make use of the crypto_tester in the crypto_factory
[strongswan.git] / src / ipsec / ipsec.8
1 .TH IPSEC 8 "9 February 2006"
2 .SH NAME
3 ipsec \- invoke IPsec utilities
4 .SH SYNOPSIS
5 .B ipsec
6 command [ argument ...]
7 .sp
8 .B ipsec start|update|reload|restart|stop
9 .sp
10 .B ipsec up|down|route|unroute
11 \fIconnectionname\fP
12 .sp
13 .B ipsec status|statusall
14 [
15 \fIconnectionname\fP
16 ]
17 .sp
18 .B ipsec listalgs|listpubkeys|listcerts
19 [
20 .B \-\-utc
21 ]
22 .br
23 .B ipsec listcacerts|listaacerts|listocspcerts
24 [
25 .B \-\-utc
26 ]
27 .br
28 .B ipsec listacerts|listgroups|listcainfos
29 [
30 .B \-\-utc
31 ]
32 .br
33 .B ipsec listcrls|listocsp|listcards|listall
34 [
35 .B \-\-utc
36 ]
37 .sp
38 .B ipsec rereadsecrets|rereadgroups
39 .br
40 .B ipsec rereadcacerts|rereadaacerts|rereadocspcerts
41 .br
42 .B ipsec rereadacerts|rereadcrls|rereadall
43 .sp
44 .B ipsec purgeocsp
45 .sp
46 .B ipsec
47 [
48 .B \-\-help
49 ] [
50 .B \-\-version
51 ] [
52 .B \-\-versioncode
53 ] [
54 .B \-\-copyright
55 ]
56 .br
57 .B ipsec
58 [
59 .B \-\-directory
60 ] [
61 .B \-\-confdir
62 ]
63 .SH DESCRIPTION
64 .I Ipsec
65 invokes any of several utilities involved in controlling the IPsec
66 encryption/authentication system,
67 running the specified
68 .I command
69 with the specified
70 .IR argument s
71 as if it had been invoked directly.
72 This largely eliminates possible name collisions with other software,
73 and also permits some centralized services.
74 .PP
75 The commands
76 .BR start ,
77 .BR update ,
78 .BR reload ,
79 .BR restart ,
80 and
81 .BR stop
82 are built-in and are used to control the
83 .BR "ipsec starter"
84 utility, an extremely fast replacement for the traditional
85 .BR ipsec
86 .BR setup
87 script.
88 .PP
89 The commands
90 .BR up,
91 .BR down,
92 .BR route,
93 .BR unroute,
94 .BR status,
95 .BR statusall,
96 .BR listalgs,
97 .BR listpubkeys,
98 .BR listcerts,
99 .BR listcacerts,
100 .BR listaacerts,
101 .BR listocspcerts,
102 .BR listacerts,
103 .BR listgroups,
104 .BR listcainfos,
105 .BR listcrls,
106 .BR listocsp,
107 .BR listcards,
108 .BR listall,
109 .BR rereadsecrets,
110 .BR rereadgroups,
111 .BR rereadcacerts,
112 .BR rereadaacerts,
113 .BR rereadocspcerts,
114 .BR rereadacerts,
115 .BR rereadcrls,
116 and
117 .BR rereadall
118 are also built-in and completely replace the corresponding
119 .BR "ipsec auto"
120 \-\-\fIoperation\fP"
121 commands. Communication with the pluto daemon happens via the
122 .BR "ipsec whack"
123 socket interface.
124 .PP
125 In particular,
126 .I ipsec
127 supplies the invoked
128 .I command
129 with a suitable PATH environment variable,
130 and also provides IPSEC_DIR,
131 IPSEC_CONFS, and IPSEC_VERSION environment variables,
132 containing respectively
133 the full pathname of the directory where the IPsec utilities are stored,
134 the full pathname of the directory where the configuration files live,
135 and the IPsec version number.
136 .PP
137 .B "ipsec start"
138 calls
139 .BR "ipsec starter"
140 which in turn starts \fIpluto\fR.
141 .PP
142 .B "ipsec update"
143 sends a \fIHUP\fR signal to
144 .BR "ipsec starter"
145 which in turn determines any changes in \fIipsec.conf\fR
146 and updates the configuration on the running \fIpluto\fR daemon, correspondingly.
