert ім'я файлу
єдиний самопідписаний сертифікат, який буде підписаний ЦС.
-spkac ім'я файлу
файл, що містить єдиний підписаний Netscape відкритий ключ, виклик і додаткові
значення полів, які повинні бути підписані ЦС. Див SPKAC ФОРМАТ розділ для інформації про
необхідний формат введення та виведення.
-інфайли
якщо присутній, це має бути останній варіант, усі наступні аргументи передбачаються
імена файлів, що містять запити на сертифікати.
-від ім'я файлу
вихідний файл для виведення сертифікатів. Типовим є стандартний вихід. The
деталі сертифіката також будуть роздруковані в цьому файлі у форматі PEM (крім того, що
-spkac виводить формат DER).
- outdir каталог
каталог для виведення сертифікатів. Сертифікат буде записаний до імені файлу
складається з серійного номера в шістнадцятковому форматі з додаванням ".pem".
-сертифікат
файл сертифіката ЦС.
- ключовий файл ім'я файлу
закритий ключ для підпису запитів.
- ключова форма PEM|DER
формат даних у файлі закритого ключа. Типовим є PEM.
-кілька пароль
пароль, який використовується для шифрування закритого ключа. Так як в деяких системах командний рядок
аргументи видимі (наприклад, Unix з утилітою 'ps'), слід використовувати цей параметр
з обережністю.
- самопідписати
вказує, що видані сертифікати мають бути підписані ключем сертифіката
запити були підписані з (надано з - ключовий файл). Запити на сертифікати, підписані a
різні ключі ігноруються. Якщо -spkac, -ss_cert or -gencrl дані, - самопідписати is
ігнорується.
Наслідок використання - самопідписати полягає в тому, що самопідписаний сертифікат відображається серед
записи в базі даних сертифікатів (див. параметр конфігурації база даних), і використовує
той самий лічильник серійних номерів, що й усі інші сертифікати, які підписують із самопідписаним
довідка.
-пассін аргумент
джерело ключового пароля. Для отримання додаткової інформації про формат аргумент див PASS
PHRASE АРГУМЕНТИ розділ в OpenSSL(1).
-вербозний
це друкує додаткові відомості про операції, що виконуються.
-нотекст
не виводити текстову форму сертифіката у вихідний файл.
-дата початку дата
це дозволяє явно встановити дату початку. Формат дати такий
YYMMDDHHMMSSZ (те саме, що структура ASN1 UTCTime).
-Дата закінчення дата
це дозволяє чітко встановити термін придатності. Формат дати такий
YYMMDDHHMMSSZ (те саме, що структура ASN1 UTCTime).
-день аргумент
кількість днів для засвідчення сертифіката.
-мд ALG
дайджест повідомлення для використання. Можливі значення включають md5, sha1 і mdc2. Цей варіант
також стосується CRL.
- політика аргумент
цей параметр визначає "політику" ЦС для використання. Це розділ конфігурації
файл, який вирішує, які поля мають бути обов’язковими або відповідати сертифікату ЦС. Перевірте
з ПОЛІТИКА ФОРМАТ розділ для отримання додаткової інформації.
-msie_hack
це застарілий варіант ca працювати з дуже старими версіями сертифіката IE
контроль зарахування «certenr3». Він використовував UniversalStrings майже для всього. Оскільки
старий елемент керування має різні помилки безпеки, його використання настійно не рекомендується. Чим новіший
керування "Xenroll" не потребує цієї опції.
-зберегтиDN
Зазвичай порядок DN сертифіката такий самий, як порядок полів у
відповідний розділ політики. Коли цей параметр установлено, порядок такий самий, як і запит.
Це значною мірою для сумісності зі старішою версією керування реєстрацією IE, яка б
приймати лише сертифікати, якщо їхні DN відповідають порядку запиту. Це не
необхідні для Xenroll.
-noemailDN
DN сертифіката може містити поле EMAIL, якщо воно є в DN запиту,
однак це гарна політика, якщо електронну пошту встановлювати в розширення altName
сертифікат. Якщо цей параметр встановлено, поле EMAIL видаляється із сертифіката.
підлягає і встановлюється лише в, зрештою, присутніх розширеннях. The email_in_d ключове слово
можна використовувати у файлі конфігурації, щоб увімкнути цю поведінку.
- партія
це встановлює пакетний режим. У цьому режимі не буде ставитися питань і всі сертифікати
буде сертифіковано автоматично.
