pk12util - क्लाउड में ऑनलाइन

कार्यक्रम:

नाम

pk12util - PKCS #12 फ़ाइल और NSS में या उससे कुंजी और प्रमाणपत्र निर्यात और आयात करें
डेटाबेस

SYNOPSIS

pk12util [-i p12फ़ाइल|-l p12फ़ाइल|-o p12फ़ाइल] [-d [sql:]निर्देशिका] [-h टोकननाम]
[-पी डीबीप्रिफ़िक्स] [-आर] [-वी] [-के स्लॉटपासवर्डफ़ाइल|-के स्लॉटपासवर्ड]
[-w p12फ़ाइलपासवर्डफ़ाइल|-W p12फ़ाइलपासवर्ड]

स्थिति

यह दस्तावेज अभी भी प्रगति पर है। कृपया प्रारंभिक समीक्षा में योगदान करें
मोज़िला एनएसएस बग 836477[1]

वर्णन

पीकेसीएस #12 उपयोगिता, pk12util, किसी भी सर्वर के बीच प्रमाणपत्र साझा करने में सक्षम बनाता है
PKCS#12 का समर्थन करता है. उपकरण PKCS#12 फ़ाइलों से प्रमाणपत्र और कुंजियाँ आयात कर सकता है
सुरक्षा डेटाबेस, निर्यात प्रमाणपत्र, और सूची प्रमाणपत्र और कुंजियाँ।

विकल्प और बहस

ऑप्शंस

-मैं p12फ़ाइल
PKCS#12 फ़ाइल से सुरक्षा डेटाबेस में कुंजियाँ और प्रमाणपत्र आयात करें।

-एल पी12फ़ाइल
PKCS#12 फ़ाइल में कुंजियाँ और प्रमाणपत्र सूचीबद्ध करें।

-o p12फ़ाइल
सुरक्षा डेटाबेस से कुंजियाँ और प्रमाणपत्र PKCS#12 फ़ाइल में निर्यात करें।

तर्क

-सी कुंजीसिफर
कुंजी एन्क्रिप्शन एल्गोरिथम निर्दिष्ट करें.

-सी सर्टिफिकेट सिफर
कुंजी प्रमाणपत्र (समग्र पैकेज) एन्क्रिप्शन एल्गोरिदम निर्दिष्ट करें।

-डी [एसक्यूएल:]निर्देशिका
डेटाबेस निर्देशिका निर्दिष्ट करें जिसमें प्रमाणपत्रों से आयात या निर्यात किया जाए
चांबियाँ।

pk12util दो प्रकार के डेटाबेस का समर्थन करता है: विरासत सुरक्षा डेटाबेस (cert8.db,
key3.db, और secmod.db) और नए SQLite डेटाबेस (cert9.db, key4.db, और pkcs11.txt)।
यदि उपसर्ग एसक्यूएल: उपयोग नहीं किया जाता है, तो टूल मान लेता है कि दिए गए डेटाबेस मौजूद हैं
पुराना प्रारूप.

-h टोकननाम
आयात या निर्यात करने के लिए टोकन का नाम निर्दिष्ट करें।

-k स्लॉटपासवर्डफ़ाइल
स्लॉट के पासवर्ड वाली टेक्स्ट फ़ाइल निर्दिष्ट करें।

-के स्लॉटपासवर्ड
स्लॉट का पासवर्ड निर्दिष्ट करें.

-एम | --की-लेन कुंजी लंबाई
निजी कुंजी को एन्क्रिप्ट करने के लिए उपयोग की जाने वाली सममित कुंजी की वांछित लंबाई निर्दिष्ट करें।

-एन | --cert-key-len certKeyLength
प्रमाणपत्रों को एन्क्रिप्ट करने के लिए उपयोग की जाने वाली सममित कुंजी की वांछित लंबाई निर्दिष्ट करें
और अन्य मेटा-डेटा।

-एन प्रमाणित नाम
निर्यात करने के लिए प्रमाणपत्र और निजी कुंजी का उपनाम निर्दिष्ट करें।

-पी उपसर्ग
प्रमाणपत्र और कुंजी डेटाबेस पर प्रयुक्त उपसर्ग निर्दिष्ट करें। यह विकल्प उपलब्ध कराया गया है
एक विशेष मामले के रूप में. प्रमाणपत्र और प्रमुख डेटाबेस के नाम बदलना नहीं है
की सिफारिश की.

