H9.1. Utilitaire de génération des clés numériques et des certificats

Il existe les versions suivantes de l’utilitaire de console de génération des clés numériques et des certificats :

Fichier exécutable

Localisation

Description

drweb-sign-<OS>-<nombre de bits>

Centre de gestion, section Administration → Utilitaires

Version indépendante de l’utilitaire. Elle peut être lancée d’un répertoire aléatoire ou sur n’importe quel ordinateur ayant le système d’exploitation correspondant.

Répertoire du Serveur webmin/utilities

drwsign

Répertoire du Serveur bin

La version de l’utilitaire dépend de la présence des bibliothèques de serveur. Elle peut être lancée uniquement du répertoire de son emplacement.

Les fonctions des versions de l’utilitaire drweb-sign-<OS>-<nombre de bits> et drwsign sont équivalentes. Vous trouverez ci-dessous la version drwsign, pourtant toutes les exemples concernent les deux versions.

Syntaxe de la commande de démarrage

drwsign check [-public-key=<clé_publique>] <fichier>

Vérifier la signature du fichier indiqué en utilisant la clé publique de la personne qui a signé le fichier.

Paramètre de la clé

Valeur par défaut

<clé_publique>

drwcsd.pub

drwsign extract [-private-key=<clé_privée>] [-cert=<certificat_du_Serveur>] <clé_publique>

Extraire la clé publique du fichier de la clé privée ou du fichier de certificat et enregistrer la clé publique dans le fichier indiqué.

Les clés -private-key et -cert s’excluent mutuellement, c’est-à-dire, une seule clé peut être spécifiée ; si les deux clés sont spécifiées, la commande se termine avec une erreur.

Il est obligatoire de spécifier le paramètre des clés.

Si aucune clé n’est spécifiée, -private-key=drwcsd.pri sera utilisé pour extraire la clé publique de la clé privée drwcsd.pri.

Paramètre de la clé

Valeur par défaut

<clé_privée>

drwcsd.pri

drwsign genkey [<clé_privée> [<clé_publique>]]

Générer une paire de clés publique-privée et les enregistrer dans les fichiers appropriés.

Paramètre de la clé

Valeur par défaut

<clé_privée>

drwcsd.pri

<clé_publique>

drwcsd.pub

La version de l’utilitaire pour les plateformes Windows (à la différence de la version pour UNIX) ne protège pas la clé privée contre la copie.

drwsign gencert [-private-key=<clé_privée>] [-subj=<champs_du_sujet>] [-days=<durée_de_validité>] [<certificat_auto-signé>]

Générer le certificat auto-signé en utilisant la clé privée du Serveur et l’enregistrer dans le fichier correspondant.

Paramètre de la clé

Valeur par défaut

<clé_privée>

drwcsd.pri

<champs_du_sujet>

/CN=<nom_de_l’hôte>

<durée_de_validité>

3560

<certificat_auto-signé>

drwcsd-certificate.pem

drwsign gencsr [-private-key=<clé_privée>] [-subj=<champs_du_sujet>] [<requête_de_signature_de_certificat>]

Générer une requête de signature de certificat à la base de la clé privée et enregistrer cette requête dans le fichier correspondant.

Peut être utilisé pour signer le certificat d’un autre serveur, par exemple, pour signer le certificat du Serveur proxy par la clé du Serveur Dr.Web.

Pour signer une telle requête, utilisez la clé signcsr.

Paramètre de la clé

Valeur par défaut

<clé_privée>

drwcsd.pri

<champs_du_sujet>

/CN=<nom_de_l’hôte>

<requête_de_signature_de_certificat>

drwcsd-certificate-sign-request.pem

drwsign genselfsign [-show] [-subj=<champs_du_sujet>] [-days=<durée_de_validité>] [<clé_privée> [<certificat_auto-signé>]]

Générer le certificat RSA auto-signé et la clé privée RSA pour le serveur web et l’enregistrer dans le fichier correspondant.

La clé -show affiche le contenu du certificat au format accessible en lecture.

