این دستور x509ssl است که می تواند در ارائه دهنده هاست رایگان OnWorks با استفاده از یکی از چندین ایستگاه کاری آنلاین رایگان ما مانند Ubuntu Online، Fedora Online، شبیه ساز آنلاین ویندوز یا شبیه ساز آنلاین MAC OS اجرا شود.
برنامه:
نام
x509 - ابزار نمایش و امضای گواهی
خلاصه
openssl x509 [-اطلاع دادن DER|PEM|NET] [-خوش ظاهر DER|PEM|NET] [-keyform DER|PEM] [-CAform
DER|PEM] [-CAkeyform DER|PEM] [-که در نام فایل] [بیرون نام فایل] [-سریالی] [-هش]
[-subject_hash] [صادرکننده_هش] [-ocspid] [-موضوع] [-صادر کننده] [-nameopt انتخاب] [-پست الکترونیک]
[-ocsp_uri] [-تاریخ شروع] [-تاریخ پایان] [-هدف] [-تاریخ] [-چک تعداد] [-مدول]
[-pubkey] [-اثر انگشت] [نام مستعار] [-بیرون] [-قابل اعتماد] [-clrtrust] [رد کردن] [-addtrust
ارگ] [-آدرس ارگ] [-ستالیاس ارگ] [-روزها ارگ] [مجموعه_سریال n] [-کلید علامت نام فایل]
[-پاسین ارگ] [-x509toreq] [-قیمت] [-CA نام فایل] [-کی کی نام فایل] [-CAcreateserial]
[-سریال نام فایل] [-force_pubkey کلید] [-متن] [-سرتوپت انتخاب] [-C]
[-md2|-md5|-sha1|-mdc2] [crext] [-extfile نام فایل] [-پسوندها بخش] [-تعارف id]
شرح
La x509 فرمان یک ابزار گواهی چند منظوره است. می توان از آن برای نمایش استفاده کرد
اطلاعات گواهی، تبدیل گواهی به اشکال مختلف، امضای درخواست گواهی
مانند "مینی CA" یا ویرایش تنظیمات اعتماد گواهی.
از آنجایی که تعداد زیادی گزینه وجود دارد، آنها به بخش های مختلفی تقسیم می شوند.
OPTIONS
ورودی ، OUTPUT و عمومی هدف OPTIONS
-اطلاع دادن DER|PEM|NET
این فرمت ورودی را مشخص میکند که معمولاً فرمان یک گواهی X509 را انتظار دارد
اما اگر گزینه های دیگری مانند -قیمت حضور دارند. فرمت DER است
رمزگذاری DER گواهی و PEM کدگذاری پایه 64 رمزگذاری DER است
با خطوط سرصفحه و پاورقی اضافه شده است. گزینه NET یک سرور Netscape مبهم است
قالبی که اکنون منسوخ شده است.
-خوش ظاهر DER|PEM|NET
این فرمت خروجی را مشخص می کند، گزینه ها همان معنی را دارند -اطلاع دادن
گزینه.
-که در نام فایل
این نام فایل ورودی برای خواندن گواهی یا ورودی استاندارد در این صورت را مشخص می کند
گزینه مشخص نشده است
بیرون نام فایل
این نام فایل خروجی برای نوشتن یا خروجی استاندارد را به طور پیش فرض مشخص می کند.
-md2|-md5|-sha1|-mdc2
هضم برای استفاده این روی هر گزینه امضا یا نمایشی که از یک پیام استفاده می کند تأثیر می گذارد
هضم، مانند -اثر انگشت, -کلید علامت و -CA گزینه ها. اگر مشخص نشده است، SHA1
استفاده می شود. اگر کلیدی که برای امضا استفاده می شود یک کلید DSA است، این گزینه هیچ ندارد
اثر: SHA1 همیشه با کلیدهای DSA استفاده می شود.
-تعارف id
تعیین یک موتور (بر اساس منحصر به فرد آن id رشته) باعث خواهد شد x509 تلاش برای به دست آوردن الف
ارجاع عملکردی به موتور مشخص شده، بنابراین در صورت نیاز آن را مقداردهی اولیه می کند. در
سپس موتور به عنوان پیش فرض برای همه الگوریتم های موجود تنظیم می شود.
نمایش دادن OPTIONS
توجه داشته باشید که نام مستعار و -هدف گزینه ها نیز گزینه های نمایش هستند اما در توضیح داده شده اند
اعتماد تنظیمات بخش.