-r
सभी डेटा को कच्चे (बाइनरी) रूप में डंप करता है। इसे DER फ़ाइल के रूप में सहेजा जाना चाहिए.
डिफ़ॉल्ट रूप से जानकारी को सुंदर-प्रिंट वाले ASCII प्रारूप में लौटाना है, जो प्रदर्शित करता है
p12 फ़ाइल में प्रमाणपत्रों और सार्वजनिक कुंजियों के बारे में जानकारी।

-v
आयात करते समय डिबग लॉगिंग सक्षम करें।

-w p12filePasswordFile
pkcs #12 फ़ाइल पासवर्ड वाली टेक्स्ट फ़ाइल निर्दिष्ट करें।

-W p12फ़ाइलपासवर्ड
pkcs #12 फ़ाइल पासवर्ड निर्दिष्ट करें।

वापसी कोड

· 0 - कोई त्रुटि नहीं

· 1 - उपयोगकर्ता रद्द कर दिया गया

· 2 - उपयोग त्रुटि

· 6 - एनएलएस इनिट त्रुटि

· 8 - प्रमाणपत्र डीबी खुलने में त्रुटि

· 9 - कुंजी डीबी खुलने में त्रुटि

· 10 - फ़ाइल आरंभीकरण त्रुटि

· 11 - यूनिकोड रूपांतरण त्रुटि

· 12 - अस्थायी फ़ाइल निर्माण त्रुटि

· 13 - PKCS11 को स्लॉट त्रुटि प्राप्त हुई

· 14 - पीकेसीएस12 डिकोडर प्रारंभ त्रुटि

· 15 - आयात फ़ाइल से पढ़ने में त्रुटि

· 16 - pkcs12 डिकोड त्रुटि

· 17 - pkcs12 डिकोडर त्रुटि सत्यापित करें

· 18 - pkcs12 डिकोडर वैलिडेट बैग त्रुटि

· 19 - pkcs12 डिकोडर आयात बैग त्रुटि

· 20 - कुंजी डीबी रूपांतरण संस्करण 3 से संस्करण 2 त्रुटि

· 21 - सर्टिफिकेट डीबी रूपांतरण संस्करण 7 से संस्करण 5 त्रुटि

· 22 - प्रमाणपत्र और कुंजी डीबीएस पैच त्रुटि

· 23 - डिफ़ॉल्ट प्रमाणपत्र डीबी त्रुटि प्राप्त करें

· 24 - उपनाम त्रुटि के आधार पर प्रमाणपत्र ढूंढें

· 25 - निर्यात संदर्भ त्रुटि बनाएँ

· 26 - PKCS12 पासवर्ड अखंडता त्रुटि जोड़ें

· 27 - प्रमाणपत्र और कुंजी सेफ निर्माण त्रुटि

· 28 - पीकेसीएस12 प्रमाणपत्र और कुंजी त्रुटि जोड़ें

· 29 - PKCS12 एनकोड त्रुटि

उदाहरण

आयात करना कुंजी और प्रमाण पत्र

का सबसे बुनियादी उपयोग pk12util प्रमाणपत्र या कुंजी आयात करने के लिए PKCS#12 इनपुट है
फ़ाइल (-i) और एक्सेस किए जा रहे सुरक्षा डेटाबेस को निर्दिष्ट करने का कोई तरीका (या तो)। -d एक के लिए
निर्देशिका या -h एक टोकन के लिए)।

pk12util -i p12फ़ाइल [-h टोकननाम] [-v] [-d [sql:]निर्देशिका] [-P dbprefix] [-k
स्लॉटपासवर्डफाइल|-के स्लॉटपासवर्ड] [-डब्ल्यू पी12फाइलपासवर्डफाइल|-डब्ल्यू पी12फाइलपासवर्ड]

उदाहरण के लिए:

# pk12util -i /tmp/cert-files/users.p12 -d sql:/home/my/sharednssdb

एक पासवर्ड दर्ज करें जिसका उपयोग आपकी चाबियाँ एन्क्रिप्ट करने के लिए किया जाएगा।
पासवर्ड कम से कम 8 अक्षर लंबा होना चाहिए,
और इसमें कम से कम एक गैर-वर्णमाला वर्ण होना चाहिए।

नया पासवर्ड दर्ज करें:
पासवर्ड फिर से दर्ज करें:
PKCS12 फ़ाइल के लिए पासवर्ड दर्ज करें:
pk12util: PKCS12 आयात सफल

