certutil - Trực tuyến trên đám mây

CHƯƠNG TRÌNH:

TÊN

certutil - Quản lý khóa và chứng chỉ trong cả cơ sở dữ liệu NSS và các mã thông báo NSS khác

SYNOPSIS

certutil [lựa chọn] [ [đối số]]

TÌNH TRẠNG

Tài liệu này vẫn đang được tiến hành. Vui lòng đóng góp cho đánh giá ban đầu trong
Mozilla NSS lỗi 836477[1]

MÔ TẢ

Công cụ cơ sở dữ liệu chứng chỉ, certutil, là một tiện ích dòng lệnh có thể tạo và
sửa đổi chứng chỉ và cơ sở dữ liệu chính. Nó có thể liệt kê, tạo, sửa đổi hoặc
xóa chứng chỉ, tạo hoặc thay đổi mật khẩu, tạo khóa công khai và riêng tư mới
cặp, hiển thị nội dung của cơ sở dữ liệu khóa hoặc xóa các cặp khóa trong khóa
cơ sở dữ liệu.

Việc cấp chứng chỉ, một phần của quá trình quản lý khóa và chứng chỉ, yêu cầu
khóa và chứng chỉ được tạo trong cơ sở dữ liệu khóa. Tài liệu này thảo luận về chứng chỉ
và quản lý cơ sở dữ liệu chính. Để biết thông tin về quản lý cơ sở dữ liệu mô-đun bảo mật,
xem modutil trang chủ.

COMMAND LỰA CHỌN VÀ TRANH LUẬN

Chạy certutil luôn yêu cầu một và chỉ một tùy chọn lệnh để chỉ định loại
hoạt động chứng chỉ. Mỗi tùy chọn lệnh có thể không có hoặc nhiều đối số. Lệnh
tùy chọn -H sẽ liệt kê tất cả các tùy chọn lệnh và các đối số liên quan của chúng.

Lệnh Các lựa chọn

-A
Thêm chứng chỉ hiện có vào cơ sở dữ liệu chứng chỉ. Cơ sở dữ liệu chứng chỉ nên
đã tồn tại; nếu không có, tùy chọn lệnh này sẽ khởi tạo một tùy chọn
mặc định.

-B
Chạy một loạt lệnh từ tệp lô được chỉ định. Điều này đòi hỏi -i tranh luận.

-C
Tạo tệp chứng chỉ nhị phân mới từ tệp yêu cầu chứng chỉ nhị phân. Sử dụng
-i đối số để chỉ định tệp yêu cầu chứng chỉ. Nếu đối số này không được sử dụng,
certutil lời nhắc cho một tên tệp.

-D
Xóa chứng chỉ khỏi cơ sở dữ liệu chứng chỉ.

--đổi tên
Thay đổi biệt hiệu cơ sở dữ liệu của chứng chỉ.

-E
Thêm chứng chỉ email vào cơ sở dữ liệu chứng chỉ.

-F
Xóa khóa cá nhân khỏi cơ sở dữ liệu khóa. Chỉ định khóa để xóa bằng -n
lý lẽ. Chỉ định cơ sở dữ liệu để xóa khóa từ đó -d tranh luận. Sử dụng
các -k đối số để chỉ định rõ ràng xem có nên xóa khóa DSA, RSA hay ECC hay không. nếu bạn
không sử dụng -k đối số, tùy chọn tìm kiếm khóa RSA khớp với
tên nick.

Khi bạn xóa khóa, hãy nhớ xóa mọi chứng chỉ được liên kết với những khóa đó
khóa từ cơ sở dữ liệu chứng chỉ, bằng cách sử dụng -D. Một số thẻ thông minh không cho phép bạn
xóa khóa công khai mà bạn đã tạo. Trong trường hợp này, chỉ có khóa riêng là
đã xóa khỏi cặp khóa. Bạn có thể hiển thị khóa công khai bằng lệnh certutil -K
-h tên mã thông báo.

-G
Tạo cặp khóa công khai và khóa riêng tư mới trong cơ sở dữ liệu khóa. Cơ sở dữ liệu chính
nên đã tồn tại; nếu không có, tùy chọn lệnh này sẽ khởi tạo một
theo mặc định. Một số thẻ thông minh chỉ có thể lưu trữ một cặp chìa khóa. Nếu bạn tạo một cặp khóa mới
đối với thẻ như vậy, cặp trước đó sẽ bị ghi đè.

-H
Hiển thị danh sách các tùy chọn lệnh và đối số.

-K
Liệt kê ID khóa của các khóa trong cơ sở dữ liệu khóa. ID khóa là mô-đun của khóa RSA hoặc
Giá trị công khai của khóa DSA. ID được hiển thị ở dạng thập lục phân ("0x" không được hiển thị).

-L
Liệt kê tất cả các chứng chỉ hoặc hiển thị thông tin về chứng chỉ đã đặt tên, trong
cơ sở dữ liệu chứng chỉ. Sử dụng đối số tên mã thông báo -h để chỉ định chứng chỉ
cơ sở dữ liệu trên một mã thông báo phần cứng hoặc phần mềm cụ thể.

-M
Sửa đổi các thuộc tính tin cậy của chứng chỉ bằng cách sử dụng các giá trị của đối số -t.

-N
Tạo chứng chỉ mới và cơ sở dữ liệu chính.

-O
In chuỗi chứng chỉ.

-R
Tạo tệp yêu cầu chứng chỉ có thể được gửi đến Tổ chức phát hành chứng chỉ
(CA) để xử lý thành chứng chỉ đã hoàn thành. Đầu ra mặc định thành tiêu chuẩn
trừ khi bạn sử dụng đối số -o đầu ra-tệp. Sử dụng đối số -a để chỉ định đầu ra ASCII.

-S
Tạo một chứng chỉ cá nhân và thêm nó vào cơ sở dữ liệu chứng chỉ.

-T
Đặt lại cơ sở dữ liệu khóa hoặc mã thông báo.

-U
Liệt kê tất cả các mô-đun có sẵn hoặc in một mô-đun được đặt tên duy nhất.

-V
Kiểm tra tính hợp lệ của chứng chỉ và các thuộc tính của chứng chỉ.

-W
Thay đổi mật khẩu thành cơ sở dữ liệu khóa.

- hợp nhất
Hợp nhất hai cơ sở dữ liệu thành một.

- nâng cấp-hợp nhất
Nâng cấp cơ sở dữ liệu cũ và hợp nhất nó thành cơ sở dữ liệu mới. Điều này được sử dụng để di chuyển
cơ sở dữ liệu NSS kế thừa (cert8.db và key3.db) vào cơ sở dữ liệu SQLite mới hơn (cert9.db
và key4.db).

