这是 pk12util 命令,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
pk12util - 从 PKCS #12 文件和 NSS 导出和导入密钥和证书
数据库
概要
pk12util [-i p12File|-l p12File|-o p12File] [-d [sql:]directory] [-h tokenname]
[-P dbprefix] [-r] [-v] [-k slotPasswordFile|-K slotPassword]
[-w p12filePassword文件|-W p12filePassword]
状态
该文档仍在进行中。 请参与初步审查
Mozilla的 新高中 错误 836477[1]
商品描述
PKCS #12 实用程序, pk12util, 允许在任何服务器之间共享证书
支持 PKCS#12。 该工具可以将 PKCS#12 文件中的证书和密钥导入到
安全数据库、导出证书以及列出证书和密钥。
配置 AND 争论
附加选项
-i p12 文件
将密钥和证书从 PKCS#12 文件导入安全数据库。
-l p12 文件
列出 PKCS#12 文件中的密钥和证书。
-o p12文件
将密钥和证书从安全数据库导出到 PKCS#12 文件。
参数
-c 密钥密码
指定密钥加密算法。
-C 证书密码
指定密钥证书(整体包)加密算法。
-d [sql:]目录
指定从证书导入或导出的数据库目录
键。
pk12util 支持两种类型的数据库:遗留安全数据库(cert8.db、
key3.db 和 secmod.db)和新的 SQLite 数据库(cert9.db、key4.db 和 pkcs11.txt)。
如果是前缀 sql: 未使用,则该工具假定给定的数据库在
旧格式。
-h 令牌名
指定要导入或导出的令牌的名称。
-k 插槽密码文件
指定包含插槽密码的文本文件。
-K 插槽密码
指定插槽的密码。
-m | --key-len 密钥长度
指定用于加密私钥的对称密钥的所需长度。
-n | --cert-key-len 证书密钥长度
指定用于加密证书的对称密钥的所需长度
和其他元数据。
-n 证书名称
指定要导出的证书和私钥的昵称。
-P 前缀
指定用于证书和密钥数据库的前缀。 提供此选项
作为特例。 更改证书和密钥数据库的名称不是
建议。
-r
以原始(二进制)形式转储所有数据。 这必须保存为 DER 文件。 这
默认是以漂亮打印的 ASCII 格式返回信息,它显示
p12 文件中有关证书和公钥的信息。
-v
导入时启用调试日志记录。
-w p12file密码文件
指定包含 pkcs #12 文件密码的文本文件。
-W p12文件密码
指定 pkcs #12 文件密码。
返回 编码
· 0 - 没有错误
· 1 - 用户取消
· 2 - 使用错误
· 6 - NLS 初始化错误
· 8 - 证书数据库打开错误
· 9 - 密钥数据库打开错误
· 10 - 文件初始化错误
· 11 - Unicode 转换错误
· 12 - 临时文件创建错误
· 13 - PKCS11 获取插槽错误
· 14 - PKCS12 解码器启动错误
· 15 - 从导入文件读取错误
· 16 - pkcs12 解码错误
· 17 - pkcs12 解码器验证错误
· 18 - pkcs12 解码器验证包错误
· 19 - pkcs12解码器导入包错误
· 20 - 键数据库转换版本 3 到版本 2 错误
· 21 - 证书数据库转换版本 7 到版本 5 错误
· 22 - 证书和密钥数据库补丁错误
· 23 - 获取默认证书数据库错误
· 24 - 按昵称查找证书错误
· 25 - 创建导出上下文错误
· 26 - PKCS12 添加密码完整性错误
· 27 - 证书和密钥保险箱创建错误
· 28 - PKCS12 添加证书和密钥错误
· 29 - PKCS12 编码错误
示例
输入 Keys 和 证书
最基本的用法 pk12util 用于导入证书或密钥的是 PKCS#12 输入
文件(-i) 和某种指定正在访问的安全数据库的方法(或者 -d 查阅
目录或 -h 为令牌)。
pk12util -i p12File [-h tokenname] [-v] [-d [sql:]directory] [-P dbprefix] [-k
slotPasswordFile|-K slotPassword] [-w p12filePasswordFile|-W p12filePassword]