-متن
گواهی را به صورت متنی چاپ می کند. جزئیات کامل خروجی از جمله عمومی است
کلید، الگوریتم امضا، نام صادرکننده و موضوع، شماره سریال هر پسوند
حال و هر گونه تنظیمات اعتماد
-سرتوپت انتخاب
سفارشی کردن فرمت خروجی مورد استفاده با -متن. انتخاب استدلال می تواند تک باشد
گزینه یا چندین گزینه که با کاما از هم جدا شده اند. در -سرتوپت سوئیچ ممکن است نیز باشد
بیش از یک بار برای تنظیم چندین گزینه استفاده شده است. را ببینید TEXT OPTIONS بخش برای بیشتر
اطلاعات.
-بیرون
این گزینه از خروجی نسخه کدگذاری شده درخواست جلوگیری می کند.
-pubkey
بلوک SubjectPublicKeyInfo گواهی را در قالب PEM خروجی می دهد.
-مدول
این گزینه مقدار مدول کلید عمومی موجود در را چاپ می کند
گواهی
-سریالی
شماره سریال گواهی را خروجی می دهد.
-subject_hash
خروجی "هش" نام موضوع گواهی است. این در OpenSSL برای تشکیل یک استفاده می شود
ایندکس اجازه می دهد تا گواهی های موجود در یک دایرکتوری با نام موضوع جستجو شوند.
صادرکننده_هش
خروجی "هش" نام صادرکننده گواهی است.
-ocspid
مقادیر هش OCSP را برای نام موضوع و کلید عمومی خروجی می دهد.
-هش
مترادف "-subject_hash" به دلایل سازگاری با عقب.
-subject_hash_old
خروجی "هش" نام موضوع گواهی را با استفاده از الگوریتم قدیمی تر همانطور که استفاده می شود
توسط نسخه های OpenSSL قبل از 1.0.0.
صادرکننده_هش_قدیمی
خروجی "هش" نام صادرکننده گواهی را با استفاده از الگوریتم قدیمیتر همانطور که توسط استفاده میشود
نسخه های OpenSSL قبل از 1.0.0.
-موضوع
نام موضوع را خروجی می دهد.
-صادر کننده
نام صادر کننده را خروجی می دهد.
-nameopt انتخاب
گزینه ای که نحوه نمایش نام موضوع یا صادرکننده را تعیین می کند. در انتخاب
آرگومان می تواند یک گزینه واحد یا چندین گزینه باشد که با کاما از هم جدا شده اند.
متناوبا -nameopt سوئیچ ممکن است بیش از یک بار برای تنظیم چندین گزینه استفاده شود.
مشاهده نام OPTIONS برای اطلاعات بیشتر بخش
-پست الکترونیک
آدرس(های) ایمیل را در صورت وجود خروجی می دهد.
-ocsp_uri
آدرس(های) پاسخ دهنده OCSP را در صورت وجود خروجی می دهد.
-تاریخ شروع
تاریخ شروع گواهی را چاپ می کند، که تاریخ notBefore است.
-تاریخ پایان
تاریخ انقضای گواهی را چاپ می کند، که تاریخ نه بعد از آن است.
-تاریخ
تاریخ شروع و انقضای یک گواهی را چاپ می کند.
-چک ارگ
بررسی می کند که آیا گواهی در آینده منقضی می شود ارگ ثانیه و خارج از صفر اگر
بله منقضی می شود یا اگر نه صفر می شود.
-اثر انگشت
خلاصه نسخه رمزگذاری شده DER کل گواهی را چاپ می کند (به خلاصه مراجعه کنید
گزینه ها).
-C این گواهی را در قالب یک فایل منبع C خروجی می دهد.
اعتماد تنظیمات
لطفاً توجه داشته باشید که این گزینه ها در حال حاضر آزمایشی هستند و ممکن است تغییر کنند.
A مورد اعتماد گواهی نامه یک گواهی معمولی است که دارای چندین قطعه اضافی است
اطلاعات پیوست شده به آن مانند استفاده های مجاز و ممنوع از گواهی
و یک "نام مستعار".
به طور معمول، زمانی که یک گواهی در حال تایید است، حداقل یک گواهی باید "اعتماد" باشد.
به طور پیش فرض یک گواهی قابل اعتماد باید به صورت محلی ذخیره شود و باید یک CA ریشه باشد: any
سپس زنجیره گواهی که به این CA ختم می شود برای هر هدفی قابل استفاده است.
