Add a libpttls providing NEA PT-TLS / TNC IF-T for TLS transport layer
[strongswan.git] / src / ipsec / _ipsec.8.in
1 .TH @IPSEC_SCRIPT_UPPER@ 8 "2012-06-19" "@IPSEC_VERSION@" "strongSwan"
2 .SH NAME
3 @IPSEC_SCRIPT@ \- invoke IPsec utilities
4 .SH SYNOPSIS
5 .B @IPSEC_SCRIPT@
6 \fIcommand\fP [ \fIarguments\fP ] [ \fIoptions\fP ]
7 .PP
8 .SH DESCRIPTION
9 The
10 .B @IPSEC_SCRIPT@
11 utility invokes any of several utilities involved in controlling and monitoring
12 the IPsec encryption/authentication system, running the specified \fIcommand\fP
13 with the specified \fIarguments\fP and \fIoptions\fP as if it had been invoked
14 directly. This largely eliminates possible name collisions with other software,
15 and also permits some centralized services.
16 .PP
17 All the commands described in this manual page are built-in and are used to
18 control and monitor IPsec connections as well as the IKE daemons.
19 .PP
20 For other commands
21 .I @IPSEC_SCRIPT@
22 supplies the invoked
23 .I command
24 with a suitable PATH environment variable,
25 and also provides IPSEC_DIR,
26 IPSEC_CONFS, and IPSEC_VERSION environment variables,
27 containing respectively
28 the full pathname of the directory where the IPsec utilities are stored,
29 the full pathname of the directory where the configuration files live,
30 and the IPsec version number.
31 .PP
32 .SS CONTROL COMMANDS
33 .TP
34 .B "start [ starter options ]"
35 calls
36 .BR "starter"
37 which in turn parses \fIipsec.conf\fR and starts the IKEv1/IKEv2 daemon
38 \fIcharon\fR.
39 .PP
40 .TP
41 .B "update"
42 sends a \fIHUP\fR signal to
43 .BR "starter"
44 which in turn determines any changes in \fIipsec.conf\fR
45 and updates the configuration on the running IKE daemon \fIcharon\fR.
46 .PP
47 .TP
48 .B "reload"
49 sends a \fIUSR1\fR signal to
50 .BR "starter"
51 which in turn reloads the whole configuration on the running IKE daemon
52 \fIcharon\fR based on the actual \fIipsec.conf\fR.
53 .PP
54 .TP
55 .B "restart"
56 is equivalent to
57 .B "stop"
58 followed by
59 .B "start"
60 after a guard of 2 seconds.
61 .PP
62 .TP
63 .B "stop"
64 terminates all IPsec connections and stops the IKE daemon \fIcharon\fR
65 by sending a \fITERM\fR signal to
66 .BR "starter".
67 .PP
68 .TP
69 .B "up \fIname\fP"
70 tells the IKE daemon to start up connection \fIname\fP.
71 .PP
72 .TP
73 .B "down \fIname\fP"
74 tells the IKE daemon to terminate connection \fIname\fP.
75 .PP
76 .TP
77 .B "down \fIname{n}\fP"
78 terminates IKEv1 Quick Mode and IKEv2 CHILD SA instance \fIn\fP of
79 connection \fIname\fP.
80 .PP
81 .TP
82 .B "down \fIname{*}\fP"
83 terminates all IKEv1 Quick Mode and  IKEv2 CHILD SA instances of connection
84 \fIname\fP.
85 .PP
86 .TP
87 .B "down \fIname[n]\fP"
88 terminates IKE SA instance \fIn\fP of connection \fIname\fP.
89 .PP
90 .TP
91 .B "down \fIname[*]\fP"
92 terminates all IKE SA instances of connection \fIname\fP.
93 .PP
94 .TP
95 .B "route \fIname\fP"
96 tells the IKE daemon to insert an IPsec policy in the kernel
97 for connection \fIname\fP. The first payload packet matching the IPsec policy
98 will automatically trigger an IKE connection setup.
99 .PP
100 .TP
101 .B "unroute \fIname\fP"
102 remove the IPsec policy in the kernel for connection \fIname\fP.
103 .PP
104 .TP
105 .B "status [ \fIname\fP ]"
106 returns concise status information either on connection
107 \fIname\fP or if the argument is lacking, on all connections.
108 .PP
109 .TP
110 .B "statusall [ \fIname\fP ]"
111 returns detailed status information either on connection
112 \fIname\fP or if the argument is lacking, on all connections.
113 .PP
114 .SS LIST COMMANDS
115 .TP
116 .B "listalgs"
117 returns a list supported cryptographic algorithms usable for IKE, and their
118 corresponding plugin.
119 .PP
120 .TP
121 .B "listpubkeys [ --utc ]"
122 returns a list of RSA public keys that were either loaded in raw key format
123 or extracted from X.509 and|or OpenPGP certificates.
124 .PP
125 .TP
126 .B "listcerts [ --utc ]"
127 returns a list of X.509 and|or OpenPGP certificates that were either loaded
128 locally by the IKE daemon or received via the IKE protocol.
129 .PP
130 .TP
131 .B "listcacerts [ --utc ]"
132 returns a list of X.509 Certification Authority (CA) certificates that were
133 loaded locally by the IKE daemon from the \fI/etc/ipsec.d/cacerts/\fP
134 directory or received via the IKE protocol.
135 .PP
136 .TP
137 .B "listaacerts [ --utc ]"
138 returns a list of X.509 Authorization Authority (AA) certificates that were
139 loaded locally by the IKE daemon from the \fI/etc/ipsec.d/aacerts/\fP
140 directory.
