certrevoke 撤消用户证书。
certrevoke [-S servicename] { -f file -l label [-p privatekeystore] | tag [user-name]}
certrevoke 命令用来撤消由作为系统域部分的认证中心发出的证书。-S 选项指定在撤消证书时使用的服务。在 /usr/lib/security/pki/ca.cfg 中定义可用的服务。不具有 -S 选项的证书请求可使用本地服务来创建。如果指定不具有 /usr/lib/security/pki/ ca.cfg 文件中的条目的服务名,将返回错误。
如果选择 -f 选项,将从命名的文件或 stdin(如果名称是“-”)读取证书。证书必须是 DER 格式的。每当用户指定 -f 选项,则也必须指定同公用密钥相匹配的专用密钥的标签。如果用户未提供专用密钥存储器的位置,将使用缺省位置。
如果未指定 -f 选项,则调用者必须提供要撤消的证书的标记值和可选的用户名。如果调用时不具有用户名参数,certrevoke 命令将使用当前用户的名称。
-l 选项将用于检索与要撤消的证书中的公用密钥匹配的专用密钥。如果用户无法证明其对于同公用密钥匹配的将要被撤销的专用密钥的所有权,则 certrevoke 命令将失败。certrevoke 命令在实际执行证书撤消之前,会向用户询问密码。如果此命令无法打开当前进程的 /dev/tty,它将失败。
| -S servicename | 指定要使用的服务模块。 |
| -f file | 指定从文件读取要撤消的证书。 |
| -l label | 指定与要撤消的证书的专用密钥相关联的标签。 |
| -p privatekeystore | 指定专用密钥存储器的位置。 |
| 0 | 命令成功完成。 |
| >0 | 发生一个错误。 |
这是一个 setuid 命令。
Root 和属于组安全性的调用者可以撤消任何人的证书。Root 将使用撤消通行码来撤消证书。撤消通行码在 /usr/lib/security/ pki/acct.cfg 文件中指定。
非特权用户只能撤消其自己所有的证书。他们必须证明自己对与要撤消的证书中的公用密钥相匹配的专用密钥的所有权。
此命令记录以下事件信息:
CERT_Revoke <username>
要撤消 Bob 拥有的证书 signcert,输入:
$ certrevoke signcert bob
要撤消文件 cert.der 中的证书,输入:
$ certrevoke cert.der
/usr/lib/security/pki/ca.cfg
certadd、certcreate、certdelete、certget、certlink、certlist、certverify、keyadd、keydelete、keylist、keypasswd 和 mksecpki 命令。