.\" -*- coding: UTF-8 -*- .de Sp \" Vertical space (when we can't use .PP) .if t .sp .5v .if n .sp .. .\" -*- mode: troff; coding: utf-8 -*- .\" Automatically generated by Pod::Man v6.0.2 (Pod::Simple 3.45) .\" .\" Standard preamble: .\" ======================================================================== .de Vb \" Begin verbatim text .ft CW .nf .ne \\$1 .. .de Ve \" End verbatim text .ft R .fi .. .ie n \{\ . ds C` "" . ds C' "" 'br\} .el\{\ . ds C` . ds C' 'br\} .\" \*(C` and \*(C' are quotes in nroff, nothing in troff, for use with C<>. .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" .\" Escape single quotes in literal strings from groff's Unicode transform. .de IX .. .\" .\" If the F register is >0, we'll generate index entries on stderr for .\" titles (.TH), headers (.SH), subsections (.SS), items (.Ip), and index .\" entries marked with X<> in POD. Of course, you'll have to process the .\" output yourself in some meaningful fashion. .\" .\" Avoid warning from groff about undefined register 'F'. .nr rF 0 .if \n(.g .if rF .nr rF 1 .if (\n(rF:(\n(.g==0)) \{\ . if \nF \{\ . de IX . tm Index:\\$1\t\\n%\t"\\$2" .. . if !\nF==2 \{\ . nr % 0 . nr F 2 . \} . \} .\} .rr rF .if n .ds AD l .\" .\" Required to disable full justification in groff 1.23.0. .\" ======================================================================== .\" .IX العنوان "OPENSSL\-CA 1ssl" .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .TH OPENSSL\-CA 1ssl "7 أبريل 2026" 3.6.2 OpenSSL .if n .ad l .\" For nroff, turn off justification. Always turn off hyphenation; it makes .\" way too many mistakes in technical documents. .nh .SH الاسم openssl\-ca \- عينة لتطبيق سلطة تصديق (CA) مصغر .SH موجز .IX الترويسة موجز \&\fBopenssl\fP \fBca\fP [\fB\-help\fP] [\fB\-verbose\fP] [\fB\-quiet\fP] [\fB\-config\fP \fIاسم_الملف\fP] [\fB\-name\fP \fIقسم\fP] [\fB\-section\fP \fIقسم\fP] [\fB\-gencrl\fP] [\fB\-revoke\fP \fIملف\fP] [\fB\-valid\fP \fIملف\fP] [\fB\-status\fP \fIرقم_تسلسلي\fP] [\fB\-updatedb\fP] [\fB\-crl_reason\fP \fIسبب\fP] [\fB\-crl_hold\fP \fIتعليمات\fP] [\fB\-crl_compromise\fP \fIوقت\fP] [\fB\-crl_CA_compromise\fP \fIوقت\fP] [\fB\-crl_lastupdate\fP \fIتاريخ\fP] [\fB\-crl_nextupdate\fP \fIتاريخ\fP] [\fB\-crldays\fP \fIأيام\fP] [\fB\-crlhours\fP \fIساعات\fP] [\fB\-crlsec\fP \fIثوانٍ\fP] [\fB\-crlexts\fP \fIقسم\fP] [\fB\-startdate\fP \fIتاريخ\fP] [\fB\-not_before\fP \fIتاريخ\fP] [\fB\-enddate\fP \fIتاريخ\fP] [\fB\-not_after\fP \fIتاريخ\fP] [\fB\-days\fP \fIمعطى\fP] [\fB\-md\fP \fIمعطى\fP] [\fB\-policy\fP \fIمعطى\fP] [\fB\-keyfile\fP \fIاسم_الملف\fP|\fIuri\fP] [\fB\-keyform\fP \fBDER\fP|\fBPEM\fP|\fBP12\fP|\fBENGINE\fP] [\fB\-key\fP \fIمعطى\fP] [\fB\-passin\fP \fIمعطى\fP] [\fB\-cert\fP \fIملف\fP] [\fB\-certform\fP \fBDER\fP|\fBPEM\fP|\fBP12\fP] [\fB\-selfsign\fP] [\fB\-in\fP \fIملف\fP] [\fB\-inform\fP \fBDER\fP|] [\fB\-out\fP \fIملف\fP] [\fB\-notext\fP] [\fB\-dateopt\fP] [\fB\-outdir\fP \fIمسار\fP] [\fB\-infiles\fP] [\fB\-spkac\fP \fIملف\fP] [\fB\-ss_cert\fP \fIملف\fP] [\fB\-preserveDN\fP] [\fB\-noemailDN\fP] [\fB\-batch\fP] [\fB\-msie_hack\fP] [\fB\-extensions\fP \fIقسم\fP] [\fB\-extfile\fP \fIقسم\fP] [\fB\-subj\fP \fIمعطى\fP] [\fB\-utf8\fP] [\fB\-sigopt\fP \fIاسم\fP:\fIقيمة\fP] [\fB\-vfyopt\fP \fIاسم\fP:\fIقيمة\fP] [\fB\-create_serial\fP] [\fB\-rand_serial\fP] [\fB\-multivalue\-rdn\fP] [\fB\-rand\fP \fIملفات\fP] [\fB\-writerand\fP \fIملف\fP] [\fB\-engine\fP \fIمعرف\fP] [\fB\-provider\fP \fIاسم\fP] [\fB\-provider\-path\fP \fIمسار\fP] [\fB\-provparam\fP \fI[اسم:]مفتاح=قيمة\fP] [\fB\-propquery\fP \fIاستعلام\fP] [\fIطلب_شهادة\fP...] .SH الوصف .IX الترويسة الوصف يحاكي هذا الأمر تطبيق سلطة تصديق (CA). انظر قسم \fBتحذيرات\fP خاصة عند التفكير في استخدامه بشكل إنتاجي. .PP يُنشئ هذا الأمر شهادات تحمل الإصدار 3 من X.509. ما لم يُحدد خلاف ذلك، تُضمّن ملحقات معرف المفتاح كما هو موضح في \fBx509v3_config\fP\|(5). .PP يمكن استخدامه لتوقيع طلبات توقيع الشهادات (CSRs) بأشكال متنوعة وإنشاء قوائم إبطال الشهادات (CRLs). كما أنه يحافظ على قاعدة بيانات نصية للشهادات الصادرة وحالتها. عند توقيع الشهادات، يمكن تحديد طلب واحد باستخدام الخيار \fB\-in\fP، أو معالجة طلبات متعددة