crlutil - 클라우드 온라인

프로그램:

이름

crlutil - NSS 보안 데이터베이스 파일 내의 CRL 나열, 생성, 수정 또는 삭제
특정 CRL의 인증서 항목을 나열, 생성, 수정 또는 삭제합니다.

개요

crlutil [옵션] [[인수]]

지위

이 문서는 아직 작업 중입니다. 의 초기 검토에 기여해 주십시오.
모질라 NSS 버그 836477[1]

기술

CRL(Certificate Revocation List) 관리 도구, crlutil, 명령줄 유틸리티입니다.
NSS 보안 데이터베이스 파일 내에서 CRL을 나열, 생성, 수정 또는 삭제할 수 있습니다.
특정 CRL의 인증서 항목을 나열, 생성, 수정 또는 삭제합니다.

키 및 인증서 관리 프로세스는 일반적으로 키에 키를 생성하는 것으로 시작됩니다.
그런 다음 인증서 데이터베이스에서 인증서를 생성하고 관리합니다(참조
certutil 도구) 인증서 만료 또는 해지를 계속합니다.

이 문서는 인증서 해지 목록 관리에 대해 설명합니다. 에 대한 정보
보안 모듈 데이터베이스 관리는 보안 모듈 데이터베이스 도구 사용을 참조하십시오. 을 위한
인증서 및 키 데이터베이스 관리에 대한 정보는 인증서 데이터베이스 사용을 참조하십시오.
수단.

인증서 해지 목록 관리 도구를 실행하려면 다음 명령을 입력하십시오.

crlutil 옵션 [인수]

여기서 옵션과 인수는 다음 항목에 나열된 옵션과 인수의 조합입니다.
다음 섹션. 각 명령에는 하나의 옵션이 있습니다. 각 옵션은 XNUMX개 이상 걸릴 수 있습니다.
인수. 사용 문자열을 보려면 옵션 없이 명령을 실행하거나 -H를 사용하여 명령을 실행하십시오.
옵션을 선택합니다.

옵션 및 인수

옵션

옵션은 작업을 지정합니다. 옵션 인수는 작업을 수정합니다. 옵션 및 인수
crlutil 명령의 경우 다음과 같이 정의됩니다.

-D
인증서 데이터베이스에서 인증서 해지 목록을 삭제합니다.

-E
인증서 데이터베이스에서 지정된 유형의 모든 CRL 지우기

-G
새 CRL(인증서 해지 목록)을 만듭니다.

-I
CRL을 인증서 데이터베이스로 가져오기

-L
인증서 데이터베이스 파일에 있는 기존 CRL을 나열합니다.

-M
cert db 또는 임의의 파일에 있을 수 있는 기존 CRL을 수정합니다. 위치한 경우
파일에서 ASN.1 인코딩 형식으로 인코딩해야 합니다.

-S
데이터베이스에 저장되지 않은 CRL 파일의 내용을 표시합니다.

인수

옵션 인수는 작업을 수정합니다.

-a
ASCII 형식을 사용하거나 입력 및 출력에 ASCII 형식을 사용하도록 허용하십시오. 이것
형식은 RFC #1113을 따릅니다.

-B
CA 서명 확인을 우회합니다.

-c crl-gen-파일
CRL 생성/수정을 제어하는 ​​데 사용할 스크립트 파일을 지정합니다. 보다
아래의 crl-cript-file 형식. -M|-G 옵션이 사용되고 -c crl-script-file이 사용되지 않는 경우
지정하면 crlutil은 표준 입력에서 스크립트 데이터를 읽습니다.

-d 디렉토리
인증서 및 키 데이터베이스 파일이 포함된 데이터베이스 디렉토리를 지정하십시오. ~에
Unix 인증서 데이터베이스 도구의 기본값은 $HOME/.netscape(즉, ~/.넷스케이프).
Windows NT에서 기본값은 현재 디렉토리입니다.

NSS 데이터베이스 파일은 동일한 디렉토리에 있어야 합니다.

-f 비밀번호 파일
인증서에 포함할 암호를 자동으로 제공할 파일을 지정하십시오.
또는 인증서 데이터베이스에 액세스합니다. 이것은 다음을 포함하는 일반 텍스트 파일입니다.
비밀번호. 이 파일에 대한 무단 액세스를 방지하십시오.

