Це команда certutil, яку можна запустити в постачальнику безкоштовного хостингу OnWorks за допомогою однієї з наших численних безкоштовних робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS.
ПРОГРАМА:
ІМ'Я
certutil - Керуйте ключами та сертифікатами як у базах даних NSS, так і в інших маркерах NSS
СИНТАКСИС
Certutil [опції] [[аргументація]]
СТАТУС
Ця документація ще триває. Будь ласка, внесіть участь у першому огляді в
Mozilla NSS помилка 836477[1]
ОПИС
Інструмент бази даних сертифікатів, Certutil, — це утиліта командного рядка, яка може створювати і
змінювати сертифікати та бази даних ключів. Він може конкретно перераховувати, створювати, змінювати або
видаляти сертифікати, створювати або змінювати пароль, генерувати новий відкритий та закритий ключ
пари, відобразити вміст бази даних ключів або видалити пари ключів у ключі
бази даних.
Видача сертифікатів, частина процесу керування ключами та сертифікатами, вимагає цього
ключі та сертифікати створюються в базі даних ключів. У цьому документі розглядається сертифікат
та керування базою даних ключів. Щоб отримати інформацію про керування базою даних модуля безпеки,
див modutil man-сторінка.
КОМАНДА ВАРІАНТИ І АРГУМЕНТИ
Робота Certutil завжди вимагає одного і лише одного параметра команди для визначення типу
операція сертифіката. Кожна опція команди може мати нуль або більше аргументів. Команда
варіант -H перерахує всі параметри команди та їх відповідні аргументи.
Command Опції
-A
Додайте наявний сертифікат до бази даних сертифікатів. База даних сертифікатів повинна
вже існує; якщо його немає, ця опція команди ініціалізується по одному
за замовчуванням.
-B
Виконайте серію команд із зазначеного пакетного файлу. Для цього потрібно -i аргумент.
-C
Створіть новий файл двійкового сертифіката з файлу запиту двійкового сертифіката. Використовувати
-i аргумент для визначення файлу запиту на сертифікат. Якщо цей аргумент не використовується,
Certutil запитує ім’я файлу.
-D
Видалити сертифікат з бази даних сертифікатів.
--перейменувати
Змініть псевдонім бази даних сертифіката.
-E
Додайте сертифікат електронної пошти до бази даних сертифікатів.
-F
Видалити закритий ключ із бази даних ключів. Вкажіть ключ для видалення за допомогою -n
аргумент. Вкажіть базу даних, з якої потрібно видалити ключ за допомогою -d аргумент. Використовуйте
-k аргумент, щоб явно вказати, чи потрібно видалити ключ DSA, RSA або ECC. Якщо ти
не використовуйте -k аргумент, параметр шукає ключ RSA, що відповідає вказаному
псевдонім
Коли ви видаляєте ключі, не забудьте видалити всі сертифікати, пов’язані з ними
ключі з бази даних сертифікатів за допомогою -D. Деякі смарт-картки не дозволяють
видалити створений вами відкритий ключ. У такому випадку є лише закритий ключ
видалено з пари ключів. Ви можете відобразити відкритий ключ за допомогою команди certutil -K
-h лексема.
-G
Згенеруйте нову пару відкритих і закритих ключів у базі даних ключів. База даних ключів
вже має існувати; якщо його немає, ця опція команди ініціалізує його
за замовчуванням. Деякі смарт-картки можуть зберігати лише одну пару ключів. Якщо ви створюєте нову пару ключів
для такої карти попередня пара перезаписується.
-H
Відобразити список параметрів та аргументів команди.
-K
Укажіть ідентифікатор ключа ключів у базі даних ключів. Ідентифікатор ключа — це модуль ключа RSA або
publicValue ключа DSA. Ідентифікатори відображаються в шістнадцятковому ("0x" не відображається).
-L
Перелік усіх сертифікатів або відображення інформації про іменований сертифікат в a
база даних сертифікатів. Використовуйте аргумент -h tokenname, щоб указати сертифікат
бази даних на певному апаратному чи програмному токені.
-M
Змініть атрибути довіри сертифіката, використовуючи значення аргументу -t.
-N
Створення нових сертифікатів і баз даних ключів.
-O
Роздрукуйте ланцюжок сертифікатів.
-R
Створіть файл запиту на сертифікат, який можна надіслати до центру сертифікації
(CA) для переробки в готовий сертифікат. Вихід за замовчуванням стандартний
якщо ви не використовуєте аргумент вихідного файлу -o. Використовуйте аргумент -a, щоб указати вихід ASCII.
-S
Створіть індивідуальний сертифікат і додайте його до бази даних сертифікатів.
-T
Скидання бази даних ключів або маркера.
-U
Перерахуйте всі доступні модулі або надрукуйте один іменований модуль.
