Часто задаваемые вопросы (Faq)

Утилита генерации цифровых ключей и сертификатов

Предоставляются следующие версии консольной утилиты для генерации цифровых ключей и сертификатов:

Версии утилиты drweb-sign-- и drwsign аналогичны по функциональности. Далее в разделе приводится версия drwsign, однако все примеры актуальны для обеих версий.

Формат команды запуска

•drwsign check [-public-key=]

Проверить подпись указанного файла, используя открытый ключ субъекта, подписавшего данный файл.

•drwsign extract [-private-key=] [-cert=]

Извлечь открытый ключ из файла закрытого ключа или из файла сертификата и записать открытый ключ в указанный файл.

Ключи -private-key и -cert взаимоисключающие, т. е. может быть задан только один из них; в случае задания обоих ключей одновременно команда завершится с ошибкой.

Указания параметра для ключей обязательно.

Если ни один ключ не задан, то будет использован -private-key=drwcsd.pri для извлечения открытого ключа из закрытого ключа drwcsd.pri.

•drwsign genkey [ []]

Сгенерировать пару открытый — закрытый ключ и записать их в соответствующие файлы.

Версия утилиты для платформ Windows (в отличие от версии для ОС UNIX) никак не защищает закрытый ключ от копирования.

•drwsign gencert [-private-key=] [-subj=] [-days=] []

Сгенерировать самоподписанный сертификат, используя закрытый ключ Сервера, и записать его в соответствующий файл.

•drwsign gencsr [-private-key=] [-subj=] []

Сгенерировать запрос на подпись сертификата на основе закрытого ключа и записать этот запрос в соответствующий файл.

Может быть использовано для подписания сертификата другого сервера, например, для подписания сертификата Прокси-сервера Dr.Web ключом Сервера Dr.Web.

Для подписания подобного запроса используйте ключ signcsr.

•drwsign genselfsign [-show] [-subj=] [-days=] [ []]

Сгенерировать самоподписанный RSA-сертификат и закрытый RSA-ключ для веб-сервера и записать их в соответствующие файлы.

Ключ -show выводит содержимое сертификата в читаемом виде.

•drwsign hash-check [-public-key=]

Проверить подпись указанного 256-битного числа в формате клиент-серверного протокола.

В параметре задается файл с 256-битным числом, которое необходимо подписать. В файле — результат подписи (два 256-битных числа).

•drwsign hash-sign [-private-key=]

Подписать указанное 256-битное число в формате клиент-серверного протокола.

В параметре задается файл с 256-битным числом, которое необходимо подписать. В файле — результат подписи (два 256-битных числа).

•drwsign help []

Вывести краткую справку о программе или конкретной команде в формате командной строки.

•drwsign sign [-private-key=]

Подписать , используя закрытый ключ.

•drwsign signcert [-ca-key=] [-ca-cert=] [-cert=] [-days=] []

Подписать готовый закрытым ключом и сертификатом Сервера. Подписанный сертификат сохраняется в отдельном файле.

Может быть использовано для подписывания сертификата Прокси-сервера Dr.Web ключом Сервера Dr.Web.

•drwsign signcsr [-ca-key=] [-ca-cert=] [-csr=] [-days=] []

Подписать , сгенерированный при помощи команды gencsr, закрытым ключом и сертификатом Сервера. Подписанный сертификат сохраняется в отдельный файл.

Может быть использовано для подписания сертификата другого сервера, например, для подписания сертификата Прокси-сервера Dr.Web ключом Сервера Dr.Web.

•drwsign tlsticketkey []

Сгенерировать TLS-тикеты.

Может быть использовано в кластере Серверов для общих TLS-сессий.

•drwsign verify [-ss-cert] [-CAfile=] []

Проверить валидность сертификата по доверенному сертификату Сервера.

Ключ -ss-cert предписывает игнорировать доверенный сертификат и только проверить корректность самоподписанного сертификата.

•drwsign x509dump []

Распечатать дамп любого x509 сертификата.