这是命令 crlutil,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
crlutil - 列出、生成、修改或删除 NSS 安全数据库文件中的 CRL
并列出、创建、修改或删除特定 CRL 中的证书条目。
概要
工具 [选项] [[参数]]
状态
该文档仍在进行中。 请参与初步审查
Mozilla的 新高中 错误 836477[1]
商品描述
证书吊销列表 (CRL) 管理工具, 工具, 是一个命令行实用程序
可以列出、生成、修改或删除 NSS 安全数据库文件中的 CRL
并列出、创建、修改或删除特定 CRL 中的证书条目。
密钥和证书管理过程通常从在密钥中创建密钥开始
数据库,然后在证书数据库中生成和管理证书(参见
certutil 工具)并继续证书到期或吊销。
本文档讨论证书吊销列表管理。 有关信息
安全模块数据库管理,请参阅使用安全模块数据库工具。 为了
有关证书和密钥数据库管理的信息,请参阅使用证书数据库
工具。
要运行证书吊销列表管理工具,请键入命令
crlutil 选项 [参数]
其中 options 和 arguments 是列表中列出的选项和参数的组合
以下部分。 每个命令都有一个选项。 每个选项可能需要零个或多个
论据。 要查看用法字符串,请发出不带选项或带有 -H 的命令
选项。
配置 AND 争论
附加选项
选项指定一个动作。 选项参数修改一个动作。 选项和参数
crlutil 命令的定义如下:
-D
从证书数据库中删除证书吊销列表。
-E
从 cert 数据库中删除所有指定类型的 CRL
-G
创建新的证书吊销列表 (CRL)。
-I
将 CRL 导入 cert 数据库
-L
列出位于 cert 数据库文件中的现有 CRL。
-M
修改可以位于 cert db 或任意文件中的现有 CRL。 如果位于
在文件中,它应该以 ASN.1 编码格式进行编码。
-S
显示未存储在数据库中的 CRL 文件的内容。
参数
选项参数修改一个动作。
-a
使用 ASCII 格式或允许使用 ASCII 格式进行输入和输出。 这个
格式遵循 RFC #1113。
-B
绕过 CA 签名检查。
-c crl-gen 文件
指定将用于控制 crl 生成/修改的脚本文件。 看
crl-cript-文件格式如下。 如果选项 -M|-G 被使用而 -c crl-script-file 不是
指定,crlutil 将从标准输入读取脚本数据。
-d 目录
指定包含证书和密钥数据库文件的数据库目录。 在
Unix 证书数据库工具默认为 $HOME/.netscape(即 ~/.网景).
在 Windows NT 上,默认值为当前目录。
NSS 数据库文件必须位于同一目录中。
-f 密码文件
指定将自动提供密码以包含在证书中的文件
或访问证书数据库。 这是一个纯文本文件,其中包含一个
密码。 请务必防止未经授权访问此文件。
-i crl-文件
指定包含要导入或显示的 CRL 的文件。
-l 算法名称
指定特定的签名算法。 可能的算法列表:MD2 | MD4 | MD5 |
SHA1 | SHA256 | SHA384512 | SHAXNUMX
-n 昵称
指定要列出、创建、添加到数据库的证书或密钥的昵称,
修改或验证。 如果昵称字符串包含,用引号括起来
空格。
-o 输出文件
指定新 CRL 的输出文件名。 用括号括起输出文件字符串
如果它包含空格,则用引号引起来。 如果未使用此参数,则输出
目标默认为标准输出。
-P 数据库前缀
指定用于 NSS 安全数据库文件的前缀(例如,my_cert8.db
和 my_key3.db)。 此选项作为特殊情况提供。 更改名称
不建议使用证书和密钥数据库。
-t crl 类型
指定 CRL 的类型。 可能的类型有:0 - SEC_KRL_TYPE,1 - SEC_CRL_TYPE。 这个
选项已过时
-u 网址
指定网址。
-w 密码字符串
在命令行中提供数据库密码。
-Z算法
指定用于签署 CRL 的哈希算法。
CRL 代 SCRIPT 句法
CRL 生成脚本文件的语法如下:
* 带有注释的行应该有 # 作为一行的第一个符号
* 设置“本次更新”或“下次更新”CRL 字段:
更新=YYYYMMDDhhmmssZ nextupdate=YYYYMMDDhhmmssZ
字段“下一次更新”是可选的。 时间应为 GeneralizedTime 格式
(YYYYMMDDhhmmssZ)。 例如:20050204153000Z
* 为 CRL 或 crl 证书条目添加扩展:
addext 扩展名关键/非关键 [arg1[arg2 ...]]
