diff options
Diffstat (limited to 'files/pt-br/mozilla/projects/nss/tools/nss_tools_certutil/index.html')
| -rw-r--r-- | files/pt-br/mozilla/projects/nss/tools/nss_tools_certutil/index.html | 677 |
1 files changed, 677 insertions, 0 deletions
diff --git a/files/pt-br/mozilla/projects/nss/tools/nss_tools_certutil/index.html b/files/pt-br/mozilla/projects/nss/tools/nss_tools_certutil/index.html new file mode 100644 index 0000000000..b7f6dd34ca --- /dev/null +++ b/files/pt-br/mozilla/projects/nss/tools/nss_tools_certutil/index.html @@ -0,0 +1,677 @@ +--- +title: NSS Tools certutil +slug: Mozilla/Projects/NSS/tools/NSS_Tools_certutil +translation_of: Mozilla/Projects/NSS/tools/NSS_Tools_certutil +--- +<h2 id="Usando_a_Ferramenta_de_Banco_de_Dados_de_Certificado">Usando a Ferramenta de Banco de Dados de Certificado</h2> + +<p>A Ferramenta de Banco de Dados de Certificado (em inglês, "Certificate Database Tool") é um utilitário de linha de comando que pode criar e modificar os arquivos de banco de dados <code>cert8.db</code> e <code>key3.db do </code>Netscape Communicator. Ela também pode listar, gerar, modificar ou excluir certificados do arquivo <code>cert8.db e criar ou alterar a senha, gerar novos pares de chaves públicas e privadas, exibir o conteúdo do banco de dados de chave, ou excluir os pares de chaves do arquivo<font face="Open Sans, Arial, sans-serif"> </font></code><code>key3.db</code>.</p> + +<p>O processo de gerenciamento de chave e certificado geralmente começa com a criação de chaves no banco de dados de chave e, então, geração e gerenciamento de certificados no banco de dados de certificado.</p> + +<p>Esse documento discute gerenciamento de banco de dados de chave e certificado. Para gerenciamento de banco de dados de módulo de segurança de informações, veja <a href="/en-US/docs/NSS_reference/NSS_tools_:_modutil">Usando a Ferramenta de Banco de Dados de Segurança.</a></p> + +<h2 id="Disponibilidade">Disponibilidade</h2> + +<p>Veja as notas de lançamento para as plataformas para as quais essa ferramenta está disponível.</p> + +<h2 id="Sintaxe">Sintaxe</h2> + +<p>Para executar a Ferramenta de Banco de Dados de Certificado, digite o comando</p> + +<pre><code>certutil </code><em>opção</em> [<em>argumentos</em> ]</pre> + +<p>sendo <em> opção</em> e<em> argumentos</em> combinações das opções e argumentos listados na seção a seguir. Cada comando leva uma opção. Cada opção pode levar zero ou mais argumentos. Para ver uma mensagem sobre o uso, execute o comando sem opções ou com a opçaõ -H.</p> + +<h3 id="Opções_e_Argumentos">Opções e Argumentos</h3> + +<p>Opções especificam uma ação e estão em letras maiúsculas. Argumentos de opções modificam uma ação e estão em letras minúsculas. As opções do comando de Ferramenta de Banco de Dados de Certificado e seus argumentos são definidos abaixo:</p> + +<table> + <tbody> + <tr> + <td> <strong>Opções</strong></td> + <td> + + </td> + </tr> + <tr> + <td> + <p><code>-N</code></p> + </td> + <td> + <p>Cria novos bancos de dados de certificado e de chave.</p> + </td> + </tr> + <tr> + <td> + <p><code>-S</code></p> + </td> + <td> + <p>Cria um certificado individual e o adiciona a um banco de dados de certificado.</p> + </td> + </tr> + <tr> + <td> + <p><code>-R</code></p> + </td> + <td> + <p>Cria um arquivo de requisição de certificado (certificate-request) que pode ser enviado a uma Autoridade Certificadora (AC) para processamento em um certificado final. A saída padrão é para a saída padrão, a menos que você use o argumento <code>-o</code><em>output-file</em>. Use o argumento <code>-a</code> para especificar a saída em ASCII.</p> + </td> + </tr> + <tr> + <td> + <p><code>-C</code></p> + </td> + <td> + <p>Cria um novo arquivo binário de certificado a partir do arquivo binário de requisição de certificado. Use o argumento <code>-i</code> para especificar o arquivo de requisição de certificado. Se esse argumento não for usado, a Ferramenta de Banco de Dados de Certificado pergunta por um nome de arquivo.