verifyssl - Online na nuvem

PROGRAMA:

NOME

verificar - utilitário para verificar certificados.

SINOPSE

openssl verificar [-CApath anuário] [-Arquivo CA lima] [-propósito propósito] [-política arg]
[-ignore_critical] [-no tempo timestamp] [-check_ss_sig] [-crlfile lima] [-crl_download]
[-crl_check] [-crl_check_all] [-policy_check] [-explicit_policy] [-inibir_qualquer]
[-inhibit_map] [-x509_strict] [-extended_crl] [-use_deltas] [-policy_print]
[-no_alt_chains] [-não confiável lima] [-Socorro] [-issuer_checks] [-confiado lima] [-verboso] [-]
[certificados]

DESCRIÇÃO

A verificar comando verifica cadeias de certificados.

COMANDO OPÇÕES

-CApath anuário
Um diretório de certificados confiáveis. Os certificados devem ter nomes no formato:
hash.0 ou tem links simbólicos para eles neste formato ("hash "éo certificado com hash
nome do assunto: veja o -cerquilha opção do x509 Utilitário). No Unix, o c_rehash
o script criará automaticamente links simbólicos para um diretório de certificados.

-Arquivo CA lima Um arquivo de certificados confiáveis. O arquivo deve conter vários certificados
no formato PEM concatenados.
-no tempo timestamp
Execute verificações de validação usando o tempo especificado por timestamp e não o sistema atual
tempo. timestamp é o número de segundos desde 01.01.1970/XNUMX/XNUMX (horário UNIX).

-check_ss_sig
Verifique a assinatura na CA raiz autoassinada. Isso é desabilitado por padrão porque
não adiciona nenhuma segurança.

-crlfile lima
Arquivo contendo uma ou mais CRLs (em formato PEM) para carregar.

-crl_download
Tente fazer download das informações de CRL para este certificado.

-crl_check
Verifica a validade do certificado da entidade final tentando pesquisar uma CRL válida. Se um
CRL válido não pode ser encontrado ocorre um erro.

-não confiável lima
Um arquivo de certificados não confiáveis. O arquivo deve conter vários certificados em PEM
formato concatenado.

-propósito propósito
O uso pretendido para o certificado. Se esta opção não for especificada, verificar não vou
considere o propósito do certificado durante a verificação da cadeia. Os usos aceitos atualmente são
cliente SSL, servidor ssl, servidor nsssl, smimsign, smimeencrypt. Veja o VERIFIQUE OPERAÇÃO
seção para mais informações.

-Socorro
Imprima uma mensagem de uso.

-verboso
Imprima informações extras sobre as operações que estão sendo realizadas.

-issuer_checks
Imprimir diagnósticos relativos às pesquisas para o certificado do emissor do atual
certificado. Isso mostra por que cada certificado de emissor candidato foi rejeitado. o
a presença de mensagens de rejeição não significa, por si só, que algo está errado; no decorrer
No processo de verificação normal, várias rejeições podem ocorrer.

-política arg
Habilite o processamento de políticas e adicione arg ao conjunto de políticas inicial do usuário (consulte RFC5280). o
Privacidade arg pode ser um nome de objeto um OID em formato numérico. Este argumento pode aparecer
mais de uma vez.

-policy_check
Ativa o processamento da política de certificado.

-explicit_policy
Defina a variável de política require-explicit-policy (consulte RFC5280).

-inibir_qualquer
Defina a variável de política inibir qualquer política (consulte RFC5280).

-inhibit_map
Defina a variável de política inibir o mapeamento da política (consulte RFC5280).

-no_alt_chains
Ao construir uma cadeia de certificados, se a primeira cadeia de certificados encontrada não for
confiável, o OpenSSL continuará a verificar se uma cadeia alternativa pode ser
descobriu que é confiável. Com esta opção, esse comportamento é suprimido para que apenas o
a primeira corrente encontrada é usada. Usar esta opção forçará o comportamento a corresponder
o das versões anteriores do OpenSSL.

