pki: Edited keyid parameter use in various pki man pages and usage outputs
[strongswan.git] / src / pki / man / pki---issue.1.in
1 .TH "PKI \-\-ISSUE" 1 "2016-12-13" "@PACKAGE_VERSION@" "strongSwan"
2 .
3 .SH "NAME"
4 .
5 pki \-\-issue \- Issue a certificate using a CA certificate and key
6 .
7 .SH "SYNOPSIS"
8 .
9 .SY pki\ \-\-issue
10 .OP \-\-in file
11 .OP \-\-type type
12 .BI \-\-cakey\~ file |\-\-cakeyid\~ hex
13 .BI \-\-cacert\~ file
14 .OP \-\-dn subject-dn
15 .OP \-\-san subjectAltName
16 .OP \-\-lifetime days
17 .OP \-\-not-before datetime
18 .OP \-\-not-after datetime
19 .OP \-\-serial hex
20 .OP \-\-flag flag
21 .OP \-\-digest digest
22 .OP \-\-ca
23 .OP \-\-crl uri\ \fR[\fB\-\-crlissuer\ \fIissuer\fR]
24 .OP \-\-ocsp uri
25 .OP \-\-pathlen len
26 .OP \-\-nc-permitted name
27 .OP \-\-addrblock block
28 .OP \-\-nc-excluded name
29 .OP \-\-policy\-mapping mapping
30 .OP \-\-policy\-explicit len
31 .OP \-\-policy\-inhibit len
32 .OP \-\-policy\-any len
33 .OP \-\-cert\-policy oid\ \fR[\fB\-\-cps\-uri\ \fIuri\fR]\ \fR[\fB\-\-user\-notice\ \fItext\fR]
34 .OP \-\-outform encoding
35 .OP \-\-debug level
36 .YS
37 .
38 .SY pki\ \-\-issue
39 .BI \-\-options\~ file
40 .YS
41 .
42 .SY "pki \-\-issue"
43 .B \-h
44 |
45 .B \-\-help
46 .YS
47 .
48 .SH "DESCRIPTION"
49 .
50 This sub-command of
51 .BR pki (1)
52 is used to issue a certificate using a CA certificate and private key.
53 .
54 .SH "OPTIONS"
55 .
56 .TP
57 .B "\-h, \-\-help"
58 Print usage information with a summary of the available options.
59 .TP
60 .BI "\-v, \-\-debug " level
61 Set debug level, default: 1.
62 .TP
63 .BI "\-+, \-\-options " file
64 Read command line options from \fIfile\fR.
65 .TP
66 .BI "\-i, \-\-in " file
67 Public key or PKCS#10 certificate request file to issue. If not given the
68 key/request is read from \fISTDIN\fR.
69 .TP
70 .BI "\-t, \-\-type " type
71 Type of the input. One of \fIpub\fR (public key), \fIpriv\fR (private key),
72 \fIrsa\fR (RSA private key), \fIecdsa\fR (ECDSA private key),
73 \fIed25519\fR (Ed25519 private key) \fIbliss\fR (BLISS private key) or
74 \fIpkcs10\fR (PKCS#10 certificate request), defaults to \fIpub\fR.
75 .TP
76 .BI "\-k, \-\-cakey " file
77 CA private key file. Either this or
78 .B \-\-cakeyid
79 is required.
80 .TP
81 .BI "\-x, \-\-cakeyid " hex
82 Smartcard or TPM CA private key object handle in hex format with an optional
83 0x prefix. Either this or
84 .B \-\-cakey
85 is required.
86 .TP
87 .BI "\-c, \-\-cacert " file
88 CA certificate file. Required.
89 .TP
90 .BI "\-d, \-\-dn " subject-dn
91 Subject distinguished name (DN) of the issued certificate.
92 .TP
93 .BI "\-a, \-\-san " subjectAltName
94 subjectAltName extension to include in certificate. Can be used multiple times.
95 .TP
96 .BI "\-l, \-\-lifetime " days
97 Days the certificate is valid, default: 1095. Ignored if both
98 an absolute start and end time are given.
99 .TP
100 .BI "\-F, \-\-not-before " datetime
101 Absolute time when the validity of the certificate begins. The datetime format
102 is defined by the
103 .B \-\-dateform
104 option.
105 .TP
106 .BI "\-T, \-\-not-after " datetime
107 Absolute time when the validity of the certificate ends. The datetime format is
108 defined by the
109 .B \-\-dateform
110 option.