147 .PP
148 .B "ipsec reload"
149 sends a \fIUSR1\fR signal to
150 .BR "ipsec starter"
151 which in turn reloads the whole configuration on the running \fIpluto\fR daemon
152 based on the actual \fIipsec.conf\fR.
153 .PP
154 .B "ipsec restart"
155 executes
156 .B "ipsec stop"
157 followed by
158 .BR "ipsec start".
159 .PP
160 .B "ipsec stop"
161 stops \fIipsec\fR by sending a \fITERM\fR signal to
162 .BR "ipsec starter".
163 .PP
164 .B "ipsec up"
165 \fIname\fP tells the \fIpluto\fP daemon to start up connection \fIname\fP.
166 .PP
167 .B "ipsec down"
168 \fIname\fP tells the \fIpluto\fP daemon to take down connection \fIname\fP.
169 .PP
170 .B "ipsec route"
171 \fIname\fP tells the \fIpluto\fP daemon to install a route for connection
172 \fIname\fP.
173 .PP
174 .B "ipsec unroute"
175 \fIname\fP tells the \fIpluto\fP daemon to take down the route for connection
176 \fIname\fP.
177 .PP
178 .B "ipsec status"
179 [ \fIname\fP ]  gives concise status information either on connection
180 \fIname\fP or if the \fIname\fP argument is lacking, on all connections.
181 .PP
182 .B "ipsec statusall"
183 [ \fIname\fP ]  gives detailed status information either on connection
184 \fIname\fP or if the \fIname\fP argument is lacking, on all connections.
185 .PP
186 .B "ipsec listalgs"
187 returns a list all supported IKE encryption and hash algorithms, the available
188 Diffie-Hellman groups, as well as all supported ESP encryption and authentication
189 algorithms.
190 .PP
191 .B "ipsec listpubkeys"
192 returns a list of RSA public keys that were either loaded in raw key format
193 or extracted from X.509 and|or OpenPGP certificates.
194 .PP
195 .B "ipsec listcerts"
196 returns a list of X.509 and|or OpenPGP certificates that were loaded locally
197 by the \fIpluto\fP daemon.
198 .PP
199 .B "ipsec listcacerts"
200 returns a list of X.509 Certification Authority (CA) certificates that were
201 loaded locally by the \fIpluto\fP daemon from the \fI/etc/ipsec.d/cacerts/\fP
202 directory or received in PKCS#7-wrapped certificate payloads via the  IKE
203 protocol.
204 .PP
205 .B "ipsec listaacerts"
206 returns a list of X.509 Authorization Authority (AA) certificates that were
207 loaded locally by the \fIpluto\fP daemon from the \fI/etc/ipsec.d/aacerts/\fP
208 directory.
209 .PP
210 .B "ipsec listocspcerts"
211 returns a list of X.509 OCSP Signer certificates that were either loaded
212 locally by the \fIpluto\fP daemon from the \fI/etc/ipsec.d/ocspcerts/\fP
213 directory or were sent by an OCSP server.
214 .PP
215 .B "ipsec listacerts"
216 returns a list of X.509 Attribute certificates that were loaded locally by
217 the \fIpluto\fP daemon from the \fI/etc/ipsec.d/acerts/\fP directory.
218 .PP
219 .B "ipsec listgroups"
220 returns a list of groups that are used to define user authorization profiles.
221 .PP
222 .B "ipsec listcainfos"
223 returns certification authority information (CRL distribution points, OCSP URIs,
224 LDAP servers) that were defined by
225 .BR ca
226 sections in \fIipsec.conf\fP.
227 .PP
228 .B "ipsec listcrls"
229 returns a list of Certificate Revocation Lists (CRLs).
230 .PP
231 .B "ipsec listocsp"
232 returns revocation information fetched from OCSP servers.
233 .PP
234 .B "ipsec listcards"
235 returns a list of certificates residing on smartcards.
236 .PP
237 .B "ipsec listall"
238 returns all information generated by the list commands above. Each list command 
239 can be called with the
240 \-\-url
241 option which displays all dates in UTC instead of local time.
