这是命令 cassl,可以使用我们的多个免费在线工作站之一(例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器)在 OnWorks 免费托管提供商中运行
程序:
您的姓名
ca - 最小 CA 应用程序示例
概要
openssl的 ca [-冗长[-config 文件名[-芋头 部分[-gencrl[-撤销 文件[-地位
串行[-更新数据库[-crl_原因 原因[-crl_hold 指令[-crl_compromise 次]
[-crl_CA_compromise 次[-crldays 天[-crl小时 个小时里[-crexts 部分[-开始日期
日期[-结束日期 日期[-天 ARG[-MD ARG[-政策 ARG[-密钥文件 ARG[-keyform
质子交换膜|DER[-键 ARG[-通行证 ARG[-证书 文件[-自签名[-在 文件[退房手续 文件]
[-无文字[-outdir DIR[-infiles[-spkac 文件[-ss_cert 文件[-保留DN]
[-noemailDN[-批[-msie_hack[-扩展 部分[-扩展文件 部分[-发动机 id]
[-主题 ARG[-utf8[-多值-rdn]
商品描述
ca 命令是一个最小的 CA 应用程序。 它可用于签署证书请求
各种形式并生成 CRL,它还维护已发布的文本数据库
证书及其状态。
选项描述将分为每个目的。
CA 配置
-config 文件名
指定要使用的配置文件。
-芋头 部分
指定要使用的配置文件部分(覆盖 默认_ca ,在 ca
部分)。
-在 文件名
包含要由 CA 签名的单个证书请求的输入文件名。
-ss_cert 文件名
由 CA 签署的单个自签名证书。
-spkac 文件名
包含单个 Netscape 签名公钥和质询以及附加信息的文件
由 CA 签名的字段值。 请参阅 斯帕克克 FORMAT 部分的信息
所需的输入和输出格式。
-infiles
如果存在,这应该是最后一个选项,所有后续参数都假定为
包含证书请求的文件的名称。
退房手续 文件名
将证书输出到的输出文件。 默认为标准输出。 这
证书详细信息也将以 PEM 格式打印到此文件中(除了
-spkac 输出 DER 格式)。
-outdir 目录
输出证书的目录。 证书将被写入文件名
由十六进制序列号附加“.pem”组成。
-证书
CA 证书文件。
-密钥文件 文件名
用于签署请求的私钥。
-keyform 质子交换膜|DER
私钥文件中数据的格式。 默认为 PEM。
-键 密码
用于加密私钥的密码。 由于在某些系统上命令行
参数是可见的(例如带有“ps”实用程序的 Unix)应使用此选项
慎用。
-自签名
表示颁发的证书将使用证书密钥进行签名
请求已签署(由 -密钥文件)。 使用签名的证书请求
不同的键将被忽略。 如果 -spkac, -ss_cert or -gencrl 给出, -自签名 is
忽略了。
使用的后果 -自签名 是自签名证书出现在
证书数据库中的条目(请参阅配置选项 数据库),并使用
与使用自签名的所有其他证书签名相同的序列号计数器
证书。
-通行证 ARG
密钥密码来源。 有关格式的更多信息 ARG 看到 PASS
短语 争论 部分 openssl的(1)。
-冗长
这会打印有关正在执行的操作的额外详细信息。
-无文字
不要将证书的文本形式输出到输出文件。
-开始日期 日期
这允许明确设置开始日期。 日期的格式是
YYMMDDHHMMSSZ(与 ASN1 UTCTime 结构相同)。
-结束日期 日期
这允许明确设置到期日期。 日期的格式是
YYMMDDHHMMSSZ(与 ASN1 UTCTime 结构相同)。
-天 ARG
认证证书的天数。
-MD ALG
要使用的消息摘要。 可能的值包括 md5、sha1 和 mdc2。 这个选项
也适用于 CRL。
-政策 ARG
此选项定义要使用的 CA“策略”。 这是配置中的一个部分
文件决定哪些字段应该是必填字段或与 CA 证书匹配。 查看