تنظیمات اعتماد در حال حاضر فقط با CA ریشه استفاده می شود. آنها اجازه می دهند کنترل دقیق تری بر روی
اهدافی که ریشه CA می تواند برای آنها استفاده شود. به عنوان مثال ممکن است یک CA برای سرویس گیرنده SSL قابل اعتماد باشد اما
استفاده از سرور SSL نیست.
توضیحات را ببینید بررسی ابزار برای اطلاعات بیشتر در مورد معنای اعتماد
تنظیمات می پردازیم.
نسخههای آینده OpenSSL تنظیمات اعتماد را در هر گواهی شناسایی میکنند: نه فقط روت
CA.
-قابل اعتماد
این باعث می شود x509 به خروجی a مورد اعتماد گواهی گواهی معمولی یا مورد اعتماد
می تواند ورودی باشد اما به طور پیش فرض یک گواهی معمولی خروجی و هر تنظیمات اعتمادی است
دور ریخته می شوند. با -قابل اعتماد گزینه یک گواهی قابل اعتماد خروجی است. یک مورد اعتماد
در صورت تغییر تنظیمات اعتماد، گواهی به طور خودکار خروجی می شود.
-ستالیاس ارگ
نام مستعار گواهی را تنظیم می کند. این امکان ارجاع گواهی را فراهم می کند
با استفاده از نام مستعار به عنوان مثال "گواهی استیو".
نام مستعار
در صورت وجود، نام مستعار گواهی را خروجی می دهد.
-clrtrust
تمام استفاده های مجاز یا مورد اعتماد گواهی را پاک می کند.
رد کردن
تمام کاربردهای ممنوع یا رد شده گواهی را پاک می کند.
-addtrust ارگ
استفاده از گواهی مطمئن را اضافه می کند. هر نام شی را می توان در اینجا استفاده کرد اما فقط در حال حاضر
clientAuth (استفاده از سرویس گیرنده SSL)، serverAuth (استفاده از سرور SSL) و حفاظت از ایمیل (S/MIME
ایمیل) استفاده می شود. سایر برنامه های OpenSSL ممکن است کاربردهای اضافی را تعریف کنند.
-آدرس ارگ
استفاده ممنوع اضافه می کند. همان مقادیر را می پذیرد -addtrust گزینه.
-هدف
این گزینه تست هایی را روی پسوندهای گواهی انجام می دهد و نتایج را به بیرون می دهد. برای
توضیحات کامل تر را ببینید گواهی حرکات بخش.
امضا کردن OPTIONS
La x509 ابزار می تواند برای امضای گواهی ها و درخواست ها استفاده شود: بنابراین می تواند مانند یک رفتار کند
"مینی CA".
-کلید علامت نام فایل
این گزینه باعث می شود فایل ورودی با استفاده از کلید خصوصی ارائه شده خود امضا شود.
اگر فایل ورودی یک گواهی باشد، نام صادرکننده را با نام موضوع (به عنوان مثال
خود امضا می کند) کلید عمومی را به مقدار عرضه شده تغییر می دهد و تغییر می دهد
تاریخ شروع و پایان تاریخ شروع به زمان فعلی و تاریخ پایان تنظیم شده است
به مقدار تعیین شده توسط -روزها گزینه. هرگونه پسوند گواهی حفظ می شود
مگر اینکه crext گزینه ارائه شده است.
اگر ورودی درخواست گواهی باشد، با استفاده از یک گواهی امضا شده خود ایجاد می شود
کلید خصوصی ارائه شده با استفاده از نام موضوع در درخواست.
-پاسین ارگ
منبع رمز عبور کلیدی برای اطلاعات بیشتر در مورد فرمت ارگ ببینید PASS
عبارت ادله بخش در openssl(1).
crext
هر برنامه افزودنی را از گواهی حذف کنید. این گزینه زمانی استفاده می شود که گواهی باشد
ایجاد شده از گواهی دیگری (به عنوان مثال با -کلید علامت یا -CA
گزینه ها). به طور معمول همه پسوندها حفظ می شوند.
-keyform PEM|DER
فرمت (DER یا PEM) فایل کلید خصوصی مورد استفاده در را مشخص می کند -کلید علامت گزینه.
-روزها ارگ
تعداد روزهای اعتبار گواهی را مشخص می کند. پیش فرض 30 روز است.
-x509toreq
گواهی را به درخواست گواهی تبدیل می کند. در -کلید علامت گزینه برای عبور استفاده می شود
کلید خصوصی مورد نیاز
-قیمت
به طور پیش فرض یک گواهی در ورودی انتظار می رود. با این گزینه درخواست گواهی
در عوض انتظار می رود.