-V
Перевірте дійсність сертифіката та його атрибутів.
-W
Змініть пароль на базу даних ключів.
-- об'єднати
Об’єднати дві бази даних в одну.
--upgrade-merge
Оновіть стару базу даних і об’єднайте її в нову. Це використовується для міграції
застарілі бази даних NSS (cert8.db і key3.db) у новіші бази даних SQLite (cert9.db
та key4.db).
Аргументи
Аргументи змінюють параметри команди і зазвичай є малими регістрами, числами або символами.
-a
Використовуйте формат ASCII або дозвольте використання формату ASCII для введення або виведення. Це форматування
відповідає RFC 1113. Для запитів на сертифікати виведення ASCII за замовчуванням має стандартний вихід
якщо не буде перенаправлено.
-b термін дії
Вкажіть час, коли сертифікат повинен бути дійсним. Використовуйте при перевірці
термін дії сертифіката з -V варіант. Формат термін дії аргумент є
РРММДДГММСС[+ГГММ|-ГГММ|Z], що дозволяє встановлювати зміщення відносно дійсності
час закінчення. Вказати секунди (SS) необов'язковий. Указуючи явний час, використовуйте a
Z в кінці терміну, YYMMDDHHMMSSZ, щоб закрити його. Указуючи час зміщення,
використання РРММДДХММСС+ГЧММ or РРММДДГММСС-ГГММ для додавання або віднімання часу,
відповідно.
Якщо ця опція не використовується, перевірка дійсності за замовчуванням встановлюється на поточний системний час.
-c емітент
Визначте сертифікат ЦС, з якого буде отримано новий сертифікат
автентичність. Використовуйте точний псевдонім або псевдонім сертифіката CA або використовуйте CA
електронна адреса. Якщо в ньому є пробіли, поставте рядок, що видає, лапками.
-d [префікс]каталог
Вкажіть каталог бази даних, що містить файли сертифікатів та ключів.
Certutil підтримує два типи баз даних: застарілі бази даних безпеки (cert8.db,
key3.db і secmod.db) і нові бази даних SQLite (cert9.db, key4.db і pkcs11.txt).
NSS розпізнає такі префікси:
· sql: запитує нову базу даних
· dbm: запитує стару базу даних
Якщо префікс не вказано, тип за замовчуванням витягується з NSS_DEFAULT_DB_TYPE. Якщо
Тоді NSS_DEFAULT_DB_TYPE не встановлено dbm: є типовим.
--dump-ext-val OID
Для одного сертифіката надрукуйте двійкове кодування DER розширення OID.
-e
Перевірте підпис сертифіката під час процесу перевірки сертифіката.
--адреса електронної пошти
Вкажіть адресу електронної пошти сертифіката для переліку. Використовується з опцією команди -L.
--extGeneric OID:critical-flag:filename[,OID:critical-flag:filename]...
Додайте одне або кілька розширень, які certutil ще не може закодувати, завантаживши їх
кодування із зовнішніх файлів.
· OID (приклад): 1.2.3.4
· критичний прапор: критичний чи некритичний
· ім'я файлу: повний шлях до файлу, що містить закодоване розширення
-f файл-пароль
Вкажіть файл, який автоматично надасть пароль для включення в сертифікат
або для доступу до бази даних сертифікатів. Це звичайний текстовий файл, який містить один
пароль. Обов’язково попередьте несанкціонований доступ до цього файлу.
-g розмір ключа
Встановіть розмір ключа для використання під час створення нових пар відкритих і закритих ключів. Мінімум є
512 біт, а максимальний – 16384 біта. За замовчуванням 2048 біт. Будь-який розмір між
Допускається мінімум і максимум.
-h лексема
Вкажіть назву маркера, який потрібно використовувати або діяти. Якщо не вказано, маркер за замовчуванням є
внутрішній слот бази даних.
-i вхідний_файл
Передайте вхідний файл команді. Залежно від параметра команди, вхідний файл може
бути певним сертифікатом, файлом запиту на сертифікат або пакетним файлом команд.
-k ключ-тип або ідентифікатор
Вкажіть тип або конкретний ідентифікатор ключа.
Допустимі параметри типу ключа: rsa, dsa, ec або всі. Значенням за замовчуванням є rsa.
Вказавши тип ключа, можна уникнути помилок, спричинених повторюваними псевдонімами. Надання а
тип ключа генерує нову пару ключів; надання ідентифікатора існуючого ключа повторно використовує цей ключ
пара (яка потрібна для поновлення сертифікатів).
-l
Відображати детальну інформацію під час перевірки сертифіката за допомогою параметра -V.
