plugin-loader: Optionally use load option in each plugin section to load plugins
[strongswan.git] / src / pki / man / pki---signcrl.1.in
1 .TH "PKI \-\-SIGNCRL" 1 "2013-08-12" "@PACKAGE_VERSION@" "strongSwan"
2 .
3 .SH "NAME"
4 .
5 pki \-\-signcrl \- Issue a Certificate Revocation List (CRL) using a CA certificate and key
6 .
7 .SH "SYNOPSIS"
8 .
9 .SY pki\ \-\-signcrl
10 .BI \-\-cakey\~ file |\-\-cakeyid\~ hex
11 .BI \-\-cacert\~ file
12 .OP \-\-lifetime days
13 .OP \-\-lastcrl crl
14 .OP \-\-basecrl crl
15 .OP \-\-crluri uri
16 .OP \-\-digest digest
17 .OP \fR[\fB\-\-reason\ \fIreason\fR]\ \fR[\fB\-\-date\ \fIts\fR]\ \fB\-\-cert\ \fIfile\fB|\-\-serial\ \fIhex\fR
18 .OP \-\-outform encoding
19 .OP \-\-debug level
20 .YS
21 .
22 .SY pki\ \-\-signcrl
23 .BI \-\-options\~ file
24 .YS
25 .
26 .SY "pki \-\-signcrl"
27 .B \-h
28 |
29 .B \-\-help
30 .YS
31 .
32 .SH "DESCRIPTION"
33 .
34 This sub-command of
35 .BR pki (1)
36 is used to issue a Certificate Revocation List (CRL) using a CA certificate and
37 private key.
38 .
39 .SH "OPTIONS"
40 .
41 .TP
42 .B "\-h, \-\-help"
43 Print usage information with a summary of the available options.
44 .TP
45 .BI "\-v, \-\-debug " level
46 Set debug level, default: 1.
47 .TP
48 .BI "\-+, \-\-options " file
49 Read command line options from \fIfile\fR.
50 .TP
51 .BI "\-k, \-\-cakey " file
52 CA private key file. Either this or
53 .B \-\-cakeyid
54 is required.
55 .TP
56 .BI "\-x, \-\-cakeyid " hex
57 Key ID of a CA private key on a smartcard. Either this or
58 .B \-\-cakey
59 is required.
60 .TP
61 .BI "\-c, \-\-cacert " file
62 CA certificate file. Required.
63 .TP
64 .BI "\-l, \-\-lifetime " days
65 Days until the CRL gets a nextUpdate, default: 15.
66 .TP
67 .BI "\-a, \-\-lastcrl " crl
68 CRL of lastUpdate to copy revocations from.
69 .TP
70 .BI "\-b, \-\-basecrl " crl
71 Base CRL to create a delta CRL for.
72 .TP
73 .BI "\-u, \-\-crluri " uri
74 Freshest delta CRL URI to include in CRL. Can be used multiple times.
75 .TP
76 .BI "\-g, \-\-digest " digest
77 Digest to use for signature creation. One of \fImd5\fR, \fIsha1\fR,
78 \fIsha224\fR, \fIsha256\fR, \fIsha384\fR, or \fIsha512\fR. Defaults to
79 \fIsha1\fR.
80 .TP
81 .BI "\-f, \-\-outform " encoding
82 Encoding of the created certificate file. Either \fIder\fR (ASN.1 DER) or
83 \fIpem\fR (Base64 PEM), defaults to \fIder\fR.
84 .PP
85 .SS "Revoked Certificates"
86 Multiple revoked certificates can be added to the CRL by either providing the
87 certificate file or the respective serial number directly.
88 A reason and a timestamp can be configured for each revocation (they have to be
89 given before each certificate/serial on the command line).
90 .TP
91 .BI "\-r, \-\-reason " reason
92 The reason why the certificate was revoked. One of \fIkey\-compromise\fR,
93 \fIca\-compromise\fR, \fIaffiliation\-changed\fR, \fIsuperseded\fR,
94 \fIcessation\-of\-operation\fR, or \fIcertificate\-hold\fR.
95 .TP
96 .BI "\-d, \-\-date " ts
97 Revocation date as Unix timestamp. Defaults to the current time.
98 .TP
99 .BI "\-z, \-\-cert " file
100 Certificate file to revoke.
101 .TP
102 .BI "\-s, \-\-serial " hex
103 Hexadecimal encoded serial number of the certificate to revoke.
104 .
105 .SH "EXAMPLES"
106 .
107 Revoke a certificate:
108 .PP
109 .EX
110   pki \-\-signcrl \-\-cacert ca_cert.der \-\-cakey ca_key.der \\
111       \-\-reason superseded \-\-cert cert.der > crl.der
112 .EE
113 .PP
114 Update an existing CRL with two new revocations, using the certificate's serial
115 number, but no reason:
116 .PP
117 .EX
118   pki \-\-signcrl \-\-cacert ca_cert.der \-\-cakey ca_key.der \\
119       \-\-lastcrl old_crl.der \-\-serial 0123 \-\-serial 0345 > crl.der
120 .EE
121 .PP
122 .SH "SEE ALSO"
123 .
124 .BR pki (1)