红帽全球峰会2.5. 命令行界面
本节讨论命令行工具。
2.5.1. "pki" CLI
pki 命令行界面(CLI)提供对使用 REST 接口的各种服务的访问(请参阅 Red Hat Certificate System 规划、安装和部署指南中的 REST 接口部分)。您可以按如下方式调用 CLI:
pki [CLI options] <command> [command parameters]
$ pki [CLI options] <command> [command parameters]请注意,必须在命令前放置 CLI 选项,并在命令后面使用命令参数。
2.5.1.1. pki CLI 初始化
要第一次使用命令行界面,请指定新密码并使用以下命令:
pki -c <password> client-init
Copy to clipboardCopied$ pki -c <password> client-init这将在
~/.dogtag/nssdb目录中创建一个新的客户端 NSS 数据库。必须在使用客户端 NSS 数据库的所有 CLI 操作中指定密码。
或者,如果密码存储在文件中,您可以使用 the -C 选项指定文件。例如:
pki -C password_file client-init
Copy to clipboardCopied$ pki -C password_file client-init- 要将 CA 证书导入到客户端 NSS 数据库中,请参阅 Red Hat Certificate System 规划、安装和部署指南中的 将 证书导入到 NSS 数据库 部分。
有些命令可能需要客户端证书身份验证。要将现有客户端证书及其密钥导入到客户端 NSS 数据库中,请指定 PKCSautomationhub 文件和密码,并执行以下命令:
从
.p12文件提取 admin 客户端证书:openssl pkcs12 -in file -clcerts -nodes -nokeys -out file.crt
Copy to clipboardCopied$ openssl pkcs12 -in file -clcerts -nodes -nokeys -out file.crt验证并导入 admin 客户端证书,如 Red Hat Certificate System Planning、Installing 和 Deployment Guide 中的 Managing Certificate /Key Crypto Token 部分所述:
PKICertImport -d ~/.dogtag/nssdb -n "nickname" -t ",," -a -i file.crt -u C
Copy to clipboardCopied$ PKICertImport -d ~/.dogtag/nssdb -n "nickname" -t ",," -a -i file.crt -u C
在导入 CA admin 客户端证书前,请确保所有中间证书和 root CA 证书都已导入。
要将现有客户端证书及其密钥导入到客户端 NSS 数据库中,请指定 PKCS the 文件和密码,并执行以下命令:
pki -c <password> pkcs12-import --pkcs12-file <file> --pkcs12-password <password>
Copy to clipboardCopied$ pki -c <password> pkcs12-import --pkcs12-file <file> --pkcs12-password <password>要验证客户端证书,请运行以下命令:
certutil -V -u C -n "nickname" -d ~/.dogtag/nssdb
Copy to clipboardCopiedcertutil -V -u C -n "nickname" -d ~/.dogtag/nssdb
2.5.1.2. 使用"pki"CLI
命令行界面支持以分级结构组织的多个命令。要列出顶层命令,请在没有任何附加命令或参数的情况下执行
pki命令:pki
Copy to clipboardCopied$ pki有些命令有子命令。要列出它们,请使用命令名称执行
pki,且没有附加选项。例如:pki ca
Copy to clipboardCopied$ pki capki ca-cert
Copy to clipboardCopied$ pki ca-cert要查看命令用法信息,请使用 the -help 选项:
pki --help
Copy to clipboardCopied$ pki --helppki ca-cert-find --help
Copy to clipboardCopied$ pki ca-cert-find --help要查看手册页,请指定
help命令:pki help
Copy to clipboardCopied$ pki helppki help ca-cert-find
Copy to clipboardCopied$ pki help ca-cert-find要执行不需要身份验证的命令,请指定命令及其参数(如果需要),例如:
pki ca-cert-find
Copy to clipboardCopied$ pki ca-cert-find要执行需要客户端证书身份验证的命令,请指定证书别名、客户端 NSS 数据库密码以及服务器 URL (可选):
pki -U <server URL> -n <nickname> -c <password> <command> [command parameters]
Copy to clipboardCopied$ pki -U <server URL> -n <nickname> -c <password> <command> [command parameters]例如:
pki -n jsmith -c password ca-user-find ...