-m серійний номер
Призначте унікальний серійний номер створеному сертифікату. Ця операція повинна бути
виконується CA. Якщо серійний номер не вказано, встановлюється серійний номер за замовчуванням
від поточного часу. Серійні номери обмежені цілими числами
-n псевдонім
Вкажіть псевдонім сертифіката або ключа для списку, створення, додавання до бази даних,
змінити або підтвердити. Якщо рядок псевдоніма міститься, помістіть його в лапки
простори.
-o вихідний файл
Вкажіть назву вихідного файлу для нових сертифікатів або запитів двійкових сертифікатів.
Введіть у дужки рядок вихідного файлу лапки, якщо він містить пробіли. Якщо це
Аргумент не використовується. За замовчуванням призначений вихід на стандартний вихід.
-P dbPrefix
Вкажіть префікс, який використовується у файлі бази даних сертифіката та ключів. Цей аргумент є
надається для підтримки застарілих серверів. Більшість програм не використовують префікс бази даних.
-p телефон
Вкажіть контактний номер телефону для включення в нові сертифікати або сертифікати
запити. Введіть цей рядок у лапки, якщо він містить пробіли.
-q pqgfile або назва кривої
Зчитуйте альтернативне значення PQG із зазначеного файлу під час створення пар ключів DSA. Якщо
цей аргумент не використовується, Certutil генерує власне значення PQG. Створюються файли PQG
з окремою утилітою DSA.
Назва еліптичної кривої є однією з назв із SUITE B: nistp256, nistp384, nistp521
Якщо NSS було скомпільовано з кривими підтримки за межами SUITE B: sect163k1, nistk163,
sect163r1, sect163r2, nistb163, sect193r1, sect193r2, sect233k1, nistk233, sect233r1,
nistb233, sect239k1, sect283k1, nistk283, sect283r1, nistb283, sect409k1, nistk409,
sect409r1, nistb409, sect571k1, nistk571, sect571r1, nistb571, secp160k1, secp160r1,
secp160r2, secp192k1, secp192r1, nistp192, secp224k1, secp224r1, nistp224, secp256k1,
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2
-r
Відображати двійкове кодування DER сертифіката під час переліку інформації про це
сертифікат з опцією -L.
-s предмет
Визначте конкретного власника сертифіката для нових сертифікатів або запитів на сертифікати.
Введіть цей рядок у лапки, якщо він містить пробіли. Тема
формат ідентифікації відповідає RFC #1485.
-t trustargs
Вкажіть атрибути довіри, які потрібно змінити в існуючому сертифікаті або застосувати до a
сертифікат під час його створення або додавання до бази даних. В наявності є три
категорії довіри для кожного сертифіката, виражені в порядку ssl, електронна пошта, об'єкт
підписання для кожного параметра довіри. У кожній позиції категорії не використовуйте жодного, будь-якого або всі
коди атрибутів:
· p - Дійсний ровесник
· P - Довірений партнер (має на увазі p)
· c - Дійсний CA
· T - Довірений ЦС (має на увазі c)
· C - надійний ЦС для аутентифікації клієнта (лише сервер ssl)
· u - користувач
Коди атрибутів для категорій відокремлюються комами, а весь набір
атрибути, узяті в лапки. Наприклад:
-t "TCu, Cu, Tu"
Використовуйте параметр -L, щоб побачити список поточних сертифікатів та атрибутів довіри в a
база даних сертифікатів.
-u сертусаж
Вкажіть контекст використання, який буде застосовуватися під час перевірки сертифіката за допомогою параметра -V.
Контексти наступні:
· C (як клієнт SSL)
· V (як сервер SSL)
· L (як CA SSL)
· A (як будь-який ЦС)
· Y (Підтвердити ЦС)
· S (як підписувач електронної пошти)
· R (як одержувач електронної пошти)
· O (як відповідач статусу OCSP)
· J (як підписувач об'єкта)
-v дійсні місяці
Встановіть кількість місяців, через які новий сертифікат буде дійсним. Термін дії починається
у поточний системний час, якщо зміщення не додається чи віднімається разом із -w варіант.
Якщо цей аргумент не використовується, термін дії за замовчуванням становить три місяці.
-w зміщення-місяці
Встановіть зміщення від поточного системного часу в місяцях для початку a
термін дії сертифіката. Використовуйте під час створення сертифіката або додавання його до a
бази даних. Виразіть зміщення в цілих числах, використовуючи знак мінус (-) для позначення a
негативне зміщення. Якщо цей аргумент не використовується, термін дії починається з
поточний системний час. Тривалість терміну дії встановлюється за допомогою аргументу -v.
-X
Примусово відкривати базу даних ключів і сертифікатів у режимі читання-запису. Це використовується з
-U та -L параметри команди.
-x
Скористайтесь Certutil щоб створити підпис для сертифіката, який створюється або додається до a
бази даних, а не отримувати підпис від окремого ЦС.