निर्यात कुंजी और प्रमाण पत्र

ऊपर दिए pk12util प्रमाणपत्रों और कुंजियों को निर्यात करने के लिए कमांड के नाम दोनों की आवश्यकता होती है
डेटाबेस से निकालने के लिए प्रमाणपत्र (-n) और PKCS#12-स्वरूपित आउटपुट फ़ाइल
को लिखना। ऐसे वैकल्पिक पैरामीटर हैं जिनका उपयोग फ़ाइल को सुरक्षित रखने के लिए एन्क्रिप्ट करने के लिए किया जा सकता है
प्रमाणपत्र सामग्री.

pk12util -o p12फ़ाइल -n प्रमाणपत्र नाम [-c keyCipher] [-C प्रमाणपत्र साइफर] [-m|--key_len keyLen]
[-n|--cert_key_len certKeyLen] [-d [sql:]निर्देशिका] [-P dbprefix] [-k स्लॉटपासवर्डफाइल|-K
स्लॉटपासवर्ड] [-w p12filePasswordFile|-W ​​p12filePassword]

उदाहरण के लिए:

# pk12util -o certs.p12 -n सर्वर-सर्टिफिकेट -d sql:/home/my/sharednssdb
PKCS12 फ़ाइल के लिए पासवर्ड दर्ज करें:
पासवर्ड फिर से दर्ज करें:

लिस्टिंग कुंजी और प्रमाण पत्र

.p12 फ़ाइल की जानकारी मानव-पठनीय नहीं है। प्रमाणपत्र और कुंजियाँ
फ़ाइल को मानव-पठनीय प्रीटी-प्रिंट प्रारूप में मुद्रित (सूचीबद्ध) किया जा सकता है जो दिखाता है
.p12 फ़ाइल में प्रत्येक प्रमाणपत्र और किसी भी सार्वजनिक कुंजी की जानकारी।

pk12util -l p12फ़ाइल [-h टोकननाम] [-r] [-d [sql:]निर्देशिका] [-P dbprefix] [-k
स्लॉटपासवर्डफाइल|-के स्लॉटपासवर्ड] [-डब्ल्यू पी12फाइलपासवर्डफाइल|-डब्ल्यू पी12फाइलपासवर्ड]

उदाहरण के लिए, यह डिफ़ॉल्ट ASCII आउटपुट प्रिंट करता है:

# pk12util -l प्रमाणपत्र.p12

PKCS12 फ़ाइल के लिए पासवर्ड दर्ज करें:
कुंजी(ढका हुआ):
अनुकूल नाम: थावटे फ्रीमेल सदस्य की थावटे कंसल्टिंग (पीटीवाई) लिमिटेड आईडी

एन्क्रिप्शन एल्गोरिथ्म: PKCS #12 V2 PBE SHA-1 और 3KEY ट्रिपल DES-CBC के साथ
पैरामीटर:
नमक:
45:2e:6a:a0:03:4d:7b:a1:63:3c:15:ea:67:37:62:1f
पुनरावृत्ति गणना: 1 (0x1)
प्रमाणपत्र:
तारीख:
संस्करण: 3 (0x2)
क्रमांक: 13 (0xd)
हस्ताक्षर एल्गोरिथम: पीकेसीएस #1 एसएचए-1 आरएसए एन्क्रिप्शन के साथ
जारीकर्ता: "ई=[ईमेल संरक्षित],सीएन=थावटे पर्सनल फ्रीमेल सी
ए, ओयू = प्रमाणन सेवा प्रभाग, ओ = थावटे कंसल्टिंग, एल = केप टी
अपना,ST=पश्चिमी केप,C=ZA"

वैकल्पिक रूप से, -r प्रमाणपत्रों को प्रिंट करता है और फिर उन्हें अलग डीईआर में निर्यात करता है
बाइनरी फ़ाइलें. यह प्रमाणपत्रों को समर्थन करने वाले किसी अन्य एप्लिकेशन में फ़ीड करने की अनुमति देता है
.p12 फ़ाइलें। प्रत्येक प्रमाणपत्र को क्रमिक रूप से क्रमांकित फ़ाइल में लिखा जाता है, जिसकी शुरुआत होती है
file0001.der और file000N.der के माध्यम से जारी रखते हुए, प्रत्येक के लिए संख्या में वृद्धि
प्रमाण पत्र:

pk12util -l test.p12 -r
PKCS12 फ़ाइल के लिए पासवर्ड दर्ज करें:
कुंजी(ढका हुआ):
अनुकूल नाम: थावटे फ्रीमेल सदस्य की थावटे कंसल्टिंग (पीटीवाई) लिमिटेड आईडी