- розширення розділ
розділ файлу конфігурації, що містить розширення сертифіката, які потрібно додати
коли видається сертифікат (за замовчуванням x509_extensions якщо тільки -extfile варіант
використовується). Якщо розділ розширення відсутній, тоді створюється сертифікат V1. Якщо
присутній розділ розширення (навіть якщо він порожній), тоді створюється сертифікат V3.
Див.:w x509v3_config(5) сторінка посібника для детальної інформації про формат розділу розширення.
-extfile файл
додатковий файл конфігурації для читання розширень сертифіката (за допомогою
розділ за замовчуванням, якщо не - розширення також використовується варіант).
- двигун id
вказуючи двигун (за його унікальністю id рядок) спричинить ca намагатися отримати a
функціональне посилання на вказаний механізм, таким чином ініціалізуючи його, якщо необхідно. The
двигун буде встановлено за замовчуванням для всіх доступних алгоритмів.
-субй аргумент
замінює назву теми, наведену в запиті. Аргумент має бути відформатований як
/type0=value0/type1=value1/type2=..., символи можуть бути екрановані \ (зворотною скісною рискою), ні
пробіли пропускаються.
-utf8
ця опція змушує значення полів інтерпретувати як рядки UTF8, за замовчуванням вони є такими
інтерпретується як ASCII. Це означає, що значення поля, незалежно від того, чи запитуються вони з a
термінал або отриманий з конфігураційного файлу, повинні бути дійсними рядками UTF8.
-багатозначний-rdn
цей параметр змушує аргумент -subj інтерпретуватися з повною підтримкою
багатозначні RDN. приклад:
/DC=org/DC=OpenSSL/DC=users/UID=123456+CN=Джон лань
Якщо -multi-rdn не використовується, тоді буде значення UID 123456+CN=Іван лань.
C.R.L. ВАРІАНТИ
-gencrl
цей параметр генерує CRL на основі інформації у файлі індексу.
-crldays Num
кількість днів до наступного CRL. Це дні з цього моменту для розміщення
поле CRL nextUpdate.
-crlгодини Num
кількість годин до наступного CRL.
-відкликати ім'я файлу
ім'я файлу, що містить сертифікат для відкликання.
- статус послідовний
відображає статус відкликання сертифіката з указаним серійним номером і
виходи.
-оновленийb
Оновлює індекс бази даних для видалення прострочених сертифікатів.
-crl_reason причина
причина відкликання, де причина є одним з: невизначених, keyCompromise, CACompromise,
приналежністьЗмінено, замінено, припинення роботи, сертифікатHold or
removeFromCRL. Відповідність причина не враховує регістр. Налаштування будь-якого відкликання
причиною буде CRL v2.
У практ removeFromCRL не є особливо корисним, оскільки він використовується лише в дельті
CRL, які наразі не реалізовані.
-crl_hold інструкція
Це встановлює код причини відкликання CRL на сертифікатHold і інструкція утримання
до інструкція який має бути OID. Хоча можна використовувати лише будь-який OID
holdInstructionNone (використання якого заборонено RFC2459)
holdInstructionCallIssuer or holdInstructionReject зазвичай буде використовуватися.
-crl_compromise час
Це встановлює причину відкликання keyCompromise і час для компромісу час. час
має бути у форматі GeneralizedTime YYYYMMDDHHMMSSZ.
-crl_CA_compromise час
Це те саме, що crl_compromise за винятком причини відкликання
CACompromise.
-crlexts розділ
розділ файлу конфігурації, що містить розширення CRL, які слід включити. Якщо немає CRL
присутній розділ розширення, тоді створюється CRL V1, якщо є розділ розширення CRL
присутній (навіть якщо він порожній), тоді створюється CRL V2. Указані розширення CRL
є розширеннями CRL і НЕ Розширення запису CRL. Слід зазначити, що деякі
програмне забезпечення (наприклад, Netscape) не може обробляти CRL V2. Побачити x509v3_config(5) сторінка посібника
для детальної інформації про формат розділу розширення.
КОНФІГУРАЦІЯ Фото ВАРІАНТИ
Розділ конфігураційного файлу, що містить параметри для ca знаходиться наступним чином: Якщо
-ім'я використовується параметр командного рядка, тоді він називає розділ, який буде використано. В іншому випадку
розділ, який буде використано, має бути названий у default_ca варіант ca розділ
файл конфігурації (або в розділі файлу конфігурації за замовчуванням). Крім того
default_ca, наступні параметри читаються безпосередньо з ca розділ:
RANDFILE зберегти
msie_hack За винятком РЕНДФІЛ, ймовірно, це помилка, яка може змінитися в майбутньому
Релізи
Багато параметрів файлу конфігурації ідентичні параметрам командного рядка. Де
Параметр присутній у файлі конфігурації та в командному рядку, яким є значення командного рядка
використовується. Якщо параметр описаний як обов’язковий, він повинен бути присутнім у
використовуваний файл конфігурації або еквівалент командного рядка (якщо є).
