Implement Maximum Fragment Length TLS extension.

[openssl.git] / doc / man1 / ca.pod
diff --git a/doc/man1/ca.pod b/doc/man1/ca.pod

index 26d648e924fbcbd3f48a159c4ca62e5da2ba0998..9c5af4a8913fc9e4275c56719ebfbc0ac9e08cce 100644 (file)
--- a/doc/man1/ca.pod
+++ b/doc/man1/ca.pod
@@ -2,6 +2,7 @@
  
  =head1 NAME
  
+openssl-ca,
  ca - sample minimal CA application
  
  =head1 SYNOPSIS
@@ -51,7 +52,10 @@ B<openssl> B<ca>
  [B<-subj arg>]
  [B<-utf8>]
  [B<-create_serial>]
+[B<-rand_serial>]
  [B<-multivalue-rdn>]
+[B<-rand file...>]
+[B<-writerand file>]
  
  =head1 DESCRIPTION
  
@@ -162,12 +166,16 @@ Don't output the text form of a certificate to the output file.
  =item B<-startdate date>
  
  This allows the start date to be explicitly set. The format of the
-date is YYMMDDHHMMSSZ (the same as an ASN1 UTCTime structure).
+date is YYMMDDHHMMSSZ (the same as an ASN1 UTCTime structure), or
+YYYYMMDDHHMMSSZ (the same as an ASN1 GeneralizedTime structure). In
+both formats, seconds SS and timezone Z must be present.
  
  =item B<-enddate date>
  
  This allows the expiry date to be explicitly set. The format of the
-date is YYMMDDHHMMSSZ (the same as an ASN1 UTCTime structure).
+date is YYMMDDHHMMSSZ (the same as an ASN1 UTCTime structure), or
+YYYYMMDDHHMMSSZ (the same as an ASN1 GeneralizedTime structure). In
+both formats, seconds SS and timezone Z must be present.
  
  =item B<-days arg>
  
@@ -256,6 +264,13 @@ configuration file, must be valid UTF8 strings.
  If reading serial from the text file as specified in the configuration
  fails, specifying this option creates a new random serial to be used as next
  serial number.
+To get random serial numbers, use the B<-rand_serial> flag instead; this
+should only be used for simple error-recovery.
+
+=item B<-rand_serial>
+
+Generate a large random number to use as the serial number.
+This overrides any option or configuration to use a serial number file.
  
  =item B<-multivalue-rdn>
  
@@ -266,6 +281,19 @@ I</DC=org/DC=OpenSSL/DC=users/UID=123456+CN=John Doe>
  
  If -multi-rdn is not used then the UID value is I<123456+CN=John Doe>.
  
+=item B<-rand file...>
+
+A file or files containing random data used to seed the random number
+generator.
+Multiple files can be specified separated by an OS-dependent character.
+The separator is B<;> for MS-Windows, B<,> for OpenVMS, and B<:> for
+all others.
+
+=item [B<-writerand file>]
+
+Writes random data to the specified I<file> upon exit.
+This can be used with a subsequent B<-rand> flag.
+
  =back
  
  =head1 CRL OPTIONS
@@ -397,8 +425,8 @@ CA private key. Mandatory.
  
  =item B<RANDFILE>
  
-A file used to read and write random number seed information, or
-an EGD socket (see L<RAND_egd(3)>).
+At startup the specified file is loaded into the random number generator,
+and at exit 256 bytes will be written to it.
  
  =item B<default_days>
  
@@ -595,6 +623,7 @@ A sample configuration file with the relevant sections for B<ca>:
  
   certificate    = $dir/cacert.pem       # The CA cert
   serial         = $dir/serial           # serial no file
+ #rand_serial    = yes                  # for random serial#'s
   private_key    = $dir/private/cakey.pem# CA private key
   RANDFILE       = $dir/private/.rand    # random number file
  
@@ -701,6 +730,14 @@ For example if the CA certificate has:
  
  then even if a certificate is issued with CA:TRUE it will not be valid.
  
+=head1 HISTORY
+
+Since OpenSSL 1.1.1, the program follows RFC5280. Specifically,
+certificate validity period (specified by any of B<-startdate>,
+B<-enddate> and B<-days>) will be encoded as UTCTime if the dates are
+earlier than year 2049 (included), and as GeneralizedTime if the dates
+are in year 2050 or later.
+
  =head1 SEE ALSO
  
  L<req(1)>, L<spkac(1)>, L<x509(1)>, L<CA.pl(1)>,