verifyssl - Online în cloud

Aceasta este comanda verifyssl care poate fi rulată în furnizorul de găzduire gratuit OnWorks folosind una dintre multiplele noastre stații de lucru online gratuite, cum ar fi Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS

PROGRAM:

NUME


verify - Utilitate pentru verificarea certificatelor.

REZUMAT


OpenSSL verifica [-CApath director] [-CAfile fişier] [-scop scop] [-politică arg]
[-ignora_critice] [-la timp timestamp-ul] [-check_ss_sig] [-crlfile fişier] [-crl_download]
[-crl_check] [-crl_check_all] [-policy_check] [-politică_explicită] [-inhiba_orice]
[-inhibare_hartă] [-x509_strict] [-extended_crl] [-use_deltas] [-policy_print]
[-no_alt_chains] [-neîncredere fişier] [-Ajutor] [-issuer_checks] [-de încredere fişier] [-verbos] [-]
[certificate]

DESCRIERE


verifica comanda verifică lanțurile de certificate.

COMMAND OPŢIUNI


-CApath director
Un director de certificate de încredere. Certificatele ar trebui să aibă nume de formular:
hash.0 sau au legături simbolice către ele de această formă („hash” este certificatul hash
numele subiectului: vezi -hash opțiunea x509 utilitate). Sub Unix, c_rehash
scriptul va crea automat link-uri simbolice către un director de certificate.

-CAfile fişier Un fișier cu certificate de încredere. Fișierul ar trebui să conțină mai multe certificate
în format PEM concatenate împreună.
-la timp timestamp-ul
Efectuați verificări de validare folosind timpul specificat de timestamp-ul si nu sistemul actual
timp. timestamp-ul este numărul de secunde de la 01.01.1970 (ora UNIX).

-check_ss_sig
Verificați semnătura de pe CA rădăcină autosemnată. Acest lucru este dezactivat implicit deoarece
nu adauga nicio siguranta.

-crlfile fişier
Fișier care conține unul sau mai multe CRL-uri (în format PEM) de încărcat.

-crl_download
Încercați să descărcați informațiile CRL pentru acest certificat.

-crl_check
Verifică validitatea certificatului de entitate finală încercând să caute un CRL valid. În cazul în care o
CRL valid nu poate fi găsit apare o eroare.

-neîncredere fişier
Un fișier cu certificate nesigure. Fișierul ar trebui să conțină mai multe certificate în PEM
format concatenat împreună.

-scop scop
Utilizarea prevăzută pentru certificat. Dacă această opțiune nu este specificată, verifica nu va
luați în considerare scopul certificatului în timpul verificării în lanț. Utilizările acceptate în prezent sunt
sslclient, sslserver, nssslserver, smimesign, smimeencrypt. Vezi VERIFICA OPERAȚIUNEA
secțiune pentru mai multe informații.

-Ajutor
Imprimați un mesaj de utilizare.

-verbos
Imprimați informații suplimentare despre operațiunile efectuate.

-issuer_checks
Tipăriți diagnostice referitoare la căutările pentru certificatul emitent al curentului
certificat. Aceasta arată de ce fiecare certificat de emitent candidat a fost respins. The
prezența mesajelor de respingere nu implică în sine că ceva este greșit; pe parcursul
în procesul normal de verificare, pot avea loc mai multe respingeri.

-politică arg
Activați procesarea politicilor și adăugați arg la setul-politic-inițial-utilizator (a se vedea RFC5280). The
Politica arg poate fi un nume de obiect un OID în formă numerică. Acest argument poate apărea
mai mult de o dată.

-policy_check
Activează procesarea politicii de certificat.

-politică_explicită
Setați variabila de politică require-explicit-policy (vezi RFC5280).

-inhiba_orice
Setați variabila de politică inhibit-any-policy (vezi RFC5280).

-inhibare_hartă
Setați variabila de politică inhibit-policy-mapping (vezi RFC5280).

-no_alt_chains
Când construiți un lanț de certificate, dacă primul lanț de certificate găsit nu este
de încredere, atunci OpenSSL va continua să verifice pentru a vedea dacă un lanț alternativ poate fi
a constatat că este de încredere. Cu această opțiune, acel comportament este suprimat, astfel încât numai
primul lanț găsit este folosit vreodată. Folosirea acestei opțiuni va forța comportamentul să se potrivească
cea a versiunilor anterioare OpenSSL.