oid_file
Це визначає файл, що містить додаткові ОБ'ЄКТ ІДЕНТИФІКАТОРИ. Кожен рядок файлу
має складатися з числової форми ідентифікатора об’єкта, за яким слідує пробіл
потім коротка назва, потім пробіл і, нарешті, довга назва.
oid_section
Це визначає розділ у файлі конфігурації, що містить додатковий об’єкт
ідентифікатори. Кожен рядок повинен містити коротку назву ідентифікатора об’єкта
подальшою = і числова форма. Короткі і довгі назви в цьому випадку однакові
використовується варіант.
new_certs_dir
так само, як і - outdir параметр командного рядка. Він визначає каталог, у якому є новий
будуть розміщені сертифікати. Обов'язковий.
сертифікат
так само, як -сертифікат. Він дає файл, що містить сертифікат CA. Обов'язковий.
приватний_ключ
те ж, що і - ключовий файл варіант. Файл, що містить закритий ключ ЦС. Обов'язковий.
РЕНДФІЛ
файл, який використовується для читання та запису початкової інформації випадкового числа, або сокет EGD (див
RAND_egd(3)).
default_days
так само, як і -день варіант. Кількість днів для засвідчення сертифіката.
default_startdate
так само, як і -дата початку варіант. Дата початку сертифікації сертифіката. Якщо ні
встановити поточний час.
default_enddate
так само, як і -Дата закінчення варіант. Або цей варіант, або default_days (або команда
еквіваленти рядків) повинні бути присутніми.
default_crl_hours default_crl_days
так само, як і -crlгодини і -crldays параметри. Вони будуть використані, лише якщо ні те, ні інше
присутній параметр командного рядка. Принаймні один із них має бути присутнім, щоб створити a
CRL.
default_md
так само, як і -мд варіант. Дайджест повідомлення для використання. Обов'язковий.
база даних
текстовий файл бази даних для використання. Обов'язковий. Цей файл повинен бути присутнім спочатку
воно буде порожнім.
унікальний_суб'єкт
якщо значення так дійсні записи сертифіката в базі даних повинні мати
унікальні предмети. якщо значення немає надано, кілька дійсних записів сертифіката можуть мати
той самий предмет. Значення за замовчуванням: так, щоб бути сумісним зі старішими (поперед
0.9.8) версії OpenSSL. Однак, щоб полегшити оновлення сертифіката ЦС, це
рекомендовано використовувати значення немає, особливо в поєднанні з - самопідписати команда
варіант лінії.
послідовний
текстовий файл, що містить наступний серійний номер у шістнадцятковому форматі. Обов'язковий. Цей файл
має бути присутнім і містити дійсний серійний номер.
crlnumber
текстовий файл, що містить наступний номер CRL для використання в шістнадцятковому форматі. Номер crl буде
вставляється в CRL, лише якщо цей файл існує. Якщо цей файл присутній, він повинен
містять дійсний номер CRL.
x509_extensions
так само, як - розширення.
crl_extensions
так само, як -crlexts.
зберігати
так само, як -зберегтиDN
email_in_d
так само, як -noemailDN. Якщо ви хочете, щоб поле EMAIL було видалено з DN користувача
сертифікат просто встановіть для цього значення «ні». Якщо його немає, за замовчуванням дозволено
EMAIL, поданий у DN сертифіката.
msie_hack
так само, як -msie_hack
політика
так само, як - політика. Обов'язковий. Див ПОЛІТИКА ФОРМАТ розділ для отримання додаткової інформації.
name_opt, cert_opt
ці параметри дозволяють використовувати формат для відображення деталей сертифіката під час запиту
користувача для підтвердження підпису. Усі параметри, які підтримує x509 комунальні послуги -намеопт та
-сертопт тут можна використовувати перемикачі, крім no_signname та no_sigdump він має
встановлено назавжди та не може бути вимкнено (це тому, що підпис сертифіката
неможливо відобразити, оскільки сертифікат на даний момент не підписаний).
Для зручності значення ca_default прийняті обома для отримання розумного
вихід.
Якщо жоден параметр відсутній, використовується формат, який використовувався в попередніх версіях OpenSSL.