مجموعه_سریال n
شماره سریال مورد استفاده را مشخص می کند. این گزینه را می توان با هر دو استفاده کرد -کلید علامت
or -CA گزینه ها. در صورت استفاده همراه با -CA گزینه فایل شماره سریال (به عنوان
مشخص شده توسط -سریال or -CAcreateserial گزینه ها) استفاده نمی شود.
شماره سریال می تواند اعشاری یا هگزی باشد (اگر قبل از آن باشد 0x). شماره سریال منفی
را نیز می توان مشخص کرد اما استفاده از آنها توصیه نمی شود.
-CA نام فایل
گواهی CA را که برای امضا استفاده می شود را مشخص می کند. زمانی که این گزینه وجود دارد x509
مانند یک "مینی CA" رفتار می کند. فایل ورودی توسط این CA با استفاده از این گزینه امضا می شود: that
نام صادرکننده آن به نام موضوع CA تنظیم شده است و به صورت دیجیتالی امضا شده است
با استفاده از کلید خصوصی CAs
این گزینه معمولاً با -قیمت گزینه. بدون -قیمت گزینه
ورودی گواهی است که باید خود امضا شود.
-کی کی نام فایل
کلید خصوصی CA را برای امضای گواهی تنظیم می کند. اگر این گزینه مشخص نشده باشد
سپس فرض می شود که کلید خصوصی CA در فایل گواهی CA وجود دارد.
-سریال نام فایل
فایل شماره سریال CA را برای استفاده تنظیم می کند.
هنگامی که -CA از گزینه برای امضای گواهی استفاده می شود که از شماره سریال مشخص شده در آن استفاده می کند
یک فایل. این فایل شامل یک خط است که شامل تعداد زوج از ارقام هگز با
شماره سریال برای استفاده پس از هر بار استفاده، شماره سریال افزایش و نوشته می شود
دوباره به فایل
نام فایل پیش فرض شامل نام پایه فایل گواهینامه CA با ".srl" است.
ضمیمه شده است. به عنوان مثال، اگر فایل گواهی CA "mycacert.pem" نامیده شود، انتظار می رود
برای پیدا کردن یک فایل شماره سریال به نام "mycacert.srl".
-CAcreateserial
با این گزینه فایل شماره سریال CA ایجاد می شود در صورتی که وجود نداشته باشد: خواهد بود
حاوی شماره سریال "02" باشد و گواهی امضا شده دارای 1 خواهد بود
شماره سریال. به طور معمول اگر -CA گزینه مشخص شده و فایل شماره سریال انجام می دهد
وجود ندارد این یک خطا است.
-extfile نام فایل
فایل حاوی پسوند گواهی برای استفاده. اگر مشخص نشده باشد، پسوندی وجود ندارد
به گواهی اضافه شد
-پسوندها بخش
بخش اضافه کردن پسوند گواهی از. اگر این گزینه مشخص نیست پس
پسوندها باید یا در بخش بدون نام (پیشفرض) قرار گیرند یا در قسمت
بخش پیش فرض باید حاوی متغیری به نام "extensions" باشد که شامل
بخش برای استفاده را ببینید x509v3_config(5) صفحه دستی برای جزئیات برنامه افزودنی
فرمت بخش
-force_pubkey کلید
هنگامی که یک گواهی ایجاد می شود، کلید عمومی آن را تنظیم کنید کلید به جای کلید در
گواهی یا درخواست گواهی این گزینه برای ایجاد گواهینامه مفید است
که در آن الگوریتم به طور معمول نمی تواند درخواست ها را امضا کند، به عنوان مثال DH.
قالب یا کلید را می توان با استفاده از -keyform گزینه.
نام OPTIONS
La نام انتخاب سوئیچ خط فرمان نحوه نمایش نام موضوع و صادرکننده را تعیین می کند.
اگر نه نام انتخاب سوئیچ موجود است از فرمت پیش فرض "oneline" استفاده شده است که سازگار است
با نسخه های قبلی OpenSSL. هر گزینه به طور مفصل در زیر توضیح داده شده است، همه گزینه ها
می توان قبل از a - برای خاموش کردن گزینه معمولاً فقط چهار مورد اول استفاده خواهند شد.
جمع کردن
از قالب قدیمی استفاده کنید این معادل تعیین هیچ گزینه نامی است.