-de încredere fişier
Un fișier cu certificate suplimentare de încredere. Fișierul ar trebui să conțină mai multe
certificate în format PEM concatenate împreună.

-policy_print
Imprimați diagnostice legate de procesarea politicilor.

-crl_check
Verifică validitatea certificatului de entitate finală încercând să caute un CRL valid. În cazul în care o
CRL valid nu poate fi găsit apare o eroare.

-crl_check_all
Verifică valabilitatea toate certificate din lanț încercând să caute valide
CRL-uri.

-ignora_critice
În mod normal, dacă este prezentă o extensie critică necontrolată care nu este acceptată de
OpenSSL certificatul este respins (așa cum este cerut de RFC5280). Dacă această opțiune este setată
extensiile critice sunt ignorate.

-x509_strict
Pentru o conformitate strictă cu X.509, dezactivați soluțiile neconforme pentru defecțiuni
certificate.

-extended_crl
Activați funcțiile CRL extinse, cum ar fi CRL-uri indirecte și chei alternative de semnare CRL.

-use_deltas
Activați suportul pentru CRL-uri delta.

-check_ss_sig
Verificați semnătura de pe CA rădăcină autosemnată. Acest lucru este dezactivat implicit deoarece
nu adauga nicio siguranta.

- Indică ultima opțiune. Toate argumentele care urmează sunt presupuse a fi certificate
fișiere. Acest lucru este util dacă primul nume de fișier al certificatului începe cu a -.

Certificatele
Unul sau mai multe certificate de verificat. Dacă nu se eliberează certificate, verifica va încerca
pentru a citi un certificat din intrarea standard. Certificatele trebuie să fie în format PEM.

VERIFICA OPERAȚIUNEA


verifica programul folosește aceleași funcții ca și verificarea SSL internă și S/MIME,
prin urmare, această descriere se aplică și acestor operațiuni de verificare.

Există o diferență crucială între operațiunile de verificare efectuate de verifica
program: ori de câte ori este posibil, se încearcă continuarea după o eroare, în mod normal
operațiunea de verificare s-ar opri la prima eroare. Acest lucru permite toate problemele cu a
lanțul de certificate urmează să fie determinat.

Operația de verificare constă dintr-un număr de pași separati.

În primul rând, se construiește un lanț de certificate pornind de la certificatul furnizat și se termină
în rădăcina CA. Este o eroare dacă întregul lanț nu poate fi construit. Lanțul este construit
sus prin căutarea certificatului emitentului certificatului curent. Dacă un certificat este
găsit care este propriul emitent, se presupune că este CA rădăcină.

Procesul de „căutare a certificatului emitentului” în sine implică o serie de pași. În
versiuni de OpenSSL înainte de 0.9.5a primul certificat al cărui nume de subiect se potrivea cu
sa presupus că emitentul certificatului curent este certificatul emitentului. În OpenSSL
0.9.6 și mai târziu toate certificatele al căror nume de subiect se potrivește cu numele emitentului curentului
certificatul sunt supuse unor teste suplimentare. Componentele de identificare a cheii de autoritate relevante
a certificatului curent (dacă este prezent) trebuie să se potrivească cu identificatorul cheii subiectului (dacă este prezent)
și emitentul și numărul de serie al emitentului candidat, în plus extensia keyUsage
emitentului candidat (dacă este prezent) trebuie să permită semnarea certificatului.

Căutarea se uită mai întâi în lista de certificate nede încredere și dacă nu se găsește nicio potrivire,
căutările rămase provin din certificatele de încredere. CA rădăcină este întotdeauna căutată în sus
lista de certificate de încredere: dacă certificatul de verificat este un certificat rădăcină, atunci an
potrivirea exactă trebuie găsită în lista de încredere.

A doua operațiune este de a verifica coerența tuturor extensiilor de certificat neîncrezătoare
cu scopul furnizat. Dacă -scop opțiunea nu este inclusă, atunci nu se efectuează verificări.
Certificatul furnizat sau „frunză” trebuie să aibă extensii compatibile cu cel furnizat
scop și toate celelalte certificate trebuie să fie, de asemenea, certificate CA valide. Precisul
extensiile necesare sunt descrise mai detaliat în documentul CERTIFICAT PRELUNGIRI secțiune de
il x509 utilitate.

