Jest to polecenie Verify, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z naszych wielu bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online systemu MAC OS
PROGRAM:
IMIĘ
zweryfikować - Narzędzie do weryfikacji certyfikatów.
STRESZCZENIE
openssl zweryfikować [-Ścieżka CA katalog] [-CAplik filet] [-cel, powód cel] [-polityka arg]
[-ignore_krytyczny] [-o czasie znak czasu] [-check_ss_sig] [-crlplik filet] [-crl_pobierz]
[-crl_check] [-crl_check_all] [-polityka_check] [-wyraźna_polityka] [-hamowanie_dowolnego]
[-hamowanie_mapy] [-x509_strict] [-rozszerzony_crl] [-use_deltas] [-wydruk_polityki]
[-no_alt_chains] [-niezaufany filet] [-Pomoc] [-kontrole_wydawcy] [-zaufany filet] [-gadatliwy] [-]
[certyfikaty]
OPIS
Opona zweryfikować polecenie weryfikuje łańcuchy certyfikatów.
COMMAND OPCJE
-Ścieżka CA katalog
Katalog zaufanych certyfikatów. Certyfikaty powinny mieć nazwy w postaci:
hash.0 lub mają do nich symboliczne dowiązania w tym formularzu („hash” to zaszyfrowany certyfikat
nazwa przedmiotu: zobacz -haszysz opcja x509 pożytek). W systemie Unix c_rehash
skrypt automatycznie utworzy dowiązania symboliczne do katalogu certyfikatów.
-CAplik filet Plik zaufanych certyfikatów. Plik powinien zawierać wiele certyfikatów
w formacie PEM połączonym razem.
-o czasie znak czasu
Wykonaj kontrole walidacyjne w czasie określonym przez znak czasu a nie obecny system
czas. znak czasu to liczba sekund od 01.01.1970 (czas UNIX).
-check_ss_sig
Sprawdź podpis głównego urzędu certyfikacji z podpisem własnym. Jest to domyślnie wyłączone, ponieważ
nie dodaje to żadnego bezpieczeństwa.
-crlplik filet
Plik zawierający jedną lub więcej list CRL (w formacie PEM) do załadowania.
-crl_pobierz
Spróbuj pobrać informacje o liście CRL dla tego certyfikatu.
-crl_check
Sprawdza ważność certyfikatu jednostki końcowej, próbując znaleźć prawidłową listę CRL. Jeśli
Nie można znaleźć prawidłowej listy CRL. Wystąpił błąd.
-niezaufany filet
Plik niezaufanych certyfikatów. Plik powinien zawierać wiele certyfikatów w formacie PEM
formacie połączonym w całość.
-cel, powód cel
Zamierzone zastosowanie certyfikatu. Jeśli ta opcja nie zostanie określona, zweryfikować nie będzie
rozważ cel certyfikatu podczas weryfikacji łańcucha. Obecnie akceptowane zastosowania to
klient ssl, serwer ssl, serwer nsssl, uśmiechnięty, smimeencrypt. Zobacz SPRAWDZENIE OPERACJA
sekcja po więcej informacji.
-Pomoc
Wydrukuj komunikat o użytkowaniu.
-gadatliwy
Wydrukuj dodatkowe informacje o wykonywanych operacjach.
-kontrole_wydawcy
Wydrukuj diagnostykę związaną z wyszukiwaniem certyfikatu wystawcy prądu
certyfikat. To pokazuje, dlaczego każdy certyfikat potencjalnego wystawcy został odrzucony. The
obecność komunikatów o odrzuceniu sama w sobie nie oznacza, że coś jest nie tak; podczas
w normalnym procesie weryfikacji może nastąpić kilka odrzuceń.
-polityka arg
Włącz przetwarzanie zasad i dodaj arg do zestawu zasad użytkownika (patrz RFC5280). The
polityka arg może być nazwą obiektu lub OID w formie numerycznej. Taki argument może się pojawić
więcej niż raz.
