crlutil - 云端在线

程序：

您的姓名

crlutil - 列出、生成、修改或删除 NSS 安全数据库文件中的 CRL
并列出、创建、修改或删除特定 CRL 中的证书条目。

概要

工具 [选项] [[参数]]

状态

该文档仍在进行中。 请参与初步审查
Mozilla的 新高中 错误 836477[1]

商品描述

证书吊销列表 (CRL) 管理工具， 工具, 是一个命令行实用程序
可以列出、生成、修改或删除 NSS 安全数据库文件中的 CRL
并列出、创建、修改或删除特定 CRL 中的证书条目。

密钥和证书管理过程通常从在密钥中创建密钥开始
数据库，然后在证书数据库中生成和管理证书（参见
certutil 工具）并继续证书到期或吊销。

本文档讨论证书吊销列表管理。 有关信息
安全模块数据库管理，请参阅使用安全模块数据库工具。 为了
有关证书和密钥数据库管理的信息，请参阅使用证书数据库
工具。

要运行证书吊销列表管理工具，请键入命令

crlutil 选项 [参数]

其中 options 和 arguments 是列表中列出的选项和参数的组合
以下部分。 每个命令都有一个选项。 每个选项可能需要零个或多个
论据。 要查看用法字符串，请发出不带选项或带有 -H 的命令
选项。

配置 AND 争论

附加选项

选项指定一个动作。 选项参数修改一个动作。 选项和参数
crlutil 命令的定义如下：

-D
从证书数据库中删除证书吊销列表。

-E
从 cert 数据库中删除所有指定类型的 CRL

-G
创建新的证书吊销列表 (CRL)。

-I
将 CRL 导入 cert 数据库

-L
列出位于 cert 数据库文件中的现有 CRL。

-M
修改可以位于 cert db 或任意文件中的现有 CRL。 如果位于
在文件中，它应该以 ASN.1 编码格式进行编码。

-S
显示未存储在数据库中的 CRL 文件的内容。

参数

选项参数修改一个动作。

-a
使用 ASCII 格式或允许使用 ASCII 格式进行输入和输出。 这个
格式遵循 RFC #1113。

-B
绕过 CA 签名检查。

-c crl-gen 文件
指定将用于控制 crl 生成/修改的脚本文件。 看
crl-cript-文件格式如下。 如果选项 -M|-G 被使用而 -c crl-script-file 不是
指定，crlutil 将从标准输入读取脚本数据。

-d 目录
指定包含证书和密钥数据库文件的数据库目录。 在
Unix 证书数据库工具默认为 $HOME/.netscape（即 ~/.网景).
在 Windows NT 上，默认值为当前目录。

NSS 数据库文件必须位于同一目录中。

-f 密码文件
指定将自动提供密码以包含在证书中的文件
或访问证书数据库。 这是一个纯文本文件，其中包含一个
密码。 请务必防止未经授权访问此文件。

-i crl-文件
指定包含要导入或显示的 CRL 的文件。

-l 算法名称
指定特定的签名算法。 可能的算法列表：MD2 | MD4 | MD5 |
SHA1 | SHA256 | SHA384​​512 | SHAXNUMX

-n 昵称
指定要列出、创建、添加到数据库的证书或密钥的昵称，
修改或验证。 如果昵称字符串包含，用引号括起来
空格。

-o 输出文件
指定新 CRL 的输出文件名。 用括号括起输出文件字符串
如果它包含空格，则用引号引起来。 如果未使用此参数，则输出
目标默认为标准输出。

-P 数据库前缀
指定用于 NSS 安全数据库文件的前缀（例如，my_cert8.db
和 my_key3.db）。 此选项作为特殊情况提供。 更改名称
不建议使用证书和密钥数据库。

-t crl 类型
指定 CRL 的类型。 可能的类型有：0 - SEC_KRL_TYPE，1 - SEC_CRL_TYPE。 这个
选项已过时

-u 网址
指定网址。

-w 密码字符串
在命令行中提供数据库密码。

-Z算法
指定用于签署 CRL 的哈希算法。

CRL 代 SCRIPT 句法

CRL 生成脚本文件的语法如下：

* 带有注释的行应该有 # 作为一行的第一个符号

* 设置“本次更新”或“下次更新”CRL 字段：

更新=YYYYMMDDhhmmssZ nextupdate=YYYYMMDDhhmmssZ

字段“下一次更新”是可选的。 时间应为 GeneralizedTime 格式
(YYYYMMDDhhmmssZ)。 例如：20050204153000Z

* 为 CRL 或 crl 证书条目添加扩展：

addext 扩展名关键/非关键 [arg1[arg2 ...]]

