Đây là lệnh crlutil có thể chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
crlutil - Liệt kê, tạo, sửa đổi hoặc xóa CRL trong (các) tệp cơ sở dữ liệu bảo mật NSS
và liệt kê, tạo, sửa đổi hoặc xóa các mục nhập chứng chỉ trong một CRL cụ thể.
SYNOPSIS
crutil [lựa chọn] [ [đối số]]
TÌNH TRẠNG
Tài liệu này vẫn đang được tiến hành. Vui lòng đóng góp cho đánh giá ban đầu trong
Mozilla NSS lỗi 836477[1]
MÔ TẢ
Công cụ quản lý danh sách thu hồi chứng chỉ (CRL), crutil, là một tiện ích dòng lệnh
có thể liệt kê, tạo, sửa đổi hoặc xóa CRL trong (các) tệp cơ sở dữ liệu bảo mật NSS
và liệt kê, tạo, sửa đổi hoặc xóa các mục nhập chứng chỉ trong một CRL cụ thể.
Quá trình quản lý khóa và chứng chỉ thường bắt đầu bằng việc tạo khóa trong khóa
cơ sở dữ liệu, sau đó tạo và quản lý chứng chỉ trong cơ sở dữ liệu chứng chỉ (xem
công cụ certutil) và tiếp tục với chứng chỉ hết hạn hoặc bị thu hồi.
Tài liệu này thảo luận về quản lý danh sách thu hồi chứng chỉ. Để biết thông tin về
quản lý cơ sở dữ liệu mô-đun bảo mật, hãy xem Sử dụng Công cụ cơ sở dữ liệu mô-đun bảo mật. Vì
thông tin về chứng chỉ và quản lý cơ sở dữ liệu khóa, hãy xem Sử dụng cơ sở dữ liệu chứng chỉ
Dụng cụ.
Để chạy Công cụ quản lý danh sách thu hồi chứng chỉ, hãy nhập lệnh
tùy chọn crlutil [đối số]
trong đó các tùy chọn và đối số là sự kết hợp của các tùy chọn và đối số được liệt kê trong
Phần sau. Mỗi lệnh có một tùy chọn. Mỗi tùy chọn có thể không hoặc nhiều hơn
tranh luận. Để xem một chuỗi sử dụng, hãy đưa ra lệnh không có tùy chọn hoặc với -H
tùy chọn.
LỰA CHỌN VÀ TRANH LUẬN
Các lựa chọn
Tùy chọn chỉ định một hành động. Đối số tùy chọn sửa đổi một hành động. Các tùy chọn và đối số
đối với lệnh crlutil được định nghĩa như sau:
-D
Xóa danh sách thu hồi chứng chỉ khỏi cơ sở dữ liệu chứng chỉ.
-E
Xóa tất cả CRL thuộc loại được chỉ định khỏi cơ sở dữ liệu chứng chỉ
-G
Tạo Danh sách Thu hồi Chứng chỉ (CRL) mới.
-I
Nhập CRL vào cơ sở dữ liệu chứng chỉ
-L
Liệt kê CRL hiện có trong tệp cơ sở dữ liệu chứng chỉ.
-M
Sửa đổi CRL hiện có có thể nằm trong db cert hoặc trong tệp tùy ý. Nếu nằm
trong tệp, nó phải được mã hóa ở định dạng mã hóa ASN.1.
-S
Hiển thị nội dung của tệp CRL không được lưu trữ trong cơ sở dữ liệu.
Lập luận
Đối số tùy chọn sửa đổi một hành động.
-a
Sử dụng định dạng ASCII hoặc cho phép sử dụng định dạng ASCII cho đầu vào và đầu ra. Cái này
định dạng theo RFC # 1113.
-B
Bỏ qua kiểm tra chữ ký CA.
-c crl-gen-tệp
Chỉ định tệp tập lệnh sẽ được sử dụng để kiểm soát việc tạo / sửa đổi crl. Nhìn thấy
định dạng crl-cript-file bên dưới. Nếu tùy chọn -M | -G được sử dụng và -c crl-script-file thì không
được chỉ định, crlutil sẽ đọc dữ liệu tập lệnh từ đầu vào chuẩn.
thư mục -d
Chỉ định thư mục cơ sở dữ liệu chứa chứng chỉ và các tệp cơ sở dữ liệu khóa. Trên
Unix Công cụ cơ sở dữ liệu chứng chỉ mặc định là $ HOME / .netscape (nghĩa là ~ / .netscape).
Trên Windows NT, mặc định là thư mục hiện tại.
Các tệp cơ sở dữ liệu NSS phải nằm trong cùng một thư mục.
-f mật khẩu-tệp
Chỉ định một tệp sẽ tự động cung cấp mật khẩu để đưa vào chứng chỉ
hoặc để truy cập cơ sở dữ liệu chứng chỉ. Đây là một tệp văn bản thuần túy chứa một
mật khẩu mở khóa. Đảm bảo ngăn chặn truy cập trái phép vào tệp này.
