certlink 将远程资源库中的证书链接至用户帐户。
certlink [-c|-r] [-p privatekeystore] -l label -o option tag [username]
certlink 命令将远程资源库中的证书链接至用户帐户。certlink 与 certadd 非常相似,除了用户提供的是到证书的链接而不提供证书本身。
如果给出 -c(仅创建)选项,则 { 用户名,标记 } 对早已作为命名的证书存在是错误的。否则,现有的证书将被新证书取代。如果给出 -r(仅替代)选项,则 { 用户名,标记 } 对未作为命名的证书存在是错误的。这两个选项是互相排斥的。缺省的行为是创建条目(当它不存在时)和替代现有证书(如果该条目存在)。
必须指定 -l 选项。此标签是一个可变长度文本字符串,将用于把密钥存储器中的密钥映射至包含匹配的公用密钥的证书。
如果未给出 -p 选项,缺省值为 /var/pki/security/keys/<username>。此命令的调用者有责任通过使用 keyadd 命令添加与公用密钥相关联的专用密钥。请参考 certadd 命令以获取有关使用 -l 和 -p 标志的更详细信息。此信息也可应用于 certlink 命令。
-o 选项是用于存储证书的 URI。当前仅支持 LDAP URI。资源库的 URI 必须以 RFC 2255 中指定的格式给出。
tag 参数是来自同用户名相同字符集的可变长度文本字符串,用于在由 username 所拥有的全部证书中唯一地标识证书。保留 ALL 标记以用于 certlist 命令,这样就可以查看用户所有的全部证书。 如果由 auth_cert 属性为用户命名的证书被替代,也会返回错误。
当现有的证书被另一证书替代时,与被替代的证书相对应的密钥仍旧在密钥存储器中直至被用户删除。可使用密钥管理命令将这些密钥从密钥存储器中除去。同样地,也可使用密钥管理命令将与证书匹配的专用密钥添加至密钥存储器。
只能添加未撤消的证书,除非系统策略另外规定。在策略文件 /usr/lib/security/ pki/policy.cfg 中指定系统撤消检查策略。使用证书中的“证书撤消分布点”信息可以获取证书撤消列表。如果未给出,证书分布点信息可从 /usr/lib/security/ pki/ca.cfg 文件检索。如果无法检索到证书撤消列表,则不会添加证书。
| -c | 链接新证书。 |
| -r | 替代现有证书。 |
| -p | 指定专用密钥存储器的位置。 |
| -l label | 为与证书中的公用密钥相对应的专用密钥指定标签。 |
| -o option | 指定存储将被链接的证书的 URL。 |
| 0 | 如果成功。 |
| >0 | 发生一个错误。 |
这是具有特权的(设置 UID 为 root)命令。
Root 和属于组安全性的调用者可为任何人添加证书。非特权用户只能为他们自己添加证书。
要链接至外部证书资源库中存储的证书并使之与用户 Bob 相关联,输入:
$ certlink -c -l signcert -p /home/bob/keystore.p12 -o ldap:// cert.austin.ibm.com/o=ibm,ou=Finance,c=us?usercertificate??( cn=Bob James)?X-serial=1A:EF:54 cert1 bob
/usr/lib/security/pki/ca.cfg
/usr/lib/security/pki/policy.cfg
certadd、certcreate、certdelete、certget、certlist, certrevoke、certverify、keyadd、keydelete、keylist、keypasswd 和 mksecpki 命令。