pki: Use SHA-256 as default for signatures
[strongswan.git] / src / pki / man / pki---acert.1.in
1 .TH "PKI \-\-ACERT" 1 "2014-02-05" "@PACKAGE_VERSION@" "strongSwan"
2 .
3 .SH "NAME"
4 .
5 pki \-\-acert \- Issue an attribute certificate
6 .
7 .SH "SYNOPSIS"
8 .
9 .SY pki\ \-\-acert
10 .OP \-\-in file
11 .OP \-\-group membership
12 .BI \-\-issuerkey\~ file |\-\-issuerkeyid\~ hex
13 .BI \-\-issuercert\~ file
14 .OP \-\-lifetime hours
15 .OP \-\-not-before datetime
16 .OP \-\-not-after datetime
17 .OP \-\-serial hex
18 .OP \-\-digest digest
19 .OP \-\-outform encoding
20 .OP \-\-debug level
21 .YS
22 .
23 .SY pki\ \-\-acert
24 .BI \-\-options\~ file
25 .YS
26 .
27 .SY "pki \-\-acert"
28 .B \-h
29 |
30 .B \-\-help
31 .YS
32 .
33 .SH "DESCRIPTION"
34 .
35 This sub-command of
36 .BR pki (1)
37 is used to issue an attribute certificate using an issuer certificate with its
38 private key and the holder certificate.
39 .
40 .SH "OPTIONS"
41 .
42 .TP
43 .B "\-h, \-\-help"
44 Print usage information with a summary of the available options.
45 .TP
46 .BI "\-v, \-\-debug " level
47 Set debug level, default: 1.
48 .TP
49 .BI "\-+, \-\-options " file
50 Read command line options from \fIfile\fR.
51 .TP
52 .BI "\-i, \-\-in " file
53 Holder certificate to issue an attribute certificate for. If not given the
54 certificate is read from \fISTDIN\fR.
55 .TP
56 .BI "\-m, \-\-group " membership
57 Group membership the attribute certificate shall certify. The specified group
58 is included as a string. To include multiple groups, the option can be repeated.
59 .TP
60 .BI "\-k, \-\-issuerkey " file
61 Issuer private key file. Either this or
62 .B \-\-issuerkeyid
63 is required.
64 .TP
65 .BI "\-x, \-\-issuerkeyid " hex
66 Key ID of a issuer private key on a smartcard. Either this or
67 .B \-\-issuerkey
68 is required.
69 .TP
70 .BI "\-c, \-\-issuercert " file
71 Issuer certificate file. Required.
72 .TP
73 .BI "\-l, \-\-lifetime " hours
74 Hours the attribute certificate is valid, default: 24. Ignored if both
75 an absolute start and end time are given.
76 .TP
77 .BI "\-F, \-\-not-before " datetime
78 Absolute time when the validity of the AC begins. The datetime format is
79 defined by the
80 .B \-\-dateform
81 option.
82 .TP
83 .BI "\-T, \-\-not-after " datetime
84 Absolute time when the validity of the AC ends. The datetime format is
85 defined by the
86 .B \-\-dateform
87 option.
88 .TP
89 .BI "\-D, \-\-dateform " form
90 strptime(3) format for the
91 .B \-\-not\-before
92 and
93 .B \-\-not\-after
94 options, default:
95 .B %d.%m.%y %T
96 .TP
97 .BI "\-s, \-\-serial " hex
98 Serial number in hex. It is randomly allocated by default.
99 .TP
100 .BI "\-g, \-\-digest " digest
101 Digest to use for signature creation. One of \fImd5\fR, \fIsha1\fR,
102 \fIsha224\fR, \fIsha256\fR, \fIsha384\fR, or \fIsha512\fR. Defaults to
103 \fIsha256\fR.
104 .TP
105 .BI "\-f, \-\-outform " encoding
106 Encoding of the created certificate file. Either \fIder\fR (ASN.1 DER) or
107 \fIpem\fR (Base64 PEM), defaults to \fIder\fR.
108 .
109 .SH "EXAMPLES"
110 .
111 To save repetitive typing, command line options can be stored in files.
112 Lets assume
113 .I acert.opt
114 contains the following contents:
115 .PP
116 .EX
117   --issuercert aacert.der --issuerkey aakey.der --digest sha256 --lifetime 4
118 .EE
119 .PP
120 Then the following command can be used to issue an attribute certificate based
121 on a holder certificate and the options above:
122 .PP
123 .EX
124   pki --acert --options acert.opt --in holder.der --group sales --group finance -f pem
125 .EE
126 .PP
127 .
128 .SH "SEE ALSO"
129 .
130 .BR pki (1)