-i crl-tệp
Chỉ định tệp chứa CRL để nhập hoặc hiển thị.
-l-tên thuật toán
Chỉ định một thuật toán chữ ký cụ thể. Danh sách các thuật toán khả thi: MD2 | MD4 | MD5 |
SHA1 | SHA256 | SHA384 | SHA512
-n biệt danh
Chỉ định biệt hiệu của chứng chỉ hoặc khóa để liệt kê, tạo, thêm vào cơ sở dữ liệu,
sửa đổi hoặc xác thực. Dấu ngoặc nhọn chuỗi biệt hiệu bằng dấu ngoặc kép nếu nó chứa
khoảng trống.
-o đầu ra-tệp
Chỉ định tên tệp đầu ra cho CRL mới. Dấu ngoặc cho chuỗi tệp đầu ra với
dấu ngoặc kép nếu nó chứa khoảng trắng. Nếu đối số này không được sử dụng, đầu ra
đích mặc định là đầu ra tiêu chuẩn.
-P tiền tố db
Chỉ định tiền tố được sử dụng trên các tệp cơ sở dữ liệu bảo mật NSS (ví dụ: my_cert8.db
và my_key3.db). Tùy chọn này được cung cấp như một trường hợp đặc biệt. Thay đổi tên của
chứng chỉ và cơ sở dữ liệu chính không được khuyến khích.
-t kiểu crl
Chỉ định loại CRL. các loại có thể là: 0 - SEC_KRL_TYPE, 1 - SEC_CRL_TYPE. Cái này
tùy chọn đã lỗi thời
url -u
Chỉ định url.
-w pwd-chuỗi
Cung cấp mật khẩu db trong dòng lệnh.
-Z thuật toán
Chỉ định thuật toán băm để sử dụng để ký CRL.
C.R.L. TẠO SCRIPT TỔNG HỢP
Tệp tập lệnh tạo CRL có cú pháp sau:
* Dòng có chú thích phải có # làm ký hiệu đầu tiên của dòng
* Đặt trường CRL "bản cập nhật này" hoặc "bản cập nhật tiếp theo":
update = YYYYMMDDhhmmssZ nextupdate = YYYYMMDDhhmmssZ
Trường "cập nhật tiếp theo" là tùy chọn. Thời gian phải ở định dạng GeneralizedTime
(YYYYMMDDhhmmssZ). Ví dụ: 20050204153000Z
* Thêm phần mở rộng vào mục nhập chứng chỉ CRL hoặc crl:
phần mở rộng addext-tên quan trọng / không quan trọng [arg1 [arg2 ...]]
Địa điểm:
extension-name: giá trị chuỗi của tên của các phần mở rộng đã biết. quan trọng / không quan trọng: là 1
khi phần mở rộng là quan trọng và bằng 0 nếu không. arg1, arg2: cụ thể cho kiểu mở rộng
thông số mở rộng
addext sử dụng phạm vi đã được addcert đặt trước đó và sẽ cài đặt một phần mở rộng để
mọi mục nhập chứng chỉ trong phạm vi.
* Thêm (các) mục nhập chứng chỉ vào CRL:
phạm vi addcert ngày
phạm vi: hai giá trị số nguyên được phân tách bằng dấu gạch ngang: phạm vi chứng chỉ sẽ được thêm vào
lệnh này. dấu gạch ngang được sử dụng làm dấu phân cách. Chỉ một chứng chỉ sẽ được thêm vào nếu không có
dấu phân cách. date: ngày thu hồi chứng chỉ. Ngày phải được thể hiện trong GeneralizedTime
định dạng (YYYYMMDDhhmmssZ).
* Xóa (các) mục nhập chứng chỉ khỏi CRL
phạm vi rmcert
Địa điểm:
phạm vi: hai giá trị số nguyên được phân tách bằng dấu gạch ngang: phạm vi chứng chỉ sẽ được thêm vào
lệnh này. dấu gạch ngang được sử dụng làm dấu phân cách. Chỉ một chứng chỉ sẽ được thêm vào nếu không có
dấu phân cách.
* Thay đổi phạm vi của (các) mục nhập chứng chỉ trong CRL
phạm vi phạm vi mới
Địa điểm:
new-range: hai giá trị số nguyên được phân tách bằng dấu gạch ngang: phạm vi chứng chỉ sẽ được thêm vào
bằng lệnh này. dấu gạch ngang được sử dụng làm dấu phân cách. Chỉ một chứng chỉ sẽ được thêm vào nếu không có
dấu phân cách.