-y експ
Встановіть альтернативне значення експоненти для використання під час створення нового відкритого ключа RSA для
бази даних замість значення за замовчуванням 65537. Доступні альтернативні значення 3
і 17.
-z шумовий файл
Прочитайте початкове значення із зазначеного файлу, щоб створити новий приватний та відкритий ключ
пара. Цей аргумент дає можливість використовувати апаратно згенеровані початкові значення або
вручну створити значення з клавіатури. Мінімальний розмір файлу становить 20 байт.
-Z хеш-алг
Вкажіть хеш-алгоритм для використання з параметрами команди -C, -S або -R. Можливий
ключові слова:
· MD2
· MD4
· MD5
· SHA1
· SHA224
· SHA256
· SHA384
· SHA512
-0 SSO_password
Встановіть пароль офіцера безпеки сайту для маркера.
-1 | --keyUsage ключове слово,ключове слово
Встановіть у сертифікаті розширення типу сертифіката X.509 V3. Є декілька
доступні ключові слова:
· цифровий підпис
· не відмова
· ключове шифрування
· Шифрування даних
· Ключова угода
· certSigning
· crlSigning
· критичний
-2
Додайте базове розширення обмеження до сертифіката, який створюється або додається до a
бази даних. Це розширення підтримує процес перевірки ланцюжка сертифікатів.
Certutil запропонує вибрати розширення обмеження сертифіката.
Розширення сертифікатів X.509 описані в RFC 5280.
-3
Додайте розширення ідентифікатора ключа авторизації до сертифіката, який створюється або додається до a
бази даних. Це розширення підтримує ідентифікацію певного сертифіката від
серед кількох сертифікатів, пов’язаних з одним ім’ям суб’єкта, як правильний емітент
сертифікат. Інструмент бази даних сертифікатів запропонує вам вибрати орган
розширення ідентифікатора ключа.
Розширення сертифікатів X.509 описані в RFC 5280.
-4
Додайте розширення точки поширення CRL до сертифіката, який створюється або додається
до бази даних. Це розширення ідентифікує URL-адресу пов’язаного сертифіката
список відкликаних сертифікатів (CRL). Certutil запитує URL-адресу.
Розширення сертифікатів X.509 описані в RFC 5280.
-5 | --nsCertType ключове слово,ключове слово
Додайте розширення типу сертифіката X.509 V3 до сертифіката, який створюється або
додано до бази даних. Є кілька доступних ключових слів:
· sslClient
· sslServer
· усмішка
· Підписування об'єктів
· sslCA
· smimeCA
· objectSigningCA
· критичний
Розширення сертифікатів X.509 описані в RFC 5280.
-6 | --extKeyUsage ключове слово,ключове слово
Додайте розширення з розширеним використанням ключа до сертифіката, який створюється або додається
бази даних. Доступно кілька ключових слів:
· serverAuth
· clientAuth
· Підпис коду
· захист електронної пошти
· Позначка часу
· ocspResponder
· активізувати
· msTrustListSign
· критичний
Розширення сертифікатів X.509 описані в RFC 5280.
-7 адрес електронної пошти
Додайте розділений комами список адрес електронної пошти до альтернативного імені теми
розширення сертифіката або запиту на сертифікат, що створюється або додається
бази даних. Альтернативні розширення назви предмета описані в Розділі 4.2.1.7
RFC 3280.
-8 dns-імен
Додайте розділений комами список імен DNS до розширення альтернативного імені теми a
сертифікат або запит на сертифікат, який створюється або додається до бази даних.
Альтернативні розширення назви суб’єктів описані в Розділі 4.2.1.7 RFC 3280.
--extAIA
Додайте розширення Authority Information Access до сертифіката. Сертифікат X.509
розширення описані в RFC 5280.
--extSIA
Додайте розширення Subject Information Access до сертифіката. Сертифікат X.509
розширення описані в RFC 5280.
--extCP
Додайте розширення «Політики сертифікатів» до сертифіката. Сертифікат X.509
розширення описані в RFC 5280.
--extPM
Додайте розширення Policy Mappings до сертифіката. Розширення сертифікатів X.509 є
описано в RFC 5280.
--extPC
Додайте розширення Policy Constraints до сертифіката. Розширення сертифікатів X.509
описані в RFC 5280.
--extIA
Додайте розширення Inhibit Any Policy Access до сертифіката. Сертифікат X.509
розширення описані в RFC 5280.
--extSKID
Додайте розширення Subject Key ID до сертифіката. Розширення сертифікатів X.509 є
описано в RFC 5280.
--extNC
Додайте розширення обмеження імені до сертифіката. Розширення сертифікатів X.509 є
описано в RFC 5280.
--extSAN type:name[,type:name]...
Створіть розширення Subject Alt Name з одним або кількома іменами.