Lập luận

Các đối số sửa đổi một tùy chọn lệnh và thường là chữ thường, số hoặc ký hiệu.

-a
Sử dụng định dạng ASCII hoặc cho phép sử dụng định dạng ASCII cho đầu vào hoặc đầu ra. Định dạng này
tuân theo RFC 1113. Đối với các yêu cầu chứng chỉ, đầu ra ASCII mặc định là đầu ra tiêu chuẩn
trừ khi được chuyển hướng.

-b thời gian hiệu lực
Chỉ định thời gian mà chứng chỉ được yêu cầu để có hiệu lực. Sử dụng khi kiểm tra
hiệu lực chứng chỉ với -V lựa chọn. Định dạng của thời gian hiệu lực đối số là
YYMMDDHHMMSS [+ HHMM | -HHMM | Z], cho phép các hiệu số được đặt so với hiệu lực
thời gian kết thúc. Chỉ định giây (SS) Là tùy chọn. Khi chỉ định thời gian rõ ràng, hãy sử dụng
Z vào cuối kỳ, YYMMDDHHMMSSZ, để đóng nó. Khi chỉ định thời gian bù,
sử dụng YYMMDDHHMMSS + HHMM or YYMMDDHHMMSS-HHMM để cộng hoặc trừ thời gian,
tương ứng.

Nếu tùy chọn này không được sử dụng, việc kiểm tra tính hợp lệ sẽ được mặc định là thời gian hệ thống hiện tại.

-c tổ chức phát hành
Xác định chứng chỉ của CA mà từ đó chứng chỉ mới sẽ lấy ra
tính xác thực. Sử dụng biệt hiệu hoặc bí danh chính xác của chứng chỉ CA hoặc sử dụng CA
địa chỉ email. Dấu ngoặc nhọn chuỗi tổ chức phát hành bằng dấu ngoặc kép nếu nó chứa khoảng trắng.

thư mục -d [tiền tố]
Chỉ định thư mục cơ sở dữ liệu chứa chứng chỉ và các tệp cơ sở dữ liệu khóa.

certutil hỗ trợ hai loại cơ sở dữ liệu: cơ sở dữ liệu bảo mật kế thừa (cert8.db,
key3.db và secmod.db) và cơ sở dữ liệu SQLite mới (cert9.db, key4.db và pkcs11.txt).

NSS nhận dạng các tiền tố sau:

· câu hỏi: yêu cầu cơ sở dữ liệu mới hơn

· dbm: yêu cầu cơ sở dữ liệu kế thừa

Nếu không có tiền tố nào được chỉ định, loại mặc định được truy xuất từ ​​NSS_DEFAULT_DB_TYPE. Nếu như
NSS_DEFAULT_DB_TYPE sau đó không được đặt dbm: là mặc định.

--dump-ext-val OID
Đối với chứng chỉ duy nhất, hãy in mã hóa DER nhị phân của OID mở rộng.

-e
Kiểm tra chữ ký của chứng chỉ trong quá trình xác thực chứng chỉ.

- địa chỉ email email
Chỉ định địa chỉ email của chứng chỉ vào danh sách. Được sử dụng với tùy chọn lệnh -L.

--extGeneric OID: quan trọng-cờ: tên tệp [, OID: quan trọng-cờ: tên tệp] ...
Thêm một hoặc nhiều tiện ích mở rộng mà certutil chưa thể mã hóa, bằng cách tải
mã hóa từ các tệp bên ngoài.

· OID (ví dụ): 1.2.3.4

· Critical-flag: quan trọng hoặc không quan trọng

· Tên tệp: đường dẫn đầy đủ đến tệp chứa phần mở rộng được mã hóa

-f mật khẩu-tệp
Chỉ định một tệp sẽ tự động cung cấp mật khẩu để đưa vào chứng chỉ
hoặc để truy cập cơ sở dữ liệu chứng chỉ. Đây là một tệp văn bản thuần túy chứa một
mật khẩu mở khóa. Đảm bảo ngăn chặn truy cập trái phép vào tệp này.

-g kích thước bàn phím
Đặt kích thước khóa để sử dụng khi tạo các cặp khóa công khai và riêng tư mới. Tối thiểu là
512 bit và tối đa là 16384 bit. Mặc định là 2048 bit. Bất kỳ kích thước nào giữa
tối thiểu và tối đa được phép.

-h tên mã thông báo
Chỉ định tên của mã thông báo để sử dụng hoặc hành động. Nếu không được chỉ định, mã thông báo mặc định là
khe cơ sở dữ liệu nội bộ.

-i input_file
Chuyển một tệp đầu vào cho lệnh. Tùy thuộc vào tùy chọn lệnh, tệp đầu vào có thể
là một chứng chỉ cụ thể, một tệp yêu cầu chứng chỉ hoặc một tệp hàng loạt các lệnh.

-k khóa-loại-hoặc-id
Chỉ định loại hoặc ID cụ thể của khóa.

Các tùy chọn loại khóa hợp lệ là rsa, dsa, ec hoặc tất cả. Giá trị mặc định là rsa.
Việc chỉ định loại khóa có thể tránh được những sai lầm do trùng lặp biệt hiệu. Đưa ra một
loại khóa tạo ra một cặp khóa mới; cung cấp ID của một khóa hiện có sẽ sử dụng lại khóa đó
cặp (được yêu cầu để gia hạn chứng chỉ).

-l
Hiển thị thông tin chi tiết khi xác thực chứng chỉ với tùy chọn -V.

-m số sê-ri
Gán một số sê-ri duy nhất cho chứng chỉ đang được tạo. Hoạt động này nên được
được thực hiện bởi CA. Nếu không cung cấp số sê-ri, một số sê-ri mặc định sẽ được tạo
từ thời điểm hiện tại. Số sê-ri được giới hạn ở số nguyên

-n biệt danh
Chỉ định biệt hiệu của chứng chỉ hoặc khóa để liệt kê, tạo, thêm vào cơ sở dữ liệu,
sửa đổi hoặc xác thực. Dấu ngoặc nhọn chuỗi biệt hiệu bằng dấu ngoặc kép nếu nó chứa
khoảng trống.

-o đầu ra-tệp
Chỉ định tên tệp đầu ra cho chứng chỉ mới hoặc yêu cầu chứng chỉ nhị phân.
Dấu ngoặc nhọn cho chuỗi tệp đầu ra bằng dấu ngoặc kép nếu nó chứa khoảng trắng. Nếu điều này
đối số không được sử dụng giá trị đích đầu ra mặc định cho đầu ra tiêu chuẩn.