出来的 政策 FORMAT 部分了解更多信息。
-msie_hack
这是一个遗留选项 ca 使用非常旧版本的 IE 证书
注册控制“certenr3”。 它几乎所有的事情都使用UniversalStrings。 自从
旧控件存在各种安全错误,强烈建议不要使用它。 较新的
控件“Xenroll”不需要此选项。
-保留DN
通常,证书的 DN 顺序与证书中字段的顺序相同。
相关政策部分。 设置此选项后,顺序与请求相同。
这主要是为了与旧的 IE 注册控制兼容,这将
仅当证书的 DN 与请求的顺序匹配时才接受证书。 这不是
Xenroll 需要。
-noemailDN
如果请求 DN 中存在,则证书的 DN 可以包含 EMAIL 字段,
然而,将电子邮件设置到 altName 扩展名中是个好策略。
证书。 设置此选项后,电子邮件字段将从证书中删除'
主题并仅在最终存在的扩展中设置。 这 email_in_dn 关键词
可以在配置文件中使用来启用此行为。
-批
这设置了批处理模式。 在此模式下,不会提出任何问题,并且所有证书
将会自动获得认证。
-扩展 部分
配置文件中包含要添加的证书扩展的部分
颁发证书时(默认为 x509_扩展 除非 -扩展文件 选项
用来)。 如果不存在扩展部分,则创建 V1 证书。 如果
如果存在扩展部分(即使它为空),则会创建 V3 证书。
参见:w x509v3_config(5) 手册页的扩展部分格式的详细信息。
-扩展文件 文件
用于读取证书扩展的附加配置文件(使用
默认部分,除非 -扩展 选项也被使用)。
-发动机 id
指定一个引擎(通过其独特的 id 字符串)将导致 ca 试图获得一个
对指定引擎的功能引用,从而在需要时对其进行初始化。 这
然后引擎将被设置为所有可用算法的默认值。
-主题 ARG
取代请求中给出的主题名称。 arg 的格式必须为
/type0=value0/type1=value1/type2=..., 字符可以通过 \(反斜杠)转义,否
空格被跳过。
-utf8
此选项导致字段值被解释为 UTF8 字符串,默认情况下它们是
解释为 ASCII。 这意味着该字段值,无论是从
终端或从配置文件中获取,必须是有效的 UTF8 字符串。
-多值-rdn
此选项导致 -subj 参数被解释为完全支持
多值 RDN。 例子:
/DC=org/DC=OpenSSL/DC=用户/UID=123456+CN=约翰 母鹿
如果未使用 -multi-rdn,则 UID 值为 123456+CN=约翰 母鹿.
CRL 配置
-gencrl
该选项根据索引文件中的信息生成 CRL。
-crldays NUM
下一个 CRL 到期之前的天数。 那就是从现在开始的日子
CRL nextUpdate 字段。
-crl小时 NUM
下一个 CRL 到期之前的小时数。
-撤销 文件名
包含要撤销的证书的文件名。
-地位 串行
显示指定序列号的证书吊销状态
退出。
-更新数据库
更新数据库索引以清除过期的证书。
-crl_原因 原因
撤销原因,其中 原因 是其中之一: 不明, 关键妥协, CA妥协,
隶属关系变更, 取代, 停止运营, 证书持有 or
从CRL中删除。 的匹配为 原因 不区分大小写。 设置任何撤销
原因将使 CRL v2.
在实践中 从CRL中删除 不是特别有用,因为它只用于 delta
目前尚未实施的 CRL。
-crl_hold 指令
这会将 CRL 撤销原因代码设置为 证书持有 和保持指令
至 指令 它必须是一个 OID。 虽然任何 OID 都只能使用
保持指令无 (RFC2459 不鼓励使用)
保持指令调用发出者 or 保留指令拒绝 通常会被使用。
-crl_compromise 次
这将撤销原因设置为 关键妥协 以及妥协的时间 次. 次
应该是 GeneralizedTime 格式 YYYYMMDDDHHMMSSZ.
-crl_CA_compromise 次
这和 crl_compromise 除非撤销原因设置为
CA妥协.