</p> + </td> + </tr> + <tr> + <td> + <p><code>-G</code></p> + </td> + <td> + <p>Gera um novo par de chaves pública e privada. O banco de dados de chave já deve existir; se um não estiver presente, essa opção vai inicializar um por padrão. Alguns cartões inteligentes (por exemplo, o cartão Litronic) podem armazenar apenas um par de chaves. Se você criar um novo par de chaves para tal cartão, o par anterior é sobrescrito.</p> + </td> + </tr> + <tr> + <td> + <p><code>-F</code></p> + </td> + <td> + <p>Exclui uma chave privada de um banco de dados de chave. Especifique a chave para excluir com o argumento <code>-n</code>. Especifique o banco de dados do qual a chave será excluída com o argumento <code>-d</code>.</p> + + + + <p>Use o argumento <code>-k</code> para especificar explicitamente se deve-se excluir uma chave DSA ou RSA. Se você não usar o argumento <code>-k</code>, a opção procura por uma chave RSA que corresponda com o apelido.</p> + + + + <p>Quando você excluir chaves, certifique-se de remover quaisquer certificados associados àquelas chaves do banco de dados de certificado, usando <code>-D</code>.</p> + + + + <p>Alguns cartões inteligentes (por exemplo, o cartão Litronic) não permite que você remova uma chave pública que você gerou. Neste caso, apenas a chave privada é excluída do par de chaves. Você pode exibir a chave pública com o comando <code>certutil -K -h</code><em>tokenname</em> .</p> + </td> + </tr> + <tr> + <td> + <p><code>-K</code></p> + </td> + <td> + <p>Lista o keyID das chaves no banco de dados de chave. Uma keyID é o modulus da chave RSA ou o <code>publicValue</code> da chave DSA. IDs são exibidos em hexadecimal ("0x" não é mostrado).</p> + </td> + </tr> + <tr> + <td> + <p><code>-A</code></p> + </td> + <td> + <p>Adiciona um certificado existente a um banco de dados de certificado. O banco de dados de certificado já deve existir; se um não estiver presente, essa opção vai inicializar um por padrão.</p> + </td> + </tr> + <tr> + <td> + <p><code>-D</code></p> + </td> + <td> + <p>Exclui um certificado do banco de dados de certificado.</p> + </td> + </tr> + <tr> + <td> + <p><code>-L</code></p> + </td> + <td> + <p>Lista todos os certificados ou exibe informações sobre um certificado nomeado, em um banco de dados de certificado.</p> + + + + <p>Use o argumento <code>-h</code><em>tokenname</em> para especificar o banco de dados de certificado em um token de hardware ou software em particular.</p> + </td> + </tr> + <tr> + <td> + <p><code>-V</code></p> + </td> + <td> + <p>Verifica a validade de um certificado e seus atributos.</p> + </td> + </tr> + <tr> + <td> + <p><code>-M</code></p> + </td> + <td> + <p>Modifica os atributos de confiança de um certificado usando os valores do argumento <code>-t</code>.</p> + </td> + </tr> + <tr> + <td> + <p><code>-H</code></p> + </td> + <td> + <p>Exibe uma lista das opções e argumentos usados pela Ferramenta de Banco de Dados de Certificado.</p> + </td> + </tr> + <tr> + <td> + <p><code>-W</code></p> + </td> + <td> + <p>Altera a senha para um banco de dados de chave.</p> + </td> + </tr> + <tr> + <td> + <p><code>-U</code></p> + </td> + <td> + <p>Lista todos os módulos disponíveis ou exibe um módulo específico nomeado.</p> + </td> + </tr> + <tr> + <td> + <p><strong>Argumentos</strong></p> + </td> + <td> + + </td> + </tr> + <tr> + <td> + <p><code>-a</code></p> + </td> + <td> + <p>Usa formato ASCII ou permite o uso de formato ASCII para entrada ou saída. Essa formatação segue {{rfc(1113)}}. Para requisições de certificados, saída ASCII padrão vai para a saída padrão, a menos que seja redirecionada.</p> + </td> + </tr> + <tr> + <td> + <p><code>-b </code><em>validity-time</em></p> + </td> + <td> + <p>Especifica um tempo até o qual um certificado é exigido ser válido. Use ao verificar a validade de certificado com a opção <code>-V</code>. O formato do argumento <em>tempo-validade</em> é "YYMMDDHHMMSS[+HHMM|-HHMM|Z]". Especificação de segundos (SS) é opcional. Ao especificar um tempo explícito, use "YYMMDDHHMMSSZ". Ao especificar um tempo de compensação, use "YYMMDDHHMMSS+HHMM" ou "YYMMDDHHMMSS-HHMM". Se essa opção não for usada, a verificação de validade tem como padrão o tempo de sistema atual.