Este es el comando pki que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
pki: interfaz de línea de comandos para acceder a los servicios del sistema de certificados.
SINOPSIS
PKI [Opciones de CLI] [argumentos de comando]
DESCRIPCIÓN
El PKI El comando proporciona una interfaz de línea de comandos que permite a los clientes acceder a varios
servicios en el servidor del sistema de certificados. Estos servicios incluyen certificados, grupos,
claves, dominios de seguridad y usuarios.
CLI OPCIONES
-c <cliente seguridad base de datos contraseña>
Especifica la contraseña de la base de datos de seguridad del cliente (mutuamente excluyente de la '-C'
opción).
-C <del lado del cliente la contraseña archivo>
Especifica el archivo que contiene la contraseña de la base de datos de seguridad del cliente (mutuamente
exclusivo de la opción '-c').
-d <cliente seguridad base de datos ubicación>
Especifica la ubicación de la base de datos de seguridad del cliente (predeterminado: ~ / .dogtag / nssdb).
-h
Especifica el nombre de host (predeterminado: nombre de host de la máquina local).
--ayuda Imprime información de ayuda adicional.
--ignorar-estado-certificado
Lista separada por comas de estados de validez de certificados ignorados.
- formato de mensaje
Formato de mensaje: xml (predeterminado), json.
-n <cliente certificado apodo>
Especifica el apodo para la autenticación del certificado del cliente (mutuamente excluyente de
la opción '-u'). Esta autenticación requiere una contraseña de base de datos de seguridad.
--producción
Carpeta para almacenar mensajes HTTP.
-P
Especifica el protocolo (predeterminado: http).
-p
Especifica el puerto (predeterminado: 8080).
--rechazar-estado-certificado
Lista separada por comas de estados de validez de certificados rechazados. Tipo de subsistema PKI
- [CA, KRA, OCSP, TKS o TPS] (no distingue entre mayúsculas y minúsculas).
-U
Especifica el URI del servidor.
-u
Especifica el nombre de usuario para la autenticación básica (mutuamente excluyente de la '-n'
opción). Esta autenticación requiere una contraseña de usuario.
-v Muestra información detallada.
--versión
Muestra información sobre la versión de CLI.
-w
Especifica la contraseña del usuario (mutuamente excluyente de la opción '-W').
-W <del lado del cliente la contraseña archivo>
Especifica el archivo que contiene la contraseña de usuario (mutuamente excluyente de la '-w'
opción).
OPERACIONES
Para ver los comandos y las opciones disponibles, simplemente escriba PKI. Algunos comandos tienen subcomandos.
Para ver los subcomandos, escriba PKI . Para ver el uso de cada comando, escriba PKI
--ayuda.
Se necesita una base de datos de seguridad del cliente para ejecutar comandos que requieren conexión SSL o
certificado de cliente para autenticación. Ver pki-cliente(1) para obtener más información.
Conexión
De forma predeterminada, la CLI se conecta a un servidor que se ejecuta en la máquina local a través de la
Puerto HTTP 8080. Para especificar una ubicación de servidor diferente, utilice los argumentos adecuados para
dar un anfitrión diferente-h), Puerto (-p) o protocolo de conexión (-P).
PKI -P -h -p
Alternativamente, los parámetros de conexión se pueden especificar como un URI:
PKI -U
donde el URI es del formato : // :.
Autenticación
Algunos comandos requieren autenticación. Estos son comandos que están restringidos a determinados
conjuntos de usuarios (como agentes o administradores) o aquellas operaciones que involucran certificados
perfiles que requieren autenticación.
Para ejecutar un comando sin autenticación:
PKI
Para ejecutar un comando usando autenticación básica (es decir, nombre de usuario / contraseña), consulte la Básico
Autenticación sección de esta página de manual.
Para ejecutar un comando usando autenticación de cliente (es decir, certificado de cliente), consulte la
Cliente Autenticación sección de esta página de manual.
