3.11. Генерация сертификатов при помощи Opc.Ua.CertificateGenerator.exe
Сертификаты OpcUaClient можно сгенерировать из командной строки с помощью Opc.Ua.CertificateGenerator.exe
Командную строку необходимо запустить от имени администратора
|
Запустите следующую команду из командной строки, чтобы получить справочную информацию:
Opc.Ua.CertificateGenerator.exe -?
|
Будет отображена следующая информация:
|
Команда
|
Описание
|
|
-command или -cmd <issue | revoke | unrevoke | install>
|
Действие, которое необходимо выполнить (по умолчанию — выпустить)
|
|
-storePath или -sp <filepath>
|
Каталог хранилища сертификатов (обязательный, должен быть доступен для записи)
|
|
-applicationName или -an <name>
|
Название приложения (обязательно)
|
|
-applicationUri или -au <uri>
|
URI для приложения (необязательно)
|
|
-subjectName или -sn <DN>
|
Различаемое имя субъекта, поля разделяются символом / (т.е.CN=Hello/O=World)
|
|
-organization или -o <name>
|
Организация (необязательно)
|
|
-domainNames или -dn <name>,<name>
|
Список доменных имен, разделяемых запятыми (необязательно)
|
|
-password или -pw <password>
|
Пароль для нового файла закрытого ключа (необязательно)
|
|
-issuerKeyFilePath или -ikf <filepath>
|
Путь к файлу закрытого ключа эмитента (необязательно)
|
|
-issuerKeyPassword или -ikp <password>
|
Пароль для файла закрытого ключа эмитента (необязательно)
|
|
-keySize или -ks <bits>
|
Размер ключа, кратный 1024 (по умолчанию — 1024)
|
|
-lifetimeInMonths или -lm <months>
|
Время жизни в месяцах (по умолчанию — 60)
|
|
-publicKeyFilePath или -pbf <filepath>
|
Путь к сертификату, который необходимо обновить или отозвать (файл DER)
|
|
-privateKeyFilePath или -pvf <filepath>
|
Путь к существующему закрытому ключу для повторного использования или преобразования
|
|
-privateKeyPassword или -pvp <password>
|
Пароль для закрытого ключа
|
|
-reuseKey или -rk <true | false>
|
Следует ли повторно использовать существующий открытый ключ (по умолчанию — false)
|
|
-ca <true | false>
|
Создавать ли сертификат CA (по умолчанию — false)
|
|
-pem <true | false>
|
Выводить ли в формате PEM (по умолчанию — PFX)
|
Примеры:
Создание самоподписанного сертификата приложения:
-cmd issue -sp . -sn MyApp
Создание сертификата центра сертификации:
-cmd issue -sp . -an MyCA -ca true
Выдача сертификата приложения:
-cmd issue -sp . -an MyApp -ikf CaKeyFile -ikp CaPassword
Для обновления сертификата:
-cmd issue -sp . -pbf MyCertFile -ikf CaKeyFile -ikp CaPassword
Отзыв сертификата:
-cmd revoke -sp . -pbf MyCertFile -ikf CaKeyFile -ikp CaPassword
Отмена отзыва сертификата:
-cmd unrevoke -sp . -pbf MyCertFile -ikf CaKeyFile -ikp CaPassword
Преобразование формата ключа:
-cmd convert true -pw newpassword -pvf MyKeyFile -pvp oldpassword -pem true
|
Сертификат можно обновить, если в командной строке выполнить команду:
Opc.Ua.CertificateGenerator.exe -cmd issue -sp [путь_к_папке_сертификатов] -pbf [путь_к_файлу_обновляемого_сертификата] -ikf [путь_к_файлу_приватного_ключа_обновляемого_сертификата] -an [имя_приложения] -lm [срок_действия_сертификата_в_месяцах].
|
В результате будут сгенерированы ключ и сертификат со скопированными в него DN и SAN обновляемого сертификата и с указанным в -lm сроком действия.