RFC2253
نام های سازگار با RFC2253 معادل را نشان می دهد esc_2253, esc_ctrl, esc_msb,
utf8, dump_nostr, dump_unknown, dump_der, sep_comma_plus, dn_rev و اسم اسم.
یک خط
فرمت یک خطی که خواناتر از RFC2253 است. معادل مشخص کردن است
la esc_2253, esc_ctrl, esc_msb, utf8, dump_nostr, dump_der, use_quote,
sep_comma_plus_space, space_eq و اسم اسم گزینه.
چند خطی
یک قالب چند خطی معادل است esc_ctrl, esc_msb, sep_multiline, space_eq, نام
و تراز.
esc_2253
فرار از کاراکترهای "ویژه" مورد نیاز RFC2253 در یک فیلد یعنی ,+"<>;.
علاوه بر این # در ابتدای یک رشته و یک کاراکتر فاصله در
ابتدا یا انتهای یک رشته
esc_ctrl
شخصیت های کنترل فرار یعنی آنهایی که مقادیر ASCII کمتر از 0x20 (فضا) دارند و
کاراکتر حذف (0x7f) آنها با استفاده از نماد RFC2253 \XX فرار می کنند (جایی که XX
دو رقم هگزا نشان دهنده مقدار کاراکتر).
esc_msb
کاراکترهای فرار با مجموعه MSB، یعنی با مقادیر ASCII بزرگتر از 127.
use_quote
با احاطه کردن کل رشته با برخی از کاراکترها فرار می کند " شخصیت ها، بدون
گزینه همه فرار با انجام می شود \ شخصیت.
utf8
ابتدا تمام رشته ها را به فرمت UTF8 تبدیل کنید. این مورد نیاز RFC2253 است. اگر شما
به اندازه کافی خوش شانس که یک ترمینال سازگار با UTF8 داشته باشید، از این گزینه استفاده کنید (و نه
محیط esc_msb) ممکن است منجر به نمایش صحیح چند بایت (بین المللی) شود
شخصیت ها. آیا این گزینه وجود ندارد پس کاراکترهای چند بایتی بزرگتر از 0xff هستند
با استفاده از فرمت \UXXXX برای 16 بیت و \WXXXXXXXX برای 32 بیت نمایش داده می شود.
همچنین اگر این گزینه خاموش باشد، هر رشته UTF8 به شکل کاراکتر خود تبدیل می شود
برای اولین بار.
ignore_type
این گزینه به هیچ وجه سعی در تفسیر کاراکترهای چند بایتی ندارد. به این معنا که
اکتتهای محتوایی آنها صرفاً بهگونهای حذف میشوند که گویی یک اکتت نشاندهنده هر کاراکتر است.
این برای اهداف تشخیصی مفید است، اما خروجی ظاهری نسبتاً عجیبی را به همراه خواهد داشت.
نمایش_نوع
نوع رشته کاراکتر ASN1 را نشان می دهد. نوع قبل از محتوای فیلد است. برای
مثال "BMPSTRING: Hello World".
dump_der
هنگامی که این گزینه تنظیم شود، هر فیلدی که نیاز به هگزدامپ دارد، با استفاده از
رمزگذاری DER میدان. در غیر این صورت فقط octet های محتوا نمایش داده می شوند. هر دو
گزینه ها از RFC2253 استفاده می کنند #XXXX... فرمت.
dump_nostr
اگر این گزینه تنظیم نشده باشد، انواع رشته های غیر کاراکتری (به عنوان مثال OCTET STRING) را حذف کنید
سپس انواع رشته های غیر کاراکتری به گونه ای نمایش داده می شوند که گویی هر اکتت محتوا
یک شخصیت واحد را نشان می دهد.
dump_all
همه زمینه ها را تخلیه کنید این گزینه زمانی که با dump_der اجازه می دهد تا رمزگذاری DER از
ساختار بدون ابهام تعیین شود.
dump_unknown
هر فیلدی را که OID آن توسط OpenSSL شناسایی نشده است، تخلیه کنید.
sep_comma_plus, sep_comma_plus_space, sep_semi_plus_space, sep_multiline
این گزینه ها جداکننده های میدان را تعیین می کنند. کاراکتر اول بین RDN ها و
دومی بین چندین AVA (چند AVA بسیار نادر هستند و استفاده از آنها وجود دارد
دلسرد). گزینه هایی که به "space" ختم می شوند، علاوه بر این، یک فاصله بعد از آن قرار می دهند
جداکننده برای خوانایی بیشتر در sep_multiline از یک کاراکتر linefeed برای استفاده می کند
جداکننده RDN و یک فاصله + برای جداکننده AVA همچنین فیلدها را بر اساس فرورفتگی می کند
چهار شخصیت اگر جداکننده فیلد مشخص نشده باشد sep_comma_plus_space استفاده شده است
به صورت پیش فرض.
