cassl - Trực tuyến trên đám mây

CHƯƠNG TRÌNH:

TÊN

ca - mẫu ứng dụng CA tối thiểu

SYNOPSIS

openssl ca [-bèo thuyền] [-config tên tập tin] [-Tên phần] [-gencrl] [-thu hồi hồ sơ] [-trạng thái
nối tiếp] [-updatedb] [-crl_reason lý do] [-crl_hold hướng dẫn] [-crl_compromise thời gian]
[-crl_CA_compromise thời gian] [-crlngày ngày] [-crlhours giờ] [-crlexts phần] [-bắt đầu
ngày] [-ngày cuối ngày] [-ngày arg] [-md arg] [-chính sách arg] [-tài liệu quan trọng arg] [-hình dạng
PEM | DER] [-Chìa khóa arg] [-passin arg] [-chứng chỉ hồ sơ] [-tự ký] [-trong hồ sơ] [-ngoài hồ sơ]
[-không có văn bản] [-outdir dir] [-infiles] [-spkac hồ sơ] [-ss_cert hồ sơ] [-preserveDN]
[-noemailDN] [-lô hàng] [-msie_hack] [-sự mở rộng phần] [-tệp văn bản phần] [-động cơ id]
[-subj arg] [-utf8] [-multivalue-rdn]

MÔ TẢ

Sản phẩm ca lệnh là một ứng dụng CA tối thiểu. Nó có thể được sử dụng để ký các yêu cầu chứng chỉ trong
nhiều dạng khác nhau và tạo CRL, nó cũng duy trì một cơ sở dữ liệu văn bản về các
chứng chỉ và trạng thái của chúng.

Các mô tả tùy chọn sẽ được chia thành từng mục đích.

CA LỰA CHỌN

-config tên tập tin
chỉ định tệp cấu hình để sử dụng.

-Tên phần
chỉ định phần tệp cấu hình sẽ sử dụng (ghi đè mặc định_ca trong ca
phần).

-trong tên tập tin
tên tệp đầu vào chứa một yêu cầu chứng chỉ duy nhất được CA ký.

-ss_cert tên tập tin
một chứng chỉ tự ký duy nhất được CA ký.

-spkac tên tập tin
một tệp chứa một khóa công khai và thử thách có chữ ký Netscape và các khóa bổ sung
các giá trị trường được CA ký. Xem SPKAC FORMAT phần thông tin về
định dạng đầu vào và đầu ra cần thiết.

-infiles
nếu có thì đây sẽ là tùy chọn cuối cùng, tất cả các đối số tiếp theo sẽ được coi là
tên của các tập tin chứa yêu cầu chứng chỉ.

-ngoài tên tập tin
tệp đầu ra để xuất chứng chỉ sang. Mặc định là đầu ra tiêu chuẩn. Các
chi tiết chứng chỉ cũng sẽ được in ra tệp này ở định dạng PEM (ngoại trừ
-spkac xuất ra định dạng DER).

-outdir thư mục
thư mục để xuất chứng chỉ sang. Chứng chỉ sẽ được ghi vào một tên tệp
bao gồm số sê-ri ở dạng hex có thêm ".pem".

-chứng chỉ
tệp chứng chỉ CA.

-tài liệu quan trọng tên tập tin
khóa riêng để ký các yêu cầu.

-hình dạng PEM | DER
định dạng của dữ liệu trong tệp khóa riêng. Mặc định là PEM.

-Chìa khóa mật khẩu
mật khẩu được sử dụng để mã hóa khóa riêng. Vì trên một số hệ thống, dòng lệnh
các đối số có thể nhìn thấy được (ví dụ Unix với tiện ích 'ps') nên sử dụng tùy chọn này
một cách thận trọng.

-tự ký
cho biết các chứng chỉ đã cấp sẽ được ký bằng khóa chứng chỉ
yêu cầu đã được ký kết với (được đưa ra với -tài liệu quan trọng). Các yêu cầu chứng nhận được ký bằng một
khóa khác sẽ bị bỏ qua. Nếu như -spkac, -ss_cert or -gencrl được tặng, -tự ký is
mặc kệ.

