Це команда crlutil, яку можна запустити в постачальнику безкоштовного хостингу OnWorks за допомогою однієї з наших численних безкоштовних робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS
ПРОГРАМА:
ІМ'Я
crlutil - перелік, створення, зміна або видалення CRL у файлі (файлах) бази даних безпеки NSS
а також список, створення, зміна або видалення записів сертифікатів у певному CRL.
СИНТАКСИС
crlutil [опції] [[аргументація]]
СТАТУС
Ця документація ще триває. Будь ласка, внесіть участь у першому огляді в
Mozilla NSS помилка 836477[1]
ОПИС
Інструмент керування списком відкликаних сертифікатів (CRL), crlutil, є утилітою командного рядка
які можуть перераховувати, генерувати, змінювати або видаляти CRL у файлі (файлах) бази даних безпеки NSS
а також список, створення, зміна або видалення записів сертифікатів у певному CRL.
Процес керування ключами та сертифікатами зазвичай починається зі створення ключів у ключі
базі даних, потім генерувати та керувати сертифікатами в базі даних сертифікатів (див
certutil) і продовжується із закінченням терміну дії або анулюванням сертифікатів.
У цьому документі розглядається управління списком відкликаних сертифікатів. Для отримання інформації про
Керування базою даних модуля безпеки, див. Використання засобу баз даних модуля безпеки. Для
інформацію про керування базою даних сертифікатів та ключів див. у розділі Використання бази даних сертифікатів
Інструмент.
Щоб запустити інструмент керування списком відкликаних сертифікатів, введіть команду
параметр crlutil [аргументи]
де параметри та аргументи є комбінаціями параметрів та аргументів, перерахованих у
наступний розділ. Кожна команда має один варіант. Кожен варіант може займати нуль або більше
аргументи. Щоб побачити рядок використання, введіть команду без параметрів або з -H
варіант.
ВАРІАНТИ І АРГУМЕНТИ
Опції
Параметри визначають дію. Аргументи параметра змінюють дію. Варіанти та аргументи
для команди crlutil визначаються таким чином:
-D
Видалити список відкликаних сертифікатів з бази даних сертифікатів.
-E
Видалити всі CRL зазначеного типу з бази даних сертифікатів
-G
Створіть новий список відкликаних сертифікатів (CRL).
-I
Імпортуйте CRL до бази даних сертифікатів
-L
Список існуючих CRL, розташованих у файлі бази даних сертифікатів.
-M
Змініть існуючий CRL, який може бути розташований у cert db або у довільному файлі. Якщо знаходиться
у файлі він має бути закодований у форматі кодування ASN.1.
-S
Показати вміст файлу CRL, який не зберігається в базі даних.
Аргументи
Аргументи параметра змінюють дію.
-a
Використовуйте формат ASCII або дозвольте використання формату ASCII для введення та виведення. Це
форматування відповідає RFC #1113.
-B
Обійти перевірку підпису ЦС.
-c crl-gen-файл
Вкажіть файл сценарію, який буде використовуватися для керування генерацією/модифікацією crl. Побачити
формат файлу crl-cript нижче. Якщо використовується параметр -M|-G, а -c crl-script-file - ні
як зазначено, crlutil читатиме дані сценарію зі стандартного введення.
-d каталог
Вкажіть каталог бази даних, що містить файли сертифікатів та ключів. Увімкнено
Unix для інструмента баз даних сертифікатів за замовчуванням має значення $HOME/.netscape (тобто, ~/.netscape).
У Windows NT за замовчуванням є поточний каталог.
Файли бази даних NSS повинні знаходитися в одному каталозі.
-f файл-пароль
Вкажіть файл, який автоматично надасть пароль для включення в сертифікат
або для доступу до бази даних сертифікатів. Це звичайний текстовий файл, який містить один
пароль. Обов’язково попередьте несанкціонований доступ до цього файлу.
-i crl-файл
Вкажіть файл, який містить CRL для імпорту або відображення.
-l назва-алгоритму
Вкажіть конкретний алгоритм підпису. Список можливих алгоритмів: MD2 | MD4 | MD5 |
SHA1 | SHA256 | SHA384 | SHA512
-n псевдонім
Вкажіть псевдонім сертифіката або ключа для списку, створення, додавання до бази даних,
змінити або підтвердити. Якщо рядок псевдоніма міститься, помістіть його в лапки
простори.
-o вихідний файл
Вкажіть назву вихідного файлу для нового CRL. Введіть у дужки рядок вихідного файлу
лапки, якщо містить пробіли. Якщо цей аргумент не використовується, вихід
призначення за замовчуванням стандартний вихід.
-P префікс db
Вкажіть префікс, який використовується у файлах бази даних безпеки NSS (наприклад, my_cert8.db
та my_key3.db). Цей варіант передбачено як особливий випадок. Зміна назв
не рекомендується використовувати бази даних сертифікатів і ключів.
-t типу crl
Вкажіть тип CRL. можливі типи: 0 - SEC_KRL_TYPE, 1 - SEC_CRL_TYPE. Це
варіант застарів
-u URL
Вкажіть URL-адресу.
-w pwd-рядок
Введіть пароль db в командному рядку.
-Z алгоритм
Вкажіть хеш-алгоритм для підписання CRL.
C.R.L. ПОКОЛІННЯ SCRIPT СИНТАКС
Файл сценарію генерації CRL має такий синтаксис:
* Рядок із коментарями повинен мати # як перший символ рядка
* Встановіть поля CRL "це оновлення" або "наступне оновлення":
оновлення=РРРРММДДhhmmssZ наступне оновлення=РРРРММДДhhmmssZ
Поле «Наступне оновлення» необов'язкове. Час має бути у форматі GeneralizedTime
(РРРРММДдччммссZ). Наприклад: 20050204153000Z
* Додайте розширення до запису CRL або сертифікату crl:
ім'я розширення addext критичний/некритичний [arg1[arg2 ...]]