Paramètre de la clé

Valeur par défaut

<champs_du_sujet>

/CN=<nom_de_l’hôte>

<durée_de_validité>

3560

<clé_privée>

private-key.pem

<certificat_auto-signé>

certificate.pem

drwsign hash-check [-public-key=<clé_publique>] <fichier_de_hash> <fichier_de_la_signature>

Vérifier la signature du nombre 256 bits au format du protocole client-serveur.

Dans le paramètre <fichier_de_hash>, un fichier contenant un nombre de 256 bits à signer est spécifié. Le fichier <fichier_de_la_signature> contient le résultat de la signature (deux nombres de 256 bits).

Paramètre de la clé

Valeur par défaut

<clé_publique>

drwcsd.pub

drwsign hash-sign [-private-key=<clé_privée>] <fichier_de_hash> <fichier_de_la_signature>

Signer le nombre 256 bits indiqué au format du protocole client-serveur.

Dans le paramètre <fichier_de_hash>, un fichier contenant un nombre de 256 bits à signer est spécifié. Le fichier <fichier_de_la_signature> contient le résultat de la signature (deux nombres de 256 bits).

Paramètre de la clé

Valeur par défaut

<clé_privée>

drwcsd.pri

drwsign help [<commande>]

Afficher une brève aide sur le programme ou une commande particulière au format de la ligne de commande.

drwsign sign [-private-key=<clé_privée>] <fichier>

Signer le <fichier> en utilisant la clé privée.

Paramètre de la clé

Valeur par défaut

<clé_privée>

drwcsd.pri

drwsign signcert [-ca-key=<clé_privée>] [-ca-cert=<certificat_du_Serveur>] [-cert=<certificat_à_signer>] [-days=<durée_de_validité>] [<certificat_signé>]

Signer le <certificat_à_signer> prêt par la clé privée ou le certificat du Serveur. Le certificat signé est enregistré dans un fichier particulier.

Peut être utilisé pour signer le certificat du Serveur proxy par la clé du Serveur.

Paramètre de la clé

Valeur par défaut

<clé_privée>

drwcsd.pri

<certificat_du_Serveur>

drwcsd-ca-cerificate.pem

<certificat_à_signer>

drwcsd-certificate.pem

<durée_de_validité>

3560

<certificat_signé>

drwcsd-signed-certificate.pem

drwsign signcert [-ca-key=<clé_privée>] [-ca-cert=<certificat_du_Serveur>] [-cert=<requête_de_signature_de_certificat>>] [-days=<durée_de_validité>] [<certificat_signé>]

Signer par la clé privée et le certificat du Serveur la <requête_de_signature_de_certificat> générée à l’aide de la commande gencsr. Le certificat signé est enregistré dans un fichier particulier.

Peut être utilisé pour signer le certificat d’un autre serveur, par exemple, pour signer le certificat du Serveur proxy par la clé du Serveur Dr.Web.

Paramètre de la clé

Valeur par défaut

<clé_privée>

drwcsd.pri

<certificat_du_Serveur>

drwcsd-cerificate.pem

<requête_de_signature_de_certificat>

drwcsd-certificate-sign-request.pem

<durée_de_validité>

3560

<certificat_signé>

drwcsd-signed-certificate.pem

drwsign tlsticketkey [<ticket_TLS>]

Générer les tickets TLS.

Peut être utilisé dans le cluster des Serveurs pour les sessions TLS communes.

Paramètre de la clé

Valeur par défaut

<ticket_TLS>

tickets-key.bin

drwsign verify [-ss-cert] [-CAfile=<certificat_du_Serveur>] [<certificat_à_vérifier>]

Vérifier la validité du certificat par le certificat fiable du Serveur.

La clé -ss-cert requiert que le certificat fiable soit ignoré et seule la validité du certificat auto-signé soit vérifiée.

Paramètre de la clé

Valeur par défaut

<certificat_du_Serveur>

drwcsd-certificate.pem

<certificat_à_vérifier>

drwcsd-signed-certificate.pem

drwsign x509dump [<certificat_à_imprimer>]

Imprimer le dump de tout certificat x509.

Paramètre de la clé

Valeur par défaut

<certificat_à_imprimer>

drwcsd-certificate.pem