Một hệ quả của việc sử dụng -tự ký là chứng chỉ tự ký xuất hiện trong số
các mục trong cơ sở dữ liệu chứng chỉ (xem tùy chọn cấu hình cơ sở dữ liệu) và sử dụng
bộ đếm số sê-ri giống như tất cả các chứng chỉ khác ký bằng chữ ký tự
chứng chỉ.

-passin arg
nguồn mật khẩu chính. Để biết thêm thông tin về định dạng của arg xem PASS
PHRASE TRANH LUẬN phần trong openssl(1).

-bèo thuyền
điều này in thêm chi tiết về các hoạt động đang được thực hiện.

-không có văn bản
không xuất dạng văn bản của chứng chỉ ra tệp đầu ra.

-bắt đầu ngày
điều này cho phép ngày bắt đầu được đặt rõ ràng. Định dạng của ngày là
YYMMDDHHMMSSZ (giống như cấu trúc ASN1 UTCTime).

-ngày cuối ngày
điều này cho phép ngày hết hạn được đặt rõ ràng. Định dạng của ngày là
YYMMDDHHMMSSZ (giống như cấu trúc ASN1 UTCTime).

-ngày arg
số ngày để chứng nhận giấy chứng nhận.

-md loài rong
thông báo tóm tắt để sử dụng. Các giá trị có thể bao gồm md5, sha1 và mdc2. Tùy chọn này
cũng áp dụng cho CRL.

-chính sách arg
tùy chọn này xác định "chính sách" CA sẽ sử dụng. Đây là một phần trong cấu hình
tệp quyết định trường nào là bắt buộc hoặc khớp với chứng chỉ CA. Kiểm tra
ra khỏi CHÍNH SÁCH FORMAT phần để biết thêm thông tin.

-msie_hack
đây là một lựa chọn kế thừa để thực hiện ca làm việc với các phiên bản rất cũ của chứng chỉ IE
kiểm soát đăng ký "certenr3". Nó sử dụng UniversalStrings cho hầu hết mọi thứ. Từ
điều khiển cũ có nhiều lỗi bảo mật khác nhau nên việc sử dụng nó không được khuyến khích. Cái mới hơn
control "Xenroll" không cần tùy chọn này.

-preserveDN
Thông thường thứ tự DN của chứng chỉ giống với thứ tự các trường trong
phần chính sách liên quan. Khi tùy chọn này được đặt, thứ tự giống như yêu cầu.
Điều này phần lớn là để tương thích với kiểm soát đăng ký IE cũ hơn.
chỉ chấp nhận chứng chỉ nếu DN của họ phù hợp với thứ tự của yêu cầu. Đây không phải là
cần thiết cho Xenroll.

-noemailDN
DN của chứng chỉ có thể chứa trường EMAIL nếu có trong DN yêu cầu,
tuy nhiên, chính sách tốt là chỉ đặt e-mail vào phần mở rộng altName của
giấy chứng nhận. Khi tùy chọn này được đặt, trường EMAIL sẽ bị xóa khỏi chứng chỉ'
chủ đề và chỉ được đặt trong các phần mở rộng, cuối cùng hiện diện. Các email_in_dn từ khóa
có thể được sử dụng trong tệp cấu hình để kích hoạt hành vi này.

-lô hàng
cái này đặt chế độ hàng loạt. Trong chế độ này sẽ không có câu hỏi nào được hỏi và tất cả các chứng chỉ đều được
sẽ được chứng nhận tự động.

-sự mở rộng phần
phần của tệp cấu hình chứa phần mở rộng chứng chỉ sẽ được thêm vào
khi chứng chỉ được cấp (mặc định là x509_extensions trừ khi -tệp văn bản tùy chọn
Được sử dụng). Nếu không có phần mở rộng thì chứng chỉ V1 sẽ được tạo. Nếu
có phần mở rộng (ngay cả khi nó trống), thì chứng chỉ V3 sẽ được tạo.
Xem: w x509v3_config(5) trang hướng dẫn sử dụng để biết chi tiết về định dạng phần mở rộng.