عبر تحديد مجموعة من ملفات \fBcertreq\fP بعد جميع الخيارات. .PP لاحظ أن هناك أيضاً طرقاً مبسطة للغاية لإنشاء الشهادات: يمكن استخدام الأمرين \fBreq\fP و \fBx509\fP لإنشاء الشهادات مباشرة. انظر \fBopenssl\-req\fP\|(1) و \fBopenssl\-x509\fP\|(1) للحصول على التفاصيل. .PP قُسّمت أوصاف خيارات الأمر \fBca\fP وفقاً لكل غرض. .SH الخيارات .IX الترويسة الخيارات .IP \fB\-help\fP 4 .IX عنصر \-help اطبع رسالة الاستخدام. .IP \fB\-verbose\fP 4 .IX عنصر \-verbose يطبع هذا تفاصيل إضافية حول العمليات التي تُنفذ. .IP \fB\-quiet\fP 4 .IX عنصر \-quiet يطبع هذا تفاصيل أقل حول العمليات التي تُنفذ، وهو ما قد يكون مفيداً أثناء سكربتات الدفعات أو خطوط الأنابيب. .IP "\fB\-config\fP \fIاسم_الملف\fP" 4 .IX عنصر "\-config اسم_الملف" يحدد ملف الضبط المراد استخدامه. اختياري؛ للحصول على وصف للقيمة الافتراضية، انظر "ملخص الأوامر" في \fBopenssl\fP\|(1). .IP "\fB\-name\fP \fIقسم\fP، \fB\-section\fP \fIقسم\fP" 4 .IX عنصر "\-name قسم، \-section قسم" يحدد قسم ملف الضبط المراد استخدامه (يتجاوز \&\fBdefault_ca\fP في قسم \fBca\fP). .IP "\fB\-in\fP \fIاسم_الملف\fP" 4 .IX عنصر "\-in اسم_الملف" اسم ملف إدخال يحتوي على طلب توقيع شهادة (CSR) واحد ليُوقع بواسطة سلطة التصديق (CA). .IP "\fB\-inform\fP \fBDER\fP|\fBPEM\fP" 4 .IX عنصر "\-inform DER|PEM" التنسيق المستخدم عند تحميل ملفات إدخال طلب توقيع الشهادة (CSR)؛ افتراضياً يُحاول استخدام PEM أولاً. انظر \fBopenssl\-format\-options\fP\|(1) للتفاصيل. .IP "\fB\-ss_cert\fP \fIاسم_الملف\fP" 4 .IX عنصر "\-ss_cert اسم_الملف" شهادة واحدة موقعة ذاتياً ليُوقعها CA. .IP "\fB\-spkac\fP \fIاسم_الملف\fP" 4 .IX عنصر "\-spkac اسم_الملف" ملف يحتوي على مفتاح عمومي واحد موقع من Netscape وتحدٍ وقيم حقول إضافية ليُوقعها CA. انظر قسم \fBتنسيق SPKAC\fP للحصول على معلومات حول تنسيق الإدخال والإخراج المطلوب. .IP \fB\-infiles\fP 4 .IX عنصر \-infiles إذا وُجد هذا الخيار، فيجب أن يكون الخيار الأخير، حيث تُعامل جميع المعطيات اللاحقة على أنها أسماء ملفات تحتوي على طلبات شهادات. .IP "\fB\-out\fP \fIاسم_الملف\fP" 4 .IX عنصر "\-out اسم_الملف" ملف الإخراج لإخراج الشهادات إليه. المبدئي هو الخرج القياسي. ستُطبع تفاصيل الشهادة أيضاً في هذا الملف بتنسيق PEM (باستثناء أن \fB\-spkac\fP يخرج بتنسيق DER). .IP "\fB\-outdir\fP \fIمسار\fP" 4 .IX عنصر "\-outdir مسار" المسار الذي ستُخرج الشهادات إليه. ستُكتب الشهادة في ملف يتكون اسمه من الرقم التسلسلي بالنظام الست عشري مع إلحاق \&\fI.pem\fP. .IP "\fB\-cert\fP \fIاسم_الملف\fP" 4 .IX عنصر "\-cert اسم_الملف" شهادة سلطة التصديق (CA)، والتي يجب أن تتطابق مع \fB\-keyfile\fP. .IP "\fB\-certform\fP \fBDER\fP|\fBPEM\fP|\fBP12\fP" 4 .IX عنصر "\-certform DER|PEM|P12" تنسيق البيانات في ملفات إدخال الشهادة؛ غير محدد افتراضياً. انظر \fBopenssl\-format\-options\fP\|(1) للتفاصيل. .IP "\fB\-keyfile\fP \fIاسم_الملف\fP|\fIuri\fP" 4 .IX عنصر "\-keyfile اسم_الملف|uri" المفتاح الخاص لـ CA لتوقيع طلبات الشهادات به. يجب أن يتطابق مع \fB\-cert\fP. .IP "\fB\-keyform\fP \fBDER\fP|\fBPEM\fP|\fBP12\fP|\fBENGINE\fP" 4 .IX عنصر "\-keyform DER|PEM|P12|ENGINE" تنسيق ملف إدخال المفتاح الخاص؛ غير محدد افتراضياً. انظر \fBopenssl\-format\-options\fP\|(1) للتفاصيل. .IP "\fB\-sigopt\fP \fIاسم\fP:\fIقيمة\fP" 4 .IX عنصر "\-sigopt اسم:قيمة" مرر الخيارات إلى خوارزمية التوقيع أثناء عمليات التوقيع. أسماء وقيم هذه الخيارات خاصة بالخوارزمية وموثقة في "معلمات التوقيع" في \fBprovider\-signature\fP\|(7). .IP "\fB\-vfyopt\fP \fIاسم\fP:\fIقيمة\fP" 4 .IX عنصر "\-vfyopt اسم:قيمة" مرر الخيارات إلى خوارزمية التوقيع أثناء عمليات التحقق. أسماء وقيم هذه الخيارات خاصة بالخوارزمية. .Sp غالباً ما يلزم توفير هذا أثناء التوقيع أيضاً، لأن التوقيع الذاتي لطلب توقيع الشهادة (CSR) يُتحقق منه مقابل المفتاح العمومي المضمن، وقد يحتاج هذا التحقق إلى مجموعة خيارات خاصة به. .IP "\fB\-key\fP \fIكلمة_المرور\fP" 4 .IX عنصر "\-key كلمة_المرور" كلمة المرور المستخدمة لتعمية المفتاح الخاص. نظراً لأن معطيات سطر الأوامر تكون مرئية في بعض الأنظمة (على سبيل المثال، عند استخدام \&\fBps\fP\|(1) على يونكس)، يجب استخدام هذا الخيار بحذر. من الأفضل استخدام \fB\-passin\fP. .IP "\fB\-passin\fP \fIمعطى\fP" 4 .IX عنصر "\-passin معطى" مصدر كلمة مرور المفتاح لملفات المفاتيح وملفات الشهادات PKCS#12. لمزيد من المعلومات حول تنسيق \fBarg\fP انظر \fBopenssl\-passphrase\-options\fP\|(1). .IP \fB\-selfsign\fP 4 .IX عنصر \-selfsign يشير إلى أن الشهادات الصادرة يجب أن تُوقع بنفس المفتاح الذي وُقعت به طلبات الشهادات (المعطى عبر \fB\-keyfile\fP). تُتجاهل طلبات الشهادات الموقعة بمفتاح مختلف. إذا أُعطيت الخيارات \fB\-spkac\fP أو \fB\-ss_cert\fP أو \fB\-gencrl\fP، يُتجاهل \fB\-selfsign\fP. .Sp من نتائج استخدام \fB\-selfsign\fP أن الشهادة الموقعة ذاتياً تظهر ضمن المدخلات في قاعدة بيانات الشهادات (انظر خيار الضبط \fBdatabase\fP)، وتستخدم نفس عداد الأرقام التسلسلية مثل جميع الشهادات الأخرى الموقعة بالشهادة الموقعة ذاتياً. .IP \fB\-notext\fP 4 .IX عنصر \-notext لا تخرج الصيغة النصية للشهادة إلى ملف الإخراج. .IP \fB\-dateopt\fP 4 .IX عنصر \-dateopt حدد تنسيق خرج التاريخ. القيم هي: rfc_822 و iso_8601. المبدئي هو rfc_822. .IP "\fB\-startdate\fP \fIتاريخ\fP، \fB\-not_before\fP \fIتاريخ\fP" 4 .IX عنصر "\-startdate تاريخ، \-not_before تاريخ" يسمح هذا بضبط تاريخ البدء صراحةً. تنسيق التاريخ هو YYMMDDHHMMSSZ (نفس هيكل ASN1 UTCTime)، أو YYYYMMDDHHMMSSZ (نفس هيكل ASN1 GeneralizedTime). في كلا التنسيقين، يجب أن تكون الثواني SS والمنطقة الزمنية Z حاضرتين. بدلاً من ذلك، يمكنك أيضاً استخدام "today". .IP "\fB\-enddate\fP \fIتاريخ\fP، \fB\-not_after\fP \fIتاريخ\fP" 4 .IX عنصر "\-enddate تاريخ، \-not_after تاريخ" يسمح هذا بضبط تاريخ انتهاء الصلاحية صراحةً. تنسيق التاريخ هو YYMMDDHHMMSSZ (نفس هيكل ASN1 UTCTime)، أو YYYYMMDDHHMMSSZ (نفس هيكل ASN1 GeneralizedTime). في كلا التنسيقين، يجب أن تكون الثواني SS والمنطقة الزمنية Z حاضرتين. بدلاً من ذلك، يمكنك أيضاً استخدام "today". .Sp يتجاوز هذا خيار \fB\-days\fP. .IP "\fB\-days\fP \fIمعطى\fP" 4 .IX عنصر "\-days معطى" عدد الأيام بدءًا من اليوم لاعتماد الشهادة فيها. .Sp بغض النظر عن الخيار \fB\-not_before\fP، تُحسب الأيام دائمًا بدءًا من اليوم. وعند استخدامه مع الخيار \fB\-not_after\fP/\fB\-startdate\fP، يكون لتاريخ انتهاء الصلاحية الصريح الأولوية. .IP "\fB\-md\fP \fIalg\fP" 4 .IX عنصر "\-md alg" خلاصة الرسالة المراد استخدامها. يمكن استخدام أي خلاصة يدعمها الأمر \fBopenssl\-dgst\fP\|(1). بالنسبة لخوارزميات التوقيع التي لا تدعم الخلاصة (مثل Ed25519 و Ed448)، تُتجاهل أي خلاصة رسالة تُضبط. ينطبق هذا الخيار أيضًا على قوائم إلغاء الشهادات (CRLs). .IP "\fB\-policy\fP \fIمعطى\fP" 4 .IX عنصر "\-policy المعامل" يحدد هذا الخيار "سياسة" سلطة الشهادات (CA) المراد استخدامها. هذا القسم في ملف الإعداد هو الذي يقرر أي الحقول يجب أن تكون إلزامية أو مطابقة لشهادة سلطة الشهادات. راجع قسم \fBتنسيق السياسة\fP لمزيد من المعلومات. .IP \fB\-msie_hack\fP 4 .IX عنصر \-msie_hack هذا خيار مهجور لجعل هذا الأمر يعمل مع إصدارات قديمة جدًا من عنصر تحكم تسجيل الشهادات في متصفح IE المسمى "certenr3". لقد كان يستخدم UniversalStrings لكل شيء تقريبًا. ونظرًا لأن عنصر التحكم القديم به ثغرات أمنية متنوعة، فإن استخدامه غير محبذ بشدة. .IP \fB\-preserveDN\fP 4 .IX عنصر \-preserveDN عادةً ما يكون ترتيب الاسم المميز (DN) للشهادة هو نفس ترتيب الحقول في قسم السياسة ذي الصلة. عند ضبط هذا الخيار، يكون الترتيب هو نفسه الموجود في الطلب. يستخدم هذا إلى حد كبير للتوافق مع عنصر تحكم تسجيل IE القديم الذي لا يقبل الشهادات إلا إذا كانت أسماؤها المميزة تطابق ترتيب الطلب. هذا ليس مطلوبًا لـ Xenroll. .IP \fB\-noemailDN\fP 4 .IX عنصر \-noemailDN يمكن أن يحتوي الاسم المميز (DN) للشهادة على حقل البريد الإلكتروني (EMAIL) إذا وجد في الاسم المميز للطلب، ومع ذلك، فمن السياسات الجيدة ضبط البريد الإلكتروني في امتداد altName للشهادة فقط. عند ضبط هذا الخيار، يُزال حقل EMAIL من موضوع الشهادة ويُضبط فقط في الامتدادات، إن وجدت. يمكن استخدام الكلمة المفتاحية \fBemail_in_dn\fP في ملف الإعداد لتفعيل هذا السلوك. .IP \fB\-batch\fP 4 .IX عنصر \-batch يضبط هذا وضع الدفعة. في هذا الوضع لن تُطرح أي أسئلة وستُعتمد جميع الشهادات آليًا. .IP "\fB\-extensions\fP \fIالقسم\fP" 4 .IX عنصر "\-extensions قسم" قسم ملف الإعداد الذي يحتوي على امتدادات الشهادة المراد إضافتها عند إصدار الشهادة (يُستخدم \fBx509_extensions\fP مبدئيًا ما لم يُستخدم الخيار \fB\-extfile\fP). .Sp انظر صفحة الدليل \fBx509v3_config\fP\|(5) لتفاصيل تنسيق قسم الامتداد. .IP "\fB\-extfile\fP \fIملف\fP" 4 .IX عنصر "\-extfile ملف" ملف إعداد إضافي لقراءة امتدادات الشهادة منه (باستخدام القسم المبدئي ما لم يُستخدم خيار \fB\-extensions\fP أيضًا). .IP "\fB\-subj\fP \fIمعطى\fP" 4 .IX عنصر "\-subj المعامل" يحل محل اسم الموضوع المعطى في الطلب. .Sp يجب تنسيق المعطى كـ \f(CW\*(C`/type0=value0/type1=value1/type2=...