Básico Autenticación
Para autenticarse con un nombre de usuario y contraseña:
PKI -u -w
En lugar de exponerse en texto plano en la línea de comandos, las contraseñas de los usuarios pueden almacenarse
en su lugar en un archivo. Ver Lado del cliente Contraseña archivos para obtener información detallada.
Para autenticarse con un nombre de usuario obteniendo la contraseña de usuario de una contraseña del lado del cliente
archivo:
PKI -u -W <del lado del cliente la contraseña archivo>
Finalmente, si se ha especificado un nombre de usuario en la línea de comandos, y ni el '-W
'ni la' -w 'opciones han sido utilizadas, el
Se le pedirá la contraseña.
Para autenticarse con un nombre de usuario solicitando de forma interactiva una contraseña:
PKI -u
Nota: Solicitar una contraseña de usuario no es adecuado para el procesamiento por lotes automatizado.
Cliente Autenticación Preparar
Se debe utilizar un certificado de cliente asociado con el servidor PKI deseado para el cliente.
autenticación. Esto se puede hacer importando el certificado del cliente en un dispositivo de seguridad NSS.
base de datos y pasar los valores a las opciones relevantes proporcionadas por el PKI Marco CLI.
Para lograr esto, ejecute los siguientes comandos para configurar una base de datos de seguridad NSS para su uso
según el PKI cliente, importe el certificado de cliente a la base de datos NSS y enumere
información (incluido el apodo del certificado de cliente) almacenada en la base de datos de NSS:
- certutil -N -d
- pk12util -i -d
- certutil -L -d
El primer comando crea una base de datos de seguridad del cliente y le pide al usuario del cliente que ingrese un
contraseña para esta base de datos NSS.
El segundo comando importa un certificado de cliente almacenado en formato PKCS12 en este NSS
base de datos; solicita las contraseñas del archivo PKCS12 y la seguridad del cliente
base de datos. El ejemplo simplista de un certificado de cliente de este tipo es obtener el
certificado de administrador creado durante la parte de configuración de la PKI básica
instalación del servidor PKI asociado (p. ej., ubicado en /root/.dogtag/pki-
tomcat / ca_admin_cert.p12 en la máquina del servidor PKI).
El tercer comando muestra la información sobre el certificado de cliente importado (incluido
su apodo).
Nota: Al emitir el primer PKI comando usando los parámetros de autenticación (después
finalización de la configuración de la base de datos de seguridad del cliente), un usuario puede ser recibido con un
mensaje de advertencia que indica que se encontró un emisor que no es de confianza. Simplemente responde
'Y' para importar el certificado de CA y, suponiendo que la URL del servidor de CA mostrada es
válido, presione el retorno de carro.
Cliente Autenticación
Para autenticarse con un certificado de cliente:
PKI -d <cliente seguridad base de datos ubicación> -c <cliente seguridad base de datos contraseña> -n
<cliente certificado apodo>
Alternativamente, para evitar la exposición a través de la línea de comandos, una base de datos de seguridad del cliente puede
en su lugar, guarde su contraseña en un archivo. Ver Lado del cliente Contraseña archivos para detalles
Para autenticarse con un certificado de cliente obteniendo la base de datos de seguridad del cliente
contraseña de un archivo de contraseña del lado del cliente:
PKI -d <cliente seguridad base de datos ubicación> -C <del lado del cliente la contraseña archivo> -n <cliente
certificado apodo>
Por último, si se ha especificado un certificado de cliente en la línea de comandos, y ni el
'-C 'ni el' -c 'opciones
se han utilizado, se solicitará la contraseña de la base de datos de seguridad del cliente.
Para autenticarse con un certificado de cliente solicitando interactivamente una seguridad de cliente
contraseña de la base de datos:
PKI -d <cliente seguridad base de datos ubicación> -n <cliente certificado apodo>
Nota: Solicitar una contraseña de la base de datos de seguridad del cliente no es adecuado para
procesamiento por lotes.
Lado del cliente Contraseña archivos
Tanto las opciones '-C' (autenticación de cliente) como '-W' (autenticación básica) requieren
el uso de un archivo de contraseña del lado del cliente.
