Это команда crlutil, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
crlutil - Список, создание, изменение или удаление списков отзыва сертификатов в файле (ах) базы данных безопасности NSS.
и список, создание, изменение или удаление записей сертификатов в конкретном CRL.
СИНТАКСИС
крлутил [кредита] [[Аргументы]]
статус
Работа над этой документацией все еще продолжается. Пожалуйста, внесите свой вклад в первоначальный обзор в
Mozilla NSS ошибка 836477[1]
ОПИСАНИЕ
Инструмент управления списком отозванных сертификатов (CRL), крлутил, это утилита командной строки
который может перечислять, генерировать, изменять или удалять списки отзыва сертификатов в файле (ах) базы данных безопасности NSS
и список, создание, изменение или удаление записей сертификатов в конкретном CRL.
Процесс управления ключами и сертификатами обычно начинается с создания ключей в ключе.
базу данных, а затем создание сертификатов и управление ими в базе данных сертификатов (см.
certutil tool) и продолжается с истечением срока действия или отзывом сертификатов.
В этом документе обсуждается управление списком отзыва сертификатов. Для получения информации о
Управление базой данных модуля безопасности см. в разделе Использование инструмента базы данных модуля безопасности. Для
информацию об управлении базой данных сертификатов и ключей см. в разделе Использование базы данных сертификатов.
Инструмент.
Чтобы запустить средство управления списком отозванных сертификатов, введите команду
опция crlutil [аргументы]
где параметры и аргументы - это комбинации параметров и аргументов, перечисленных в
следующий раздел. Каждая команда имеет один вариант. Каждый вариант может занять ноль или более
аргументы. Чтобы увидеть строку использования, введите команду без параметров или с -H
опцию.
ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ И АРГУМЕНТЫ
Возможности
Параметры определяют действие. Аргументы опции изменяют действие. Варианты и аргументы
для команды crlutil определены следующим образом:
-D
Удалить список отозванных сертификатов из базы данных сертификатов.
-E
Удалить все CRL указанного типа из базы данных сертификатов
-G
Создайте новый список отзыва сертификатов (CRL).
-I
Импортировать CRL в базу данных сертификатов
-L
Перечислить существующие CRL, расположенные в файле базы данных сертификатов.
-M
Измените существующий CRL, который может находиться в базе данных сертификата или в произвольном файле. Если расположен
в файле он должен быть закодирован в формате кодировки ASN.1.
-S
Показать содержимое файла CRL, который не хранится в базе данных.
аргументы
Аргументы опции изменяют действие.
-a
Используйте формат ASCII или разрешите использование формата ASCII для ввода и вывода. Этот
форматирование соответствует RFC # 1113.
-B
Обход проверки подписи ЦС.
-c crl-gen-файл
Укажите файл сценария, который будет использоваться для управления генерацией / модификацией crl. Видеть
crl-cript-файл в формате ниже. Если используются параметры -M | -G, а -c crl-script-file нет
указано, crlutil будет читать данные скрипта из стандартного ввода.
-d каталог
Укажите каталог базы данных, содержащий файлы базы данных сертификатов и ключей. На
В Unix для инструмента базы данных сертификатов по умолчанию используется $ HOME / .netscape (то есть ~ / .netscape).
В Windows NT по умолчанию используется текущий каталог.
Файлы базы данных NSS должны находиться в том же каталоге.
-f файл-паролей
Укажите файл, который будет автоматически содержать пароль для включения в сертификат.
или для доступа к базе данных сертификатов. Это простой текстовый файл, содержащий один
пароль. Обязательно предотвратите несанкционированный доступ к этому файлу.
-i crl-файл
Укажите файл, содержащий CRL для импорта или отображения.
-l имя-алгоритма
Укажите конкретный алгоритм подписи. Список возможных алгоритмов: MD2 | MD4 | MD5 |
ША1 | SHA256 | SHA384 | SHA512
-n ник
Укажите псевдоним сертификата или ключа для включения в список, создания, добавления в базу данных,
изменить или проверить. Заключите строку псевдонима в кавычки, если она содержит
пространства.
-o выходной файл
Укажите имя выходного файла для нового CRL. Заключите строку выходного файла в скобки
кавычки, если он содержит пробелы. Если этот аргумент не используется, вывод
по умолчанию используется стандартный вывод.
-P префикс базы данных
Укажите префикс, используемый в файлах базы данных безопасности NSS (например, my_cert8.db
и my_key3.db). Этот вариант предоставляется как особый случай. Изменение названий
базы данных сертификатов и ключей не рекомендуется.
-t crl-тип
Укажите тип CRL. возможные типы: 0 - SEC_KRL_TYPE, 1 - SEC_CRL_TYPE. Этот
опция устарела
-u URL
Укажите URL-адрес.
-w pwd-строка
Введите пароль базы данных в командной строке.
-Z алгоритм
Укажите алгоритм хеширования, который будет использоваться для подписи CRL.
CRL ПОКОЛЕНИЕ SCRIPT СИНТАКСИС
Файл сценария создания CRL имеет следующий синтаксис:
* Строка с комментариями должна иметь # в качестве первого символа строки
* Установите поля CRL «это обновление» или «следующее обновление»:
update = YYYYMMDDhhmmssZ nextupdate = YYYYMMDDhhmmssZ
Поле «следующее обновление» необязательно. Время должно быть в формате GeneralizedTime.