-P dbTiền tố
Chỉ định tiền tố được sử dụng trên chứng chỉ và tệp cơ sở dữ liệu khóa. Đối số này là
được cung cấp để hỗ trợ các máy chủ kế thừa. Hầu hết các ứng dụng không sử dụng tiền tố cơ sở dữ liệu.

-p điện thoại
Chỉ định số điện thoại liên hệ để đưa vào chứng chỉ hoặc chứng chỉ mới
các yêu cầu. Đặt chuỗi này bằng dấu ngoặc kép nếu nó chứa khoảng trắng.

-q pqgfile hoặc tên đường cong
Đọc giá trị PQG thay thế từ tệp được chỉ định khi tạo cặp khóa DSA. Nếu như
đối số này không được sử dụng, certutil tạo ra giá trị PQG của chính nó. Tệp PQG được tạo
với một tiện ích DSA riêng biệt.

Tên đường cong Elliptic là một trong những tên từ SUITE B: nistp256, nistp384, nistp521

Nếu NSS đã được biên dịch với các đường cong hỗ trợ bên ngoài SUITE B: domains163k1, nistk163,
phái163r1, phái163r2, nistb163, phái193r1, phái193r2, phái233k1, nistk233, phái233r1,
nistb233, phái239k1, phái283k1, nistk283, phái283r1, nistb283, phái409k1, nistk409,
phái409r1, nistb409, phái571k1, nistk571, phái571r1, nistb571, secp160k1, secp160r1,
secp160r2, secp192k1, secp192r1, nistp192, secp224k1, secp224r1, nistp224, secp256k1,
secp256r1, secp384r1, secp521r1, prime192v1, prime192v2, prime192v3, prime239v1,
prime239v2, prime239v3, c2pnb163v1, c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1,
c2tnb191v2, c2tnb191v3, c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, c2pnb272w1,
c2pnb304w1, c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, secp112r2, secp128r1,
secp128r2, sect113r1, sect113r2 sect131r1, sect131r2

-r
Hiển thị mã hóa DER nhị phân của chứng chỉ khi liệt kê thông tin về điều đó
chứng chỉ với tùy chọn -L.

-s chủ đề
Xác định chủ sở hữu chứng chỉ cụ thể cho các chứng chỉ hoặc yêu cầu chứng chỉ mới.
Đặt chuỗi này bằng dấu ngoặc kép nếu nó chứa khoảng trắng. Chủ đề
định dạng nhận dạng tuân theo RFC # 1485.

-t Trustargs
Chỉ định các thuộc tính tin cậy để sửa đổi trong chứng chỉ hiện có hoặc để áp dụng cho
chứng chỉ khi tạo nó hoặc thêm nó vào cơ sở dữ liệu. Có sẵn ba
danh mục tin cậy cho mỗi chứng chỉ, được thể hiện theo thứ tự ssl, e-mail, vật
ký cho mỗi cài đặt tin cậy. Trong mỗi vị trí danh mục, không sử dụng, bất kỳ hoặc tất cả
các mã thuộc tính:

· p - Đồng đẳng hợp lệ

· P - Đồng đẳng đáng tin cậy (ngụ ý p)

· c - CA hợp lệ

· T - CA đáng tin cậy (ngụ ý c)

· C - CA đáng tin cậy để xác thực máy khách (chỉ máy chủ ssl)

· u - người sử dụng

Mã thuộc tính cho các danh mục được phân tách bằng dấu phẩy và toàn bộ tập hợp
các thuộc tính được đặt trong dấu ngoặc kép. Ví dụ:

-t "TCu, Cu, Tu"

Sử dụng tùy chọn -L để xem danh sách các chứng chỉ hiện tại và các thuộc tính tin cậy trong
cơ sở dữ liệu chứng chỉ.

-u chứng chỉ
Chỉ định ngữ cảnh sử dụng để áp dụng khi xác thực chứng chỉ với tùy chọn -V.

Các bối cảnh như sau:

· C (như một máy khách SSL)

· V (như một máy chủ SSL)

· L (như một CA SSL)

· A (với tư cách là CA bất kỳ)

· Y (Xác minh CA)

· S (với tư cách là người ký email)

· R (với tư cách là người nhận email)

· O (với tư cách là người phản hồi trạng thái OCSP)

· J (với tư cách là người ký đối tượng)

-v hợp lệ-tháng
Đặt số tháng chứng chỉ mới sẽ có hiệu lực. Thời hạn hiệu lực bắt đầu
tại thời điểm hệ thống hiện tại trừ khi một phần bù được cộng hoặc trừ với -w tùy chọn.
Nếu đối số này không được sử dụng, thời hạn hiệu lực mặc định là ba tháng.

-w bù-tháng
Đặt một khoảng chênh lệch so với thời gian hệ thống hiện tại, tính bằng tháng, cho thời điểm bắt đầu
thời hạn hiệu lực của chứng chỉ. Sử dụng khi tạo chứng chỉ hoặc thêm nó vào
cơ sở dữ liệu. Biểu thị phần bù bằng số nguyên, sử dụng dấu trừ (-) để biểu thị
phần bù âm. Nếu đối số này không được sử dụng, thời hạn hiệu lực bắt đầu từ
thời gian hiện tại của hệ thống. Độ dài của khoảng thời gian hiệu lực được đặt bằng đối số -v.

-X
Buộc cơ sở dữ liệu khóa và chứng chỉ mở ở chế độ đọc-ghi. Điều này được sử dụng với
các -U và -L các tùy chọn lệnh.

-x
Sử dụng certutil để tạo chữ ký cho chứng chỉ đang được tạo hoặc thêm vào
cơ sở dữ liệu, thay vì lấy chữ ký từ một CA riêng biệt.

-y điểm kinh nghiệm
Đặt một giá trị số mũ thay thế để sử dụng trong việc tạo khóa công khai RSA mới cho
cơ sở dữ liệu, thay vì giá trị mặc định là 65537. Các giá trị thay thế có sẵn là 3
và 17.

-z tiếng ồn-tệp
Đọc giá trị gốc từ tệp được chỉ định để tạo khóa riêng tư và khóa công khai mới
đôi. Đối số này giúp bạn có thể sử dụng các giá trị gốc do phần cứng tạo ra hoặc
tạo thủ công một giá trị từ bàn phím. Kích thước tệp tối thiểu là 20 byte.

-Z bămAlg
Chỉ định thuật toán băm để sử dụng với các tùy chọn lệnh -C, -S hoặc -R. Khả thi
từ khóa:

· MD2

· MD4

· MD5

· SHA1

· SHA224

· SHA256

· SHA384

· SHA512

-0 SSO_mật khẩu
Đặt mật khẩu nhân viên bảo mật trang web trên mã thông báo.