-tệp văn bản hồ sơ
một tệp cấu hình bổ sung để đọc các phần mở rộng chứng chỉ từ (sử dụng
phần mặc định trừ khi -sự mở rộng tùy chọn cũng được sử dụng).

-động cơ id
chỉ định một động cơ (bởi tính duy nhất của nó id chuỗi) sẽ gây ra ca để cố gắng đạt được một
tham chiếu chức năng đến công cụ được chỉ định, do đó khởi tạo nó nếu cần. Các
công cụ sau đó sẽ được đặt làm mặc định cho tất cả các thuật toán có sẵn.

-subj arg
thay thế tên chủ đề được đưa ra trong yêu cầu. Đối số phải được định dạng là
/type0=value0/type1=value1/type2=..., các ký tự có thể được thoát bằng \ (dấu gạch chéo ngược), không
khoảng trống được bỏ qua.

-utf8
tùy chọn này làm cho các giá trị trường được hiểu là chuỗi UTF8, theo mặc định, chúng là
được hiểu là ASCII. Điều này có nghĩa là các giá trị trường, cho dù được nhắc từ một
hoặc lấy từ tệp cấu hình, phải là chuỗi UTF8 hợp lệ.

-multivalue-rdn
tùy chọn này làm cho đối số -subj được diễn giải với sự hỗ trợ đầy đủ cho
RDN nhiều giá trị. Thí dụ:

/ DC = org / DC = OpenSSL / DC = người dùng / UID = 123456 + CN = John thỏ cái

Nếu -multi-rdn không được sử dụng thì giá trị UID là 123456 + CN = John thỏ cái.

C.R.L. LỰA CHỌN

-gencrl
tùy chọn này tạo CRL dựa trên thông tin trong tệp chỉ mục.

-crlngày num
số ngày trước khi đến hạn CRL tiếp theo. Đó là những ngày kể từ bây giờ đến nơi ở
trường CRL nextUpdate.

-crlhours num
số giờ trước khi đến hạn CRL tiếp theo.

-thu hồi tên tập tin
tên tệp chứa chứng chỉ cần thu hồi.

-trạng thái nối tiếp
hiển thị trạng thái thu hồi của chứng chỉ với số sê-ri được chỉ định và
lối thoát hiểm.

-updatedb
Cập nhật chỉ mục cơ sở dữ liệu để xóa các chứng chỉ đã hết hạn.

-crl_reason lý do
lý do thu hồi, ở đâu lý do là một trong những: không xác định, keyThỏa hiệp, CAThỏa hiệp,
liên kếtĐã thay đổi, thay thế, ngừng hoạt động, giấy chứng nhậnGiữ or
xóaFromCRL. Sự phù hợp của lý do không phân biệt chữ hoa chữ thường. Thiết lập bất kỳ sự thu hồi nào
lý do sẽ khiến CRL v2.

Trong thực tế xóaFromCRL không đặc biệt hữu ích vì nó chỉ được sử dụng ở delta
CRL hiện chưa được triển khai.

-crl_hold hướng dẫn
Điều này đặt mã lý do thu hồi CRL thành giấy chứng nhậnGiữ và lệnh giữ
đến hướng dẫn đó phải là OID. Mặc dù bất kỳ OID nào cũng chỉ có thể được sử dụng
giữHướng dẫnKhông có (RFC2459 không khuyến khích sử dụng nó)
giữHướng dẫnGọiNgười phát hành or giữHướng dẫnTừ chối thông thường sẽ được sử dụng.

-crl_compromise thời gian
Điều này đặt lý do thu hồi thành keyThỏa hiệp và thời gian thỏa hiệp để thời gian. thời gian
phải ở định dạng GeneralizedTime YYYYMMDDHHMMSSZ.

-crl_CA_compromise thời gian
Điều này cũng giống như crl_compromise ngoại trừ lý do thu hồi được đặt thành
CAThỏa hiệp.

-crlexts phần
phần của tệp cấu hình chứa phần mở rộng CRL cần đưa vào. Nếu không có CRL
phần mở rộng có mặt thì CRL V1 được tạo, nếu phần mở rộng CRL được
hiện tại (ngay cả khi nó trống) thì CRL V2 sẽ được tạo. Các phần mở rộng CRL được chỉ định
là phần mở rộng CRL và không Phần mở rộng mục nhập CRL. Cần lưu ý rằng một số
phần mềm (ví dụ Netscape) không thể xử lý CRL V2. Nhìn thấy x509v3_config(5) trang hướng dẫn
để biết chi tiết về định dạng phần mở rộng.

