2.5. コマンドラインインターフェイス

pki コマンドラインインターフェイス (CLI) は、Red Hat Certificate System 計画、インストール、およびデプロイメントのガイド の REST インターフェイス を参照してください。CLI を呼び出すには、以下を実行します。

pki [CLI options] <command> [command parameters]

$ pki [CLI options] <command> [command parameters]

CLI オプションは、コマンドの前に配置する必要があり、コマンドの後にコマンドパラメーターを指定する必要があることに注意してください。

AtoB ユーティリティーは、Base64 でエンコードされた証明書を、同等のバイナリーにデコードします。以下に例を示します。

AtoB input.ascii output.bin

$ AtoB input.ascii output.bin

詳細、その他のオプション、およびその他の例は、AtoB(1) の man ページを参照してください。

AuditVerify ユーティリティーは、ログエントリーの署名を検証して、監査ログの整合性を検証します。

以下に例を示します。

AuditVerify -d ~jsmith/auditVerifyDir -n Log Signing Certificate -a ~jsmith/auditVerifyDir/logListFile -P "" -v

$ AuditVerify -d ~jsmith/auditVerifyDir -n Log Signing Certificate -a ~jsmith/auditVerifyDir/logListFile -P "" -v

この例では、~jsmith/auditVerifyDir NSS データベース (-d) 内の Log Signing Certificate (-n) を使用して監査ログを検証します。検証するログのリスト (-a) は ~jsmith/auditVerifyDir/logListFile ファイルにあります。こちらは、コンマ区切りで時系列順に並べられています。証明書の先頭に接頭辞 (-P) を追加し、キーデータベースのファイル名を空にします。出力レベルは verbose (-v) です。

詳しい内容、その他のオプション、追加の例については、AuditVerify(1) の man ページまたは 「署名監査ログの使用」 を参照してください。

BtoA ユーティリティーは、バイナリーデータを Base64 でエンコードします。以下に例を示します。

BtoA input.bin output.ascii

$ BtoA input.bin output.ascii

詳細、その他のオプション、およびその他の例は、BtoA(1) の man ページを参照してください。

CMCRequest ユーティリティーは、証明書の発行または失効要求を作成します。以下に例を示します。

CMCRequest example.cfg

$ CMCRequest example.cfg

レガシー。使用しないでください。

CMCSharedToken ユーティリティーは、共有秘密の CMC リクエストのユーザーパスフレーズを暗号化します。以下に例を示します。

CMCSharedToken -d . -p myNSSPassword -s "shared_passphrase" -o cmcSharedTok2.b64 -n "subsystemCert cert-pki-tomcat"

$ CMCSharedToken -d . -p myNSSPassword -s "shared_passphrase" -o cmcSharedTok2.b64 -n "subsystemCert cert-pki-tomcat"

共有パスフレーズ (-s) は、現行ディレクトリー (-d) の NSS データベースにある、subsystemCert cert-pki-tomcat (-n) という名前の証明書を使用して暗号化され、cmcSharedtok2.b64 ファイル (-o) に保存されます。デフォルトのセキュリティートークンである internal が使用され (-h が指定されていないため)、トークンへのアクセスにはトークンパスワード myNSSPassword が使用されます。

詳しい情報、その他のオプション、追加の例については、CMCSharedtoken(1) の man ページと 「共有シークレットトークンの作成」 を参照してください。

CRMFPopClient ユーティリティーは、NSS データベースを使用する Certificate Request Message Format (CRMF) クライアントであり、Proof of Possession を提供します。

以下に例を示します。

CRMFPopClient -d . -p password -n "cn=subject_name" -q POP_SUCCESS -b kra.transport -w "AES/CBC/PKCS5Padding" -t false -v -o /user_or_entity_database_directory/example.csr

$ CRMFPopClient -d . -p password -n "cn=subject_name" -q POP_SUCCESS -b kra.transport -w "AES/CBC/PKCS5Padding" -t false -v -o /user_or_entity_database_directory/example.csr

この例では新しい CSR を作成します。その CSR では、cn=subject_name サブジェクト DN (-n)、現行ディレクトリー (-d) の NSS データベース、トランスポートに使用する証明書 kra.transport (-b)、AES/CBC/PKCS5Padding キーラップアルゴリズムの verdose 出力が指定され (-v)、生成される CSR が /user`or_entity_database_directory/example.csr ファイル (-o) に書き込まれます。