A treia operațiune este de a verifica setările de încredere pe CA rădăcină. CA rădăcină ar trebui să fie
de încredere pentru scopul furnizat. Pentru compatibilitate cu versiunile anterioare ale SSLeay și
OpenSSL un certificat fără setări de încredere este considerat valabil pentru toate scopurile.

Operația finală este verificarea validității lanțului de certificate. Perioada de valabilitate
este comparat cu ora curentă a sistemului și cu datele notBefore și notAfter din
certificat. Semnăturile certificatelor sunt, de asemenea, verificate în acest moment.

Dacă toate operațiunile sunt finalizate cu succes, certificatul este considerat valid. Dacă există
operațiunea eșuează, atunci certificatul nu este valid.

DIAGNOSTIC


Când o operațiune de verificare eșuează, mesajele de ieșire pot fi oarecum criptic. Generalul
forma mesajului de eroare este:

server.pem: /C=AU/ST=Queensland/O=CryptSoft Pty Ltd/CN=Test CA (1024 biți)
eroare 24 la 1 căutare în profunzime: certificat CA nevalid

Prima linie conține numele certificatului care se verifică urmat de subiect
numele certificatului. A doua linie conține numărul erorii și adâncimea. The
adâncimea este numărul certificatului care este verificat atunci când a fost detectată o problemă
cu zero pentru certificatul fiind verificat în sine, apoi 1 pentru CA care a semnat
certificat și așa mai departe. În cele din urmă, este prezentată o versiune text a numărului de eroare.

O listă exhaustivă a codurilor și mesajelor de eroare este prezentată mai jos, aceasta include și
numele codului de eroare așa cum este definit în fișierul antet x509_vfy.h Unele dintre codurile de eroare
sunt definite, dar nu returnate niciodată: acestea sunt descrise ca „neutilizate”.

0 X509_V_OK: ok
operatia a avut succes.

2 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT: incapabil la obține emitent certificat
certificatul emitent al unui certificat căutat nu a putut fi găsit. Asta in mod normal
înseamnă că lista de certificate de încredere nu este completă.

3 X509_V_ERR_UNABLE_TO_GET_CRL: incapabil la obține certificat CRL
CRL-ul unui certificat nu a putut fi găsit.

4 X509_V_ERR_UNABLE_TO_DECRYPT_CERT_SIGNATURE: incapabil la decripta certificatelor semnătură
semnătura certificatului nu a putut fi decriptată. Aceasta înseamnă că semnătura efectivă
valoarea nu a putut fi determinată, mai degrabă decât să nu se potrivească cu valoarea așteptată, aceasta este
semnificativ doar pentru cheile RSA.

5 X509_V_ERR_UNABLE_TO_DECRYPT_CRL_SIGNATURE: incapabil la decripta CRL-uri semnătură
semnătura CRL nu a putut fi decriptată: aceasta înseamnă că valoarea reală a semnăturii
nu a putut fi determinată decât să nu se potrivească cu valoarea așteptată. Nefolosit.

6 X509_V_ERR_UNABLE_TO_DECODE_ISSUER_PUBLIC_KEY: incapabil la decodifica emitent public cheie
cheia publică din certificat SubjectPublicKeyInfo nu a putut fi citită.

7 X509_V_ERR_CERT_SIGNATURE_FAILURE: certificat semnătură eşec
semnătura certificatului este invalidă.

8 X509_V_ERR_CRL_SIGNATURE_FAILURE: CRL semnătură eşec
semnătura certificatului este invalidă.

9 X509_V_ERR_CERT_NOT_YET_VALID: certificat is nu încă valabil
certificatul nu este încă valabil: data notBefore este după ora curentă.

10 X509_V_ERR_CERT_HAS_EXPIRED: certificat are Expirat
certificatul a expirat: adică data notAfter este înainte de ora curentă.

11 X509_V_ERR_CRL_NOT_YET_VALID: CRL is nu încă valabil
CRL nu este încă valabil.

12 X509_V_ERR_CRL_HAS_EXPIRED: CRL are Expirat
CRL a expirat.

13 X509_V_ERR_ERROR_IN_CERT_NOT_BEFORE_FIELD: format eroare in certificatelor nu inainte
camp
câmpul certificat notBefore conține o oră nevalidă.

