pki: Optionally generate RSA/PSS signatures
[strongswan.git] / src / pki / man / pki---self.1.in
1 .TH "PKI \-\-SELF" 1 "2016-12-13" "@PACKAGE_VERSION@" "strongSwan"
2 .
3 .SH "NAME"
4 .
5 pki \-\-self \- Create a self-signed certificate
6 .
7 .SH "SYNOPSIS"
8 .
9 .SY pki\ \-\-self
10 .RB [ \-\-in
11 .IR file | \fB\-\-keyid\fR
12 .IR hex ]
13 .OP \-\-type t
14 .BI \-\-dn\~ distinguished-name
15 .OP \-\-san subjectAltName
16 .OP \-\-lifetime days
17 .OP \-\-not-before datetime
18 .OP \-\-not-after datetime
19 .OP \-\-serial hex
20 .OP \-\-flag flag
21 .OP \-\-digest digest
22 .OP \-\-rsa\-padding padding
23 .OP \-\-ca
24 .OP \-\-ocsp uri
25 .OP \-\-pathlen len
26 .OP \-\-addrblock block
27 .OP \-\-nc-permitted name
28 .OP \-\-nc-excluded name
29 .OP \-\-policy\-mapping mapping
30 .OP \-\-policy\-explicit len
31 .OP \-\-policy\-inhibit len
32 .OP \-\-policy\-any len
33 .OP \-\-cert\-policy oid\ \fR[\fB\-\-cps\-uri\ \fIuri\fR]\ \fR[\fB\-\-user\-notice\ \fItext\fR]
34 .OP \-\-outform encoding
35 .OP \-\-debug level
36 .YS
37 .
38 .SY pki\ \-\-self
39 .BI \-\-options\~ file
40 .YS
41 .
42 .SY "pki \-\-self"
43 .B \-h
44 |
45 .B \-\-help
46 .YS
47 .
48 .SH "DESCRIPTION"
49 .
50 This sub-command of
51 .BR pki (1)
52 is used to create a self-signed certificate.
53 .
54 .SH "OPTIONS"
55 .
56 .TP
57 .B "\-h, \-\-help"
58 Print usage information with a summary of the available options.
59 .TP
60 .BI "\-v, \-\-debug " level
61 Set debug level, default: 1.
62 .TP
63 .BI "\-+, \-\-options " file
64 Read command line options from \fIfile\fR.
65 .TP
66 .BI "\-i, \-\-in " file
67 Private key input file. If not given the key is read from \fISTDIN\fR.
68 .TP
69 .BI "\-x, \-\-keyid " hex
70 Smartcard or TPM private key object handle in hex format with an optional
71 0x prefix.
72 .TP
73 .BI "\-t, \-\-type " type
74 Type of the input key. Either \fIpriv\fR, \fIrsa\fR, \fIecdsa\fR, \fIed25519\fR
75 or \fIbliss\fR, defaults to \fIpriv\fR.
76 .TP
77 .BI "\-d, \-\-dn " distinguished-name
78 Subject and issuer distinguished name (DN). Required.
79 .TP
80 .BI "\-a, \-\-san " subjectAltName
81 subjectAltName extension to include in certificate. Can be used multiple times.
82 .TP
83 .BI "\-l, \-\-lifetime " days
84 Days the certificate is valid, default: 1095. Ignored if both
85 an absolute start and end time are given.
86 .TP
87 .BI "\-F, \-\-not-before " datetime
88 Absolute time when the validity of the certificate begins. The datetime format
89 is defined by the
90 .B \-\-dateform
91 option.
92 .TP
93 .BI "\-T, \-\-not-after " datetime
94 Absolute time when the validity of the certificate ends. The datetime format is
95 defined by the
96 .B \-\-dateform
97 option.