地点：

扩展名：已知扩展名的字符串值。 关键/非关键：是 1
当扩展是关键时，否则为 0。 arg1、arg2：特定于扩展类型
扩展参数

addext 使用先前由 addcert 设置的范围，并将安装扩展到
范围内的每个证书条目。

* 将证书条目添加到 CRL：

addcert 范围日期

范围：由破折号分隔的两个整数值：将添加的证书范围
这个命令。 破折号用作分隔符。 如果没有，只会添加一个证书
分隔符。 date：证书的撤销日期。 日期应以 GeneralizedTime 表示
格式 (YYYYMMDDhhmmssZ)。

* 从 CRL 中删除证书条目

rmcert范围

地点：

范围：由破折号分隔的两个整数值：将添加的证书范围
这个命令。 破折号用作分隔符。 如果没有，只会添加一个证书
分隔符。

* 更改 CRL 中证书条目的范围

范围新范围

地点：

new-range：用破折号分隔的两个整数值：将添加的证书范围
通过这个命令。 破折号用作分隔符。 如果没有，只会添加一个证书
分隔符。

已实现的扩展

为 CRL 定义的扩展提供了将附加属性与
他们条目的 CRL。 有关更多信息，请参阅 RFC #3280

* 添加授权密钥标识符扩展：

授权密钥标识符扩展提供了一种识别公钥的方法
对应于用于签署 CRL 的私钥。

authKeyId 关键 [key-id | dn 证书序列]

地点：

authKeyIdent：标识扩展名关键：值为 1 of 0。应该设置
如果此扩展很重要，则为 1，否则为 0。 key-id：表示的密钥标识符
八位字节串。 dn:: 是 CA 专有名称 cert-serial：权威证书序列
数。

* 添加发行人备用名称扩展名：

发行人备用名称扩展允许附加身份与
CRL 的发行人。 定义的选项包括一个 rfc822 名称（电子邮件地址）、一个
DNS 名称、IP 地址和 URI。

issuerAltNames 非关键名称列表

地点：

subjAltNames：标识扩展名应设置为 0，因为这是
非关键扩展名列表：逗号分隔的名称列表

* 添加 CRL 号码扩展：

CRL 编号是一个非关键的 CRL 扩展，它传达了一个单调递增的
给定 CRL 范围和 CRL 颁发者的序列号。 此扩展程序允许用户
轻松确定特定 CRL 何时取代另一个 CRL

crlNumber 非关键数字

地点：

crlNumber：标识扩展名关键：应设置为 0，因为这是
非关键扩展号：long 的值，用于标识一个序列号
CRL。

* 添加撤销原因代码扩展：

reasonCode 是一个非关键的 CRL 条目扩展，用于标识
证书吊销。

reasonCode 非关键代码

地点：

reasonCode：标识非关键扩展的名称：应设置为 0，因为
这是非关键扩展代码：以下代码可用：

未指定 (0)、keyCompromise (1)、cACompromise (2)、affiliationChanged (3)、已被取代
(4)、cessationOfOperation(5)、certificateHold(6)、removeFromCRL(8)、privilegeWithdrawn
(9)、aA妥协(10)

* 添加无效日期扩展：

失效日期是一个非关键的 CRL 条目扩展，它提供了生效日期
已知或怀疑私钥已泄露或证书
否则无效。

invalidityDate 非关键日期

地点：

crlNumber：标识扩展的名称非关键：应设置为 0，因为此
是非关键延期日期：证书的失效日期。 日期应表示在
通用时间格式 (YYYYMMDDhhmmssZ)。

用法

证书吊销列表管理工具的功能分组如下，
使用这些选项和参数的组合。 正方形中的选项和参数
括号是可选的，没有方括号的都是必需的。

有关扩展及其扩展的更多信息，请参阅“已实现的扩展”
参数。

* 创建或修改 CRL：

crlutil -G|-M -c crl-gen-file -n 昵称 [-i crl] [-u url] [-d keydir] [-P dbprefix] [-l alg] [-a] [-B]

* 列出所有 CRls 或命名的 CRL：

crlutil -L [-n crl 名称] [-d krydir]

* 从数据库中删除 CRL：

crlutil -D -n 昵称 [-d keydir] [-P dbprefix]

* 从数据库中删除 CRL：

crlutil -E [-d keydir] [-P dbprefix]

* 从数据库中删除 CRL：

crlutil -D -n 昵称 [-d keydir] [-P dbprefix]

* 从数据库中删除 CRL：

crlutil -E [-d keydir] [-P dbprefix]

* 从文件导入 CRL：

crlutil -I -i crl [-t crlType] [-u url] [-d keydir] [-P dbprefix] [-B]

使用 onworks.net 服务在线使用 crlutil