</p> + </td> + </tr> + <tr> + <td> + <p><code>-c </code><em>issuer</em></p> + </td> + <td> + <p>Identifica o certificado da AC a partir da qual um novo certificado derivará sua autenticidade. Use o apelido exato do certificado da AC, ou use o endereço de email da AC. Coloque a string <em>emissor</em> entre aspas se ela contiver espaços.</p> + </td> + </tr> + <tr> + <td> + <p><code>-d </code><em>directory</em></p> + </td> + <td> + <p>Especifica o diretório de banco de dados contendo os arquivos de banco de dados de certificado e chave. No Unix, a Ferramenta de Banco de Dados de Certificado usa como padrão <code>$HOME/.netscape</code> (isto é, <code>~/.netscape</code>). No Windows NT usa como padrão o diretório atual.</p> + + + + <p>Os arquivos de banco de dados <code>cert8.db</code> e <code>key3.db devem residir no mesmo diretório</code>.</p> + </td> + </tr> + <tr> + <td> + <p><code>-P </code><em>dbprefix</em></p> + </td> + <td> + <p>Especifica o prefixo usado nos <code>cert8.db</code> e <code>key3.db</code> (por exemplo, <code>my_cert8.db</code> e <code>my_key3.db</code>). Essa opção é fornecida como um caso especial. Alterar os nomes dos bancos de dados de certificado e chave não é recomendado.</p> + </td> + </tr> + <tr> + <td> + <p><code>-e</code></p> + </td> + <td> + <p>Verifica a assinatura do certificado durante o processo de validação de um certificado.</p> + </td> + </tr> + <tr> + <td> + <p><code>-f </code><em>password-file</em></p> + </td> + <td> + <p>Especifica um arquivo que fornecerá automaticamente a senha para incluir um certificado ou para acessar um banco de dados de certificado. Esse é um arquivo texto simples contendo uma senha. Certifique-se de evitar acesso não autorizado a este arquivo.</p> + </td> + </tr> + <tr> + <td> + <p><code>-g </code><em>keysize</em></p> + </td> + <td> + <p>Define um tamanho de chave para usar ao gerar novos pares de chave pública e privada. O mínimo é 512 bits e o máximo é 8192 bits. O padrão é 1024 bits. qualquer tamanho que seja um múltiplo de 8 entre o mínimo e o máximo é permitido.</p> + </td> + </tr> + <tr> + <td> + <p><code>-h </code><em>tokenname</em></p> + </td> + <td> + <p>Especifica o nome de um token para usar ou agir sobre. A menos que especificado, o token padrão é um slot interno (especialmente, slot interno 2). Esse slot também pode ser nomeado explicitamente com a string <code>"internal"</code>. Um slot interno é um slot virtual mantido por software, em vez de por dispositivo hardware. Slot interno 2 é usado por serviços de chave e certificado. Slot interno 1 é usado por serviços critográficos.</p> + </td> + </tr> + <tr> + <td> + <p><code>-i </code><em>cert|cert-request-file</em></p> + </td> + <td> + <p>Especifica um certificado ou um arquivo de requisição de certificado.</p> + </td> + </tr> + <tr> + <td> + <p><code>-k rsa|dsa|all</code></p> + </td> + <td> + <p>Especifica o tipo de uma chave: RSA, DSA ou ambos. O valor padrão é <code>rsa</code>. Ao especificar o tipo de chave você pode evitar erros causados por apelidos duplicados.</p> + </td> + </tr> + <tr> + <td> + <p><code>-l</code></p> + </td> + <td> + <p>Exibe informações detalhdadas ao validar um certificado com a opção <code>-V</code>.</p> + </td> + </tr> + <tr> + <td> + <p><code>-m </code><em>serial-number</em></p> + </td> + <td> + <p>Atribui um número de série único para um certificao sendo criado. Essa opção deve ser realizada por um AC. O número de série padrão é 0 (zero). Números de séries são limitados a inteiros.</p> + </td> + </tr> + <tr> + <td> + <p><code>-n </code><em>nickname</em></p> + </td> + <td> + <p>Especifica o apelido de um certificado ou chave para listar, criar, adicionar a um banco de dados, modificar ou validar. Coloque a string <em>nickname</em> entre aspas se ela contiver espaços.