-1 | --từ khóa sử dụng, từ khóa
Đặt Phần mở rộng Loại chứng chỉ X.509 V3 trong chứng chỉ. Có một số
từ khóa có sẵn:

· chữ ký số

· không bác bỏ

· KeyEncipherment

· DataEncipherment

· Chính

· CertSign

· CrlSign

· phê bình

-2
Thêm phần mở rộng ràng buộc cơ bản vào chứng chỉ đang được tạo hoặc thêm vào
cơ sở dữ liệu. Phần mở rộng này hỗ trợ quá trình xác minh chuỗi chứng chỉ.
certutil lời nhắc để chọn phần mở rộng ràng buộc chứng chỉ.

Phần mở rộng chứng chỉ X.509 được mô tả trong RFC 5280.

-3
Thêm phần mở rộng ID khóa ủy quyền vào chứng chỉ đang được tạo hoặc thêm vào
cơ sở dữ liệu. Tiện ích mở rộng này hỗ trợ việc xác định một chứng chỉ cụ thể, từ
trong số nhiều chứng chỉ được liên kết với một tên chủ đề, với tư cách là nhà phát hành chính xác của
một chứng chỉ. Công cụ Cơ sở dữ liệu Chứng chỉ sẽ nhắc bạn chọn cơ quan
phần mở rộng ID chính.

Phần mở rộng chứng chỉ X.509 được mô tả trong RFC 5280.

-4
Thêm phần mở rộng điểm phân phối CRL vào chứng chỉ đang được tạo hoặc thêm
vào cơ sở dữ liệu. Tiện ích mở rộng này xác định URL của chứng chỉ được liên kết
danh sách thu hồi chứng chỉ (CRL). certutil lời nhắc cho URL.

Phần mở rộng chứng chỉ X.509 được mô tả trong RFC 5280.

-5 | --nsCertType từ khóa, từ khóa
Thêm phần mở rộng loại chứng chỉ X.509 V3 vào chứng chỉ đang được tạo hoặc
được thêm vào cơ sở dữ liệu. Có một số từ khóa có sẵn:

· SslClient

· SslServer

· Mặt cười

· ObjectSign

· SslCA

· SmimeCA

· ObjectSagingCA

· phê bình

Phần mở rộng chứng chỉ X.509 được mô tả trong RFC 5280.

-6 | --extKeyUsage từ khóa, từ khóa
Thêm tiện ích mở rộng sử dụng khóa mở rộng vào chứng chỉ đang được tạo hoặc thêm vào
kho dữ liệu. Một số từ khóa có sẵn:

· ServerAuth

· ClientAuth

· Mã

· EmailProtection

· TimeStamp

· OcspResponder

· StepUp

· MsTrustListSign

· phê bình

Phần mở rộng chứng chỉ X.509 được mô tả trong RFC 5280.

-7 địa chỉ email
Thêm danh sách địa chỉ email được phân tách bằng dấu phẩy vào tên thay thế chủ đề
phần mở rộng của chứng chỉ hoặc yêu cầu chứng chỉ đang được tạo hoặc thêm vào
kho dữ liệu. Phần mở rộng tên thay thế của chủ đề được mô tả trong Phần 4.2.1.7 của
RFC3280.

-8 dns-tên
Thêm danh sách tên DNS được phân tách bằng dấu phẩy vào phần mở rộng tên thay thế chủ đề của
chứng chỉ hoặc yêu cầu chứng chỉ đang được tạo hoặc thêm vào cơ sở dữ liệu.
Phần mở rộng tên thay thế của chủ đề được mô tả trong Phần 4.2.1.7 của RFC 3280.

--extAIA
Thêm phần mở rộng Quyền truy cập Thông tin Cơ quan vào chứng chỉ. Chứng chỉ X.509
phần mở rộng được mô tả trong RFC 5280.

--extSIA
Thêm phần mở rộng Quyền truy cập Thông tin Chủ đề vào chứng chỉ. Chứng chỉ X.509
phần mở rộng được mô tả trong RFC 5280.

--extCP
Thêm phần mở rộng Chính sách chứng chỉ vào chứng chỉ. Chứng chỉ X.509
phần mở rộng được mô tả trong RFC 5280.

--extPM
Thêm phần mở rộng Bản đồ chính sách vào chứng chỉ. Phần mở rộng chứng chỉ X.509 là
được mô tả trong RFC 5280.

--extPC
Thêm phần mở rộng Ràng buộc Chính sách vào chứng chỉ. Phần mở rộng chứng chỉ X.509
được mô tả trong RFC 5280.

--extIA
Thêm phần mở rộng Cấm Truy cập Chính sách Bất kỳ vào chứng chỉ. Chứng chỉ X.509
phần mở rộng được mô tả trong RFC 5280.

--extSKID
Thêm phần mở rộng ID khóa chủ đề vào chứng chỉ. Phần mở rộng chứng chỉ X.509 là
được mô tả trong RFC 5280.

--extNC
Thêm phần mở rộng Ràng buộc Tên vào chứng chỉ. Phần mở rộng chứng chỉ X.509 là
được mô tả trong RFC 5280.

--extSAN type: name [, type: name] ...
Tạo tiện ích mở rộng Tên thay thế Chủ đề với một hoặc nhiều tên.

-type: directory, dn, dns, edi, ediparty, email, ip, ipaddr, other, registererid,
rfc822, uri, x400, x400addr

--empty-mật khẩu
Sử dụng mật khẩu trống khi tạo cơ sở dữ liệu chứng chỉ mới với -N.

--keyAttrFlags attrflags
Các thuộc tính chính của PKCS # 11. Danh sách các cờ thuộc tính khóa được phân tách bằng dấu phẩy, được chọn từ
danh sách các lựa chọn sau: {token | phiên} {công khai | riêng tư} {nhạy cảm |
vô cảm} {modifiable | unmodifiable} {có thể giải nén | không thể rút ra được}

--keyOpFlagsOn cờ, --keyOpFlagsOff cờ
Cờ hoạt động phím PKCS # 11. Danh sách được phân tách bằng dấu phẩy của một hoặc nhiều danh sách sau:
{mã thông báo | phiên} {công khai | riêng tư} {nhạy cảm | vô cảm} {modifiable |
unmodifiable} {có thể giải nén | không thể rút ra được}

--new-n biệt hiệu
Biệt hiệu mới, được sử dụng khi đổi tên chứng chỉ.

--source-dir certdir
Xác định thư mục cơ sở dữ liệu chứng chỉ để nâng cấp.