Por motivos de seguridad, los archivos de contraseñas del lado del cliente deben estar, como mínimo, operativos
archivos protegidos por el sistema que no son legibles por el mundo.
Los archivos de contraseñas del lado del cliente generalmente almacenan una contraseña en un formato delimitado por el signo igual
formato de texto sin formato 'token = contraseña' (por ejemplo, - 'interno = foobar' donde 'interno' es el
token, '=' es el delimitador y 'foobar' es la contraseña real). La palabra clave del token
'interno' es la especificación predeterminada para un token y se refiere a la "clave interna
Token de almacenamiento ". Si se utiliza un archivo de contraseña del lado del cliente con el único propósito de
PKI herramienta de línea de comandos, un archivo de contraseña del lado del cliente también admite el formato que simplemente
consiste en la contraseña en texto plano en una sola línea (lea el Advertencias que siguen).
Advertencias:
· Dado que los archivos de contraseñas del lado del cliente pueden utilizar el formato 'token = contraseña',
el primer carácter '=' solo se puede usar como delimitador (es decir, no se puede usar
como un carácter válido dentro del nombre del 'token') como escapar del carácter '=' dentro
un token no es compatible.
· Cuando especifique una contraseña que contenga un carácter '=', siempre especifique un
inicial '=' antes de especificar la contraseña real (obligatorio cuando no hay token
especificado) ya que no se admite el escape del carácter '=' dentro de una contraseña.
· Los tokens no admiten espacios en blanco iniciales o finales ya que estos caracteres son
despojado antes de su uso; sin embargo, todos los espacios en blanco dentro de los tokens serán
Preservado.
· Las contraseñas conservan todos los espacios en blanco iniciales, finales e internos desde las contraseñas
no se recortan antes de su uso.
· TBD: código de suministro para manejar el caso de un token no interno (por ejemplo, - 'hardware-
nethsm 'utilizado en los siguientes ejemplos) ya que el código actual ignora el
token especificado (es decir, siempre utiliza el token 'interno' predeterminado sin importar
lo que se especifica actualmente).
· TBD: Permita numerosas líneas 'token = contraseña' en un solo archivo de contraseña del lado del cliente
para admitir la capacidad de autenticarse contra tokens especificados, así como múltiples
tokens.
Válido ejemplos incluir lo siguiente:
interno = foobar
donde: token = "interno", contraseña = "foobar"
hardware-nethsm = foobar
donde: token = "hardware-nethsm" (ignorado - TBD), contraseña = "foobar"
interno = ack = barra
donde: token = "interno", contraseña = "ack = bar"
hardware-nethsm = ack = bar
donde: token = "hardware-nethsm" (ignorado - TBD), contraseña = "ack = bar"
= foobar
donde: token = "interno" (predeterminado), contraseña = "foobar"
= foo = bar
donde: token = "interno" (predeterminado), contraseña = "foo = bar"
(Dado que la contraseña contiene un carácter '=',
¡Se debe especificar un carácter inicial '='!)
Foobar
donde: token = "interno" (predeterminado), contraseña = "foobar"
Resultados Paging
Algunos comandos (por ejemplo, cert-find) pueden devolver varios resultados. Dado que el número de resultados
puede ser grande, los resultados se dividen en varias páginas. Por defecto, el comando
devuelve solo la primera página (por ejemplo, los primeros 20 resultados). Para recuperar resultados de otro
página, se pueden especificar parámetros de paginación adicionales:
* inicio: índice del primer resultado a devolver (predeterminado: 0)
* tamaño: número de resultados para devolver (predeterminado: 20)
Por ejemplo, para recuperar la primera página (índice # 0- # 19):
PKI cert-encontrar --comienzo 0 --Talla 20
Para recuperar la segunda página (índice # 20- # 39):
PKI cert-encontrar --comienzo 20 --Talla 20
Para recuperar la tercera página (índice # 40- # 59):
PKI cert-encontrar --comienzo 40 --Talla 20
Use pki en línea usando los servicios de onworks.net