-polityka_check
Umożliwia przetwarzanie zasad certyfikatów.
-wyraźna_polityka
Ustaw zmienną zasad require-explicit-policy (zobacz RFC5280).
-hamowanie_dowolnego
Ustaw zmienną zasad blokowania dowolnej polityki (zobacz RFC5280).
-hamowanie_mapy
Ustaw zmienną zasad hamowania-polityki-mapowania (patrz RFC5280).
-no_alt_chains
Podczas budowania łańcucha certyfikatów, jeśli pierwszy znaleziony łańcuch certyfikatów nie istnieje
zaufany, wówczas OpenSSL będzie w dalszym ciągu sprawdzał, czy istnieje alternatywny łańcuch
okazało się, że jest godny zaufania. Dzięki tej opcji to zachowanie jest tłumione, tak że tylko
pierwszy znaleziony łańcuch jest kiedykolwiek używany. Użycie tej opcji wymusi dopasowanie zachowania
z poprzednich wersji OpenSSL.
-zaufany filet
Plik dodatkowych zaufanych certyfikatów. Plik powinien zawierać wiele
certyfikaty w formacie PEM połączone razem.
-wydruk_polityki
Wydrukuj diagnostykę związaną z przetwarzaniem polis.
-crl_check
Sprawdza ważność certyfikatu jednostki końcowej, próbując znaleźć prawidłową listę CRL. Jeśli
Nie można znaleźć prawidłowej listy CRL. Wystąpił błąd.
-crl_check_all
Sprawdza ważność cała kolekcja certyfikaty w łańcuchu, próbując wyszukać ważne
Listy CRL.
-ignore_krytyczny
Zwykle, jeśli obecne jest nieobsługiwane rozszerzenie krytyczne, które nie jest obsługiwane przez
OpenSSL certyfikat zostaje odrzucony (zgodnie z wymaganiami RFC5280). Jeśli ta opcja jest ustawiona
rozszerzenia krytyczne są ignorowane.
-x509_strict
Aby uzyskać ścisłą zgodność z X.509, wyłącz niezgodne obejścia dla uszkodzonych
certyfikaty.
-rozszerzony_crl
Włącz rozszerzone funkcje list CRL, takie jak pośrednie listy CRL i alternatywne klucze podpisywania list CRL.
-use_deltas
Włącz obsługę różnicowych list CRL.
-check_ss_sig
Sprawdź podpis głównego urzędu certyfikacji z podpisem własnym. Jest to domyślnie wyłączone, ponieważ
nie dodaje to żadnego bezpieczeństwa.
- Wskazuje ostatnią opcję. Zakłada się, że wszystkie następujące po nim argumenty są certyfikatami
akta. Jest to przydatne, jeśli nazwa pierwszego pliku certyfikatu zaczyna się od a -.
certyfikaty
Jeden lub więcej certyfikatów do zweryfikowania. Jeżeli nie zostaną wydane żadne zaświadczenia, zweryfikować Spróbuje
aby odczytać certyfikat ze standardowego wejścia. Certyfikaty muszą być w formacie PEM.
SPRAWDZENIE OPERACJA
Opona zweryfikować program wykorzystuje te same funkcje, co wewnętrzna weryfikacja SSL i S/MIME,
dlatego ten opis dotyczy również tych operacji weryfikacji.
Istnieje jedna zasadnicza różnica pomiędzy operacjami weryfikacji wykonywanymi przez zweryfikować
program: gdy tylko jest to możliwe, po wystąpieniu błędu podejmowana jest próba kontynuowania, podczas gdy normalnie
operacja weryfikacji zostanie zatrzymana po pierwszym błędzie. Pozwala to rozwiązać wszystkie problemy z
Łańcuch certyfikatów do ustalenia.
Operacja weryfikacji składa się z kilku oddzielnych kroków.
