Commande certrevoke
Objectif
certrevoke révoque un certificat d'utilisateur.
Syntaxe
certrevoke [-S nom_service] { -f fichier -l libellé [-p fichier de clés privées] | balise [nom-utilisateur] }
Descriptif
La commande certrevoke permet de révoquer les certificats émis par une autorité de certification qui fait partie du domaine du système. L'option -S indique le service à utiliser lors de la révocation d'un certificat. Les services disponibles sont définis dans /usr/lib/security/pki/ca.cfg. Les demandes de certificat sans l'option -S sont créées à l'aide du service local. Une erreur est renvoyée si vous indiquez un nom de service qui ne comporte pas d'entrée dans le fichier /usr/lib/security/pki/ ca.cfg .
Si l'option -f est sélectionnée, le certificat est lu à partir du fichier nommé, ou stdin si le nom est "-". Les certificats doivent être au format DER. Chaque fois que l'utilisateur spécifie l'option -f , le libellé de la clé privée correspondant à la clé publique doit également être spécifié. Si l'utilisateur ne fournit pas l'emplacement du magasin de clés privé, l'emplacement par défaut est utilisé.
Si l'option -f n'est pas spécifiée, l'appelant doit fournir la valeur de balise et le nom d'utilisateur facultatif pour que le certificat soit révoqué. Si elle est appelée sans le paramètre username, la commande certrevoke utilise le nom de l'utilisateur en cours.
L'option -l permet d'extraire la clé privée correspondant à la clé publique dans le certificat à révoquer. La commande certrevoke échoue si l'utilisateur ne peut pas démontrer la propriété de la clé privée correspondant à la clé publique à révoquer. La commande certrevoke demande à l'utilisateur un mot de passe avant d'effectuer la révocation du certificat. La commande peut échouer si elle ne parvient pas à ouvrir /dev/tty pour le processus en cours.
Indicateurs
| Article | Descriptif |
|---|---|
| -S nom_service | Indique le module de service à utiliser. |
| -f fichier | Indique que le certificat à révoquer sera lu dans le fichier de formulaire. |
| -l libellé | Indique le libellé associé à la clé privée du certificat à révoquer. |
| -p fichier_de_clés privées | Indique l'emplacement du magasin de clés privé. |
Statut de sortie
| Article | Descriptif |
|---|---|
| 0 | La commande s'est terminée avec succès. |
| >0 | Une erreur s'est produite. |
Security
Il s'agit d'une commande setuid .
Root et les appelants appartenant à la sécurité de groupe peuvent révoquer le certificat de n'importe qui. Root révoque le certificat à l'aide de la phrase passe de révocation. La phrase passe de révocation est spécifiée dans le fichier /usr/lib/security/ pki/acct.cfg .
Un utilisateur non privilégié ne peut révoquer que les certificats qu'il possède. Ils doivent démontrer qu'ils possèdent la clé privée correspondant à la clé publique dans le certificat à révoquer.
audit
Cette commande enregistre les informations d'événement suivantes:
CERT_Revoke <nom_utilisateur>
Exemples
signcert appartenant à Bob, entrez:$ certrevoke signcert bob$ certrevoke cert.derFichiers
/usr/lib/security/pki/ca.cfg