AIX命令参考大全，卷 1，a - c

certadd 命令

用途

certadd 将证书存储到本地 LDAP 资源库中。

语法

certadd [-c|-r] [-p privatekeystore] [-f file] -l label tag [username]

描述

certadd 命令将用户提供的证书存储在本地 LDAP 资源库中。

如果使用 -c（仅创建）选项，则当用户名和标记对早已作为命名的证书存在时，它将返回错误。否则，现有的证书将被新证书取代。如果使用 -r（仅替代）选项，则当用户名和标记对未作为命名的证书存在时，会返回错误。这两个选项是互相排斥的。缺省的行为是创建条目（当此条目不存在时）或者替代现有证书（如果它存在）。

如果未给出 -f 选项，则证书将会从标准输入读取。证书是 DER 格式的。certadd 命令只限于 root 用户，或具有适当管理角色的用户（当用户名参数不同于当前用户时）。

必须总是指定 -l 选项。此标签是一个可变长度文本字符串，将用于把密钥存储器中的密钥映射至包含匹配的公用密钥的证书。当 certcreate 命令被调用时，请确保此标签与所指定的标签相同。

如果未给出 -p 选项，缺省值为 file:/var/pki/security/keys/<username>。如果未指定协议，则假定是 file:。当前仅有 file: 类型的 URI 是受支持的。此命令的调用者有责任确保专用密钥存储器包含与证书中的公用密钥匹配的专用密钥。如果使用 certcreate 命令创建了要添加的证书，则专用密钥已经处于专用密钥存储器中。或者，如果此证书是在外部创建的，用户可于稍后使用 keyadd 命令将同公用密钥关联的专用密钥添加至专用密钥存储器中。

tag 参数是来自与用户名相同的字符集的可变长度文本字符串，用于在由用户名所有的全部证书中唯一标识证书。保留 tag ALL 以用于 certlist 命令，这样，就可以查看用户所拥有的全部证书，因此不能与 certadd 命令一起使用。要替换由 auth_cert 属性为用户命名的证书也是错误。当现有的证书被另一证书替代时，与被替代的证书相对应的密钥仍旧在密钥存储器中直至被用户删除。可使用密钥管理命令将这些密钥从密钥存储器中除去。同样地，可使用密钥管理命令将用于新证书的密钥再次添加至密钥存储器。只能添加未撤消的证书，除非系统策略另外规定。

在节 crl 下的策略文件 /usr/lib/security/ pki/policy.cfg 中指定系统撤消检查策略。当 check 属性设置为 yes，则 针对 CRL 检查证书。使用来自证书和来自 /usr/lib/security/pki/ca.cfg 文件的“证书撤消分布点”信息来获取证书撤消列表。此文件具有被称为 crl 的条目，可使用该条目指定 CRL 检索的方法。ldap:、http: 和 file: 检索方法是受支持的。如果指定了多个 URI，必须对它们用空格进行定界。如果无法检索到证书撤消列表，则不会添加证书。

标志

退出状态

安全性

这是具有特权的（设置 UID 为 root）命令。

Root 和属于组安全性的调用者可为任何人添加证书。非特权用户只能为他们自己添加证书。

审计

此命令记录以下事件信息：

CERT_Add <username>

示例

要将存储于 cert.der 中的证书添加至本地 LDAP 资源库并使之同用户 Bob 相关联，输入：

$ certadd -c -f cert.der -l signcert cert1 bob

或

$ certadd -c -l signcert cert1 bob < cert.der

这样将从文件 cert.der 读取 DER 编码证书并将 signcert 指定为标签而 cert1 指定为标记，然后将它存储在 LDAP 中作为 Bob 的证书。缺省的专用密钥存储器位置为 /var/pki/ security/keys/bob。

要用另一证书替代 Bob 的 cert1 证书，输入：

$ certadd -r -f newcert1.der -l newsigncert cert1 bob

文件

/usr/lib/security/pki/acct.cfg

/usr/lib/security/pki/ca.cfg

/usr/lib/security/pki/policy.cfg

相关信息

certcreate、certdelete、certget, certlink、certlist、certrevoke、certverify、keyadd、keydelete、keylist、keypasswd 和 mksecpki 命令。