\*(C'\fP. يمكن الهروب من المحارف الخاصة باستخدام \f(CW\*(C`\e\*(C'\fP (الشرطة المائلة الخلفية)، وتُحفظ المسافات البيضاء. القيم الفارغة مسموح بها، لكن النوع المقابل لن يُدرج في الشهادة الناتجة. إعطاء \f(CW\*(C`/\*(C'\fP مفردة سيؤدي إلى تسلسل فارغ من الأسماء المميزة النسبية (NULL\-DN). يمكن تشكيل الأسماء المميزة النسبية متعددة القيم بوضع محرف \f(CW\*(C`+\*(C'\fP بدلًا من \f(CW\*(C`/\*(C'\fP بين تأكيدات قيم السمات (AVAs) التي تحدد أعضاء المجموعة. مثال: .Sp \&\f(CW\*(C`/DC=org/DC=OpenSSL/DC=users/UID=123456+CN=John Doe\*(C'\fP .IP \fB\-utf8\fP 4 .IX عنصر \-utf8 يؤدي هذا الخيار إلى تفسير قيم الحقول كسلاسل UTF8، بينما تُفسر مبدئيًا كـ ASCII. هذا يعني أن قيم الحقول، سواء طُلبت من طرفية أو حُصل عليها من ملف إعداد، يجب أن تكون سلاسل UTF8 صالحة. .IP \fB\-create_serial\fP 4 .IX عنصر \-create_serial إذا فشلت قراءة الرقم التسلسلي من ملف النص كما هو محدد في الإعداد، فإن تحديد هذا الخيار ينشئ رقمًا تسلسليًا عشوائيًا جديدًا ليُستخدم كرقم تسلسلي تالٍ. للحصول على أرقام تسلسلية عشوائية، استخدم علامة \fB\-rand_serial\fP بدلًا من ذلك؛ يجب استخدام هذا الخيار فقط لاسترداد الأخطاء البسيطة. .IP \fB\-rand_serial\fP 4 .IX عنصر \-rand_serial توليد رقم عشوائي كبير لاستخدامه كرقم تسلسلي. يتجاوز هذا أي خيار أو إعداد لاستخدام ملف أرقام تسلسلية. .IP \fB\-multivalue\-rdn\fP 4 .IX عنصر \-multivalue\-rdn هذا الخيار مهجور وليس له أي تأثير. .IP "\fB\-rand\fP \fIfiles\fP، \fB\-writerand\fP \fIfile\fP" 4 .IX عنصر "\-rand ملفات، \-writerand ملف" انظر "خيارات الحالة العشوائية" في \fBopenssl\fP\|(1) لمزيد من التفاصيل. .IP "\fB\-engine\fP \fIid\fP" 4 .IX عنصر "\-engine id" انظر "خيارات المحرك" في \fBopenssl\fP\|(1). هذا الخيار مهجور. .IP "\fB\-provider\fP \fIname\fP" 4 .IX عنصر "\-provider الاسم" .PD 0 .IP "\fB\-provider\-path\fP \fIpath\fP" 4 .IX عنصر "\-provider\-path المسار" .IP "\fB\-provparam\fP \fI[name:]key=value\fP" 4 .IX عنصر "\-provparam [الاسم:]المفتاح=القيمة" .IP "\fB\-propquery\fP \fIpropq\fP" 4 .IX عنصر "\-propquery propq" .PD انظر "خيارات المزود" في \fBopenssl\fP\|(1)، و \fBprovider\fP\|(7)، و \fBproperty\fP\|(7). .SH "خيارات قائمة إلغاء الشهادات (CRL)" .IX الترويسة "خيارات قائمة إلغاء الشهادات (CRL)" .IP \fB\-gencrl\fP 4 .IX عنصر \-gencrl يولد هذا الخيار قائمة إلغاء شهادات بناءً على المعلومات الموجودة في ملف الفهرس. .IP "\fB\-crl_lastupdate\fP \fIالوقت\fP" 4 .IX عنصر "\-crl_lastupdate الوقت" يسمح بضبط قيمة حقل lastUpdate لقائمة إلغاء الشهادات بشكل صريح؛ إذا لم يكن هذا الخيار موجودًا، يُستخدم الوقت الحالي. يقبل الأوقات بتنسيق YYMMDDHHMMSSZ (مثل بنية ASN1 UTCTime) أو بتنسيق YYYYMMDDHHMMSSZ (مثل بنية ASN1 GeneralizedTime). .IP "\fB\-crl_nextupdate\fP \fIالوقت\fP" 4 .IX عنصر "\-crl_nextupdate الوقت" يسمح بضبط قيمة حقل nextUpdate لقائمة إلغاء الشهادات بشكل صريح؛ إذا كان هذا الخيار موجودًا، تُتجاهل أي قيم معطاة لـ \fB\-crldays\fP و \fB\-crlhours\fP و \fB\-crlsec\fP. يقبل الأوقات بنفس التنسيقات كـ \&\fB\-crl_lastupdate\fP. .IP "\fB\-crldays\fP \fInum\fP" 4 .IX عنصر "\-crldays num" عدد الأيام قبل استحقاق قائمة إلغاء الشهادات التالية. أي عدد الأيام من الآن لوضعها في حقل nextUpdate للقائمة. .IP "\fB\-crlhours\fP \fInum\fP" 4 .IX عنصر "\-crlhours num" عدد الساعات قبل استحقاق قائمة إلغاء الشهادات التالية. .IP "\fB\-crlsec\fP \fInum\fP" 4 .IX عنصر "\-crlsec num" عدد الثواني قبل استحقاق قائمة إلغاء الشهادات التالية. .IP "\fB\-revoke\fP \fIاسم_الملف\fP" 4 .IX عنصر "\-revoke اسم_الملف" اسم ملف يحتوي على شهادة لإلغائها. .IP "\fB\-valid\fP \fIاسم_الملف\fP" 4 .IX عنصر "\-valid اسم_الملف" اسم ملف يحتوي على شهادة لإضافة مدخلة شهادة صالحة. .IP "\fB\-status\fP \fIالرقم_التسلسلي\fP" 4 .IX عنصر "\-status الرقم_التسلسلي" يعرض حالة إلغاء الشهادة ذات الرقم التسلسلي المحدد ثم يخرج. .IP \fB\-updatedb\fP 4 .IX عنصر \-updatedb يحدّث فهرس قاعدة البيانات لتطهير الشهادات منتهية الصلاحية. .IP "\fB\-crl_reason\fP \fIالسبب\fP" 4 .IX عنصر "\-crl_reason السبب" سبب الإلغاء، حيث يكون \fIالسبب\fP أحد ما يلي: \fBunspecified\fP (غير محدد)، أو \fBkeyCompromise\fP (اختراق المفتاح)، أو \&\fBCACompromise\fP (اختراق سلطة الشهادات)، أو \fBaffiliationChanged\fP (تغير التبعية)، أو \fBsuperseded\fP (مستبدلة)، أو \fBcessationOfOperation\fP (توقف التشغيل)، أو \&\fBcertificateHold\fP (تعليق الشهادة) أو \fBremoveFromCRL\fP (إزالة من القائمة). لا تفرق مطابقة \fIالسبب\fP بين حالة الأحرف. ضبط أي سبب إلغاء سيجعل القائمة من الإصدار الثاني (v2). .Sp من الناحية العملية، الخيار \fBremoveFromCRL\fP ليس مفيدًا بشكل خاص لأنه يُستخدم فقط في قوائم إلغاء الشهادات الفرعية (delta CRLs) غير المنفذة حاليًا. .IP "\fB\-crl_hold\fP \fIالتعليمات\fP" 4 .IX عنصر "\-crl_hold التعليمات" يضبط هذا رمز سبب إلغاء القائمة إلى \fBcertificateHold\fP وتعليمات التعليق إلى \fIالتعليمات\fP التي يجب أن تكون معرف غرض (OID). ورغم إمكانية استخدام أي معرف غرض، إلا أنه عادةً ما تُستخدم \fBholdInstructionNone\fP (التي هُجر استخدامها في RFC 5280)، أو \&\fBholdInstructionCallIssuer\fP أو \fBholdInstructionReject\fP فقط. .IP "\fB\-crl_compromise\fP \fIالوقت\fP" 4 .IX عنصر "\-crl_compromise الوقت" يضبط هذا سبب الإلغاء إلى \fBkeyCompromise\fP ووقت الاختراق إلى \&\fIالوقت\fP. يجب أن يكون \fIالوقت\fP بتنسيق GeneralizedTime وهو \fIYYYYMMDDHHMMSSZ\fP. .IP "\fB\-crl_CA_compromise\fP \fIالوقت\fP" 4 .IX عنصر "\-crl_CA_compromise الوقت" هذا الخيار مماثل لـ \fBcrl_compromise\fP باستثناء أن سبب الإبطال يُضبط على \&\fBCACompromise\fP. .IP "\fB\-crlexts\fP \fIالقسم\fP" 4 .IX عنصر "\-crlexts القسم" قسم ملف الضبط الذي يحتوي على امتدادات CRL المُراد تضمينها. إذا لم يوجد قسم لامتدادات CRL، تُنشأ قائمة CRL بالإصدار V1، أما إذا وجد قسم الامتدادات (حتى لو كان فارغاً) فتُنشأ قائمة CRL بالإصدار V2. امتدادات CRL المحددة هي امتدادات CRL و \fBليست\fP امتدادات لمداخل CRL. تجدر الإشارة إلى أن بعض البرمجيات (مثل Netscape) لا تستطيع التعامل مع قوائم CRL بالإصدار V2. انظر صفحة الدليل \&\fBx509v3_config\fP\|(5) لتفاصيل حول تنسيق قسم الامتدادات. .SH "خيارات ملف الضبط" .IX الترويسة "خيارات ملف الضبط" يُعثر على قسم ملف الضبط الذي يحتوي على خيارات هذا الأمر كالتالي: إذا استُخدم خيار سطر الأوامر \fB\-name\fP، فإنه يسمي القسم المُراد استخدامه. خلاف ذلك، يجب تسمية القسم المُراد استخدامه في خيار \fBdefault_ca\fP ضمن قسم \fBca\fP في ملف الضبط (أو في القسم المبدئي لملف الضبط). بالإضافة إلى \fBdefault_ca\fP، تُقرأ الخيارات التالية مباشرة من قسم \fBca\fP: RANDFILE preserve msie_hack باستثناء \fBRANDFILE\fP، يرجح أن يكون هذا خطأ برمجياً وقد يتغير في الإصدارات المستقبلية. .PP تتطابق العديد من خيارات ملف الضبط مع خيارات سطر الأوامر. عندما يتوفر الخيار في كل من ملف الضبط وسطر الأوامر، تُستخدم قيمة سطر الأوامر. عندما يوصف خيار بأنه إلزامي، فيجب أن يتوفر في ملف الضبط أو يُستخدم ما يعادله في سطر الأوامر (إن وجد). .IP \fBoid_file\fP 4 .IX عنصر oid_file يحدد هذا ملفًا يحتوي على \fBمعرفات كائنات\fP إضافية. يجب أن يتكون كل سطر في الملف من الصيغة الرقمية لمعرف الكائن يليه فراغ ثم الاسم القصير يليه فراغ وأخيرًا الاسم الطويل. .IP \fBoid_section\fP 4 .IX عنصر oid_section يحدد هذا قسمًا في ملف الإعداد يحتوي على معرفات كائنات إضافية. يجب أن يتكون كل سطر من الاسم القصير لمعرف الكائن يليه \fB=\fP والصيغة الرقمية. يكون الاسمان القصير والطويل متماثلين عند استخدام هذا الخيار. .IP \fBnew_certs_dir\fP 4 .IX عنصر new_certs_dir مماثل لخيار سطر الأوامر \fB\-outdir\fP. يحدد الدليل الذي ستوضع فيه الشهادات الجديدة. إلزامي. .IP \fBcertificate\fP 4 .IX عنصر certificate مماثل لـ \fB\-cert\fP. يحدد الملف الذي يحتوي على شهادة سلطة التصديق (CA). إلزامي. .IP \fBprivate_key\fP 4 .IX عنصر private_key مماثل لخيار \fB\-keyfile\fP. الملف الذي يحتوي على المفتاح الخاص لسلطة التصديق (CA). إلزامي. .IP \fBRANDFILE\fP 4 .IX عنصر RANDFILE عند البدء، يُحمّل الملف المحدد في مولد الأرقام العشوائية، وعند الخروج تُكتب 256 بايتاً فيه. (ملاحظة: استخدام RANDFILE لم يعد ضرورياً، انظر قسم "HISTORY". .IP \fBdefault_days\fP 4 .IX عنصر default_days مماثل لخيار \fB\-days\fP. عدد الأيام بدءاً من اليوم التي تظل فيها الشهادة صالحة. .IP \fBdefault_startdate\fP 4 .IX عنصر default_startdate مماثل لخيار \fB\-startdate\fP. تاريخ البدء لاعتماد الشهادة. إذا لم يُضبط، يُستخدم الوقت الحالي. .IP \fBdefault_enddate\fP 4 .IX عنصر default_enddate مماثل لخيار \fB\-enddate\fP. يجب توفر هذا الخيار أو خيار \&\fBdefault_days\fP (أو ما يعادلهما في سطر الأوامر). .IP "\fBdefault_crl_hours default_crl_days\fP" 4 .IX عنصر "default_crl_hours default_crl_days" مماثل لخياري \fB\-crlhours\fP و \fB\-crldays\fP. لن تُستخدم هذه الخيارات إلا إذا لم يوجد أي منهما في