-confiado lima
Um arquivo de certificados confiáveis ​​adicionais. O arquivo deve conter vários
certificados no formato PEM concatenados.

-policy_print
Imprima diagnósticos relacionados ao processamento de políticas.

-crl_check
Verifica a validade do certificado da entidade final tentando pesquisar uma CRL válida. Se um
CRL válido não pode ser encontrado ocorre um erro.

-crl_check_all
Verifica a validade de todos os certificados na cadeia, tentando procurar
CRLs.

-ignore_critical
Normalmente, se uma extensão crítica não tratada estiver presente, a qual não é suportada por
OpenSSL, o certificado é rejeitado (conforme exigido pela RFC5280). Se esta opção estiver definida
extensões críticas são ignoradas.

-x509_strict
Para conformidade estrita com o X.509, desative soluções alternativas não compatíveis para problemas
certificados.

-extended_crl
Habilite recursos de CRL estendidos, como CRLs indiretos e chaves de assinatura de CRL alternativas.

-use_deltas
Ative o suporte para delta CRLs.

-check_ss_sig
Verifique a assinatura na CA raiz autoassinada. Isso é desabilitado por padrão porque
não adiciona nenhuma segurança.

- Indica a última opção. Todos os argumentos seguintes são considerados certificados
arquivos. Isso é útil se o primeiro nome de arquivo do certificado começar com um -.

certificados
Um ou mais certificados para verificar. Se nenhum certificado for fornecido, verificar vai tentar
para ler um certificado da entrada padrão. Os certificados devem estar no formato PEM.

VERIFIQUE OPERAÇÃO

A verificar programa usa as mesmas funções que a verificação interna SSL e S / MIME,
portanto, esta descrição também se aplica a essas operações de verificação.

Há uma diferença crucial entre as operações de verificação realizadas pelo verificar
programa: sempre que possível, é feita uma tentativa de continuar após um erro, enquanto normalmente
a operação de verificação pararia no primeiro erro. Isso permite todos os problemas com um
cadeia de certificados a ser determinada.

A operação de verificação consiste em várias etapas separadas.

Em primeiro lugar, uma cadeia de certificados é construída a partir do certificado fornecido e terminando
na CA raiz. É um erro se toda a cadeia não puder ser construída. A corrente é construída
procurando o certificado do emissor do certificado atual. Se um certificado é
encontrado, que é seu próprio emissor, presume-se que seja a CA raiz.

O próprio processo de 'consulta do certificado do emissor' envolve várias etapas. No
versões do OpenSSL anteriores a 0.9.5a, o primeiro certificado cujo nome do assunto correspondia ao
o emissor do certificado atual foi considerado o certificado do emissor. Em OpenSSL
0.9.6 e posterior todos os certificados cujo nome do assunto corresponda ao nome do emissor do atual
certificado estão sujeitos a testes adicionais. Os componentes relevantes do identificador de chave de autoridade
do certificado atual (se presente) deve corresponder ao identificador de chave do assunto (se presente)
e emissor e número de série do emissor candidato, além da extensão keyUsage
do emissor candidato (se presente) deve permitir a assinatura do certificado.

A pesquisa primeiro examina a lista de certificados não confiáveis ​​e, se nenhuma correspondência for encontrada, o
as pesquisas restantes são de certificados confiáveis. A CA raiz é sempre pesquisada em
a lista de certificados confiáveis: se o certificado a ser verificado for um certificado raiz, então um
a correspondência exata deve ser encontrada na lista confiável.

A segunda operação é verificar a consistência de cada extensão de certificado não confiável
com a finalidade fornecida. Se o -propósito a opção não está incluída, então nenhuma verificação é feita.
O certificado fornecido ou "folha" deve ter extensões compatíveis com o fornecido
finalidade e todos os outros certificados também devem ser certificados CA válidos. O preciso
extensões necessárias são descritas em mais detalhes no EUROPEU EIDAS TLS EXTENSÕES Seção de
da x509 utilidade.