地点:
扩展名:已知扩展名的字符串值。 关键/非关键:是 1
当扩展是关键时,否则为 0。 arg1、arg2:特定于扩展类型
扩展参数
addext 使用先前由 addcert 设置的范围,并将安装扩展到
范围内的每个证书条目。
* 将证书条目添加到 CRL:
addcert 范围日期
范围:由破折号分隔的两个整数值:将添加的证书范围
这个命令。 破折号用作分隔符。 如果没有,只会添加一个证书
分隔符。 date:证书的撤销日期。 日期应以 GeneralizedTime 表示
格式 (YYYYMMDDhhmmssZ)。
* 从 CRL 中删除证书条目
rmcert范围
地点:
范围:由破折号分隔的两个整数值:将添加的证书范围
这个命令。 破折号用作分隔符。 如果没有,只会添加一个证书
分隔符。
* 更改 CRL 中证书条目的范围
范围新范围
地点:
new-range:用破折号分隔的两个整数值:将添加的证书范围
通过这个命令。 破折号用作分隔符。 如果没有,只会添加一个证书
分隔符。
已实现的扩展
为 CRL 定义的扩展提供了将附加属性与
他们条目的 CRL。 有关更多信息,请参阅 RFC #3280
* 添加授权密钥标识符扩展:
授权密钥标识符扩展提供了一种识别公钥的方法
对应于用于签署 CRL 的私钥。
authKeyId 关键 [key-id | dn 证书序列]
地点:
authKeyIdent:标识扩展名关键:值为 1 of 0。应该设置
如果此扩展很重要,则为 1,否则为 0。 key-id:表示的密钥标识符
八位字节串。 dn:: 是 CA 专有名称 cert-serial:权威证书序列
数。
* 添加发行人备用名称扩展名:
发行人备用名称扩展允许附加身份与
CRL 的发行人。 定义的选项包括一个 rfc822 名称(电子邮件地址)、一个
DNS 名称、IP 地址和 URI。
issuerAltNames 非关键名称列表
地点:
subjAltNames:标识扩展名应设置为 0,因为这是
非关键扩展名列表:逗号分隔的名称列表
* 添加 CRL 号码扩展:
CRL 编号是一个非关键的 CRL 扩展,它传达了一个单调递增的
给定 CRL 范围和 CRL 颁发者的序列号。 此扩展程序允许用户
轻松确定特定 CRL 何时取代另一个 CRL
crlNumber 非关键数字
地点:
crlNumber:标识扩展名关键:应设置为 0,因为这是
非关键扩展号:long 的值,用于标识一个序列号
CRL。
* 添加撤销原因代码扩展:
reasonCode 是一个非关键的 CRL 条目扩展,用于标识
证书吊销。
reasonCode 非关键代码
地点:
reasonCode:标识非关键扩展的名称:应设置为 0,因为
这是非关键扩展代码:以下代码可用:
未指定 (0)、keyCompromise (1)、cACompromise (2)、affiliationChanged (3)、已被取代
(4)、cessationOfOperation(5)、certificateHold(6)、removeFromCRL(8)、privilegeWithdrawn
(9)、aA妥协(10)
* 添加无效日期扩展:
失效日期是一个非关键的 CRL 条目扩展,它提供了生效日期
已知或怀疑私钥已泄露或证书
否则无效。
invalidityDate 非关键日期
地点:
crlNumber:标识扩展的名称非关键:应设置为 0,因为此
是非关键延期日期:证书的失效日期。 日期应表示在
通用时间格式 (YYYYMMDDhhmmssZ)。
用法
证书吊销列表管理工具的功能分组如下,
使用这些选项和参数的组合。 正方形中的选项和参数
括号是可选的,没有方括号的都是必需的。
有关扩展及其扩展的更多信息,请参阅“已实现的扩展”
参数。
* 创建或修改 CRL:
crlutil -G|-M -c crl-gen-file -n 昵称 [-i crl] [-u url] [-d keydir] [-P dbprefix] [-l alg] [-a] [-B]
* 列出所有 CRls 或命名的 CRL:
crlutil -L [-n crl 名称] [-d krydir]
* 从数据库中删除 CRL:
crlutil -D -n 昵称 [-d keydir] [-P dbprefix]
* 从数据库中删除 CRL:
crlutil -E [-d keydir] [-P dbprefix]
* 从数据库中删除 CRL:
crlutil -D -n 昵称 [-d keydir] [-P dbprefix]
* 从数据库中删除 CRL:
crlutil -E [-d keydir] [-P dbprefix]
* 从文件导入 CRL:
crlutil -I -i crl [-t crlType] [-u url] [-d keydir] [-P dbprefix] [-B]
使用 onworks.net 服务在线使用 crlutil