removed version information from ipsec.conf
[strongswan.git] / src / openac / openac.8
1 .TH IPSEC_OPENAC 8 "29 September 2005"
2 .SH NAME
3 ipsec openac \- Generation of X.509 attribute certificates
4 .SH SYNOPSIS
5 .B ipsec
6 .B openac
7 [
8 .B \-\-help
9 ] [
10 .B \-\-version
11 ] [
12 .B \-\-optionsfrom
13 \fIfilename\fP
14 ] [
15 .B \-\-quiet
16 ]
17 .br
18 \ \ \ [
19 .B \-\-debug\(hyall
20 ] [
21 .B \-\-debug\(hyparsing
22 ] [
23 .B \-\-debug\(hyraw
24 ] [
25 .B \-\-debug\(hyprivate
26 ]
27 .br
28 \ \ \ [
29 .B \-\-days
30 \fIdays\fP
31 ] [
32 .B \-\-hours
33 \fIhours\fP
34 ]
35 .br
36 \ \ \ [
37 .B \-\-startdate
38 \fIYYYYMMDDHHMMSSZ\fP
39 ] [
40 .B \-\-stopdate
41 \fIYYYYMMDDHHMMSSZ\fP
42 ]
43 .br
44 .B \ \ \ \-\-cert
45 \fIcertfile\fP
46 .B \-\-key
47 \fIkeyfile\fP
48 [
49 .B \-\-password
50 \fIpassword\fP
51 ]
52 .br
53 .B \ \ \ \-\-usercert
54 \fIcertfile\fP
55 .B \-\-groups
56 \fIattr1,attr2,...\fP
57 .B \-\-out
58 \fIfilename\fP
59 .SH DESCRIPTION
60 .BR openac
61 is intended to be used by an Authorization Authority (AA) to generate and sign
62 X.509 attribute certificates. Currently only the inclusion of one ore several group
63 attributes is supported. An attribute certificate is linked to a holder by
64 including the issuer and serial number of the holder's X.509 certificate.
65 .SH OPTIONS
66 .TP
67 \fB\-\-help\fP
68 display the usage message.
69 .TP
70 \fB\-\-version\fP
71 display the version of \fBopenac\fP.
72 .TP
73 \fB\-\-optionsfrom\fP\ \fIfilename\fP
74 adds the contents of the file to the argument list.
75 If \fIfilename\fP is a relative path then the file is searched in the directory
76 \fI/etc/openac\fP.
77 .TP
78 \fB\-\-quiet\fP
79 By default \fBopenac\fP logs all control output both to syslog and stderr.
80 With the \fB\-\-quiet\fP option no output is written to stderr.
81 .TP
82 \fB\-\-days\fP\ \fIdays\fP
83 Validity of the X.509 attribute certificate in days. If neiter the \fB\-\-days\fP\ nor
84 the \fB\-\-hours\fP\ option is specified then a default validity interval of 1 day is assumed.
85 The \fB\-\-days\fP\ option can be combined with the \fB\-\-hours\fP\ option.
86 .TP
87 \fB\-\-hours\fP\ \fIhours\fP
88 Validity of the X.509 attribute certificate in hours. If neiter the \fB\-\-hours\fP\ nor
89 the \fB\-\-days\fP\ option is specified then a default validity interval of 24 hours is assumed.
90 The \fB\-\-hours\fP\ option can be combined with the \fB\-\-days\fP\ option.
91 .TP
92 \fB\-\-startdate\fP\ \fIYYYYMMDDHHMMSSZ\fP
93 defines the \fBnotBefore\fP date when the X.509 attribute certificate becomes valid.
94 The date \fIYYYYMMDDHHMMSS\fP must be specified in UTC (\fIZ\fPulu time).
95 If the \fB\-\-startdate\fP option is not specified then the current date is taken as a default.
96
97 .TP
98 \fB\-\-stopdate\fP\ \fIYYYYMMDDHHMMSSZ\fP
99 defines the \fBnotAfter\fP date when the X.509 attribute certificate will expire.