141 .PP
142 .TP
143 .B "listocspcerts [ --utc ]"
144 returns a list of X.509 OCSP Signer certificates that were either loaded
145 locally by the IKE daemon from the \fI/etc/ipsec.d/ocspcerts/\fP
146 directory or were sent by an OCSP server.
147 .PP
148 .TP
149 .B "listacerts [ --utc ]"
150 returns a list of X.509 Attribute certificates that were loaded locally by
151 the IKE daemon from the \fI/etc/ipsec.d/acerts/\fP directory.
152 .PP
153 .TP
154 .B "listgroups [ --utc ]"
155 returns a list of groups that are used to define user authorization profiles.
156 .PP
157 .TP
158 .B "listcainfos [ --utc ]"
159 returns certification authority information (CRL distribution points, OCSP URIs,
160 LDAP servers) that were defined by
161 .BR ca
162 sections in \fIipsec.conf\fP.
163 .PP
164 .TP
165 .B "listcrls [ --utc ]"
166 returns a list of Certificate Revocation Lists (CRLs) that were either loaded
167 by the IKE daemon from the \fI/etc/ipsec.d/crls\fP directory or fetched from
168 an HTTP- or LDAP-based CRL distribution point.
169 .PP
170 .TP
171 .B "listocsp [ --utc ]"
172 returns revocation information fetched from OCSP servers.
173 .PP
174 .TP
175 .B "listcounters"
176 show IKE counter values collected since daemon startup.
177 .PP
178 .TP
179 .B "listall [ --utc ]"
180 returns all information generated by the list commands above. Each list command
181 can be called with the
182 \fB\-\-utc\fP
183 option which displays all dates in UTC instead of local time.
184 .PP
185 .SS REREAD COMMANDS
186 .TP
187 .B "rereadsecrets"
188 flushes and rereads all secrets defined in \fIipsec.secrets\fP.
189 .PP
190 .TP
191 .B "rereadcacerts"
192 reads all certificate files contained in the \fI/etc/ipsec.d/cacerts\fP
193 directory and adds them to the list of Certification Authority (CA)
194 certificates.
195 .PP
196 .TP
197 .B "rereadaacerts"
198 reads all certificate files contained in the \fI/etc/ipsec.d/aacerts\fP
199 directory and adds them to the list of Authorization Authority (AA)
200 certificates.
201 .PP
202 .TP
203 .B "rereadocspcerts"
204 reads all certificate files contained in the \fI/etc/ipsec.d/ocspcerts/\fP
205 directory and adds them to the list of OCSP signer certificates.
206 .PP
207 .TP
208 .B "rereadacerts"
209 reads all certificate files contained in the  \fI/etc/ipsec.d/acerts/\fP
210 directory and adds them to the list of attribute certificates.
211 .PP
212 .TP
213 .B "rereadcrls"
214 reads  all Certificate  Revocation Lists (CRLs) contained in the
215 \fI/etc/ipsec.d/crls/\fP directory and adds them to the list of CRLs.
216 .PP
217 .TP
218 .B "rereadall"
219 executes all reread commands listed above.
220 .PP
221 .SS PURGE COMMANDS
222 .TP
223 .B "purgeike"
224 purges IKE SAs that don't have a Quick Mode or CHILD SA.
225 .PP
226 .TP
227 .B "purgeocsp"
228 purges all cached OCSP information records.
229 .PP
230 .SS INFO COMMANDS
231 .TP
232 .B "\-\-help"
233 returns the usage information for the
234 .B @IPSEC_SCRIPT@
235 command.
236 .PP
237 .TP
238 .B "\-\-version"
239 returns the version in the form of
240 .B Linux strongSwan U<strongSwan userland version>/K<Linux kernel version>
241 if strongSwan uses the native NETKEY IPsec stack of the Linux kernel it is
242 running on.
243 .PP
244 .TP
245 .B "\-\-versioncode"
246 returns the version number in the form of
247 .B U<strongSwan userland version>/K<Linux kernel version>
248 if strongSwan uses the native NETKEY IPsec stack of the Linux kernel it is
249 running on.
250 .PP
251 .TP
252 .B "\-\-copyright"
253 returns the copyright information.
254 .PP
255 .TP
256 .B "\-\-directory"
257 returns the \fILIBEXECDIR\fP directory as defined by the configure options.
258 .PP
259 .TP
260 .B "\-\-confdir"
261 returns the \fISYSCONFDIR\fP directory as defined by the configure options.
262 .SH FILES
263 /usr/local/lib/ipsec    usual utilities directory
264 .SH ENVIRONMENT
265 .PP
266 The following environment variables control where strongSwan finds its
267 components.
268 The
269 .B @IPSEC_SCRIPT@
270 command sets them if they are not already set.
271 .nf
272 .na
273
274 IPSEC_DIR               directory containing ipsec programs and utilities
275 IPSEC_SBINDIR           directory containing \fBipsec\fP command
276 IPSEC_CONFDIR           directory containing configuration files
277 IPSEC_PIDDIR            directory containing PID files
278 IPSEC_SCRIPT            name of the ipsec script
279 IPSEC_NAME              name of ipsec distribution
280 IPSEC_VERSION           version numer of ipsec userland and kernel
281 IPSEC_STARTER_PID       PID file for ipsec starter
282 IPSEC_CHARON_PID        PID file for IKE keying daemon
283 .ad
284 .fi
285 .SH SEE ALSO
286 .hy 0
287 .na
288 ipsec.conf(5), ipsec.secrets(5)
289 .ad
290 .hy
291 .PP
292 .SH HISTORY
293 Originally written for the FreeS/WAN project by Henry Spencer.
294 Updated and extended for the strongSwan project <http://www.strongswan.org> by
295 Tobias Brunner and Andreas Steffen.