BEZEICHNUNG¶
systemd-keyutil - Verschiedene Aktionen auf privaten
Schlüsseln und X.509-Zertifikaten ausführen
ÜBERSICHT¶
systemd-keyutil [OPTIONEN…]
{BEFEHL}
BESCHREIBUNG¶
systemd-keyutil kann zur Ausführung verschiedener
Aktionen auf privaten Schlüsseln und X.509-Zertifikaten verwandt
werden.
BEFEHLE¶
validate
Überprüft, dass der mit
--private-key= bzw.
--certificate= angegebene private
Schlüssel bzw. das Zertifikat geladen werden kann.
Falls der private Schlüssel von einem
PIN-geschützten Hardware-Token geladen wird, kann dieser Befehl als
Seiteneffekt zum Zwischenspeichern der PIN in dem
Kernel-Schlüsselbund verwandt werden. Die Umgebungsvariablen
$SYSTEMD_ASK_PASSWORD_KEYRING_TIMEOUT_SEC und
$SYSTEMD_ASK_PASSWORD_KEYRING_TYPE können zum Steuern der
Speicherdauer und der Auswahl, in welchem Kernelschlüsselbund die PIN
zwischengespeichert wird, verwandt werden.
Hinzugefügt in Version 257.
extract-public
Dieser Befehl gibt den öffentlichen
Schlüssel im PEM-Format aus, der entweder aus dem mit
--certificate= angegebenen Zertifikat oder dem mit
--private-key= angegebenen privaten Schlüssel extrahiert wurde.
Hinzugefügt in Version 257.
extract-certificate
This command prints the X.509 certificate in PEM format
extracted from the certificate given with
--certificate=. This is
useful when loading a certificate from an OpenSSL provider (e.g. a hardware
token) and wanting to output a standalone PEM certificate that can be used
without the provider.
Hinzugefügt in Version 260.
pkcs7
Dieser Befehl bettet die mit
--signature=
bereitgestellte PKCS#1-Signatur (RSA) in eine PKCS#7-Signatur des mit
--certificate= bereitgestellten Zertifikats ein und schreibt dies in
die mit
--output= angegebene Datei im PKCS#7-Format (p7s). Falls
--content= bereitgestellt wird, wird diese in der p7s aufgenommen,
andernfalls wird eine »abgelöste«
(»detached«) Signatur erstellt. Die Option
--hash-algorithm=, deren Vorgabe »SHA256« lautet, legt
fest, welcher Hash-Algorithmus zur Erstellung der Signatur verwandt wurde.
Hinzugefügt in Version 258.
OPTIONEN¶
Die folgenden Optionen werden verstanden:
--private-key=PFAD/URI,
--private-key-source=TYP[:NAME],
--certificate=PFAD,
--certificate-source=TYP[:NAME]
Setzt den zu verwendenden privaten Schlüssel und
das zu verwendende Zertifikat. Die Option
--certificate= akzeptiert
einen Pfad zu einem PEM-kodierten X.509-Zertifikat oder einer URI, die an den
mit
--certificate-source konfigurierten OpenSSL-Provider
übergeben wird.
--certificate-source akzeptiert entweder
»file« oder »provider«, wobei letzterer von einer
bestimmten Provider-Kennzeichnung gefolgt wird, die durch einen Doppelpunkt
abgetrennt wird, z.B. »provider:pkcs11«. Die Option
--private-key= kann einen Pfad oder eine URI akzeptieren, der/die an
die OpenSSL-Engine oder den -Provider übergeben wird, wie sie im
--private-key-source= als ein »Typ:Nayme«-Tupel angegeben
ist, wie in »engine:pkcs11«.
Hinzugefügt in Version 257.
--signature=PFAD
Eingabe-PKCS#1-Signatur für den Befehl
pkcs7.
Hinzugefügt in Version 258.
--content=PFAD
Eingabedaten, die der PKCS#1-Signatur für den
Befehl
pkcs7 entsprechen; wird für die Erstellung eingebetteter
(d..h. nicht »abgehängter«) PKCS#7-Signaturen verwandt.
Hinzugefügt in Version 258.
--hash-algorithm=ALGORITMUS
Der für die Erstellung der PKCS#1-Signatur
für den Befehl
pkcs7 verwandte Hash-Algorithmus. Dies sollte ein
gültiger
openssl(1ssl)-Digest-Algorithmus sein. Verwenden Sie
»openssl list -digest-algorithms«, um eine Liste aller auf Ihrem
System gültigen Algorithmen zu sehen. Standardmäßig
»SHA256«.
Hinzugefügt in Version 258.
--output=PFAD
Gibt eine PKCS#7-Signatur für den Befehl
pkcs7 aus.
Hinzugefügt in Version 258.
-h, --help
Zeigt einen kurzen Hilfetext an und beendet das
Programm.
--version
Zeigt eine kurze Versionszeichenkette an und beendet das
Programm.
ÜBERSETZUNG¶
Die deutsche Übersetzung dieser Handbuchseite wurde von
Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die
GNU General
Public License Version 3 oder neuer bezüglich der
Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite
finden, schicken Sie bitte eine E-Mail an die Mailingliste der
Übersetzer:
debian-l10n-german@lists.debian.org.