-i crl 파일
가져오거나 표시할 CRL이 포함된 파일을 지정하십시오.

-l 알고리즘 이름
특정 서명 알고리즘을 지정합니다. 가능한 알고리즘 목록: MD2 | MD4 | MD5 |
SHA1 | SHA256 | SHA384 | SHA512

-n 별명
데이터베이스에 나열, 생성, 추가할 인증서 또는 키의 닉네임을 지정합니다.
수정하거나 확인합니다. 닉네임 문자열에 포함된 경우 인용 부호로 묶습니다.
공백

-o 출력 파일
새 CRL의 출력 파일 이름을 지정합니다. 출력 파일 문자열을
공백이 포함된 경우 따옴표. 이 인수를 사용하지 않으면 출력
목적지는 기본적으로 표준 출력입니다.

-P dbprefix
NSS 보안 데이터베이스 파일에 사용되는 접두사를 지정합니다(예: my_cert8.db).
및 my_key3.db). 이 옵션은 특별한 경우로 제공됩니다. 이름 변경
인증서 및 키 데이터베이스는 권장되지 않습니다.

-t crl 유형
CRL 유형을 지정합니다. 가능한 유형은 0 - SEC_KRL_TYPE, 1 - SEC_CRL_TYPE입니다. 이것
옵션이 구식입니다

-u URL
URL을 지정합니다.

-w 비밀번호 문자열
명령줄에 db 암호를 제공하십시오.

-Z 알고리즘
CRL 서명에 사용할 해시 알고리즘을 지정합니다.

C.R.L. 세대 SCRIPT 통사론

CRL 생성 스크립트 파일의 구문은 다음과 같습니다.

* 주석이 있는 줄에는 줄의 첫 번째 기호로 #이 있어야 합니다.

* "이 업데이트" 또는 "다음 업데이트" CRL 필드 설정:

업데이트=YYYYMMDDhhmmssZ 다음업데이트=YYYYMMDDhhmmssZ

필드 "다음 업데이트"는 선택 사항입니다. 시간은 GeneralizedTime 형식이어야 합니다.
(YYYYMMDDhhmmssZ). 예: 20050204153000Z

* CRL 또는 CRL 인증서 항목에 확장 추가:

addext 확장자 이름 중요/비중요 [arg1[arg2 ...]]

어디에:

extension-name: 알려진 확장자 이름의 문자열 값. 크리티컬/비 크리티컬: 1
확장이 중요한 경우, 그렇지 않은 경우 0입니다. arg1, arg2: 확장 유형에 따라 다름
확장 매개변수

addext는 이전에 addcert에서 설정한 범위를 사용하고 다음에 대한 확장을 설치합니다.
범위 내의 모든 인증서 항목.

* CRL에 인증서 항목 추가:

addcert 범위 날짜

범위: 대시로 구분된 두 개의 정수 값: 다음에 의해 추가될 인증서 범위
이 명령. 대시는 구분 기호로 사용됩니다. 없는 경우 하나의 인증서만 추가됩니다.
구분 기호. 날짜: 인증서 해지 날짜. 날짜는 GeneralizedTime으로 표시되어야 합니다.
형식(YYYYMMDDhhmmssZ).

* CRL에서 인증서 항목 제거

rmcert 범위

어디에:

범위: 대시로 구분된 두 개의 정수 값: 다음에 의해 추가될 인증서 범위
이 명령. 대시는 구분 기호로 사용됩니다. 없는 경우 하나의 인증서만 추가됩니다.
구분자.

* CRL의 인증서 항목 범위 변경

새로운 범위

어디에:

new-range: 대시로 구분된 두 개의 정수 값: 추가될 인증서 범위
이 명령으로. 대시는 구분 기호로 사용됩니다. 없는 경우 하나의 인증서만 추가됩니다.
구분자.

구현된 확장

CRL에 대해 정의된 확장은 추가 특성을 다음과 연결하는 방법을 제공합니다.
항목의 CRL. 자세한 내용은 RFC #3280을 참조하십시오.

