Build dedicated plugin lists for each strongSwan component
[strongswan.git] / src / openac / openac.8
1 .TH IPSEC_OPENAC 8 "22 September 2007"
2 .SH NAME
3 ipsec openac \- Generation of X.509 attribute certificates
4 .SH SYNOPSIS
5 .B ipsec
6 .B openac
7 [
8 .B \-\-help
9 ] [
10 .B \-\-version
11 ] [
12 .B \-\-optionsfrom
13 \fIfilename\fP
14 ]
15 .br
16 \ \ \ [
17 .B \-\-quiet
18 ] [
19 .B \-\-debug
20 \fIlevel\fP
21 ]
22 .br
23 \ \ \ [
24 .B \-\-days
25 \fIdays\fP
26 ] [
27 .B \-\-hours
28 \fIhours\fP
29 ]
30 .br
31 \ \ \ [
32 .B \-\-startdate
33 \fIYYYYMMDDHHMMSSZ\fP
34 ] [
35 .B \-\-stopdate
36 \fIYYYYMMDDHHMMSSZ\fP
37 ]
38 .br
39 .B \ \ \ \-\-cert
40 \fIcertfile\fP
41 .B \-\-key
42 \fIkeyfile\fP
43 [
44 .B \-\-password
45 \fIpassword\fP
46 ]
47 .br
48 .B \ \ \ \-\-usercert
49 \fIcertfile\fP
50 .B \-\-groups
51 \fIattr1,attr2,...\fP
52 .B \-\-out
53 \fIfilename\fP
54 .SH DESCRIPTION
55 .BR openac
56 is intended to be used by an Authorization Authority (AA) to generate and sign
57 X.509 attribute certificates. Currently only the inclusion of one ore several group
58 attributes is supported. An attribute certificate is linked to a holder by
59 including the issuer and serial number of the holder's X.509 certificate.
60 .SH OPTIONS
61 .TP
62 \fB\-\-help\fP
63 display the usage message.
64 .TP
65 \fB\-\-version\fP
66 display the version of \fBopenac\fP.
67 .TP
68 \fB\-\-optionsfrom\fP\ \fIfilename\fP
69 adds the contents of the file to the argument list.
70 If \fIfilename\fP is a relative path then the file is searched in the directory
71 \fI/etc/openac\fP.
72 .TP
73 \fB\-\-quiet\fP
74 By default \fBopenac\fP logs all control output both to syslog and stderr.
75 With the \fB\-\-quiet\fP option no output is written to stderr.
76 .TP
77 \fB\-\-days\fP\ \fIdays\fP
78 Validity of the X.509 attribute certificate in days. If neiter the \fB\-\-days\fP\ nor
79 the \fB\-\-hours\fP\ option is specified then a default validity interval of 1 day is assumed.
80 The \fB\-\-days\fP\ option can be combined with the \fB\-\-hours\fP\ option.
81 .TP
82 \fB\-\-hours\fP\ \fIhours\fP
83 Validity of the X.509 attribute certificate in hours. If neiter the \fB\-\-hours\fP\ nor
84 the \fB\-\-days\fP\ option is specified then a default validity interval of 24 hours is assumed.
85 The \fB\-\-hours\fP\ option can be combined with the \fB\-\-days\fP\ option.
86 .TP
87 \fB\-\-startdate\fP\ \fIYYYYMMDDHHMMSSZ\fP
88 defines the \fBnotBefore\fP date when the X.509 attribute certificate becomes valid.
89 The date \fIYYYYMMDDHHMMSS\fP must be specified in UTC (\fIZ\fPulu time).
90 If the \fB\-\-startdate\fP option is not specified then the current date is taken as a default.
91
92 .TP
93 \fB\-\-stopdate\fP\ \fIYYYYMMDDHHMMSSZ\fP
94 defines the \fBnotAfter\fP date when the X.509 attribute certificate will expire.
95 The date \fIYYYYMMDDHHMMSS\fP must be specified in UTC (\fIZ\fPulu time).
96 If the \fB\-\-stopdate\fP option is not specified then the default \fBnotAfter\fP value is computed
97 by adding the validity interval specified by the \fB\-\-days\fP\ and/or \fB\-\-days\fP\ options
98 to the \fBnotBefore\fP date.
99 .TP
100 \fB\-\-cert\fP\ \fIcertfile\fP
101 specifies the file containing the X.509 certificate of the Authorization Authority.
102 The certificate is stored either in PEM or DER format.
103 .TP
104 \fB\-\-key\fP\ \fIkeyfile\fP
105 specifies the encrypted file containing the private RSA key of the Authoritzation
106 Authority. The private key is stored in PKCS#1 format.
107 .TP
108 \fB\-\-password\fP\ \fIpassword\fP
109 specifies the password with which the private RSA keyfile defined by the
110 \fB\-\-key\fP option has been protected. If the option is missing then the
111 password is prompted for on the command line.
112 .TP
113 \fB\-\-usercert\fP\ \fIcertfile\fP
114 specifies file containing the X.509 certificate of the user to which the generated attribute
115 certificate will apply. The certificate file is stored either in PEM or DER format.
116 .TP
117 \fB\-\-groups\fP\ \fIattr1,attr2\fP
118 specifies a comma-separated list of group attributes that will go into the
119 X.509 attribute certificate.
120 .TP
121 \fB\-\-out\fP\ \fIfilename\fP
122 specifies the file where the generated X.509 attribute certificate will be stored to.
123 .SS Debugging
124 .LP
125 \fBopenac\fP produces a prodigious amount of debugging information.  To do so,
126 it must be compiled with \-DDEBUG.  There are several classes of debugging output,
127 and \fBopenac\fP may be directed to produce a selection of them.  All lines of
128 debugging output are prefixed with ``|\ '' to distinguish them from error messages.
129 .LP
130 When \fBopenac\fP is invoked, it may be given arguments to specify
131 which classes to output.  The current options are:
132 .TP
133 \fB\-\-debug\fP\ \fIlevel\fP
134 sets the debug level to 0 (none), 1 (normal), 2 (more), 3 (raw), and 4 (private),
135 the default level being 1.
136 .SH EXIT STATUS
137 .LP
138 The execution of \fBopenac\fP terminates with one of the following two exit codes:
139 .TP
140 0
141 means that the attribute certificate was successfully generated and stored.
142 .TP
143 1
144 means that something went wrong.
145 .SH FILES
146 \fI/etc/openac/serial\fP\ \ \ serial number of latest attribute certificate
147 .SH SEE ALSO
148 .LP
149 The X.509 attribute certificates generated with \fBopenac\fP can be used to
150 enforce group policies defined by \fIipsec.conf\fP(5). Use \fIipsec_auto\fP(8)
151 to load and list X.509 attribute certificates.
152 .LP
153 For more information on X.509 attribute certificates, refer to the following
154 IETF RFC:
155 .IP
156 RFC 3281 An Internet Attribute Certificate Profile for Authorization
157 .SH HISTORY
158 The \fBopenac\fP program was originally written by Ariane Seiler and Ueli Galizzi.
159 The software was recoded by Andreas Steffen using strongSwan's X.509 library and 
160 the ASN.1 code synthesis functions written by Christoph Gysin and Christoph Zwahlen.
161 All authors were with the Zurich University of Applied Sciences in Winterthur,
162 Switzerland.
163 .LP
164 .SH BUGS
165 Bugs should be reported to the <users@lists.strongswan.org> mailing list.