سطر الأوامر. يجب توفر واحد منها على الأقل لإنشاء قائمة CRL. .IP \fBdefault_md\fP 4 .IX عنصر default_md مماثل لخيار \fB\-md\fP. إلزامي إلا إذا كانت خوارزمية التوقيع لا تتطلب ملخصاً (مثل Ed25519 و Ed448). .IP \fBdatabase\fP 4 .IX عنصر database ملف قاعدة البيانات النصي المُراد استخدامه. إلزامي. يجب أن يكون هذا الملف موجوداً رغم أنه سيكون فارغاً في البداية. .IP \fBunique_subject\fP 4 .IX عنصر unique_subject إذا أُعطيت القيمة \fByes\fP، فيجب أن تمتلك مداخل الشهادات الصالحة في قاعدة البيانات مواضيع فريدة. أما إذا أُعطيت القيمة \fBno\fP، فيمكن لعدة مداخل شهادات صالحة أن تمتلك نفس الموضوع تماماً. القيمة المبدئية هي \fByes\fP، للتوافق مع إصدارات OpenSSL القديمة (ما قبل 0.9.8). ومع ذلك، لتسهيل عملية تجديد شهادة سلطة التصديق، يوصى باستخدام القيمة \fBno\fP، خاصة إذا اقترنت بخيار سطر الأوامر \fB\-selfsign\fP. .Sp لاحظ أنه من المشروع في بعض الظروف إنشاء شهادات بدون أي موضوع. وفي حال وجود شهادات متعددة بدون مواضيع، لا يُعتبر ذلك تكراراً. .IP \fBserial\fP 4 .IX عنصر serial ملف نصي يحتوي على الرقم التسلسلي التالي المُراد استخدامه بالتمثيل الست عشري. إلزامي. يجب أن يكون هذا الملف موجوداً ويحتوي على رقم تسلسلي صالح. .IP \fBcrlnumber\fP 4 .IX عنصر crlnumber ملف نصي يحتوي على رقم CRL التالي المُراد استخدامه بالتمثيل الست عشري. سيُدرج رقم CRL في قوائم CRL فقط إذا كان هذا الملف موجوداً. إذا وُجد الملف، فيجب أن يحتوي على رقم CRL صالح. .IP \fBx509_extensions\fP 4 .IX عنصر x509_extensions بديل احتياطي لخيار \fB\-extensions\fP. .IP \fBcrl_extensions\fP 4 .IX عنصر crl_extensions بديل احتياطي لخيار \fB\-crlexts\fP. .IP \fBpreserve\fP 4 .IX عنصر preserve مماثل لـ \fB\-preserveDN\fP .IP \fBemail_in_dn\fP 4 .IX عنصر email_in_dn مماثل لـ \fB\-noemailDN\fP. إذا كنت ترغب في إزالة حقل البريد الإلكتروني (EMAIL) من الاسم المميز (DN) للشهادة، فما عليك سوى ضبط هذا الخيار على \*(Aqno\*(Aq. في حال عدم توفره، فإن الإجراء المبدئي هو السماح بحقل البريد الإلكتروني في الاسم المميز للشهادة. .IP \fBmsie_hack\fP 4 .IX عنصر msie_hack مماثل لـ \fB\-msie_hack\fP .IP \fBpolicy\fP 4 .IX عنصر policy مماثل لـ \fB\-policy\fP. إلزامي. انظر قسم \fBPOLICY FORMAT\fP لمزيد من المعلومات. .IP "\fBname_opt\fP, \fBcert_opt\fP" 4 .IX عنصر "name_opt, cert_opt" تسمح هذه الخيارات بتحديد التنسيق المستخدم لعرض تفاصيل الشهادة عند طلب تأكيد التوقيع من المستخدم. يمكن استخدام جميع الخيارات التي تدعمها أدوات \fBx509\fP عبر مفتاحي \fB\-nameopt\fP و \fB\-certopt\fP هنا، باستثناء \fBno_signame\fP و \fBno_sigdump\fP فهما مضبوطان بشكل دائم ولا يمكن تعطيلهما (وذلك لأنه لا يمكن عرض توقيع الشهادة لكونها لم تُوقع بعد في هذه المرحلة). .Sp للتيسير، تُقبل قيم \fBca_default\fP في كليهما لإنتاج مخرجات معقولة. .Sp إذا لم يتوفر أي من الخيارين، يُستخدم التنسيق الذي كان متبعاً في إصدارات OpenSSL السابقة. يُنصح \fBبشدة\fP بعدم استخدام التنسيق القديم لأنه لا يعرض إلا الحقول المذكورة في قسم \fBpolicy\fP، كما أنه يسيء التعامل مع أنواع السلاسل متعددة المحارف ولا يعرض الامتدادات. .IP \fBcopy_extensions\fP 4 .IX عنصر copy_extensions يحدد كيفية التعامل مع الامتدادات في طلبات الشهادات. إذا ضُبط على \fBnone\fP أو لم يكن هذا الخيار موجوداً، فتُتجاهل الامتدادات ولا تُنسخ إلى الشهادة. إذا ضُبط على \fBcopy\fP، فتُنسخ أي امتدادات موجودة في الطلب وغير موجودة مسبقاً في الشهادة. أما إذا ضُبط على \fBcopyall\fP، فتُنسخ جميع الامتدادات الموجودة في الطلب إلى الشهادة: وإذا كان الامتداد موجوداً بالفعل في الشهادة، فيُحذف أولاً. راجع قسم \fBWARNINGS\fP قبل استخدام هذا الخيار. .Sp الاستخدام الرئيس لهذا الخيار هو السماح لطلب شهادة بتزويد قيم لبعض الامتدادات مثل subjectAltName. .SH "تنسيق السياسة" .IX الترويسة "تنسيق السياسة" يتكون قسم السياسة من مجموعة من المتغيرات التي تقابل حقول الاسم المميز (DN) للشهادة. إذا كانت القيمة هي "match"، فيجب أن تطابق قيمة الحقل نفس الحقل في شهادة سلطة التصديق (CA). وإذا كانت القيمة هي "supplied"، فيجب أن يكون الحقل موجوداً. وإذا كانت القيمة هي "optional"، فيمكن أن يكون موجوداً. تُحذف أي حقول غير مذكورة في قسم السياسة بصمت، ما لم يُضبط خيار \fB\-preserveDN\fP، ولكن يمكن اعتبار ذلك سلوكاً غريباً أكثر منه مقصوداً. .SH "تنسيق SPKAC" .IX الترويسة "تنسيق SPKAC" المدخل لخيار سطر الأوامر \fB\-spkac\fP هو مفتاح عام وتحدٍّ موقع من Netscape. يأتي هذا عادةً من وسم \fBKEYGEN\fP في نموذج HTML لإنشاء مفتاح خاص جديد. ومع ذلك، من الممكن إنشاء SPKACs باستخدام \fBopenssl\-spkac\fP\|(1). .PP يجب أن يحتوي الملف على متغير SPKAC مضبوطاً على قيمة SPKAC، وكذلك مكونات الاسم المميز (DN) المطلوبة كأزواج من الاسم والقيمة. إذا كنت بحاجة إلى تضمين نفس المكون مرتين، فيمكن أن يسبقه رقم ونقطة \*(Aq.