src/pki/man/pki---self.1.in

   1 .TH "PKI \-\-SELF" 1 "2013-07-31" "@PACKAGE_VERSION@" "strongSwan"
   2 .
   3 .SH "NAME"
   4 .
   5 pki \-\-self \- Create a self-signed certificate
   6 .
   7 .SH "SYNOPSIS"
   8 .
   9 .SY pki\ \-\-self
  10 .RB [ \-\-in
  11 .IR file | \fB\-\-keyid\fR
  12 .IR hex ]
  13 .OP \-\-type t
  14 .BI \-\-dn\~ distinguished-name
  15 .OP \-\-san subjectAltName
  16 .OP \-\-lifetime days
  17 .OP \-\-not-before datetime
  18 .OP \-\-not-after datetime
  19 .OP \-\-serial hex
  20 .OP \-\-flag flag
  21 .OP \-\-digest digest
  22 .OP \-\-ca
  23 .OP \-\-ocsp uri
  24 .OP \-\-pathlen len
  25 .OP \-\-nc-permitted name
  26 .OP \-\-nc-excluded name
  27 .OP \-\-policy\-mapping mapping
  28 .OP \-\-policy\-explicit len
  29 .OP \-\-policy\-inhibit len
  30 .OP \-\-policy\-any len
  31 .OP \-\-cert\-policy oid\ \fR[\fB\-\-cps\-uri\ \fIuri\fR]\ \fR[\fB\-\-user\-notice\ \fItext\fR]
  32 .OP \-\-outform encoding
  33 .OP \-\-debug level
  34 .YS
  35 .
  36 .SY pki\ \-\-self
  37 .BI \-\-options\~ file
  38 .YS
  39 .
  40 .SY "pki \-\-self"
  41 .B \-h
  42 |
  43 .B \-\-help
  44 .YS
  45 .
  46 .SH "DESCRIPTION"
  47 .
  48 This sub-command of
  49 .BR pki (1)
  50 is used to create a self-signed certificate.
  51 .
  52 .SH "OPTIONS"
  53 .
  54 .TP
  55 .B "\-h, \-\-help"
  56 Print usage information with a summary of the available options.
  57 .TP
  58 .BI "\-v, \-\-debug " level
  59 Set debug level, default: 1.
  60 .TP
  61 .BI "\-+, \-\-options " file
  62 Read command line options from \fIfile\fR.
  63 .TP
  64 .BI "\-i, \-\-in " file
  65 Private key input file. If not given the key is read from \fISTDIN\fR.
  66 .TP
  67 .BI "\-x, \-\-keyid " hex
  68 Key ID of a private key on a smartcard.
  69 .TP
  70 .BI "\-t, \-\-type " type
  71 Type of the input key. Either \fIrsa\fR or \fIecdsa\fR, defaults to \fIrsa\fR.
  72 .TP
  73 .BI "\-d, \-\-dn " distinguished-name
  74 Subject and issuer distinguished name (DN). Required.
  75 .TP
  76 .BI "\-a, \-\-san " subjectAltName
  77 subjectAltName extension to include in certificate. Can be used multiple times.
  78 .TP
  79 .BI "\-l, \-\-lifetime " days
  80 Days the certificate is valid, default: 1095. Ignored if both
  81 an absolute start and end time are given.
  82 .TP
  83 .BI "\-F, \-\-not-before " datetime
  84 Absolute time when the validity of the certificate begins. The datetime format
  85 is defined by the
  86 .B \-\-dateform
  87 option.
  88 .TP
  89 .BI "\-T, \-\-not-after " datetime
  90 Absolute time when the validity of the certificate ends. The datetime format is
  91 defined by the
  92 .B \-\-dateform
  93 option.
  94 .TP
  95 .BI "\-D, \-\-dateform " form
  96 strptime(3) format for the
  97 .B \-\-not\-before
  98 and
  99 .B \-\-not\-after
 100 options, default:
 101 .B %d.%m.%y %T
 102 .TP
 103 .BI "\-s, \-\-serial " hex
 104 Serial number in hex. It is randomly allocated by default.
 105 .TP
 106 .BI "\-e, \-\-flag " flag
 107 Add extendedKeyUsage flag. One of \fIserverAuth\fR, \fIclientAuth\fR,
 108 \fIcrlSign\fR, or \fIocspSigning\fR. Can be used multiple times.
 109 .TP
 110 .BI "\-g, \-\-digest " digest
 111 Digest to use for signature creation. One of \fImd5\fR, \fIsha1\fR,
 112 \fIsha224\fR, \fIsha256\fR, \fIsha384\fR, or \fIsha512\fR. Defaults to
 113 \fIsha256\fR.
 114 .TP
 115 .BI "\-f, \-\-outform " encoding
 116 Encoding of the created certificate file. Either \fIder\fR (ASN.1 DER) or
 117 \fIpem\fR (Base64 PEM), defaults to \fIder\fR.
 118 .TP
 119 .BI "\-b, \-\-ca"
 120 Include CA basicConstraint extension in certificate.
 121 .TP
 122 .BI "\-o, \-\-ocsp " uri
 123 OCSP AuthorityInfoAccess URI to include in certificate. Can be used multiple
 124 times.
 125 .TP
 126 .BI "\-p, \-\-pathlen " len
 127 Set path length constraint.
 128 .TP
 129 .BI "\-n, \-\-nc-permitted " name
 130 Add permitted NameConstraint extension to certificate. For DNS or email
 131 constraints, the identity type is not always detectable by the given name. Use
 132 the
 133 .B dns:
 134 or
 135 .B email:
 136 prefix to force a constraint type.
 137 .TP
 138 .BI "\-N, \-\-nc-excluded " name
 139 Add excluded NameConstraint extension to certificate. For DNS or email
 140 constraints, the identity type is not always detectable by the given name. Use
 141 the
 142 .B dns:
 143 or
 144 .B email:
 145 prefix to force a constraint type.
 146 .TP
 147 .BI "\-M, \-\-policy-mapping " issuer-oid:subject-oid
 148 Add policyMapping from issuer to subject OID.
 149 .TP
 150 .BI "\-E, \-\-policy-explicit " len
 151 Add requireExplicitPolicy constraint.
 152 .TP
 153 .BI "\-H, \-\-policy-inhibit " len
 154 Add inhibitPolicyMapping constraint.
 155 .TP
 156 .BI "\-A, \-\-policy-any " len
 157 Add inhibitAnyPolicy constraint.
 158 .PP
 159 .SS "Certificate Policy"
 160 Multiple certificatePolicy extensions can be added. Each with the following
 161 information:
 162 .TP
 163 .BI "\-P, \-\-cert-policy " oid
 164 OID to include in certificatePolicy extension. Required.
 165 .TP
 166 .BI "\-C, \-\-cps-uri " uri
 167 Certification Practice statement URI for certificatePolicy.
 168 .TP
 169 .BI "\-U, \-\-user-notice " text
 170 User notice for certificatePolicy.
 171 .
 172 .SH "EXAMPLES"
 173 .
 174 Generate a self-signed certificate using the given RSA key:
 175 .PP
 176 .EX
 177   pki \-\-self \-\-in key.der \-\-dn "C=CH, O=strongSwan, CN=moon" \\
 178       \-\-san moon.strongswan.org > cert.der
 179 .EE
 180 .
 181 .SH "SEE ALSO"
 182 .
 183 .BR pki (1)