</p> + </td> + </tr> + <tr> + <td> + <p><code>-o </code><em>output-file</em></p> + </td> + <td> + <p>Especifica o nome de arquivo de saída para novos certificados ou requisições binárias de certificados. Coloque a string <em>output-file</em> entre aspas se ela contiver espaços. Se esse argumento não foi usado, o destino de saída usado por padrão é a saída padrão.</p> + </td> + </tr> + <tr> + <td> + <p><code>-p </code><em>phone</em></p> + </td> + <td> + <p>Especifica um número de telefone de contato a ser incluído em novos certificados ou requisições de certificados. Coloque a string <em>phone</em> entre aspas se ela contiver espaços.</p> + </td> + </tr> + <tr> + <td> + <p><code>-q </code><em>pqgfile</em></p> + </td> + <td> + <p>Lê um valor PQG alternativo a partir do arquivo especificado ao gerar pares de chaves DSA. Se esse argumento não for usado, a Ferramenta de Banco de Dados de Chave gera seu próprio valor de PQG. Arquivos PQG são criados com um utilitário DSA separado.</p> + </td> + </tr> + <tr> + <td> + <p><code>-r</code></p> + </td> + <td> + <p>Exibe uma codificação DER binária do certificado ao listar informações sobre aquele certificado com a opção <code>-L</code>.</p> + </td> + </tr> + <tr> + <td> + <p><code>-s </code><em>subject</em></p> + </td> + <td> + <p>Identifica um dono de um certificado em particular para novos certificados ou requisições de certificados. Coloque a string <em>subject</em> entre aspas se ela contiver espaços. O formato de identificação do sujeito segue {{rfc(1485)}}.</p> + </td> + </tr> + <tr> + <td> + <p><code>-t </code><em>trustargs</em></p> + </td> + <td> + <p>Especifica os atributos de confiança a serem modificados em um certificado existente ou para serem aplicados em um certificado ao criá-lo ou adicioná-lo a um banco de dados.</p> + + + + <p>Há três categorias de confiança disponíveis para cada certificado, expressado nesta ordem: "<em>SSL</em> ,<em>email</em> ,<em>assinatura de objeto</em> ". Em cada posição de categoria use zero ou mais para os seguintes códigos de atributos:</p> + + + + <p><code>p</code> Proibido (explicitamente não confiada)<br> + <code>P</code> Par confiável<br> + <code>c</code> AC válida<br> + <code>T</code> AC confiável para emitir certificados de clientes (implica em <code>c</code>)<br> + <code>C</code> AC confiável para emitir certificados de servidores (SSL apenas)<br> + (implica em <code>c</code>)<br> + <code>u</code> Certificado pode ser usado para autenticação ou assinatura<br> + <code>w</code> Envia aviso (use com outros atributos para incluir um aviso quando o certificado é usado naquele contexto)</p> + + + + <p>Os códigos de atributos para as categorias são separados por vírgulas, e todo o conjunto de atributos é envolto por aspas. Por exemplo:</p> + + <p><code>-t "TCu,Cu,Tuw"</code></p> + + + + <p>Use a opção <code>-L</code> para ver uma lista de certificados e atributos confiáveis atuais em um banco de dados de certificado.</p> + </td> + </tr> + <tr> + <td> + <p><code>-u </code><em>certusage</em></p> + </td> + <td> + <p>Especifica um contexto de uso a ser aplicado ao validade um certificado com a opção <code>-V</code>. Os contextos são os seguintes:</p> + + + + <p><code>C</code> (como um cliente SSL)<br> + <code>V</code> (como um servidor SSL)<br> + <code>S</code> (como um assinador de email)<br> + <code>R</code> (como um destinatário de email)</p> + </td> + </tr> + <tr> + <td> + <p><code>-v </code><em>valid-months</em></p> + </td> + <td> + <p>Define o número de meses nos quais um novo certificado será válido. O período de validade começa no horário atual do sistema, a menos que uma compensação seja adicionada ou substraída com a opção <code>-w</code>. Se esse argumento não for usado, o período de validade padrão é três meses. Quando esse argumento é usado, período padrão de três meses é automaticamente adicionado a qualquer valor dado no argumento <em>valid-month</em>. Por exemplo, usar essa opção para definir um valor de 3 causaria 3 ser adicionado ao padrão de três meses, criando um período de validade de seis meses. Você pode usar valores negativos para reduzir o período padrão. Por exemplo, definir um valor de -2 subtrairia 2 do padrão e criaria um período de validade de um mês.