Fixes #9277 with @marek-safar recommendations
[mono-project.git] / man / mozroots.1
blob438f7692beeeea28258eaacf5a5b392a8d82d16b
1 .\" 
2 .\" mozroots man page
3 .\" (C) 2005 Novell, Inc. 
4 .\" Authors:
5 .\"   Miguel de Icaza (miguel@gnu.org)
6 .\"   Sebastien Pouliot  <sebastien@ximian.com>
7 .\"
8 .de Sp \" Vertical space (when we can't use .PP)
9 .if t .sp .5v
10 .if n .sp
12 .TH Mono "MozRoots"
13 .SH NAME
14 mozroots \- Download and import trusted root certificates from Mozilla's LXR into Mono's certificate store
15 .SH SYNOPSIS
16 .PP
17 .B mozroots [--import [--machine] [--sync | --ask | --ask-add | --ask-remove]]
18 .SH DESCRIPTION
19 This program downloads the trusted root certificates from the Mozilla
20 LXR web site into the Mono certificate store.  
21 .PP
22 Mono by default does not ship with any default certificates and allows
23 the user to pick its trusted certificates.  The mozroots command will
24 bring the Mozilla certificates into your local machine. 
25 .SH OPTIONS
26 .TP
27 .I "--import"
28 Import the certificates into the trust store.
29 .TP
30 .I "--sync"
31 Synchronize (add/remove) the trust store with the certificates.
32 Synchronize is useful for new Mono installations (no roots) and for
33 automated updates (no user confirmation for addition or removal).
34 .TP
35 .I "--ask"
36 Always confirm before adding or removing trusted certificates.
37 .B Note:
38 The initial import will likely add about 100 new trusted root
39 certificates into your store. You'll have to answer
40 .B yes
41 to every one of them if this option is specified.
42 .TP
43 .I "--ask-add"
44 Always confirm before adding a new trusted certificate.
45 .B Note:
46 The initial import will likely add about 100 new trusted root
47 certificates into your store. You'll have to answer
48 .B yes
49 to every one of them if this option is specified.
50 .TP
51 .I "--ask-remove"
52 Always confirm before removing an existing trusted certificate.
53 .SH ADVANCED OPTIONS
54 .TP
55 .I "--url url"
56 Specify an alternative URL for downloading the trusted certificates
57 (LXR source format). This should only be useful for testing or if 
58 the Mozilla's LXR web site address is changed. It can also be used
59 to cache a local copy of the LXR file into your local intranet.
60 .TP
61 .I "--file name"
62 Do not download from LXR but use the specified file. This is useful
63 if many computers have to download the same file from the Internet.
64 This way you can keep a local copy on a file server (and minimize
65 network traffic).
66 .TP
67 .I "--pkcs7 name"
68 Export the certificates into a PKCS#7 file. This is useful for 
69 debugging purpose or for re-importing the same list into other 
70 software.
71 .TP
72 .I "--machine"
73 Import the certificate in the machine trust store. The default is to
74 import all trusted root certificates into the current user store.
75 .TP
76 .I "--quiet"
77 Limit console output to errors and confirmations messages. This is
78 useful when scripting.
79 .SH EXAMPLES
80 .PP
81 After the initial Mono installation you'll have no trusted roots 
82 certificates pre-installed. 
83 Neither will you have some root test certificates installed (your own
84 or the ones provided by using 
85 .B setreg
86 ). In this case the simplest thing to do, if you want to trust all 
87 those certificates, is to import and synchronize.
88 .nf
89         $ mozroots --import --sync
90         Mozilla Roots Importer - version 1.1.9.0
91         Download and import trusted root certificates from Mozilla's LXR.
92         Copyright 2002, 2003 Motus Technologies. Copyright 2004-2005 Novell. BSD licensed.
94         Downloading from 'http://lxr.mozilla.org/seamonkey/source/security/nss/lib/ckfw/builtins/certdata.txt'...
95         Importing certificates into user store...
96         93 new root certificates were added to your trust store.
