7.2.2. 使用 CMCRevoke撤销证书

CMC 撤销程序 CMCRevoke 用于通过代理的证书为撤销请求签名。这个实用程序只传递必要的信息 - 证书序列号、签发者名称和撤销原因 - 来标识要撤销的证书,然后标识执行撤销的 CA 代理(certificate nickname 和带有证书的数据库)。
正在撤销证书的原因可以是以下任意一种(带有传递给 CMCRevoke 实用程序的值):
  • 0 - 未指定
  • 1 - 密钥已被破坏
  • 2 - CA 密钥已被破坏
  • 3 - 员工附属机构已改变
  • 4 - 证书已被替换
  • 5 - 操作考虑
  • 6 - 证书位于
有关可用工具参数的详细信息,请参阅 命令行工具指南

7.2.2.1. 测试 CMCRevoke

  1. 为现有证书创建 CMC 撤销请求。
    CMCRevoke -d/path/to/agent-cert-db -nnickname -iissuerName -sserialName -mreason -ccomment
    例如,如果包含代理证书的目录是 ~jsmith/.mozilla/firefox/,则证书的别名为 AgentCert,并且命令的序列号为 22,如下所示:
    CMCRevoke -d"~jsmith/.mozilla/firefox/" -n"ManagerAgentCert" -i"cn=agentAuthMgr" -s22 -m0 -c"test comment"
    注意
    在引号中包含空格的值会包括在引号中。
    重要
    在 参数及其值之间没有空格。例如,指定序列号为 26 的序列号为 -s26,而不是 -s 26
  2. 打开"终端"页面。
    https://server.example.com:8443/ca/ee/ca
  3. 选择 Revocation 选项卡。
  4. 选择菜单上的 CMC Revoke 链接。
  5. CMCRevoke 的输出粘贴到文本区域。
  6. 从粘贴的内容中删除 -----BEGIN NEW CERTIFICATE REQUEST---------END NEW CERTIFICATE REQUEST-----
  7. Submit
  8. 返回后的页面应确认已撤销了正确的证书。