Пользование Охраной приватности GNU: Создание CSR и сертификатов

5.5.2 Создание CSR и сертификатов

Команду --generate-key можно применять с параметром --batch для создания запроса на подпись сертификата (CSR) или сертификата X.509. Это управляется файлом параметров; формат этого файла следующий:

Только текст, длина строк ограничена примерно 1000 символов.
Для символов, не входящих в набор ASCII, используется UTF-8.
Пустые строки игнорируются.
Пробелы в начале и конце строк игнорируются.
Строки, первым символом которых (не считая пробелов) является «#», представляют комментарий.
Управляющие конструкции отмечаются знаком процента перед ними, аргументы отделяются от ключевого слова пробелами.
Параметры указываются ключевым словом с последующим двоеточием. Аргументы отделяются пробелами.
Первым параметром должен быть ‘Key-Type’; управляющие конструкции могут быть в любом месте.
Порядок параметров не имеет значения (не считая того, что первым должен быть ‘Key-Type’). Параметры используются только для создаваемого блока; параметры из предыдущих наборов не используются. Могут проводиться некоторые проверки синтаксиса.
Создание ключа производится по достижении конца файла параметров, при появлении следующего параметра ‘Key-Type’ или при появлении управляющей конструкции ‘%commit’.

Управляющие конструкции:

%echo текст: Вывести текст в качестве диагностики.
%dry-run: Подавить действительное создание ключа (полезно для проверки синтаксиса).
%commit: Выполнить создание ключа. Обратите внимание, что неявно эта конструкция вводится перед следующим параметром Key-Type.

Общие параметры:

Key-Type: алгоритм: Открывает новый блок параметров, задавая тип первичного ключа. Алгоритм должен подходить для подписей. Это обязательный параметр. В качестве аргумента поддерживается только ‘rsa’.
Key-Length: n: Заданная длина создаваемого ключа в битах. Исходное значение 2048.
Key-Grip: шестнадцатеричная строка: Необязательный параметр; используется для создания запроса на подпись сертификата или сертификата для уже существующего ключа. Параметр Key-Length при этом игнорируется.
Key-Usage: список: Список функций ключа с пробелом или запятой в качестве разделителя. Допустимы значения ‘encrypt’ (шифрование), ‘sign’ (подпись) и ‘cert’ (сертификация). Используется для задания расширения keyUsage. Проверьте, пожалуйста, что алгоритм может выполнять эти функции. По умолчанию назначаются функции шифрования и подписи.
Name-DN: имя субъекта: Это уникальное имя (DN) субъекта в формате RFC-2253.
Name-Email: строка: Это адрес электронной почты для altSubjectName. Это необязательный параметр, но он может появляться несколько раз, чтобы добавить к сертификату несколько адресов электронной почты.
Name-DNS: строка: Это имя DNS для altSubjectName. Это необязательный параметр, но он может появляться несколько раз, чтобы добавить к сертификату несколько имен DNS.
Name-URI: строка: Это URI для altSubjectName. Это необязательный параметр, но он может появляться несколько раз, чтобы добавить к сертификату несколько URI.

Дополнительные параметры для создания сертификата (в отличие от запроса на подпись сертификата):

Serial: номер: Если этот параметр задан, будет создан сертификат X.509. Аргумент должен быть шестнадцатеричной строкой, представляющей целое число произвольной длины без знака. Особое значение ‘random’ можно вводить, чтобы создавать случайный 64-битный серийный номер.
Issuer-DN: имя издателя: Это уникальное имя издателя в формате RFC-2253. Если не задано, будет использовано уникальное имя субъекта; кроме того, в сертификат будет добавлено специальное расширение GnuPG, чтобы пометить это как независимый сертификат.
Creation-Date: дата ИСО
Not-Before: дата ИСО: Установить дату notBefore в сертификате. Можно использовать либо дату в виде ‘1986-04-26’ или ‘1986-04-26 12:00’, либо стандартную дату ИСО в виде ‘19860426T042640’. Время считается Всемирным координированным (UTC). Если не задано, используется текущее время.
Expire-Date: дата ИСО
Not-After: дата ИСО: Установить дату notAfter в сертификате. Можно использовать либо дату в виде ‘2063-04-05’ или ‘2063-04-05 17:00’, либо стандартную дату ИСО в виде ‘20630405T170000’. Время считается Всемирным координированным (UTC). Если не задано, используется текущее время.
Signing-Key: код ключа: Задает код ключа, которым подписывается сертификат. Если не задан, создается самоподписанный сертификат. Для совместимости с будущими версиями предлагается писать перед кодом ключа ‘&’.
Hash-Algo: алгоритм хеша: Применить для этого сертификата или запроса на подпись сертификата заданный алгоритм хеша: ‘sha1’, ‘sha256’, ‘sha384’ или ‘sha512’; их можно указывать также прописными буквами. Исходное значение равно ‘sha256’.