Dit is de opdracht crlutil die kan worden uitgevoerd in de gratis hostingprovider van OnWorks met behulp van een van onze meerdere gratis online werkstations zoals Ubuntu Online, Fedora Online, Windows online emulator of MAC OS online emulator
PROGRAMMA:
NAAM
crlutil - Lijst, genereer, wijzig of verwijder CRL's binnen de NSS-beveiligingsdatabasebestand(en)
en certificatenvermeldingen in een bepaalde CRL weergeven, maken, wijzigen of verwijderen.
KORTE INHOUD
cruutil [opties] [[argumenten]]
STATUS
Aan deze documentatie wordt nog gewerkt. Draag bij aan de eerste beoordeling in
mozilla NSS kever 836477[1]
PRODUCTBESCHRIJVING
De beheertool voor de certificaatintrekkingslijst (CRL), cruutil, is een opdrachtregelprogramma
die CRL's in de NSS-beveiligingsdatabasebestand(en) kan weergeven, genereren, wijzigen of verwijderen
en certificatenvermeldingen in een bepaalde CRL weergeven, maken, wijzigen of verwijderen.
Het sleutel- en certificaatbeheerproces begint over het algemeen met het maken van sleutels in de sleutel
database, vervolgens certificaten genereren en beheren in de certificatendatabase (zie
certutil-tool) en gaat verder met het verlopen of intrekken van certificaten.
Dit document bespreekt het beheer van de lijst met ingetrokken certificaten. Voor informatie over
beveiligingsmodule databasebeheer, zie De Security Module Database Tool gebruiken. Voor
informatie over het beheer van certificaten en sleuteldatabases, zie De certificatendatabase gebruiken
Tool.
Typ de opdracht om het hulpprogramma voor het beheer van de certificaatintrekkingslijst uit te voeren
crlutil-optie [argumenten]
waarbij opties en argumenten combinaties zijn van de opties en argumenten die worden vermeld in de
volgende sectie. Elke opdracht heeft één optie. Elke optie kan nul of meer kosten
argumenten. Om een gebruikstekenreeks te zien, geeft u de opdracht zonder opties of met de -H
optie.
OPTIES EN ARGUMENTEN
Opties
Opties specificeren een actie. Optie-argumenten wijzigen een actie. De opties en argumenten
voor het crlutil-commando zijn als volgt gedefinieerd:
-D
Verwijder de lijst met ingetrokken certificaten uit de certificatendatabase.
-E
Wis alle CRL's van het opgegeven type uit de cert-database
-G
Maak een nieuwe certificaatintrekkingslijst (CRL).
-I
Importeer een CRL naar de cert-database
-L
Maak een lijst van de bestaande CRL in het cert-databasebestand.
-M
Wijzig bestaande CRL die zich in cert db of in een willekeurig bestand kan bevinden. Indien gelegen
in het bestand moet het zijn gecodeerd in het ASN.1-coderingsformaat.
-S
Toon de inhoud van een CRL-bestand dat niet in de database is opgeslagen.
argumenten
Optie-argumenten wijzigen een actie.
-a
Gebruik ASCII-indeling of sta het gebruik van ASCII-indeling toe voor invoer en uitvoer. Dit
formatteren volgt RFC #1113.
-B
Omzeil CA-handtekeningcontroles.
-c crl-gen-bestand
Geef het scriptbestand op dat zal worden gebruikt om het genereren/wijzigen van crl's te regelen. Zien
crl-cript-bestandsindeling hieronder. Als opties -M|-G wordt gebruikt en -c crl-script-bestand niet
opgegeven, leest crlutil scriptgegevens van standaardinvoer.
-d map
Geef de databasedirectory op die de certificaat- en sleuteldatabasebestanden bevat. Op
Unix de Certificate Database Tool is standaard ingesteld op $HOME/.netscape (dat wil zeggen, ~/.netscape).
Op Windows NT is de standaard de huidige directory.
De NSS-databasebestanden moeten zich in dezelfde directory bevinden.
-f wachtwoordbestand
Geef een bestand op dat automatisch het wachtwoord levert dat in een certificaat moet worden opgenomen
of om toegang te krijgen tot een certificaatdatabase. Dit is een bestand met platte tekst dat er een bevat
wachtwoord. Zorg ervoor dat ongeautoriseerde toegang tot dit bestand wordt voorkomen.
