H9.1. Утилита генерации цифровых ключей и сертификатов |
Предоставляются следующие версии консольной утилиты для генерации цифровых ключей и сертификатов:
Формат команды запуска •drwsign check [-public-key=<открытый_ключ>] <файл> Проверить подпись указанного файла, используя открытый ключ субъекта, подписавшего данный файл.
•drwsign extract [-private-key=<закрытый_ключ>] [-cert=<сертификат_Сервера>] <открытый_ключ> Извлечь открытый ключ из файла закрытого ключа или из файла сертификата и записать открытый ключ в указанный файл. Ключи -private-key и -cert взаимоисключающие, т.е. может быть задан только один из них; в случае задания обоих ключей одновременно команда завершится с ошибкой. Указания параметра для ключей обязательно. Если ни один ключ не задан, то будет использован -private-key=drwcsd.pri для извлечения открытого ключа из закрытого ключа drwcsd.pri.
•drwsign genkey [<закрытый_ключ> [<открытый_ключ>]] Сгенерировать пару открытый – закрытый ключ и записать их в соответствующие файлы.
•drwsign gencert [-private-key=<закрытый_ключ>] [-subj=<поля_субъекта>] [-days=<срок_действия>] [<самоподписанный_сертификат>] Сгенерировать самоподписанный сертификат, используя закрытый ключ Сервера, и записать его в соответствующий файл.
•drwsign gencsr [-private-key=<закрытый_ключ>] [-subj=<поля_субъекта>] [<запрос_на_подпись_сертификата>] Сгенерировать запрос на подпись сертификата на основе закрытого ключа и записать этот запрос в соответствующий файл. Может быть использовано для подписания сертификата другого сервера, например, для подписания сертификата Прокси-сервера ключом Сервера Dr.Web. Для подписания подобного запроса используйте ключ signcsr.
•drwsign genselfsign [-show] [-subj=<поля_субъекта>] [-days=<срок_действия>] [<закрытый_ключ> [<самоподписанный_сертификат>]] Сгенерировать самоподписанный RSA-сертификат и закрытый RSA-ключ для веб-сервера и записать их в соответствующие файлы. Ключ -show выводит содержимое сертификата в читаемом виде.
•drwsign hash-check [-public-key=<открытый_ключ>] <файл_хэша> <файл_подписи> Проверить подпись указанного 256-битного числа в формате клиент-серверного протокола. В параметре <файл_хэша> задается файл с 256-битным числом, которое необходимо подписать. В файле <файл_подписи> – результат подписи (два 256-битных числа).
•drwsign hash-sign [-private-key=<закрытый_ключ>] <файл_хэша> <файл_подписи> Подписать указанное 256-битное число в формате клиент-серверного протокола. В параметре <файл_хэша> задается файл с 256-битным числом, которое необходимо подписать. В файле <файл_подписи> – результат подписи (два 256-битных числа).
•drwsign help [<команда>] Вывести краткую справку о программе или конкретной команде в формате командной строки. •drwsign sign [-private-key=<закрытый_ключ>] <файл> Подписать <файл>, используя закрытый ключ.
•drwsign signcert [-ca-key=<закрытый_ключ>] [-ca-cert=<сертификат_Сервера>] [-cert=<сертификат_на_подпись>] [-days=<срок_действия>] [<подписанный_сертификат>] Подписать готовый <сертификат_на_подпись> закрытым ключом и сертификатом Сервера. Подписанный сертификат сохраняется в отдельном файле. Может быть использовано для подписывания сертификата Прокси-сервера Серверным ключом.
•drwsign signcsr [-ca-key=<закрытый_ключ>] [-ca-cert=<сертификат_Сервера>] [-csr=<запрос_на_подпись_сертификата>] [-days=<срок_действия>] [<подписанный_сертификат>] Подписать <запрос_на_подпись_сертификата>, сгенерированный при помощи команды gencsr, закрытым ключом и сертификатом Сервера. Подписанный сертификат сохраняется в отдельный файл. Может быть использовано для подписания сертификата другого сервера, например, для подписания сертификата Прокси-сервера ключом Сервера Dr.Web.
•drwsign tlsticketkey [<TLS-тикет>] Сгенерировать TLS-тикеты. Может быть использовано в кластере Серверов для общих TLS-сессий.
•drwsign verify [-ss-cert] [-CAfile=<сертификат_Сервера>] [<сертификат_на_проверку>] Проверить валидность сертификата по доверенному сертификату Сервера. Ключ -ss-cert предписывает игнорировать доверенный сертификат и только проверить корректность самоподписанного сертификата.
•drwsign x509dump [<сертификат_на_печать>] Распечатать дамп любого x509 сертификата.
|