97         Import process completed.
98 .fi
99 .PP
100 If you created some test certificates (e.g. for using SSL/TLS with XSP)
101 and/or if your enterprise requires some additional root certificates
102 (e.g. intranet) then you may want to skip the removal part of the 
103 process. You can do this by asking for a removal confirmation 
104 (--ask-remove option) and answer no when prompted.
106         $ mozroots --import --ask-remove
107         Mozilla Roots Importer - version 1.1.9.0
108         Download and import trusted root certificates from Mozilla's LXR.
109         Copyright 2002, 2003 Motus Technologies. Copyright 2004-2005 Novell. BSD licensed.
111         Downloading from 'http://lxr.mozilla.org/seamonkey/source/security/nss/lib/ckfw/builtins/certdata.txt'...
112         Importing certificates into user store...
113         93 new root certificates were added to your trust store.
114         2 previously trusted certificates were not part of the update.
116         Issuer: CN=Mono Test Root Agency
117         Serial number: 69-B0-E1-4F-88-6E-C7-85-48-0E-74-91-38-76-F4-28
118         Valid from 9/1/2003 11:55:48 AM to 12/31/2039 1:59:59 PM
119         Thumbprint SHA-1: EF-26-C2-28-11-3F-79-ED-9D-EC-3F-3B-D5-7A-26-F2-7C-9F-FA-63
120         Thumbprint MD5:   AE-19-3E-64-36-21-F2-A4-8B-69-38-CA-64-4B-2E-62
121         Are you sure you want to remove this certificate ? no
123 You can still use the synchronize option (--sync) if you have activated
124 the default test roots certificate on your system. They will be removed
125 at the end of the synchronization process but you can quickly add them 
126 back with the
127 .B setreg
128 tool.
130         $ setreg 1 true
133 Another option to ease updates is to synchronize your machine trust store
134 (using the --machine option) and keep your customized (test) certificates
135 in your personal store (or vice versa). Note that every user on this 
136 computer will be trusting all the newly imported certificates.
138         $ mozroots --import --machine --sync
139         Mozilla Roots Importer - version 1.1.9.0
140         Download and import trusted root certificates from Mozilla's LXR.
141         Copyright 2002, 2003 Motus Technologies. Copyright 2004-2005 Novell. BSD licensed.
143         Downloading from 'http://lxr.mozilla.org/seamonkey/source/security/nss/lib/ckfw/builtins/certdata.txt'...
144         Importing certificates into user store...
145         94 new root certificates were added to your trust store.
146         Import process completed.
149 Once the initial import is complete the number of changes (additions or 
150 removals) is generally very low. In this case it makes sense to know 
151 about any changes (i.e. ask for confirmation). No confirmation will be
152 required if no changes are made to your trust store.
154         $ mozroots --import --ask
155         Mozilla Roots Importer - version 1.1.9.0
156         Download and import trusted root certificates from Mozilla's LXR.
157         Copyright 2002, 2003 Motus Technologies. Copyright 2004-2005 Novell. BSD licensed.
159         Downloading from 'http://lxr.mozilla.org/seamonkey/source/security/nss/lib/ckfw/builtins/certdata.txt'...
160         Importing certificates into user store...
161         Import process completed.
163 .SH FILES
165 ~/.config/.mono/certs, /usr/share/.mono/certs
167 Contains Mono certificate stores for users / machine. See the certmgr(1) 
168 manual page for more information on managing certificate stores.
169 .SH COPYRIGHT
170 Copyright (C) 2005 Novell. 
171 .SH MAILING LISTS
172 Mailing lists are listed at the
173 http://www.mono-project.com/community/help/mailing-lists/
174 .SH WEB SITE
175 http://www.mono-project.com
176 .SH SEE ALSO
177 .BR mono(1), certmgr(1). setreg(1)