Najpierw tworzony jest łańcuch certyfikatów, zaczynając od dostarczonego certyfikatu i kończąc
w głównym urzędzie certyfikacji. Błędem jest niemożność zbudowania całego łańcucha. Łańcuch jest zbudowany
w górę, sprawdzając certyfikat wystawcy bieżącego certyfikatu. Jeśli certyfikat jest
znaleziony, który jest jego własnym wystawcą, zakłada się, że jest to główny urząd certyfikacji.
Sam proces „wyszukiwania certyfikatu wystawcy” składa się z kilku etapów. W
wersje OpenSSL starsze niż 0.9.5a pierwszy certyfikat, którego nazwa podmiotu jest zgodna z
Za wystawcę bieżącego certyfikatu uznano wystawcę certyfikatu. W OpenSSL
0.9.6 i nowsze wszystkie certyfikaty, których nazwa podmiotu odpowiada nazwie emitenta bieżącego
certyfikat podlegają dalszym testom. Składniki identyfikatora klucza odpowiedniego organu
bieżącego certyfikatu (jeśli istnieje) musi odpowiadać identyfikatorowi klucza podmiotu (jeśli istnieje)
oraz wydawcę i numer seryjny potencjalnego wystawcy, dodatkowo rozszerzenie keyUsage
kandydata na wystawcę (jeśli jest obecny) musi zezwolić na podpisanie certyfikatu.
Wyszukiwanie najpierw sprawdza listę niezaufanych certyfikatów i jeśli nie zostanie znalezione żadne dopasowanie
pozostałe wyszukiwania pochodzą z zaufanych certyfikatów. Główny urząd certyfikacji jest zawsze sprawdzany
lista zaufanych certyfikatów: jeśli certyfikat do sprawdzenia jest certyfikatem głównym, to:
dokładne dopasowanie musi zostać znalezione na liście zaufanych.
Druga operacja polega na sprawdzeniu spójności rozszerzeń każdego niezaufanego certyfikatu
z podanym celem. Jeśli -cel, powód opcja nie jest uwzględniona, wówczas nie są przeprowadzane żadne kontrole.
Dostarczony certyfikat lub „liść” musi posiadać rozszerzenia zgodne z dostarczonym
celu, a wszystkie inne certyfikaty muszą być również ważnymi certyfikatami urzędu certyfikacji. Precyzyjny
wymagane rozszerzenia opisano bardziej szczegółowo w CERTYFIKAT ROZSZERZENIA odcinek
dotychczasowy x509 użyteczność.
Trzecia operacja polega na sprawdzeniu ustawień zaufania głównego urzędu certyfikacji. Główny urząd certyfikacji powinien być
zaufany do dostarczonego celu. Aby zapewnić kompatybilność z poprzednimi wersjami SSLeay i
Certyfikat OpenSSL bez ustawień zaufania jest uważany za ważny do wszystkich celów.
Ostatnią operacją jest sprawdzenie ważności łańcucha certyfikatów. Okres ważności
jest porównywany z bieżącym czasem systemowym oraz datami notBefore i notAfter w pliku
certyfikat. W tym miejscu sprawdzane są także podpisy certyfikatów.
Jeśli wszystkie operacje zakończą się pomyślnie, certyfikat uważa się za ważny. Jeśli w ogóle
operacja nie powiedzie się, oznacza to, że certyfikat jest nieważny.
DIAGNOSTYKA
Gdy operacja weryfikacji nie powiedzie się, komunikaty wyjściowe mogą być nieco tajemnicze. Generał
forma komunikatu o błędzie to:
serwer.pem: /C=AU/ST=Queensland/O=CryptSoft Pty Ltd/CN=Test CA (1024 bity)
błąd 24 przy 1 wyszukiwaniu głębokości: nieprawidłowy certyfikat CA
Pierwsza linia zawiera nazwę weryfikowanego certyfikatu, a następnie temat
nazwa certyfikatu. Druga linia zawiera numer błędu i głębokość. The
głębokość to numer certyfikatu weryfikowanego w momencie wykrycia problemu podczas uruchamiania
z zerem dla samego weryfikowanego certyfikatu, a następnie 1 dla urzędu certyfikacji, który podpisał
certyfikat i tak dalej. Na koniec prezentowana jest tekstowa wersja numeru błędu.
