d7460fd1fd64f0da2460dbacb600cd6796db7764
[strongswan.git] / src / pki / man / pki---acert.1.in
1 .TH "PKI \-\-ACERT" 1 "2014-02-05" "@PACKAGE_VERSION@" "strongSwan"
2 .
3 .SH "NAME"
4 .
5 pki \-\-acert \- Issue an attribute certificate
6 .
7 .SH "SYNOPSIS"
8 .
9 .SY pki\ \-\-acert
10 .OP \-\-in file
11 .OP \-\-group membership
12 .BI \-\-issuerkey\~ file |\-\-issuerkeyid\~ hex
13 .BI \-\-issuercert\~ file
14 .OP \-\-lifetime hours
15 .OP \-\-not-before datetime
16 .OP \-\-not-after datetime
17 .OP \-\-serial hex
18 .OP \-\-digest digest
19 .OP \-\-outform encoding
20 .OP \-\-debug level
21 .YS
22 .
23 .SY pki\ \-\-acert
24 .BI \-\-options\~ file
25 .YS
26 .
27 .SY "pki \-\-acert"
28 .B \-h
29 |
30 .B \-\-help
31 .YS
32 .
33 .SH "DESCRIPTION"
34 .
35 This sub-command of
36 .BR pki (1)
37 is used to issue an attribute certificate using an issuer certificate with its
38 private key and the holder certificate.
39 .
40 .SH "OPTIONS"
41 .
42 .TP
43 .B "\-h, \-\-help"
44 Print usage information with a summary of the available options.
45 .TP
46 .BI "\-v, \-\-debug " level
47 Set debug level, default: 1.
48 .TP
49 .BI "\-+, \-\-options " file
50 Read command line options from \fIfile\fR.
51 .TP
52 .BI "\-i, \-\-in " file
53 Holder certificate to issue an attribute certificate for. If not given the
54 certificate is read from \fISTDIN\fR.
55 .TP
56 .BI "\-m, \-\-group " membership
57 Group membership the attribute certificate shall certify. The specified group
58 is included as a string. To include multiple groups, the option can be repeated.
59 .TP
60 .BI "\-k, \-\-issuerkey " file
61 Issuer private key file. Either this or
62 .B \-\-issuerkeyid
63 is required.
64 .TP
65 .BI "\-x, \-\-issuerkeyid " hex
66 Key ID of a issuer private key on a smartcard. Either this or
67 .B \-\-issuerkey
68 is required.
69 .TP
70 .BI "\-c, \-\-issuercert " file
71 Issuer certificate file. Required.
72 .TP
73 .BI "\-l, \-\-lifetime " hours
74 Hours the attribute certificate is valid, default: 24. Ignored if both
75 an absolute start and end time are given.
76 .TP
77 .BI "\-F, \-\-not-before " datetime
78 Absolute time when the validity of the AC begins. The datetime format is
79 defined by the
80 .B \-\-dateform
81 option.
82 .TP
83 .BI "\-T, \-\-not-after " datetime
84 Absolute time when the validity of the AC ends. The datetime format is
85 defined by the
86 .B \-\-dateform
87 option.
88 .TP
89 .BI "\-D, \-\-dateform " form
90 strptime(3) format for the
91 .B \-\-not\-before
92 and
93 .B \-\-not\-after
94 options, default:
95 .B %d.%m.%y %T
96 .TP
97 .BI "\-s, \-\-serial " hex
98 Serial number in hex. It is randomly allocated by default.
99 .TP
100 .BI "\-g, \-\-digest " digest
101 Digest to use for signature creation. One of \fImd5\fR, \fIsha1\fR,
102 \fIsha224\fR, \fIsha256\fR, \fIsha384\fR, or \fIsha512\fR. The default is
103 determined based on the type and size of the signature key.
104 .TP
105 .BI "\-f, \-\-outform " encoding
106 Encoding of the created certificate file. Either \fIder\fR (ASN.1 DER) or
107 \fIpem\fR (Base64 PEM), defaults to \fIder\fR.
108 .
109 .SH "EXAMPLES"
110 .
111 To save repetitive typing, command line options can be stored in files.
112 Lets assume
113 .I acert.opt
114 contains the following contents:
115 .PP
116 .EX
117   --issuercert aacert.der --issuerkey aakey.der --digest sha256 --lifetime 4
118 .EE
119 .PP
120 Then the following command can be used to issue an attribute certificate based
121 on a holder certificate and the options above:
122 .PP
123 .EX
124   pki --acert --options acert.opt --in holder.der --group sales --group finance -f pem
125 .EE
126 .PP
127 .
128 .SH "SEE ALSO"
129 .
130 .BR pki (1)