CẤU HÌNH FILE LỰA CHỌN

Phần của tập tin cấu hình chứa các tùy chọn cho ca được tìm như sau: Nếu
các -Tên tùy chọn dòng lệnh được sử dụng, sau đó nó đặt tên cho phần sẽ được sử dụng. Nếu không
phần được sử dụng phải được đặt tên trong mặc định_ca tùy chọn của ca phần này của
tệp cấu hình (hoặc trong phần mặc định của tệp cấu hình). Bên cạnh đó
mặc định_ca, các tùy chọn sau đây được đọc trực tiếp từ ca phần:
bảo quản RANDFILE
msie_hack Ngoại trừ TẬP TIN, đây có thể là lỗi và có thể thay đổi trong tương lai
phát hành.

Nhiều tùy chọn tệp cấu hình giống hệt với tùy chọn dòng lệnh. Ở đâu
tùy chọn có trong tệp cấu hình và dòng lệnh giá trị dòng lệnh là
đã sử dụng. Khi một tùy chọn được mô tả là bắt buộc thì nó phải có trong
tập tin cấu hình hoặc dòng lệnh tương đương (nếu có) được sử dụng.

oid_file
Điều này chỉ định một tệp có chứa bổ sung VẬT NHẬN DIỆN. Mỗi dòng của tệp
phải bao gồm dạng số của mã định danh đối tượng theo sau là khoảng trắng
sau đó là tên ngắn tiếp theo là khoảng trắng và cuối cùng là tên dài.

phần oid
Điều này chỉ định một phần trong tệp cấu hình có chứa đối tượng bổ sung
định danh. Mỗi dòng phải bao gồm tên ngắn của mã định danh đối tượng
tiếp theo = và dạng số. Tên ngắn và tên dài giống nhau khi
tùy chọn được sử dụng.

new_certs_dir
giống như -outdir tùy chọn dòng lệnh. Nó chỉ định thư mục nơi mới
giấy chứng nhận sẽ được đặt. Bắt buộc.

Giấy chứng nhận
giống như -chứng chỉ. Nó cung cấp tệp chứa chứng chỉ CA. Bắt buộc.

khóa_riêng
giống như -tài liệu quan trọng lựa chọn. Tệp chứa khóa riêng CA. Bắt buộc.

TẬP TIN
một tệp được sử dụng để đọc và ghi thông tin hạt giống số ngẫu nhiên hoặc ổ cắm EGD (xem
RAND_egd(3)).

mặc định_ngày
giống như -ngày lựa chọn. Số ngày để chứng nhận giấy chứng nhận.

ngày_bắt đầu mặc định
giống như -bắt đầu lựa chọn. Ngày bắt đầu chứng nhận giấy chứng nhận. Nếu không
thiết lập thời gian hiện tại được sử dụng.

ngày_enddate mặc định
giống như -ngày cuối lựa chọn. Tùy chọn này hoặc mặc định_ngày (hoặc lệnh
dòng tương đương) phải có mặt.

mặc định_crl_hours mặc định_crl_days
giống như -crlhours và -crlngày tùy chọn. Những thứ này sẽ chỉ được sử dụng nếu không
tùy chọn dòng lệnh có mặt. Ít nhất một trong số này phải có mặt để tạo ra một
CRL.

mặc định_md
giống như -md lựa chọn. Thông báo tóm tắt để sử dụng. Bắt buộc.

cơ sở dữ liệu
tập tin cơ sở dữ liệu văn bản để sử dụng. Bắt buộc. Tập tin này phải có mặt mặc dù ban đầu
nó sẽ trống rỗng.