-i crl-bestand
Specificeer het bestand dat de CRL bevat om te importeren of weer te geven.
-l algoritme-naam
Geef een specifiek handtekeningalgoritme op. Lijst met mogelijke algoritmen: MD2 | MD4 | MD5 |
SHA1 | SHA256 | SHA384 | SHA512
-n bijnaam
Specificeer de bijnaam van een certificaat of sleutel om te vermelden, aan te maken, toe te voegen aan een database,
wijzigen of valideren. Zet de bijnaamreeks tussen aanhalingstekens als deze bevat
ruimten.
-o uitvoerbestand
Geef de naam van het uitvoerbestand op voor de nieuwe CRL. Zet de tekenreeks van het uitvoerbestand tussen haakjes
aanhalingstekens als er spaties in staan. Als dit argument niet wordt gebruikt, wordt de output
bestemming is standaard ingesteld op standaarduitvoer.
-P dbvoorvoegsel
Geef het voorvoegsel op dat wordt gebruikt in de NSS-beveiligingsdatabasebestanden (bijvoorbeeld my_cert8.db
en mijn_sleutel3.db). Deze optie wordt geleverd als een speciaal geval. Het veranderen van de namen van de
certificaat- en sleuteldatabases wordt niet aanbevolen.
-t crl-type
Geef het type CRL op. mogelijke typen zijn: 0 - SEC_KRL_TYPE, 1 - SEC_CRL_TYPE. Dit
optie is achterhaald
-u-URL
Geef de url op.
-w pwd-tekenreeks
Geef het db-wachtwoord op in de opdrachtregel.
-Z-algoritme
Geef het hash-algoritme op dat moet worden gebruikt voor het ondertekenen van de CRL.
CRL GENERATION SCRIPT SYNTAXIS
CRL-genereringsscriptbestand heeft de volgende syntaxis:
* Regel met opmerkingen moet # hebben als eerste symbool van een regel
* Stel "deze update" of "volgende update" CRL-velden in:
update=JJJJMMDDuummssZ volgende update=JJJJMMDDuummssZ
Veld "volgende update" is optioneel. Tijd moet de indeling GeneralizedTime hebben
(JJJJMMDDuummssZ). Bijvoorbeeld: 20050204153000Z
* Voeg een extensie toe aan een CRL of een crl-certificaatvermelding:
addext extensienaam kritiek/niet-kritiek [arg1[arg2 ...]]
Waar:
extensienaam: tekenreekswaarde van een naam van bekende extensies. kritisch/niet-kritisch: is 1
wanneer extensie kritiek is en anders 0. arg1, arg2: specifiek voor het extensietype
uitbreidingsparameters
addext gebruikt het bereik dat eerder is ingesteld door addcert en installeert een extensie op
elke cert-items binnen het bereik.
* Voeg certificaatinvoer(en) toe aan CRL:
addcert-bereikdatum
bereik: twee gehele getallen gescheiden door een streepje: bereik van certificaten die worden toegevoegd door
deze opdracht. streepje wordt gebruikt als scheidingsteken. Er wordt slechts één certificaat toegevoegd als er geen is
scheidingsteken. datum: intrekkingsdatum van een cert. Datum moet worden weergegeven in GeneralizedTime
formaat (JJJJMMDDuummssZ).
* Verwijder certificaatvermelding(en) uit CRL
rmcert-bereik
Waar:
bereik: twee gehele getallen gescheiden door een streepje: bereik van certificaten die worden toegevoegd door
deze opdracht. streepje wordt gebruikt als scheidingsteken. Er wordt slechts één certificaat toegevoegd als er geen is
scheidingsteken.
* Verander het bereik van certificaatvermelding(en) in CRL
assortiment nieuw assortiment
Waar:
new-range: twee gehele waarden gescheiden door een streepje: bereik van certificaten die zullen worden toegevoegd
door dit commando. streepje wordt gebruikt als scheidingsteken. Er wordt slechts één certificaat toegevoegd als er geen is
scheidingsteken.