(ГГГГММДДччммссZ). Например: 20050204153000Z
* Добавьте расширение в CRL или запись сертификата crl:
addext имя-расширения критическое / некритическое [arg1 [arg2 ...]]
Где:
extension-name: строковое значение имени известных расширений. критический / некритический: равно 1
когда расширение критично и 0 в противном случае. arg1, arg2: зависит от типа расширения
параметры расширения
addext использует диапазон, установленный ранее addcert, и устанавливает расширение для
все записи сертификата в пределах диапазона.
* Добавить записи сертификатов в CRL:
дата диапазона addcert
диапазон: два целых значения, разделенных тире: диапазон сертификатов, которые будут добавлены
эту команду. тире используется как разделитель. Будет добавлен только один сертификат, если нет
разделитель. date: дата отзыва сертификата. Дата должна быть представлена в GeneralizedTime
формат (ГГГГММДДччммссZ).
* Удалить записи сертификатов из CRL
диапазон rmcert
Где:
диапазон: два целых значения, разделенных тире: диапазон сертификатов, которые будут добавлены
эту команду. тире используется как разделитель. Будет добавлен только один сертификат, если нет
разделитель.
* Изменить диапазон записей сертификатов в CRL
ассортимент новый диапазон
Где:
new-range: два целочисленных значения, разделенных тире: диапазон сертификатов, которые будут добавлены
по этой команде. тире используется как разделитель. Будет добавлен только один сертификат, если нет
разделитель.
Реализованные расширения
Расширения, определенные для CRL, предоставляют методы для связывания дополнительных атрибутов с
CRL их записей. Для получения дополнительной информации см. RFC # 3280.
* Добавьте расширение идентификатора ключа авторизации:
Расширение идентификатора авторитетного ключа обеспечивает средства идентификации открытого ключа.
соответствует закрытому ключу, используемому для подписи CRL.
authKeyId критический [идентификатор-ключа | dn cert-serial]
Где:
authKeyIdent: идентифицирует имя расширения. Критическое значение: 1 из 0. Должно быть установлено.
в 1, если это расширение является критическим, или 0 в противном случае. key-id: идентификатор ключа, представленный в
октетная строка. dn :: отличительное имя CA cert-serial: серийный номер сертификата органа
номер.
* Добавить расширение альтернативного имени эмитента:
Расширение альтернативных имен эмитента позволяет связывать дополнительные идентификаторы с
эмитент CRL. Определенные параметры включают имя rfc822 (адрес электронной почты),
DNS-имя, IP-адрес и URI.
IssueAltNames некритический список имен
Где:
subjAltNames: идентифицирует имя расширения, которое должно быть установлено в 0, так как это
список имен некритических расширений: список имен, разделенных запятыми
* Добавить расширение номера CRL:
Номер CRL - это некритическое расширение CRL, которое передает монотонно увеличивающийся
порядковый номер для данной области CRL и издателя CRL. Это расширение позволяет пользователям
легко определить, когда конкретный CRL заменяет другой CRL
crlNumber некритическое число
Где:
crlNumber: идентифицирует имя расширения. Критическое значение: должно быть установлено в 0, так как это
некритический добавочный номер: значение long, которое определяет порядковый номер
СРЛ.
* Добавить расширение кода причины отзыва:
Код причины - это некритическое расширение записи CRL, которое определяет причину
отзыв сертификата.
reasonCode некритический код
Где:
reasonCode: идентифицирует имя расширения, некритично: должно быть установлено в 0, так как
это некритичный код расширения: доступны следующие коды:
unspecified (0), keyCompromise (1), cACompromise (2), affiliationChanged (3), заменено
(4), cessationOfOperation (5), certificateHold (6), removeFromCRL (8), PrivilegeWithdrawn
(9), aA Компромисс (10)
* Добавить продление даты недействительности:
Дата недействительности - это некритическое расширение записи CRL, в котором указывается дата, на которую
известно или подозревается, что закрытый ключ был скомпрометирован или сертификат
в противном случае стал недействительным.
недействительность Дата некритическая дата
Где:
crlNumber: идентифицирует имя расширения, некритично: должно быть установлено в 0, так как это
- некритическая дата продления: дата недействительности сертификата. Дата должна быть представлена в
Формат GeneralizedTime (ГГГГММДДччммссZ).
ИСПОЛЬЗОВАНИЕ
Возможности средства управления списком отозванных сертификатов сгруппированы следующим образом:
используя эти комбинации опций и аргументов. Варианты и аргументы в квадрате
скобки необязательны, без квадратных скобок обязательны.
См. «Реализованные расширения» для получения дополнительной информации о расширениях и их
параметры.
* Создание или изменение CRL:
crlutil -G | -M -c crl-gen-file -n ник [-i crl] [-u url] [-d keydir] [-P dbprefix] [-l alg] [-a] [-B]
* Список всех CRL или именованного CRL:
crlutil -L [-n имя-crl] [-d крыдир]
* Удаление CRL из БД:
crlutil -D -n ник [-d каталог ключей] [-P dbprefix]
* Удаление CRL из БД:
crlutil -E [-d каталог ключей] [-P префикс базы данных]
* Удаление CRL из БД:
crlutil -D -n ник [-d каталог ключей] [-P dbprefix]
* Удаление CRL из БД:
crlutil -E [-d каталог ключей] [-P префикс базы данных]
* Импортировать CRL из файла:
crlutil -I -i crl [-t crlType] [-u URL] [-d каталог ключей] [-P префикс базы данных] [-B]
Используйте crlutil онлайн с помощью сервисов onworks.net