* 권한 키 식별자 확장 추가:

기관 키 식별자 확장은 공개 키를 식별하는 수단을 제공합니다.
CRL 서명에 사용되는 개인 키에 해당합니다.

authKeyId 중요 [키 ID | dn 인증서-시리얼]

어디에:

authKeyIdent: 확장의 이름을 식별합니다. 중요: 값은 1 중 0입니다. 설정해야 합니다.
이 확장이 중요하면 1로, 그렇지 않으면 0으로. key-id: 다음에 표시된 키 식별자
옥텟 문자열. dn::은 CA 고유 이름입니다. cert-serial: 기관 인증서 일련 번호
수.

* 발행자 대체 이름 확장자 추가:

발급자 대체 이름 확장을 통해 추가 ID를 연결할 수 있습니다.
CRL 발행자. 정의된 옵션에는 rfc822 이름(전자 메일 주소),
DNS 이름, IP 주소 및 URI.

issuerAltNames 중요하지 않은 이름 목록

어디에:

subjAltNames: 0으로 설정해야 하는 확장명을 식별합니다.
중요하지 않은 확장자 이름 목록: 쉼표로 구분된 이름 목록

* CRL 번호 확장 추가:

CRL 번호는 단조 증가를 전달하는 중요하지 않은 CRL 확장입니다.
지정된 CRL 범위 및 CRL 발급자에 대한 시퀀스 번호입니다. 이 확장 프로그램을 통해 사용자는
특정 CRL이 다른 CRL을 대체하는 시기를 쉽게 결정

crlNumber 중요하지 않은 숫자

어디에:

crlNumber: 확장자의 이름을 식별합니다. critical: 0으로 설정해야 합니다.
중요하지 않은 내선 번호: 일련 번호를 식별하는 long 값
CRL.

* 해지 사유 코드 확장 추가:

reasonCode는 문제의 원인을 식별하는 중요하지 않은 CRL 항목 확장입니다.
인증서 취소.

reasonCode 중요하지 않은 코드

어디에:

reasonCode: 확장명을 식별합니다. 중요하지 않음: 0으로 설정해야 합니다.
이것은 중요하지 않은 확장 코드입니다. 다음 코드를 사용할 수 있습니다.

지정되지 않음(0), keyCompromise(1), cACompromise(2), affiliationChanged(3), 대체됨
(4),cessationOfOperation(5),certificateHold(6),removeFromCRL(8),privileWithdrawn
(9), aA타협 (10)

* 무효 날짜 연장 추가:

무효 날짜는 유효 날짜를 제공하는 중요하지 않은 CRL 항목 확장입니다.
개인 키가 손상되었거나 인증서가 손상된 것으로 알려지거나 의심되는 경우
그렇지 않으면 무효가 됩니다.

invalidityDate 중요하지 않은 날짜

어디에:

crlNumber: 확장명을 식별합니다. 중요하지 않음: 0으로 설정해야 합니다.
중요하지 않은 연장 날짜: 인증서의 유효하지 않은 날짜입니다. 날짜는
GeneralizedTime 형식(YYYYMMDDhhmmssZ).

사용법

인증서 해지 목록 관리 도구의 기능은 다음과 같이 그룹화됩니다.
이러한 옵션과 인수의 조합을 사용합니다. 사각형의 옵션 및 인수
대괄호는 선택 사항이며 대괄호가 없는 것은 필수입니다.

확장 및 해당 확장에 대한 자세한 내용은 "구현된 확장"을 참조하십시오.
매개 변수를 설정합니다.

* CRL 생성 또는 수정:

crlutil -G|-M -c crl-gen-file -n 닉네임 [-i crl] [-u url] [-d keydir] [-P dbprefix] [-l alg] [-a] [-B]

* 모든 CRls 또는 명명된 CRL 나열:

crlutil -L [-n crl-이름] [-d krydir]

* db에서 CRL 삭제:

crlutil -D -n 별칭 [-d keydir] [-P dbprefix]

* db에서 CRL 지우기:

crlutil -E [-d 키 디렉터리] [-P dbprefix]

* db에서 CRL 삭제:

crlutil -D -n 별칭 [-d keydir] [-P dbprefix]

* db에서 CRL 지우기:

crlutil -E [-d 키 디렉터리] [-P dbprefix]

* 파일에서 CRL 가져오기:

crlutil -I -i crl [-t crlType] [-u url] [-d keydir] [-P dbprefix] [-B]

onworks.net 서비스를 사용하여 온라인으로 crlutil 사용