-тип: каталог, dn, dns, edi, ediparty, email, ip, ipaddr, other, registerid,
rfc822, uri, x400, x400addr
--порожній пароль
Використовуйте порожній пароль під час створення нової бази сертифікатів з -N.
--keyAttrFlags прапорці attr
Ключові атрибути PKCS №11. Відокремлений комами список прапорів ключових атрибутів, вибраних із
наступний список варіантів: {токен | сесія} {публічна | приватний} {чутливий |
нечутливий} {змінюваний | unmodifiable} {extractable | невитягується}
--keyOpFlagsOn opflags, --keyOpFlagsOff opflags
Ключові прапори операцій PKCS №11. Розділений комами список із одного або кількох із наступного:
{токен | сесія} {публічна | приватний} {чутливий | нечутливий} {змінюваний |
unmodifiable} {extractable | невитягується}
--new-n псевдонім
Новий псевдонім, який використовується під час перейменування сертифіката.
--source-dir сертифікований каталог
Визначте каталог бази даних сертифікатів для оновлення.
--source-prefix каталог сертифіката
Введіть префікс сертифіката та бази даних ключів для оновлення.
--upgrade-id унікальний ідентифікатор
Надайте унікальний ідентифікатор бази даних для оновлення.
--upgrade-token-name назва
Встановіть назву маркера для використання під час його оновлення.
-@ pwfile
Введіть ім’я файлу паролів, який використовуватиметься для бази даних, що оновлюється.
ВИКОРИСТАННЯ І ПРИКЛАДИ
Більшість параметрів команд у наведених тут прикладах мають більше доступних аргументів. The
Аргументи, включені в ці приклади, є найбільш поширеними або використовуються для ілюстрації a
конкретний сценарій. Використовувати -H можливість показати повний список аргументів для кожного
команда варіант.
створення Нові Безпека Бази даних
Сертифікати, ключі та модулі безпеки, пов’язані з керуванням сертифікатами, зберігаються в
три пов'язані бази даних:
· cert8.db або cert9.db
· key3.db або key4.db
· secmod.db або pkcs11.txt
Ці бази даних необхідно створити перед створенням сертифікатів або ключів.
certutil -N -d [sql:]каталог
створення a Сертифікат Запит
Запит на сертифікат містить більшість або всю інформацію, яка використовується для створення
підсумковий сертифікат. Цей запит подається окремо до центру сертифікації та є
потім затверджується за допомогою певного механізму (автоматично або шляхом перевірки людиною). Як тільки запит є
схвалено, тоді сертифікат створюється.
$ certutil -R -k key-type-or-id [-q pqgfile|curve-name] -g key-size -s тема [-h tokenname] -d [sql:]каталог [-p phone] [-o вихідний файл] [-a]
Команда -R для параметрів команди потрібні чотири аргументи:
· -k щоб вказати тип ключа, який потрібно створити, або під час поновлення сертифіката
наявну пару ключів для використання
· -g щоб встановити розмір ключа для створення
· -s щоб встановити назву теми сертифіката
· -d щоб надати каталог бази даних безпеки
Новий запит на сертифікат можна вивести у форматі ASCII (-a) або може бути записано до a
вказаний файл (-o).
Наприклад:
$ certutil -R -k rsa -g 1024 -s "CN=John Smith,O=Example Corp,L=Mountain View,ST=California,C=US" -d sql:$HOME/nssdb -p 650-555- 0123 -a -o cert.cer
Генерування ключа. Це може зайняти кілька хвилин...
створення a Сертифікат
Дійсний сертифікат має бути виданий довіреним ЦС. Це можна зробити, вказавши ЦС
сертифікат (-c), який зберігається в базі даних сертифікатів. Якщо пара ключів ЦС не є
доступні, ви можете створити самопідписаний сертифікат за допомогою -x суперечка з -S
команда варіант.
$ certutil -S -k rsa|dsa|ec -n certname -s тема [-c емітент |-x] -t trustargs -d [sql:]каталог [-m серійний номер] [-v дійсні місяці] [ -w зміщення місяців] [-p телефон] [-1] [-2] [-3] [-4] [-5 ключове слово] [-6 ключове слово] [-7 адреса електронної пошти] [-8 імен dns] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]
Ряд чисел і --ext* параметри встановлюють розширення сертифікатів, до яких можна додати
сертифікат, коли його генерує ЦС. З'являться інтерактивні підказки.
Наприклад, це створює самопідписаний сертифікат:
$ certutil -S -s "CN=Приклад CA" -n my-ca-cert -x -t "C,C,C" -1 -2 -5 -m 3650
Інтерактивні підказки щодо використання ключів і відповідей на те, чи є якісь розширення критичними
були опущені для стислості.
