5.1.3 Как управлять сертификатами и ключами

--generate-key

--gen-key

Эта команда позволяет создавать запрос подписи сертификата или самоподписанный сертификат. Часто она используется с параметром --output, чтобы сохранить результат в файле. Если задан параметр --batch, при создании запроса подписи сертификата или сертификата используется файл настроек, и можно создавать несамоподписанные сертификаты.

--list-keys

-k

Перечислить все доступные сертификаты, хранящиеся в локальной базе данных ключей. Обратите внимание, что выводимые данные могут переформатироваться для лучшей читаемости человеком, а недопустимые символы заменяются на то, что можно нормально отобразить.

--list-secret-keys

-K

Перечислить все доступные сертификаты, для которых есть секретный ключ.

--list-external-keys шаблон

Перечислить сертификаты, соответствующие аргументу, из внешнего сервера. Команда задействует службу dirmngr.

--list-chain

То же, что --list-keys, но выводит также все ключи, составляющие цепочку.

--dump-cert

--dump-keys

Перечислить все доступные сертификаты, хранящиеся в локальной базе данных ключей, в формате, полезном главным образом для отладки.

--dump-chain

То же, что --dump-keys, но выводит также все ключи, составляющие цепочку.

--dump-secret-keys

Перечислить все доступные сертификаты, для которых есть секретный ключ, в формате, полезном главным образом для отладки.

--dump-external-keys шаблон

Перечислить сертификаты, соответствующие шаблону, из внешнего сервера. Команда задействует службу dirmngr. Формат, в котором выводится список, полезен главным образом для отладки.

--keydb-clear-some-cert-flags

Это средство отладки для сброса определенных признаков в базе данных ключей, используемой как буфер для определенных элементов состояния ключей. Особенно полезно, когда испорчен список отозванных сертификатов или странно работающий ответчик OCSP действительно случайно отозвал сертификат. Эта команда не представляет проблем безопасности, потому что gpgsm всегда гарантирует, что достоверность сертификата проверяется непосредственно перед его применением.

--delete-keys шаблон

Удалить ключи, соответствующие шаблону. Обратите внимание, что команды для прямого удаления секретной части ключа нет. В случае, если вам это нужно, перед удалением ключа следует выполнить команду gpgsm --dump-secret-keys идентификатор_ключа, скопировать последовательность шестнадцатеричных чисел в строке «код ключа» и удалить файл, имя которого состоит из этой последовательности и суффикса .key из каталога private-keys-v1.d, находящегося в домашнем каталоге GnuPG (обычно ~/.gnupg).

--export [шаблон]

Экспортировать все сертификаты, хранящиеся на щите с ключами, указанные необязательным аргументом. Шаблон состоит из списка идентификаторов пользователя (см. как задать идентификатор пользователя). При вводе с параметром --armor перед каждым блоком выводится несколько информационных строк. Есть одно ограничение: поскольку нет общепринятого способа упаковки нескольких сертификатов в одну структуру ASN.1, двоичный вариант (без параметра --armor) работает только для экспорта одного сертификата. Одноразовые сертификаты экспортируются, только если все шаблоны представляют коды ключей или отпечатки.

--export-secret-key-p12 идентификатор ключа

Экспортировать секретный ключ и сертификат, указанный аргументом, в формате PKCS#12. При вводе с параметром --armor перед данными на выходе выводится несколько информационных строк. Обратите внимание, что формат PKCS#12 не очень защищен и передавать экспортированный ключ нужно по защищенному каналу. (See параметр --p12-charset.)

--export-secret-key-p8 идентификатор ключа

--export-secret-key-raw идентификатор ключа

Экспортировать секретный ключ сертификата, указанного в аргументе, в полностью незашифрованном виде. Команда ...-raw выводит в формате PKCS#1, команда ...-p8 выводит в формате PKCS#8. При вводе с параметром --armor перед данными на выходе выводится несколько информационных строк. Эти команды полезны для подготовки ключа к использованию на сервере TLS.

--import [файлы]

Импортировать сертификаты из двоичных файлов или файлов в кодировке PEM, а также из сообщений, которые только подписаны. Этой командой можно импортировать также секретный ключ из файла PKCS#12.

--learn-card

Считать информацию о секретных ключах из электронной карты, импортировать оттуда сертификаты. Эта команда пользуется программой gpg-agent а та, в свою очередь, scdaemon.

--change-passphrase идентификатор пользователя

--passwd идентификатор пользователя

Изменить фразу-пароль секретного ключа, принадлежащего сертификату, указанному в аргументе. Обратите внимание, что изменение фразы-пароля или PIN электронной карты пока не поддерживается.