A terceira operação é verificar as configurações de confiança na CA raiz. A CA raiz deve ser
confiável para a finalidade fornecida. Para compatibilidade com versões anteriores de SSLeay e
OpenSSL, um certificado sem configurações de confiança, é considerado válido para todos os fins.

A operação final é verificar a validade da cadeia de certificação. O período de validade
é verificado em relação à hora atual do sistema e as datas notBefore e notAfter no
certificado. As assinaturas de certificado também são verificadas neste ponto.

Se todas as operações forem concluídas com sucesso, o certificado é considerado válido. Caso existam
operação falhar, então o certificado não é válido.

DIAGNÓSTICO

Quando uma operação de verificação falha, as mensagens de saída podem ser um tanto enigmáticas. O general
forma da mensagem de erro é:

server.pem: / C = AU / ST = Queensland / O = CryptSoft Pty Ltd / CN = CA de teste (1024 bits)
erro 24 em 1 pesquisa de profundidade: certificado CA inválido

A primeira linha contém o nome do certificado sendo verificado seguido pelo assunto
nome do certificado. A segunda linha contém o número do erro e a profundidade. o
profundidade é o número do certificado sendo verificado quando um problema foi detectado começando
com zero para o próprio certificado sendo verificado e, em seguida, 1 para a CA que assinou o
certificado e assim por diante. Finalmente, é apresentada uma versão em texto do número do erro.

Uma lista exaustiva dos códigos de erro e mensagens é mostrada abaixo, isso também inclui o
nome do código de erro conforme definido no arquivo de cabeçalho x509_vfy.h Alguns dos códigos de erro
são definidos, mas nunca retornados: são descritos como "não utilizados".

0 X509_V_OK: ok
a operação foi bem sucedida.

2 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT: incapaz para ter emissor certificado
o certificado do emissor de um certificado pesquisado não foi encontrado. Isso normalmente
significa que a lista de certificados confiáveis ​​não está completa.

3 X509_V_ERR_UNABLE_TO_GET_CRL: incapaz para ter certificado CRL
a CRL de um certificado não foi encontrada.

4 X509_V_ERR_UNABLE_TO_DECRYPT_CERT_SIGNATURE: incapaz para descriptografar certificado assinatura
a assinatura do certificado não pôde ser descriptografada. Isso significa que a assinatura real
valor não pôde ser determinado em vez de não corresponder ao valor esperado, este é
significativo apenas para chaves RSA.

5 X509_V_ERR_UNABLE_TO_DECRYPT_CRL_SIGNATURE: incapaz para descriptografar CRL's assinatura
a assinatura CRL não pôde ser descriptografada: isso significa que o valor da assinatura real
não pôde ser determinado em vez de não corresponder ao valor esperado. Não utilizado.

6 X509_V_ERR_UNABLE_TO_DECODE_ISSUER_PUBLIC_KEY: incapaz para decodificar emissor público chave
a chave pública no certificado SubjectPublicKeyInfo não pôde ser lida.

7 X509_V_ERR_CERT_SIGNATURE_FAILURE: certificado assinatura falha
a assinatura do certificado é inválida.

8 X509_V_ERR_CRL_SIGNATURE_FAILURE: CRL assinatura falha
a assinatura do certificado é inválida.

9 X509_V_ERR_CERT_NOT_YET_VALID: certificado is não ainda válido
o certificado ainda não é válido: a data notBefore é posterior à hora atual.

10 X509_V_ERR_CERT_HAS_EXPIRED: certificado tem expirado
o certificado expirou: ou seja, a data notAfter é anterior à hora atual.

11 X509_V_ERR_CRL_NOT_YET_VALID: CRL is não ainda válido
a CRL ainda não é válida.

12 X509_V_ERR_CRL_HAS_EXPIRED: CRL tem expirado
a CRL expirou.

13 X509_V_ERR_ERROR_IN_CERT_NOT_BEFORE_FIELD: formato erro in certificado não antes
campo
o campo notBefore do certificado contém uma hora inválida.

