BEZEICHNUNG¶
systemd-keyutil - Verschiedene Aktionen auf privaten
Schlüsseln und X.509-Zertifikaten ausführen
ÜBERSICHT¶
systemd-keyutil [OPTIONEN…]
{BEFEHL}
BESCHREIBUNG¶
systemd-keyutil kann zur Ausführung verschiedener
Aktionen auf privaten Schlüsseln und X.509-Zertifikaten verwandt
werden.
BEFEHLE¶
validate
Überprüft, dass der mit
--private-key= bzw.
--certificate= angegebene private
Schlüssel bzw. das Zertifikat geladen werden kann.
Falls der private Schlüssel von einem
PIN-geschützten Hardware-Token geladen wird, kann dieser Befehl als
Seiteneffekt zum Zwischenspeichern der PIN in dem
Kernel-Schlüsselbund verwandt werden. Die Umgebungsvariablen
$SYSTEMD_ASK_PASSWORD_KEYRING_TIMEOUT_SEC und
$SYSTEMD_ASK_PASSWORD_KEYRING_TYPE können zum Steuern der
Speicherdauer und der Auswahl, in welchem Kernelschlüsselbund die PIN
zwischengespeichert wird, verwandt werden.
Hinzugefügt in Version 257.
public
Dieser Befehl gibt den öffentlichen
Schlüssel im PEM-Format aus, der entweder aus dem mit
--certificate= angegebenen Zertifikat oder dem mit
--private-key= angegebenen privaten Schlüssel extrahiert wurde.
Hinzugefügt in Version 257.
pkcs7
Dieser Befehl bettet die mit
--signature=
bereitgestellte PKCS#1-Signatur (RSA) in eine PKCS#7-Signatur des mit
--certificate= bereitgestellten Zertifikats ein und schreibt dies in
die mit
--output= angegebene Datei im PKCS#7-Format (p7s). Falls
--content= bereitgestellt wird, wird diese in der p7s aufgenommen,
andernfalls wird eine »abgelöste«
(»detached«) Signatur erstellt. Die Option
--hash-algorithm=, deren Vorgabe »SHA256« lautet, legt
fest, welcher Hash-Algorithmus zur Erstellung der Signatur verwandt wurde.
Hinzugefügt in Version 258.
OPTIONEN¶
Die folgenden Optionen werden verstanden:
--private-key=PFAD/URI,
--private-key-source=TYP[:NAME],
--certificate=PFAD,
--certificate-source=TYP[:NAME]
Setzt den zu verwendenden privaten Schlüssel und
das zu verwendende Zertifikat. Die Option
--certificate= akzeptiert
einen Pfad zu einem PEM-kodierten X.509-Zertifikat oder einer URI, die an den
mit
--certificate-source konfigurierten OpenSSL-Provider
übergeben wird.
--certificate-source akzeptiert entweder
»file« oder »provider«, wobei letzterer von einer
bestimmten Provider-Kennzeichnung gefolgt wird, die durch einen Doppelpunkt
abgetrennt wird, z.B. »provider:pkcs11«. Die Option
--private-key= kann einen Pfad oder eine URI akzeptieren, der/die an
die OpenSSL-Engine oder den -Provider übergeben wird, wie sie im
--private-key-source= als ein »Typ:Nayme«-Tupel angegeben
ist, wie in »engine:pkcs11«.
Hinzugefügt in Version 257.
--signature=PFAD
Eingabe-PKCS#1-Signatur für den Befehl
pkcs7.
Hinzugefügt in Version 258.
--content=PFAD
Eingabedaten, die der PKCS#1-Signatur für den
Befehl
pkcs7 entsprechen; wird für die Erstellung eingebetteter
(d..h. nicht »abgehängter«) PKCS#7-Signaturen verwandt.
Hinzugefügt in Version 258.
--hash-algorithm=ALGORITMUS
Der für die Erstellung der PKCS#1-Signatur
für den Befehl
pkcs7 verwandte Hash-Algorithmus. Dies sollte ein
gültiger
openssl(1ssl)-Digest-Algorithmus sein. Verwenden Sie
»openssl list -digest-algorithms«, um eine Liste aller auf Ihrem
System gültigen Algorithmen zu sehen. Standardmäßig
»SHA256«.
Hinzugefügt in Version 258.
--output=PFAD
Gibt eine PKCS#7-Signatur für den Befehl
pkcs7 aus.
Hinzugefügt in Version 258.
-h, --help
Zeigt einen kurzen Hilfetext an und beendet das
Programm.
--version
Zeigt eine kurze Versionszeichenkette an und beendet das
Programm.
ÜBERSETZUNG¶
Die deutsche Übersetzung dieser Handbuchseite wurde von
Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die
GNU General
Public License Version 3 oder neuer bezüglich der
Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite
finden, schicken Sie bitte eine E-Mail an die Mailingliste der
Übersetzer:
debian-l10n-german@lists.debian.org.