\*(Aq. .PP عند معالجة تنسيق SPKAC، تكون المخرجات بتنسيق DER إذا استُخدمت علامة \fB\-out\fP، ولكنها تكون بتنسيق PEM إذا أُرسلت إلى المخرجات القياسية (stdout) أو استُخدمت علامة \fB\-outdir\fP. .SH أمثلة .IX الترويسة أمثلة ملاحظة: تفترض هذه الأمثلة أن هيكل الدليل الذي يفترضه هذا الأمر قد أُعد مسبقاً وأن الملفات ذات الصلة موجودة بالفعل. يتضمن ذلك عادةً إنشاء شهادة CA ومفتاح خاص باستخدام \&\fBopenssl\-req\fP\|(1)، وملف للرقم التسلسلي وملف فهرس فارغ ووضعهما في الأدلة المناسبة. .PP لاستخدام ملف الضبط النموذجي أدناه، تُنشأ الأدلة \fIdemoCA\fP و \&\fIdemoCA/private\fP و \fIdemoCA/newcerts\fP. وتُنسخ شهادة سلطة التصديق إلى \fIdemoCA/cacert.pem\fP ومفتاحها الخاص إلى \fIdemoCA/private/cakey.pem\fP. ويُنشأ ملف \fIdemoCA/serial\fP يحتوي مثلاً على "01" وملف الفهرس الفارغ \&\fIdemoCA/index.txt\fP. .PP توقيع طلب شهادة: .PP .Vb 1 \& openssl ca \-in req.pem \-out newcert.pem .Ve .PP توقيع طلب شهادة SM2: .PP .Vb 3 \& openssl ca \-in sm2.csr \-out sm2.crt \-md sm3 \e \& \-sigopt "distid:1234567812345678" \e \& \-vfyopt "distid:1234567812345678" .Ve .PP توقيع طلب شهادة باستخدام امتدادات CA: .PP .Vb 1 \& openssl ca \-in req.pem \-extensions v3_ca \-out newcert.pem .Ve .PP إنشاء قائمة CRL .PP .Vb 1 \& openssl ca \-gencrl \-out crl.pem .Ve .PP توقيع عدة طلبات: .PP .Vb 1 \& openssl ca \-infiles req1.pem req2.pem req3.pem .Ve .PP تصديق Netscape SPKAC: .PP .Vb 1 \& openssl ca \-spkac spkac.txt .Ve .PP عينة لملف SPKAC (اقتُطع سطر SPKAC للوضوح): .PP .Vb 5 \& SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5 \& CN=Steve Test \& emailAddress=steve@openssl.org \& 0.OU=OpenSSL Group \& 1.OU=Another Group .Ve .PP عينة لملف تهيئة مع الأقسام ذات الصلة لهذا الأمر: .PP .Vb 2 \& [ ca ] \& default_ca = CA_default # قسم المرجع المبدئي \& \& [ CA_default ] \& \& dir = ./demoCA # المجلد الرئيس \& database = $dir/index.txt # ملف الفهرس. \& new_certs_dir = $dir/newcerts # مجلد الشهادات الجديدة \& \& certificate = $dir/cacert.pem # شهادة المرجع \& serial = $dir/serial # ملف الرقم التسلسلي \& #rand_serial = yes # للأرقام التسلسلية العشوائية \& private_key = $dir/private/cakey.pem# مفتاح المرجع الخاص \& \& default_days = 365 # مدة التصديق \& default_crl_days= 30 # المدة قبل قائمة الإلغاء التالية \& default_md = sha256 # الملخص المستخدم \& \& policy = policy_any # السياسة المبدئية \& email_in_dn = no # لا تضف البريد إلى DN الشهادة \& \& name_opt = ca_default # خيار عرض اسم الموضوع \& cert_opt = ca_default # خيار عرض الشهادة \& copy_extensions = none # لا تنسخ الملحقات من الطلب \& \& [ policy_any ] \& countryName = supplied \& stateOrProvinceName = optional \& organizationName = optional \& organizationalUnitName = optional \& commonName = supplied \& emailAddress = optional .Ve .SH الملفات .IX الترويسة الملفات ملاحظة: يمكن أن يتغير موقع جميع الملفات إما عن طريق خيارات وقت التجميع، أو مدخلات ملف التهيئة، أو متغيرات البيئة، أو خيارات سطر الأوامر. تعكس القيم أدناه القيم المبدئية. .PP .Vb 9 \& /usr/local/ssl/lib/openssl.cnf \- ملف التهيئة الرئيس \& ./demoCA \- مجلد مرجع التصديق الرئيس \& ./demoCA/cacert.pem \- شهادة المرجع \& ./demoCA/private/cakey.pem \- مفتاح المرجع الخاص \& ./demoCA/serial \- ملف الرقم التسلسلي للمرجع \& ./demoCA/serial.old \- ملف النسخة الاحتياطية للرقم التسلسلي \& ./demoCA/index.txt \- ملف قاعدة البيانات النصية للمرجع \& ./demoCA/index.txt.old \- ملف النسخة الاحتياطية لقاعدة البيانات \& ./demoCA/certs \- ملف مخرج الشهادة .Ve .SH قيود .IX الترويسة قيود يعد ملف فهرس قاعدة البيانات النصية جزءًا بالغ الأهمية من العملية وإذا فُسد فقد يصعب إصلاحه. من الممكن نظريًا إعادة بناء ملف الفهرس من جميع الشهادات الصادرة وقائمة إلغاء حالية، ومع ذلك لا يوجد خيار للقيام بذلك. .PP ميزات V2 CRL مثل delta CRLs ليست مدعومة حاليًا. .PP رغم أنه يمكن إدخال ومعالجة عدة طلبات في وقت واحد، إلا أنه لا يمكن تضمين سوى شهادة SPKAC واحدة أو شهادة موقعة ذاتيًا واحدة. .SH العلل .IX الترويسة العلل هذا الأمر غريب الأطوار وغير ودود في بعض