</p> + </td> + </tr> + <tr> + <td> + <p><code>-w </code><em>offset-months</em></p> + </td> + <td> + <p>Define uma compensação a partir do horário atual do sistema, em meses, para o começo de um período de validade do certificado. Use ao criar o certificado ou adicioná-lo a um banco de dados. Expresse a compensação em inteiros, usando um sinal de menos (<code>-</code>) para indicar uma compensação negativa. Se esse argumento não foi usado, o período de validade começa no horário atual do sistema. O tamanho da validade é definida com o argumento <code>-v</code>.</p> + </td> + </tr> + <tr> + <td> + <p><code>-x</code></p> + </td> + <td> + <p>Usa a Ferramenta de Banco de Dados de Certificado para gerar a assinatura para um certificado sendo criado ou adicionado a um banco de dados, em vez de obter uma assinatura a partir de uma AC separada.</p> + </td> + </tr> + <tr> + <td> + <p><code>-y </code><em>exp</em></p> + </td> + <td> + <p>Define um valor de exponente alternativo a ser usado na geração de uma nova chave pública de RSA para um banco de dados, em vez do valor padrão de 65537. Os valores alternativos disponíveis são 3 e 17.</p> + </td> + </tr> + <tr> + <td> + <p><code>-z </code><em>noise-file</em></p> + </td> + <td> + <p>Lê um valor inicial a partir do arquivo do arquivo binário especificado a ser usado na geração de um novo par de chaves privada e pública RSA. Esse argumento torna possível usar valores iniciais gerados por hardware e desnecessário criar manualmente um valor do teclado. O tamanho mínimo de arquivo é 20 bytes.</p> + </td> + </tr> + <tr> + <td> + <p><code>-1</code></p> + </td> + <td> + <p>Adiciona uma extensão de uso da chave a um certificado que está sendo criado ou adicionado a um banco de dados. Essa extensão permite que uma chave do certificado seja dedicada a dar suporte a operações específicas tais como um servidor SSL ou assinatura de objeto. A Ferramenta de Banco de Dados de Certificado vai lhe solicitar um uso em particular para o chave do certificado. Esses usos são descritas sob <a href="https://access.redhat.com/documentation/en-US/Red_Hat_Certificate_System/9/html/Administration_Guide/Standard_X.509_v3_Certificate_Extensions.html">Standard X.509 v3 Certificate Extensions</a> no Apêndice A.3 do <em>Guia de Administração do Sistema de Certificados da Red Hat.</em></p> + </td> + </tr> + <tr> + <td> + <p><code>-2</code></p> + </td> + <td> + <p>Adiciona uma extensão de restrição básica a um certificado que está sendo criado ou adicionado a um banco de dados. Essa extensão oferece suporte ao processo de verificação da cadeia de certificados. A Ferramenta de Banco de Dados de Certificado solicitará que você selecione a extensão de restrição de certificado. Extensões de restrição são descritas sob <a href="https://access.redhat.com/documentation/en-US/Red_Hat_Certificate_System/9/html/Administration_Guide/Standard_X.509_v3_Certificate_Extensions.html">Standard X.509 v3 Certificate Extensions</a> no Apêndice A.3 do <em>Guia de Administração do Sistema de Certificados da Red Hat.</em></p> + </td> + </tr> + <tr> + <td> + <p><code>-3</code></p> + </td> + <td> + <p>Adiciona uma extensão de keyID de autoridade a um certificado que está sendo criado ou adicionado a um banco de dados. Essa extensão oferece suporte à identificação de um certificado em particular, no meio de múltiplos certificados associados a um nome de sujeito, como o emissor correto de um certificado. A Ferramenta de Banco de Dados de Certificado solicitará que você selecione a extensão de keyID de autoridade. Extensões de restrição são descritas sob <a href="https://access.redhat.com/documentation/en-US/Red_Hat_Certificate_System/9/html/Administration_Guide/Standard_X.509_v3_Certificate_Extensions.html">Standard X.509 v3 Certificate Extensions</a> no Apêndice A.3 do <em>Guia de Administração do Sistema de Certificados da Red Hat.