pki: Optionally generate RSA/PSS signatures
[strongswan.git] / src / pki / man / pki---signcrl.1.in
1 .TH "PKI \-\-SIGNCRL" 1 "2013-08-12" "@PACKAGE_VERSION@" "strongSwan"
2 .
3 .SH "NAME"
4 .
5 pki \-\-signcrl \- Issue a Certificate Revocation List (CRL) using a CA certificate and key
6 .
7 .SH "SYNOPSIS"
8 .
9 .SY pki\ \-\-signcrl
10 .BI \-\-cakey\~ file |\-\-cakeyid\~ hex
11 .BI \-\-cacert\~ file
12 .OP \-\-lifetime days
13 .OP \-\-this-update datetime
14 .OP \-\-next-update datetime
15 .OP \-\-lastcrl crl
16 .OP \-\-basecrl crl
17 .OP \-\-crluri uri
18 .OP \-\-digest digest
19 .OP \-\-rsa\-padding padding
20 .OP \fR[\fB\-\-reason\ \fIreason\fR]\ \fR[\fB\-\-date\ \fIts\fR]\ \fB\-\-cert\ \fIfile\fB|\-\-serial\ \fIhex\fR
21 .OP \-\-outform encoding
22 .OP \-\-debug level
23 .YS
24 .
25 .SY pki\ \-\-signcrl
26 .BI \-\-options\~ file
27 .YS
28 .
29 .SY "pki \-\-signcrl"
30 .B \-h
31 |
32 .B \-\-help
33 .YS
34 .
35 .SH "DESCRIPTION"
36 .
37 This sub-command of
38 .BR pki (1)
39 is used to issue a Certificate Revocation List (CRL) using a CA certificate and
40 private key.
41 .
42 .SH "OPTIONS"
43 .
44 .TP
45 .B "\-h, \-\-help"
46 Print usage information with a summary of the available options.
47 .TP
48 .BI "\-v, \-\-debug " level
49 Set debug level, default: 1.
50 .TP
51 .BI "\-+, \-\-options " file
52 Read command line options from \fIfile\fR.
53 .TP
54 .BI "\-k, \-\-cakey " file
55 CA private key file. Either this or
56 .B \-\-cakeyid
57 is required.
58 .TP
59 .BI "\-x, \-\-cakeyid " hex
60 Smartcard or TPM CA private key object handle in hex format with an optional
61 0x prefix. Either this or
62 .B \-\-cakey
63 is required.
64 .TP
65 .BI "\-c, \-\-cacert " file
66 CA certificate file. Required.
67 .TP
68 .BI "\-l, \-\-lifetime " days
69 Days until the CRL gets a nextUpdate, default: 15. Ignored if both
70 an absolute start and end time are given.
71 .TP
72 .BI "\-F, \-\-this-update " datetime
73 Absolute time when the validity of the CRL begins. The datetime format is
74 defined by the
75 .B \-\-dateform
76 option.
77 .TP
78 .BI "\-T, \-\-next-update " datetime
79 Absolute time when the validity of the CRL end. The datetime format is
80 defined by the
81 .B \-\-dateform
82 option.
83 .TP
84 .BI "\-D, \-\-dateform " form
85 strptime(3) format for the
86 .B \-\-this\-update
87 and
88 .B \-\-next\-update
89 options, default:
90 .B %d.%m.%y %T
91 .TP
92 .BI "\-a, \-\-lastcrl " crl
93 CRL of lastUpdate to copy revocations from.
94 .TP
95 .BI "\-b, \-\-basecrl " crl
96 Base CRL to create a delta CRL for.
97 .TP
98 .BI "\-u, \-\-crluri " uri
99 Freshest delta CRL URI to include in CRL. Can be used multiple times.
100 .TP
101 .BI "\-g, \-\-digest " digest
102 Digest to use for signature creation. One of \fImd5\fR, \fIsha1\fR,
103 \fIsha224\fR, \fIsha256\fR, \fIsha384\fR, or \fIsha512\fR.  The default is
104 determined based on the type and size of the signature key.
105 .TP
106 .BI "\-R, \-\-rsa\-padding " padding
107 Padding to use for RSA signatures. Either \fIpkcs1\fR or \fIpss\fR, defaults
108 to \fIpkcs1\fR.
109 .TP
110 .BI "\-f, \-\-outform " encoding
111 Encoding of the created certificate file. Either \fIder\fR (ASN.1 DER) or
112 \fIpem\fR (Base64 PEM), defaults to \fIder\fR.
113 .PP
114 .SS "Revoked Certificates"
115 Multiple revoked certificates can be added to the CRL by either providing the
116 certificate file or the respective serial number directly.
117 A reason and a timestamp can be configured for each revocation (they have to be
118 given before each certificate/serial on the command line).
119 .TP
120 .BI "\-r, \-\-reason " reason
121 The reason why the certificate was revoked. One of \fIkey\-compromise\fR,
122 \fIca\-compromise\fR, \fIaffiliation\-changed\fR, \fIsuperseded\fR,
123 \fIcessation\-of\-operation\fR, or \fIcertificate\-hold\fR.
124 .TP
125 .BI "\-d, \-\-date " ts
126 Revocation date as Unix timestamp. Defaults to the current time.
127 .TP
128 .BI "\-z, \-\-cert " file
129 Certificate file to revoke.
130 .TP
131 .BI "\-s, \-\-serial " hex
132 Hexadecimal encoded serial number of the certificate to revoke.
133 .
134 .SH "EXAMPLES"
135 .
136 Revoke a certificate:
137 .PP
138 .EX
139   pki \-\-signcrl \-\-cacert ca_cert.der \-\-cakey ca_key.der \\
140       \-\-reason superseded \-\-cert cert.der > crl.der
141 .EE
142 .PP
143 Update an existing CRL with two new revocations, using the certificate's serial
144 number, but no reason:
145 .PP
146 .EX
147   pki \-\-signcrl \-\-cacert ca_cert.der \-\-cakey ca_key.der \\
148       \-\-lastcrl old_crl.der \-\-serial 0123 \-\-serial 0345 > crl.der
149 .EE
150 .PP
151 .SH "SEE ALSO"
152 .
153 .BR pki (1)