verifyssl - クラウドでオンライン

プログラム：

NAME

verify - 証明書を検証するユーティリティ。

SYNOPSIS

opensslの 確認する [-CAパス ディレクトリにジョブを開始します。] [-CAファイル file] [-目的 目的] [-ポリシー argは]
[-ignore_critical] [-当時の タイムスタンプ] [-check_ss_sig] [-crlfile file] [-crl_download]
[-crl_check] [-crl_check_all] [-policy_check] [-明示的なポリシー] [-inhibit_any]
[-inhibit_map] [-x509_strict] [-extended_crl] [-use_deltas] [-policy_print]
[-no_alt_chains] [-信頼できない file] [-助けて] [-issuer_checks] [-信頼できる file] [-詳細] [-]
【証明書】

DESCRIPTION

この 確認する コマンドは、証明書チェーンを検証します。

COMMAND OPTIONS

-CAパス ディレクトリにジョブを開始します。
信頼できる証明書のディレクトリ。 証明書には、次の形式の名前が必要です。
hash.0 またはこの形式のそれらへのシンボリック リンクがあります (「ハッシュ」はハッシュされた証明書です)
件名: を参照してください -ハッシュ オプションの x509 効用）。 Unix では、 c_rehash
スクリプトは、証明書のディレクトリへのシンボリック リンクを自動的に作成します。

-CAファイル file 信頼できる証明書のファイル。 ファイルには複数の証明書が含まれている必要があります
連結された PEM 形式。
-当時の タイムスタンプ
で指定された時間を使用して検証チェックを実行します タイムスタンプ 現在のシステムではない
時間。 タイムスタンプ 01.01.1970 年 XNUMX 月 XNUMX 日 (UNIX 時間) からの秒数です。

-check_ss_sig
自己署名ルート CA の署名を確認します。 これはデフォルトで無効になっています。
セキュリティは追加されません。

-crlfile file
ロードする XNUMX つ以上の CRL (PEM 形式) を含むファイル。

-crl_download
この証明書の CRL 情報のダウンロードを試みます。

-crl_check
有効な CRL を検索して、エンド エンティティ証明書の有効性を確認します。 もし
有効な CRL が見つからない場合、エラーが発生します。

-信頼できない file
信頼されていない証明書のファイル。 ファイルには、PEM の複数の証明書が含まれている必要があります
連結された形式。

-目的 目的
証明書の使用目的。 このオプションが指定されていない場合、 確認する ないでしょう
チェーン検証中に証明書の目的を考慮してください。 現在受け入れられている用途は
SSLクライアント, SSLサーバー, nsssl サーバー, スミサイン, スミエンクリプト。 見る VERIFY OPERATION
詳細については、セクションを参照してください。

-助けて
使用法のメッセージを印刷します。

-詳細
実行中の操作に関する追加情報を出力します。

-issuer_checks
現在の発行者証明書の検索に関連する診断を印刷します。
証明書。 これは、各候補発行者証明書が拒否された理由を示しています。 の
拒否メッセージの存在自体は、何かが間違っていることを意味するものではありません。 その間
通常の検証プロセスでは、いくつかの拒否が発生する可能性があります。

-ポリシー argは
ポリシー処理を有効にして追加する argは user-initial-policy-set に追加します (RFC5280 を参照)。 の
方針 argは 数値形式のオブジェクト名または OID にすることができます。 この引数が表示される可能性があります
一回以上。

-policy_check
証明書ポリシーの処理を有効にします。

-明示的なポリシー
ポリシー変数 require-explicit-policy を設定します (RFC5280 を参照)。

-inhibit_any
ポリシー変数inhibit-any-policyを設定します(RFC5280を参照)。

-inhibit_map
ポリシー変数inhibit-policy-mappingを設定します(RFC5280を参照)。

-no_alt_chains
証明書チェーンを構築するときに、見つかった最初の証明書チェーンが
信頼されている場合、OpenSSL は代替チェーンを使用できるかどうかを確認し続けます。
信頼されていることがわかりました。 このオプションを使用すると、その動作が抑制されるため、
最初に見つかったチェーンが使用されます。 このオプションを使用すると、動作が強制的に一致します
以前の OpenSSL バージョンのもの。