एन्क्रिप्शन एल्गोरिथ्म: PKCS #12 V2 PBE SHA-1 और 3KEY ट्रिपल DES-CBC के साथ
पैरामीटर:
नमक:
45:2e:6a:a0:03:4d:7b:a1:63:3c:15:ea:67:37:62:1f
पुनरावृत्ति गणना: 1 (0x1)
प्रमाणपत्र अनुकूल नाम: थावटे पर्सनल फ्रीमेल जारीकर्ता सीए - थावटे कंसल्टिंग

प्रमाणपत्र अनुकूल नाम: थावटे फ्रीमेल सदस्य की थावटे कंसल्टिंग (पीटीवाई) लिमिटेड आईडी

पासवर्ड एन्क्रिप्शन

PKCS#12 न केवल निजी कुंजी बल्कि प्रमाणपत्र की भी सुरक्षा प्रदान करता है
और कुंजियों से जुड़ा मेटा-डेटा। सुरक्षा के लिए पासवर्ड-आधारित एन्क्रिप्शन का उपयोग किया जाता है
PKCS#12 फ़ाइल में निर्यात पर निजी कुंजियाँ और, वैकल्पिक रूप से, संपूर्ण पैकेज। अगर कोई नहीं
एल्गोरिथ्म निर्दिष्ट है, उपकरण का उपयोग करने में चूक होती है पीकेसीएस12 V2 पीबीई साथ में SHA1 और 3KEY ट्रिपल
डेस-सीबीसी निजी कुंजी एन्क्रिप्शन के लिए. पीकेसीएस12 V2 पीबीई साथ में SHA1 और 40 बिट RC4 डिफ़ॉल्ट है
FIPS मोड में न होने पर समग्र पैकेज एन्क्रिप्शन के लिए। FIPS मोड में होने पर, कोई नहीं है
पैकेज एन्क्रिप्शन.

निजी कुंजी हमेशा डिफ़ॉल्ट रूप से मजबूत एन्क्रिप्शन के साथ सुरक्षित रहती है।

कई प्रकार के सिफर समर्थित हैं.

PKCS#5 V2 के लिए सममित सीबीसी सिफर

· डेस-सीबीसी

· RC2-सीबीसी

· आरसी5-सीबीसीपैड

· DES-EDE3-CBC (कुंजी एन्क्रिप्शन के लिए डिफ़ॉल्ट)

· एईएस-128-सीबीसी

· एईएस-192-सीबीसी

· एईएस-256-सीबीसी

· कैमेलिया-128-सीबीसी

· कैमेलिया-192-सीबीसी

· कैमेलिया-256-सीबीसी

PKCS#12 PBE सिफर

· पीकेसीएस #12 पीबीई शा1 और 128 बिट आरसी4 के साथ

· पीकेसीएस #12 पीबीई शा1 और 40 बिट आरसी4 के साथ

· पीकेसीएस #12 पीबीई शा1 और ट्रिपल डेस सीबीसी के साथ

· पीकेसीएस #12 पीबीई शा1 और 128 बिट आरसी2 सीबीसी के साथ

· पीकेसीएस #12 पीबीई शा1 और 40 बिट आरसी2 सीबीसी के साथ

· SHA12 और 2 बिट RC1 के साथ PKCS128 V4 PBE

· SHA12 और 2 बिट RC1 के साथ PKCS40 V4 PBE (गैर-FIPS मोड के लिए डिफ़ॉल्ट)

· PKCS12 V2 PBE SHA1 और 3KEY ट्रिपल DES-cbc के साथ

· PKCS12 V2 PBE SHA1 और 2KEY ट्रिपल DES-cbc के साथ

· SHA12 और 2 बिट RC1 CBC के साथ PKCS128 V2 PBE

· SHA12 और 2 बिट RC1 CBC के साथ PKCS40 V2 PBE

PKCS#5 PBE सिफर

· MD5 और DES CBC के साथ PKCS #2 पासवर्ड आधारित एन्क्रिप्शन

· MD5 और DES CBC के साथ PKCS #5 पासवर्ड आधारित एन्क्रिप्शन

· SHA5 और DES CBC के साथ PKCS #1 पासवर्ड आधारित एन्क्रिप्शन

PKCS#12 के साथ, क्रिप्टो प्रदाता सॉफ्ट टोकन मॉड्यूल या बाहरी हार्डवेयर हो सकता है
मापांक। यदि क्रिप्टोग्राफ़िक मॉड्यूल अनुरोधित एल्गोरिदम का समर्थन नहीं करता है, तो
अगला सर्वोत्तम फिट चुना जाएगा (आमतौर पर डिफ़ॉल्ट)। यदि इसके लिए कोई उपयुक्त प्रतिस्थापन नहीं है
वांछित एल्गोरिथ्म पाया जा सकता है, उपकरण त्रुटि देता है नहीं सुरक्षा मॉड्यूल कर सकते हैं निष्पादन
la का अनुरोध किया आपरेशन.