14 X509_V_ERR_ERROR_IN_CERT_NOT_AFTER_FIELD: formato erro in certificado Não após campo
o campo do certificado notAfter contém uma hora inválida.

15 X509_V_ERR_ERROR_IN_CRL_LAST_UPDATE_FIELD: formato erro in CRL's última atualização campo
o campo CRL lastUpdate contém uma hora inválida.

16 X509_V_ERR_ERROR_IN_CRL_NEXT_UPDATE_FIELD: formato erro in CRL's próximaAtualização campo
o campo CRL nextUpdate contém uma hora inválida.

17 X509_V_ERR_OUT_OF_MEM: Fora of memória
ocorreu um erro ao tentar alocar memória. Isso nunca deveria acontecer.

18 X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT: eu assinado certificado
o certificado aprovado é autoassinado e o mesmo certificado não pode ser encontrado no
lista de certificados confiáveis.

19 X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN: eu assinado certificado in certificado cadeia
a cadeia de certificados pode ser construída usando certificados não confiáveis, mas a raiz
não foi encontrado localmente.

20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY: incapaz para ter local emissor certificado
o certificado do emissor não foi encontrado: isso ocorre se o certificado do emissor de um
certificado não confiável não pode ser encontrado.

21 X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE: incapaz para verificar da primeiro certificado
nenhuma assinatura pôde ser verificada porque a cadeia contém apenas um certificado e
não é autoassinado.

22 X509_V_ERR_CERT_CHAIN_TOO_LONG: certificado cadeia também longo
o comprimento da cadeia de certificados é maior do que a profundidade máxima fornecida. Não utilizado.

23 X509_V_ERR_CERT_REVOKED: certificado revogou
o certificado foi revogado.

24 X509_V_ERR_INVALID_CA: inválido CA certificado
um certificado CA é inválido. Ou não é uma CA ou suas extensões não são
consistente com a finalidade fornecida.

25 X509_V_ERR_PATH_LENGTH_EXCEEDED: caminho comprimento restrição excedido
o parâmetro pathlength basicConstraints foi excedido.

26 X509_V_ERR_INVALID_PURPOSE: não suportado certificado propósito
o certificado fornecido não pode ser usado para a finalidade especificada.

27 X509_V_ERR_CERT_UNTRUSTED: certificado não confiável
a CA raiz não está marcada como confiável para a finalidade especificada.

28 X509_V_ERR_CERT_REJECTED: certificado rejeitado
a CA raiz está marcada para rejeitar a finalidade especificada.

29 X509_V_ERR_SUBJECT_ISSUER_MISMATCH: sujeito emissor incompatibilidade
o certificado de emissor candidato atual foi rejeitado porque seu nome de assunto não
corresponder ao nome do emissor do certificado atual. Exibido apenas quando o
-issuer_checks opção está definida.

30 X509_V_ERR_AKID_SKID_MISMATCH: autoridade e sujeito chave identificador incompatibilidade
o certificado de emissor candidato atual foi rejeitado porque sua chave de assunto
identificador estava presente e não correspondia ao identificador de chave de autoridade atual
certificado. Exibido apenas quando o -issuer_checks opção está definida.

31 X509_V_ERR_AKID_ISSUER_SERIAL_MISMATCH: autoridade e emissor serial número incompatibilidade
o certificado de emissor candidato atual foi rejeitado porque seu nome de emissor e
o número de série estava presente e não correspondia ao identificador da chave de autoridade do
certificado atual. Exibido apenas quando o -issuer_checks opção está definida.

32 X509_V_ERR_KEYUSAGE_NO_CERTSIGN: chave uso parece não incluir certificado assinatura
o certificado do emissor candidato atual foi rejeitado porque sua extensão keyUsage
não permite a assinatura do certificado.

50 X509_V_ERR_APPLICATION_VERIFICATION: Formulário on line verificação falha
um erro específico do aplicativo. Não utilizado.

Use verifyssl online usando serviços onworks.net