dn_rev
فیلدهای DN را معکوس کنید. این مورد نیاز RFC2253 است. به عنوان یک عارضه جانبی این نیز
ترتیب چندین AVA را معکوس می کند، اما این مجاز است.
nofname, اسم اسم, نام, گرم
این گزینه ها نحوه نمایش نام فیلد را تغییر می دهند. nofname را نمایش نمی دهد
اصلا میدانی اسم اسم از فرم "نام کوتاه" استفاده می کند (برای مثال CN برای CommonName). نام
از فرم بلند استفاده می کند. گرم OID را به صورت عددی نشان می دهد و برای آن مفید است
هدف تشخیصی
تراز
مقادیر فیلد را برای خروجی خوانا تر تراز کنید. فقط قابل استفاده با sep_multiline.
space_eq
فضاهای اطراف را قرار می دهد = کاراکتری که از نام فیلد پیروی می کند.
TEXT OPTIONS
علاوه بر سفارشی سازی فرمت خروجی نام، امکان سفارشی سازی واقعی نیز وجود دارد
فیلدهای چاپ شده با استفاده از certopt گزینه های زمانی که متن گزینه موجود است به طور پیش فرض
رفتار چاپ تمام فیلدها است.
سازگار
از قالب قدیمی استفاده کنید این معادل مشخص کردن هیچ گزینه خروجی است.
بدون سربرگ
اطلاعات سرصفحه را چاپ نکنید: این خطوطی است که می گوید "گواهی" و "داده".
no_version
شماره نسخه را چاپ نکنید
بدون_سریال
شماره سریال را چاپ نکنید
no_signname
الگوریتم امضای مورد استفاده را چاپ نکنید.
بدون_اعتبار
اعتبار را چاپ نکنید، این همان است قبل از این نه و نه بعد از زمینه ها.
بدون موضوع
نام موضوع را چاپ نکنید
no_ssuer
نام صادرکننده را چاپ نکنید
no_pubkey
کلید عمومی را چاپ نکنید
no_sigdump
امضای گواهینامه را هگزادسیمال ندهید.
no_aux
اطلاعات اعتماد گواهی را چاپ نکنید.
no_extensions
هیچ برنامه افزودنی X509V3 را چاپ نکنید.
ext_default
حفظ رفتار برنامه افزودنی پیش فرض: تلاش برای چاپ گواهی پشتیبانی نشده
پسوند ها
ext_error
یک پیام خطا برای پسوندهای گواهی پشتیبانی نشده چاپ کنید.
ext_parse
ASN1 پسوندهای پشتیبانی نشده را تجزیه می کند.
ext_dump
حذف هگزا پسوندهای پشتیبانی نشده.
ca_default
مقدار استفاده شده توسط ca سودمندی، معادل no_ssuer, no_pubkey, بدون سربرگ,
no_version, no_sigdump و no_signname.
مثال ها
توجه: در این مثال ها '\' به این معنی است که مثال باید همه در یک خط باشد.