-crexts 部分
配置文件中包含要包含的 CRL 扩展的部分。 如果没有 CRL
如果存在扩展部分,则创建 V1 CRL(如果 CRL 扩展部分是)
如果存在(即使它为空),则会创建 V2 CRL。 指定的 CRL 扩展
是 CRL 扩展并且 不能 CRL 条目扩展。 应该指出的是,有些
软件(例如 Netscape)无法处理 V2 CRL。 看 x509v3_config(5) 手册页
有关扩展部分格式的详细信息。
配置 文件 配置
配置文件中包含选项的部分 ca 发现如下:如果
此 -芋头 使用命令行选项,然后它命名要使用的部分。 否则
要使用的部分必须在 默认_ca 的选项 ca 条的规定,
配置文件(或配置文件的默认部分)。 除了
默认_ca,以下选项直接从 ca 部分:
RANDFILE 保留
msie_hack 除了 兰德文件,这可能是一个错误,将来可能会改变
版本。
许多配置文件选项与命令行选项相同。 哪里的
选项存在于配置文件和命令行中,命令行值为
用过的。 如果某个选项被描述为强制选项,那么它必须出现在
使用的配置文件或等效命令行(如果有)。
oid_文件
这指定了一个包含额外的文件 宾语 身份标识. 文件的每一行
应该由对象标识符的数字形式后跟空格组成
然后是短名称,后跟空格,最后是长名称。
oid_section
这指定了配置文件中包含额外对象的部分
身份标识。 每行应包含对象标识符的短名称
其次是 = 和数字形式。 短名称和长名称相同时
选项被使用。
新证书目录
与...相同 -outdir 命令行选项。 它指定新建的目录
将放置证书。 强制的。
证书
相同 -证书。 它提供包含 CA 证书的文件。 强制的。
私钥
和...一样 -密钥文件 选项。 包含 CA 私钥的文件。 强制的。
兰德文件
用于读写随机数种子信息的文件,或 EGD 套接字(请参阅
兰德_egd(3))。
默认天数
与...相同 -天 选项。 认证证书的天数。
默认开始日期
与...相同 -开始日期 选项。 认证证书的开始日期。 如果不
设置当前使用的时间。
默认结束日期
与...相同 -结束日期 选项。 要么这个选项要么 默认天数 (或命令
行等效项)必须存在。
默认crl小时 默认crl天数
与...相同 -crl小时 和 -crldays 选项。 仅当两者都没有时才会使用这些
存在命令行选项。 必须至少存在其中之一才能生成
CRL。
默认_md
与...相同 -MD 选项。 要使用的消息摘要。 强制的。
数据库
要使用的文本数据库文件。 强制的。 该文件最初必须存在
它将是空的。
独特的主题
如果值 含 给出后,数据库中的有效证书条目必须具有
独特的主题。 如果值 没有 给定,多个有效的证书条目可能有
完全相同的主题。 默认值为 含,与旧版本兼容(pre
0.9.8) 版本的 OpenSSL。 但是,为了使 CA 证书更容易更新,
推荐使用该值 没有,特别是如果与 -自签名 命令
线选项。
串行
包含要使用的下一个十六进制序列号的文本文件。 强制的。 这个文件
必须存在并包含有效的序列号。
crl 号
包含下一个要使用的十六进制 CRL 编号的文本文件。 CRL 号码将是
仅当该文件存在时才插入 CRL。 如果该文件存在,则必须
包含有效的 CRL 号。
x509_扩展
相同 -扩展.
crl_扩展
相同 -crexts.
