certlink 命令
用途
certlink 将远程资源库中的证书链接至用户帐户。
语法
certlink [-c| -r] [-p privatekeystore] -l label -o option tag [username]
描述
certlink 命令将远程资源库中的证书链接至用户帐户。 certlink 与 certadd 非常相似,除了用户提供的是到证书的链接而不提供证书本身。
如果给出 -c(仅创建)选项,那么 { 用户名,标记 } 对早已作为指定证书存在是错误的。 否则,现有的证书将被新证书取代。 如果给出 -r(仅替代)选项,那么 { 用户名,标记 } 对未作为指定证书存在是错误的。 这两个选项互斥。 缺省的行为是创建条目(当它不存在时)和替代现有证书(如果该条目存在)。
必须指定 -l 选项。 此标签是一个可变长度文本字符串,将用于把密钥存储器中的密钥映射至包含匹配的公用密钥的证书。
如果未提供 -p 选项,那么缺省值将为 /var/pki/security/keys/<用户名>。 此命令的调用者负责使用 密钥添加 命令添加与公用密钥关联的专用密钥。 请参考 certadd 命令以获取有关使用 -l 和 -p 标志的更详细信息。 此信息也可应用于 certlink 命令。
-o 选项是用于存储证书的 URI。 当前仅支持 LDAP URI。 资源库的 URI 必须以 RFC 2255 中指定的格式给出。
tag 参数是来自同用户名相同字符集的可变长度文本字符串,用于在由 username 所拥有的全部证书中唯一地标识证书。 保留 ALL 标记以用于 certlist 命令,这样就可以查看用户所有的全部证书。 如果由用户的 auth_cert 属性指定的证书被替换,那么也会返回错误。
当现有的证书被另一证书替代时,与被替代的证书相对应的密钥仍旧在密钥存储器中直至被用户删除。 可使用密钥管理命令将这些密钥从密钥存储器中除去。 同样地,也可使用密钥管理命令将与证书匹配的专用密钥添加至密钥存储器。
只能添加未撤销的证书,除非系统策略另外规定。 在策略文件 /usr/lib/security/ pki/policy.cfg 中指定系统撤销检查策略。 使用证书中的“证书撤销分布点”信息可以获取证书撤销列表。 如果未给出,证书分布点信息可从 /usr/lib/security/ pki/ca.cfg 文件检索。 如果无法检索到证书撤销列表,那么不会添加证书。
标志
| 项 | 描述 |
|---|---|
| -c | 链接新证书。 |
| -r | 替代现有证书。 |
| -p | 指定专用密钥存储器的位置。 |
| -l 标签 | 为与证书中的公用密钥相对应的专用密钥指定标签。 |
| -o 选项 | 指定存储将被链接的证书的 URL。 |
退出状态
| 项 | 描述 |
|---|---|
| 0 | 如果成功。 |
| >0 | 发生错误。 |
安全性
这是一个特权 (set-UID root) 命令。
Root 和属于组安全性的调用者可为任何人添加证书。 非特权用户只能为他们自己添加证书。
示例
$ certlink -c -l signcert -p /home/bob/keystore.p12 -o ldap://
cert.austin.ibm.com/o=ibm,ou=Finance,c=us?usercertificate??(
cn=Bob James)?X-serial=1A:EF:54 cert1 bob文件
/usr/lib/security/pki/ca.cfg
/usr/lib/security/pki/policy.cfg