Các tiện ích mở rộng đã triển khai
Các phần mở rộng được xác định cho CRL cung cấp các phương pháp để liên kết các thuộc tính bổ sung với
CRL của các mục nhập của họ. Để biết thêm thông tin, hãy xem RFC # 3280
* Thêm phần mở rộng Mã định danh chính xác:
Phần mở rộng định danh khóa ủy quyền cung cấp phương tiện xác định khóa công khai
tương ứng với khóa riêng được sử dụng để ký CRL.
authKeyId tới hạn [key-id | dn cert-serial]
Địa điểm:
authKeyIdent: xác định tên của tiện ích mở rộng quan trọng: giá trị bằng 1 trong số 0. Nên được đặt
thành 1 nếu phần mở rộng này là quan trọng hoặc 0 nếu không. key-id: mã định danh khóa được đại diện trong
chuỗi octet. dn :: là một tên phân biệt CA cert-serial: sê-ri chứng chỉ ủy quyền
con số.
* Thêm tiện ích mở rộng Tên thay thế của Nhà phát hành:
Phần mở rộng tên thay thế của nhà phát hành cho phép các danh tính bổ sung được liên kết với
tổ chức phát hành CRL. Các tùy chọn được xác định bao gồm tên rfc822 (địa chỉ thư điện tử),
Tên DNS, địa chỉ IP và URI.
danh sách tên không quan trọng của người phát hànhAltNames
Địa điểm:
subjAltNames: xác định tên của tiện ích mở rộng phải được đặt thành 0 vì đây là
danh sách tên phần mở rộng không quan trọng: danh sách tên được phân tách bằng dấu phẩy
* Thêm phần mở rộng Số CRL:
Số CRL là một phần mở rộng CRL không quan trọng, nó truyền tải một đơn điệu tăng
số thứ tự cho phạm vi CRL nhất định và tổ chức phát hành CRL. Tiện ích mở rộng này cho phép người dùng
dễ dàng xác định khi một CRL cụ thể thay thế một CRL khác
crlNumber số không quan trọng
Địa điểm:
crlNumber: xác định tên của tiện ích mở rộng quan trọng: nên được đặt thành 0 vì đây là
số mở rộng không quan trọng: giá trị của long xác định số thứ tự của một
CRL.
* Thêm phần mở rộng Mã Lý do Thu hồi:
Mã lý do là một phần mở rộng mục nhập CRL không quan trọng xác định lý do cho
thu hồi chứng chỉ.
mã lý do mã không quan trọng
Địa điểm:
reasonCode: xác định tên của tiện ích mở rộng không quan trọng: nên được đặt thành 0 vì
đây là mã tiện ích mở rộng không quan trọng: có các mã sau:
không xác định (0), keyCompromise (1), cACompromise (2), affiliationChanged (3), được thay thế
(4), cessationOfOperation (5), certificateHold (6), removeFromCRL (8) ,vilegeWithdrawn
(9), aAThỏa hiệp (10)
* Thêm phần mở rộng Ngày Không hợp lệ:
Ngày không hợp lệ là một phần mở rộng mục nhập CRL không quan trọng cung cấp ngày mà
người ta đã biết hoặc nghi ngờ rằng khóa cá nhân đã bị xâm phạm hoặc chứng chỉ
nếu không thì đã trở thành không hợp lệ.
không hợp lệ Ngày không quan trọng
Địa điểm:
crlNumber: xác định tên của tiện ích mở rộng không quan trọng: nên được đặt thành 0 vì điều này
là ngày gia hạn không quan trọng: ngày mất hiệu lực của chứng chỉ. Ngày phải được thể hiện bằng
Định dạng thời gian tổng quát (YYYYMMDDhhmmssZ).
SỬ DỤNG
Các khả năng của Công cụ quản lý danh sách thu hồi chứng chỉ được nhóm lại như sau,
bằng cách sử dụng các kết hợp tùy chọn và đối số này. Các tùy chọn và đối số trong ô vuông
dấu ngoặc là tùy chọn, những dấu không có dấu ngoặc vuông là bắt buộc.
Xem "Tiện ích mở rộng đã triển khai" để biết thêm thông tin về tiện ích mở rộng và
thông số.
* Tạo hoặc sửa đổi CRL:
crlutil -G | -M -c crl-gen-file -n nickname [-i crl] [-u url] [-d keydir] [-P dbprefix] [-l alg] [-a] [-B]
* Liệt kê tất cả CRls hoặc CRL được đặt tên:
crlutil -L [-n crl-name] [-d krydir]
* Xóa CRL khỏi db:
biệt hiệu crlutil -D -n [-d keydir] [-P dbprefix]
* Xóa CRL khỏi db:
crlutil -E [-d keydir] [-P dbprefix]
* Xóa CRL khỏi db:
biệt hiệu crlutil -D -n [-d keydir] [-P dbprefix]
* Xóa CRL khỏi db:
crlutil -E [-d keydir] [-P dbprefix]
* Nhập CRL từ tệp:
crlutil -I -i crl [-t crlType] [-u url] [-d keydir] [-P dbprefix] [-B]
Sử dụng crlutil trực tuyến bằng các dịch vụ onworks.net