例如:
# pk12util -i /tmp/cert-files/users.p12 -d sql:/home/my/sharednssdb
输入将用于加密您的密钥的密码。
密码长度至少为 8 个字符,
并且应至少包含一个非字母字符。
输入新密码:
重新输入密码:
输入 PKCS12 文件的密码:
pk12util:PKCS12 导入成功
导出 Keys 和 证书
使用 pk12util 导出证书和密钥的命令需要
从数据库中提取的证书(-n) 和 PKCS#12 格式的输出文件
写给。 有一些可选参数可用于加密文件以保护
证明材料。
pk12util -o p12File -n 证书名称 [-c keyCipher] [-C certCipher] [-m|--key_len keyLen]
[-n|--cert_key_len certKeyLen] [-d [sql:]directory] [-P dbprefix] [-k slotPasswordFile|-K
插槽密码] [-w p12filePasswordFile|-W p12filePassword]
例如:
# pk12util -o certs.p12 -n 服务器证书 -d sql:/home/my/sharednssdb
输入 PKCS12 文件的密码:
重新输入密码:
上市 Keys 和 证书
.p12 文件中的信息不是人类可读的。 中的证书和密钥
文件可以以人类可读的漂亮打印格式打印(列出),该格式显示
.p12 文件中每个证书和任何公钥的信息。
pk12util -l p12File [-h tokenname] [-r] [-d [sql:]directory] [-P dbprefix] [-k
slotPasswordFile|-K slotPassword] [-w p12filePasswordFile|-W p12filePassword]
例如,这将打印默认的 ASCII 输出:
# pk12util -l certs.p12
输入 PKCS12 文件的密码:
钥匙(隐藏):
友好名称:Thawte Freemail 会员的 Thawte Consulting (Pty) Ltd. ID
加密算法:PKCS #12 V2 PBE With SHA-1 And 3KEY Triple DES-CBC
参数:
盐
45:2e:6a:a0:03:4d:7b:a1:63:3c:15:ea:67:37:62:1f
迭代次数:1 (0x1)
证书:
日期:
版本:3 (0x2)
序列号:13 (0xd)
签名算法:使用 RSA 加密的 PKCS #1 SHA-1
发行人:“E=[电子邮件保护],CN=Thawte 个人免费邮箱 C
A,OU=认证服务部,O=Thawte Consulting,L=Cape T
自己的,ST=西开普省,C=ZA"
或者, -r 打印证书,然后将它们导出到单独的 DER
二进制文件。 这允许将证书提供给另一个支持的应用程序
.p12 文件。 每个证书都写入一个按顺序编号的文件,以
file0001.der 并继续通过 file000N.der,为每个增加数字
证书:
pk12util -l 测试.p12 -r
输入 PKCS12 文件的密码:
钥匙(隐藏):
友好名称:Thawte Freemail 会员的 Thawte Consulting (Pty) Ltd. ID
加密算法:PKCS #12 V2 PBE With SHA-1 And 3KEY Triple DES-CBC
参数:
盐
45:2e:6a:a0:03:4d:7b:a1:63:3c:15:ea:67:37:62:1f
迭代次数:1 (0x1)
证书友好名称:Thawte Personal Freemail 颁发 CA - Thawte Consulting
证书友好名称:Thawte Freemail 会员的 Thawte Consulting (Pty) Ltd. ID
密码 加密
PKCS#12 不仅提供私钥的保护,还提供证书的保护
和与键关联的元数据。 基于密码的加密用于保护
导出到 PKCS#12 文件和(可选)整个包时的私钥。 如果不
指定算法,工具默认使用 PKCS12 V2 PBE - SHA1 和 3KEY 三倍
DES-CBC 用于私钥加密。 PKCS12 V2 PBE - SHA1 和 40 位 RC4 是默认值
用于非 FIPS 模式时的整体包加密。 在 FIPS 模式下,没有
