certrevoke コマンド
目的
certrevoke は、ユーザー証明書を取り消します。
構文
certrevoke [-S servicename ] { -f file -l label [-p privatekeystore ] | tag [user-name ]}
説明
certrevoke コマンドは、システムのドメインの一部である認証局によって発行された証明書を取り消すのに使用されます。 -S オプションは、証明書を取り消す際に使用するサービスを指定します。 使用可能なサービスは、/usr/lib/security/pki/ca.cfg に定義されています。 -S オプションが指定されていない証明書要求の場合は、ローカル・サービスを使用して作成されます。 /usr/lib/security/pki/ca.cfg ファイルにエントリーを持たないサービス名を指定すると、エラーが戻されます。
-f オプションが選択されている場合は、証明書は指定されたファイル、または標準入力 (名前が「-」の場合) から読み取られます。 証明書は DER フォーマットでなければなりません。 -f オプションを指定する場合は必ず、公開鍵に合致する秘密鍵のラベルも指定しなければなりません。 プライベート鍵ストアの位置を指定しなかった場合は、デフォルトの位置が使用されます。
-f オプションを指定しない場合、起動者は取り消す証明書のタグ値、およびオプションでユーザー名を指定しなければなりません。 username パラメーターを指定しないで certrevoke コマンドを起動すると、現行ユーザーの名前が使用されます。
-l オプションは、取り消される証明書に含まれている公開鍵に合致する秘密鍵を検索するのに使用されます。 取り消される公開鍵に合致する秘密鍵の所有権をユーザーが証明できない場合、certrevoke コマンドは失敗します。 certrevoke コマンドは、証明書の取り消しを実際に実行する前にパスワードの入力を求めます。 現行プロセスの /dev/tty をオープンできない場合、このコマンドは失敗します。
フラグ
| 項目 | 説明 |
|---|---|
| -S servicename | 使用するサービス・モジュールを指定します。 |
| -f file | 取り消す証明書をファイルから読み取ることを指定します。 |
| -l label | 取り消される証明書の秘密鍵に関連付けられているラベルを指定します。 |
| -p privatekeystore | プライベート鍵ストアの場所を指定します。 |
終了状況
| 項目 | 説明 |
|---|---|
| 0 | コマンドが正常に完了しました。 |
| >0 | エラーが発生しました。 |
セキュリティー
これは setuid コマンドです。
root およびグループ security に属している起動者は、anybody 用の証明書を取り消せます。
root は、取り消しパスフレーズ (パスワード) を使用して証明書を取り消します。
取り消しパスフレーズは、/usr/lib/security/pki/acct.cfg ファイルに指定されています。
非特権ユーザーは、各自が所有している証明書しか取り消せません。 これらのユーザーは、取り消される証明書内の公開鍵に合致する秘密鍵を所有していることを証明しなければなりません。
監査
このコマンドは、以下のイベント情報を記録します。
CERT_Revoke <username>
例
signcert を取り消すには、次のように入力します。
$ certrevoke signcert bob$ certrevoke cert.derファイル
/usr/lib/security/pki/ca.cfg