Geïmplementeerde extensies
De voor CRL gedefinieerde extensies bieden methoden voor het koppelen van extra attributen aan
CRL's van hun inzendingen. Zie RFC #3280 voor meer informatie
* Voeg de Authority Key Identifier-extensie toe:
De machtigingssleutel-identificatie-extensie biedt een manier om de openbare sleutel te identificeren
overeenkomend met de persoonlijke sleutel die wordt gebruikt om een CRL te ondertekenen.
authKeyId kritiek [sleutel-id | dn cert-serieel]
Waar:
authKeyIdent: identificeert de naam van een extensie kritiek: waarde van 1 van 0. Moet worden ingesteld
op 1 als deze extensie kritiek is of op 0 anders. key-id: sleutel-ID weergegeven in
octet-reeks. dn:: is een DN-naam van de CA cert-serial: serienummer van het autoriteitscertificaat
nummer.
* Alternatieve naamuitbreiding voor uitgever toevoegen:
Met de extensie voor alternatieve namen van uitgevers kunnen extra identiteiten worden gekoppeld
de uitgever van de CRL. Gedefinieerde opties omvatten een rfc822-naam (elektronisch postadres), een
DNS-naam, een IP-adres en een URI.
issuerAltNames niet-kritieke namenlijst
Waar:
subjAltNames: identificeert de naam van een extensie moet worden ingesteld op 0 aangezien dit is
niet-kritieke extensie naamlijst: door komma's gescheiden lijst met namen
* CRL-nummerextensie toevoegen:
Het CRL-nummer is een niet-kritieke CRL-extensie die een monotone toename overbrengt
volgnummer voor een bepaald CRL-bereik en CRL-uitgever. Met deze extensie kunnen gebruikers
gemakkelijk bepalen wanneer een bepaalde CRL een andere CRL vervangt
crlNumber niet-kritiek nummer
Waar:
crlNumber: identificeert de naam van een extensie kritiek: moet worden ingesteld op 0 aangezien dit is
niet-kritisch toestelnummer: waarde van lang die het volgnummer van a identificeert
CRL.
* Uitbreiding Reden voor intrekking toevoegen:
De causeCode is een niet-kritieke CRL-invoerextensie die de reden identificeert voor de
certificaat intrekking.
causeCode niet-kritieke code
Waar:
causeCode: identificeert de naam van een extensie niet-kritiek: moet sindsdien op 0 worden gezet
dit is een niet-kritieke extensiecode: de volgende codes zijn beschikbaar:
niet gespecificeerd (0), keyCompromise (1), cACompromise (2), affiliationChanged (3), vervangen
(4), cessationOfOperation (5), certificateHold (6), removeFromCRL (8), privilegeTeruggetrokken
(9), aA Compromis (10)
* Verlenging invaliditeitsdatum toevoegen:
De ongeldigheidsdatum is een niet-kritieke CRL-invoerextensie die de datum aangeeft waarop
het is bekend of vermoedt dat de privésleutel is gecompromitteerd of dat het certificaat
anders ongeldig werd.
invalidityDate niet-kritieke datum
Waar:
crlNumber: identificeert de naam van een niet-kritieke extensie: moet sindsdien op 0 worden gezet
is niet-kritieke verlengingsdatum: ongeldigheidsdatum van een cert. Datum moet worden weergegeven in
Gegeneraliseerde tijdnotatie (JJJJMMDDuummssZ).
GEBRUIK
De mogelijkheden van het hulpprogramma voor het beheer van de certificaatintrekkingslijst zijn als volgt gegroepeerd:
gebruik van deze combinaties van opties en argumenten. Opties en argumenten in het vierkant
haakjes zijn optioneel, haakjes zonder vierkante haakjes zijn vereist.
Zie "Geïmplementeerde extensies" voor meer informatie over extensies en hun
parameters.
* Een CRL maken of wijzigen:
crlutil -G|-M -c crl-gen-bestand -n bijnaam [-i crl] [-u url] [-d keydir] [-P dbprefix] [-l alg] [-a] [-B]
* Een lijst van alle CRl's of een benoemde CRL:
crlutil -L [-n crl-naam] [-d krydir]
* CRL verwijderen uit db:
crlutil -D -n bijnaam [-d keydir] [-P dbprefix]
* CRL's wissen van db:
crlutil -E [-d sleutelmap] [-P dbprefix]
* CRL verwijderen uit db:
crlutil -D -n bijnaam [-d keydir] [-P dbprefix]
* CRL's wissen van db:
crlutil -E [-d sleutelmap] [-P dbprefix]
* Importeer CRL uit bestand:
crlutil -I -i crl [-t crlType] [-u url] [-d sleutelmap] [-P dbprefix] [-B]
Gebruik crlutil online met behulp van onworks.net-services