Poniżej znajduje się wyczerpująca lista kodów błędów i komunikatów, która obejmuje również:
nazwa kodu błędu zdefiniowana w pliku nagłówkowym x509_vfy.h Niektóre kody błędów
są zdefiniowane, ale nigdy nie są zwracane: są one opisane jako „nieużywane”.
0 X509_V_OK: ok
operacja się udała.
2 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT: niezdolny do otrzymać emitent świadectwo
nie można znaleźć certyfikatu wystawcy wyszukiwanego certyfikatu. To normalnie
oznacza, że lista zaufanych certyfikatów nie jest kompletna.
3 X509_V_ERR_UNABLE_TO_GET_CRL: niezdolny do otrzymać świadectwo C.R.L.
nie można znaleźć listy CRL certyfikatu.
4 X509_V_ERR_UNABLE_TO_DECRYPT_CERT_SIGNATURE: niezdolny do odszyfrować certyfikat podpis
nie można odszyfrować podpisu certyfikatu. Oznacza to, że faktyczny podpis
nie można określić wartości, zamiast odpowiadać wartości oczekiwanej
ma znaczenie tylko dla kluczy RSA.
5 X509_V_ERR_UNABLE_TO_DECRYPT_CRL_SIGNATURE: niezdolny do odszyfrować listy CRL podpis
podpisu listy CRL nie można odszyfrować: oznacza to, że rzeczywista wartość podpisu
nie można było określić, zamiast odpowiadać oczekiwanej wartości. Nie używany.
6 X509_V_ERR_UNABLE_TO_DECODE_ISSUER_PUBLIC_KEY: niezdolny do rozszyfrować emitent publiczny klucz
nie można odczytać klucza publicznego w certyfikacie TematPublicKeyInfo.
7 X509_V_ERR_CERT_SIGNATURE_FAILURE: świadectwo podpis brak
podpis na certyfikacie jest nieważny.
8 X509_V_ERR_CRL_SIGNATURE_FAILURE: C.R.L. podpis brak
podpis na certyfikacie jest nieważny.
9 X509_V_ERR_CERT_NOT_YET_VALID: świadectwo is nie jeszcze ważny
certyfikat nie jest jeszcze ważny: data notBefore jest późniejsza od aktualnej godziny.
10 X509_V_ERR_CERT_HAS_EXPIRED: świadectwo ma wygasł
certyfikat wygasł: czyli data notAfter jest wcześniejsza niż bieżący czas.
11 X509_V_ERR_CRL_NOT_YET_VALID: C.R.L. is nie jeszcze ważny
lista CRL nie jest jeszcze ważna.
12 X509_V_ERR_CRL_HAS_EXPIRED: C.R.L. ma wygasł
lista CRL wygasła.
13 X509_V_ERR_ERROR_IN_CERT_NOT_BEFORE_FIELD: format błąd in certyfikat nie przed
pole
pole certyfikatu notBefore zawiera nieprawidłowy czas.
14 X509_V_ERR_ERROR_IN_CERT_NOT_AFTER_FIELD: format błąd in certyfikat nie później pole
pole certyfikatu notAfter zawiera nieprawidłowy czas.
15 X509_V_ERR_ERROR_IN_CRL_LAST_UPDATE_FIELD: format błąd in listy CRL Ostatnia aktualizacja pole
pole lastUpdate listy CRL zawiera nieprawidłowy czas.
16 X509_V_ERR_ERROR_IN_CRL_NEXT_UPDATE_FIELD: format błąd in listy CRL następnaAktualizacja pole
pole CRL nextUpdate zawiera nieprawidłowy czas.
17 X509_V_ERR_OUT_OF_MEM: na zewnątrz of pamięć
wystąpił błąd podczas próby przydzielenia pamięci. To nigdy nie powinno się zdarzyć.