Звідти нові сертифікати можуть посилатися на самопідписаний сертифікат:
$ certutil -S -s "CN=My Server Cert" -n my-server-cert -c "my-ca-cert" -t "u,u,u" -1 -5 -6 -8 -m 730
Генерація a Сертифікат від a Сертифікат Запит
Коли запит на сертифікат створюється, сертифікат можна створити за допомогою запиту
а потім посилаючись на сертифікат підписання центру сертифікації ( емітент зазначене в
-c аргумент). Сертифікат, що видає, має бути в базі даних сертифікатів у
вказаний каталог.
certutil -C -c видача -i файл-запиту сертифіката -o вихідний файл [-m серійний номер] [-v дійсні місяці] [-w зміщення місяців] -d [sql:]каталог [-1] [-2] [-3] [-4] [-5 ключове слово] [-6 ключове слово] [-7 адреса електронної пошти] [-8 імен dns]
Наприклад:
$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql:$HOME/nssdb -1 nonRepudiation,dataEncipherment -5 sslClient -6 clientAuth -7 [захищено електронною поштою]
Listing сертифікати
Команда -L Параметр команди перераховує всі сертифікати, перераховані в базі даних сертифікатів.
Шлях до каталогу (-d) необхідно.
$ certutil -L -d sql:/home/my/sharednssdb
Псевдонім сертифіката Атрибути довіри
SSL, S/MIME, JAR/XPI
Приклад домену адміністратора CA екземпляра pki-ca1 u,u,u
Приклад ідентифікатора домену адміністратора TPS u,u,u
Google Internet Authority ,,
Центр сертифікації – приклад домену CT,C,C
Використання додаткових аргументів with -L може повернути та роздрукувати інформацію для одного,
конкретний сертифікат. Наприклад, -n Аргумент передає ім’я сертифіката, тоді як аргумент
-a аргумент друкує сертифікат у форматі ASCII:
$ certutil -L -d sql:$HOME/nssdb -a -n my-ca-cert
----- BEGIN CERTIFICATE -----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----- ЗАКОННИЙ СЕРТИФІКАТ -----
Для зручного для людини дисплея
$ certutil -L -d sql:$HOME/nssdb -n my-ca-cert
Сертифікат:
дата:
Версія: 3 (0x2)
Серійний номер: 3650 (0xe42)
Алгоритм підпису: PKCS №1 SHA-1 із шифруванням RSA
Емітент: "CN=Приклад CA"
Термін дії:
Не раніше: Ср, 13 березня 19:10:29 2013
Не після: чт, 13 червня 19:10:29 2013 року
Тема: "CN=Приклад CA"
Інформація про відкритий ключ теми:
Алгоритм відкритого ключа: шифрування RSA PKCS №1
Відкритий ключ RSA:
Модуль:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
Експонент: 65537 (0x10001)
Підписані розширення:
Назва: Тип сертифіката
Дані: немає
Назва: Основні обмеження сертифіката
Дані: ЦС без максимальної довжини шляху.
Назва: використання ключа сертифіката
Критично: правда
Використання: підписання сертифіката
Алгоритм підпису: PKCS №1 SHA-1 із шифруванням RSA
Підпис:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
Відбиток пальця (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
Відбиток пальця (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7
Прапори довіри сертифікату:
Прапори SSL:
Дійсний CA
Довірений ЦС
користувач
Прапори електронної пошти:
Дійсний CA
Довірений ЦС
користувач
Прапори підписання об'єктів:
Дійсний CA
Довірений ЦС
користувач
Listing Ключі
Ключі є оригінальним матеріалом, який використовується для шифрування даних сертифіката. Ключі, згенеровані для
сертифікати зберігаються окремо, в базі даних ключів.
Щоб переглянути всі ключі в базі даних, скористайтеся -K параметр команди та (обов'язковий) -d аргумент
щоб вказати шлях до каталогу.
$ certutil -K -d sql:$HOME/nssdb
certutil: Перевірка маркера "NSS Certificate DB" у слоті "NSS User Private Key and Certificate Services"
< 0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d Thawte Freemail члена Thawte Consulting (Pty) Ltd. ID
< 1> rsa 40defeeb522ade11090eacebaaf1196a172127df Приклад сертифіката адміністратора домену
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert
Є способи звузити ключі, наведені в результатах пошуку:
· Щоб повернути певний ключ, скористайтеся -nім'я аргумент із назвою ключа.
· Якщо завантажено кілька пристроїв безпеки, то -hім'я токена аргумент може
пошук конкретного маркера або всіх маркерів.
· Якщо доступно кілька типів ключів, то -kтипу ключа аргумент може шукати a
певний тип ключа, наприклад RSA, DSA або ECC.
