H9.1. Utility di generazione delle chiavi e dei certificati digitali

Si mettono a disposizione le seguenti versioni dell'utility console di generazione delle chiavi e dei certificati digitali:

File eseguibile

Posizione

Descrizione

drweb-sign-<sistema_operativo>-<numero_di_bit>

Pannello di controllo, sezione Amministrazione → Utility

Versione indipendente dell'utility. Può essere avviata da qualsiasi directory e su qualsiasi computer con il sistema operativo corrispondente.

Directory di Server webmin/utilities

drwsign

Directory di Server bin

La versione dell'utility dipende dalla disponibilità delle librerie del server. Può essere avviata solo dalla directory della sua posizione.

Le versioni dell'utility drweb-sign-<sistema_operativo>-<numero_di_bit> e drwsign hanno le funzionalità simili. Di seguito nella sezione viene riportata la versione drwsign, tuttavia, tutti gli esempi sono adatti per entrambe le versioni.

Formato del comando di avvio

drwsign check [-public-key=<chiave_pubblica>] <file>

Verifica la firma del file indicato utilizzando la chiave pubblica del soggetto che ha firmato tale file.

Parametro dell'opzione

Valore predefinito

<chiave_pubblica>

drwcsd.pub

drwsign extract [-private-key=<chiave_privata>] [-cert=<certificato_Server>] <chiave_pubblica>

Estrai la chiave pubblica dal file della chiave privata o dal file del certificato e scrivi la chiave pubblica nel file indicato.

Le opzioni -private-key e -cert si escludono a vicenda, cioè può essere impostata solo una di esse; se vengono impostate contemporaneamente entrambe le opzioni, il comando termina con un errore.

È obbligatoria l'indicazione del parametro per le opzioni.

Se nessuna opzione è impostata, verrà utilizzata -private-key=drwcsd.pri per estrarre la chiave pubblica dalla chiave privata drwcsd.pri.

Parametro dell'opzione

Valore predefinito

<chiave_privata>

drwcsd.pri

drwsign genkey [<chiave_privata> [<chiave_pubblica>]]

Genera una coppia chiave pubblica – chiave privata e scrivila nei file corrispondenti.

Parametro dell'opzione

Valore predefinito

<chiave_privata>

drwcsd.pri

<chiave_pubblica>

drwcsd.pub

La versione di utility per le piattaforme Windows (a differenza della versione per i SO UNIX) non protegge in nessun modo la chiave privata dalla copiatura.

drwsign gencert [-private-key=<chiave_privata>] [-subj=<campi_del_soggetto>] [-days=<validità>] [<certificato_autofirmato>]

Genera un certificato autofirmato utilizzando la chiave privata del Server e scrivilo nel file corrispondente.

Parametro dell'opzione

Valore predefinito

<chiave_privata>

drwcsd.pri

<campi_del_soggetto>

/CN=<nome_host>

<validità>

3560

<certificato_autofirmato>

drwcsd-certificate.pem

drwsign gencsr [-private-key=<chiave_privata>] [-subj=<campi_del_soggetto>] [<richiesta_di_firma_del_certificato>]

Genera una richiesta di firma del certificato in base alla chiave privata e scrivi questa richiesta nel file corrispondente.

Può essere utilizzato per firmare il certificato di un altro server, per esempio, per firmare il certificato di Server proxy tramite la chiave di Server Dr.Web.

Per firmare tale richiesta, utilizzare l'opzione signcsr.

Parametro dell'opzione

Valore predefinito

<chiave_privata>

drwcsd.pri

<campi_del_soggetto>

/CN=<nome_host>

<richiesta_di_firma_del_certificato>

drwcsd-certificate-sign-request.pem

drwsign genselfsign [-show] [-subj=<campi_del_soggetto>] [-days=<validità>] [<chiave_privata> [<certificato_autofirmato>]]

Genera un certificato autofirmato RSA e una chiave privata RSA per il web server e scrivili nei file corrispondenti.

L'opzione -show restituisce il contenuto del certificato in una forma leggibile.