-信頼できる file
追加の信頼できる証明書のファイル。 ファイルには複数のファイルが含まれている必要があります
連結された PEM 形式の証明書。

-policy_print
ポリシー処理に関連する診断を出力します。

-crl_check
有効な CRL を検索して、エンド エンティティ証明書の有効性を確認します。 もし
有効な CRL が見つからない場合、エラーが発生します。

-crl_check_all
の有効性をチェックします を 有効な検索を試行することにより、チェーン内の証明書
CRL。

-ignore_critical
通常、サポートされていない未処理の重要な拡張機能が存在する場合
OpenSSL 証明書が拒否されました (RFC5280 の要求に従って)。 このオプションが設定されている場合
重要な拡張子は無視されます。

-x509_strict
X.509 に厳密に準拠するために、破損に対する非準拠の回避策を無効にします。
証明書。

-extended_crl
間接 CRL や代替 CRL 署名キーなどの拡張 CRL 機能を有効にします。

-use_deltas
Delta CRL のサポートを有効にします。

-check_ss_sig
自己署名ルート CA の署名を確認します。 これはデフォルトで無効になっています。
セキュリティは追加されません。

- 最後のオプションを示します。 これに続くすべての引数は、証明書であると想定されます
ファイル。 これは、最初の証明書ファイル名が -.

証明書
検証する XNUMX つ以上の証明書。 証明書が発行されない場合は、 確認する しようとします
標準入力から証明書を読み取る。 証明書は PEM 形式である必要があります。

VERIFY OPERATION

この 確認する プログラムは、内部 SSL および S/MIME 検証と同じ機能を使用します。
したがって、この説明はこれらのベリファイ操作にも適用されます。

によって実行される検証操作には、決定的な違いが XNUMX つあります。 確認する
プログラム: 通常はエラーが発生した後、可能な限り続行を試みます。
検証操作は最初のエラーで停止します。 これにより、
証明書チェーンが決定されます。

検証操作は、いくつかの個別のステップで構成されます。

最初に、提供された証明書から開始して終了する証明書チェーンが構築されます。
ルート CA で。 チェーン全体を構築できない場合はエラーです。 チェーンが構築されます
現在の証明書の発行者証明書を検索することによって、 証明書がある場合
ルート CA であると見なされる独自の発行者が見つかりました。

「発行者の証明書を検索する」プロセス自体には、いくつかの手順が含まれます。 の
0.9.5a より前のバージョンの OpenSSL サブジェクト名が一致する最初の証明書
現在の証明書の発行者は、発行者の証明書であると想定されていました。 OpenSSL で
0.9.6 以降、サブジェクト名が現在の証明書の発行者名と一致するすべての証明書
証明書は、さらなるテストの対象となります。 関連する機関キー識別子コンポーネント
現在の証明書 (存在する場合) は、サブジェクト キー識別子 (存在する場合) と一致する必要があります。
および候補発行者の発行者とシリアル番号、および keyUsage 拡張
候補の発行者 (存在する場合) は、証明書の署名を許可する必要があります。

検索では、最初に信頼できない証明書のリストを検索し、一致するものが見つからない場合は、
残りのルックアップは、信頼できる証明書からのものです。 ルート CA は常に
信頼できる証明書リスト: 検証する証明書がルート証明書の場合、
信頼できるリストで正確に一致する必要があります。

XNUMX 番目の操作は、すべての信頼されていない証明書の拡張子の一貫性をチェックすることです。
提供された目的で。 もし -目的 オプションが含まれていない場合、チェックは行われません。
提供された証明書または「リーフ」証明書には、提供された証明書と互換性のある拡張機能が必要です。
他のすべての証明書も有効な CA 証明書である必要があります。 正確な
必要な拡張機能については、 CERTIFICATE 延長 のセクション
　 x509 ユーティリティ。