100 The date \fIYYYYMMDDHHMMSS\fP must be specified in UTC (\fIZ\fPulu time).
101 If the \fB\-\-stopdate\fP option is not specified then the default \fBnotAfter\fP value is computed
102 by adding the validity interval specified by the \fB\-\-days\fP\ and/or \fB\-\-days\fP\ options
103 to the \fBnotBefore\fP date.
104 .TP
105 \fB\-\-cert\fP\ \fIcertfile\fP
106 specifies the file containing the X.509 certificate of the Authorization Authority.
107 The certificate is stored either in PEM or DER format.
108 .TP
109 \fB\-\-key\fP\ \fIkeyfile\fP
110 specifies the encrypted file containing the private RSA key of the Authoritzation
111 Authority. The private key is stored in PKCS#1 format.
112 .TP
113 \fB\-\-password\fP\ \fIpassword\fP
114 specifies the password with which the private RSA keyfile defined by the
115 \fB\-\-key\fP option has been protected. If the option is missing then the
116 password is prompted for on the command line.
117 .TP
118 \fB\-\-usercert\fP\ \fIcertfile\fP
119 specifies file containing the X.509 certificate of the user to which the generated attribute
120 certificate will apply. The certificate file is stored either in PEM or DER format.
121 .TP
122 \fB\-\-groups\fP\ \fIattr1,attr2\fP
123 specifies a comma-separated list of group attributes that will go into the
124 X.509 attribute certificate.
125 .TP
126 \fB\-\-out\fP\ \fIfilename\fP
127 specifies the file where the generated X.509 attribute certificate will be stored to.
128 .SS Debugging
129 .LP
130 \fBopenac\fP produces a prodigious amount of debugging information.  To do so,
131 it must be compiled with \-DDEBUG.  There are several classes of debugging output,
132 and \fBopenac\fP may be directed to produce a selection of them.  All lines of
133 debugging output are prefixed with ``|\ '' to distinguish them from error messages.
134 .LP
135 When \fBopenac\fP is invoked, it may be given arguments to specify
136 which classes to output.  The current options are:
137 .TP
138 \fB\-\-debug-raw\fP
139 show the raw bytes of the parsed user and authorization authority certificates
140 as well as of the generated X.509 attribute certificate.
141 .TP
142 \fB\-\-debug-parsing\fP
143 show the parsed structure of user and authorization authority certificats
144 as well as of the generated X.509 attribute certificate.
145 .TP
146 \fB\-\-debug-all\fP
147 all of the above.
148 .TP
149 \fB\-\-debug-private\fP
150 enables debugging output of the authorization authority's private key.
151 .SH EXIT STATUS
152 .LP
153 The execution of \fBopenac\fP terminates with one of the following two exit codes:
154 .TP
155 0
156 means that the attribute certificate was successfully generated and stored.
157 .TP
158 1
159 means that something went wrong.
160 .SH FILES
161 \fI/etc/openac/serial\fP\ \ \ serial number of latest attribute certificate
162 .SH SEE ALSO
163 .LP
164 The X.509 attribute certificates generated with \fBopenac\fP can be used to
165 enforce group policies defined by \fIipsec.conf\fP(5). Use \fIipsec_auto\fP(8)
166 to load and list X.509 attribute certificates.
167 .LP
168 For more information on X.509 attribute certificates, refer to the following
169 IETF RFC:
170 .IP
171 RFC 3281 An Internet Attribute Certificate Profile for Authorization
172 .SH HISTORY
173 The \fBopenac\fP program was originally written by Ariane Seiler and Ueli Galizzi.
174 The software was recoded by Andreas Steffen using strongSwan's X.509 library and 
175 the ASN.1 code synthesis functions written by Christoph Gysin and Christoph Zwahlen.
176 All authors were with the Zurich University of Applied Sciences in Winterthur,
177 Switzerland.
178 .LP
179 .SH BUGS
180 Bugs should be reported to the <users@lists.strongswan.org> mailing list.