</em></p> + </td> + </tr> + <tr> + <td> + <p><code>-4</code></p> + </td> + <td> + <p>Adiciona uma extensão de ponto de distribuição de CRL a um certificado que está sendo criado ou adicionado a um banco de dados. Essa extensão identifica a URL de uma lista de revogação de certificados (CRL) associados do certificado. A Ferramenta de Banco de Dados de Certificado solicitará que você informe uma URL. Estensões de pontos de distribuição de CRL são descritas sob <a href="https://access.redhat.com/documentation/en-US/Red_Hat_Certificate_System/9/html/Administration_Guide/Standard_X.509_v3_Certificate_Extensions.html">Standard X.509 v3 Certificate Extensions</a> no Apêndice A.3 do <em>Guia de Administração do Sistema de Certificados da Red Hat.</em></p> + </td> + </tr> + <tr> + <td> + <p><code>-5</code></p> + </td> + <td> + <p>Adiciona uma extensão de tipo de certificado Netscape a um certificado que está sendo criado ou adicionado ao banco de dados. Extensões de tipo de certificado Netscape são descritas sob <a href="https://access.redhat.com/documentation/en-US/Red_Hat_Certificate_System/9/html/Administration_Guide/Standard_X.509_v3_Certificate_Extensions.html">Standard X.509 v3 Certificate Extensions</a> no Apêndice A.3 do <em>Guia de Administração do Sistema de Certificados da Red Hat.</em></p> + </td> + </tr> + <tr> + <td> + <p><code>-6</code></p> + </td> + <td> + <p>Adiciona uma extensão de uso estendido da chave a um certificado que está sendo criado ou adicionado ao banco de dados. Extensões de uso estendido de chave são descritas sob <a href="https://access.redhat.com/documentation/en-US/Red_Hat_Certificate_System/9/html/Administration_Guide/Standard_X.509_v3_Certificate_Extensions.html">Standard X.509 v3 Certificate Extensions</a> no Apêndice A.3 do <em>Guia de Administração do Sistema de Certificados da Red Hat</em></p> + </td> + </tr> + <tr> + <td> + <p><code>-7 </code><em>emailAddrs</em></p> + </td> + <td> + <p>Adiciona uma lista de endereços de email, separados por vírgula, à extensão de nome alternativo do sujeito de um certificado ou requisição de certificado que está sendo criado ou adicionado ao banco de dados. Extensões de nome alternativo do sujeito são descritas na Seção 4.2.1.7 do {{rfc(32800)}}.</p> + </td> + </tr> + <tr> + <td> + <p><code>-8 </code><em>dns-names</em></p> + </td> + <td> + <p>Adiciona uma lista de nomes de DNS, separados por vírgula, à extensão de nome alternativo do sujeito de um certificado ou requisição de certificado que está sendo criado ou adicionado ao banco de dados. Extensões de nome alternativo do sujeito são descritas na Seção 4.2.1.7 do {{rfc(32800)}}</p> + </td> + </tr> + </tbody> +</table> + +<h2 id="Uso">Uso</h2> + +<p>As capacidades da Ferramenta de Banco de Dados de Certificado estão agrupadas a seguir, usando essa combinações de opções e argumentos. Opções e argumentos entre colchetes são opcionais; aqueles sem colchetes são obrigatórios.</p> + +<pre><code>-N [-d </code><em>certdir</em> <code>] </code></pre> + +<pre><code>-S -k rsa|dsa -n </code><em>certname</em> <code>-s </code><em>subject</em> +<code>[-c </code><em>issuer</em> <code>|-x] -t </code><em>trustargs</em> <code>[-h </code><em>tokenname</em> <code>] +[-m </code><em>serial-number</em> <code>] [-v </code><em>valid-months</em> <code>] [-w </code><em>offset-months</em> <code>] +[-d </code><em>certdir</em> <code>] [-p </code><em>phone</em> <code>] [-f </code><em>password-file</em> <code>] [-1] [-2] [-3] [-4] </code></pre> + +<pre><code>-R -k rsa|dsa -s </code><em>subject</em> <code>[-h </code><em>tokenname</em> <code>] +[-d </code><em>certdir</em> <code>] [-p </code><em>phone</em> <code>] [-o </code><em>output-file</em> <code>] [-f </code><em>password-file</em> <code>] </code></pre> + +<pre><code>-C -c </code><em>issuer</em> <code>[-f </code><em>password-file</em> <code>] +[-h </code><em>tokenname</em> <code>] -i </code><em>cert-request-file</em> <code>-o </code><em>output-file</em> <code>[-m </code><em>serial-number</em> <code>] +[-v </code><em>valid-months</em> <code>] [-w </code><em>offset-months</em> <code>] [-d </code><em>certdir</em> <code>] [-1] [-2] [-3] +[-4] </code></pre> + +<pre><code>-A -n </code><em>certname</em> <code>-t </code><em>trustargs</em> <code>[-h </code><em>tokenname</em> <code>] [-d </code><em>certdir</em> <code>] [-a] +[-i </code><em>cert-request-file</em> <code>] </code></pre> + +<pre><code>-L [-n </code><em>certname</em> <code>] [-d </code><em>certdir</em> <code>] [-r] [-a] </code></pre> + +<pre><code>-V -n </code><em>certname</em> <code>-b </code><em>validity-time</em> <code>-u </code><em>certusage</em> <code>[-e] [-l] [-d </code><em>certdir</em> <code>] </code></pre> + +<pre><code>-M -n </code><em>certname</em> <code>-t </code><em>trustargs</em> <code>[-d </code><em>certdir</em> <code>] </code></pre> + +<pre><code>-H </code></pre> + +<ul> + <li>Criando um novo arquivo <code>cert8.db</code>:</li> + <li>Criando um novo certificado e adicionando-o ao banco de dados com um comando:</li> + <li>Fazendo uma requisição de certificado separada:</li> + <li>Criando um novo certificado binário a partir de uma requisição binária de certificado:</li> + <li>Adicionando um certificado a um banco de dados existente:</li> + <li>Listando todos certificados ou um certificado determinado:</li> + <li>Validando um certificado:</li> + <li>Modificando um atributo de confiança do certificado:</li> + <li>Exibindo uma lista das opções e argumetnos usados pela Ferramenta de Banco de Dados de Certificado:</li> +</ul> + +<h2 id="Exemplos">Exemplos</h2> + +<h3 id="Criando_um_novo_Banco_de_Dados_de_Certificado">Criando um novo Banco de Dados de Certificado</h3> + +<p>Esse exemplo cria um novo banco de dados de certificado (arquivo <code>cert8.db</code>) no diretório especificado:</p> + +<pre><code>certutil -N -d </code><em>certdir</em></pre> + +<p>Você deve gerar os arquivos <code>key3.db</code> e <code>secmod.db</code> associados usando a Ferramenta de Banco de Dados de Chave e outras ferramentas.</p> + +<h3 id="Listando_Certificados_em_um_Banco_de_Dados">Listando Certificados em um Banco de Dados</h3> + +<p>Esss exemplo lista todos os certificados no arquivo <code>cert8.db</code> no diretório especificado:</p> + +<pre><code>certutil -L -d </code><em>certdir</em></pre> + +<p>A Ferramenta de Banco de Dados de Certificado exibe uma saída similar a esta:</p> + +<p><code>Certificate Name Trust Attributes </code><br> + <code>Uptime Group Plc. Class 1 CA C,C,<br> + VeriSign Class 1 Primary CA ,C,<br> + VeriSign Class 2 Primary CA C,C,C<br> + AT&T Certificate Services C,C,<br> + GTE CyberTrust Secure Server CA C,,<br> + Verisign/RSA Commercial CA C,C,<br> + AT&T Directory Services C,C,<br> + BelSign Secure Server CA C,,<br> + Verisign/RSA Secure Server CA C,C,<br> + GTE CyberTrust Root CA C,C,<br> + Uptime Group Plc. Class 4 CA ,C,<br> + VeriSign Class 3 Primary CA C,C,C<br> + Canada Post Corporation CA C,C,<br> + Integrion CA C,C,C<br> + IBM World Registry CA C,C,C<br> + GTIS/PWGSC, Canada Gov. Web CA C,C,<br> + GTIS/PWGSC, Canada Gov. Secure CA C,C,C<br> + MCI Mall CA C,C,<br> + VeriSign Class 4 Primary CA C,C,C<br> + KEYWITNESS, Canada CA C,C,<br> + BelSign Object Publishing CA ,,C<br> + BBN Certificate Services CA Root 1 C,C,<br> + p prohibited (explicitly distrusted)<br> + P Trusted peer<br> + c Valid CA<br> + T Trusted CA to issue client certs (implies c)<br> + C Trusted CA to issue server certs(for ssl only) (implies c)<br> + u User cert<br> + w Send warning </code></p> + +<h3 id="Criando_uma_Requisição_de_Certificado">Criando uma Requisição de Certificado</h3> + +<p>Esse exemplo gera um arquivo de requisição binária de certificado chamado <code>e95c.req</code> no diretório especificado:</p> + +<pre><code>certutil -R -s "CN=John Smith, O=Netscape, L=Mountain View, ST=California, C=US" -p "650-555-8888" -o meucert.req -d </code><em>certdir</em></pre> + +<p>Antes de criar o arquivo de requisição, a Ferramenta de Banco de Dados solicita uma senha:</p> + +<pre><code>Enter Password or Pin for "Communicator Certificate DB": </code></pre> + +<h3 id="Criando_um_Certificado">Criando um Certificado</h3> + +<p>Um certificado válido deve ser emitido por uma AC confiável. Se um par de chaves de AC não estiver disponível, você pode criar um certificado auto-assinado (para o propósito deste exemplo) com o argumento <code>-x</code>. Esse exemplo cria um novo certificado de AC binário e auto-assinado chamado <code>meuemissor</code>, no diretório especificado.