Drop redundant and outdated __CYGWIN32__ tests.

[oweals/openssl.git] / doc / apps / pkcs8.pod
diff --git a/doc/apps/pkcs8.pod b/doc/apps/pkcs8.pod

index a56b2dd00204da85c0d0e6874d6dc965cecd9a3d..e946cbdfaf041c25da50fb4f9efdb592b96d7af2 100644 (file)
--- a/doc/apps/pkcs8.pod
+++ b/doc/apps/pkcs8.pod
@@ -14,13 +14,16 @@ B<openssl> B<pkcs8>
  [B<-passin arg>]
  [B<-out filename>]
  [B<-passout arg>]
+[B<-iter count>]
  [B<-noiter>]
  [B<-nocrypt>]
  [B<-nooct>]
  [B<-embed>]
  [B<-nsdb>]
  [B<-v2 alg>]
+[B<-v2prf alg>]
  [B<-v1 alg>]
+[B<-engine id>]
  
  =head1 DESCRIPTION
  
@@ -74,6 +77,12 @@ filename.
  the output file password source. For more information about the format of B<arg>
  see the B<PASS PHRASE ARGUMENTS> section in L<openssl(1)|openssl(1)>.
  
+=item B<-iter count>
+
+When creating new PKCS#8 containers, use a given number of iterations on the password
+in deriving the encryption key for the PKCS#8 output. High values increase the time
+required to brute-force a PKCS#8 container.
+
  =item B<-nocrypt>
  
  PKCS#8 keys generated or input are normally PKCS#8 EncryptedPrivateKeyInfo
@@ -117,11 +126,24 @@ private keys with OpenSSL then this doesn't matter.
  The B<alg> argument is the encryption algorithm to use, valid values include
  B<des>, B<des3> and B<rc2>. It is recommended that B<des3> is used.
  
+=item B<-v2prf alg>
+
+This option sets the PRF algorithm to use with PKCS#5 v2.0. A typical value
+values would be B<hmacWithSHA256>. If this option isn't set then the default
+for the cipher is used or B<hmacWithSHA1> if there is no default.
+
  =item B<-v1 alg>
  
  This option specifies a PKCS#5 v1.5 or PKCS#12 algorithm to use. A complete
  list of possible algorithms is included below.
  
+=item B<-engine id>
+
+specifying an engine (by its unique B<id> string) will cause B<pkcs8>
+to attempt to obtain a functional reference to the specified engine,
+thus initialising it if needed. The engine will then be set as the default
+for all available algorithms.
+
  =back
  
  =head1 NOTES
@@ -187,6 +209,11 @@ DES:
  
   openssl pkcs8 -in key.pem -topk8 -v2 des3 -out enckey.pem
  
+Convert a private from traditional to PKCS#5 v2.0 format using AES with
+256 bits in CBC mode and B<hmacWithSHA256> PRF:
+
+ openssl pkcs8 -in key.pem -topk8 -v2 aes-256-cbc -v2prf hmacWithSHA256 -out enckey.pem
+
  Convert a private key to PKCS#8 using a PKCS#5 1.5 compatible algorithm
  (DES):
  
@@ -204,6 +231,11 @@ Read a DER unencrypted PKCS#8 format private key:
  Convert a private key from any PKCS#8 format to traditional format:
  
   openssl pkcs8 -in pk8.pem -out key.pem
+ 
+Convert a private key to PKCS#8 format, encrypting with AES-256 and with 
+one million iterations of the password:
+
+ openssl pkcs8 -in raw.pem -topk8 -v2 aes-256-cbc -iter 1000000 -out pk8.pem
  
  =head1 STANDARDS