pki: Use SHA-256 as default for signatures
[strongswan.git] / src / pki / man / pki---signcrl.1.in
1 .TH "PKI \-\-SIGNCRL" 1 "2013-08-12" "@PACKAGE_VERSION@" "strongSwan"
2 .
3 .SH "NAME"
4 .
5 pki \-\-signcrl \- Issue a Certificate Revocation List (CRL) using a CA certificate and key
6 .
7 .SH "SYNOPSIS"
8 .
9 .SY pki\ \-\-signcrl
10 .BI \-\-cakey\~ file |\-\-cakeyid\~ hex
11 .BI \-\-cacert\~ file
12 .OP \-\-lifetime days
13 .OP \-\-this-update datetime
14 .OP \-\-next-update datetime
15 .OP \-\-lastcrl crl
16 .OP \-\-basecrl crl
17 .OP \-\-crluri uri
18 .OP \-\-digest digest
19 .OP \fR[\fB\-\-reason\ \fIreason\fR]\ \fR[\fB\-\-date\ \fIts\fR]\ \fB\-\-cert\ \fIfile\fB|\-\-serial\ \fIhex\fR
20 .OP \-\-outform encoding
21 .OP \-\-debug level
22 .YS
23 .
24 .SY pki\ \-\-signcrl
25 .BI \-\-options\~ file
26 .YS
27 .
28 .SY "pki \-\-signcrl"
29 .B \-h
30 |
31 .B \-\-help
32 .YS
33 .
34 .SH "DESCRIPTION"
35 .
36 This sub-command of
37 .BR pki (1)
38 is used to issue a Certificate Revocation List (CRL) using a CA certificate and
39 private key.
40 .
41 .SH "OPTIONS"
42 .
43 .TP
44 .B "\-h, \-\-help"
45 Print usage information with a summary of the available options.
46 .TP
47 .BI "\-v, \-\-debug " level
48 Set debug level, default: 1.
49 .TP
50 .BI "\-+, \-\-options " file
51 Read command line options from \fIfile\fR.
52 .TP
53 .BI "\-k, \-\-cakey " file
54 CA private key file. Either this or
55 .B \-\-cakeyid
56 is required.
57 .TP
58 .BI "\-x, \-\-cakeyid " hex
59 Key ID of a CA private key on a smartcard. Either this or
60 .B \-\-cakey
61 is required.
62 .TP
63 .BI "\-c, \-\-cacert " file
64 CA certificate file. Required.
65 .TP
66 .BI "\-l, \-\-lifetime " days
67 Days until the CRL gets a nextUpdate, default: 15. Ignored if both
68 an absolute start and end time are given.
69 .TP
70 .BI "\-F, \-\-this-update " datetime
71 Absolute time when the validity of the CRL begins. The datetime format is
72 defined by the
73 .B \-\-dateform
74 option.
75 .TP
76 .BI "\-T, \-\-next-update " datetime
77 Absolute time when the validity of the CRL end. The datetime format is
78 defined by the
79 .B \-\-dateform
80 option.
81 .TP
82 .BI "\-D, \-\-dateform " form
83 strptime(3) format for the
84 .B \-\-this\-update
85 and
86 .B \-\-next\-update
87 options, default:
88 .B %d.%m.%y %T
89 .TP
90 .BI "\-a, \-\-lastcrl " crl
91 CRL of lastUpdate to copy revocations from.
92 .TP
93 .BI "\-b, \-\-basecrl " crl
94 Base CRL to create a delta CRL for.
95 .TP
96 .BI "\-u, \-\-crluri " uri
97 Freshest delta CRL URI to include in CRL. Can be used multiple times.
98 .TP
99 .BI "\-g, \-\-digest " digest
100 Digest to use for signature creation. One of \fImd5\fR, \fIsha1\fR,
101 \fIsha224\fR, \fIsha256\fR, \fIsha384\fR, or \fIsha512\fR. Defaults to
102 \fIsha256\fR.
103 .TP
104 .BI "\-f, \-\-outform " encoding
105 Encoding of the created certificate file. Either \fIder\fR (ASN.1 DER) or
106 \fIpem\fR (Base64 PEM), defaults to \fIder\fR.
107 .PP
108 .SS "Revoked Certificates"
109 Multiple revoked certificates can be added to the CRL by either providing the
110 certificate file or the respective serial number directly.
111 A reason and a timestamp can be configured for each revocation (they have to be
112 given before each certificate/serial on the command line).
113 .TP
114 .BI "\-r, \-\-reason " reason
115 The reason why the certificate was revoked. One of \fIkey\-compromise\fR,
116 \fIca\-compromise\fR, \fIaffiliation\-changed\fR, \fIsuperseded\fR,
117 \fIcessation\-of\-operation\fR, or \fIcertificate\-hold\fR.
118 .TP
119 .BI "\-d, \-\-date " ts
120 Revocation date as Unix timestamp. Defaults to the current time.
121 .TP
122 .BI "\-z, \-\-cert " file
123 Certificate file to revoke.
124 .TP
125 .BI "\-s, \-\-serial " hex
126 Hexadecimal encoded serial number of the certificate to revoke.
127 .
128 .SH "EXAMPLES"
129 .
130 Revoke a certificate:
131 .PP
132 .EX
133   pki \-\-signcrl \-\-cacert ca_cert.der \-\-cakey ca_key.der \\
134       \-\-reason superseded \-\-cert cert.der > crl.der
135 .EE
136 .PP
137 Update an existing CRL with two new revocations, using the certificate's serial
138 number, but no reason:
139 .PP
140 .EX
141   pki \-\-signcrl \-\-cacert ca_cert.der \-\-cakey ca_key.der \\
142       \-\-lastcrl old_crl.der \-\-serial 0123 \-\-serial 0345 > crl.der
143 .EE
144 .PP
145 .SH "SEE ALSO"
146 .
147 .BR pki (1)