certlink Comando

Propósito

certlink vincula um certificado em um repositório remoto a uma conta de usuário.

Sintaxe

certlink [-c|-r] [-p privatestore] -l rótulo -o tag de opção [nome de usuário]

Descrição

O comando certlink liga um certificado em um repositório remoto a uma conta de usuário. certlink é muito semelhante ao certadd , exceto que o usuário forneça um link para o certificado em vez de fornecer o próprio certificado.

Se a opção -c (create only) for dada, é um erro se o par {username, tag} já existir como um certificado nomeado. Caso contrário, um certificado existente deve ser substituído pelo novo certificado. Se a opção -r (substituir apenas) for dada, é um erro se o par {username, tag} já não existir como um certificado nomeado. Essas duas opções são mutuamente excludentes. O comportamento padrão é criar a entrada se ela não existir e substituir o certificado existente se ele existir.

A opção -l deve ser especificada. A etiqueta é uma cadeia de texto de comprimento variável que será usada para mapear uma chave no armazenamento de chaves para o certificado que contém a chave pública correspondente.

Se a opção -p não for dada, o padrão será /var/pki/security/keys/ <username>. É de responsabilidade do faturador desse comando adicionar a chave privada associada à chave pública, utilizando o comando keyadd . Consulte o comando certadd para obter mais detalhes sobre o uso das bandeiras -l e -p . Essas informações também se aplicam ao comando certlink .

A opção -o é a URI onde o certificado é armazenado. Atualmente apenas URIs LDAP são suportados. A URI do repositório deve ser dada no formato conforme especificado na RFC 2255.

O parâmetro tag é uma string de texto de comprimento variável a partir do mesmo conjunto de caracteres como nomes de usuários que é usado para identificar com exclusividade o certificado entre todos os certificados de propriedade de username. A tag ALL deve ser reservada para o comando certlist para que todos os certificados de propriedade de um usuário possam ser visualizados. Um erro também é retornado se um certificado nomeado pelo atributo auth_cert para um usuário for substituído.

Quando um certificado existente é substituído por outro, as chaves correspondentes ao certificado substituído permanecem no armazenamento de chaves até serem excluídos pelo usuário. Essas chaves podem ser removidas do armazenamento de chaves usando comandos de gerenciamento de chaves. Da mesma forma, a chave privada correspondente a um certificado também pode ser adicionada ao armazenamento de chaves usando os comandos de gerenciamento de chaves.

Apenas um certificado que não for revogado pode ser adicionado, a menos que a política do sistema especifique o contrário. A política de verificação de revogação do sistema é especificada no arquivo de políticas /usr/lib/security/ pki/policy.cfg A lista de revogação do certificado será obtida utilizando as informações do Ponto de Distribuição de Revocação do Certificado no certificado. Se um não for fornecido, as informações do ponto de distribuição de certificado serão recuperadas do arquivo /usr/lib/security/ pki/ca.cfg . O certificado não será adicionado, se a lista de revogação do certificado não pôde ser recuperada.

Sinalizações

Status de saída

Segurança

Este é um comando privilegiado (set-UID root).

Root e invokers pertencentes à segurança do grupo podem adicionar certificados para qualquer pessoa. Um usuário não privilegiado só pode adicionar certificados para a temática.

Exemplos

$ certlink -c -l signcert -p /home/bob/keystore.p12 -o ldap://
cert.austin.ibm.com/o=ibm,ou=Finance,c=us?usercertificate??(
cn=Bob James)?X-serial=1A:EF:54 cert1 bob

Arquivos

/usr/lib/security/pki/ca.cfg

/usr/lib/security/pki/policy.cfg