де:
extension-name: рядкове значення імені відомих розширень. Критичний/некритичний: дорівнює 1
коли розширення є критичним і 0 в іншому випадку. arg1, arg2: специфічні для типу розширення
параметри розширення
addext використовує діапазон, який було встановлено раніше addcert, і встановить розширення до
кожен запис сертифіката в діапазоні.
* Додайте записи сертифіката до CRL:
дата діапазону addcert
діапазон: два цілі значення, розділені тире: діапазон сертифікатів, які будуть додані
цю команду. тире використовується як роздільник. Якщо його немає, буде додано лише один сертифікат
роздільник. дата: дата анулювання сертифіката. Дата має бути представлена в GeneralizedTime
формат (РРРРММДдччммссZ).
* Видалити записи сертифіката з CRL
діапазон rmcert
де:
діапазон: два цілі значення, розділені тире: діапазон сертифікатів, які будуть додані
цю команду. тире використовується як роздільник. Якщо його немає, буде додано лише один сертифікат
роздільник.
* Змінити діапазон записів сертифікатів у CRL
діапазон new-range
де:
new-range: два цілі значення, розділені тире: діапазон сертифікатів, які будуть додані
за цією командою. тире використовується як роздільник. Якщо його немає, буде додано лише один сертифікат
роздільник.
Реалізовані розширення
Розширення, визначені для CRL, надають методи для асоціації додаткових атрибутів
CRL їхніх записів. Для отримання додаткової інформації див. RFC #3280
* Додайте розширення ідентифікатора ключа авторизації:
Розширення ідентифікатора ключа повноважень забезпечує засіб ідентифікації відкритого ключа
відповідний приватному ключу, який використовується для підписання CRL.
authKeyId критичний [ідентифікатор ключа | dn cert-serial]
де:
authKeyIdent: ідентифікує ім'я розширення, критичне: значення 1 з 0. Повинно бути встановлено
до 1, якщо це розширення є критичним, або 0 в іншому випадку. key-id: ідентифікатор ключа, представлений у
октетний рядок. dn:: є розрізненою назвою CA cert-serial: authority certificate serial
номер.
* Додайте розширення альтернативної назви емітента:
Розширення альтернативних імен емітента дозволяє пов’язувати додаткові ідентифікатори
емітент CRL. Визначені параметри включають ім’я rfc822 (адреса електронної пошти), a
Ім’я DNS, IP-адреса та URI.
issuerAltNames некритичний список імен
де:
subjAltNames: ідентифікує ім'я розширення, яке має бути встановлено на 0, оскільки це так
список імен некритичного розширення: список імен, розділених комами
* Додати розширення номера CRL:
Номер CRL — це некритичне розширення CRL, яке передає монотонно зростаючу
порядковий номер для даної області CRL і емітента CRL. Це розширення дозволяє користувачам
легко визначити, коли певний CRL замінює інший CRL
crlNumber некритичне число
де:
crlNumber: визначає ім'я розширення критичного: має бути встановлено 0, оскільки це так
некритичний номер розширення: значення long, яке ідентифікує порядковий номер a
CRL.
* Додати розширення коду причини відкликання:
reasonCode — це некритичне розширення запису CRL, яке визначає причину
анулювання сертифіката.
reasonCode некритичний код
де:
reasonCode: ідентифікує ім'я розширення некритичне: має бути встановлено 0, оскільки
це некритичний код розширення: доступні такі коди:
unspecified (0), keyCompromise (1), cACCompromise (2), affiliationChanged (3), замінено
(4), cessationOfOperation (5), certificateHold (6), removeFromCRL (8), privilegeWithdrawn
(9), аКомпроміс (10)
* Додати розширення дати недійсності:
Дата недійсності – це некритичне розширення запису CRL, яке вказує дату, на яку
відомо або підозрюється, що закритий ключ був зламаний або що сертифікат
інакше став недійсним.
invalidityDate некритична дата
де:
crlNumber: ідентифікує ім'я розширення noncritical: слід встановити 0, оскільки це
некритична дата розширення: дата недійсності сертифіката. Дата має бути представлена в
Формат узагальненого часу (РРРРММДГчммссZ).
ВИКОРИСТАННЯ
Можливості інструмента керування списком відкликаних сертифікатів згруповані таким чином:
використовуючи ці комбінації параметрів і аргументів. Варіанти та аргументи в квадраті
дужки необов’язкові, без квадратних дужок обов’язкові.
Додаткову інформацію щодо розширень та їх розширень див
параметри
* Створення або зміна CRL:
crlutil -G|-M -c crl-gen-file -n псевдонім [-i crl] [-u url] [-d keydir] [-P dbprefix] [-l alg] [-a] [-B]
* Перелік усіх CRl або іменованого CRL:
crlutil -L [-n ім'я crl] [-d krydir]
* Видалення CRL з БД:
crlutil -D -n псевдонім [-d keydir] [-P dbprefix]
* Видалення CRL з БД:
crlutil -E [-d каталог ключів] [-P dbprefix]
* Видалення CRL з БД:
crlutil -D -n псевдонім [-d keydir] [-P dbprefix]
* Видалення CRL з БД:
crlutil -E [-d каталог ключів] [-P dbprefix]
* Імпорт CRL з файлу:
crlutil -I -i crl [-t crlType] [-u url] [-d keydirect] [-P dbprefix] [-B]
Використовуйте crlutil онлайн за допомогою служб onworks.net