Copy to clipboardCopied$ pki -n jsmith -c password ca-user-find ...默认情况下,CLI 通过
http://local_host_name:8080 与服务器通信。要在不同位置与服务器通信,请使用 -U 选项指定 URL,例如:pki -U https://server.example.com:8443 -n jsmith -c password ca-user-find
Copy to clipboardCopied$ pki -U https://server.example.com:8443 -n jsmith -c password ca-user-find
2.5.2. AtoB
AtoB 实用程序将 Base64 编码的证书解码成其二进制等效证书。例如:
AtoB input.ascii output.bin
$ AtoB input.ascii output.bin
详情请查看 AtoB (1) 手册页。
2.5.3. AuditVerify
auditVerify 工具通过在日志条目上验证签名来验证审计日志的完整性。
例如:
AuditVerify -d ~jsmith/auditVerifyDir -n Log Signing Certificate -a ~jsmith/auditVerifyDir/logListFile -P "" -v
$ AuditVerify -d ~jsmith/auditVerifyDir -n Log Signing Certificate -a ~jsmith/auditVerifyDir/logListFile -P "" -v
这个示例使用 ~jsmith/auditVerifyDir NSS 数据库(-d)中的 Log Signing Certificate (-n)来验证审计日志。验证(-a)的日志列表位于 ~jsmith/auditVerifyDir/logListFile 文件中,以逗号分隔的和按时间排序。证书和密钥数据库文件名前加上前缀(-P)为空。输出非常详细(-v)。
详情请查看 audit Verify (1) man page 或 第 17.3.2 节 “使用签名的审计日志”。
2.5.4. BtoA
BtoA 实用程序使用 Base64 编码二进制数据。例如:
BtoA input.bin output.ascii
$ BtoA input.bin output.ascii
详情请查看 BtoA (1) 手册页。
2.5.5. CMCRequest
CMCRequest 工具创建一个证书颁发或撤销请求。例如:
CMCRequest example.cfg
$ CMCRequest example.cfg
CMCRequest 工具的所有选项都被指定为传递给 实用程序的配置文件的一部分。有关配置文件选项和更多信息,请参阅 CMCRequest (1) 手册页。另请参阅 4.3。使用 CMC 和 第 7.2.1 节 “使用 CMCRequest吊销证书” 请求和接收证书。
2.5.6. CMCRevoke
Legacy。不要使用。
2.5.8. CRMFPopClient
CRMFPopClient 工具是使用 NSS 数据库的证书请求消息格式(CRMF)客户端并提供 Possession 的证明。
例如:
CRMFPopClient -d . -p password -n "cn=subject_name" -q POP_SUCCESS -b kra.transport -w "AES/CBC/PKCS5Padding" -t false -v -o /user_or_entity_database_directory/example.csr
$ CRMFPopClient -d . -p password -n "cn=subject_name" -q POP_SUCCESS -b kra.transport -w "AES/CBC/PKCS5Padding" -t false -v -o /user_or_entity_database_directory/example.csr
这个示例在当前目录中创建一个新的带有 cn=subject_name 主题 DN (-n)、NSS 数据库的 CSR,用于传输 kra.transport (-b)、AES/CBC/PKCS5Padding key wrap algorithm verbose 输出(-v)的证书,生成的 CSR 会被写入 /user'or_entity_database_directory/example.csr 文件(-o)。
详情请查看 CRMFPopClient --help 命令的输出以及 第 5.2.1.3 节 “使用 CRMFPopClient创建 CSR”。
2.5.9. HttpClient
HttpClient 实用程序是用于提交 CMC 请求的 NSS 感知 HTTP 客户端。
例如:
HttpClient request.cfg
$ HttpClient request.cfg
HttpClient 实用程序的所有参数都存储在 request.cfg 文件中。如需更多信息,请参阅 HttpClient --help 命令的输出。
2.5.10. OCSPClient
用于检查证书撤销状态的在线证书状态协议(OCSP)客户端。
例如:
OCSPClient -h server.example.com -p 8080 -d /etc/pki/pki-tomcat/alias -c "caSigningCert cert-pki-ca" --serial 2
$ OCSPClient -h server.example.com -p 8080 -d /etc/pki/pki-tomcat/alias -c "caSigningCert cert-pki-ca" --serial 2
这个示例在端口 8080 (-p)上查询 server.example.com OCSP 服务器(-h)来检查由 caSigningcet cert-pki-ca (-c)签名的证书是否有效。 使用 /etc/pki/pki-tomcat/alias 目录中的 NSS 数据库。
如需了解更多详细信息、更多选项和其他示例,请参阅 OCSPClient --help 命令的输出。
2.5.11. PKCS10Client
PKCS10Client 工具在 HSM 上以 PKCS10 格式为 RSA 和 EC 密钥创建一个 CSR。
例如:
PKCS10Client -d /etc/dirsrv/slapd-instance_name/ -p password -a rsa -l 2048 -o ~/ds.csr -n "CN=$HOSTNAME"
$ PKCS10Client -d /etc/dirsrv/slapd-instance_name/ -p password -a rsa -l 2048 -o ~/ds.csr -n "CN=$HOSTNAME"
这个示例在 /etc/dirsrv/slapd-instance_name/ 目录中创建一个新的 RSA (-a)密钥,其带有 2048 位(-l )。 输出 CSR 存储在 ~/ds.cfg 文件(-o)中,证书 DN 为 CN=$HOSTNAME (-n)。
详情请查看 PKCS10Client (1) 手册页。
2.5.12. PrettyPrintCert
PrettyPrintCert 工具以人类可读格式显示证书的内容。
例如:
PrettyPrintCert ascii_data.cert
$ PrettyPrintCert ascii_data.cert
此命令解析 ascii_data.cert 文件的输出,并以人类可读的格式显示其内容。输出包括签名算法、exponent、modulus 和证书扩展等信息。
详情请查看 PrettyPrintCert (1) 手册页。
2.5.13. PrettyPrintCrl
PrettyPrintCrl 实用程序以人类可读格式显示 CRL 文件的内容。
例如:
PrettyPrintCrl ascii_data.crl
$ PrettyPrintCrl ascii_data.crl
此命令解析 ascii_data.crl 的输出,并以人类可读的格式显示其内容。输出包括信息,如撤销签名算法、撤销的签发者以及撤销的证书列表及其原因。
详情请查看 PrettyPrintCrl (1) 手册页。
2.5.14. TokenInfo
TokenInfo 实用程序列出 NSS 数据库中的所有令牌。
例如:
TokenInfo ./nssdb/
$ TokenInfo ./nssdb/此命令列出在指定数据库目录中注册的所有令牌(HSM、软令牌等等)。
如需了解更多详细信息、更多选项和其他示例,请参阅 TokenInfo 命令的输出。
2.5.15. tkstool
tkstool 工具与令牌密钥服务(TKS)子系统交互。
例如:
tkstool -M -n new_master -d /var/lib/pki/pki-tomcat/alias -h token_name
$ tkstool -M -n new_master -d /var/lib/pki/pki-tomcat/alias -h token_name
此命令在 HSM token_name 上的 /var/lib/pki/pki-tomcat/alias NSS 数据库中创建一个名为 new_master (-n)的新主密钥(-M)。
详情请查看 tkstool -H 命令的输出。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}