chủ đề duy nhất
nếu giá trị Vâng được đưa ra, các mục chứng chỉ hợp lệ trong cơ sở dữ liệu phải có
những chủ đề độc đáo. nếu giá trị Không được đưa ra, một số mục chứng chỉ hợp lệ có thể có
cùng một chủ đề. Giá trị mặc định là Vâng, để tương thích với phiên bản cũ hơn (trước
0.9.8) của OpenSSL. Tuy nhiên, để làm cho việc chuyển đổi chứng chỉ CA trở nên dễ dàng hơn,
khuyến khích sử dụng giá trị Không, đặc biệt nếu kết hợp với -tự ký lệnh
tùy chọn dòng.

nối tiếp
một tệp văn bản chứa số sê-ri tiếp theo sẽ sử dụng ở dạng hex. Bắt buộc. Tập tin này
phải có mặt và chứa số sê-ri hợp lệ.

số crl
một tệp văn bản chứa số CRL tiếp theo để sử dụng ở dạng hex. Số crl sẽ là
chỉ được chèn vào CRL nếu tệp này tồn tại. Nếu có tập tin này thì nó phải
chứa số CRL hợp lệ.

x509_extensions
giống như -sự mở rộng.

crl_extensions
giống như -crlexts.

bảo tồn
giống như -preserveDN

email_in_dn
giống như -noemailDN. Nếu bạn muốn xóa trường EMAIL khỏi DN của
chứng chỉ chỉ cần đặt giá trị này thành 'không'. Nếu không có thì mặc định là cho phép
EMAIL nộp trong DN của giấy chứng nhận.

msie_hack
giống như -msie_hack

điều luật
giống như -chính sách. Bắt buộc. Xem CHÍNH SÁCH FORMAT phần để biết thêm thông tin.

tên_opt, chứng chỉ_opt
các tùy chọn này cho phép định dạng được sử dụng để hiển thị chi tiết chứng chỉ khi yêu cầu
người dùng xác nhận việc ký kết. Tất cả các tùy chọn được hỗ trợ bởi x509 tiện ích -nameopt và
-chứng chỉ công tắc có thể được sử dụng ở đây, ngoại trừ no_signame và no_sigdump đang
được đặt vĩnh viễn và không thể tắt được (điều này là do chữ ký chứng chỉ
không thể hiển thị vì chứng chỉ chưa được ký vào thời điểm này).

Để thuận tiện, các giá trị ca_default được cả hai chấp nhận để đưa ra một giải pháp hợp lý
đầu ra.

Nếu không có tùy chọn nào thì định dạng được sử dụng trong các phiên bản OpenSSL trước đó sẽ được sử dụng.
Sử dụng định dạng cũ là mạnh mẽ nản lòng vì nó chỉ hiển thị các trường
được đề cập trong điều luật phần, xử lý sai các kiểu chuỗi nhiều ký tự và không
phần mở rộng hiển thị.

sao chép_extensions
xác định cách xử lý các phần mở rộng trong yêu cầu chứng chỉ. Nếu được đặt thành không ai
hoặc tùy chọn này không xuất hiện thì các tiện ích mở rộng sẽ bị bỏ qua và không được sao chép vào
giấy chứng nhận. Nếu được đặt thành bản sao thì bất kỳ tiện ích mở rộng nào có trong yêu cầu không
đã có sẽ được sao chép vào chứng chỉ. Nếu được đặt thành sao chép tất cả sau đó tất cả các tiện ích mở rộng
trong yêu cầu sẽ được sao chép vào chứng chỉ: nếu tiện ích mở rộng đã có trong
chứng chỉ sẽ bị xóa trước tiên. Xem CẢNH BÁO phần này trước khi sử dụng
tùy chọn.

Công dụng chính của tùy chọn này là cho phép yêu cầu chứng chỉ cung cấp các giá trị cho
một số phần mở rộng nhất định như topicAltName.

CHÍNH SÁCH FORMAT

Phần chính sách bao gồm một tập hợp các biến tương ứng với các trường DN chứng chỉ.
Nếu giá trị là "khớp" thì giá trị trường phải khớp với cùng trường trong CA
giấy chứng nhận. Nếu giá trị được "cung cấp" thì nó phải có mặt. Nếu giá trị là
"tùy chọn" thì nó có thể có mặt. Bất kỳ trường nào không được đề cập trong phần chính sách đều
âm thầm xóa đi, trừ khi -preserveDN tùy chọn đã được đặt nhưng điều này có thể được coi là một
kỳ quặc hơn hành vi dự định.