XNUMX 番目の操作は、ルート CA の信頼設定を確認することです。 ルート CA は
提供された目的のために信頼されています。 以前のバージョンの SSLeay および
信頼設定のない OpenSSL 証明書は、すべての目的に対して有効であると見なされます。

最後の操作は、証明書チェーンの有効性を確認することです。 有効期間
現在のシステム時刻と、
証明書。 この時点で、証明書の署名もチェックされます。

すべての操作が正常に完了すると、証明書は有効と見なされます。 もしあれば
操作が失敗した場合、証明書は無効です。

診断

検証操作が失敗した場合、出力メッセージはやや不可解なものになる可能性があります。 一般的な
エラーメッセージの形式は次のとおりです。

server.pem: /C=AU/ST=Queensland/O=CryptSoft Pty Ltd/CN=Test CA (1024 ビット)
深さ 24 のルックアップでエラー 1: 無効な CA 証明書

最初の行には、検証対象の証明書の名前が含まれ、その後にサブジェクトが続きます
証明書の名前。 XNUMX 行目には、エラー番号と深さが含まれます。 の
depth は、問題が検出されたときに検証された証明書の数です。
証明書自体が検証されている場合はゼロ、次に署名した CA の場合は 1
証明書など。 最後に、エラー番号のテキスト バージョンが表示されます。

エラー コードとメッセージの完全なリストを以下に示します。
ヘッダー ファイル x509_vfy.h で定義されているエラー コードの名前 エラー コードの一部
定義されていますが、返されることはありません。これらは「未使用」として記述されています。

0 X509_V_OK: ok
操作は成功しました。

2 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT: できません 〜へ 取得する 発行者 証明書
検索された証明書の発行者証明書が見つかりませんでした。 これは通常
信頼できる証明書のリストが完全ではないことを意味します。

3 X509_V_ERR_UNABLE_TO_GET_CRL: できません 〜へ 取得する 証明書 CRL
証明書の CRL が見つかりませんでした。

4 X509_V_ERR_UNABLE_TO_DECRYPT_CERT_SIGNATURE: できません 〜へ 復号化 証明書の 署名
証明書の署名を解読できませんでした。 これは、実際の署名が
期待値と一致しないというよりは、値を特定できませんでした。
RSA キーに対してのみ意味があります。

5 X509_V_ERR_UNABLE_TO_DECRYPT_CRL_SIGNATURE: できません 〜へ 復号化 CRL 署名
CRL 署名を解読できませんでした: これは、実際の署名値が
期待値と一致しないというよりは、特定できませんでした。 未使用。

6 X509_V_ERR_UNABLE_TO_DECODE_ISSUER_PUBLIC_KEY: できません 〜へ デコード 発行者 公共 キー
証明書 SubjectPublicKeyInfo の公開鍵を読み取ることができませんでした。

7 X509_V_ERR_CERT_SIGNATURE_FAILURE: 証明書 署名 失敗
証明書の署名が無効です。

8 X509_V_ERR_CRL_SIGNATURE_FAILURE: CRL 署名 失敗
証明書の署名が無効です。

9 X509_V_ERR_CERT_NOT_YET_VALID: 証明書 is まだ 有効な
証明書はまだ有効ではありません: notBefore 日付は現在時刻より後です。

10 X509_V_ERR_CERT_HAS_EXPIRED: 証明書 持っています 期限切れの
証明書の有効期限が切れています: つまり、notAfter の日付が現在の時刻より前です。

11 X509_V_ERR_CRL_NOT_YET_VALID: CRL is まだ 有効な
CRL はまだ有効ではありません。

12 X509_V_ERR_CRL_HAS_EXPIRED: CRL 持っています 期限切れの
CRL の有効期限が切れています。

13 X509_V_ERR_ERROR_IN_CERT_NOT_BEFORE_FIELD: 形式でアーカイブしたプロジェクトを保存します． エラー in 証明書の ない前に
フィールド
証明書の notBefore フィールドに無効な時刻が含まれています。

14 X509_V_ERR_ERROR_IN_CERT_NOT_AFTER_FIELD: 形式でアーカイブしたプロジェクトを保存します． エラー in 証明書の notAfter フィールド
証明書の notAfter フィールドに無効な時刻が含まれています。