98 .TP
99 .BI "\-D, \-\-dateform " form
100 strptime(3) format for the
101 .B \-\-not\-before
102 and
103 .B \-\-not\-after
104 options, default:
105 .B %d.%m.%y %T
106 .TP
107 .BI "\-s, \-\-serial " hex
108 Serial number in hex. It is randomly allocated by default.
109 .TP
110 .BI "\-e, \-\-flag " flag
111 Add extendedKeyUsage flag. One of \fIserverAuth\fR, \fIclientAuth\fR,
112 \fIcrlSign\fR, or \fIocspSigning\fR. Can be used multiple times.
113 .TP
114 .BI "\-g, \-\-digest " digest
115 Digest to use for signature creation. One of \fImd5\fR, \fIsha1\fR,
116 \fIsha224\fR, \fIsha256\fR, \fIsha384\fR, or \fIsha512\fR.  The default is
117 determined based on the type and size of the signature key.
118 .TP
119 .BI "\-R, \-\-rsa\-padding " padding
120 Padding to use for RSA signatures. Either \fIpkcs1\fR or \fIpss\fR, defaults
121 to \fIpkcs1\fR.
122 .TP
123 .BI "\-f, \-\-outform " encoding
124 Encoding of the created certificate file. Either \fIder\fR (ASN.1 DER) or
125 \fIpem\fR (Base64 PEM), defaults to \fIder\fR.
126 .TP
127 .BI "\-b, \-\-ca"
128 Include CA basicConstraint extension in certificate.
129 .TP
130 .BI "\-o, \-\-ocsp " uri
131 OCSP AuthorityInfoAccess URI to include in certificate. Can be used multiple
132 times.
133 .TP
134 .BI "\-p, \-\-pathlen " len
135 Set path length constraint.
136 .TP
137 .BI "\-B, \-\-addrblock " block
138 RFC 3779 address block to include in certificate. \fIblock\fR is either a
139 CIDR subnet (such as \fI10.0.0.0/8\fR) or an arbitrary address range
140 (\fI192.168.1.7-192.168.1.13\fR). Can be repeated to include multiple blocks.
141 Please note that the supplied blocks are included in the certificate as is,
142 so for standards compliance, multiple blocks must be supplied in correct
143 order and adjacent blocks must be combined. Refer to RFC 3779 for details.
144 .TP
145 .BI "\-n, \-\-nc-permitted " name
146 Add permitted NameConstraint extension to certificate. For DNS or email
147 constraints, the identity type is not always detectable by the given name. Use
148 the
149 .B dns:
150 or
151 .B email:
152 prefix to force a constraint type.
153 .TP
154 .BI "\-N, \-\-nc-excluded " name
155 Add excluded NameConstraint extension to certificate. For DNS or email
156 constraints, the identity type is not always detectable by the given name. Use
157 the
158 .B dns:
159 or
160 .B email:
161 prefix to force a constraint type.
162 .TP
163 .BI "\-M, \-\-policy-mapping " issuer-oid:subject-oid
164 Add policyMapping from issuer to subject OID.
165 .TP
166 .BI "\-E, \-\-policy-explicit " len
167 Add requireExplicitPolicy constraint.
168 .TP
169 .BI "\-H, \-\-policy-inhibit " len
170 Add inhibitPolicyMapping constraint.
171 .TP
172 .BI "\-A, \-\-policy-any " len
173 Add inhibitAnyPolicy constraint.
174 .PP
175 .SS "Certificate Policy"
176 Multiple certificatePolicy extensions can be added. Each with the following
177 information:
178 .TP
179 .BI "\-P, \-\-cert-policy " oid
180 OID to include in certificatePolicy extension. Required.
181 .TP
182 .BI "\-C, \-\-cps-uri " uri
183 Certification Practice statement URI for certificatePolicy.
184 .TP
185 .BI "\-U, \-\-user-notice " text
186 User notice for certificatePolicy.
187 .
188 .SH "EXAMPLES"
189 .
190 Generate a self-signed certificate using the given RSA key:
191 .PP
192 .EX
193   pki \-\-self \-\-in key.der \-\-dn "C=CH, O=strongSwan, CN=moon" \\
194       \-\-san moon.strongswan.org > cert.der
195 .EE
196 .
197 .SH "SEE ALSO"
198 .
199 .BR pki (1)