الأحيان. .PP قد يسبب استخدام قاعدة بيانات نصية في الذاكرة مشكلات عند وجود أعداد كبيرة من الشهادات، لأنه وكما يوحي الاسم، يجب الاحتفاظ بقاعدة البيانات في الذاكرة. .PP يحتاج هذا الأمر حقًا إلى إعادة كتابة أو إتاحة الوظائف المطلوبة إما على مستوى الأمر أو الواجهة بحيث يمكن لبديل أكثر سهولة في الاستخدام التعامل مع الأمور بشكل صحيح. يساعد نص \fBCA.pl\fP قليلاً ولكن ليس كثيرًا. .PP تُحذف أي حقول في الطلب غير موجودة في السياسة بصمت. لا يحدث هذا إذا استُخدم الخيار \fB\-preserveDN\fP. لفرض غياب حقل البريد الإلكتروني (EMAIL) ضمن DN، كما تقترح وثائق RFC، وبغض النظر عن محتويات موضوع الطلب، يمكن استخدام الخيار \fB\-noemailDN\fP. ينبغي أن يكون السلوك أكثر ودية وقابلية للضبط. .PP قد يؤدي إلغاء بعض الأوامر عن طريق رفض تصديق شهادة إلى إنشاء ملف فارغ. .SH تحذيرات .IX الترويسة تحذيرات كان القصد من هذا الأمر أصلاً أن يكون مثالاً على كيفية القيام بالأمور في مرجع التصديق (CA). كوده ليس بجودة الإنتاج. ولم يكن من المفترض استخدامه كمرجع تصديق كامل بحد ذاته، ومع ذلك يستخدمه بعض الأشخاص لهذا الغرض داخليًا على الأقل. عند القيام بذلك، يجب توخي الحذر الشديد لتأمين المفاتيح الخاصة المستخدمة لتوقيع الشهادات بشكل صحيح. ويُنصح بالاحتفاظ بها في مخزن عتاد آمن مثل بطاقة ذكية أو HSM والوصول إليها عبر محرك مناسب أو موفر تعمية. .PP هذا الأمر هو فعليًا أمر لمستخدم واحد: لا يتم قفل الملفات المختلفة ومحاولات تشغيل أكثر من أمر \fBopenssl ca\fP واحد على نفس قاعدة البيانات يمكن أن تؤدي إلى نتائج غير متوقعة. .PP يجب استخدام خيار \fBcopy_extensions\fP بحذر. إذا لم يُتوخَ الحذر، فقد يشكل ذلك خطرًا أمنيًا. على سبيل المثال، إذا كان طلب الشهادة يحتوي على ملحق basicConstraints مع CA:TRUE وضُبطت قيمة \fBcopy_extensions\fP على \fBcopyall\fP ولم يلاحظ المستخدم ذلك عند عرض الشهادة، فإن هذا سيمنح مقدم الطلب شهادة مرجع تصديق صالحة. يمكن تجنب هذا الموقف بضبط \fBcopy_extensions\fP على \fBcopy\fP وتضمين basicConstraints مع CA:FALSE في ملف التهيئة. ومن ثم إذا احتوى الطلب على ملحق basicConstraints، فسيُتجاهل. .PP يُنصح أيضًا بتضمين قيم للملحقات الأخرى مثل \fBkeyUsage\fP لمنع الطلب من تقديم قيمه الخاصة. .PP يمكن وضع قيود إضافية على شهادة المرجع نفسها. على سبيل المثال إذا كانت شهادة المرجع تحتوي على: .PP .Vb 1 \& basicConstraints = CA:TRUE, pathlen:0 .Ve .PP فحتى لو صُدرت شهادة مع CA:TRUE فإنها لن تكون صالحة. .SH التاريخ .IX الترويسة التاريخ منذ OpenSSL 1.1.1، يتبع البرنامج معيار RFC5280. على وجه التحديد، ستُرمز فترة صلاحية الشهادة (المحددة بواسطة أي من \fB\-startdate\fP و \fB\-enddate\fP و \fB\-days\fP) ووقت التحديث الأخير/التالي لقائمة الإلغاء (المحدد بواسطة أي من \fB\-crl_lastupdate\fP و \fB\-crl_nextupdate\fP و \fB\-crldays\fP و \fB\-crlhours\fP و \fB\-crlsec\fP) بصيغة UTCTime إذا كانت التواريخ أقدم من عام 2049 (بما في ذلك عام 2049)، وبصيغة GeneralizedTime إذا كانت التواريخ في عام 2050 أو ما بعده. .PP قدم OpenSSL 1.1.1 مولدًا عشوائيًا جديدًا (CSPRNG) مع آلية بذر محسنة. تجعل آلية البذر الجديدة من غير الضروري تحديد RANDFILE لحفظ واستعادة العشوائية. جرى الاحتفاظ بهذا الخيار أساسًا لأسباب تتعلق بالتوافق. .PP أُضيف الخيار \fB\-section\fP في OpenSSL 3.0.0. .PP أصبح الخيار \fB\-multivalue\-rdn\fP مهجورًا في OpenSSL 3.0.0 وليس له أي تأثير. .PP خيار \fB\-engine\fP أصبح مهجوراً في OpenSSL 3.0. .PP منذ الإصدار 3.2 من OpenSSL، تحمل الشهادات المُنشأة الإصدار 3 من معيار X.509، وتُدرج ملحقات معرف المفتاح (key identifier extensions) بشكل افتراضي. .SH "انظر أيضًا" .IX الترويسة "انظر أيضًا" \&\fBopenssl\fP\|(1), \&\fBopenssl\-req\fP\|(1), \&\fBopenssl\-spkac\fP\|(1), \&\fBopenssl\-x509\fP\|(1), \&\fBCA.pl\fP\|(1), \&\fBconfig\fP\|(5), \&\fBx509v3_config\fP\|(5) .SH "حقوق النسخ" .IX الترويسة "حقوق النسخ" حقوق النشر 2000\-2025 لمؤلفي مشروع OpenSSL. جميع الحقوق محفوظة. .PP مرخص بموجب رخصة Apache 2.0 (المشار إليها فيما يلي بـ ”الرخصة“). لا يجوز لك استخدام هذا الملف إلا وفقًا لشروط الرخصة. يمكنك الحصول على نسخة منها في الملف LICENSE الموجود في حزمة التوزيع المصدرية أو على الرابط . .PP .SH ترجمة تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي . .PP هذه الترجمة هي وثيقة مجانية؛ راجع .UR https://www.gnu.org/licenses/gpl-3.0.html رخصة جنو العامة الإصدار 3 .UE أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات. .PP إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: .MT kde-l10n-ar@kde.org .ME .