</p> + +<pre><code>certutil -S -s "CN=Meu emissor" -n meuemissor -x -t "C,C,C" -1 -2 -5 -m 1234 -f </code><em>password-file</em> <code>-d </code><em>certdir</em></pre> + +<p>O exemplo a seguir cria um novo certificado binário chamado <code>meucert.crt</code>, a partir de uma requisição binária de certificado chamada <code>meucert.req</code>, no diretório especificado. Ele é emitido pelo certificado auto-assinado criado assim, <code>meuemissor</code>.</p> + +<pre><code>certutil -C -m 2345 -i meucert.req -o meucert.crt -c meuemissor -d </code><em>certdir</em></pre> + +<h3 id="Adicionando_um_Certificado_ao_Banco_de_Dados">Adicionando um Certificado ao Banco de Dados</h3> + +<p>Esse exemplo adiciona um certificado ao banco de dados de certificado:</p> + +<pre><code>certutil -A -n jsmith@netscape.com -t "p,p,p" -i meucert.crt -d </code><em>certdir</em></pre> + +<p>Você pode ver esse certificado no banco de dados com esse comando:</p> + +<pre><code>certutil -L -n jsmith@netscape.com -d </code><em>certdir</em></pre> + +<p>A Ferramenta de Banco de Dados de Certificado exibe uma saída similiar a esta:</p> + +<p><code>Certificate:<br> + Data:<br> + Version: 3 (0x2)<br> + Serial Number: 0 (0x0)<br> + Signature Algorithm: PKCS #1 MD5 With RSA Encryption<br> + Issuer: CN=John Smith, O=Netscape, L=Mountain View, ST=California, C=US<br> + Validity:<br> + Not Before: Thu Mar 12 00:10:40 1998<br> + Not After: Sat Sep 12 00:10:40 1998<br> + Subject: CN=John Smith, O=Netscape, L=Mountain View, ST=California, C=US </code><br> + <code>Subject Public Key Info:<br> + Public Key Algorithm: PKCS #1 RSA Encryption<br> + RSA Public Key:<br> + Modulus:<br> + 00:da:53:23:58:00:91:6a:d1:a2:39:26:2f:06:3a:<br> + 38:eb:d4:c1:54:a3:62:00:b9:f0:7f:d6:00:76:aa:<br> + 18:da:6b:79:71:5b:d9:8a:82:24:07:ed:49:5b:33:<br> + bf:c5:79:7c:f6:22:a7:18:66:9f:ab:2d:33:03:ec:<br> + 63:eb:9d:0d:02:1b:da:32:ae:6c:d4:40:95:9f:b3:<br> + 44:8b:8e:8e:a3:ae:ad:08:38:4f:2e:53:e9:e1:3f:<br> + 8e:43:7f:51:61:b9:0f:f3:a6:25:1e:0b:93:74:8f:<br> + c6:13:a3:cd:51:40:84:0e:79:ea:b7:6b:d1:cc:6b:<br> + 78:d0:5d:da:be:2b:57:c2:6f<br> + Exponent: 65537 (0x10001)<br> + Signature Algorithm: PKCS #1 MD5 With RSA Encryption<br> + Signature:<br> + 44:15:e5:ae:c4:30:2c:cd:60:89:f1:1d:22:ed:5e:5b:10:c8:<br> + 7e:5f:56:8c:b4:00:12:ed:5f:a4:6a:12:c3:0d:01:03:09:f2:<br> + 2f:e7:fd:95:25:47:80:ea:c1:25:5a:33:98:16:52:78:24:80:<br> + c9:53:11:40:99:f5:bd:b8:e9:35:0e:5d:3e:38:6a:5c:10:d1:<br> + c6:f9:54:af:28:56:62:f4:2f:b3:9b:50:e1:c3:a2:ba:27:ee:<br> + 07:9f:89:2e:78:5c:6d:46:b6:5e:99:de:e6:9d:eb:d9:ff:b2:<br> + 5f:c6:f6:c6:52:4a:d4:67:be:8d:fc:dd:52:51:8e:a2:d7:15:<br> + 71:3e </code><br> + <code>Certificate Trust Flags:<br> + SSL Flags:<br> + Valid CA<br> + Trusted CA<br> + Email Flags:<br> + Valid CA<br> + Trusted CA<br> + Object Signing Flags:<br> + Valid CA<br> + Trusted CA </code></p> + +<h3 id="Validando_um_Certificado">Validando um Certificado</h3> + +<p>Esse exemplo valida um certificado:</p> + +<pre><code>certutil -V -n jsmith@netscape.com -b 9803201212Z -u SR -e -l -d </code><em>certdir</em></pre> + +<p>A Ferramenta de Banco de Dados de Certificado mostra resultdos similares a</p> + +<pre><code>Certificate:'jsmith@netscape.com' is valid.</code></pre> + +<p>ou</p> + +<pre><code>UID=jsmith, E=jsmith@netscape.com, CN=John Smith, O=Netscape Communications Corp., C=US : Expired certificate</code></pre> + +<p>ou</p> + +<pre><code>UID=jsmith, E=jsmith@netscape.com, CN=John Smith, O=Netscape Communications Corp., C=US : Certificate not approved for this operation</code></pre> |