保存
相同 -保留DN
email_in_dn
相同 -noemailDN。 如果您希望从 DN 中删除 EMAIL 字段
证书只需将其设置为“否”即可。 如果不存在,则默认允许
在证书的 DN 中提交的 EMAIL。
msie_hack
相同 -msie_hack
政策
相同 -政策。 强制的。 请参阅 政策 FORMAT 部分了解更多信息。
名称选择, 证书选项
这些选项允许在询问时用于显示证书详细信息的格式
用户确认签名。 支持的所有选项 x509 公用事业 -nameopt 和
-certop 此处可以使用开关,除了 no_signname 和 无信号转储 ,那恭喜你,
永久设置且无法禁用(这是因为证书签名
无法显示,因为此时证书尚未签名)。
为了方便起见,值 ca_默认值 双方都接受以产生合理的
输出。
如果这两个选项都不存在,则使用早期版本的 OpenSSL 中使用的格式。
使用旧格式是 非常 不鼓励,因为它只显示字段
在...中提到 政策 部分,错误处理多字符字符串类型并且不
显示扩展。
复制扩展名
确定应如何处理证书请求中的扩展。 如果设置为 没有
或者此选项不存在,则扩展将被忽略并且不会复制到
证书。 如果设置为 复制 那么请求中存在的任何扩展名不存在
已存在的内容被复制到证书中。 如果设置为 全部复制 然后所有扩展
将请求中的内容复制到证书中:如果扩展名已存在于
首先删除的证书。 请参阅 警告 使用此之前的部分
选项。
该选项的主要用途是允许证书请求提供值
某些扩展名,例如 subjectAltName。
政策 FORMAT
策略部分由一组与证书 DN 字段对应的变量组成。
如果值为“match”,则该字段值必须与 CA 中的同一字段匹配
证书。 如果该值是“已提供”的,则该值必须存在。 如果值为
“可选”则它可能存在。 策略部分中未提及的任何字段都是
默默删除,除非 -保留DN 设置了选项,但这可以被视为更多
比预期的行为更古怪。
斯帕克克 FORMAT
输入到 -spkac 命令行选项是 Netscape 签名的公钥和质询。
这通常来自 注册机 HTML 表单中的标记来创建新的私钥。
然而,可以使用以下命令创建 SPKAC: 斯派克 效用。
该文件应包含变量 SPKAC 设置为 SPKAC 的值以及
所需的 DN 组件作为名称值对。 如果您需要包含相同的组件
两次,那么它前面可以有一个数字和一个“.”。
处理 SPKAC 格式时,如果满足以下条件,则输出为 DER 退房手续 使用flag,但是PEM格式
如果发送到标准输出或 -outdir 标志被使用。
示例
注意:这些示例假设 ca 目录结构已经设置完毕,
相关文件已经存在。 这通常涉及创建 CA 证书和私有证书
与键 REQ,一个序列号文件和一个空索引文件,并将它们放在
相关目录。
使用 demoCA、demoCA/private 和目录下的示例配置文件
将创建 demoCA/newcerts。 CA 证书将复制到 demoCA/cacert.pem
及其私钥 demoCA/private/cakey.pem。 将创建一个文件 demoCA/serial
例如包含“01”和空索引文件 demoCA/index.txt。
签署证书请求:
openssl ca -输入 req.pem -输出 newcert.pem
使用 CA 扩展签署证书请求:
openssl ca -in req.pem -extensions v3_ca -out newcert.pem
生成 CRL
openssl ca -gencrl -out crl.pem
签署多个请求:
openssl ca -infiles req1.pem req2.pem req3.pem
认证 Netscape SPKAC:
openssl ca -spkac spkac.txt
示例 SPKAC 文件(为了清楚起见,SPKAC 行已被截断):
SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN=史蒂夫测试
电子邮件地址=[电子邮件保护]
0.OU=OpenSSL 组
1.OU=另一组
包含相关部分的示例配置文件 ca:
[ 加州 ]
default_ca = CA_default # 默认 ca 部分
[CA_default]
dir = ./demoCA # 顶层目录
database = $dir/index.txt # 索引文件。
new_certs_dir = $dir/newcerts # 新证书目录
证书 = $dir/cacert.pem # CA 证书
serial = $dir/serial # 序列号没有文件
private_key = $dir/private/cakey.pem# CA 私钥
RANDFILE = $dir/private/.rand # 随机数文件
default_days = 365 # 认证多长时间
default_crl_days= 30 # 距离下一个 CRL 还有多长时间
default_md = md5 # 要使用的 md
策略=policy_any#默认策略
email_in_dn = no # 不要将电子邮件添加到证书 DN 中
name_opt = ca_default # 主题名称显示选项
cert_opt = ca_default # 证书显示选项
copy_extensions = none # 不要从请求中复制扩展
[ 政策_任意 ]
国家/地区名称 = 提供
州或省名称 = 可选
组织名称 = 可选
组织单位名称 = 可选
通用名称 = 提供
电子邮件地址 = 可选
使用 onworks.net 服务在线使用 cassl