SPKAC FORMAT

Đầu vào của -spkac tùy chọn dòng lệnh là khóa công khai và thách thức có chữ ký của Netscape.
Điều này thường sẽ đến từ TỪ KHÓA ở dạng HTML để tạo khóa riêng mới.
Tuy nhiên, có thể tạo SPKAC bằng cách sử dụng spkac tiện ích.

Tệp phải chứa biến SPKAC được đặt thành giá trị của SPKAC và cả
các thành phần DN được yêu cầu làm cặp giá trị tên. Nếu bạn cần bao gồm cùng một thành phần
hai lần thì có thể đứng trước nó bằng một số và dấu '.'.

Khi xử lý định dạng SPKAC, đầu ra là DER nếu -ngoài cờ được sử dụng nhưng định dạng PEM
nếu gửi tới thiết bị xuất chuẩn hoặc -outdir cờ được sử dụng.

VÍ DỤ

Lưu ý: những ví dụ này giả định rằng ca cấu trúc thư mục đã được thiết lập và
các tập tin liên quan đã tồn tại. Điều này thường liên quan đến việc tạo chứng chỉ CA và
chìa khóa với req, một tệp số sê-ri và một tệp chỉ mục trống và đặt chúng vào
các thư mục liên quan.

Để sử dụng tệp cấu hình mẫu bên dưới các thư mục demoCA, demoCA/private và
demoCA/newcerts sẽ được tạo. Chứng chỉ CA sẽ được sao chép vào demoCA/cacert.pem
và khóa riêng của nó là demoCA/private/cakey.pem. Một tập tin demoCA/serial sẽ được tạo
chứa ví dụ "01" và tệp chỉ mục trống demoCA/index.txt.

Ký yêu cầu chứng chỉ:

openssl ca -in req.pem -out newcert.pem

Ký yêu cầu chứng chỉ, sử dụng tiện ích mở rộng CA:

openssl ca -in req.pem -extensions v3_ca -out newcert.pem

Tạo CRL

openssl ca -gencrl -out crl.pem

Ký một số yêu cầu:

openssl ca -infiles req1.pem req2.pem req3.pem

Chứng nhận Netscape SPKAC:

openssl ca -spkac spkac.txt

Một tệp SPKAC mẫu (dòng SPKAC đã được cắt bớt cho rõ ràng):

SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN=Bài kiểm tra của Steve
emailAddress =[email được bảo vệ]
0.OU=Nhóm OpenSSL
1.OU=Nhóm khác

Một tệp cấu hình mẫu với các phần liên quan dành cho ca:

[ ca ]
default_ca = CA_default # Phần ca mặc định

[CA_default]

dir = ./demoCA # thư mục trên cùng
cơ sở dữ liệu = $dir/index.txt # tệp chỉ mục.
new_certs_dir = $dir/newcerts # thư mục chứng chỉ mới

chứng chỉ = $dir/cacert.pem # Chứng chỉ CA
nối tiếp = $dir/serial # nối tiếp không có tập tin
Private_key = $dir/private/cakey.pem# CA khóa riêng
RANDFILE = $dir/private/.rand # tệp số ngẫu nhiên

default_days = 365 # mất bao lâu để chứng nhận
default_crl_days= 30 # bao lâu nữa mới có CRL tiếp theo
default_md = md5#md để sử dụng

chính sách = chính sách_any # chính sách mặc định
email_in_dn = no # Không thêm email vào cert DN

name_opt = ca_default # Tùy chọn hiển thị tên chủ đề
cert_opt = ca_default # Tùy chọn hiển thị chứng chỉ
copy_extensions = none # Không sao chép tiện ích mở rộng từ yêu cầu

[ chính sách_any ]
countryName = được cung cấp
stateOrProvinceName = tùy chọn
Tên tổ chức = tùy chọn
tổ chứcUnitName = tùy chọn
CommonName = được cung cấp
địa chỉ email = tùy chọn

Sử dụng cassl trực tuyến bằng dịch vụ onworks.net