詳細やその他のオプション、追加の例は、CRMFPopClient --help コマンドの出力を参照してください。また、「CRMFPopClient を使用して CSR を作成する」 も併せて参照してください。

HttpClient ユーティリティーは、CMC 要求を送信するための NSS 対応 HTTP クライアントです。

以下に例を示します。

HttpClient request.cfg

$ HttpClient request.cfg

証明書失効リストのステータスを確認する Online Certificate Status Protocol (OCSP) クライアント。

以下に例を示します。

OCSPClient -h server.example.com -p 8080 -d /etc/pki/pki-tomcat/alias -c "caSigningCert cert-pki-ca" --serial 2

$ OCSPClient -h server.example.com -p 8080 -d /etc/pki/pki-tomcat/alias -c "caSigningCert cert-pki-ca" --serial 2

この例では、ポート 8080 (-p) 上の server.example.com OCSP サーバー (-h) にクエリーを実行し、シリアル番号 2 (--serial) を持つ caSigningcet cert-pki-ca (-c) によって署名された証明書が有効かどうかを確認します。/etc/pki/pki-tomcat/alias ディレクトリーの NSS データベースが使用されます。

詳細情報、その他のオプション、およびその他の例は、OCSPClient --help コマンドの出力を参照してください。

PKCS10Client ユーティリティーは、必要に応じて HSM 上に RSA キーおよび EC キーの CSR を PKCS10 形式で作成します。

以下に例を示します。

PKCS10Client -d /etc/dirsrv/slapd-instance_name/ -p password -a rsa -l 2048 -o ~/ds.csr -n "CN=$HOSTNAME"

$ PKCS10Client -d /etc/dirsrv/slapd-instance_name/ -p password -a rsa -l 2048 -o ~/ds.csr -n "CN=$HOSTNAME"

この例では、/etc/dirsrv/slapd-instance_name/ ディレクトリー (-d に 2048 ビット (-l) で、新しい RSA (-a) キーを、データベースパスワード password (-p) で作成します。出力 CSR は ~/ds.cfg ファイル (-o) に保存されます。証明書 DN は CN=$HOSTNAME (-n) になります。

詳細、その他のオプション、追加の例については、PKCS10Client(1) の man ページを参照してください。

PrettyPrintCert ユーティリティーは、人間が判読可能な形式で証明書の内容を表示します。

以下に例を示します。

PrettyPrintCert ascii_data.cert

$ PrettyPrintCert ascii_data.cert

このコマンドは、ascii_data.cert ファイルの出力を解析して、その内容を人間が読める形式で表示します。出力には、署名アルゴリズム、指数、モジュール、証明書拡張などの情報が含まれます。

詳細、その他のオプション、追加の例については、PrettyPrintCert(1) の man ページを参照してください。

PrettyPrintCrl ユーティリティーは、CRL ファイルの内容を人間が判読できる形式で表示します。

以下に例を示します。

PrettyPrintCrl ascii_data.crl

$ PrettyPrintCrl ascii_data.crl

このコマンドは、ascii_data.crl ファイルの出力を解析して、その内容を人間が読める形式で表示します。出力には、失効署名アルゴリズム、失効の発行者、取り消された証明書とその理由がリストになったものなどが含まれます。

詳細、その他のオプション、追加の例については、PrettyPrintCrl(1) の man ページを参照してください。

TokenInfo ユーティリティーは、NSS データベース内のトークンをリスト表示します。

以下に例を示します。

TokenInfo ./nssdb/

$ TokenInfo ./nssdb/

このコマンドは、指定のデータベースディレクトリーに登録されたすべてのトークン (HSM、ソフトトークンなど) を表示します。

詳細情報、その他のオプション、追加のについては例は、TokenInfo コマンドの出力を参照してください。

tkstool ユーティリティーは、トークンキーサービス (TKS) サブシステムと対話します。

以下に例を示します。

tkstool -M -n new_master -d /var/lib/pki/pki-tomcat/alias -h token_name

$ tkstool -M -n new_master -d /var/lib/pki/pki-tomcat/alias -h token_name

このコマンドは、HSM token_name の /var/lib/pki/pki-tomcat/alias NSS データベースに new_master (-n) という名前の新しいマスターキー (-M) を作成します。

詳細情報、その他のオプション、およびその他の例は、tkstool -H コマンドの出力を参照してください。