نمایش محتویات یک گواهی:
openssl x509 -in cert.pem -noout -text
نمایش شماره سریال گواهی:
openssl x509 -in cert.pem -noout -serial
نمایش نام موضوع گواهی:
openssl x509 -in cert.pem -noout -subject
نمایش نام موضوع گواهی در فرم RFC2253:
openssl x509 -in cert.pem -noout -subject -nameopt RFC2253
نام موضوع گواهی را به صورت یک خط در پایانه ای که از UTF8 پشتیبانی می کند نمایش دهید:
openssl x509 -in cert.pem -noout -subject -nameopt oneline,-esc_msb
نمایش اثر انگشت گواهی MD5:
openssl x509 -in cert.pem -noout -fingerprint
نمایش اثر انگشت گواهی SHA1:
openssl x509 -sha1 -in cert.pem -noout -fingerprint
تبدیل یک گواهی از فرمت PEM به DER:
openssl x509 -in cert.pem -inform PEM -out cert.der -outform DER
تبدیل گواهی به درخواست گواهی:
openssl x509 -x509toreq -in cert.pem -out req.pem -signkey key.pem
یک درخواست گواهی را با استفاده از پسوندهای یک CA به گواهی امضا شده خود تبدیل کنید:
openssl x509 -req -in careq.pem -extfile openssl.cnf -extensions v3_ca \
-signkey key.pem -out cacert.pem
یک درخواست گواهی را با استفاده از گواهی CA در بالا امضا کنید و گواهی کاربر را اضافه کنید
پسوندها:
openssl x509 -req -in req.pem -extfile openssl.cnf -extensions v3_usr \
-CA cacert.pem -CAkey key.pem -CAcreateserial
یک گواهی را برای استفاده از سرویس گیرنده SSL تنظیم کنید و نام مستعار آن را روی "Steve's" تغییر دهید
کلاس 1 CA"
openssl x509 -in cert.pem -addtrust clientAuth \
-setalias "Steve's Class 1 CA" -out trust.pem
NOTES
قالب PEM از خطوط سرصفحه و پاورقی استفاده می کند:
-----شروع گواهی -----
----- گواهی پایان -----
همچنین فایل های حاوی:
-----شروع گواهی X509-----
----- گواهی پایان X509-----
گواهینامه های مورد اعتماد دارای خطوط هستند
-----شروع گواهی مورد اعتماد-----
-----پایان دادن به گواهی مورد اعتماد-----
تبدیل به فرمت UTF8 که با گزینه های نام استفاده می شود، فرض می کند که T61Strings از آن استفاده می کند
مجموعه کاراکتر ISO8859-1. این اشتباه است، اما Netscape و MSIE مانند بسیاری دیگر این کار را انجام می دهند
گواهینامه ها. بنابراین اگر چه این نادرست است، به احتمال زیاد بیشتر نمایش داده می شود
گواهی ها به درستی
La -اثر انگشت گزینه خلاصه گواهی رمزگذاری شده DER را می گیرد. این معمولا
"اثر انگشت" نامیده می شود. به دلیل ماهیت پیام هضم اثر انگشت یک
گواهی منحصر به آن گواهی و دو گواهی با اثر انگشت یکسان است
را می توان یکسان دانست.
اثر انگشت Netscape از MD5 استفاده می کند در حالی که MSIE از SHA1 استفاده می کند.
La -پست الکترونیک گزینه نام موضوع و پسوند نام جایگزین موضوع را جستجو می کند.
فقط آدرسهای ایمیل منحصربهفرد چاپ میشوند: آدرسهای مشابه را بیشتر چاپ نخواهد کرد
بیش از یکبار
گواهی حرکات
La -هدف گزینه پسوندهای گواهی را بررسی می کند و مشخص می کند که گواهی چیست
قابل استفاده برای. بررسی های واقعی انجام شده نسبتاً پیچیده هستند و شامل هک های مختلف و
راهحلهایی برای رسیدگی به گواهیها و نرمافزارهای خراب.
از همین کد هنگام تأیید گواهیهای غیرقابل اعتماد در زنجیرهها استفاده میشود، بنابراین این بخش است
اگر یک زنجیره توسط کد تأیید رد شود مفید است.
پرچم CA الحاقی BasicConstraints برای تعیین اینکه آیا گواهی می تواند باشد یا خیر استفاده می شود
به عنوان CA استفاده می شود. اگر پرچم CA درست باشد، یک CA است، اگر پرچم CA نادرست باشد، آنگاه است
نه یک CA همه CAها باید پرچم CA را روی true تنظیم کنند.
اگر پسوند BasicConstraints وجود نداشته باشد، گواهی به عنوان a در نظر گرفته می شود
"CA ممکن" سایر برنامه های افزودنی مطابق با استفاده مورد نظر بررسی می شوند
گواهی در این مورد هشدار داده می شود زیرا گواهی واقعاً نباید باشد
به عنوان یک CA در نظر گرفته می شود: با این حال مجاز است یک CA باشد تا در اطراف برخی از نرم افزارهای خراب کار کند.
اگر گواهی یک گواهی V1 باشد (و بنابراین هیچ پسوندی ندارد) و خود امضا شده است
همچنین فرض می شود که یک CA است، اما یک هشدار دوباره داده می شود: این برای کار در اطراف است
مشکل ریشه های Verisign که گواهینامه های خود امضا شده V1 هستند.
اگر پسوند keyUsage وجود داشته باشد، محدودیتهای اضافی برای استفاده از آن اعمال میشود
گواهینامه. گواهی CA باید بیت keyCertSign را تنظیم کنید اگر keyUsage باشد
پسوند وجود دارد.