18 X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT: samego siebie podpisana świadectwo
przekazany certyfikat jest samopodpisany i tego samego certyfikatu nie można znaleźć w pliku
lista zaufanych certyfikatów.
19 X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN: samego siebie podpisana świadectwo in świadectwo łańcuch
łańcuch certyfikatów można zbudować przy użyciu niezaufanych certyfikatów, ale nie katalogu głównego
nie można było znaleźć lokalnie.
20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY: niezdolny do otrzymać miejscowy emitent świadectwo
nie można znaleźć certyfikatu wystawcy: dzieje się tak, jeśli certyfikat wystawcy pliku
Nie można znaleźć niezaufanego certyfikatu.
21 X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE: niezdolny do zweryfikować dotychczasowy drugim świadectwo
nie można było zweryfikować żadnych podpisów, ponieważ łańcuch zawiera tylko jeden certyfikat i to
nie jest podpisany samodzielnie.
22 X509_V_ERR_CERT_CHAIN_TOO_LONG: świadectwo łańcuch także długie
długość łańcucha certyfikatu jest większa niż podana maksymalna głębokość. Nie używany.
23 X509_V_ERR_CERT_REVOKED: świadectwo odwołany
certyfikat został unieważniony.
24 X509_V_ERR_INVALID_CA: nieważny CA świadectwo
certyfikat CA jest nieważny. Albo nie jest to urząd certyfikacji, albo jego rozszerzenia nie
zgodny z dostarczonym przeznaczeniem.
25 X509_V_ERR_PATH_LENGTH_EXCEEDED: ścieżka długość przymus prace
przekroczono parametr długości ścieżki basicConstraints.
26 X509_V_ERR_INVALID_PURPOSE: nieobsługiwane świadectwo cel
dostarczonego certyfikatu nie można używać do określonego celu.
27 X509_V_ERR_CERT_UNTRUSTED: świadectwo nie zaufany
główny urząd certyfikacji nie jest oznaczony jako zaufany w określonym celu.
28 X509_V_ERR_CERT_REJECTED: świadectwo odrzucone
główny urząd certyfikacji jest oznaczony jako odrzucający określony cel.
29 X509_V_ERR_SUBJECT_ISSUER_MISMATCH: przedmiot emitent niedopasowanie
aktualny certyfikat kandydującego na wystawcę został odrzucony, ponieważ jego nazwa podmiotowa tego nie robiła
zgadzać się z nazwą wystawcy bieżącego certyfikatu. Wyświetlane tylko wtedy, gdy
-kontrole_wydawcy opcja jest ustawiona.
30 X509_V_ERR_AKID_SKID_MISMATCH: władza i przedmiot klucz identyfikator niedopasowanie
bieżący certyfikat kandydującego na wystawcę został odrzucony ze względu na klucz podmiotu
identyfikator był obecny i nie był zgodny z bieżącym identyfikatorem klucza urzędu
certyfikat. Wyświetlane tylko wtedy, gdy -kontrole_wydawcy opcja jest ustawiona.
31 X509_V_ERR_AKID_ISSUER_SERIAL_MISMATCH: władza i emitent seryjny numer niedopasowanie
aktualny certyfikat kandydującego na wystawcę został odrzucony, ponieważ jego nazwa wystawcy i
numer seryjny był obecny i nie zgadzał się z identyfikatorem klucza organu
aktualny certyfikat. Wyświetlane tylko wtedy, gdy -kontrole_wydawcy opcja jest ustawiona.
32 X509_V_ERR_KEYUSAGE_NO_CERTSIGN:klucz zwyczaj robi nie zawierać świadectwo podpisywanie
bieżący certyfikat kandydującego na wystawcę został odrzucony ze względu na rozszerzenie keyUsage
nie pozwala na podpisanie certyfikatu.
50 X509_V_ERR_APPLICATION_VERIFICATION: aplikacja weryfikacja brak
błąd specyficzny dla aplikacji. Nie używany.
Skorzystaj z narzędzia Verssl online, korzystając z usług onworks.net
