2.5. 命令行界面

pki 命令行界面(CLI)提供对使用 REST 接口的各种服务的访问（请参阅 规划、安装和部署指南(Common standard Edition) 中的 2.3.4 REST 接口）。您可以按如下方式调用 CLI：

$ pki [CLI options] <command> [command parameters]

请注意，必须在命令之前放置 CLI 选项，并在命令后面使用命令参数。

AtoB 工具将 Base64 编码的证书解码成其二进制等效的证书。例如：

$ AtoB input.ascii output.bin

详情请查看 AtoB (1) 手册页。

audit Verify 工具通过验证日志条目中的签名来验证审计日志 的完整性。

例如：

$ AuditVerify -d ~jsmith/auditVerifyDir -n Log Signing Certificate -a ~jsmith/auditVerifyDir/logListFile -P "" -v

这个示例使用 ~jsmith/auditVerifyDir NSS 数据库(-d)中的 Log Signing Certificate (-n)来验证审计日志。验证(-a)的日志列表位于 ~jsmith/auditVerifyDir/logListFile 文件中，以逗号分隔的和按时间排序。证书和密钥数据库文件名前加上前缀(-P)为空。输出非常详细(-v)。

详情请查看 audit Verify (1) man page 或 第 12.2.1 节 “显示和验证签名的审计日志”。

BtoA 实用程序对 Base64 中的二进制数据进行编码。例如：

$ BtoA input.bin output.ascii

详情请查看 BtoA (1) 手册页。

CMCRequest 工具创建证书颁发或吊销请求。例如：

$ CMCRequest example.cfg

CMCResponse 工具用于解析从 CMC 颁发或撤销请求返回的 CMC 响应。例如：

$ *CMCResponse -d /home/agentSmith/certdb_dir -i /home/agentSmith/certdb_dir/cmc.dirsrv_pkcs10.resp -o /home/agentSmith/certdb_dir/Server-Cert.crt*

详情请查看 CMCResponse (1) 手册页。

传统.不要使用。

CMCSharedToken 工具为 shared-secred CMC 请求加密用户密码短语。例如：

$ CMCSharedToken -d . -p myNSSPassword -s "shared_passphrase" -o cmcSharedTok2.b64 -n "subsystemCert cert-pki-tomcat"

共享密码短语(-s)加密并存储在 cmcSharedtok2.b64 文件(-o)中，使用当前目录中的 NSS 数据库中的名为 subsystemCert cert-pki-tomcat (-n) 的证书来加密并存储在 cmcSharedtok2.b64 文件中。使用默认安全令牌 内部 （未指定 as -h ），并且 myNSSPassword 的令牌密码用于访问令牌。

详情请查看 CMCSharedtoken (1) 手册页以及 第 8.4.1 节 “创建共享 Secret 令牌”。

CRMFPopClient 工具是使用 NSS 数据库的证书请求消息格式(CRMF)客户端并提供 Possession 的证明。

例如：

$ CRMFPopClient -d . -p password -n "cn=subject_name" -q POP_SUCCESS -b kra.transport -w "AES/CBC/PKCS5Padding" -t false -v -o /user_or_entity_database_directory/example.csr

这个示例在当前目录中创建一个新的带有 cn=subject_name 主题 DN (-n)、NSS 数据库的 CSR，用于传输 kra.transport (-b)、AES/CBC/PKCS5Padding key wrap algorithm verbose 输出(-v)的证书，生成的 CSR 会被写入 /user_or_entity_database_directory/example.csr 文件(-o)。

详情请查看 CRMFPopClient --help 命令的输出以及 第 5.2.3 节 “使用 CRMFPopClient 创建 CSR”。

HttpClient 实用程序是用于提交 CMC 请求的 NSS 感知 HTTP 客户端。

例如：

$ HttpClient request.cfg

OCSPClient 是一个在线证书状态协议(OCSP)客户端，用于检查证书撤销状态。

例如：

$ OCSPClient -h server.example.com -p 8080 -d /etc/pki/pki-tomcat/alias -c "caSigningCert cert-pki-ca" --serial 2

这个示例在端口 8080 (-p)上查询 server.example.com OCSP 服务器(-h)来检查由 caSigningcet cert-pki-ca (-c)签名的证书是否有效。 使用 /etc/pki/pki-tomcat/alias 目录中的 NSS 数据库。

如需了解更多详细信息、更多选项和其他示例，请参阅 OCSPClient --help 命令的输出。

PKCS10Client 工具在 HSM 上以 PKCS10 格式为 RSA 和 EC 密钥创建一个 CSR。

例如：

$ PKCS10Client -d /etc/dirsrv/slapd-instance_name/ -p password -a rsa -l 2048 -o ~/ds.csr -n "CN=$HOSTNAME"

这个示例在 /etc/dirsrv/slapd-instance_name/ 目录中创建一个新的 RSA (-a)密钥，其带有 2048 位(-l )。 输出 CSR 存储在 ~/ds.cfg 文件(-o)中，证书 DN 为 CN=$HOSTNAME (-n)。

详情请查看 PKCS10Client (1) 手册页。

PrettyPrintCert 工具以人类可读的格式显示证书的内容。

例如：

$ PrettyPrintCert ascii_data.cert

此命令解析 ascii_data.cert 文件的输出，并以人类可读的格式显示其内容。输出包括签名算法、exponent、modulus 和证书扩展等信息。

详情请查看 PrettyPrintCert (1) 手册页。

PrettyPrintCrl 工具以人类可读的格式显示 CRL 文件的内容。

例如：

$ PrettyPrintCrl ascii_data.crl

此命令解析 ascii_data.crl 的输出，并以人类可读的格式显示其内容。输出包括信息，如撤销签名算法、撤销的签发者以及吊销证书及其原因的列表。

详情请查看 PrettyPrintCrl (1) 手册页。

TokenInfo 工具列出了 NSS 数据库中的所有令牌。

例如：

$ TokenInfo ./nssdb/

此命令列出在指定数据库目录中注册的所有令牌(HSM、软令牌等)。

如需了解更多详细信息、更多选项和其他示例，请参阅 TokenInfo 命令的输出。

tkstool 工具与令牌密钥服务(TKS)子系统交互。

例如：

$ tkstool -M -n new_master -d /var/lib/pki/pki-tomcat/alias -h token_name

此命令在 HSM token_name 上的 /var/lib/pki/pki-tomcat/alias NSS 数据库中创建一个名为 new_master (-n)的新主密钥(-M)。

详情请查看 tkstool -H 命令的输出。