111 .TP
112 .BI "\-D, \-\-dateform " form
113 strptime(3) format for the
114 .B \-\-not\-before
115 and
116 .B \-\-not\-after
117 options, default:
118 .B %d.%m.%y %T
119 .TP
120 .BI "\-s, \-\-serial " hex
121 Serial number in hex. It is randomly allocated by default.
122 .TP
123 .BI "\-e, \-\-flag " flag
124 Add extendedKeyUsage flag. One of \fIserverAuth\fR, \fIclientAuth\fR,
125 \fIcrlSign\fR, or \fIocspSigning\fR. Can be used multiple times.
126 .TP
127 .BI "\-g, \-\-digest " digest
128 Digest to use for signature creation. One of \fImd5\fR, \fIsha1\fR,
129 \fIsha224\fR, \fIsha256\fR, \fIsha384\fR, or \fIsha512\fR.  The default is
130 determined based on the type and size of the signature key.
131 .TP
132 .BI "\-f, \-\-outform " encoding
133 Encoding of the created certificate file. Either \fIder\fR (ASN.1 DER) or
134 \fIpem\fR (Base64 PEM), defaults to \fIder\fR.
135 .TP
136 .BI "\-b, \-\-ca"
137 Include CA basicConstraint extension in certificate.
138 .TP
139 .BI "\-u, \-\-crl " uri
140 CRL distribution point URI to include in certificate. Can be used multiple
141 times.
142 .TP
143 .BI "\-I, \-\-crlissuer " issuer
144 Optional CRL issuer for the CRL at the preceding distribution point.
145 .TP
146 .BI "\-o, \-\-ocsp " uri
147 OCSP AuthorityInfoAccess URI to include in certificate. Can be used multiple
148 times.
149 .TP
150 .BI "\-p, \-\-pathlen " len
151 Set path length constraint.
152 .TP
153 .BI "\-B, \-\-addrblock " block
154 RFC 3779 address block to include in certificate. \fIblock\fR is either a
155 CIDR subnet (such as \fI10.0.0.0/8\fR) or an arbitrary address range
156 (\fI192.168.1.7-192.168.1.13\fR). Can be repeated to include multiple blocks.
157 Please note that the supplied blocks are included in the certificate as is,
158 so for standards compliance, multiple blocks must be supplied in correct
159 order and adjacent blocks must be combined. Refer to RFC 3779 for details.
160 .TP
161 .BI "\-n, \-\-nc-permitted " name
162 Add permitted NameConstraint extension to certificate. For DNS or email
163 constraints, the identity type is not always detectable by the given name. Use
164 the
165 .B dns:
166 or
167 .B email:
168 prefix to force a constraint type.
169 .TP
170 .BI "\-N, \-\-nc-excluded " name
171 Add excluded NameConstraint extension to certificate. For DNS or email
172 constraints, the identity type is not always detectable by the given name. Use
173 the
174 .B dns:
175 or
176 .B email:
177 prefix to force a constraint type.
178 .TP
179 .BI "\-M, \-\-policy-mapping " issuer-oid:subject-oid
180 Add policyMapping from issuer to subject OID.
181 .TP
182 .BI "\-E, \-\-policy-explicit " len
183 Add requireExplicitPolicy constraint.
184 .TP
185 .BI "\-H, \-\-policy-inhibit " len
186 Add inhibitPolicyMapping constraint.
187 .TP
188 .BI "\-A, \-\-policy-any " len
189 Add inhibitAnyPolicy constraint.
190 .PP
191 .SS "Certificate Policy"
192 Multiple certificatePolicy extensions can be added. Each with the following
193 information:
194 .TP
195 .BI "\-P, \-\-cert-policy " oid
196 OID to include in certificatePolicy extension. Required.
197 .TP
198 .BI "\-C, \-\-cps-uri " uri
199 Certification Practice statement URI for certificatePolicy.
200 .TP
201 .BI "\-U, \-\-user-notice " text
202 User notice for certificatePolicy.
203 .
204 .SH "EXAMPLES"
205 .
206 To save repetitive typing, command line options can be stored in files.
207 Lets assume
208 .I pki.opt
209 contains the following contents:
210 .PP
211 .EX
212   --cacert ca_cert.der --cakey ca_key.der --digest sha256
213   --flag serverAuth --lifetime 1460 --type pkcs10
214 .EE
215 .PP
216 Then the following command can be used to issue a certificate based on a
217 given PKCS#10 certificate request and the options above:
218 .PP
219 .EX
220   pki --issue --options pki.opt --in req.der > cert.der
221 .EE
222 .PP
223 .
224 .SH "SEE ALSO"
225 .
226 .BR pki (1)