包加密。
默认情况下,私钥始终受到强加密保护。
支持多种类型的密码。
PKCS#5 V2 的对称 CBC 密码
· DES-CBC
· RC2-CBC
· RC5-CBCPad
· DES-EDE3-CBC(密钥加密的默认值)
·AES-128-CBC
·AES-192-CBC
·AES-256-CBC
·茶花-128-CBC
·茶花-192-CBC
·茶花-256-CBC
PKCS#12 PBE 密码
· PKCS #12 PBE 与 Sha1 和 128 位 RC4
· PKCS #12 PBE 与 Sha1 和 40 位 RC4
· PKCS #12 PBE,带 Sha1 和三重 DES CBC
· PKCS #12 PBE 与 Sha1 和 128 位 RC2 CBC
· PKCS #12 PBE 与 Sha1 和 40 位 RC2 CBC
· 带有 SHA12 和 2 位 RC1 的 PKCS128 V4 PBE
· 带有 SHA12 和 2 位 RC1 的 PKCS40 V4 PBE(非 FIPS 模式的默认设置)
· 带有 SHA12 和 2KEY Triple DES-cbc 的 PKCS1 V3 PBE
· 带有 SHA12 和 2KEY Triple DES-cbc 的 PKCS1 V2 PBE
· 带有 SHA12 和 2 位 RC1 CBC 的 PKCS128 V2 PBE
· 带有 SHA12 和 2 位 RC1 CBC 的 PKCS40 V2 PBE
PKCS#5 PBE 密码
· PKCS #5 基于密码的 MD2 和 DES CBC 加密
· PKCS #5 基于密码的 MD5 和 DES CBC 加密
· PKCS #5 基于密码的加密,使用 SHA1 和 DES CBC
使用 PKCS#12,加密提供程序可以是软令牌模块或外部硬件
模块。 如果加密模块不支持请求的算法,则
将选择下一个最佳拟合(通常是默认值)。 如果没有合适的替代品
可以找到所需的算法,工具返回错误 没有 安全 模块 能够 演出
这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 要求 操作.
新高中 数据库 类型
NSS 最初使用 BerkeleyDB 数据库来存储安全信息。 最后的版本
这些 遗产 数据库是:
· cert8.db 用于证书
· key3.db 用于密钥
· secmod.db 用于 PKCS #11 模块信息
但是,BerkeleyDB 有性能限制,这阻止了它被
多个应用程序同时进行。 NSS 具有一定的灵活性,允许应用程序
使用他们自己的独立数据库引擎,同时保持共享数据库和工作
围绕访问问题。 尽管如此,NSS 需要更大的灵活性来提供真正共享的
安全数据库。
2009 年,NSS 引入了一组新的数据库,这些数据库是 SQLite 数据库而不是
伯克利数据库。 这些新数据库提供了更多的可访问性和性能:
· cert9.db 用于证书
· key4.db 用于密钥
· pkcs11.txt,它列出了包含在一个新文件中的所有 PKCS #11 模块
安全数据库目录中的子目录
因为 SQLite 数据库被设计为共享的,所以这些是 共用的, 数据库
类型。 共享数据库类型优先; 旧格式包含在向后
兼容性。
默认情况下,工具 (CERTUTIL, pk12util, 修改器) 假设给定的安全性
数据库遵循更常见的遗留类型。 必须手动使用 SQLite 数据库
通过使用指定 sql: 给定安全目录的前缀。 例如:
# pk12util -i /tmp/cert-files/users.p12 -d sql:/home/my/sharednssdb
要将共享数据库类型设置为工具的默认类型,请设置
NSS_DEFAULT_DB_TYPE 环境变量 SQL:
导出 NSS_DEFAULT_DB_TYPE="sql"
此行可以设置添加到 在〜/ .bashrc 文件以使更改永久化。
大多数应用程序默认不使用共享数据库,但可以将它们配置为
使用它们。 例如,这篇文章介绍了如何配置 Firefox 和 Thunderbird
使用新的共享 NSS 数据库:
· https://wiki.mozilla.org/NSS_Shared_DB_Howto
有关共享 NSS 数据库更改的工程草案,请参阅 NSS 项目
维基:
· https://wiki.mozilla.org/NSS_Shared_DB
使用 onworks.net 服务在线使用 pk12util