--nguồn-tiền tố certdir
Cung cấp tiền tố của chứng chỉ và cơ sở dữ liệu chính để nâng cấp.

--upgrade-id ID duy nhất
Cung cấp ID duy nhất của cơ sở dữ liệu để nâng cấp.

- tên nâng cấp-mã thông báo-tên
Đặt tên của mã thông báo để sử dụng trong khi nó đang được nâng cấp.

- @ pwfile
Đặt tên của tệp mật khẩu để sử dụng cho cơ sở dữ liệu đang được nâng cấp.

SỬ DỤNG VÀ VÍ DỤ

Hầu hết các tùy chọn lệnh trong các ví dụ được liệt kê ở đây đều có sẵn nhiều đối số hơn. Các
các đối số bao gồm trong các ví dụ này là các đối số phổ biến nhất hoặc được sử dụng để minh họa
kịch bản cụ thể. Sử dụng -H để hiển thị danh sách đầy đủ các đối số cho mỗi
tùy chọn lệnh.

Tạo Mới Bảo mật Cơ sở dữ liệu

Chứng chỉ, khóa và mô-đun bảo mật liên quan đến quản lý chứng chỉ được lưu trữ trong
ba cơ sở dữ liệu liên quan:

· Cert8.db hoặc cert9.db

· Key3.db hoặc key4.db

· Secmod.db hoặc pkcs11.txt

Các cơ sở dữ liệu này phải được tạo trước khi có thể tạo chứng chỉ hoặc khóa.

thư mục certutil -N -d [sql:]

Tạo a Giấy chứng nhận Yêu cầu

Yêu cầu chứng chỉ chứa hầu hết hoặc tất cả thông tin được sử dụng để tạo
chứng chỉ cuối cùng. Yêu cầu này được gửi riêng đến cơ quan cấp chứng chỉ và được
sau đó được chấp thuận bởi một số cơ chế (tự động hoặc do con người xem xét). Khi yêu cầu được
được chấp thuận, sau đó chứng chỉ được tạo.

$ certutil -R -k key-type-or-id [-q pqgfile | curve-name] -g key-size -s subject [-h tokenname] -d [sql:] directory [-p phone] [-o đầu ra-tệp] [-a]

Sản phẩm -R tùy chọn lệnh yêu cầu bốn đối số:

· -k để chỉ định loại khóa để tạo hoặc khi gia hạn chứng chỉ,
cặp chìa khóa hiện có để sử dụng

· -g để đặt kích thước khóa của khóa để tạo

· -s để đặt tên chủ đề của chứng chỉ

· -d để cung cấp cho thư mục cơ sở dữ liệu bảo mật

Yêu cầu chứng chỉ mới có thể được xuất ra ở định dạng ASCII (-a) hoặc có thể được viết cho một
tệp được chỉ định (-o).

Ví dụ:

$ certutil -R -k rsa -g 1024 -s "CN = John Smith, O = Example Corp, L = Mountain View, ST = California, C = US" -d sql: $ HOME / nssdb -p 650-555- 0123 -a -o cert.cer

Đang tạo khóa. Điều này có thể mất một vài phút...

Tạo a Giấy chứng nhận

Chứng chỉ hợp lệ phải được cấp bởi CA đáng tin cậy. Điều này có thể được thực hiện bằng cách chỉ định một CA
chứng chỉ (-c) được lưu trữ trong cơ sở dữ liệu chứng chỉ. Nếu một cặp khóa CA không
có sẵn, bạn có thể tạo chứng chỉ tự ký bằng cách sử dụng -x tranh luận với -S
tùy chọn lệnh.

$ certutil -S -k rsa | dsa | ec -n certname -s subject [-c Isser | -x] -t trustargs -d [sql:] directory [-m serial-number] [-v valid-months] [ -w offset-months] [-p phone] [-1] [-2] [-3] [-4] [-5 từ khóa] [-6 từ khóa] [-7 emailAddress] [-8 dns-names] [ --extAIA] [--extSIA] [--extCP] [--extPM] [--extPC] [--extIA] [--extSKID]

Dãy số và --ext * tùy chọn đặt phần mở rộng chứng chỉ có thể được thêm vào
chứng chỉ khi nó được tạo bởi CA. Các lời nhắc tương tác sẽ dẫn đến.

Ví dụ: điều này tạo ra một chứng chỉ tự ký:

$ certutil -S -s "CN = Ví dụ CA" -n my-ca-cert -x -t "C, C, C" -1 -2 -5 -m 3650

Lời nhắc tương tác về việc sử dụng chính và liệu bất kỳ tiện ích mở rộng nào là quan trọng và phản hồi
đã được bỏ qua cho ngắn gọn.

Từ đó, các chứng chỉ mới có thể tham chiếu chứng chỉ tự ký:

$ certutil -S -s "CN = My Server Cert" -n my-server-cert -c "my-ca-cert" -t "u, u, u" -1 -5-6 -8 -m 730

Tạo a Giấy chứng nhận từ a Giấy chứng nhận Yêu cầu

Khi một yêu cầu chứng chỉ được tạo, chứng chỉ có thể được tạo bằng cách sử dụng yêu cầu
và sau đó tham chiếu chứng chỉ ký của tổ chức phát hành chứng chỉ ( tổ chức phát hành quy định tại
các -c lý lẽ). Chứng chỉ phát hành phải nằm trong cơ sở dữ liệu chứng chỉ trong
thư mục chỉ định.

Công ty phát hành certutil -C -c -i cert-request-file -o output-file [-m serial-number] [-v valid-months] [-w offset-months] -d [sql:] directory [-1] [-2] [-3] [-4] [-5 từ khóa] [-6 từ khóa] [-7 emailAddress] [-8 dns-name]

Ví dụ:

$ certutil -C -c "my-ca-cert" -i /home/certs/cert.req -o cert.cer -m 010 -v 12 -w 1 -d sql: $ HOME / nssdb -1 nonRepudiation, dataEncipherment -5 sslClient -6 clientAuth -7 [email được bảo vệ]

Liệt kê Giấy chứng nhận

Sản phẩm -L tùy chọn lệnh liệt kê tất cả các chứng chỉ được liệt kê trong cơ sở dữ liệu chứng chỉ.
Đường dẫn đến thư mục (-d) bắt buộc.