242 .PP
243 .B "ipsec rereadsecrets"
244 flushes and rereads all secrets defined in \fIipsec.conf\fP.
245 .PP
246 .B "ipsec rereadcacerts"
247 reads all certificate files contained in the \fI/etc/ipsec.d/cacerts\fP
248 directory and adds them to \fIpluto\fP's list of Certification Authority (CA) certificates.
249 .PP
250 .B "ipsec rereadaacerts"
251 reads all certificate files contained in the \fI/etc/ipsec.d/aacerts\fP
252 directory and adds them to \fIpluto\fP's list of Authorization Authority (AA) certificates.
253 .PP
254 .B "ipsec rereadocspcerts" 
255 reads all certificate files contained in the \fI/etc/ipsec.d/ocspcerts/\fP
256 directory and adds them to \fIpluto\fP's list of OCSP signer certificates.
257 .PP
258 .B "ipsec rereadacerts"
259 operation reads all certificate files contained in the  \fI/etc/ipsec.d/acerts/\fP
260 directory and adds them to \fIpluto\fP's list of attribute certificates.
261 .PP
262 .B "ipsec rereadcrls"
263 reads  all Certificate  Revocation Lists (CRLs) contained in the
264 \fI/etc/ipsec.d/crls/\fP directory and adds them to \fIpluto\fP's list of CRLs.
265 .PP
266 .B "ipsec rereadall"
267 is  equivalent  to  the  execution  of  \fBrereadsecrets\fP,
268 \fBrereadcacerts\fP, \fBrereadaacerts\fP, \fBrereadocspcerts\fP,
269 \fBrereadacerts\fP, and \fBrereadcrls\fP.
270 .PP
271 .B "ipsec \-\-help"
272 lists the available commands.
273 Most have their own manual pages, e.g.
274 .IR ipsec_auto (8)
275 for
276 .IR auto .
277 .PP
278 .B "ipsec \-\-version"
279 outputs version information about Linux strongSwan.
280 A version code of the form ``U\fIxxx\fR/K\fIyyy\fR''
281 indicates that the user-level utilities are version \fIxxx\fR
282 but the kernel portion appears to be version \fIyyy\fR
283 (this form is used only if the two disagree).
284 .PP
285 .B "ipsec \-\-versioncode"
286 outputs \fIjust\fR the version code,
287 with none of
288 .BR \-\-version 's
289 supporting information,
290 for use by scripts.
291 .PP
292 .B "ipsec \-\-copyright"
293 supplies boring copyright details.
294 .PP
295 .B "ipsec \-\-directory"
296 reports where
297 .I ipsec
298 thinks the IPsec utilities are stored.
299 .PP
300 .B "ipsec \-\-confdir"
301 reports where
302 .I ipsec
303 thinks the IPsec configuration files are stored.
304 .SH FILES
305 /usr/local/lib/ipsec    usual utilities directory
306 .SH ENVIRONMENT
307 .PP
308 The following environment variables control where strongSwan finds its
309 components.
310 The
311 .B ipsec
312 command sets them if they are not already set.
313 .nf
314 .na
315
316 IPSEC_DIR               directory containing ipsec programs and utilities
317 IPSEC_SBINDIR           directory containing \fBipsec\fP command
318 IPSEC_CONFDIR           directory containing configuration files
319 IPSEC_PIDDIR            directory containing PID files
320 IPSEC_NAME              name of ipsec distribution
321 IPSEC_VERSION           version numer of ipsec userland and kernel
322 IPSEC_STARTER_PID       PID file for ipsec starter
323 IPSEC_PLUTO_PID         PID file for IKEv1 keying daemon
324 IPSEC_CHARON_PID        PID file for IKEv2 keying daemon
325 .ad
326 .fi
327 .SH SEE ALSO
328 .hy 0
329 .na
330 ipsec.conf(5), ipsec.secrets(5),
331 ipsec_barf(8),
332 .ad
333 .hy
334 .PP
335 .SH HISTORY
336 Written for Linux FreeS/WAN
337 <http://www.freeswan.org>
338 by Henry Spencer.
339 Updated and extended for Linux strongSwan
340 <http://www.strongswan.org>
341 by Andreas Steffen.