14 X509_V_ERR_ERROR_IN_CERT_NOT_AFTER_FIELD: format eroare in certificatelor nuDupă camp
câmpul certificat notAfter conține o oră nevalidă.

15 X509_V_ERR_ERROR_IN_CRL_LAST_UPDATE_FIELD: format eroare in CRL-uri Ultima actualizare camp
câmpul CRL lastUpdate conține o oră nevalidă.

16 X509_V_ERR_ERROR_IN_CRL_NEXT_UPDATE_FIELD: format eroare in CRL-uri nextUpdate camp
câmpul CRL nextUpdate conține o oră nevalidă.

17 X509_V_ERR_OUT_OF_MEM: afară of memorie
a apărut o eroare la încercarea de a aloca memorie. Acest lucru nu ar trebui să se întâmple niciodată.

18 X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT: auto semnat certificat
certificatul trecut este autosemnat și același certificat nu poate fi găsit în
lista de certificate de încredere.

19 X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN: auto semnat certificat in certificat lanţ
lanțul de certificate ar putea fi construit folosind certificatele neîncrezătoare, dar rădăcina
nu a putut fi găsit la nivel local.

20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY: incapabil la obține local emitent certificat
certificatul de emitent nu a putut fi găsit: acest lucru se întâmplă dacă certificatul de emitent al unui
certificatul neîncrezător nu poate fi găsit.

21 X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE: incapabil la verifica il primul certificat
nicio semnătură nu a putut fi verificată deoarece lanțul conține un singur certificat și acesta
nu este autosemnat.

22 X509_V_ERR_CERT_CHAIN_TOO_LONG: certificat lanţ de asemenea lung
lungimea lanțului de certificat este mai mare decât adâncimea maximă furnizată. Nefolosit.

23 X509_V_ERR_CERT_REVOKED: certificat revocat
certificatul a fost retras.

24 X509_V_ERR_INVALID_CA: invalid CA certificat
un certificat CA este invalid. Fie nu este un CA, fie extensiile sale nu sunt
în concordanță cu scopul furnizat.

25 X509_V_ERR_PATH_LENGTH_EXCEEDED: cale lungime constrângere depășit
parametrul basicConstraints pathlength a fost depășit.

26 X509_V_ERR_INVALID_PURPOSE: neacceptat certificat scop
certificatul furnizat nu poate fi utilizat în scopul specificat.

27 X509_V_ERR_CERT_UNTRUSTED: certificat nu de încredere
CA rădăcină nu este marcată ca de încredere pentru scopul specificat.

28 X509_V_ERR_CERT_REJECTED: certificat respins
CA rădăcină este marcată pentru a respinge scopul specificat.

29 X509_V_ERR_SUBJECT_ISSUER_MISMATCH: subiect emitent nepotrivire
certificatul de emitent candidat curent a fost respins deoarece numele subiectului său nu a fost respins
corespunde cu numele emitentului certificatului curent. Afișat numai când
-issuer_checks opțiunea este setată.

30 X509_V_ERR_AKID_SKID_MISMATCH: autoritate si subiect cheie identificator nepotrivire
certificatul de emitent candidat curent a fost respins deoarece cheia de subiect
identificatorul a fost prezent și nu se potrivea cu identificatorul actual al cheii de autoritate
certificat. Afișat numai când -issuer_checks opțiunea este setată.

31 X509_V_ERR_AKID_ISSUER_SERIAL_MISMATCH: autoritate si emitent de serie număr nepotrivire
certificatul de emitent candidat curent a fost respins deoarece numele emitentului său și
numărul de serie a fost prezent și nu se potrivea cu identificatorul cheii de autoritate al
certificat curent. Afișat numai când -issuer_checks opțiunea este setată.

32 X509_V_ERR_KEYUSAGE_NO_CERTSIGN:cheie folosire face nu include certificat semnare
certificatul actual de emitent candidat a fost respins din cauza extensiei keyUsage
nu permite semnarea certificatelor.

50 X509_V_ERR_APPLICATION_VERIFICATION: cerere verificare eşec
o eroare specifică aplicației. Nefolosit.

Utilizați verifyssl online folosind serviciile onworks.net



Cele mai recente programe online Linux și Windows