pki: Use SHA-256 as default for signatures
[strongswan.git] / src / pki / man / pki---self.1.in
1 .TH "PKI \-\-SELF" 1 "2013-07-31" "@PACKAGE_VERSION@" "strongSwan"
2 .
3 .SH "NAME"
4 .
5 pki \-\-self \- Create a self-signed certificate
6 .
7 .SH "SYNOPSIS"
8 .
9 .SY pki\ \-\-self
10 .RB [ \-\-in
11 .IR file | \fB\-\-keyid\fR
12 .IR hex ]
13 .OP \-\-type t
14 .BI \-\-dn\~ distinguished-name
15 .OP \-\-san subjectAltName
16 .OP \-\-lifetime days
17 .OP \-\-not-before datetime
18 .OP \-\-not-after datetime
19 .OP \-\-serial hex
20 .OP \-\-flag flag
21 .OP \-\-digest digest
22 .OP \-\-ca
23 .OP \-\-ocsp uri
24 .OP \-\-pathlen len
25 .OP \-\-nc-permitted name
26 .OP \-\-nc-excluded name
27 .OP \-\-policy\-mapping mapping
28 .OP \-\-policy\-explicit len
29 .OP \-\-policy\-inhibit len
30 .OP \-\-policy\-any len
31 .OP \-\-cert\-policy oid\ \fR[\fB\-\-cps\-uri\ \fIuri\fR]\ \fR[\fB\-\-user\-notice\ \fItext\fR]
32 .OP \-\-outform encoding
33 .OP \-\-debug level
34 .YS
35 .
36 .SY pki\ \-\-self
37 .BI \-\-options\~ file
38 .YS
39 .
40 .SY "pki \-\-self"
41 .B \-h
42 |
43 .B \-\-help
44 .YS
45 .
46 .SH "DESCRIPTION"
47 .
48 This sub-command of
49 .BR pki (1)
50 is used to create a self-signed certificate.
51 .
52 .SH "OPTIONS"
53 .
54 .TP
55 .B "\-h, \-\-help"
56 Print usage information with a summary of the available options.
57 .TP
58 .BI "\-v, \-\-debug " level
59 Set debug level, default: 1.
60 .TP
61 .BI "\-+, \-\-options " file
62 Read command line options from \fIfile\fR.
63 .TP
64 .BI "\-i, \-\-in " file
65 Private key input file. If not given the key is read from \fISTDIN\fR.
66 .TP
67 .BI "\-x, \-\-keyid " hex
68 Key ID of a private key on a smartcard.
69 .TP
70 .BI "\-t, \-\-type " type
71 Type of the input key. Either \fIrsa\fR or \fIecdsa\fR, defaults to \fIrsa\fR.
72 .TP
73 .BI "\-d, \-\-dn " distinguished-name
74 Subject and issuer distinguished name (DN). Required.
75 .TP
76 .BI "\-a, \-\-san " subjectAltName
77 subjectAltName extension to include in certificate. Can be used multiple times.
78 .TP
79 .BI "\-l, \-\-lifetime " days
80 Days the certificate is valid, default: 1095. Ignored if both
81 an absolute start and end time are given.
82 .TP
83 .BI "\-F, \-\-not-before " datetime
84 Absolute time when the validity of the certificate begins. The datetime format
85 is defined by the
86 .B \-\-dateform
87 option.
88 .TP
89 .BI "\-T, \-\-not-after " datetime
90 Absolute time when the validity of the certificate ends. The datetime format is
91 defined by the
92 .B \-\-dateform
93 option.
94 .TP
95 .BI "\-D, \-\-dateform " form
96 strptime(3) format for the
97 .B \-\-not\-before
98 and
99 .B \-\-not\-after
100 options, default:
101 .B %d.%m.%y %T
102 .TP
103 .BI "\-s, \-\-serial " hex
104 Serial number in hex. It is randomly allocated by default.
105 .TP
106 .BI "\-e, \-\-flag " flag
107 Add extendedKeyUsage flag. One of \fIserverAuth\fR, \fIclientAuth\fR,
108 \fIcrlSign\fR, or \fIocspSigning\fR. Can be used multiple times.
109 .TP
110 .BI "\-g, \-\-digest " digest
111 Digest to use for signature creation. One of \fImd5\fR, \fIsha1\fR,
112 \fIsha224\fR, \fIsha256\fR, \fIsha384\fR, or \fIsha512\fR. Defaults to
113 \fIsha256\fR.
114 .TP
115 .BI "\-f, \-\-outform " encoding
116 Encoding of the created certificate file. Either \fIder\fR (ASN.1 DER) or
117 \fIpem\fR (Base64 PEM), defaults to \fIder\fR.
118 .TP
119 .BI "\-b, \-\-ca"
120 Include CA basicConstraint extension in certificate.
121 .TP
122 .BI "\-o, \-\-ocsp " uri
123 OCSP AuthorityInfoAccess URI to include in certificate. Can be used multiple
124 times.
125 .TP
126 .BI "\-p, \-\-pathlen " len
127 Set path length constraint.
128 .TP
129 .BI "\-n, \-\-nc-permitted " name
130 Add permitted NameConstraint extension to certificate. For DNS or email
131 constraints, the identity type is not always detectable by the given name. Use
132 the
133 .B dns:
134 or
135 .B email:
136 prefix to force a constraint type.
137 .TP
138 .BI "\-N, \-\-nc-excluded " name
139 Add excluded NameConstraint extension to certificate. For DNS or email
140 constraints, the identity type is not always detectable by the given name. Use
141 the
142 .B dns:
143 or
144 .B email:
145 prefix to force a constraint type.
146 .TP
147 .BI "\-M, \-\-policy-mapping " issuer-oid:subject-oid
148 Add policyMapping from issuer to subject OID.
149 .TP
150 .BI "\-E, \-\-policy-explicit " len
151 Add requireExplicitPolicy constraint.
152 .TP
153 .BI "\-H, \-\-policy-inhibit " len
154 Add inhibitPolicyMapping constraint.
155 .TP
156 .BI "\-A, \-\-policy-any " len
157 Add inhibitAnyPolicy constraint.
158 .PP
159 .SS "Certificate Policy"
160 Multiple certificatePolicy extensions can be added. Each with the following
161 information:
162 .TP
163 .BI "\-P, \-\-cert-policy " oid
164 OID to include in certificatePolicy extension. Required.
165 .TP
166 .BI "\-C, \-\-cps-uri " uri
167 Certification Practice statement URI for certificatePolicy.
168 .TP
169 .BI "\-U, \-\-user-notice " text
170 User notice for certificatePolicy.
171 .
172 .SH "EXAMPLES"
173 .
174 Generate a self-signed certificate using the given RSA key:
175 .PP
176 .EX
177   pki \-\-self \-\-in key.der \-\-dn "C=CH, O=strongSwan, CN=moon" \\
178       \-\-san moon.strongswan.org > cert.der
179 .EE
180 .
181 .SH "SEE ALSO"
182 .
183 .BR pki (1)