第 16 章 CRMFPopClient (Sending a Encoded CRMF Request)
CRMFPopClient 实用程序是一个向证书系统 CA 发送证书请求格式(CRMF)请求的工具,该请求由 CA 服务器验证。如果客户端向请求提供 POP 信息,服务器可以验证请求者是否具有新证书的私钥。
该工具执行以下操作:
- 具有 CA 强制或验证 CRMF 请求中编码的 POP 信息。
- 在不使用标准证书系统代理页面或接口的情况下进行简单的证书请求。
- 制作一个简单的证书请求,其中包含来自 KRA 的密钥存档的传输证书。
注意
运行该命令的目录中必须存在包含 KRA 传输证书的
transport.txt 文件。如果缺少该文件,则归档过程仍会被尝试,但会失败并显示以下错误消息:
ERROR: File 'transport.txt' does not existTry 'CRMFPopClient --help' for more information.
transport.txt 必须在单个行中具有整个基本 64 编码的传输证书,并删除标头和页脚。
16.1. 语法
针对 CRMFPopClient 工具的语法样式有两种,具体取决于预期的用途。
这是向 CA 发送简单证书请求:
CRMFPopClient
token_password
profile_name
host
端口
username
requester_name
pop_option
subject_dn
[
OUTPUT_CERT_REQ
]
这是将证书请求打印到 stdout,而不将其发送到 CA:
CRMFPopClient
token_password
pop_option
OUTPUT_CERT_REQ
subject_dn
| 选项 | 描述 |
|---|---|
| token_password |
加密令牌的密码。
|
| profile_name |
要提交请求的 CA 配置集。
|
| host |
CA 实例的主机名。根据如何配置 DNS 和网络,这可以是机器名称、完全限定域名或 IPv4 或 IPv6 地址。
|
| 端口 |
证书系统 CA 的非 SSL 端口。
|
| username |
发布证书请求的证书系统用户。
|
| requester_name |
请求证书的个人或实体的名称。
|
| pop_option |
设置生成的 POP 请求的类型;因为这样可生成无效的请求,因此此选项可用于测试。有三个值:
|
| subject_dn |
请求的证书的可分辨名称。
|
| OUTPUT_CERT_REQ |
将生成的证书请求输出到屏幕。当 CRMF POP 请求发送到 CA 时,这是可选的,但在使用命令只返回请求时是必需的。
|