Listing Безпека Модулі
Пристрої, які можна використовувати для зберігання сертифікатів — як внутрішніх баз даних, так і зовнішніх
пристрої, такі як смарт-карти, розпізнаються та використовуються під час завантаження модулів безпеки. The -U
Параметр command перераховує всі модулі безпеки, перераховані в базі даних secmod.db. The
шлях до каталогу (-d) необхідно.
$ certutil -U -d sql:/home/my/sharednssdb
слот: NSS User Private Key and Certificate Services
маркер: NSS Certificate DB
слот: NSS Internal Cryptographic Services
токен: NSS Generic Crypto Services
Додавання сертифікати до Database
Існуючі сертифікати або запити на сертифікати можна додати вручну до сертифіката
бази даних, навіть якщо вони були згенеровані в іншому місці. Для цього використовується -A команда варіант.
certutil -A -n certname -t trustargs -d [sql:]каталог [-a] [-i вхідний файл]
Наприклад:
$ certutil -A -n "CN=Мій сертифікат SSL" -t "u,u,u" -d sql:/home/my/sharednssdb -i /home/example-certs/cert.cer
Пов'язаний варіант команди, -E, використовується спеціально для додавання сертифікатів електронної пошти до
база даних сертифікатів. The -E Команда має ті самі аргументи, що і команда -A команда. Довіра
аргументи для сертифікатів мають формат SSL, S/MIME, підписання коду, тому середній довір
налаштування найбільше стосуються сертифікатів електронної пошти (хоча інші можна встановити). Наприклад:
$ certutil -E -n "CN=Сертифікат електронної пошти Джона Сміта" -t ",Pu," -d sql:/home/my/sharednssdb -i /home/example-certs/email.cer
видалення сертифікати до Database
Сертифікати можна видалити з бази даних за допомогою -D варіант. Єдині необхідні параметри
мають надати каталог бази даних безпеки та ідентифікувати псевдонім сертифіката.
certutil -D -d [sql:]каталог -n "псевдонім"
Наприклад:
$ certutil -D -d sql:/home/my/sharednssdb -n "мій-ssl-cert"
Перевірка сертифікати
Сертифікат містить сам по собі термін придатності, а сертифікати, термін дії яких закінчився, легко можна отримати
відхилено. Однак сертифікати також можуть бути відкликані до закінчення терміну їх дії.
Щоб перевірити, чи було відкликано сертифікат, потрібно підтвердити його.
Перевірку також можна використовувати, щоб переконатися, що сертифікат використовується лише для цілей
він спочатку був виданий для. Перевірка здійснюється за допомогою -V команда варіант.
certutil -V -n ім'я-сертифікату [-b час] [-e] [-u використання сертифікату] -d [sql:]каталог
Наприклад, щоб перевірити сертифікат електронної пошти:
$ certutil -V -n "Сертифікат електронної пошти Джона Сміта" -e -u S,R -d sql:/home/my/sharednssdb
Модифікація Сертифікат Довіряйте Налаштування
Параметри довіри (які стосуються операцій, які дозволено виконувати сертифікату
використовується для) можна змінити після створення або додавання сертифіката до бази даних. Це
особливо корисно для сертифікатів ЦС, але його можна виконати для будь-якого типу
довідка.
certutil -M -n ім'я-сертифікату -t trust-args -d [sql:]каталог
Наприклад:
$ certutil -M -n "Мій сертифікат CA" -d sql:/home/my/sharednssdb -t "CTu,CTu,CTu"
друк Сертифікат Ланцюг
Сертифікати можна видавати в ланцюга оскільки кожен центр сертифікації має сам
сертифікат; коли центр сертифікації видає сертифікат, він по суті ставить печатку на цьому сертифікаті
власний відбиток пальця. The -O друкує повний ланцюжок сертифіката, починаючи з початкового
ЦС (кореневий ЦС) через будь-який проміжний ЦС до фактичного сертифіката. Наприклад, для
сертифікат електронної пошти з двома ЦС у ланцюжку:
$ certutil -d sql:/home/my/sharednssdb -O -n "[захищено електронною поштою]"
"Вбудований об'єктний маркер: Thawte Personal Freemail CA" [E=[захищено електронною поштою],CN=Thawte Personal Freemail CA,OU=Відділ сертифікаційних послуг,O=Thawte Consulting,L=Кейптаун,ST=Західний Кейп,C=ZA]
"Thawte Personal Freemail Issuing CA - Thawte Consulting" [CN=Thawte Personal Freemail Issuing CA,O=Thawte Consulting (Pty) Ltd.,C=ZA]
"(нуль)" [E=[захищено електронною поштою],CN=Учасник Thawte Freemail]
Скидання a Знак
Пристрій, на якому зберігаються сертифікати - як зовнішні апаратні пристрої, так і внутрішні
програмні бази даних - можуть бути очищені та повторно використані. Ця операція виконується на пристрої
який зберігає дані, а не безпосередньо в базах даних безпеки, тому місце розташування повинно бути
посилається через ім’я токена (-h), а також будь-який шлях до каталогу. Якщо немає
використовується зовнішній маркер, значення за замовчуванням — внутрішній.