Parametro dell'opzione

Valore predefinito

<campi_del_soggetto>

/CN=<nome_host>

<validità>

3560

<chiave_privata>

private-key.pem

<certificato_autofirmato>

certificate.pem

drwsign hash-check [-public-key=<chiave_pubblica>] <file_di_hash> <file_di_firma>

Verifica la firma del numero a 256 bit indicato nel formato del protocollo client-server.

Nel parametro <file_di_hash> viene impostato un file con un numero a 256 bit da firmare. Nel file <file_di_firma> viene impostato il risultato della firma (due numeri a 256 bit).

Parametro dell'opzione

Valore predefinito

<chiave_pubblica>

drwcsd.pub

drwsign hash-sign [-private-key=<chiave_privata>] <file_di_hash> <file_di_firma>

Firma il numero a 256 bit indicato nel formato del protocollo client-server.

Nel parametro <file_di_hash> viene impostato un file con un numero a 256 bit da firmare. Nel file <file_di_firma> viene impostato il risultato della firma (due numeri a 256 bit).

Parametro dell'opzione

Valore predefinito

<chiave_privata>

drwcsd.pri

drwsign help [<comando>]

Restituisci la breve guida al programma o a un comando specifico nel formato della riga di comando.

drwsign sign [-private-key=<chiave_privata>] <file>

Firma <file>, utilizzando la chiave privata.

Parametro dell'opzione

Valore predefinito

<chiave_privata>

drwcsd.pri

drwsign signcert [-ca-key=<chiave_privata>] [-ca-cert=<certificato_Server>] [-cert=<certificato_da_firmare>] [-days=<validità>] [<certificato_firmato>]

Firma il <certificato_da_firmare> predisposto tramite la chiave privata e il certificato di Server. Il certificato firmato viene salvato in un file separato.

Può essere utilizzato per firmare il certificato di Server proxy tramite la chiave di Server.

Parametro dell'opzione

Valore predefinito

<chiave_privata>

drwcsd.pri

<certificato_Server>

drwcsd-ca-cerificate.pem

<certificato_da_firmare>

drwcsd-certificate.pem

<validità>

3560

<certificato_firmato>

drwcsd-signed-certificate.pem

drwsign signcsr [-ca-key=<chiave_privata>] [-ca-cert=<certificato_Server>] [-csr=<richiesta_di_firma_del_certificato>] [-days=<validità>] [<certificato_firmato>]

Firma <richiesta_di_firma_del_certificato>, generato dal comando gencsr, tramite la chiave privata e il certificato di Server. Il certificato firmato viene salvato in un file separato.

Può essere utilizzato per firmare il certificato di un altro server, per esempio, per firmare il certificato di Server proxy tramite la chiave di Server Dr.Web.

Parametro dell'opzione

Valore predefinito

<chiave_privata>

drwcsd.pri

<certificato_Server>

drwcsd-cerificate.pem

<richiesta_di_firma_del_certificato>

drwcsd-certificate-sign-request.pem

<validità>

3560

<certificato_firmato>

drwcsd-signed-certificate.pem

drwsign tlsticketkey [<ticket_TLS>]

Genera ticket TLS.

Può essere utilizzato nel cluster di Server per le sessioni TLS comuni.

Parametro dell'opzione

Valore predefinito

<ticket_TLS>

tickets-key.bin

drwsign verify [-ss-cert] [-CAfile=<certificato_Server>] [<certificato_da_verificare>]

Verifica la validità del certificato in base a un certificato di Server attendibile.

L'opzione -ss-cert comanda di ignorare il certificato attendibile e di verificare soltanto la correttezza del certificato autofirmato.

Parametro dell'opzione

Valore predefinito

<certificato_Server>

drwcsd-certificate.pem

<certificato_da_verificare>

drwcsd-signed-certificate.pem

drwsign x509dump [<certificato_da_stampare>]

Stampa il dump di qualsiasi certificato x509.

Parametro dell'opzione

Valore predefinito

<certificato_da_stampare>

drwcsd-certificate.pem