Використання старого формату є сильно не рекомендується, оскільки він відображає лише поля
згадується в політика розділ неправильно обробляє багатосимвольні типи рядків і ні
розширення для дисплея.
copy_extensions
визначає, як слід обробляти розширення в запитах на сертифікати. Якщо встановлено ніхто
або цей параметр відсутній, тоді розширення ігноруються та не копіюються до
сертифікат. Якщо встановлено скопіювати тоді будь-які розширення, присутні в запиті, яких немає
вже наявні копіюються в сертифікат. Якщо встановлено copyall потім усі розширення
у запиті копіюються до сертифіката: якщо розширення вже присутнє в
сертифікат спочатку видаляється. Див ПОПЕРЕДЖЕННЯ перед використанням цього розділу
варіант.
Основне використання цього параметра полягає в тому, щоб дозволити запиту сертифіката надавати значення для
певні розширення, такі як subjectAltName.
ПОЛІТИКА ФОРМАТ
Розділ політики складається з набору змінних, що відповідають полям DN сертифіката.
Якщо значенням є «збіг», тоді значення поля має відповідати тому самому полю в ЦС
сертифікат. Якщо значення «надано», воно повинно бути присутнім. Якщо значення є
"необов'язковий", то він може бути присутнім. Будь-які поля, не згадані в розділі політики, є
мовчки видалено, якщо не -зберегтиDN параметр встановлено, але це можна вважати скоріше a
примха, ніж запланована поведінка.
SPKAC ФОРМАТ
Вхід до -spkac Параметр командного рядка — це відкритий ключ із підписом Netscape і завдання.
Зазвичай це надходить із KEYGEN у формі HTML, щоб створити новий закритий ключ.
Однак можна створити SPKAC за допомогою spkac утиліта
Файл має містити змінну SPKAC зі значенням SPKAC, а також
необхідні компоненти DN як пари значень імені. Якщо потрібно включити той самий компонент
двічі, тоді йому може передувати цифра та «.».
Під час обробки формату SPKAC виводиться DER, якщо -від використовується прапорець, але формат PEM
якщо надсилати до стандартного виводу або до - outdir використовується прапор.
ПРИКЛАДИ
Примітка: ці приклади припускають, що ca структуру каталогів уже налаштовано, і
відповідні файли вже існують. Зазвичай це передбачає створення сертифіката CA та приватного
ключ с REQ, файл із серійним номером і порожній файл індексу та помістіть їх у файл
відповідні довідники.
Щоб використати зразок файлу конфігурації в каталогах demoCA, demoCA/private та
буде створено demoCA/newcerts. Сертифікат ЦС буде скопійовано до demoCA/cacert.pem
і його закритий ключ до demoCA/private/cakey.pem. Буде створено файл demoCA/serial
містить, наприклад, "01" і порожній файл індексу demoCA/index.txt.
Підпишіть запит на сертифікат:
openssl ca -in req.pem -out newcert.pem
Підпишіть запит на сертифікат, використовуючи розширення ЦС:
openssl ca -in req.pem -extensions v3_ca -out newcert.pem
Створіть CRL
openssl ca -gencrl -out crl.pem
Підпишіть декілька заявок:
openssl ca -infiles req1.pem req2.pem req3.pem
Сертифікуйте Netscape SPKAC:
openssl ca -spkac spkac.txt
Зразок файлу SPKAC (рядок SPKAC скорочено для ясності):
SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN=тест Стіва
адреса електронної пошти=[захищено електронною поштою]
0.OU=Група OpenSSL
1.OU=Інша група
Зразок файлу конфігурації з відповідними розділами для ca:
[приблизно]
default_ca = CA_default # Розділ ca за замовчуванням
[ CA_default ]
каталог = ./demoCA # верхній каталог
база даних = $dir/index.txt # файл індексу.
new_certs_dir = $dir/newcerts # новий каталог сертифікатів
сертифікат = $dir/cacert.pem # Сертифікат ЦС
serial = $dir/serial # серійний файл відсутній
private_key = $dir/private/cakey.pem# закритий ключ CA
RANDFILE = $dir/private/.rand # файл випадкових чисел
default_days = 365 # як довго сертифікувати
default_crl_days= 30 # скільки часу залишилося до наступного CRL
default_md = md5 # md для використання
policy = policy_будь-яка # політика за замовчуванням
email_in_dn = no # Не додавати електронну пошту до DN сертифіката
name_opt = ca_default # Параметр відображення імені суб'єкта
cert_opt = ca_default # Параметр відображення сертифіката
copy_extensions = none # Не копіювати розширення із запиту
[ policy_any ]
countryName = надається
stateOrProvinceName = необов'язковий
назва організації = необов'язковий
organisationUnitName = необов'язковий
commonName = надається
emailAddress = необов'язковий
Використовуйте cassl онлайн за допомогою сервісів onworks.net
