unit-tests: Fix "using integer constants in boolean context" warning
[strongswan.git] / src / pki / man / pki---signcrl.1.in
1 .TH "PKI \-\-SIGNCRL" 1 "2013-08-12" "@PACKAGE_VERSION@" "strongSwan"
2 .
3 .SH "NAME"
4 .
5 pki \-\-signcrl \- Issue a Certificate Revocation List (CRL) using a CA certificate and key
6 .
7 .SH "SYNOPSIS"
8 .
9 .SY pki\ \-\-signcrl
10 .BI \-\-cakey\~ file |\-\-cakeyid\~ hex
11 .BI \-\-cacert\~ file
12 .OP \-\-lifetime days
13 .OP \-\-this-update datetime
14 .OP \-\-next-update datetime
15 .OP \-\-lastcrl crl
16 .OP \-\-basecrl crl
17 .OP \-\-crluri uri
18 .OP \-\-digest digest
19 .OP \fR[\fB\-\-reason\ \fIreason\fR]\ \fR[\fB\-\-date\ \fIts\fR]\ \fB\-\-cert\ \fIfile\fB|\-\-serial\ \fIhex\fR
20 .OP \-\-outform encoding
21 .OP \-\-debug level
22 .YS
23 .
24 .SY pki\ \-\-signcrl
25 .BI \-\-options\~ file
26 .YS
27 .
28 .SY "pki \-\-signcrl"
29 .B \-h
30 |
31 .B \-\-help
32 .YS
33 .
34 .SH "DESCRIPTION"
35 .
36 This sub-command of
37 .BR pki (1)
38 is used to issue a Certificate Revocation List (CRL) using a CA certificate and
39 private key.
40 .
41 .SH "OPTIONS"
42 .
43 .TP
44 .B "\-h, \-\-help"
45 Print usage information with a summary of the available options.
46 .TP
47 .BI "\-v, \-\-debug " level
48 Set debug level, default: 1.
49 .TP
50 .BI "\-+, \-\-options " file
51 Read command line options from \fIfile\fR.
52 .TP
53 .BI "\-k, \-\-cakey " file
54 CA private key file. Either this or
55 .B \-\-cakeyid
56 is required.
57 .TP
58 .BI "\-x, \-\-cakeyid " hex
59 Smartcard or TPM CA private key object handle in hex format with an optional
60 0x prefix. Either this or
61 .B \-\-cakey
62 is required.
63 .TP
64 .BI "\-c, \-\-cacert " file
65 CA certificate file. Required.
66 .TP
67 .BI "\-l, \-\-lifetime " days
68 Days until the CRL gets a nextUpdate, default: 15. Ignored if both
69 an absolute start and end time are given.
70 .TP
71 .BI "\-F, \-\-this-update " datetime
72 Absolute time when the validity of the CRL begins. The datetime format is
73 defined by the
74 .B \-\-dateform
75 option.
76 .TP
77 .BI "\-T, \-\-next-update " datetime
78 Absolute time when the validity of the CRL end. The datetime format is
79 defined by the
80 .B \-\-dateform
81 option.
82 .TP
83 .BI "\-D, \-\-dateform " form
84 strptime(3) format for the
85 .B \-\-this\-update
86 and
87 .B \-\-next\-update
88 options, default:
89 .B %d.%m.%y %T
90 .TP
91 .BI "\-a, \-\-lastcrl " crl
92 CRL of lastUpdate to copy revocations from.
93 .TP
94 .BI "\-b, \-\-basecrl " crl
95 Base CRL to create a delta CRL for.
96 .TP
97 .BI "\-u, \-\-crluri " uri
98 Freshest delta CRL URI to include in CRL. Can be used multiple times.
99 .TP
100 .BI "\-g, \-\-digest " digest
101 Digest to use for signature creation. One of \fImd5\fR, \fIsha1\fR,
102 \fIsha224\fR, \fIsha256\fR, \fIsha384\fR, or \fIsha512\fR.  The default is
103 determined based on the type and size of the signature key.
104 .TP
105 .BI "\-f, \-\-outform " encoding
106 Encoding of the created certificate file. Either \fIder\fR (ASN.1 DER) or
107 \fIpem\fR (Base64 PEM), defaults to \fIder\fR.
108 .PP
109 .SS "Revoked Certificates"
110 Multiple revoked certificates can be added to the CRL by either providing the
111 certificate file or the respective serial number directly.
112 A reason and a timestamp can be configured for each revocation (they have to be
113 given before each certificate/serial on the command line).
114 .TP
115 .BI "\-r, \-\-reason " reason
116 The reason why the certificate was revoked. One of \fIkey\-compromise\fR,
117 \fIca\-compromise\fR, \fIaffiliation\-changed\fR, \fIsuperseded\fR,
118 \fIcessation\-of\-operation\fR, or \fIcertificate\-hold\fR.
119 .TP
120 .BI "\-d, \-\-date " ts
121 Revocation date as Unix timestamp. Defaults to the current time.
122 .TP
123 .BI "\-z, \-\-cert " file
124 Certificate file to revoke.
125 .TP
126 .BI "\-s, \-\-serial " hex
127 Hexadecimal encoded serial number of the certificate to revoke.
128 .
129 .SH "EXAMPLES"
130 .
131 Revoke a certificate:
132 .PP
133 .EX
134   pki \-\-signcrl \-\-cacert ca_cert.der \-\-cakey ca_key.der \\
135       \-\-reason superseded \-\-cert cert.der > crl.der
136 .EE
137 .PP
138 Update an existing CRL with two new revocations, using the certificate's serial
139 number, but no reason:
140 .PP
141 .EX
142   pki \-\-signcrl \-\-cacert ca_cert.der \-\-cakey ca_key.der \\
143       \-\-lastcrl old_crl.der \-\-serial 0123 \-\-serial 0345 > crl.der
144 .EE
145 .PP
146 .SH "SEE ALSO"
147 .
148 .BR pki (1)