پسوند استفاده از کلید توسعهیافته محدودیتهای بیشتری را برای استفاده از گواهی ایجاد میکند.
اگر این پسوند وجود داشته باشد (چه بحرانی باشد چه نباشد)، کلید فقط برای
اهداف مشخص شده
شرح کامل هر آزمون در زیر آمده است. نظرات در مورد اساسی محدودیت ها
و گواهینامه های keyUsage و V1 در بالا اعمال می شود تمام گواهینامه های CA
SSL مشتری
پسوند استفاده از کلید توسعه یافته باید وجود نداشته باشد یا شامل "مشتری وب
احراز هویت" OID. keyUsage باید وجود نداشته باشد یا باید دارای بیت امضای دیجیتال باشد
تنظیم. نوع گواهی Netscape باید وجود نداشته باشد یا باید بیت کلاینت SSL داشته باشد.
SSL مشتری CA
پسوند استفاده از کلید توسعه یافته باید وجود نداشته باشد یا شامل "مشتری وب
احراز هویت" OID. نوع گواهی Netscape باید وجود نداشته باشد یا باید دارای SSL باشد
مجموعه بیت CA: در صورتی که پسوند BasicConstraints وجود نداشته باشد، از این مجموعه استفاده می شود.
SSL سرور
پسوند استفاده از کلید توسعه یافته باید وجود نداشته باشد یا شامل "وب سرور
احراز هویت" و/یا یکی از OIDهای SGC. keyUsage باید وجود نداشته باشد یا باید داشته باشد
امضای دیجیتال، مجموعه رمزگذاری کلید یا هر دو مجموعه بیت. گواهی نت اسکیپ
نوع باید وجود نداشته باشد یا بیت سرور SSL تنظیم شده باشد.
SSL سرور CA
پسوند استفاده از کلید توسعه یافته باید وجود نداشته باشد یا شامل "وب سرور
احراز هویت" و/یا یکی از OIDهای SGC. نوع گواهی Netscape باید وجود نداشته باشد
یا بیت CA SSL باید تنظیم شود: اگر محدودیت های اساسی وجود داشته باشد، از این بیت استفاده می شود
تمدید وجود ندارد.
نت اسکیپ SSL سرور
برای اتصال کلاینت های Netscape SSL به یک سرور SSL، باید کلید Encipherment را داشته باشد
اگر پسوند keyUsage وجود داشته باشد، بیت را تنظیم کنید. این همیشه معتبر نیست زیرا برخی
مجموعههای رمز از کلید برای امضای دیجیتال استفاده میکنند. در غیر این صورت همان حالت عادی است
سرور SSL.
مشترک S / MIME مشتری تست
پسوند استفاده از کلید توسعه یافته باید وجود نداشته باشد یا شامل OID "محافظت از ایمیل" باشد.
نوع گواهی Netscape باید وجود نداشته باشد یا باید بیت S/MIME تنظیم شده باشد. اگر
بیت S/MIME در نوع گواهی netscape تنظیم نشده است، سپس بیت کلاینت SSL تنظیم شده است
به عنوان یک جایگزین تحمل می شود اما یک هشدار نشان داده می شود: این به این دلیل است که برخی از Verisign
گواهی ها بیت S/MIME را تنظیم نمی کنند.
S / MIME امضا
علاوه بر آزمایشهای رایج کلاینت S/MIME، بیت Signature باید تنظیم شود
پسوند keyUsage وجود دارد.
S / MIME رمزگذاری
علاوه بر آزمایشهای رایج S/MIME، بیت Encipherment باید تنظیم شود
پسوند keyUsage موجود است.
S / MIME CA
پسوند استفاده از کلید توسعه یافته باید وجود نداشته باشد یا شامل OID "محافظت از ایمیل" باشد.
نوع گواهی Netscape باید وجود نداشته باشد یا باید بیت S/MIME CA داشته باشد: این است
در صورتی که پسوند BasicConstraints وجود نداشته باشد، به عنوان راه حلی استفاده می شود.
C.R.L. امضا
پسوند keyUsage باید وجود نداشته باشد یا باید بیت امضای CRL تنظیم شده باشد.
C.R.L. امضا CA
آزمایشات CA معمولی اعمال می شود. به جز در این مورد، پسوند basicConstraints باید باشد
حاضر.
با استفاده از خدمات onworks.net از x509ssl به صورت آنلاین استفاده کنید