$ certutil -L -d sql: / home / my / sharednssdb

Thuộc tính tin cậy biệt hiệu chứng chỉ
SSL, S / MIME, JAR / XPI

Quản trị viên CA của ID miền ví dụ của Instance pki-ca1 u, u, u
ID miền mẫu của quản trị viên TPS u, u, u
Cơ quan Internet của Google ,,
Tổ chức phát hành chứng chỉ - Tên miền mẫu CT, C, C

Sử dụng các đối số bổ sung với -L có thể trả lại và in thông tin cho một lần,
chứng chỉ cụ thể. Ví dụ, -n đối số chuyển tên chứng chỉ, trong khi
-a đối số in chứng chỉ ở định dạng ASCII:

$ certutil -L -d sql: $ HOME / nssdb -a -n my-ca-cert
----- CHỨNG NHẬN BẮT ĐẦU -----
MIIB1DCCAT2gAwIBAgICDkIwDQYJKoZIhvcNAQEFBQAwFTETMBEGA1UEAxMKRXhh
bXBsZSBDQTAeFw0xMzAzMTMxOTEwMjlaFw0xMzA2MTMxOTEwMjlaMBUxEzARBgNV
BAMTCkV4YW1wbGUgQ0EwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAJ4Kzqvz
JyBVgFqDXRYSyTBNw1DrxUU/3GvWA/ngjAwHEv0Cul/6sO/gsCvnABHiH6unns6x
XRzPORlC2WY3gkk7vmlsLvYpyecNazAi/NAwVnU/66HOsaoVFWE+gBQo99UrN2yk
0BiK/GMFlLm5dXQROgA9ZKKyFdI0LIXtf6SbAgMBAAGjMzAxMBEGCWCGSAGG+EIB
AQQEAwIHADAMBgNVHRMEBTADAQH / MA4GA1UdDwEB / wQEAwICBDANBgkqhkiG9w0B
AQUFAAOBgQA6chkzkACN281d1jKMrc+RHG2UMaQyxiteaLVZO+Ro1nnRUvseDf09
XKYFwPMJjWCihVku6bw/ihZfuMHhxK22Nue6inNQ6eDu7WmrqL8z3iUrQwxs+WiF
ob2rb8XRVVJkzXdXxlk4uo3UtNvw8sAz7sWD71qxKaIHU5q49zijfg==

----- GIẤY CHỨNG NHẬN KẾT THÚC -----
Đối với màn hình hiển thị có thể đọc được của con người

$ certutil -L -d sql: $ HOME / nssdb -n my-ca-cert
Giấy chứng nhận:
ngày:
Phiên bản: 3 (0x2)
Số sê-ri: 3650 (0xe42)
Thuật toán chữ ký: PKCS # 1 SHA-1 Với mã hóa RSA
Nhà phát hành: "CN = Ví dụ CA"
Hiệu lực:
Không phải trước: Thứ tư ngày 13 tháng 19 10:29:2013 năm XNUMX
Không phải sau: Thứ Sáu 13 tháng sáu 19:10:29 2013
Chủ đề: "CN = Ví dụ CA"
Chủ đề Thông tin Khóa Công khai:
Thuật toán khóa công khai: Mã hóa RSA PKCS # 1
Khóa công khai RSA:
Mô-đun:
9e:0a:ce:ab:f3:27:20:55:80:5a:83:5d:16:12:c9:30:
4d:c3:50:eb:c5:45:3f:dc:6b:d6:03:f9:e0:8c:0c:07:
12:fd:02:ba:5f:fa:b0:ef:e0:b0:2b:e7:00:11:e2:1f:
ab:a7:9e:ce:b1:5d:1c:cf:39:19:42:d9:66:37:82:49:
3b:be:69:6c:2e:f6:29:c9:e7:0d:6b:30:22:fc:d0:30:
56:75:3f:eb:a1:ce:b1:aa:15:15:61:3e:80:14:28:f7:
d5:2b:37:6c:a4:d0:18:8a:fc:63:05:94:b9:b9:75:74:
11:3a:00:3d:64:a2:b2:15:d2:34:2c:85:ed:7f:a4:9b
Số mũ: 65537 (0x10001)
Tiện ích mở rộng đã ký:
Tên: Loại chứng chỉ
Dữ liệu: không có

Tên: Ràng buộc cơ bản của chứng chỉ
Dữ liệu: Là một CA không có độ dài đường dẫn tối đa.

Tên: Sử dụng khóa chứng chỉ
Quan trọng: Đúng
Tập quán: Ký chứng chỉ

Thuật toán chữ ký: PKCS # 1 SHA-1 Với mã hóa RSA
Chữ ký:
3a:72:19:33:90:00:8d:db:cd:5d:d6:32:8c:ad:cf:91:
1c:6d:94:31:a4:32:c6:2b:5e:68:b5:59:3b:e4:68:d6:
79:d1:52:fb:1e:0d:fd:3d:5c:a6:05:c0:f3:09:8d:60:
a2:85:59:2e:e9:bc:3f:8a:16:5f:b8:c1:e1:c4:ad:b6:
36:e7:ba:8a:73:50:e9:e0:ee:ed:69:ab:a8:bf:33:de:
25:2b:43:0c:6c:f9:68:85:a1:bd:ab:6f:c5:d1:55:52:
64:cd:77:57:c6:59:38:ba:8d:d4:b4:db:f0:f2:c0:33:
ee:c5:83:ef:5a:b1:29:a2:07:53:9a:b8:f7:38:a3:7e
Vân tay (MD5):
86:D8:A5:8B:8A:26:BE:9E:17:A8:7B:66:10:6B:27:80
Vân tay (SHA1):
48:78:09:EF:C5:D4:0C:BD:D2:64:45:59:EB:03:13:15:F7:A9:D6:F7

Cờ tin cậy chứng chỉ:
Cờ SSL:
CA hợp lệ
CA đáng tin cậy
người sử dang
Cờ Email:
CA hợp lệ
CA đáng tin cậy
người sử dang
Cờ ký đối tượng:
CA hợp lệ
CA đáng tin cậy
người sử dang

Liệt kê Phím

Khóa là vật liệu gốc được sử dụng để mã hóa dữ liệu chứng chỉ. Các khóa được tạo cho
chứng chỉ được lưu trữ riêng biệt, trong cơ sở dữ liệu khóa.

Để liệt kê tất cả các khóa trong cơ sở dữ liệu, hãy sử dụng -K tùy chọn lệnh và (bắt buộc) -d đối số
để cung cấp đường dẫn đến thư mục.

$ certutil -K -d sql: $ HOME / nssdb
certutil: Mã kiểm tra "NSS Certificate DB" trong vị trí "Dịch vụ chứng chỉ và khóa cá nhân của người dùng NSS"
<0> rsa 455a6673bde9375c2887ec8bf8016b3f9f35861d Thawte Freemail Member's Thawte Consulting (Pty) Ltd. ID
<1> rsa 40defeeb522ade11090eacebaaf1196a172127df Ví dụ về cảnh báo của quản trị viên miền
< 2> rsa 1d0b06f44f6c03842f7d4f4a1dc78b3bcd1b85a5 John Smith user cert

Có nhiều cách để thu hẹp các khóa được liệt kê trong kết quả tìm kiếm:

· Để trả lại một khóa cụ thể, hãy sử dụng -ntên đối số với tên của khóa.