एनएसएस डेटाबेस प्रकार

एनएसएस ने मूल रूप से सुरक्षा जानकारी संग्रहीत करने के लिए बर्कलेडीबी डेटाबेस का उपयोग किया था। अंतिम संस्करण
इनमे से विरासत डेटाबेस हैं:

· प्रमाणपत्रों के लिए cert8.db

· चाबियों के लिए key3.db

· पीकेसीएस #11 मॉड्यूल जानकारी के लिए secmod.db

हालाँकि, बर्कलेडीबी में प्रदर्शन सीमाएँ हैं, जो इसे आसानी से उपयोग करने से रोकती हैं
एक साथ कई अनुप्रयोग। एनएसएस में कुछ लचीलापन है जो अनुप्रयोगों को अनुमति देता है
साझा डेटाबेस बनाए रखने और काम करते समय अपने स्वयं के, स्वतंत्र डेटाबेस इंजन का उपयोग करें
पहुंच संबंधी मुद्दों के इर्द-गिर्द। फिर भी, एनएसएस को वास्तव में साझा प्रदान करने के लिए अधिक लचीलेपन की आवश्यकता है
सुरक्षा डेटाबेस.

2009 में, NSS ने डेटाबेस का एक नया सेट पेश किया जो कि SQLite डेटाबेस है
बर्कलेडीबी। ये नए डेटाबेस अधिक पहुंच और प्रदर्शन प्रदान करते हैं:

· प्रमाणपत्रों के लिए cert9.db

· चाबियों के लिए key4.db

· pkcs11.txt, जो एक नए में शामिल सभी PKCS #11 मॉड्यूल की सूची है
सुरक्षा डेटाबेस निर्देशिका में उपनिर्देशिका

क्योंकि SQLite डेटाबेस साझा करने के लिए डिज़ाइन किए गए हैं, ये हैं साझा डेटाबेस
प्रकार। साझा डेटाबेस प्रकार को प्राथमिकता दी जाती है; पिछड़ों के लिए विरासत प्रारूप शामिल है
संगतता।

डिफ़ॉल्ट रूप से, उपकरण (certutil, pk12util, मोडुटिल) मान लें कि दी गई सुरक्षा
डेटाबेस अधिक सामान्य विरासत प्रकार का अनुसरण करते हैं। SQLite डेटाबेस का उपयोग मैन्युअल रूप से होना चाहिए
का उपयोग करके निर्दिष्ट किया गया है एसक्यूएल: दी गई सुरक्षा निर्देशिका के साथ उपसर्ग। उदाहरण के लिए:

# pk12util -i /tmp/cert-files/users.p12 -d sql:/home/my/sharednssdb

साझा डेटाबेस प्रकार को टूल के लिए डिफ़ॉल्ट प्रकार के रूप में सेट करने के लिए, सेट करें
NSS_DEFAULT_DB_TYPE पर्यावरण चर करने के लिए एसक्यूएल:

निर्यात NSS_DEFAULT_DB_TYPE='sql'

इस लाइन को इसमें जोड़ा जा सकता है ~ / .bashrc परिवर्तन को स्थायी बनाने के लिए फ़ाइल।

अधिकांश एप्लिकेशन डिफ़ॉल्ट रूप से साझा डेटाबेस का उपयोग नहीं करते हैं, लेकिन उन्हें कॉन्फ़िगर किया जा सकता है
उनका उपयोग करें। उदाहरण के लिए, यह कैसे करें लेख फ़ायरफ़ॉक्स और थंडरबर्ड को कॉन्फ़िगर करने का तरीका बताता है
नए साझा एनएसएस डेटाबेस का उपयोग करने के लिए:

· https://wiki.mozilla.org/NSS_Shared_DB_Howto

साझा एनएसएस डेटाबेस में बदलावों पर इंजीनियरिंग ड्राफ्ट के लिए, एनएसएस प्रोजेक्ट देखें
विकि:

· https://wiki.mozilla.org/NSS_Shared_DB

onworks.net सेवाओं का उपयोग करके pk12util का ऑनलाइन उपयोग करें