15 X509_V_ERR_ERROR_IN_CRL_LAST_UPDATE_FIELD: 形式でアーカイブしたプロジェクトを保存します． エラー in CRL 最後の更新 フィールド
CRL の lastUpdate フィールドに無効な時刻が含まれています。

16 X509_V_ERR_ERROR_IN_CRL_NEXT_UPDATE_FIELD: 形式でアーカイブしたプロジェクトを保存します． エラー in CRL 次の更新 フィールド
CRL の nextUpdate フィールドに無効な時刻が含まれています。

17 X509_V_ERR_OUT_OF_MEM: でる of メモリ
メモリを割り当てようとしてエラーが発生しました。 これは決して起こらないはずです。

18 X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT: 自己 署名されました 証明書
渡された証明書は自己署名されており、同じ証明書が
信頼できる証明書のリスト。

19 X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN: 自己 署名されました 証明書 in 証明書 チェーン
信頼されていない証明書を使用して証明書チェーンを構築できますが、ルート
ローカルでは見つかりませんでした。

20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY: できません 〜へ 取得する ローカル 発行者 証明書
発行者証明書が見つかりませんでした: これは、
信頼できない証明書が見つかりません。

21 X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE: できません 〜へ 確認する 　 最初の 証明書
チェーンに証明書が XNUMX つしか含まれていないため、署名を検証できませんでした。
自己署名されていません。

22 X509_V_ERR_CERT_CHAIN_TOO_LONG: 証明書 チェーン あまりに 長い
証明書チェーンの長さが、指定された最大の深さを超えています。 未使用。

23 X509_V_ERR_CERT_REVOKED: 証明書 取り消された
証明書が取り消されました。

24 X509_V_ERR_INVALID_CA: 無効 CA 証明書
CA 証明書が無効です。 CA ではないか、その拡張機能が CA でないかのいずれかです
提供された目的と一致します。

25 X509_V_ERR_PATH_LENGTH_EXCEEDED: path 長さ 制約 超過
basicConstraints パス長パラメーターを超えています。

26 X509_V_ERR_INVALID_PURPOSE: サポートされていない 証明書 目的
提供された証明書は、指定された目的には使用できません。

27 X509_V_ERR_CERT_UNTRUSTED: 証明書 信頼されている
ルート CA は、指定された目的に対して信頼できるものとしてマークされていません。

28 X509_V_ERR_CERT_REJECTED: 証明書 拒否されました
ルート CA は、指定された目的を拒否するようにマークされています。

29 X509_V_ERR_SUBJECT_ISSUER_MISMATCH: テーマ 発行者 ミスマッチ
現在の候補発行者証明書は、サブジェクト名が一致しなかったため拒否されました
現在の証明書の発行者名と一致します。 の場合のみ表示されます。
-issuer_checks オプションが設定されています。

30 X509_V_ERR_AKID_SKID_MISMATCH: 権威 と テーマ キー 識別子 ミスマッチ
サブジェクト キーが原因で、現在の候補発行者証明書が拒否されました
識別子が存在し、現在の機関キー識別子と一致しませんでした
証明書。 の場合のみ表示されます。 -issuer_checks オプションが設定されています。

31 X509_V_ERR_AKID_ISSUER_SERIAL_MISMATCH: 権威 と 発行者 シリアル 数 ミスマッチ
現在の候補発行者証明書は、その発行者名と
シリアル番号が存在し、の権限キー識別子と一致しませんでした
現在の証明書。 の場合のみ表示されます。 -issuer_checks オプションが設定されています。

32 X509_V_ERR_KEYUSAGE_NO_CERTSIGN:キー 使用 ありません include 証明書 署名
keyUsage 拡張子が原因で、現在の候補発行者証明書が拒否されました
証明書の署名を許可しません。

50 X509_V_ERR_APPLICATION_VERIFICATION: アカウント登録 失敗
アプリケーション固有のエラー。 未使用。

onworks.net サービスを使用してオンラインで verifyssl を使用する