certutil -T -d [sql:]каталог -h ім'я-токена -0 пароль-офіцера безпеки
У багатьох мережах є спеціальний персонал, який обробляє зміни маркерів безпеки (безпека
офіцер). Ця особа повинна ввести пароль для доступу до вказаного токена. Наприклад:
$ certutil -T -d sql:/home/my/sharednssdb -h nethsm -0 секрет
Модернізація or Злиття Безпека Бази даних
Багато мереж або програм можуть використовувати старіші версії сертифіката BerkeleyDB
база даних (cert8.db). Бази даних можна оновити до нової версії бази даних SQLite
(cert9.db) за допомогою --upgrade-merge опція команди або наявні бази даних можна об’єднати
з новими базами даних cert9.db за допомогою ---злиття команда
Команда --upgrade-merge Команда повинна надати інформацію про вихідну базу даних, а потім використовувати
стандартні аргументи (наприклад -d) для надання інформації про нові бази даних. The
Команда також вимагає інформації, яку інструмент використовує для процесу оновлення та запису
над вихідною базою даних.
certutil --upgrade-merge -d [sql:]каталог [-P dbprefix] --source-dir каталог --source-prefix dbprefix --upgrade-id id --upgrade-token-name [-@ password-file ]
Наприклад:
$ certutil --upgrade-merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp- --upgrade-id 1 --upgrade-token- назва внутр
Команда -- об'єднати команда вимагає лише інформації про розташування вихідної бази даних;
оскільки він не змінює формат бази даних, він може записувати інформацію без
виконання проміжного кроку.
certutil --merge -d [sql:]каталог [-P dbprefix] --source-dir каталог --source-prefix dbprefix [-@ файл пароля]
Наприклад:
$ certutil --merge -d sql:/home/my/sharednssdb --source-dir /opt/my-app/alias/ --source-prefix serverapp-
Робота Certutil Команди від a Партія філе
Серію команд можна виконувати послідовно з текстового файлу з -B команда варіант.
Єдиний аргумент для цього визначає вхідний файл.
$ certutil -B -i /шлях/до/пакетного файлу
NSS DATABASE ВИДИ
Спочатку NSS використовував бази даних BerkeleyDB для зберігання інформації про безпеку. Останні версії
з них спадщина бази даних це:
· cert8.db для сертифікатів
· key3.db для ключів
· secmod.db для інформації про модуль PKCS #11
Однак BerkeleyDB має обмеження продуктивності, які не дозволяють легко використовувати його
кілька додатків одночасно. NSS має певну гнучкість, що дозволяє програмам
використовувати власний незалежний механізм баз даних, зберігаючи спільну базу даних і працюючи
навколо проблем доступу. Тим не менш, NSS вимагає більшої гнучкості, щоб забезпечити справді спільний доступ
бази даних безпеки.
У 2009 році NSS представила новий набір баз даних, які є базами даних SQLite, а не
BerkeleyDB. Ці нові бази даних забезпечують більший доступ і продуктивність:
· cert9.db для сертифікатів
· key4.db для ключів
· pkcs11.txt, перелік усіх модулів PKCS #11, що містяться в новому підкаталозі
в каталозі баз даних безпеки
Оскільки бази даних SQLite створені для спільного використання, вони є загальні база даних
типу. Переважним є тип спільної бази даних; застарілий формат включено для повернення назад
Сумісність.
За замовчуванням інструменти (Certutil, pk12util, modutil) припустимо, що дана безпека
бази даних слідують більш поширеному застарілому типу. Використання баз даних SQLite має бути вручну
визначено за допомогою sql: префікс із зазначеним каталогом безпеки. Наприклад:
$ certutil -L -d sql:/home/my/sharednssdb
Щоб встановити тип спільної бази даних як тип за замовчуванням для інструментів, встановіть
NSS_DEFAULT_DB_TYPE середовище змінна до SQL:
експортувати NSS_DEFAULT_DB_TYPE="sql"
Цей рядок можна додати до ~ / .bashrc файл, щоб зробити зміни постійними.
Більшість програм за замовчуванням не використовують спільну базу даних, але їх можна налаштувати
використовувати їх. Наприклад, у цій статті з інструкціями описано, як налаштувати Firefox і Thunderbird
щоб використовувати нові спільні бази даних NSS:
· https://wiki.mozilla.org/NSS_Shared_DB_Howto
Інженерний проект змін у спільних базах даних NSS див. у проекті NSS
вікі:
· https://wiki.mozilla.org/NSS_Shared_DB
Використовуйте certutil онлайн за допомогою служб onworks.net