· Nếu có nhiều thiết bị bảo mật được tải, thì -htên mã thông báo đối số có thể
tìm kiếm một mã thông báo cụ thể hoặc tất cả các mã thông báo.

· Nếu có nhiều loại khóa có sẵn, thì -kloại chính đối số có thể tìm kiếm một
loại khóa cụ thể, như RSA, DSA hoặc ECC.

Liệt kê Bảo mật Modules

Các thiết bị có thể được sử dụng để lưu trữ chứng chỉ - cả cơ sở dữ liệu nội bộ và cơ sở dữ liệu bên ngoài
các thiết bị như thẻ thông minh - được nhận dạng và sử dụng bằng cách tải các mô-đun bảo mật. Các -U
tùy chọn lệnh liệt kê tất cả các mô-đun bảo mật được liệt kê trong cơ sở dữ liệu secmod.db. Các
đường dẫn đến thư mục (-d) bắt buộc.

$ certutil -U -d sql: / home / my / sharednssdb

slot: Dịch vụ chứng chỉ và khóa cá nhân cho người dùng NSS
mã thông báo: Cơ sở dữ liệu chứng chỉ NSS

slot: Dịch vụ mật mã nội bộ NSS
mã thông báo: Dịch vụ tiền điện tử chung NSS

Thêm Giấy chứng nhận đến các Cơ sở dữ liệu

Chứng chỉ hiện có hoặc yêu cầu chứng chỉ có thể được thêm theo cách thủ công vào chứng chỉ
cơ sở dữ liệu, ngay cả khi chúng được tạo ở nơi khác. Điều này sử dụng -A tùy chọn lệnh.

certutil -A -n certname -t trustargs -d [sql:] directory [-a] [-i input-file]

Ví dụ:

$ certutil -A -n "CN = Chứng chỉ SSL của tôi" -t "u, u, u" -d sql: / home / my / sharednssdb -i /home/example-certs/cert.cer

Một tùy chọn lệnh liên quan, -E, được sử dụng đặc biệt để thêm chứng chỉ email vào
cơ sở dữ liệu chứng chỉ. Các -E lệnh có các đối số giống như -A yêu cầu. Sự tin tưởng
đối số cho chứng chỉ có định dạng SSL, S / MIME, Ký mã, vì vậy sự tin tưởng trung gian
hầu hết các cài đặt liên quan đến chứng chỉ email (mặc dù những cài đặt khác có thể được đặt). Ví dụ:

$ certutil -E -n "CN = John Smith Email Cert" -t ", Pu," -d sql: / home / my / sharednssdb -i /home/example-certs/email.cer

xóa Giấy chứng nhận đến các Cơ sở dữ liệu

Chứng chỉ có thể bị xóa khỏi cơ sở dữ liệu bằng cách sử dụng -D lựa chọn. Các tùy chọn bắt buộc duy nhất
là để cung cấp cho thư mục cơ sở dữ liệu bảo mật và xác định biệt hiệu chứng chỉ.

certutil -D -d [sql:] directory -n "nickname"

Ví dụ:

$ certutil -D -d sql: / home / my / sharednssdb -n "my-ssl-cert"

Xác thực Giấy chứng nhận

Chứng chỉ có ngày hết hạn và chứng chỉ đã hết hạn rất dễ dàng
bác bỏ. Tuy nhiên, các chứng chỉ cũng có thể bị thu hồi trước khi chúng đến ngày hết hạn.
Việc kiểm tra xem chứng chỉ đã bị thu hồi hay chưa yêu cầu xác thực chứng chỉ.
Xác thực cũng có thể được sử dụng để đảm bảo rằng chứng chỉ chỉ được sử dụng cho các mục đích
ban đầu nó được phát hành cho. Việc xác nhận được thực hiện bởi -V tùy chọn lệnh.

certutil -V -n certificate-name [-b time] [-e] [-u cert-use] -d [sql:] thư mục

Ví dụ: để xác thực chứng chỉ email:

$ certutil -V -n "John Smith's Email Cert" -e -u S, R -d sql: / home / my / sharednssdb

Sửa đổi Giấy chứng nhận NIỀM TIN Cài đặt

Cài đặt tin cậy (liên quan đến các hoạt động mà chứng chỉ được phép
được sử dụng cho) có thể được thay đổi sau khi chứng chỉ được tạo hoặc thêm vào cơ sở dữ liệu. Đây là
đặc biệt hữu ích cho chứng chỉ CA, nhưng nó có thể được thực hiện cho bất kỳ loại
chứng chỉ.

Thư mục certutil -M -n certificate-name -t trust-args -d [sql:]

Ví dụ:

$ certutil -M -n "Chứng chỉ CA của tôi" -d sql: / home / my / sharednssdb -t "CTu, CTu, CTu"

In các Giấy chứng nhận Chuỗi

Chứng chỉ có thể được cấp trong chuỗi bởi vì bản thân mỗi tổ chức phát hành chứng chỉ đều có
chứng chỉ; khi CA phát hành chứng chỉ, về cơ bản nó sẽ đóng dấu chứng chỉ đó với
dấu vân tay của chính nó. Các -O in toàn bộ chuỗi chứng chỉ, bắt đầu từ ban đầu
CA (CA gốc) thông qua CA trung gian để chứng chỉ thực tế. Ví dụ, cho
chứng chỉ email có hai CA trong chuỗi:

$ certutil -d sql: / home / my / sharednssdb -O -n "[email được bảo vệ]"
"Mã thông báo đối tượng Builtin: Thawte Personal Freemail CA" [E =[email được bảo vệ], CN = Thawte Personal Freemail CA, OU = Bộ phận dịch vụ chứng nhận, O = Thawte Consulting, L = Cape Town, ST = Western Cape, C = ZA]

"Thawte Personal Freemail Issashing CA - Thawte Consulting" [CN = Thawte Personal Freemail Issashing CA, O = Thawte Consulting (Pty) Ltd., C = ZA]

"(null)" [E =[email được bảo vệ], CN = Thawte Freemail Member]

Đặt lại a Mã thông báo

Thiết bị lưu trữ chứng chỉ - cả thiết bị phần cứng bên ngoài và thiết bị nội bộ
cơ sở dữ liệu phần mềm - có thể để trống và sử dụng lại. Thao tác này được thực hiện trên thiết bị
nơi lưu trữ dữ liệu, không trực tiếp trên cơ sở dữ liệu bảo mật, vì vậy vị trí phải
được tham chiếu thông qua tên mã thông báo (-h) cũng như bất kỳ đường dẫn thư mục nào. Nếu không có
mã thông báo bên ngoài được sử dụng, giá trị mặc định là nội bộ.

certutil -T -d [sql:] thư mục -h mã thông báo-tên -0 bảo mật-sĩ quan-mật khẩu

Nhiều mạng có nhân viên chuyên trách xử lý các thay đổi đối với mã thông báo bảo mật (bảo mật
nhân viên văn phòng). Người này phải cung cấp mật khẩu để truy cập mã thông báo được chỉ định. Ví dụ:

$ certutil -T -d sql: / home / my / sharednssdb -h nethsm -0 bí mật

Nâng cấp or Sáp nhập các Bảo mật Cơ sở dữ liệu

Nhiều mạng hoặc ứng dụng có thể đang sử dụng các phiên bản BerkeleyDB cũ hơn của chứng chỉ
cơ sở dữ liệu (cert8.db). Cơ sở dữ liệu có thể được nâng cấp lên phiên bản SQLite mới của cơ sở dữ liệu
(cert9.db) bằng cách sử dụng - nâng cấp-hợp nhất tùy chọn lệnh hoặc cơ sở dữ liệu hiện có có thể được hợp nhất
với cơ sở dữ liệu cert9.db mới bằng cách sử dụng --- hợp nhất chỉ huy.

Sản phẩm - nâng cấp-hợp nhất lệnh phải cung cấp thông tin về cơ sở dữ liệu ban đầu và sau đó sử dụng
các đối số tiêu chuẩn (như -d) để cung cấp thông tin về cơ sở dữ liệu mới. Các
lệnh cũng yêu cầu thông tin mà công cụ sử dụng cho quá trình nâng cấp và ghi
qua cơ sở dữ liệu gốc.

certutil --upgrade-merge -d [sql:] directory [-P dbprefix] --source-dir directory --source-prefix dbprefix --upgrade-id id --upgrade-token-name name [- @ password-file ]

Ví dụ:

$ certutil --upgrade-merge -d sql: / home / my / sharednssdb --source-dir / opt / my-app / alias / --source-prefix serverapp- --upgrade-id 1 --upgrade-token- tên nội bộ

Sản phẩm - hợp nhất lệnh chỉ yêu cầu thông tin về vị trí của cơ sở dữ liệu gốc;
vì nó không thay đổi định dạng của cơ sở dữ liệu, nó có thể ghi lên thông tin mà không
thực hiện bước tạm thời.

certutil --merge -d [sql:] directory [-P dbprefix] --source-dir directory --source-prefix dbprefix [- @ password-file]

Ví dụ:
$ certutil --merge -d sql: / home / my / sharednssdb --source-dir / opt / my-app / alias / --source-prefix serverapp-
Chạy certutil Lệnh từ a Hàng loạt Tập tin

Một loạt lệnh có thể được chạy tuần tự từ một tệp văn bản với -B tùy chọn lệnh.
Đối số duy nhất cho điều này chỉ định tệp đầu vào.

$ certutil -B -i / path / to / batch-file

NSS DATABASE LOẠI

NSS ban đầu sử dụng cơ sở dữ liệu BerkeleyDB để lưu trữ thông tin bảo mật. Các phiên bản cuối cùng
trong số này di sản cơ sở dữ liệu là:

· Cert8.db cho chứng chỉ

· Key3.db cho các phím

· Secmod.db cho thông tin mô-đun PKCS # 11

Tuy nhiên, BerkeleyDB có những hạn chế về hiệu suất khiến nó không thể dễ dàng sử dụng bởi
nhiều ứng dụng đồng thời. NSS có một số tính linh hoạt cho phép các ứng dụng
sử dụng công cụ cơ sở dữ liệu độc lập của riêng họ trong khi vẫn giữ cơ sở dữ liệu được chia sẻ và hoạt động
xung quanh các vấn đề truy cập. Tuy nhiên, NSS đòi hỏi sự linh hoạt hơn để cung cấp một
cơ sở dữ liệu bảo mật.

Năm 2009, NSS đã giới thiệu một bộ cơ sở dữ liệu mới là cơ sở dữ liệu SQLite thay vì
BerkeleyDB. Các cơ sở dữ liệu mới này cung cấp nhiều khả năng truy cập và hiệu suất hơn:

· Cert9.db cho chứng chỉ

· Key4.db cho các phím

· Pkcs11.txt, danh sách tất cả các mô-đun PKCS # 11, được chứa trong một thư mục con mới
trong thư mục cơ sở dữ liệu bảo mật

Bởi vì cơ sở dữ liệu SQLite được thiết kế để chia sẻ, đây là chia sẻ cơ sở dữ liệu
kiểu. Loại cơ sở dữ liệu dùng chung được ưu tiên; định dạng cũ được bao gồm để lùi lại
khả năng tương thích.

Theo mặc định, các công cụ (certutil, pk12util, modutil) giả sử rằng bảo mật nhất định
cơ sở dữ liệu tuân theo kiểu kế thừa phổ biến hơn. Việc sử dụng cơ sở dữ liệu SQLite phải được thực hiện theo cách thủ công
được chỉ định bằng cách sử dụng câu hỏi: tiền tố với thư mục bảo mật nhất định. Ví dụ:

$ certutil -L -d sql: / home / my / sharednssdb

Để đặt loại cơ sở dữ liệu được chia sẻ làm loại mặc định cho các công cụ, hãy đặt
NSS_DEFAULT_DB_TYPE môi trường biến thành sql:

xuất NSS_DEFAULT_DB_TYPE = "sql"

Dòng này có thể được thiết lập để thêm vào ~ / .bashrc để thực hiện thay đổi vĩnh viễn.

Hầu hết các ứng dụng không sử dụng cơ sở dữ liệu được chia sẻ theo mặc định, nhưng chúng có thể được cấu hình để
sử dụng chúng. Ví dụ: bài viết hướng dẫn này trình bày cách định cấu hình Firefox và Thunderbird
để sử dụng cơ sở dữ liệu NSS được chia sẻ mới:

· Https://wiki.mozilla.org/NSS_Shared_DB_Howto

Để biết bản thảo kỹ thuật về những thay đổi trong cơ sở dữ liệu NSS được chia sẻ, hãy xem dự án NSS
wiki:

· Https://wiki.mozilla.org/NSS_Shared_DB

Sử dụng certutil trực tuyến bằng các dịch vụ onworks.net